Reseau D'entreprise

J EAN- L UC MONTAGNI ER
9
7
8
2
2
1
2
1
1
2
5
8
0
C
o
d
e

d
i
t
e
u
r
:

G
1
1
2
5
8
IS
B
N
:
2
-
2
1
2
-
1
1
2
5
8
-
0
C
o
n
c
e
p
tio
n
:
N
o
rd

C
o
m
p
o
J EAN- L UC MONTAGNI ER
Ingnieur consultant spcialis dans les rseaux et les
tlcoms, Jean-Luc Montagnier assure des missions de
conception darchitectures, daudit et dassistance
matrise douvrage, aussi bien auprs de PME que de
grands comptes. Jean-Luc Montagnier est lauteur de
Pratique des rseaux dentreprise, lun des ouvrages de
rfrence en langue franaise sur les rseaux.
Devenez expert en rseaux par lexemple
Vous tes charg de mettre en place un rseau
d'entreprise ou de faire voluer un rseau exis-
tant. Que vous soyez architecte rseau, respon-
sable informatique ou tudiant, cet ouvrage vous
apporte une expertise complte, au travers
dexemples de configuration et dtudes de cas,
sur des rseaux allant dune dizaine plusieurs
milliers de postes.
Depuis linstallation du systme de cblage
jusqu la scurisation dun rseau IP, en passant
par les rseaux sans fil, les rseaux tendus, ou
encore la qualit de service, louvrage dtaille
pas pas les protocoles rseau les plus rpan-
dus en entreprise.
Couvre les rseaux Wi-Fi.
w w w e d i t i o n s - e y r o l l e s c o m
Rseaux dentreprise par la pratique
Rseaux
dentreprise
par la pratique
40
J
E
A
N
-
L
U
C
M
O
N
T
A
G
N
I
E
R
s o l u t i o n s
r s e a u x
s o l u t i o n s
r s e a u x
R
s
e
a
u
x

d
e
n
t
r
e
p
r
i
s
e
p
a
r

l
a

p
r
a
t
i
q
u
e
Au sommaire : Architectures et Protocoles
Architectures LAN et WLAN: rseaux dtage et fdrateurs,
choix, positionnement et configuration des commutateurs et des
bornes Wi-Fi Ethernet 10/100/1000bT, spanning tree 802.1d,
GARP, VLAN, GVRP 802.11a/b/g, Bluetooth 802.15, LMDS,
MMDS, WEP, TKIP, WPA, 802.11i/h/f/e
Administration des rseaux : ping, traceroute, analyseur rseau,
station dadministration, configuration automatique des postes
de travail, plan dadressage et de nommage, positionnement et
configuration des serveurs de noms IPv4, IPv6, ICMP, ARP
DHCP, BootP, SNMP, MIB DNS
Architectures MAN et WAN: dimensionnement des liaisons,
choix des technologies, liaisons de secours, installation et confi-
guration des routeurs et des commutateurs, services opra-
teurs, VPN de niveau 2 et 3 SDH, WDM, Gigabit, WMAN 802.16
LS, Frame Relay, ATM PPP, RNIS, proxy ARP, ADSL, HDSL,
Glite OSPF, BGP, VRRP, MPLS
Gestion avance des flux IP Caractristiques des flux multi-
mdias : codec audio G.7xx, codec vido H.26x, MPEG, MP3
routage multicast : IGMP, GMRP, PIM, MOSPF, DVMRP qualit
de service : choix des files dattente, modles de classification
et de marquage, WFQ, WRED, ECN, 802.1p IP Precedence,
Diffserv, Intserv, RSVP, COPS VoIP et ToIP: configuration des
passerelles VoIP et des PABX IP, H.323, Q.931, H.245, H.225,
T.120, RTP/RTCP
Systmes de cblage : caractristiques et proprits des cbles,
cheminements, locaux techniques, rgles dingnierie, CTTP,
rflectomtrie UTP/FTP/STP catgorie 5/6/7, fibre optique
multimode et monomode, 62,5/125 et 50/125, RJ45, MT-RJ, ST,
SC NEXT, FEXT, ACR, ELFEXT, EMC
Scurit : vulnrabilits, attaques, chiffrement, authentification,
signature, certificats, architecture contrle de flux, prconisa-
tions pour le filtrage des protocoles les plus sensibles NAT,
PAT, SSL, IPsec, firewall stateful inspection et relais applicatifs,
token-cards
Normes et standards : RFC, ITU, IEEE, EIA/TIA, organismes de
lInternet, sites web de rfrence

Prface

Nen dplaise aux nostalgiques des odeurs dencriers et des plumes doies, des belles images
de Jour de fte , des joies et des ambiances fbriles, quand la lettre tant attendue partie
dj depuis plusieurs jours ! arrivait enfin, la Correspondance a cd la place la Tl-
communication, le seul papier au multimdia.
Lchelle du temps de la communication sest incroyablement comprime. Souvenez-vous
quhier encore des compagnies colombophiles existaient dans nos armes alors, que pendant
la guerre du Golfe, les anti-missiles amricains recevaient leurs donnes de tir depuis les
tats-Unis pour intercepter les cibles ennemies repres par les avions radars quelques se-
condes seulement aprs leur lancement.
Tout autant que le temps et consquence directe de lvolution fantastique des technologies
de linformation, lespace sest galement virtuellement rtrci. Le monde entier apparat
dsormais porte de main, porte de clic .
Si toutes les entreprises ne sont videmment pas mondiales, lconomie dans laquelle elles
voluent lest totalement. Le rythme de lactivit conomique est limage dInternet et du
haut dbit, il est haute vitesse . La culture de linstantane sest impose ! Peu de chance
pour celles qui ne peuvent pas suivre.
On laura compris, dans un tel environnement les missions du responsable tlcommunica-
tion dentreprise sont de toute premire importance. Dun service de second plan, hier ratta-
ch aux services gnraux et occupant quelques modestes bureaux dans la priphrie
immdiate du rpartiteur tlphonique, les tlcommunications sont dornavant organises
en direction, souvent associes avec linformatique. Elles justifient des efforts financiers
importants de lentreprise tant pour le recrutement de ses cadres et techniciens que pour les
investissements souvent coteux dans les quipements rseau. De tels efforts lui sont nces-
saires pour rester dans la course.

II
Toute proportion garde, cette volution historique inluctable est, si on peut dire, rattrape
par la conjoncture gopolitique qui marque ce dbut de sicle. Les menaces mergentes
conduisent ainsi les entreprises btir de vritables plans de secours, voire dvelopper le
concept de homeland security . L encore, les rseaux sont un lment cl des mesures de
protection dcides. En effet, bien souvent, ces mesures prvoient, aux fins de protection, un
clatement important des structures et des systmes informatiques, plaant naturellement les
rseaux au cur de celles-ci. Il est noter que nous retrouvons l les motivations qui ont
conduit, il y a longtemps, le Department Of Defence amricain la cration du protocole IP.
Vritables systmes dirrigation de lactivit conomique mondiale, les rseaux de tl-
communications et plus largement encore les systmes dinformation sont une cible de
choix pour des pirates ou guerriers des temps modernes. Sans aucun esprit de provocation
nous pouvons affirmer que nous sommes en guerre mais, et cest bien l tout le paradoxe
et la dangerosit de la situation, nous ne le savons pas ou navons pas pleinement conscience
de la menace qui pse.
videmment, il ne sagit pas de la guerre avec un grand G , de celle dont les images
dhorreur venues du bout du monde inondent nos journaux tlviss et nos magazines. Pas
du tout, la guerre dont il est question est beaucoup moins spectaculaire, tout fait silen-
cieuse. Elle se droule au quotidien, sans quaucune goutte de sang ne soit jamais verse.
Qui sen plaindrait ?
Les enjeux associs cette guerre sont trs diffrents de ceux gnralement attachs aux
conflits militaires. Pour autant, ils nen sont pas moins importants. En effet, il sagit - pour
ne citer que les principaux - de la sauvegarde de notre patrimoine industriel et intellectuel,
de la prservation de notre identit culturelle et, en consquence, du maintien de notre capa-
cit porter au-del de nos frontires, influer sur les vnements et tenir notre rang de
grande puissance conomique.
Les menaces sont nombreuses, puissantes et multiformes. Sans sombrer dans une paranoa
dmesure, force est de constater, quobserves avec le filtre de la menace qui pse, plu-
sieurs situations parfaitement connues et admises sont pour le moins inquitantes.
Prenons comme seule illustration de ces situations mais il en existe bien dautres quil se-
rait trop long de relater ici - les rseaux de communication de donnes quil sagisse du r-
seau Internet ou des rseaux de communication des entreprises au sens le plus large. Ceux-
ci, nous lavons vu, sont aujourdhui parfaitement indispensables la vie conomique de
toute nation dveloppe et de plus en plus ncessaires la vie sociale. Lensemble de ces r-
seaux interconnects constitue un norme maillage lchelle mondiale ; chaque nud de
ce maillage, on trouve un routeur , machine informatique avec un systme dexploitation
particulier, qui assure le juste aiguillage des communications. Ne nous sommes-nous
jamais pos la question de la menace constitue par le fait que le systme dexploitation de
ces routeurs, par lesquels excusez du peu transitent toutes nos communications des plus
banales au plus stratgiques, est presque toujours le mme, celui dun constructeur bien
connu, et que ces routeurs sont une immense majorit issus de ce mme constructeur ?
Bien sr, il nest pas srieux de vouloir tout bouleverser dans lordre tabli en matire de
march des NTIC et plus largement de toute lindustrie du savoir qui, il faut bien le consta-
ter, est assez largement entre les mains des acteurs nord amricains. En revanche, il apparat
Prface

III
plus que jamais ncessaire de sensibiliser et au-del de mobiliser tous les responsables tl-
communication et tous les responsables informatique, sur lesquels reposent dsormais des
enjeux fondamentaux pour les entreprises qui les emploient, afin quils prennent pleinement
conscience de ces menaces pour que celles-ci ne soient pas oublies dans les choix quils se-
ront amens faire.
Les rseaux de tlcommunication sont donc totalement indispensables la vie conomique,
leur fiabilit et leur performance doivent tre la hauteur des enjeux quils supportent, ils
constituent une cible privilgie pour un ensemble de menaces.
Louvrage de Jean-luc Montagnier trouve ainsi pleinement sa place au cur de cette pro-
blmatique. Il apportera aux architectes et responsables de tlcommunications les rponses
claires et documentes aux questions essentielles que ceux-ci sont amens se poser dans
leur quotidien ou dans les choix plus stratgiques quils sont conduits faire. Un volet com-
plet traitant de la scurit des rseaux abordera plus spcifiquement les rponses techniques
quil convient dadopter.
Dun ouvrage de rfrence, cette nouvelle dition devient un vritable ouvrage dactualit et
pour longtemps encore, soyons-en sr.

Olivier Koczan
EADS Defence and Security Systems

Table des matires

PREMIRE PARTIE
LES RSEAUX LOCAUX

CHAPITRE 1
Installer son premier rseau local 3
Le contexte ............................................................................................................................................ 4
Les choix de base................................................................................................................................... 5
Quel rseau ?.................................................................................................................................................... 5
Quelle topologie ? ............................................................................................................................................ 5
De quoi a-t-on besoin ?.......................................................................................................................... 7
De cartes rseau ............................................................................................................................................... 7
De cordons de raccordement ............................................................................................................................ 9
Dun concentrateur......................................................................................................................................... 10
De logiciels de communication...................................................................................................................... 13
Comment faire fonctionner tout cela ? ................................................................................................ 15
Installer les cartes rseau et les drivers .......................................................................................................... 15
Configurer les adresses IP.............................................................................................................................. 17
Installer les concentrateurs et y raccorder les PC........................................................................................... 19

VI
CHAPITRE 2
Mettre en place un systme de cblage 21
Quelle est la dmarche suivre ?........................................................................................................ 22
Lavant-projet ..................................................................................................................................... 22
Ltude dingnierie............................................................................................................................ 26
Quel type de cble ?........................................................................................................................................26
Cuivre ou fibre optique ?..........................................................................................................................27
Coaxial ou paires torsades ?...................................................................................................................28
Le choix de la paire torsade en distribution...................................................................................................28
crant ou non ? Blind ou non ?.............................................................................................................28
Catgories 5, 6 ou 7 ?...............................................................................................................................29
Le choix de la fibre optique entre les locaux techniques.................................................................................32
Multimode ou monomode ?.......................................................................................................................32
62,5/125 ou 50/125 ? ................................................................................................................................32
Le cble contenant les fibres.....................................................................................................................33
Le coaxial et la paire torsade pour la vido...................................................................................................34
Selon quels critres choisir le type de cble ? ..........................................................................................34
Quel type de prise ?.........................................................................................................................................36
Lamnagement des locaux techniques............................................................................................... 36
Les baies .........................................................................................................................................................36
Le cheminement des cordons de brassage.......................................................................................................37
Lorganisation du local ...................................................................................................................................37
Le cahier des charges .......................................................................................................................... 38
Le suivi du chantier et la recette ......................................................................................................... 40

CHAPITRE 3
Architecture des rseaux locaux 47
Les choix de base ................................................................................................................................ 48
Quel type de rseau choisir ? ..........................................................................................................................48
Quel dbit retenir ?..........................................................................................................................................48
Quel format dquipement ?............................................................................................................................50
Table des matires

VII
Concentrateur ou commutateur ? ................................................................................................................... 53
Larchitecture ...................................................................................................................................... 56
Mise en place dun rseau local dtage......................................................................................................... 56
Extension du rseau dtage........................................................................................................................... 57
Conception dun rseau dimmeuble................................................................................................... 59
Mise en place dun rseau fdrateur ............................................................................................................. 59
Quel dbit et quelle technologie ? .................................................................................................................. 61
Suivre lvolution des besoins............................................................................................................. 63
Assurer la continuit de service ..................................................................................................................... 65
Lchange de trames Ethernet ............................................................................................................. 68
change de trames sur un segment Ethernet .................................................................................................. 68
change de trames entre diffrents segments Ethernet .................................................................................. 70

CHAPITRE 4
Lalternative du sans fil 77
Introduction ......................................................................................................................................... 78
Les principes de transmission radio..................................................................................................... 79
Le signal radio................................................................................................................................................ 79
La modulation du signal................................................................................................................................. 80
Le multiplexage des canaux de frquence...................................................................................................... 81
Le codage....................................................................................................................................................... 82
Proprits des ondes radio.............................................................................................................................. 83
Exemples dapplication.................................................................................................................................. 83
Revue des rseaux sans fil ................................................................................................................... 84
Les applications ............................................................................................................................................. 84
Quel WLAN choisir ?.......................................................................................................................... 86
Contraintes rglementaires............................................................................................................................. 86
Performances.................................................................................................................................................. 88
Architectures et principes de fonctionnement...................................................................................... 89
Installer un WLAN.............................................................................................................................. 93
Choisir la bonne antenne................................................................................................................................ 94
Les WLAN en entreprise ............................................................................................................................... 96

VIII
Extension du rseau ........................................................................................................................................97
Le WLAN la maison ....................................................................................................................................98
La configuration des postes client...................................................................................................................99
Les paramtres systme ............................................................................................................................99
Les paramtres de communication ...........................................................................................................99
Les paramtres propres au protocole 802.11b .......................................................................................100
La configuration des points daccs ..............................................................................................................101
Comment scuriser son rseau ? ....................................................................................................... 102
La scurit de base : WEP.............................................................................................................................102
WPA et 802.11i.............................................................................................................................................104
La boucle locale radio....................................................................................................................... 106
Les micro-ondes point point........................................................................................................... 107

DEUXIME PARTIE
LES RSEAUX IP

CHAPITRE 5
Dmarrer son rseau IP 111
Le plan dadressage IP...................................................................................................................... 112
La dmarche..................................................................................................................................................112
Les principes de base ....................................................................................................................................114
Impact sur lInternet......................................................................................................................................115
Les sous-rseaux IP.......................................................................................................................................115
Mthode daffectation des rseaux LAN.......................................................................................................117
Mthode daffectation des rseaux WAN.....................................................................................................120
Mthode daffectation des stations au sein des rseaux ................................................................................121
Lencapsulation des protocoles ......................................................................................................... 122
Ladressage ...................................................................................................................................................124
Le multiplexage ............................................................................................................................................125
La rsolution dadresse .................................................................................................................................129
Lchange de donnes entre applications.......................................................................................... 130
Table des matires

IX
CHAPITRE 6
Administrer son rseau IP 135
Les utilitaires de base ........................................................................................................................ 136
Le ping......................................................................................................................................................... 136
Le traceroute ................................................................................................................................................ 137
Observer ce qui se passe sur son rseau ............................................................................................ 140
Piloter son rseau............................................................................................................................... 142
Quelle station dadministration ? ................................................................................................................. 142
Pour quelle utilisation ?................................................................................................................................ 143
Configurer automatiquement ses PC................................................................................................. 149
Quelle utilisation de DHCP ?....................................................................................................................... 149
Comment configurer un serveur DHCP ? .................................................................................................... 151
Dfinir les pools dadresses................................................................................................................... 151
Dfinir les options distribuer .............................................................................................................. 153
Configurer les routeurs................................................................................................................................. 156
Installer plusieurs serveurs........................................................................................................................... 157
Vrifier la configuration de son PC................................................................................................... 157

CHAPITRE 7
La gestion des noms 161
Prsentation du DNS ......................................................................................................................... 162
Les composants du DNS.............................................................................................................................. 162
laborer un plan de nommage ........................................................................................................... 162
Dfinir larborescence DNS......................................................................................................................... 163
Standardiser le nommage des objets ............................................................................................................ 166
Configurer les serveurs DNS............................................................................................................. 168
Configurer le fichier cache........................................................................................................................... 171
Configurer un serveur primaire.................................................................................................................... 172
Activer la rsolution de nom.................................................................................................................. 174
Activer le routage de la messagerie....................................................................................................... 174
Du bon usage des alias .......................................................................................................................... 175

X
Configurer un serveur racine.........................................................................................................................175
Configurer un serveur secondaire .................................................................................................................177
Configurer un serveur cache .........................................................................................................................177
Dlguer lautorit un autre serveur ...........................................................................................................178
Les domaines de rsolution inverse .................................................................................................. 178
Le fichier dinitialisation................................................................................................................... 179
Configurer les clients DNS ............................................................................................................... 180
Vrifier le fonctionnement du DNS .................................................................................................. 181

CHAPITRE 8
En route vers la sixime dimension dIP 185
Gense dIPv6................................................................................................................................... 186
Les besoins....................................................................................................................................................186
Les solutions .................................................................................................................................................186
Comparaison avec IPv4 .................................................................................................................... 187
Remarque sur la terminologie ................................................................................................................187
Configuration des nuds .................................................................................................................. 190
Fonctionnement standard des nuds................................................................................................. 194
Fonctionnement standard des nuds................................................................................................. 195
La dcouverte des nuds voisins (RFC 2461 et 3122) ..................................................................... 197
Les options utilises dans les messages de dcouverte .................................................................................197
La rsolution dadresse .................................................................................................................................198
La rsolution inverse dadresse.....................................................................................................................199
La dcouverte des routeurs............................................................................................................................200
La vrification de ltat des voisins...............................................................................................................201
La redirection................................................................................................................................................202
Lauto-configuration des adresses (RFC 2462)................................................................................. 202
Laffectation automatique des adresses.........................................................................................................202
La dtection dadresse duplique ..................................................................................................................203
La dcouverte du MTU (RFC 1981) ................................................................................................. 204
La gestion des groupes de diffusion (RFC 2710 et 2711) ................................................................. 204
Table des matires

XI
Migrer de la v4 la v6....................................................................................................................... 205

TROISIME PARTIE
LES RSEAUX TENDUS

CHAPITRE 9
Mettre en place sa premire interconnexion 209
Le contexte ........................................................................................................................................ 210
Les choix de base............................................................................................................................... 210
Quel protocole de niveau 2 ?........................................................................................................................ 211
Quel quipement rseau ? ............................................................................................................................ 212
Quel oprateur ?........................................................................................................................................... 212
De quoi avons-nous besoin ? ............................................................................................................. 213
Dune liaison entre les deux sites................................................................................................................. 213
quel dbit ?......................................................................................................................................... 213
Avec quel support de transmission ?...................................................................................................... 214
Avec quel service oprateur ?................................................................................................................ 215
De routeurs................................................................................................................................................... 216
De cbles...................................................................................................................................................... 217
Connecter un PC au routeur ......................................................................................................................... 219
Configurer le routeur.................................................................................................................................... 220
Affecter les adresses IP.......................................................................................................................... 220
Activer le routage................................................................................................................................... 221
Configurer les postes de travail .................................................................................................................... 223
Tester le rseau ............................................................................................................................................ 226
Rduire loverhead....................................................................................................................................... 226
Mettre en place une liaison de secours .............................................................................................. 227
Installation dun accs de base T0................................................................................................................ 230
Scurisation de la liaison.............................................................................................................................. 231
Gestion du dbordement .............................................................................................................................. 232

XII

CHAPITRE 10
Architecture des rseaux tendus 233
Les solutions disponibles sur le march............................................................................................ 234
Les liaisons point point ..............................................................................................................................234
Les rseaux oprateur....................................................................................................................................235
Laccs aux rseaux des oprateurs ..............................................................................................................236
Les services proposs par les oprateurs.......................................................................................................236
Les choix du client ............................................................................................................................ 237
Les lignes spcialises ...................................................................................................................... 240
quipements installs chez lutilisateur ........................................................................................................241
Les technologies DSL....................................................................................................................... 242
Les applications du xDSL.............................................................................................................................246
Les boucles SDH............................................................................................................................... 247
Le multiplexage WDM ..................................................................................................................... 250
Dimensionner les liaisons ................................................................................................................. 250
Identifier les flux...........................................................................................................................................251
Les flux de type conversationnel .............................................................................................................252
Les flux de type transactionnel ...............................................................................................................253
Les flux de type transfert de fichiers .......................................................................................................253
Les flux client-serveur.............................................................................................................................254
Estimer la volumtrie....................................................................................................................................255
Volumtrie lie la messagerie..............................................................................................................256
Volumtrie lie aux transferts de fichiers ...............................................................................................256
Volumtrie lie aux applications transactionnelles site central..............................................................256
Volumtrie lie aux applications transactionnelles intranet...................................................................256
Volumtrie lie dautres services.........................................................................................................257
Rassembler toutes les donnes................................................................................................................257
Tenir compte des temps de rponse ..............................................................................................................260
Table des matires

XIII

CHAPITRE 11
Btir un rseau de transport 261
LS, Frame Relay ou ATM ? .............................................................................................................. 262
Qualit de service et facturation................................................................................................................... 266
Dbit garanti.......................................................................................................................................... 266
Connecter un routeur au rseau de transport ................................................................................................ 268
Si le routeur ne supporte pas Frame Relay............................................................................................ 270
Si le routeur supporte Frame Relay....................................................................................................... 271
Grer les circuits virtuels ............................................................................................................................ 272
Combien de circuits virtuels ?...................................................................................................................... 273
Correspondance entre adresses IP et DLCI .......................................................................................... 276
Configurer les SVC...................................................................................................................................... 277
Grer la qualit de service............................................................................................................................ 278
Les sous-interfaces....................................................................................................................................... 280
Mettre en place un rseau ATM ........................................................................................................ 281
Qualit de service et facturation................................................................................................................... 282
La gestion du trafic : TMS 4.0 (ATM Forum af-tm-0056.000)............................................................... 282
Les classes de service ATM Transfer Capabilities (ITU I.371 et TMS) ................................................ 283
Connecter le routeur au rseau de transport ................................................................................................. 284
Si le routeur ne dispose pas dinterface ATM........................................................................................ 285
Si le routeur supporte ATM.................................................................................................................... 286
Configurer les SVC...................................................................................................................................... 290
Grer la qualit de service............................................................................................................................ 292
Les paramtres dcrivant les classes de service (ITU I.356 et ATM Forum TMS 4.0)............................... 293
Ladressage ATM ........................................................................................................................................ 295
Ladressage Frame Relay............................................................................................................................. 296
Interoprabilit entre Frame Relay et ATM ...................................................................................... 296

CHAPITRE 12
Commutation et routage LAN / MAN / WAN 297
Mettre en place un rseau fdrateur ................................................................................................. 298

XIV
Quels quipements ? .....................................................................................................................................299
Routeur ou commutateur de niveau 3 ?.........................................................................................................300
Quelle architecture ? .....................................................................................................................................301
Configurer les VLAN....................................................................................................................................302
Mettre en place un rseau de campus................................................................................................ 305
Ladressage et le routage IP..........................................................................................................................307
La redondance du routage .............................................................................................................................308
La rencontre du LAN et du WAN.................................................................................................................310
Le routage sur le WAN - OSPF ........................................................................................................ 311
Configurer le routage OSPF..........................................................................................................................311
Redondance en cas de panne.........................................................................................................................313
Ajustement des paramtres ...........................................................................................................................315
Modifier le cot des routes .....................................................................................................................315
Limiter la diffusion des routes ................................................................................................................316
Modifier la frquence des changes........................................................................................................316
Forcer llection du routeur dsign ......................................................................................................316
Les performances dOSPF ............................................................................................................................317
Le routage entre systmes autonomes - BGP.................................................................................... 317
La commutation sur le WAN - MPLS .............................................................................................. 320

QUATRIME PARTIE
LA GESTION AVANCE DES FLUX IP

CHAPITRE 13
Les flux multimdias 327
Les caractristiques des flux multimdias......................................................................................... 328
Choisir un codec audio...................................................................................................................... 331
Caractristiques.............................................................................................................................................331
Performances ................................................................................................................................................332
Qualit...........................................................................................................................................................333
Les codec vido................................................................................................................................. 334
Principes de compression des images ...........................................................................................................335
Table des matires

XV
Les problmes poss par les transmissions audio et vido ................................................................ 338
Estimation du temps de transit ..................................................................................................................... 339
Le transport des donnes multimdias ......................................................................................................... 340

CHAPITRE 14
La qualit de service sur IP 343
Amliorer les performances du rseau............................................................................................... 344
Affecter des priorits aux files dattente ...................................................................................................... 344
Agir sur les files dattente ............................................................................................................................ 346
Lalgorithme FIFO Un fonctionnement simple.................................................................................. 346
Grer les congestions............................................................................................................................. 346
Prvenir les congestions ........................................................................................................................ 348
Rguler le trafic ..................................................................................................................................... 348
Quelle file dattente choisir pour son rseau ? ............................................................................................. 350
Grer la qualit de service ................................................................................................................. 351
La qualit de service selon la prsance ............................................................................................ 352
Maintenir la qualit de service ..................................................................................................................... 353
La qualit de service selon DiffServ.................................................................................................. 355
Configuration des routeurs........................................................................................................................... 355
Configuration des commutateurs de niveau 2 .............................................................................................. 360
Configuration des commutateurs de niveau 3 .............................................................................................. 361
Dfinir une rgle de marquage .............................................................................................................. 361
Dfinir une rgle de policing ................................................................................................................. 362
Dfinir une rgle de classification......................................................................................................... 363
Associer une politique un port ............................................................................................................ 363
Affecter des valeurs au champ DSCP .................................................................................................... 364
Configuration des postes de travail .............................................................................................................. 365
La qualit de service selon IntServ.................................................................................................... 367
La rservation des ressources....................................................................................................................... 367
La description de la qualit de service ......................................................................................................... 374
Les classes de service ............................................................................................................................ 374
Dployer une politique de qualit de service..................................................................................... 376

XVI
La qualit de service sur MPLS ........................................................................................................ 377

CHAPITRE 15
Le routage des flux multimdias 379
La diffusion sur un rseau IP ............................................................................................................ 380
La gestion des groupes de diffusion.................................................................................................. 382
Le routage des flux multicasts........................................................................................................... 386
Le routage laide de DVMRP.....................................................................................................................386
Le routage laide de MOSPF......................................................................................................................391
Le routage laide de PIM............................................................................................................................396
Principe de PIM-SM...............................................................................................................................397
Principe du calcul des routes..................................................................................................................397
Principe du routage ................................................................................................................................399
Routage sur les liaisons WAN.................................................................................................................399
Quel protocole choisir ? .................................................................................................................... 401
Architecture adapte au protocole DVMRP..................................................................................................403
Architecture adapte au protocole MOSPF...................................................................................................403
Architecture adapte au protocole PIM.........................................................................................................404
Contrler la diffusion sur son rseau................................................................................................. 405
Limiter les flux multicasts sur le rseau local ...............................................................................................408

CHAPITRE 16
La tlphonie et la vido sur IP 409
Prsentation des protocoles multimdias .......................................................................................... 410
Les composants dun systme H.323 ............................................................................................................411
Ltablissement dune communication .........................................................................................................414
Interconnecter les PABX via IP........................................................................................................ 416
Mettre en place un gatekeeper........................................................................................................... 420
La voie vers le tout IP ....................................................................................................................... 425
Configurer le PABX et la passerelle VoIP....................................................................................................427
Dclarer les terminaux tlphoniques ...........................................................................................................428
Table des matires

XVII
Assurer la qualit de service.............................................................................................................. 430
Transporter les flux multimdias ....................................................................................................... 431
Le transport des flux audio et vido via RTP et RTCP ................................................................................ 432
Optimiser les flux multimdias.......................................................................................................... 435
Compression des en-ttes............................................................................................................................. 435
changer des donnes multimdias ................................................................................................... 437

CINQUIME PARTIE
LA SCURISATION DES RSEAUX IP

CHAPITRE 17
Protger son rseau et ses donnes 441
Limportance dune politique de scurit .......................................................................................... 442
Les vulnrabilits des protocoles IP .................................................................................................. 443
Telnet ........................................................................................................................................................... 443
FTP .............................................................................................................................................................. 443
DNS ............................................................................................................................................................. 444
HTTP ........................................................................................................................................................... 445
Netbios......................................................................................................................................................... 445
SNMP .......................................................................................................................................................... 445
RPC (Remote Procedure Calls).................................................................................................................... 446
NFS.............................................................................................................................................................. 446
ICMP............................................................................................................................................................ 447
Les diffrents types dattaques .......................................................................................................... 447
Les attaques de type refus de service (denial of service).............................................................................. 447
Quelques exemples dattaques par refus de service............................................................................... 448
Les attaques par inondation SYN (syn flooding) ......................................................................................... 448
La dissimulation dadresses (spoofing) ........................................................................................................ 448
Les attaques par tunnel................................................................................................................................. 449
Le vol de session (session stealing, splicing ou hijacking)........................................................................... 449
Le rebond..................................................................................................................................................... 449
Les chevaux de Troie ................................................................................................................................... 450

XVIII
Les vers.........................................................................................................................................................450
Le contrle de flux............................................................................................................................ 450
Les technologies utilises par les firewalls ...................................................................................................451
Le filtrage de paquet .....................................................................................................................................451
Le stateful inspection ..............................................................................................................................452
Le relais applicatif.........................................................................................................................................452
Le relais de circuit.........................................................................................................................................452
Comparaison des technologies......................................................................................................................453
Choix dun firewall .......................................................................................................................................453
Comparaison entre les routeurs et les firewalls.............................................................................................455
Dfinition dune architecture contrle de flux ............................................................................... 455
Acteurs et matrice de confiance ....................................................................................................................456
Matrice de communication............................................................................................................................457
Mcanismes de scurit supplmentaires......................................................................................................458
Cas du DNS ..................................................................................................................................................460
Cas de Netbios ..............................................................................................................................................461
Services IP et matrice de flux........................................................................................................................462
Matrice de filtrage.........................................................................................................................................463
Rle et fonctionnement des firewalls ................................................................................................ 464
Architecture ..................................................................................................................................................464
Fonctionnement ............................................................................................................................................465
Relais applicatif ............................................................................................................................................465
Cas des protocoles non relays .....................................................................................................................466
Authentification ............................................................................................................................................466
Translation dadresses...................................................................................................................................467
Redondance...................................................................................................................................................467
Administration ..............................................................................................................................................467
Log et audit ...................................................................................................................................................467
Mcanismes de protection.............................................................................................................................468
Intgrit.........................................................................................................................................................468
Chiffrement des donnes...............................................................................................................................468
Remarques sur ladministration des firewalls ...............................................................................................468
Table des matires

XIX
La confidentialit............................................................................................................................... 469
Les algorithmes de chiffrement.................................................................................................................... 469
Efficacit des algorithmes de chiffrement .................................................................................................... 471
Les protocoles de scurit ............................................................................................................................ 473
Les protocoles dchange de cls ................................................................................................................. 474
La gestion des certificats.............................................................................................................................. 475
La signature numrique................................................................................................................................ 476
Lenveloppe numrique ............................................................................................................................... 477
Les contraintes lgislatives .......................................................................................................................... 477
Lauthentification .............................................................................................................................. 480
Les mcanismes dauthentification .............................................................................................................. 480
Fonctionnement dune calculette dauthentification .................................................................................... 482
Les serveurs dauthentification .................................................................................................................... 482
Exemple dauthentification forte pour les accs distants.............................................................................. 483

ANNEXES
Normes et standards 487
Le cblage.......................................................................................................................................... 487
Normes CEN relatives au cblage ......................................................................................................... 487
Normes EIA/TIA relatives au cblage.................................................................................................... 487
Normes ITU-T relatives au cblage....................................................................................................... 487
Les interfaces physiques.................................................................................................................... 488
Avis de lITU-T relatifs aux interfaces physiques .................................................................................. 488
Normes EIA/TIA relatives aux interfaces physiques .............................................................................. 488
Avis de lITU-T relatifs aux changes ETTD-ETCD.............................................................................. 488
Les rseaux locaux ............................................................................................................................ 489
Normes IEEE relatives aux rseaux locaux ........................................................................................... 489
La famille des protocoles TCP/IP...................................................................................................... 491
RFC relatives aux protocoles TCP/IP.................................................................................................... 491
Standards originaux du DOD (Department Of Defense)....................................................................... 492
RFC relatives aux protocoles de routage IP.......................................................................................... 492
RFC relatives aux applications utilisant TCP/IP................................................................................... 492

XX
RFC relatives IP sur Frame-Relay ......................................................................................................493
RFC relatives IP sur ATM ...................................................................................................................493
RFC relatives PPP...............................................................................................................................494
RFC relatives SNMP............................................................................................................................494
Normes ISO et quivalents ITU-T relatifs la syntaxe ASN.1................................................................495
RFC relatives IPv6...............................................................................................................................495
RFC relatives la voix sur IP.................................................................................................................496
Avis de lITU-T relatifs la voix sur IP..................................................................................................496
RFC relatives la qualit de service ......................................................................................................497
RFC relatives au routage multicast ........................................................................................................497
Les rseaux RNIS.............................................................................................................................. 498
Organisation et nomenclature des normes .............................................................................................498
Srie I.100 : Concepts gnraux du RNIS...............................................................................................499
Srie I.200 : Services assurs par le RNIS..............................................................................................499
Srie I.300 : Aspects rseaux du RNIS....................................................................................................499
Srie I.400 - Interfaces usager-rseau....................................................................................................500
Srie I.500 : Interfaces dinterconnexion du RNIS .................................................................................501
Srie I.600 : Administration du RNIS .....................................................................................................501
Avis de lITU-T relatifs aux rseaux ATM..............................................................................................502
Avis de lITU-T et quivalents ANSI relatifs au Frame Relay ................................................................502
Avis de lITU-T relatifs aux systmes de transmission numrique MIC..................................................503
Avis de lITU-T relatifs aux rseaux SDH ..............................................................................................503
Organisation de lInternet 505
Quelques chiffres ....................................................................................................................................506
La gestion de lInternet ..................................................................................................................... 507
Quelques autres organismes dintrt gnral .......................................................................................510
Les anciens organismes de rgulation....................................................................................................510
O les contacter......................................................................................................................................510

Glossaire 513

Table des matires

XXI
Bibliographie 529

Sites web 531
Accs aux RFC ............................................................................................................................................ 531
Cblage ........................................................................................................................................................ 531
Internet ......................................................................................................................................................... 531
Modem-cble ............................................................................................................................................... 532
Organismes de normalisation....................................................................................................................... 532
Organismes de rgulation............................................................................................................................. 533
Protocoles..................................................................................................................................................... 533
Qualit de service......................................................................................................................................... 533
Rseaux sans fils .......................................................................................................................................... 534
Revues de presse .......................................................................................................................................... 534
Scurit ........................................................................................................................................................ 535
VoIP............................................................................................................................................................. 535

Index 537

Table des encarts 547

Avant-propos

Jai retrouv, il y a peu, un ouvrage faisant partie de ceux qui ont abreuv une gnration
dtudiants en rseaux & tlcom, un pav de plus de 900 pages. Il faisait partie dune de
ces bibles immanquables que lon se devait de lire. Celui qui navait pas lu le Machin ou
le Truc passait assurment ct de quelque chose, et risquait de compromettre ses
examens.

Sur les 900 pages ddies aux rseaux, une seule tait consacre TCP/IP sous une rubrique
bizarrement intitule La productique . Il y tait dit que cette architecture tait dmode et
que, depuis quelques annes, tous les utilisateurs de ce type de rseau taient amens vo-
luer vers larchitecture OSI. Le livre datait de 1987, TCP/IP avait 18 ans et lInternet explo-
sait aux tats-Unis.

Cela ma rappel les quelques temps passs travailler au cur de la Silicon Valley en tant
que programmeur. Jtais alors en charge de dvelopper des couches logicielles autour de
TCP/IP. Un de mes collgues avait affich lentre de son bureau un manifeste intitul
Why OSI ? . Parmi les rponses saugrenues, il y avait celles-ci : parce que cest norma-
lis , parce quil y a 7 couches , parce que cest compliqu , etc.

Voil un des problmes de lEurope : dun ct un centre dactivit qui cre la technologie
de demain, de lautre des commentateurs avertis. Dans lentreprise, contentons-nous donc
dutiliser au mieux ce quon nous propose.

J.-L. Montagnier


XXIV
Les technologies gagnantes
Les technologies dont il est question ici, sont celles qui sont les plus utilises dans les entre-
prises. Celles qui ont supplant les autres.
Le monde des rseaux a, en effet, longtemps t caractris par une quantit innombrable de
protocoles plus ou moins exotiques, essentiellement pousss par des constructeurs soucieux
de verrouiller leur march (Digital avec Decnet, IBM avec SNA, Novell avec IPX, etc.) et
par des organismes de normalisation sacrifiant aux plaisirs des techniciens (OSI de
lISO).
Ainsi, seuls quelques protocoles ont survcu ; ils ont pour point commun davoir su
sadapter aux besoins des entreprises tout en prsentant le meilleur rapport qualit/prix.
Par exemple, lEthernet de lan 2000 ne ressemble plus celui des annes 70. La famille
TCP/IP sest enrichie de dizaines de protocoles, et le Frame Relay a su intgrer la voix et les
donnes en offrant le minimum de qualit de service ncessaire. Tandis que le RNIS a su r-
pondre un besoin bien spcifique dinterconnexion.
Tout cela parce ces protocoles reposent sur les technologies ouvertes, simples et qui appor-
tent une relle plus-value aux entreprises.
Le principe de lapport minimal
Lhistoire montre que les technologies qui se sont imposes sont celles qui rpondent au
moins un des trois critres suivants : conservation de lexistant, rponse aux besoins et r-
duction des cots.
Par exemple, la technologie conserve-t-elle lexistant ? Rpond-elle aux besoins ? Rduit-
elle les cots ? Si lensemble des rponses aboutit une rponse positive, alors oui, elle ap-
porte quelque chose !
La nouvelle technologie peut ne pas conserver lexistant, mais apporter une relle plus-
value ; cest le cas du Compact Disc qui a remplac le vinyle en quelques annes (meilleure
qualit de son, plus grande rsistance, etc.).
La nouvelle technologie peut tre plus chre mais rpondre aux besoins ; cest le cas des t-
lphones mobiles. Pour un usage personnel, on a besoin de communiquer, de se sentir im-
portant (besoins irrationnels). Pour un professionnel, tre joignable tout moment fait partie
de la qualit de service quil offre ses clients (besoin rationnel) : cela lui permet dtre plus
ractif et donc de gagner plus dargent, mme si les communications cotent deux fois plus
cher que celles dun tlphone fixe.
La nouvelle technologie peut remettre en cause lexistant mais rduire les cots. Si le retour
sur investissement est assur, elle a alors de fortes chances de simposer. Ce constant souci
de productivit est prsent dans toutes les industries.
Face une nouvelle technologie, la question se poser est donc : est-ce quelle apporte
quelque chose ? est-ce quelle rpond au principe de lapport minimal ?
Avant-propos

XXV
Le syndrome de Vinci
Faut-il alors donner du temps une technologie pour que celle-ci simpose ?
Par exemple, IP na pas connu une diffusion plantaire immdiate : ce protocole sest impo-
s rapidement dans les universits et les centres de recherche, puis plus lentement dans le
monde des entreprises.
Cela nest cependant pas un gage de russite ; il suffit de se souvenir de ce qui est arriv
lATM : technologie cense tout faire, elle sest avre trop complexe mettre en uvre et
reste, aujourdhui, cantonne aux rseaux des oprateurs. Lchec dans les rseaux locaux
est patent.
Le problme des technologies trop en avance sur leur temps est quelles sont soumises au
syndrome de Vinci
1
:
Au dbut, elles ne rpondent pas au principe de lapport minimal.
Leur complexit et leur cot freinent leur dveloppement.
Dix ans aprs, elles sont dpasses (techniquement ou conomiquement) par dautres
technologies ou de plus anciennes qui ont volu avec leur temps.
Cest ce qui aurait pu arriver IP si les protocoles OSI avait t plus performants, et cest ce
qui est arriv ATM face un Ethernet tout terrain qui a su sadapter au fil du temps.
Dans dix ans, on pourra se poser de nouveau la question : Ethernet et IP ont-ils atteint leurs
limites par rapport aux besoins du moment ? Si oui, quelle est la solution qui rpond au
principe de lapport minimal ?
Un exemple dans le domaine des rseaux
LEthernet 100 Mbit/s, puis le Gigabit Ethernet, se sont imposs trs rapidement, parce
que dune part les composants lectroniques proviennent de technologies existantes (Fibre
Channel, etc.) ce qui rduit les cots, et dautre part lexistant est prserv.
ATM est sans doute ce qui se fait de mieux en matire de technologie rseau, mais il en fait
trop par rapport aux besoins daujourdhui. En faire trop implique de dpenser plus dargent
en R&D, en formation, en fabrication, etc., ce qui a pour consquence de ralentir la diffu-
sion de ladite technologie.
En ralit lorsquils bnficient dune dynamique importante comme Ethernet et IP, les
technologies et les produits samliorent au fil du temps. La mthode amricaine est, en ef-
fet, de sortir un produit le plus rapidement possible afin rentabiliser les premiers investisse-
ments, les amliorations ne venant que si le march se dveloppe.

1
Artiste de gnie, Lonard de Vinci tait galement Premier ingnieur et architecte du Roi, Mcanicien dtat .
Cependant, nombre de ses projets sombraient dans les limbes, parce que trop novateurs ou irralisables avec les
moyens techniques de lpoque. Ses talents dingnieur taient surtout mis contribution pour raliser des automa-
tes de ftes foraines et de spectacles.

XXVI
Guide de lecture
Louvrage est structur en quatre parties : les rseaux locaux, les rseaux IP, les rseaux
tendus et la gestion avance des flux IP.
Cette organisation correspond une progression technique, qui suit lvolution dune archi-
tecture rseau, allant de la plus simple la plus complexe, telle quelle peut tre rencontre
par les responsables rseaux et tlcoms dans le monde de lentreprise.
Les rseaux locaux
Dans sa premire partie, louvrage traite des rseaux Ethernet en partant du plus simple aux
architectures les plus complexes, tout en expliquant les techniques mises en uvre. Ensuite,
les technologies lies au cblage, passage oblig pour btir des rseaux, sont expliques
dans le dtail. Enfin, alternative au cblage, les rseaux Ethernet sans fils sont galement
abords sous les aspects techniques et architectures.

Chapitre Contenu
1. Installer son premier rseau local Topologies bus/toile, coaxial 10b2, hubs 10bT
2. Mettre en place un systme de cblage Cuivre UTP/STP, catgories 5/6/7, RJ45
Fibre optique multimode/monomode, ST/SC
3. Architecture des rseaux locaux Ethernet 10/100/1000bT, couche MAC, spanning tree
802.1d, GARP, switches
4. Lalternative du sans fil WLAN 802.11a/b/g Wi-Fi, WPAN 802.15 Bluetooth

Les rseaux IP
Dans sa deuxime partie, louvrage traite du protocole IP et son interaction avec Ethernet en
termes dadressage et dencapsulation. Les outils dadministration sont ensuite expliqus en
tablissant le lien entre le fonctionnement des protocoles et leur mise en uvre. La gestion
des noms, qui permet de dcoupler les applications du rseau, occupe une place part tant
donne lampleur du sujet. Enfin, la nouvelle version dIP, qui commence apparatre avec
les terminaux UMTS et chez les oprateurs, est dcrite dans le dtail.

Chapitre Contenu
5. Dmarrer son rseau IP IPv4, adressage IP, interaction IP / Ethernet, TCP, UDP
6. Administrer son rseau IP Ping, traceroute, ICMP, SNMP, MIB, DHCP, Bootp
7. La gestion des noms DNS, protocole, architecture et configuration
8. En route vers la sixime dimension dIP IPv6, adressage, ICMPv6, protocole et architecture

Avant-propos

XXVII
Les rseaux tendus
Dans sa troisime partie, louvrage traite des rseaux tendus, les WAN. linverse des r-
seaux locaux, o Ethernet rgne sans partage, une profusion de protocoles occupe le terrain.
Un premier chapitre prsente, sous forme de guide de choix, un panorama de la problmati-
que. Les technologies employes dans les boucles locales sont ensuite dcrites tout en fai-
sant la relation avec les offres de service des oprateurs. Les rseaux de transports, utiliss
par les oprateurs et les entreprises, sont ensuite dtaills. Enfin, les protocoles ralisant le
lien entre le LAN et le WAN sont traits.

Chapitre Contenu
9. Mettre en place sa premire interconnexion Guide de choix, PPP, RNIS, proxy ARP, routeurs,
interfaces WAN
10. Architecture des rseaux tendus VPN niveaux 2/3/4, HDSL, ADSL, SDH, WDM
11. Btir un rseau de transport LS, Frame Relay, ATM
12. Commutation LAN et routage WAN VLAN, GVRP, VRRP, OSPF, BGP, MPLS

La gestion avance des flux IP
Dans sa quatrime partie, louvrage prsente des techniques avances de gestion des flux.
Les rseaux IP vhiculant des flux de plus en plus varis, des mcanismes complmentaires
et sophistiqus doivent tre mis en uvre. Un premier chapitre expose la problmatique po-
se par les flux multimdias afin dexpliquer la ncessit de ces mcanismes. Ceux-ci sont
ensuite dcrits dans les deux chapitres suivants : gestion de la qualit de service et routage
des flux multimdias. Des exemples de configuration aident expliquer leur fonctionne-
ment.

Chapitre Contenu
13. Les flux multimdias Codec audio G.7xx, codec vido MPEG, H.26x
14. La qualit de service sur IP WFQ, WRED, TOS, Diffserv, Intserv, RSVP,
COPS
15. Le routage des flux multimdias IGMP, DVMRP, MOSPF, PIM-SM, PIM-DM,
GMRP
16. La tlphonie et la vido sur IP H.323, Q.931, H.225, H.245, RTP/RTCP, T.120


XXVII
La scurisation des rseaux IP
Enfin, et non des moindres, le dernier chapitre traite de la scurit des rseaux, non seule-
ment sur les plans techniques, mais aussi en termes darchitecture. Trop souvent, en effet,
les quipements de scurit sont ajouts sans discernement comme une surcouche aux r-
seaux. Alors quune vritable politique de scurit suivie dune rflexion permettent de
concilier scurit et communication.

Chapitre Contenu
17. Scuriser son rseau Algorithmes de chiffrement, firewalls, IPsec, SSL

Les autres protocoles
Dautres protocoles sont venir et pourraient trouver leur place dans les entreprises (et dans
cet ouvrage !) : SIP (concurrent de H.323), MEGACO (Media Gateway Control), GMPLS
(Generalized MPLS), EFM (Ethernet in the First Mile), 802.17 RPR (Resilient Packet Ring)
ou encore SNMPv3 (Simple Network Management Protocol).
Inversement, des protocoles, qui existent pourtant toujours, ne sont volontairement pas trai-
ts : ATM pour son usage dans le LAN, FDDI, Token-Ring, X.25, SNA (et les protocoles
associs, tels que DLSW et STUN) ou encore Decnet. Le Token-Ring a, en effet, t sup-
plant par lEthernet, le X.25 par le Frame Relay, IPX par IP, etc. Le SNA nest prsent que
dans les socits qui ont beaucoup investi dans les mainframe IBM. La migration vers IP est
cependant bien amorce.

PREMIRE PARTIE

Les rseaux
locaux
1
Installer
son premier rseau local

La connexion lInternet a t loccasion pour nombre dentre nous de se frotter aux r-
seaux en manipulant ses composants : modems, cbles, logiciels de communication, naviga-
teurs et messageries.
De retour au bureau, ltape suivante consiste construire son propre rseau pour les be-
soins de son entreprise, cest--dire un intranet. Le rseau offre, en effet, de formidables
possibilits de dveloppement : pouvoir vendre des produits au monde entier sans ouvrir de
boutiques dans chaque pays, collecter des informations sur des sujets prcis, changer des
documents avec ses fournisseurs, etc. Avec les rseaux, nous entrons de plain-pied dans la
socit de linformation.
Dans une entreprise, le rseau est tout dabord local, cest--dire limit un ou plusieurs b-
timents. Commenons donc par l.

Dans ce chapitre, vous apprendrez ainsi :
quels sont les principes de base dun rseau local ;
choisir les matriels et logiciels pour votre rseau ;
installer une carte rseau ;
configurer votre PC.

Ethernet, concentrateurs, configuration IP

4
Le contexte
Avec la connexion lInternet, vous avez commenc, sans le savoir, construire les prmis-
ses dun rseau. Vous en avez utilis tous les composants : cbles, matriel de connexion
(dans notre cas le modem), logiciels TCP/IP, etc. Il sagissait du type de rseau, parmi les
nombreuses autres variantes possibles, qui tait le plus appropri pour connecter un seul
poste de travail.

Maintenant, le but est de relier plusieurs PC
entre eux (de 2 10), par exemple, le vtre
ceux de la secrtaire et du comptable ; ou,
chez vous, entre votre bureau, la cave et la
cuisine (histoire de samuser). Les PC sont
distants de quelques mtres.

Il sagit donc de crer un rseau adapt ce
besoin. Par consquent, on utilisera des mat-
riels adapts aux rseaux dentreprise ( cha-
que problme sa solution).

Le rseau qui correspond notre situation est
appel rseau local (LAN, Local Area Net-
work). Pour le mettre en place, vous avez be-
soin :
dune srie de cbles qui relient les PC
entre eux ;
de cartes rseau qui permettent aux PC de
se raccorder ces cbles, denvoyer des
donnes et den recevoir ;
de logiciels de communication, tels quun
pilote pour les cartes rseau et une pile
TCP/IP. IP (Internet Protocol) est le
protocole qui permet aux ordinateurs
dchanger des donnes sous forme de
paquets, tandis que TCP gre les sessions
entre ces mmes ordinateurs.

On retrouve les mmes briques assembler que pour une connexion Internet. La carte r-
seau remplace ici le modem (RTC, ADSL ou cble) qui sert se connecter lInternet. Une
telle carte est conue pour le rseau local (LAN Local Area Network), tandis que le mo-
dem est utilis pour les rseaux longue distance (WAN Wide Area Network).
QUEST-CE QUUN RSEAU LOCAL ?
Un LAN (Local Area Network) est un rseau
dont la porte est limite de quelques mtres
plusieurs centaines de mtres. Cest le type
de rseau que lon peut installer chez soi,
dans des bureaux ou dans un immeuble. Un
LAN, comme tout rseau, repose sur un sup-
port de transmission : un cble (en cuivre ou
fibre optique) ou, plus rarement, les ondes ra-
dio.
Les rseaux locaux les plus rpandus sont
Ethernet (85 %) et Token-Ring (15 %). Il
existe plusieurs topologies pour un LAN :
En anneau. Les PC sont chans entre
eux, le premier tant connect au dernier,
afin de former lanneau.
En bus. Les PC sont connects un cble
qui parcourt tous les bureaux ou toutes les
pices de la maison.
En toile. Autour dun quipement spcifi-
que appel concentrateur (couramment
appel hub pour Ethernet et MAU pour To-
ken-Ring).
La topologie en toile est la plus courante,
tandis que le bus est le moyen le plus simple
pour construire un rseau Ethernet.
Construire son premier rseau local
CHAPITRE 1

5
5

Les choix de base
Quel rseau ?
Tout dabord, quel type de rseau retenir ? Ethernet (gestion des collisions sur un bus) ou
Token-Ring (gestion dun jeton sur un anneau) ?
Question performances, les deux se valent, mme si, dbit gal, il y a un lger avantage
utiliser Token-Ring. Cependant, Ethernet dtient plus de 85 % du march et a toujours t
techniquement en avance sur Token-Ring. Si lon doit crer soi-mme un rseau partir de
rien, autant se lancer dans Ethernet : cest plus simple et cela cote moins cher.
Si, dans une entreprise, Token-Ring est dj bien implant, on peut envisager de poursuivre
dans cette voie. Mais une migration vers Ethernet est toujours envisageable : tout nest
quune question de retour sur investissement.
Quelle topologie ?
Historiquement, le bus a t la premire topologie pour Ethernet : elle repose sur un cble
spcifique en cuivre, appel cble coaxial, qui parcourt tous les bureaux dans lesquels il y a
un PC connecter.
QUELLES DIFFRENCES ENTRE ETHERNET ET TOKEN RING ?
Le principe dEthernet repose sur un bus partag : chaque station met quand elle le souhaite mais, quand
deux stations mettent en mme temps, il se produit une collision matrialise par la somme des deux si-
gnaux vhiculant les deux trames. Dans ce cas, les missions sont stoppes et au bout dun laps de temps
alatoire, une autre tentative est faite.
Le principe de Token Ring repose sur un anneau : chaque station attend de disposer dun jeton (matriali-
s par une trame dun format particulier) avant dmettre une trame. Le jeton circule de station en station,
formant un anneau.
Le bus partag dtection de collision et lanneau jeton sont deux mthodes daccs un support de
transmission tel quun cble.
linverse du bus partag dont laccs est alatoire, la technique du jeton est dterministe : chaque sta-
tion parle tour de rle au bout dun laps de temps fixe qui dpend du nombre de stations (le temps pour le
jeton de faire le tour de lanneau). La bande passante est mieux exploite avec Token-Ring, ce qui le rend
plus performant.
Lavantage technique offert par le Token Ring nest pas utile aux rseaux locaux. De plus, il ncessite des
composants lectroniques plus complexes et donc plus chers fabriquer. En rsum, Ethernet est plus
simple, plus volutif et prsente le meilleur compromis cot/performances.

6
Tresse mtallique
me en cuivre
Dilectrique
Gaine de protection
Prise BNC femelle
Prise BNC en T
(avec un ergot)
Cble blanc ou
gris dit Ethernet
fin qui parcours
les bureaux
La carte rseau du
PC se connecte ici

Le cble est dit Ethernet fin par comparaison une autre variante dEthernet, de moins
en moins rpandue, qui utilise un cble plus pais de couleur jaune.
Aujourdhui, la topologie la plus rpandue est celle de ltoile qui consiste relier tous les
PC un quipement central appel concentrateur (hub, en anglais). Le cble est constitu de
quatre paires de fils de cuivre torsades et est termin par des connecteurs RJ45.

Prise RJ45
Paire torsade
Gaine protectrice (protection mcanique
et contre le feu, isolant lectrique)
Gaine en polythylne
Conducteur en cuivre
Cordon de raccordement
entre la carte rseau du
PC et le concentrateur
Concentrateur
8 ports RJ45 femelles

Il existe de nombreuses variantes de cbles de fils de cuivre en paires torsades selon lim-
pdance, le diamtre des fils et la nature des protections. Elles seront tudies au chapitre
suivant.
Figure 1-1.
Composant d'un rseau
Ethernet en bus.
Figure 1-2.
Composant
d'un rseau Ethernet
en toile.

CHAPITRE 1

7
7

Ethernet Bus toile
Cble cuivre Coaxial Paires torsades
Connecteurs BNC RJ45
Vitesse Limit 10 Mbit/s 10 Mbit/s et plus
Modification du rseau Difficile Trs facile
Remarque De moins en moins rpandu Ncessite un concentrateur Ethernet
Adapt aux Petits rseaux locaux Petits et grands rseaux locaux

En dfinitive, lEthernet en bus est la solution la plus conomique lorsque lon veut connec-
ter quelques PC qui sont regroups dans une seule pice. LEthernet en toile est plus cher
puisquil ncessite un concentrateur (de 75 300 en entre de gamme selon le nombre de
ports RJ45).
moins que vous ne disposiez de matriel de rcupration de type BNC, la topologie en
toile est conseille. En effet, elle vous permettra de faire voluer votre rseau tout en
conservant les cartes et le concentrateur.

Concentrateur
Au bout du bus, il
faut obligatoirement
un bouchon.
Certains concentrateurs disposent dun
port ou de plusieurs ports BNC permettant
de connecter les deux rseaux.

.

De quoi a-t-on besoin ?
De cartes rseau
Chaque PC a besoin dun quipement capable de parler Ethernet : cest le rle de la carte
rseau, dite carte Ethernet, et souvent appele NIC (Network Interface Card). Elle sinsre
dans un emplacement (slot) du PC qui lui est rserv.
Figure 1-3.
Rseau Ethernet
en toile et en bus

8
Il existe plusieurs types de cartes Ethernet qui
se distinguent par leur connecteur :
BNC pour lEthernet fin en bus ;
RJ45 pour lEthernet en toile ;
AUI pour lEthernet en bus ou en toile.
Certaines cartes proposent une combinaison de
deux de ces prises, voire les trois.
La prise AUI (Attachment Unit Interface)
permet de connecter un quipement appel
transceiver, qui ralise ladaptation au cble. Il
existe ainsi des transceivers de types BNC,
RJ45 et en fibre optique. Lacquisition de cette
carte (30 environ) peut tre envisage si vo-
tre rseau ncessite plusieurs types de cbles
(coaxial, en paire torsade, en fibre optique),
voire un support de transmission radio (trs
peu rpandu). Dans le cas de cartes RJ45 ou
BNC, le transceiver est intgr la carte.

femelle mle Carte rseau
femelle
mle
Port AUI
Prise BNC
Transceiver
AUI / BNC
Connecteur
BNC en T
Cble
Ethernet fin
Ergot
Cble spcial appel drop cble pour
relier la prise AUI de la carte et le
transceiver. Un cble plat 15 fils convient
galement (longueur < 15 cm).
Sil y a suffisamment despace, le
transceiver peut se connecter
directement la carte sans drop cable.

Si vous dmarrez avec un rseau en bus, il est conseill dacheter une carte quipe de deux
connecteurs, un BNC et un RJ45 (la diffrence de cot est minime). Cela vous permettra de
la rutiliser si vous changez de rseau.
Le cot dune carte dpend de ses performances, et notamment du bus :
entre de gamme avec bus PCI : de 40 90 HT ;
entre de gamme avec bus ISA (moins performante que PCI) : de 40 120 HT.
QUEST-CE QUUNE CARTE ETHERNET ?
Lordinateur traite les informations sous forme
numrique et sous forme de mots de 32 ou
64 bits (64 lments dinformations binaires
0 ou 1).
Une carte rseau Ethernet permet de convertir
ces informations en signaux lectriques qui
sont mis sur le cble. La manire de repr-
senter les bits dinformation en signaux
sappelle le codage. Pour Ethernet, il sagit du
codage Manchester.
La carte envoie ces bits par groupes, appels
trames Ethernet. La norme Ethernet spcifie
les couches 1 (physique : transmission des si-
gnaux par la carte rseau) et 2 (logique : for-
mat des trames Ethernet).
Figure 1-4.
Connectique AUI / BNC.
CHAPITRE 1

9
9
Dans le haut de gamme, les cartes performantes sont celles qui changent les donnes avec
lordinateur via un DMA (Direct Memory Access), composant lectronique spcialis.
Pour notre rseau, une carte dentre de gamme suffira. Les cartes haut de gamme sont plu-
tt destines aux serveurs.

Carte rseau
Port RJ45 femelle (le transceiver est intgr la carte)
Port AUI femelle
Port AUI mle
Port RJ45 femelle
Transceiver externe
Drop cble

De cordons de raccordement
Le cordon de raccordement (galement appel cordon de brassage) est ncessaire pour
connecter chaque carte rseau au concentrateur. Pour notre rseau, le plus simple est de po-
ser un cblage volant, cest--dire constitu uniquement de cordons de brassage. Dautres
types de cblages plus complexes et plus chers seront tudis au chapitre suivant, car
au-del de dix PC le cblage volant devient ingrable et source de problmes.
Le support de transmission que nous avons
choisi est un cble cuivre en paires torsades
dont chaque extrmit est pourvue dune
prise RJ45. Sa longueur ne doit pas excder
cent mtres, selon la qualit du cble et
lenvironnement lectrique. Pensez notam-
ment loigner vos cbles de toutes sources
de perturbations : appareils lectriques tels
que la cafetire, le ventilateur, laspirateur, le
moteur de lascenseur, le transformateur de
courant, etc.
Il existe de nombreux types de cbles. Toute-
fois, pour notre premier rseau, le choix na
gure dimportance. Prcisons simplement, et
sans entrer dans les dtails, quil est conseill
dacheter un cble UTP (Unshielded Twisted
Pair), 100 Ohms, catgorie 5. Cest le moins
cher, il rpond des normes prcises et il est
parfaitement adapt nos besoins.

Figure 1-5.
Connectique AUI / RJ45.
LES CBLES CUIVRE EN PAIRES TORSADES
Les cbles se diffrencient, avant tout, par
leur impdance, exprime en Ohms (). Les
valeurs rencontres pour les rseaux locaux
sont : 100, 120 et 150 Ohms. Plus
limpdance est leve, meilleure est la quali-
t du cble (le signal est moins affaibli), mais
plus son cot est lev. Le plus rpandu est le
100 Ohms.
Les cbles se diffrencient galement par la
prsence ou non de protection contre les per-
turbations mises par les courants lectriques.
Il existe des cbles sans protection, dits UTP
(Unshielded Twisted Pair), avec un cran, dits
FTP (Foilded Twisted Pair) et avec un blin-
dage, dits STP (Shielded Twisted Pair). Il
existe aussi la combinaison SFTP.
La prise la plus rpandue pour les cbles en
paires torsades est la RJ45 (Registered Jack
45), normalise ISO 8877.


10
Le cble utilis entre le PC et le concentrateur doit tre droit ; les fils mission et rception
ne doivent pas tre croiss. Le croisement est, en effet, ralis dans la prise RJ45 du concen-
trateur. Pour sen assurer, il suffit de mettre lun ct de lautre les deux connecteurs RJ45
du cble, orients dans le mme sens, et dexaminer la couleur des huit fils (gnralement, le
connecteur RJ45 est transparent). Si le cble est droit, les couleurs apparaissent dans cet or-
dre : bleu, orange, noir, rouge, vert, jaune, marron et gris. Ethernet utilise les fils numrots
1,2 (mission) et 3,6 (rception).
Si, en revanche, vous connectez deux PC directement (sans concentrateur), le cordon doit
tre crois (ce qui est logique).

Dun concentrateur
Le concentrateur est un appareil qui rgnre les signaux. En effet, le signal mis par la
carte Ethernet saffaiblit en parcourant le cble et, au-del de cent mtres, il peut devenir
trop faible. Cette distance correspond en fait au maximum autoris par la norme entre un PC
et le concentrateur. Un signal mis par un PC est rgnr sur tous les autres ports du
concentrateur (il joue le rle de rpteur).

Concentrateur
Carte rseau
Le signal mis par ce PC
(codage Manchester)
est retransmis sur tous les
autres ports du concentrateur
Cordon de brassage
RJ45/RJ45

.

Cela nous amne la remarque suivante : sil ny a que deux PC connecter, un concentra-
teur est inutile ; les deux cartes rseau peuvent tre relies directement via un cordon de
brassage nexcdant pas cent mtres. Un cble ne disposant que de deux extrmits (loi phy-
sique incontournable de notre univers), la connexion de trois PC ou plus passe obligatoire-
ment par un concentrateur
Figure 1-6.
Fonctionnement
d'un rseau Ethernet
en toile.
CHAPITRE 1

11
11
La plupart des concentrateurs sont dits in-
telligents . Cela signifie quils disposent de
mcanismes permettant de dtecter les er-
reurs (signal trop faible, collisions, etc.) et de
dsactiver le port par lequel ces erreurs ont
t dtectes afin de ne pas perturber les au-
tres ports (fonction de partitionnement).
Quel concentrateur choisir ? Dans notre cas,
un modle dentre de gamme est nettement
suffisant. Le critre de choix est alors le
nombre de ports RJ45, qui conditionne le
nombre de PC connecter : 4, 5, 6, 8, 12, 16,
24, 32 et 48 ports sont des valeurs couram-
ment proposes.
En dehors du nombre de ports, les concen-
trateurs se distinguent par diffrentes fonc-
tions.
Certains sont dits administrables ou man-
ageables). Cela signifie quils sont quips
dun logiciel SNMP (Simple Network Mana-
gement Protocol) qui permet de les adminis-
trer distance. Dans notre cas, cette fonction
nest pas indispensable, dautant plus que la
diffrence de prix peut atteindre 150 .
Dautres sont dits empilables (stackable) : ce-
la veut dire quils peuvent tre chans afin
daugmenter le nombre total de ports. Le
chanage est effectu laide dun bus sou-
vent matrialis par un cble externe spcifi-
que. Il nexiste aucune norme en la matire,
ce qui signifie que vous ne pouvez pas cha-
ner deux concentrateurs de marque diffrente
(un 3com avec un Dlink, par exemple).

Dans notre cas, cette fonction nest pas intressante, car il existe un autre moyen de chaner
les concentrateurs. Les concentrateurs sont, en effet, couramment quips dun port
uplink de type RJ45 et/ou AUI et/ou BNC (attention au choix !) qui permet de chaner
les concentrateurs.
QUEST CE QUUN SEGMENT ?

Un concentrateur Ethernet (hub) concentre les
connexions rseau des PC pour former un
segment Ethernet.
Au sein dun segment, toutes les trames mi-
ses par un PC sont transmises par
lintermdiaire dun hub tous les autres ports
(quun PC soit ou non connect). Cela signifie
que si deux PC mettent en mme temps, la
somme des deux signaux gnrs excdera
la limite permise par la norme, ce qui corres-
pondra une collision. Un segment dlimite
donc un domaine de collision.
QUEST CE QUE SNMP ?
Le protocole SNMP (Simple Network Mana-
gement Program) permet dinterroger, de
configurer et de surveiller distance un qui-
pement rseau. Un logiciel serveur, appel
agent SNMP, est implant dans lquipement
grer, par exemple un concentrateur. Cet
agent rpond aux requtes de clients situs
dans les stations dadministration.

12
Cordon de brassage
RJ45/RJ45 droit
Le port uplink du premier hub est connect
lun des ports banalis de lautre hub.
Concentrateur
Up
Concentrateur
Up
Le port uplink est simplement un port non crois. On pourrait
y connecter un PC laide dun cordon de brassage crois.
On pourrait aussi chaner les hubs via leurs
ports banaliss laide dun cble crois.

.
Le bus externe permet une pile de concentrateurs dtre vue comme tant un seul et unique
lment, ce qui peut tre utile pour ladministration distance via SNMP.
Les stackables offrent galement dautres fonctions, telles que la segmentation port par port
ou par groupes de ports. Un rseau Ethernet est constitu dun segment matrialis par le c-
ble du bus ou le concentrateur de ltoile. Un concentrateur segmentable permet de crer
plusieurs segments Ethernet indpendants : un logiciel interne permet daffecter un port
(parfois cette action nest possible que par groupes de 4 ou 8 ports) au segment Ethernet 0,
et lautre au segment Ethernet 1. Aucun trafic ne passe entre les deux rseaux ; les PC situs
sur des segments diffrents ne peuvent donc pas communiquer entre eux.
Lintrt de la segmentation est de crer des rseaux protgs (un pour la comptabilit s-
par des autres, par exemple) ou de pallier un problme de charge : sil y a trop de trafic sur
un segment, il est possible de segmenter le rseau en rpartissant les PC de part et dautre en
fonction de leur besoin de communication.

Fonctionnalit Description Intrt
Cot pour 8 ports
en HT
Intelligent

Partitionnement des ports

Limite la porte dun problme

De 75 150

Administrable

Gestion distance via SNMP

Intressant pour les grands r-
seaux
De 150 300

Empilable
(+ administrable)
Chanage via un bus propri-
taire
Trait comme tant un seul hub
administrable
De 300 460

Autres fonctions justifiant les diffrences de prix
Port uplink

Chanage via un port ddi

Augmentation du nombre de
ports
30

Segmentation

Rpartition de la charge sur plu-
sieurs segments
Souplesse dvolution

150

Un ou deux slots dextension Ajout de ports en fibres ou autre Souplesse dvolution 150

Figure 1-7.
Chanage des concentrateurs.
CHAPITRE 1

13
13
Pour notre premier rseau, un concentrateur dpourvu de fonction spcifique (cest--dire
non empilable, non administrable, sans segmentation, etc.) convient parfaitement. Il couvre
tout fait les besoins dun particulier, dune association, dun cabinet de profession librale,
etc., cest--dire tous les cas o vous tes certain que le nombre de PC ne dpassera jamais
3, 16 ou 32 postes. Il suffit dacheter le hub qui offre la bonne modularit.
De logiciels de communication
Tout rseau ncessite du matriel et des logiciels, linstar dune connexion lInternet qui
requiert un driver (pour piloter la carte rseau), une pile TCP/IP et au moins un navigateur.
Le pilote est fourni par le constructeur de la carte. Cependant, si ce dernier a pass des ac-
cords avec Microsoft, il sera fourni en standard avec Windows. Cest le cas, par exemple,
des cartes 3com, Dlink, HP, etc.
La pile TCP/IP est la mme que celle utilise avec lInternet. En effet, nimporte quel type
de carte peut tre utilis avec diffrentes piles TCP/IP du march (celles de Windows
Netmanage de FTP software WRQ, etc.). Cela est rendu possible grce une inter-
face daccs standardise sous Windows, appele NDIS (Network Driver Interface Specifi-
cation).
Par exemple, lors de linstallation de laccs distant, Windows a install un driver NDIS
pour votre modem driver fourni par le constructeur ou livr en standard avec Win-
dows qui dispose dune interface NDIS. Vous pouvez le vrifier en allant dans le menu
DmarrerParamtresPanneau de configurationRseau qui affiche lcran suivant
(Windows 95).


14
Ainsi, TCP/IP utilise-t-il les mmes commandes NDIS, quel que soit le priphrique pilo-
ter (une carte rseau, un modem, etc.), grce un driver propre chaque matriel mais qui
respecte la mme interface logicielle.

Au-dessus de TCP/IP, on retrouve des applications diverses, comme notre navigateur Inter-
net qui pourra tre utilis sur notre rseau local, que lon appellera alors intranet. Dautres
applications sont possibles en local, commencer par le partage des fichiers et limpression.
Dans lenvironnement Windows, cela est ralis par un protocole appel Netbios (Network
Basic Input Ouput System) qui fonctionne au-dessus de TCP/IP. On ne retrouve pas Netbios
sur lInternet. En effet, dune part il est spcifique Microsoft, dautre part il nest pas adap-
LE POINT SUR LES DRIVERS
Le pilotage de chaque carte varie dun constructeur lautre. Il nexiste pas, comme cest le cas des PC, de
standard relatif la compatibilit matrielle des cartes (il ny a pas d Intel Inside !). Pour cette raison,
chaque carte ncessite un pilote adapt.
un moment ou un autre, il faut quand mme respecter un standard pour que la mme pile TCP/IP
puisse dialoguer avec nimporte quel pilote. La standardisation est ralise au niveau de linterface daccs
au pilote : la couche TCP/IP donne ainsi des ordres au pilote (du type envoie une trame ) via une inter-
face unique.
Dans le monde des PC, ces interfaces sont appeles NDIS (Network Driver Interface Specification) par
Microsoft et ODI (Open Data-link Interface) par Novell. Ces deux standards tant bien sr incompatibles, les
cartes sont donc livres avec deux versions du mme driver : lun avec une interface NDIS, lautre avec une
interface ODI .
ODI NDIS
Pilote
(driver)
TCP/IP
Carte rseau
Carte 3Com
3c509
3c509.sys
NDIS
TCPIP.SYS
Lapplication un PC Windows
quip dune carte 3Com.
Le principe
Interruption
matrielle
Interruption
logicielle
Rception
des donnes
Les ports dentres-sorties
permettent de piloter la carte.

Une fois linterface daccs au pilote standardise, nimporte quel logiciel rseau peut tre implant. Le prin-
cipe consiste ouvrir un lien au moyen dinterruptions logicielles, de mmoires partages, de descripteurs
de tampons, etc. Lopration sappelle bind (liaison), et le lien un SAP (Service Access Point).
CHAPITRE 1

15
15
t ce type de rseau. Netbios est avant tout conu pour le rseau local et devra tre install
sur le PC en mme temps que TCP/IP.

Comment faire fonctionner tout cela ?
Maintenant que vous avez achet les cartes rseau (une par PC connecter), un concentra-
teur (ou plusieurs !) ainsi que les cbles, il ne reste plus qu assembler tout cela.

Installer les cartes rseau et les drivers
La premire chose faire est dinstaller les cartes sur chaque PC. La procdure est standard,
mais certaines subtilits telles que le positionnement de cavaliers (jumpers) ou de com-
mutateurs (switches) sont prendre en compte. Gnralement, il ny a rien configurer
avec Windows 9.x ; ce dernier reconnat automatiquement la carte et la configure avec les
bons paramtres. La documentation livre avec la carte indique la procdure suivre.

Bus PCI ou ISA

Ltape suivante consiste installer le driver de la carte.
Si celle-ci nest pas dtecte par la fonction Plug and Play de Windows, vous pouvez lancer
la procdure en cliquant sur le menu DmarrerParamtresPanneau de configura-
tionRseau . Vous obtenez alors lcran prsent la figure 1-9 (quasi identique sous
Windows NT et Windows 9x).
Figure 1-8.
Insertion d'une carte rseau dans un PC.

16

Le programme propose de choisir le driver dans une liste. Sil ny figure pas, cliquez sur
Disquette fournie . Cliquez ensuite sur OK .
Selon les cartes, une bote de dialogue vous demande de spcifier la valeur de certains para-
mtres.

.

Ces paramtres concernent :
les interruptions matrielles, appeles IRQ (Interruption Request), utilises par la carte
pour avertir le driver quune trame vient darriver, par exemple ;
les ports dentre-sortie (I/O port, Input Output) qui correspondent des registres (m-
moire partage par la carte et le PC) permettant au driver denvoyer des commandes la
carte (envoyer une trame, par exemple) ;
le port DMA (Direct Memory Access) si la carte utilise ce mode.
CHAPITRE 1

17
17
La documentation vous indique la marche suivre. Gnralement, les valeurs par dfaut
conviennent. Elles doivent tre modifies seulement si vous possdez dautres cartes qui uti-
lisent les mmes IRQ et/ou ports I/O.
Cliquez sur OK pour terminer lopration. Le PC affiche alors une srie dcrans et vous
demande de rinitialiser lordinateur.

Configurer les adresses IP
la diffrence de la connexion Internet, il nexiste pas dISP pour attribuer automatique-
ment des adresses IP. prsent, vous tes chez vous, sur votre rseau, et vous tes seul ma-
tre bord.
Il faut donc affecter vous-mme une adresse IP chaque poste de travail afin quil puisse
tre identifi de manire unique.

Pour reprendre lanalogie avec les adresses postales, une adresse IP est compose dun nu-
mro de rseau (le nom dune rue) et dun numro de station au sein de ce rseau (le numro
de votre maison).
Par convention, ladresse IP scrit avec quatre numros, de 1 255, spars par des points,
par exemple 192.162.0.1. Une partie de cette adresse dsigne un rseau, lautre le numro de
QUOI SERT LADRESSAGE ?
Comme pour le courrier postal, ladresse permet dacheminer les trames Ethernet et les paquets IP.
Les rseaux Ethernet utilisent un adressage plat : les cartes rseau sont identifies par une adresse uni-
que, ladresse MAC (de niveau 2).
Le protocole IP utilise, quant lui, un adressage hirarchique (de niveau 3) structur en un numro de
rseau et un numro de station au sein de ce rseau (32 bits en tout). Ladresse IP est indpendante de
ladresse MAC : un segment Ethernet peut comprendre plusieurs rseaux IP, et inversement.
Aussi bien au niveau MAC que IP, il existe trois types dadresses :
ladresse unicast qui est affecte une station ;
ladresse multicast qui dsigne un groupe de stations ;
ladresse de broadcast qui dsigne toutes les stations sur un rseau.
Une station est configure avec une adresse MAC (celle de la carte rseau) et une adresse IP (celle de la
pile IP). Des mcanismes spcifiques permettent de raliser automatiquement la correspondance entre les
deux types dadresses.
Chaque trame Ethernet contient ladresse MAC de lmetteur et celle du destinataire. De mme, chaque
paquet contient les adresses IP de lmetteur et du destinataire, ce qui permet de les acheminer indpen-
damment les uns des autres.

18
station au sein de ce rseau. Le protocole IP utilise un masque pour distinguer les deux par-
ties. Dans cet exemple, il sera gal 255.255.255.0, indiquant que les trois premiers chiffres
de ladresse dsignent le numro de rseau, et le dernier celui de la station.

Dans notre cas, il faut sarranger pour configurer toutes nos stations dans le mme rseau lo-
gique IP. Nous choisirons donc le rseau 192.168.0 et affecterons nos PC les numros
compris entre 1 et 254, ce qui donne une plage dadresses comprise entre 192.168.0.1 et
192.168.0.254.

Sur chaque PC (Windows 9.x), il faut donc aller dans le menu DmarrerPanneau de
configurationRseau pour configurer ces adresses. Vous obtenez alors lcran illustr
sur la figure ci-aprs.

La pile IP a t lie la carte
rseau DEC (opration bind).
Lors de la connexion Internet, cest
lISP qui grait ladressage IP.
Maintenant, cest vous de
les affecter. Le plus simple
est de la faire manuellement.
Station n1 dans le
rseau IP 192.168.0.

Pour linstant nous navons pas besoin den savoir plus, car nous avons cr un petit rseau.
Le chapitre 5 prsente, dans le dtail, tous les mcanismes de ladressage.

CHAPITRE 1

19
19
Installer les concentrateurs et y raccorder les PC
Linstallation des concentrateurs est simple, puisquil ny a aucun paramtre configurer, ni
logiciel installer. Il suffit de les brancher sur une prise lectrique et dappuyer sur
linterrupteur. Si rien ne se produit, le matriel est en panne .
Quelques prcautions doivent cependant tre prises :
Utilisez une prise lectrique protge par un disjoncteur ddi aux quipements infor-
matiques afin dviter tout parasite provenant dun autre appareil lectrique (cafetire,
aspirateur, etc.).
Placez le concentrateur en hauteur, dans un endroit ar et loign de toute source lec-
trique importante (moteur dascenseur, encore la cafetire, etc.).
Sil est administrable, le concentrateur pourra tre configur ultrieurement pour des fonc-
tions spcifiques lies ladministration SNMP et la cration de segments.
La connexion des PC est galement simple : il suffit de raccorder un cordon de brassage au
PC et de choisir, au hasard, un des ports du concentrateur.

Adressage IP :
Adresses = 192.168.0.3
Masque = 255.255.255.0
Concentrateur
Driver
Pile IP
192.168.0.1
192.168.0.2
192.168.0.3

.

Comme vous le voyez, ce type dinstallation convient un faible nombre de PC, de prf-
rence regroups dans un bureau. Rapidement, il devient ncessaire dorganiser le cblage et
la mise en place des concentrateurs dune autre manire. Cest ce que nous allons voir au
chapitre suivant.

Figure 1-9.
Un rseau local
Ethernet simple.
2
Mettre en place
un systme de cblage

Le cblage volant, tel quil a t install pour notre petit rseau lors du chapitre prcdent,
ne peut pas tre gnralis grande chelle. En effet, au del de dix postes, il devient rapi-
dement source de problmes : pos mme le sol, il est encombrant, voire gnant (on se
prend les pied dedans). Il est de ce fait soumis une usure plus rapide.

Une premire amlioration consiste le faire circuler dans des parties protges de
limmeuble : on peut le poser sous un faux plafond ou sous un faux plancher ou encore le
faire passer dans une goulotte le long des murs.

Mais, chaque nouvelle connexion ou chaque dmnagement de PC, il faut dplacer le
cble et trouver un nouveau cheminement, ce qui prsente des inconvnients majeurs :
Cette opration est extrmement difficile, voire impossible si la longueur des cbles est
de plusieurs dizaines de mtres.
Le problme dusure demeure lorsque les cbles sont dplacs.
Le cheminement des cbles est difficile matriser : on arrive invitablement des si-
tuations dans lesquelles les cbles informatiques sentrecroisent avec les cbles lectri-
ques qui sont sources de perturbations importantes. Le rseau peut ne plus fonctionner
cause de cela.

Il est donc impratif de mettre en place un systme de cblage permanent (fixe et stable dans
le temps) et volutif (qui sadapte tous les besoins prsents et futurs). Pour cela, il convient
de respecter un certain nombre de rgles.
UTP/STP, Catgorie 5/6/7, Fibre optique, RJ45, SC

22
Quelle est la dmarche suivre ?
Le cblage dun immeuble requiert un certain nombre dtapes importantes et tales dans le
temps :
Si limmeuble existe, un audit pralable est ncessaire afin de reprer les locaux, les
sources de courants forts, les cbles existants, les cheminements possibles des futurs
cbles, etc.
La phase dtude et dexpression des besoins, gnralement appele APS (avant-projet
sommaire), a pour but de dterminer les spcifications fonctionnelles de linfrastructure
(locaux, gaines techniques) et du systme de cblage (cuivre, fibre optique, connecti-
que).
Pour les grandes ralisations, lAPS nest que lbauche de plusieurs scnarios. LAPD
(avant-projet dtaill) permet alors de choisir la solution en fonction de critres techni-
ques organisationnels et conomiques.
Le dossier de consultation (le cahier des charges) peut tre form de trois documents
principaux : le CCTP (cahier des clauses techniques particulires), puis ventuellement
le CCTG (cahier des clauses techniques gnrales) et, si vous travaillez avec
ladministration franaise, le CCAP (cahier des clauses administratives particulires).
Cette phase se termine par la slection dune entreprise de cblage.
La phase de suivi de chantier ncessite un contrle rgulier et des runions de coordi-
nation.
La phase de rception (recette) consiste tester et valider les travaux effectus.
La premire tche est avant tout de reprer les lieux, ou de se contenter dexaminer les plans
si limmeuble nexiste pas encore.
Dans les deux cas, lobjectif est de mettre en place un cblage systmatique, cest--dire
dquiper entirement limmeuble. Si seuls quelques tages sont concerns, la dmarche est
plus ou moins la mme.
Il ne sagit donc pas de savoir o sera situ tel ou tel utilisateur, mais dinstaller des prises
partout dans le but de connecter nimporte qui nimporte quelle prise pour nimporte quel
type dapplication. On parlera alors dun prcblage multimdia ou VDI (voix, donnes,
image).
Lavant-projet
Lors dune opration de prcblage, il est important de systmatiser limplantation des pri-
ses dans tout limmeuble. Une fois le chantier achev, tout amnagement complmentaire
sera plus dlicat, plus long et plus coteux. Le chantier de cblage est loccasion unique de
raliser une fois pour toute une infrastructure sans avoir y revenir avant dix ou quinze ans.
La densit communment admise est denviron un botier VDI pour 7 10 m
2
de bureaux,
un botier pouvant regrouper de deux quatre prises. Cette densit peut tre plus leve pour
certaines applications spcifiques comme les salles de march : on peut trouver jusqu dix
prises par position (occupant 3 m
2
environ).
Mettre en place un systme de cblage
CHAPITRE 2

23
On peut prendre comme repre une trave dlimite par une largeur de fentre. Selon les be-
soins, on pourra installer un botier VDI de deux quatre prises par traves. Gnralement,
il faut une prise pour le poste de travail informatique, une autre pour le tlphone, et une
troisime pour un besoin particulier (une ligne tlphonique directe, une imprimante en r-
seau, etc.).

Il est important de noter que le botier VDI doit se trouver proximit dun bloc de prises
lectriques : cela parat une vidence, mais il faut penser se coordonner avec lentreprise
qui ralise les travaux courants forts.

Les locaux concerns sont non seulement les bureaux, mais aussi les locaux collectifs : local
photocopieur, caftria (on y pose souvent des bornes dinformation), salles de runions,
salles de confrences, halls dentre (pour les bureaux daccueil, les locaux des gardiens,
etc.).

En outre, il faut aussi prvoir le cblage pour la GTB (gestion technique du btiment), bien
que celui-ci soit souvent ralis par une entreprise spcialise avec laquelle il faudra de
toute faon se coordonner. La GTB regroupe des besoins comme la dtection incendie, les
alarmes, la scurit daccs aux locaux, la surveillance, etc.

De mme, il y a toute une srie dquipements annexes qui peuvent requrir lemploi dune
prise :
les tlphones dascenseurs ;
les lignes directes (celles qui ne passent pas par le PABX) ;
les bornes de rseau sans fil et de tlphonie sans fil (DECT) ;
les badgeuses ou pointeuses ;
etc.
Une fois limplantation des prises dfinie, il faut prvoir de la place pour le cheminement
des cbles et la cration des locaux techniques. Le principe retenu est quasi systmatique-
ment une topologie en toile : les cbles relient les prises VDI dautres prises en local
technique. Les diffrentes normes dfinissent une longueur maximale de quatre-vingt-
dix mtres pour les cbles en cuivre.

De ce fait, il faut prvoir plusieurs locaux techniques au sein de limmeuble et donc des c-
bles pour les relier entre eux. Plusieurs facteurs dterminent le nombre et la position des lo-
caux techniques :
La distance maximale qui est de quatre-vingt-dix mtres.
La densit des prises : on admet quun local peut centraliser jusqu 250-350 prises ; au-
del, son exploitation devient complexe (trop de cbles, trop grande concentration
dquipements).
Larchitecture des rseaux informatiques et tlphoniques : de nos jours, ils reposent sur
une topologie en toile avec des quipements installs chaque tage et dautres qui ont
une fonction fdratrice.

24
Larchitecture dun systme de cblage suit donc celle des rseaux : on dfinit ainsi deux ni-
veaux de locaux techniques :
Les LTE (locaux techniques dtages) qui concentrent les prises VDI et accueillent les
quipements de communication de distribution (concentrateurs, commutateurs, etc.).
Les LN (locaux nodaux) qui sont relis tous les locaux techniques et accueillent les
quipements de communication fdrateurs (PABX, commutateurs fdrateurs, rou-
teurs, etc.).
Un troisime niveau de concentration est parfois ncessaire dans le cas o les distances sur
un tage excdent quatre-vingt-dix mtres. On peut alors trouver la dnomination de LTR
(local technique rapproch) ou de LTP (local technique de proximit). Ce type
darchitecture nest cependant pas conseill, car trop complexe et mal adapt aux architectu-
res rseaux.
Tous ces locaux sont autant despaces prlevs sur la superficie utile de limmeuble. Prpa-
rez-vous donc quelques ngociations avec larchitecte (si limmeuble est construire) ou
avec le responsable des services gnraux (sil existe dj). Le tableau suivant donne une
ide de la surface rserver ces locaux techniques.

Local Superficie moyenne
Local technique dtage 6 m
2
(3 m x 2 m)
Local nodal 24 m
2
(6 m x 4 m)
Local nergie 8 m
2
(4 m x 2 m)
Local oprateur 9 m
2
(3 m x 3 m)

Salle informatique 28 m
2
(7 m x 4 m)

Bien entendu, ces superficies doivent tre ajustes en fonction du nombre de prises cbler.
LINFRASTRUCTURE NCESSAIRE UN SYSTME DE CBLAGE
Au sein dun immeuble, de lespace doit tre rserv pour accueillir le systme de cblage. Il sagit essen-
tiellement de locaux techniques et de cheminements utiliss pour relier les locaux entre eux.
Les cbles qui relient les prises VDI aux locaux techniques sont appels cbles de distribution. Ceux qui
relient les locaux techniques entre eux sont appels cbles de rocade.
Dans les zones de circulation (couloirs, halls dentre, etc.), les cbles sont installs dans des chemins de
cbles mtalliques qui servent de support et offrent une protection mcanique et lectromagntique. Dans
les bureaux, ces mmes cbles sont installs dans des goulottes ou des tubes noys dans le bton.
Les cbles de distribution sont gnralement horizontaux et cheminent sous les faux plafonds et/ou sous
les faux planchers. Ces derniers ont une fonction essentiellement esthtique et sont constitus de dalles
amovibles destines en faciliter laccs.
Les rocades sont verticales ou horizontales, et cheminent sous les faux plafonds, les faux planchers et dans
les gaines techniques (conduits rservs aux cbles et tuyaux de toute nature).
CHAPITRE 2

25

Figure 2-1.
Gaines et locaux techniques
pour un systme de cblage.

LTE Des connexions (chanes de liaisons)
peuvent tre cres entre LTE et LN en
empruntant des cheminements diffrents.
LTE
LTE
LTE
LN LN
Une gaine technique ou
deux pour la redondance.
Un local nodal ou deux
pour la redondance.
LES DIFFRENTS TYPES DE LOCAUX TECHNIQUES

Les LTE (locaux techniques dtages) accueillent une deux baies de cblage (distribution dtage et
rocades) ainsi quune deux baies de communication (quipements de distribution des rseaux tlphoni-
que et informatique). Gnralement, un ou deux LTE par tage sont suffisants. Pour des raisons de simpli-
cit, il faut sarranger pour que les LTE soient tous laplomb les uns des autres.
Le LN (local nodal) accueille les baies de cblage (distribution des serveurs et rocades) ainsi que les
baies de communication (quipements centraux pour les rseaux tlphonique et informatique). Gnrale-
ment, il y a deux locaux nodaux dans le btiment afin doffrir une redondance pour le cheminement des c-
bles. Chaque LTE peut ainsi tre reli aux LN via deux chemins de cbles diffrents. Il en est de mme en-
tre deux LTE dun mme tage.
Il est gnralement souhaitable de crer un LO (local oprateur) rserv aux arrives tlcom des opra-
teurs afin dassurer une sparation claire des responsabilits entre lui et le client. Deux LO sont prfrables,
car la plupart des oprateurs peuvent offrir deux accs physiquement spars et redondants. Ils doivent
jouxter le ou les LN qui hbergent les quipements de communication du client (routeurs, par exemple).
Il faut aussi prvoir un LE (local nergie) pour accueillir lalimentation du PABX (armoire 48v et batteries)
ainsi quun rgulateur de courant/onduleur. Il doit jouxter un local nodal. L encore, deux locaux nergie
offrent un bon niveau de redondance renforc par deux accs EDF physiquement diffrents.
Une SI (salle informatique) accueille une deux baies de cblage (distribution) ainsi que des serveurs
informatiques. Elle doit de prfrence tre ddie afin de mieux contrler laccs aux locaux et de sparer
les responsabilits entre les quipes systme et rseau. De la mme manire, deux salles informatiques
permettent de limiter les dgts en cas de sinistre, et de rpartir les serveurs en cluster.
Pour les petits sites, il est plus conomique et plus simple de regrouper les fonctions de LN, LO et SI au
sein dun mme local.

26

Ensuite, il faut valuer la puissance lectrique consomme par les quipements informati-
ques. On pourra mme prvoir des disjoncteurs spars, un par baie ou pour un groupe
dquipements.
Il faut enfin prvoir une climatisation dans chaque local technique, et donc valuer la dissi-
pation calorifique des quipements (exprime en Watts ou en BTU British Thermal Unit).
Ces valeurs sont donnes par les constructeurs de tout quipement informatique.
Tous ces besoins seront regroups dans un document appel APS (avant-projet sommaire) et
communiqus aux corps dtat concerns (architecte, lectricien, socit de climatisation,
etc.).
Ltude dingnierie
La phase dexpression des besoins est suivie dune tude permettant darrter un certain
nombre de choix importants :
Quel type de cble utiliser ?
Quel type de prise choisir en bureau ? En local technique ?
O faire passer les cbles ? Comment placer les prises ?
O positionner les locaux techniques ? Comment les amnager ?

Quel type de cble ?
ternel dbat que celui du choix des cbles, chaque constructeur ayant des arguments en fa-
veur de son produit. De nombreuses combinaisons techniques viennent compliquer le choix.
Pour rsoudre ce dilemme, un certain nombre de questions sont se poser, et dans le bon
ordre.
LES COMPOSANTS DUN SYSTME DE CBLAGE
Les parties visibles dun systme de cblage sont les prises utilisateur, galement appeles prises VDI
(voix, donnes, images), installes dans les bureaux. Elles sont regroupes par blocs de 2 4, appels
botiers VDI. Une densit courante est dun bloc VDI pour 7 10 m
2
de bureau.
Les prises utilisateur sont relies en toile un local technique par lintermdiaire dun cble (en cuivre ou
en fibre optique). Le local technique concentre 100 350 cbles de distribution, chacun se terminant par
une prise identique celle installe du ct utilisateur. Ces prises de distribution sont regroupes dans
des panneaux de brassage fixs dans des baies.
Les prises sont relies aux quipements informatiques et tlphoniques par lintermdiaire de cordons de
brassage de mme nature que les cbles.
Les prises, cbles, cordons et panneaux de brassage doivent tous tre issus du mme constructeur afin de
bnficier de sa garantie (gnralement dix quinze ans).
CHAPITRE 2

27
Cuivre ou fibre optique ?
Les rseaux Ethernet fonctionnent sur cuivre 10 Mbit/s et 1 Gigabit. Lavantage de la fi-
bre optique est quelle permet de saffranchir des contraintes de distance (plusieurs centai-
nes de mtres au minimum contre quatre-vingt-dix mtres pour le cuivre). Cela tient
lattnuation du signal, beaucoup plus important sur un cble en cuivre.
En revanche, le cot global dun systme de cblage en fibre optique est plus lev que
lquivalent en cuivre. En effet, lingnierie ncessaire pour poser des cbles optiques (rac-
cordement des connecteurs et tests) est plus complexe et plus coteuse quavec des cbles
en cuivre. De plus, les composants tels que les connecteurs SC et les tiroirs optiques sont
galement beaucoup plus chers que les prises RJ45 et les panneaux de brassage.
titre dindication, un systme de cblage en fibre optique cote en moyenne 60 % plus
cher que lquivalent en cble de cuivre SFTP catgorie 5E.
Il faut ajouter cela le cot des quipements actifs (les commutateurs et cartes Ethernet),
deux fois plus chers en version fibre optique, et pour une densit de ports deux fois moins
leve que leur quivalent en cuivre.
En conclusion, le cble cuivre sera privilgi pour la distribution, et la fibre optique pour la
connexion entre les locaux techniques. Cette rpartition des rles offre, en outre, plus de
souplesse pour positionner les LTE qui doivent tre moins de quatre-vingt-dix mtres de
toutes les prises quils irriguent.

Figure 2-2.
Architecture
de cblage type.

Rocades inter LTE
en fibre et en cuivre
LTE
LN LN
Rocade inter LN en fibre
Un local nodal ou deux
pour la redondance.
LTE LTE
LTE
Distribution
en cuivre
Une ou plusieurs SI
spares ou non des LN
SI
Cbles en fibre et
en cuivre vers la SI

28
Pour ajouter plus de scurit, on peut envisager de doubler les liaisons entre les LTE dun
mme tage ainsi quentre les LN, chacune dentre elles passant alors par deux gaines tech-
niques diffrentes.
Attention, cependant, les installations tlphoniques classiques requirent encore des
connexions en cuivre entre les postes et le PABX central. Les contraintes de distance tant
moins fortes (quelques centaines de mtres), il faut donc envisager du cble en cuivre, dit
multipaire, entre les LTE et les locaux nodaux.
De nos jours, on privilgiera une architecture tlphonique identique celle du rseau local
avec des units dportes dans chaque tage (de type Voice Hub, tels que proposs par Al-
catel) et raccordes en fibre optique un petit PABX central. Si vous optez pour cette solu-
tion, vous navez plus besoin de cbles multipaires entre le local nodal et les LTE.
Coaxial ou paires torsades ?
Nous lavons vu au chapitre prcdent, le cble coaxial (50 et 75 Ohms) nest plus utilis
pour les rseaux locaux. Il pourra cependant tre pos pour les besoins spcifiques de la vi-
do (voir plus loin).
En revanche, la paire torsade est le standard pour linformatique et la tlphonie ; elle peut
galement tre utilise pour la distribution vido. Tous ces quipements (concentrateurs,
commutateurs, PABX, etc.) sont, en effet, quips de prises RJ45.
Le choix de la paire torsade en distribution
Quelle impdance : 100, 120 ou 150 Ohms ?
Le 150 Ohms nest quun artefact des rseaux Token-Ring IBM qui ne sest jamais impos
car trop coteux. Le 120 Ohms se voulait un compromis entre cot et performances entre le
100 et le 150 Ohms, mais ne sest impos quen France. Le 100 Ohms est le plus rpandu,
car il est moins cher et est soutenu par les Amricains, ATT en tte.
De plus, tous les quipements informatiques sont amricains et donc pourvus de connecteurs
RJ45 de 100 Ohms. Cependant, un cble 120 Ohms peut y tre connect sans problme,
laffaiblissement, rsultant de ladaptation dimpdance, tant largement compens par les
meilleures performances du cble 120 Ohms.
En conclusion, les 100 et 120 Ohms conviennent tous deux, avec un avantage pour le pre-
mier qui est meilleur march.
crant ou non ? Blind ou non ?
Tout cble informatique vhiculant un courant alternatif, dit courant faible, gnre un champ
lectromagntique. Inversement, toute source lectrique (cble, moteur dascenseur, non
ballast lectromagntique, etc.) vhiculant un courant alternatif, dit courant fort, gnre un
champ lectromagntique pouvant perturber les cbles informatiques.
La premire protection consiste torsader les paires, de manire balancer les signaux lec-
triques. Une protection supplmentaire peut tre offerte soit par un cran consistant en une
CHAPITRE 2

29
feuille daluminium entourant toutes les paires ou chaque paire, soit par un blindage consis-
tant en une tresse mtallique, soit par les deux (blindage collectif et cran par paire).

Il faut cependant noter que, dune part les techniques de codage utilises par le Fast Ethernet
et le Gigabit rendent ces protocoles plus rsistants aux perturbations, et dautre part que la
qualit des torsades confre aux cbles des performances conformes aux catgories 6 et 7.
Ces deux lments militent en faveur de lUTP, cble non crant et non blind, qui revient
lgrement moins cher que les versions blindes.

Indiquons cependant que le cot du cble ne reprsente quune faible part (environ 20 %) du
cot total dun chantier de cblage, la plus grosse part tant celle de la main duvre pour la
pose. Mais, les cbles crants et/ou blinds ncessitent la mise en place dune terre infor-
matique qui grve le budget de petites ralisations.

En conclusion, le cble UTP convient pour des ralisations de petite et grande taille ; le c-
ble STP (avec un cran collectif) est conseill pour btir un rseau volutif vers les hauts
dbits, au-del du Gigabit ; et le SFTP (avec un cran par paire et un blindage collectif) of-
fre une garantie supplmentaire, mais non ncessaire, si vous disposez du budget requis.

Catgories 5, 6 ou 7 ?

Actuellement, la catgorie 5 (100 MHz de frquence maximale) est la plus rpandue et sup-
porte le Gigabit Ethernet sur ses quatre paires (250 Mbit/s par paire). La catgorie 6 permet
de doubler le dbit (250 MHz) et sa normalisation est stable. En revanche, le cble catgorie
7 na toujours pas de connecteur normalis.

Cble Caractristiques tat de la norme
Cat 5 / Classe D 100 MHz, RJ45,
10bT, 100bT
et Gigabit si test TSB-95
TIA/EIA-568-A
Ratifi en octobre 1995
Cat 5E 100 MHz, RJ45
jusqu 1 Gbit/s
TIA/EIA-568-B
Ratifi en mai 2001
Cat 6 / Classe E 250 MHz, RJ45
jusqu 2,5 Gbit/s au moins
TIA/EIA-568-B.2-1
Ratifi en juin 2002
Cat 7 / Classe F 600 MHz, prise non dfinie
jusqu 10 Gbit/s
Spcifications en cours

En conclusion, le cblage catgorie 5, actuellement le plus rpandu, supporte le 100bT et
mme le Gigabit condition quil soit test selon de nouveaux critres (norme TSB-95), tels
que la paradiaphonie cumule. Pour de nouvelles installations, on prfrera cependant les
cbles certifis catgorie 6 supportant dentre de jeu le Gigabit.


30

LE POINT SUR LA PAIRE TORSADE (TIA/EIA-568 ET EN50173)
Ce type de cble en cuivre comporte huit fils apparis par deux. Les deux fils de chaque paire sont torsads
selon un pas de torsade prcis, de mme que les quatre paires au sein du cble. Le but de cet arrange-
ment est de limiter les interfrences produites par chaque fil sur les autres.
Paire torsade
Conducteur en cuivre
Gaine en polythylne
Gaine protectrice (protection mcanique et
contre le feu, isolant lectrique)

La qualit dun cble cuivre dpend bien sr de la qualit du matriau, mais aussi des lments suivants :
du diamtre des fils, exprim en AWG (American Wire Gauge) :
22 AWG = 0,63 mm ; 24 AWG = 0,5 mm (le plus courant) ; 26 AWG = 0,4 mm ;
de limpdance caractristique, exprime en Ohm, qui reprsente la rsistance du cble, le 100 tant
la plus courante (les 120 et 150 peuvent encore tre rencontrs) ;
de la manire de torsader les fils dune paire et les paires entres elles ;
de sa protection contre les champs lectromagntiques : sans protection (UTP, Unshielded Twisted
Pair) autre que celle offerte par la torsade, avec un cran collectif (FTP, Foilded Twisted Pair) consis-
tant en une feuille daluminium entourant les paires, avec un blindage collectif (STP, Shielded Twisted
Pair) consistant en une tresse mtallique entourant les paires, ou avec les deux (SFTP, Shielded &
Foilded Twisted Pair) consistant en un blindage collectif et un cran par paire.
La norme TIA/EIA-568 prcise les paramtres mesurer pour vrifier la qualit des cbles (TSB 36) et des
prises RJ45 (TSB40) :
lattnuation, exprim en dcibels pour cent mtres, qui mesure laffaiblissement du signal (U1-U1) ;
la paradiaphonie NEXT (Near End Cross Talk), exprime en dcibels, qui mesure la diffrence entre la
quantit de signal U1 produite par une paire et celle U2 qui est engendre sur une autre paire ;
la paradiaphonie cumule (Powersum Next), exprime en dcibels, qui mesure la somme des paradia-
phonies engendres sur une paire par toutes les autres paires ;
le rapport signal/bruit ACR (Attenuation to Crosstalk Ratio), exprim en dcibels, qui mesure la diff-
rence entre la puissance dun signal induit U2 et celle dun signal attnu (ACR = NEXT - attnuation).

U1 U1 U2 U2
Paire 1 Paire 2
Puissance du signal gnr
sur la paire n1 son origine.
Puissance des signaux induits, par la paire
n 1, lorigine et lextrmit de la paire n2.
Near Far
Puissance du signal reu
lextrmit de la paire n 1.

La meilleure qualit est obtenue pour une faible attnuation ainsi que pour une paradiaphonie et un rapport
signal/bruit levs. Laffaiblissement est proportionnel la racine carre de la frquence.

CHAPITRE 2

31

Le tableau suivant prsente quelques valeurs de rfrence spcifies par la norme TIA/EIA-
568-B.2-1 pour la catgorie 6.

Frquence Attnua-
tion
Next PS-
Next
ACR PS-
ACR
ELFEXT PS-
ELFEXT
Return
Loss
MHz Max dB/100m Min dB Min dB Min dB/100m Min dB/100m Min dB/100m Min dB/100m Min dB
10 6,0 59,3 57,3 53,3 51,3 50,0 47,0 25,0
62,5 15,5 47,4 45,4 31,9 29,9 34,1 31,1 21,5
100 19,7 44,3 42,3 24,4 22,4 27,8 27,0 20,1
250 33 38,3 36,3 5,3 3,3 22,0 19,0 17,3

Le tableau suivant prsente les valeurs de rfrence correspondant la norme CENELEC
EN-50173, classe E (cbles, connecteurs et cordons de brassage catgorie 7).

Frquence Attnua-
tion
Next PS-
Next
ACR PS-
ACR
ELFEXT PS-
ELFEXT
Return
Loss
MHz Max dB Min dB Min dB Min dB Min dB Min dB Min dB Min dB
10 6,5 56,6 54,0 50,1 47,5 43,2 40,2 19,0
62,5 16,9 43,4 40,6 26,5 23,7 27,3 24,3 14,1
100 21,7 39,9 37,1 18,2 15,4 23,3 20,2 12,0
250 36,0 33,1 30,2 -2,9 -5,8 17,2 14,2 8,0
LE POINT SUR LA PAIRE TORSADE (SUITE)
La norme TIA/EIA-568 (TSB 95) prcise cinq paramtres supplmentaires qui permettent de sassurer du
fonctionnement du Gigabit en full duplex sur les cbles :
le taux de rflexion (Return loss), exprim en dcibels, qui mesure laffaiblissement rsultant de
ladaptation dimpdance ;
la tldiaphonie FEXT (Far-End Crosstalk), exprime en dcibels, mesure la diffrence entre la quantit
de signal U1 produite par une paire et celle U2 qui est engendre sur une autre paire ;
le signal de couplage ELFEXT (Equal Level Far-End Crosstalk), qui exprime lACR mesur lextrmit
du cble (ELFEXT = FEXT attnuation) ;
le signal de couplage cumul (Powersum ELFEXT), et lACR cumul (Powersum NEXT), exprims en
dcibels.
Quatre catgories de cbles sont dfinies, 5, 5E, 6 et 7 (les catgories 1 4 ne sont pas utilises en infor-
matique) selon la frquence maximale du signal pouvant tre vhicul : cat 5 et 5E 100 MHz, cat 6 250
MHz et cat 7 600 MHz. Plus la frquence est leve, plus le dbit du rseau le sera. Par exemple, le
100bT fonctionne 62,5 MHz sur deux paires, et le Gigabit 100 MHz sur quatre paires. Les normes prci-
sent les valeurs minimales ou maximales des paramtres pour diffrentes frquences de fonctionnement.
La norme europenne EN50173 reprend le mme principe, mais dfinit les valeurs pour une chane de liai-
son comprenant un cble de 90 mtres et deux cordons de brassages de 5 mtres chacun. On parle alors
de classes D, E, F et G.

32
Il faut noter que tous les types de cble (UTP, FTP, STP, SFTP, 100 ou 120 Ohms) peuvent
tre conformes aux normes catgorie 5, 6 ou 7. Les deux ne sont pas lis.

Le choix de la fibre optique entre les locaux techniques

Gnralement, le choix de la fibre optique se justifie essentiellement pour des questions de
distance, au-del de la limitation quatre-vingt-dix mtres de la paire torsade.
Cependant, un systme de cblage en fibre optique cote quasiment le mme prix quun
quivalent en cuivre catgorie 7. Le choix de ce support peut donc tre pris en considration
pour la distribution, dautant plus que la connectique en bureau, de types SC ou MT-RJ, est
dsormais de bonne qualit.
La fibre optique offre galement un gage de prennit pour le support des hauts dbits.
Multimode ou monomode ?
Une fibre monomode offre de meilleures performances mais cote plus cher que la multi-
mode, de mme que les cartes rseau correspondantes. De plus, la multimode convient
presque tous les usages pour la mise en place de rseaux locaux au sein dun btiment ou sur
un campus.
Toutefois, si les distances sont rellement importantes, le choix de la monomode simpose.
Elle pourra tre envisage pour connecter dautres sites hauts dbits dans le cadre dune
boucle optique sur un campus ou avec un oprateur.
62,5/125 ou 50/125 ?
Cette question porte sur les diamtres du cur et de la gaine optique de la fibre, exprims en
microns. Un cur de plus petit diamtre affaiblit moins le signal et permet donc de le vhi-
culer sur de plus grandes distances.

Un cble supporte le Gigabit sur
Cuivre cat 5, 5E, 6, 7 90 mtres
Multimode 62,5/125 300 m 850 nm
550 m 1 300 nm
Multimode 50/125 550 m
850 nm et 1 300 nm
Monomode 3 km 1300 nm

Cependant, la fibre optique qui convient tous les usages actuels et pour laquelle les qui-
pements actifs sont le plus rpandus est la multimode 62,5/125. Cest galement la moins
chre. Tous les rseaux Ethernet, du 10 Mbit/s au Gigabit, fonctionnent avec une longueur
donde de 850 nm ou, plus rarement, de 1 300 nm.

CHAPITRE 2

33

Le cble contenant les fibres

Les qualits dun cble en fibre optique dpendent de ses caractristiques optiques mais aus-
si mcaniques : gaine rigide ou souple, traite anti-rongeurs et isolations (thermique, incen-
die, corrosion) qui conditionnent sa dur de vie (dix quarante ans).

Au sein dun btiment, il conviendra de choisir un cble dit dintrieur, souple, tandis que,
pour les connexions entre btiments, on choisira un cble dit dextrieur, plus rigide, dont la
gaine extrieure peut mme tre mtallique.

LA COMPATIBILIT LECTROMAGNTIQUE (EMC)
Quand un cble est expos un champ lectromagntique normal, un courant est induit sur chacune des
paires du cble en cuivre. Sa puissance varie entre 1 et 50 mv pour un cble UTP catgorie 5, et entre 0 et
0,5 mv pour un cble FTP. Elle dpend de la qualit du cble (mais pas de sa longueur) ainsi que de la
frquence et de la puissance du signal perturbateur. Les tenants de lUTP tablent sur le pas de torsade des
paires pour limiter les effets lectromagntiques, tandis que les tenants du FTP misent, en plus, sur un
cran (une feuille daluminium collectif), les STP sur un blindage.
Il est noter que linverse est vrai : le cble ne doit pas rayonner au point de gnrer des interfrences sur
les autres quipements lectroniques.
Vous pouvez vous-mme faire lexprience de ce phnomne avec le tuiter de votre chane hi-fi : mme
dbranch, le cble qui le relie lampli est capable de capter des missions radio de manire suffisam-
ment puissante pour activer ce petit haut-parleur. Il est mme possible dentendre la radio en branchant un
simple couteur tlphonique au niveau du panneau de brassage !
Jusqu prsent, ce phnomne ne perturbait pas les rseaux locaux, mais, de nos jours, les frquences
utilises avoisinent les 100 MHz, ce qui correspond trs exactement la gamme de frquences des radios
FM et des talkies-walkies.
Aujourdhui, les cbles catgorie 7 sont prvus pour fonctionner jusqu 600 MHz, et il est probable que,
dans le futur, les frquences continuent daugmenter pour avoisiner celles du tlphone DECT (1 800 MHz)
et du GSM (900 et 1 800 MHz).
Il est donc important que les cbles aient une bonne performance EMC value en mesurant lattnuation
de couplage (AC). Les valeurs prcises sont en cours de normalisation :

AC < 40 dB la qualit EMC est mauvaise
41 < AC < 50 minimum requis pour les cbles UTP catgorie 5 (100 MHz)
51 < AC < 60 minimum requis pour les cbles FTP catgorie 5 (100 MHz)
61 < AC < 70 minimum requis pour les cbles FTP catgorie 6 (250 MHz)
71 < AC < 80 bon cble pour un FTP / cble mdiocre pour un SFTP
81 < AC < 90 minimum requis pour les cbles FTP et SFTP catgorie 7 (600 MHz).
Ainsi, le Gigabit Ethernet peut fonctionner sur un cble UTP catgorie 5 en respectant lEMC uniquement si
lAC est suprieur 50 dB.

34
Le coaxial et la paire torsade pour la vido
Le mode de diffusion le plus rpandu pour la vido est actuellement le cble coaxial (orga-
nisation en bus), car la plupart des quipements sont pourvus de ce type de prise. Un seul
cble parcourt alors tout limmeuble et vhicule plusieurs dizaines de canaux vido.

Figure 2-3.
Le cble coaxial.

En revanche, la diffusion sur cbles de cuivre paires torsades (organisation en bus-toile)
tend se gnraliser, car elle permet de banaliser le systme de cblage et donc de profiter
de sa souplesse en termes de reconfiguration et dvolutivit.
Enfin, la diffusion vido sur IP (norme H.323) fait dsormais partie de loffre des construc-
teurs de matriels vido tels que Tonna (gamme de produits Viscable++). Or, qui dit IP dit
rseau local Ethernet et donc paire torsade.
Selon quels critres choisir le type de cble ?
Dans le premier cas, la connexion aux quipements est simple : en bureau, un cordon
coaxial relie la prise une tlvision ou une carte dans un PC (de type WinPC) ; son ex-
trmit, le cble est connect la rgie vido situe dans le local nodal.
Dans le second cas de figure, la connexion est plus coteuse, car elle requiert linstallation
dquipements intermdiaires dans les LTE. Larchitecture ressemble alors celle mise en
place pour le rseau local et la tlphonie.
Il est envisageable de connecter directement la rgie vido aux prises utilisateur en brassant
les prises de distribution aux cbles de rocades jusqu lendroit o est situe la rgie. Cette
solution ncessite nanmoins beaucoup de cbles en cuivre.
En dfinitive, le cble coaxial est adapt des besoins ponctuels de diffusion vido (moins
dune centaine de postes de travail, des salles de confrence, etc.), tandis que le cble pai-
res torsades est bien mieux adapt des gros besoins, tels que ceux ncessits dans le
monde de laudiovisuel.
Par contre, avec la gnralisation de la vido sur IP, le cble coaxial risque bien de dispara-
tre au profit de la paire torsade.

Tresse mtallique
me en cuivre
Dilectrique Gaine de protection
CHAPITRE 2

35
LE POINT SUR LA FIBRE OPTIQUE (TIA/EIA 492AAAA)
Ce type de cble vhicule des ondes lumineuses au sein dune fibre caractrise par sa gaine optique et
son cur, se diffrenciant par leur indice de rfraction.
La qualit dune fibre dpend de trois paramtres :
du mode de propagation de la lumire (multimode ou monomode) ;
du diamtre de la gaine et du cur (62,5/125 ou 50/125 pour la multimode) ;
de leur composition (verre de silice, plastique ou composite).

Multimode
gradient dindice
Multimode
Saut dindice
Monomode
Propagation
des faisceaux
lumineux
Gaine optique Coeur

La qualit du signal dpend en plus :
de la longueur donde mise (850 et 1 300 nm pour les multimodes ; 1 310 et 1 550 nm pour les mono-
modes) ;
de la source lumineuse : une diode lectroluminescente LED (Light-Emitting Diode) ou laser ILD (Injec-
tion Laser Diode).
Les tableaux suivants prsentent les performances compares en fonction de ces paramtres.

Multimode saut dindice Multimode gradient dindice Monomode
Source lumineuse LED ou laser LED ou laser Laser
Bande passante 20 200 MHz/km 200 MHz 1,5 GHz/km 3 50 GHz/km
Diamtre du cur de 50 125 de 50 125 de 2 8
Diamtre de la gaine de 125 440 de 125 440 de 15 60

Affaiblissement en dB/km Type de fibre Composition
Cur / Gaine 850 nm 1 300 nm 1 500 nm
2 0,5 0,2
2,5 ---* ---*
Multimode saut d'indice Verre de silice / verre de silice
ou plastique
ou verre composite
3,4 ---* ---*
2 0,5 0,2 Multimode gradient d'indice Verre de silice / verre de silice
ou verre composite 3,5 1,5 ---*
Monomode Verre de silice / verre de silice 2 0,5 0,2

*--- Affaiblissement trop important, non utilisable


36
Quel type de prise ?
Les standards tant bien tablis, les choix sont ici plus limits :
RJ45 pour la paire torsade (la prise RJ11 du tlphone peut sinsrer dans une prise
RJ45 femelle, mais pas linverse) ;

Fil Paire Couleur
1 2 blanc/orange
2 2 orange
3 3 blanc/vert
4 1 bleu
5 1 blanc/bleu
6 3 vert
7 4 blanc/marron
8 4 marron
Fil Paire Couleur
1 3 blanc/vert
2 3 Vert
3 2 blanc/orange
4 1 bleu
5 1 blanc/bleu
6 2 orange
7 4 blanc/marron
8 4 marron
TIE/EIA T568A
1 2 3 4 5 6 7 8
Paire 3 Paire 4
Paire 2 Paire 1
TIE/EIA T568B
1 2 3 4 5 6 7 8
Paire 2 Paire 4
Paire 3 Paire 1

SC ou MT-RJ pour la fibre optique (attention, on trouve encore du ST) ;
BNC pour le coaxial.
Pour des questions de simplicit, les mmes types de prise sont poss en bureau et en local
technique. Cela permet dutiliser les mmes cordons de brassage.
Lamnagement des locaux techniques
Lamnagement dun local technique est plus complexe quil ny parat, car il ny a pas de
solution universelle. Ce qui doit prsider sa conception est la facilit dutilisation, savoir
laccs aux quipements actifs et la facilit de brassage.
Ce qui complique la tche, cest que les locaux ddis linformatique sont gnralement de
petite dimension. Ils doivent nanmoins accueillir le cblage dtage ainsi que les quipe-
ments actifs.
Les baies
La hauteur utile dune baie est gnralement de 36 ou 42 U (un U quivalant 4,44 cm) ;
ses largeur et profondeur peuvent varier entre 800 800 cm, 600 800 cm ou 600 600
cm. La taille de 800 800 a ma prfrence, car elle offre suffisamment despaces latraux
pour y faire passer des cordons de brassage et suffisamment de profondeur pour y loger tous
types dquipements actifs.
Dans tous les cas, elle doit tre quipe de rails crnels fixs sur les montants droit et gau-
che, de manire offrir une largeur de 19 pouces (48,26 cm). Les rails doivent tre fixs
lavant et larrire, en retrait de 10 15 cm par rapport aux faades. Cet espace permettra
de fermer la porte lorsque tous les cordons de brassage seront installs. Dtail pratique, mais
qui est parfois oubli

CHAPITRE 2

37
Les baies peuvent tre ddies au cblage ou mixtes cblage/quipements, accueillant, par
exemple, un panneau de brassage dans leur partie haute et les quipements actifs dans leur
partie basse.
Le cheminement des cordons de brassage
Si le local contient plusieurs baies, de nombreux cordons de brassage seront ncessaires
pour raccorder les quipements aux panneaux de brassage : autocommutateurs, routeurs,
concentrateurs, etc. Afin de maintenir une installation avec le minimum de cordons emm-
ls, il est essentiel de simplifier la tche des exploitants.
Lutilisation du faux plancher est dconseille, car on y laisse toujours saccumuler un sac
de nuds bien cach ; dautre part, soulever les dalles est toujours une opration fastidieuse.
Bien souvent, elles ne peuvent se soulever aisment, car il y a toujours un quipement pos
dessus, cheval entre deux dalles.
Il est, en revanche, prfrable de faire circuler les cordons de brassage dans les flancs des
baies quipes de guides cbles ainsi que dans un chemin de cble fix en hauteur,
larrire de ces dernires (attention ne pas en sous-estimer la largeur). Les cordons le
moins souvent manipuls circuleront dans le chemin de cble, tandis que les cordons utiliss
pour la distribution (connexion des prises utilisateurs aux quipements) chemineront dans
les guides cbles.
Afin de faciliter les oprations dexploitation (brassage, installation dquipements, etc.), il
convient galement de rserver un dgagement de 80 cm au moins en face avant et en face
arrire des baies.
Dtail non moins pratique, les luminaires seront disposs de manire clairer les zones de
dgagement entre les baies.
Lorganisation du local
Une des rgles de base est de positionner les quipements actifs proximit des panneaux
de brassage, afin de limiter la longueur des cordons et galement les sources de sacs de
nuds .
Par ailleurs, tous les quipements susceptibles dtre connects des lignes tlcom (auto-
commutateurs et routeurs) doivent de prfrence tre situs proximit de larrive de ces
lignes dans la baie de loprateur. Il faut dans tous les cas prvoir des cbles de dport (avec
ferme CAD et/ou panneaux RJ45) entre les deux types de baies, surtout si le local oprateur
est distinct du local informatique.

Figure 2-4.
Agencement
du local nodal.

Gaine technique Chemin de cble en hauteur
Baie cblage
Baies Oprateur, PABX, LAN, WAN
Baies serveurs
Baie infrastructure : vido, GTB, etc.
Local
nergie
PABX
Op
LAN
Routeurs

38
Le local nodal peut trs bien tre situ dans la salle informatique ou tre spar pour des
questions dorganisation, les exploitants rseaux ne devant pas avoir accs aux serveurs, et
inversement pour les exploitants systme.
Si les serveurs sont proches des quipements actifs, ils pourront tre directement connects
ces derniers laide des cordons circulant dans les guides cbles et/ou le chemin de cble.
Si, en revanche, ils sont loigns, ou si la salle informatique est distincte du local technique,
un panneau de distribution (prises RJ45 et/ou SC) devra tre install proximit de chaque
serveur, dans une baie mixte cblage/serveur, et reli par un cblage un panneau de distri-
bution analogue dans le local technique.
Le cahier des charges
La rdaction de ce document synthtise les donnes collectes lors des phases prcdentes.
Le cahier des charges a pour but dexpliquer ce qui est attendu et de guider les soumission-
naires dans leur rponse.
Dans le cadre de ralisations plus importantes, le document peut tre scind en un CCTG
(cahier des clauses techniques gnrales) et un CCTP (cahier des clauses techniques parti-
culires).
Le CCTG dfinit les engagements attendus de la part de lentreprise :
ses responsabilits techniques ;
la ncessit de coordination avec dautres corps dtat ;
le respect dun calendrier de ralisation ;
le maintien du site dans un bon tat de propret si limmeuble est dj occup, et en par-
ticulier lvacuation des gravats sa charge ;
les garanties de qualit ;
le respect du plan hygine et scurit.
Le CCTP doit dcrire lexistant (linfrastructure dimmeuble et le cblage, sil existe), tay
par des plans (plan de masse, tage type, sous-sol). Il doit ensuite fournir tous les lments
techniques qui permettront aux soumissionnaires de rpondre. Ses donnes sont en fait une
synthse de ltude ralise dans les phases prcdentes. Il sagit de dcrire :
le cheminement des cbles (dans ses principes gnraux) ;
les rgles despacement par rapport aux sources de courants forts (cbles lectriques,
moteurs dascenseur, alimentations coupure, tubes non, etc.) ;
les rgles dingnierie que lentreprise devra imprativement respecter concernant les
cbles, les chemins de cble, la connexion des prises, le raccordement la terre infor-
matique, etc.

CHAPITRE 2

39
Dans une autre partie, le CCTP dcrit les prestations attendues, savoir :
le percement des murs, si ncessaire ;
la fourniture et la pose de tous les composants requis : chemins de cbles, goulottes,
panneaux de brassage, baies, prises, botiers VDI dans lesquels viennent sinsrer les
prises, etc.
le raccordement la terre informatique et, si ncessaire, la ralisation de la terre infor-
matique partir du puits de terre jusqu la distribution.

Des dtails qui ont leur importance :
la documentation des travaux raliss tels que le cheminement exact des cbles et la po-
sition exacte des prises reports sur les plans ;
les fiches de tests de chaque prise ;
ltiquetage des prises avec des tiquettes graves autocollantes (et non pas des Dimos
ou du papier qui seffacent ou se dcollent au bout de quelques mois).

Et enfin, la nature des composants fournis et installs :
pour le cblage cuivre : types de cbles de distribution et de rocades, types de connec-
teurs, etc. ;
pour le cblage optique : types de cbles de distribution et de rocades, types de tiroirs
optiques, etc. ;
les types de baies : dimensions, avec ou sans portes, etc. ;
les types de botiers VDI : nombre et types des prises (RJ45, CD, etc.) ;
le descriptif des tests sur chaque prise et les valeurs mesurer lors des tests rflectom-
triques (voir plus loin).
Afin de comparer facilement les rponses, un modle de bordereau de prix tel que celui pr-
sent ici pourra tre joint.

Dsignation des ouvrages U Qt P.U. HT P.T. HT

Lot 1 Cblage cuivre (fourniture, pose et raccordement y compris toute sujtion)

Cheminements entre la salle informatique et le LN-A

Percements ens

Chemins de cble m

Raccordement la terre lectrique ens


40
Le reproche que certains peuvent faire une description aussi dtaille est quelle est du res-
sort de lentreprise, que cest son mtier. Certes, mais le but est ici de bien dfinir le niveau
de prestation que lon attend. Si on ne le fait pas, les soumissionnaires feront des rponses
minimales :
avec des composants de faible qualit ;
en omettant certains composants qui peuvent paratre accessoires, comme ltiquetage
des prises ou des colliers de fixation ;
en calculant la longueur des cbles au plus juste (en les faisant passer en ligne droite
sans respecter les contraintes dcartement des sources de courant fort) ;
sans prendre en compte la coordination avec les autres entreprises ;
etc.

Ce type de rponse paratra attractif sur le plan financier, mais passera sous silence de nom-
breux aspects importants.

Il peut galement tre tentant de confier la ralisation du cblage une socit spcialise en
lectricit. Cela serait une erreur, sauf si bien sr elle dispose des comptences requises en
courant faible. Car le cblage informatique na rien voir avec llectricit : ce sont deux
mtiers diffrents qui font appel des expertises sans aucun rapport entre elles.

Enfin, la certification de lentreprise pour le systme de cblage propos est un gage de qua-
lit : non seulement elle offre la garantie du constructeur pendant dix quinze ans mais, de
plus, elle signifie que les techniciens ont suivi une formation spcifique de la part du cons-
tructeur sur le type de matriel propos.

En fin de chantier, un reprsentant du constructeur vrifie (en plus de la recette dont nous
parlerons plus loin) la qualit de linstallation, et appose son certificat de garantie. Celui-ci
assure la remise en tat, pendant dix quinze ans, selon le constructeur, de nimporte quel
composant dfectueux (cble, connecteur, panneau de brassage). Si lentreprise disparat
dans lintervalle, le constructeur prend le relais ou dsigne une autre socit.
Le suivi du chantier et la recette

En cours de ralisation, il est ncessaire dorganiser un point hebdomadaire avec les repr-
sentants de la socit de cblage : lobjectif est de contrler lavancement des travaux, de r-
soudre certains problmes techniques, de prciser des dtails comme le principe
dtiquetage des prises, etc.

CHAPITRE 2

41

Il est galement indispensable de procder des visites rgulires du site (une deux fois
par semaine selon ltat davancement des travaux). Lobjectif est ici de contrler la qualit
des travaux en cours afin de procder dventuelles rectifications avant la fin du chantier.
Mieux vaut dtecter le plus en amont possible tout problme pouvant ncessiter la reprise
des travaux supposs achevs.

Le chantier termin, il est ncessaire de procder sa recette. Celle-ci comprend la vrifica-
tion exhaustive, qualitative et quantitative de lensemble des composants installs, ainsi que
lanalyse des documents remis (cahier de tests, plans, etc.). Il sagit notamment :
de valider le cahier de tests fourni par lentreprise ;
de raliser des tests complmentaires sur un chantillon de prises avec le mme rflec-
tomtre fourni par lentreprise de cblage ;
deffectuer le contrle physique de linstallation avec le cbleur.

Le cbleur doit ainsi tester toutes les prises avec un rflectomtre et fournir tous les rsul-
tats. Ceci permet de sassurer des performances du systme de cblage pos (cbles + prises)
et de vrifier que les mesures sont dans les normes. Cest galement loccasion pour le c-
bleur de rparer dventuelles prises dfectueuses.
LORGANISATION DUN CHANTIER DE CBLAGE
Le matre douvrage est le donneur dordre, celui qui paie, cest--dire vous, le client.
Le matre duvre est lexcutant, le responsable des travaux ; il rend des comptes au matre douvrage.
Le soumissionnaire est lentreprise qui rpond lappel doffres ; le terme entreprise dsigne lentreprise
de cblage qui a t retenue en tant que matre duvre du projet courants faibles, par opposition aux
cblages courants forts qui concernent llectricit, gnralement ralise par une autre entreprise.
Lentreprise de cblage dsigne un chef de chantier qui coordonne le travail des ouvriers sur site ; elle est
parfois linterlocuteur du matre douvrage. Dans le cas de ralisations importantes, un conducteur de tra-
vaux est dsign en tant quinterlocuteur.
De son ct, le matre douvrage est souvent assist dun consultant qui, dans le cadre dune intervention
dassistance matrise douvrage, assure le lien entre lutilisateur exprimant des besoins gnraux et le
monde du cblage avec sa spcificit et son vocabulaire.
Une runion de chantier est rgulirement organise afin de coordonner et de suivre lavance des tra-
vaux. Elle a aussi pour but de coordonner les activits de lentreprise de cblage avec dautres corps
dtats (lectricien, socit en charge de la climatisation, socit en charge des faux plafonds, etc.). Sur le
terrain, lentreprise de cblage doit assurer cette coordination.

42

Fiche de test - Cblage Class D

ID circuit : 1.022 Date : 01/09/97
Rsultat : Passe type de cble : Cat 5 SFTP
Propritaire : Socit X NVP :
Niveau : Taille :
No de srie : 38T95KB0205 Fabricant :
Version SW : V04.10 Connecteur :
Inj. Srie # : 38T95K00879 Utilisateur :

Extrmit #1 : Extrmtit #2 :
Btiment: Etage Btiment: Etage
Armoire: Armoire:
Bti: Noeud: Bti: Noeud :
Carte: porte: Carte: porte:

Test Rsultat attendu Rsultat de test
Cblage local : 12345678S local : 12345678S
Dist. : 12345678S Dist. : 12345678S
min max Paire12 Paire36 Paire45 Paire78
Longueur m 3.0 100.0 23.5 24.0 23.6 23.3
Dlai ns 0 32767 109 111 109 108
Impdance ohms 85.0 115.0 105.0 102.0 102.0 98.0
Rsistance ohms 0.0 40 4.7 4.9 4.0 4.4
Capacit pF 40 5600 1100 1102 1108 1084
Affaibliss dB 4.7 4.9 4.8 4.8
@Frquence MHz 97.0 100.0 97.0 100.0
Limite dB Class D 22.8 23.2 22.8 23.2
Comb. de paires 12/36 12/45 12/78 36/45 36/78 45/78
Perte de PARA(REFLEC) dB 39.1 41.7 36.8 37.1 37.4 40.2
@Frquence 20.0-100.0 MHz 77.5 68.5 100.0 96.5 97.0 76.5
Limite : Class D dB 25.8 26.5 24.0 24.2 24.2 25.8
Marge actif (REFLEC) dB 34.2 37.7 32.0 32.5 32.6 36.3
@Frquence 20.0-100.0 MHz 100.0 87.0 100.0 96.0 97.0 76.0
Limite : Class D dB 4.0 7.1 4.0 4.9 4.7 9.7

Perte de PARA(INJ) dB 37.8 40.2 38.9 36.9 38.9 37.6
@Frquence 20.0-100.0 MHz 77.5 87.0 69.5 96.0 73.5 97.0
Limite : Class D dB 25.8 25.0 26.4 24.3 26.1 24.2
Marge actif (INJ) dB 33.9 35.6 35.3 32.2 35.1 32.8
@Frquence 20.0-100.0 MHz 77.0 93.0 69.0 96.0 73.0 97.0
Limite : Class D dB 9.5 5.6 11.4 4.9 10.4 4.7

La fiche de test prsente ci-dessus comporte deux parties :
Une description des paramtres saisis manuellement par la personne qui a procd aux
tests. Parmi les champs importants, on trouve ID Circuit qui correspond au numro
de la prise tel quon le trouve sur ltiquette et les plans dimplantation.
Deux tableaux indiquant les caractristiques et les performances du cble mesures par
le rflectomtre. Ces valeurs ne sont, en thorie, pas modifiables manuellement.

Marge = le delta entre la norme
et ce qui est mesur.
Mesure dans les deux sens : ct instrument
de mesure et ct injecteur de signal
Limpdance du cble est garantie
par le constructeur 15%...
Pour la paire de fils 1/2, la plus mau-
vaise valeur est de 4,7db 97 Mhz,
ce qui est bien au del de la norme
(22,8 db).
Prise n 22
du 1er tage
Ici, un cble et ses pri-
ses catgorie 5 sont
tests et compars la
classe D de la norme
EN50173.
CHAPITRE 2

43
Le premier tableau montre les caractristiques du cble pour chaque paire. Les plus impor-
tantes sont la longueur, limpdance et laffaiblissement.

La premire colonne indique les valeurs limites paramtres dans le rflectomtre au mo-
ment du test. Les colonnes suivantes indiquent les valeurs mesures pour chaque paire : 1-2,
3-6, 4-5 et 7-8. Les valeurs les plus importantes vrifier lors de la recette sont :
La longueur : celle-ci varie de quelques centimtres dune paire lautre. Ceci est d
la prcision de lappareil de mesure, au pas de torsade lgrement diffrent, et
ventuellement la courbure du cble tout au long de son cheminement.
Le dlai de propagation et limpdance (dpend du type de cble). Les valeurs sont
fournies par le constructeur avec une marge de 15%.
La frquence laquelle le plus mauvais affaiblissement a t mesur. Par exemple, pour
la paire 1-2, on trouve un affaiblissement de 4.7 dB 97 MHz alors que la limite ne
pas dpasser, impose par la norme Classe D, est de 22,8 dB (valeur calcule par le
rflectomtre pour la longueur de 23.5 mtres).

Le deuxime tableau indique les mesures de paradiaphonie pour chaque combinaison de pai-
res. L encore, la fiche de test indique la frquence laquelle les plus mauvaises valeurs ont
t mesures. Par exemple, pour la combinaison 12/36, on a une paradiaphonie de 39,1 dB
77,5 MHz alors que pour la combinaison 12/78, la plus mauvaise valeur est obtenue 100
MHz.

Les combinaisons de paires vrifier dpendent du rseau que lon va installer. Par
exemple, il faut considrer les paires 12/36 pour le 10bT, 12/78 pour le 100bT et toutes les
paires pour le Gigabit.

Si des anomalies sont constates, la recette peut donner lieu des rserves. Les rserves sont
leves seulement lorsque lentreprise de cblage a corrig les dfauts. Le procs verbal de
recette peut alors tre sign.

La fibre optique doit galement faire lobjet dun test rflectomtrique dans les deux sens et
aux deux longueurs dondes de rfrence. La plupart des quipements rseau utilisent, en ef-
fet, la longueur donde de 850 nm, mais il nest pas exclu quavec le 10 Gigabit, la longueur
de 1 300 nm soit la seule possible.

Le schma suivant prsente, titre dexemple, une courbe issue des tests rflectomtriques
dune fibre optique. La chane de liaison comporte le rflectomtre, une bobine damorce
(un cble dune fibre optique de plusieurs dizaines de mtres enroul), la fibre tester y
compris les connecteurs dorigine et dextrmit, et une bobine de terminaison.


44

0,9 db 2,14 db
db
0
-5
5
10
15
0,66
db
-0,06 db
762 m
3 db/km
0,58 db
1
2
3
1 2 3
m

Extrmit
2,94
db/km
2,84
db/km

La premire valeur, note 1 , reprsente laffaiblissement de la bobine damorce. Les
deux pics de la courbe correspondent aux connecteurs ST bornant la section de fibre mesu-
rer. Laffaiblissement et la longueur des trois sections (bobine damorce, fibre optique et
bobine de terminaison) sont ainsi mesurs. La valeur du brin tester est appele bilan et est
exprime en dcibels (symbole dB). Dans lexemple ci-dessus, la fibre a une longueur de
194 mtres et son bilan est de 1,18 dB.

Le schma suivant montre, en revanche, la courbe obtenue par la mesure dune fibre dfec-
tueuse.

0,26 db
db
0
-5
5
10
15
0,53 db
556 m
1,75 db
1219 m
1,7 db/km
0,96 db
m
0,74 db/km
0,26 db

Linterprtation des rsultats est toujours dlicate. Dans le cas prsent, il se peut que la fibre
soit lgrement coupe ou prsente un rayon de courbure trop faible (un angle droit par
exemple).

Par ailleurs, un photomtre permettra de mesurer avec prcision la longueur de chaque fibre
et de sassurer ainsi que leur longueur ne dpasse pas les normes imposes par Ethernet (cf.
chapitre 3)

La recette termine, vous pouvez utiliser votre cblage pour constituer votre rseau local et
ventuellement votre rseau tlphonique tel que le montre le schma suivant.
CHAPITRE 2

45

Prises 2me tage
Prises 1er tage
Prises Rez de chausse
Commutateur
Concentrateur
Routeur
tiquette portant un numro unique
permettant didentifier la prise
(ici la prise n 22 au premier tage)
1.022
Panneau de brassage RJ45 :
1 prise=1 prise RJ45 en bureau
Cble paires torsades (4 paires) :
UTP, FTP, STP ou SFTP
Cble dans chemin de cbles
Cordons de brassage : la carte rseau du PC
est connecte un quipement actif (LAN)
Goulotte de
descente
Prise murale
RJ45

3
Architecture
des rseaux locaux

Le systme de cblage tant maintenant prt lusage, on peut alors commencer y installer
un rseau.
La conception dune architecture rseau est labore en fonction du nombre de postes de tra-
vail connecter. On peut considrer les cas suivants :
petit rseau : moins de 200 postes dans un mme btiment ;
rseau moyen : de 200 800 postes dans un mme btiment ;
gros rseau : plus de 800 postes dans un mme btiment ;
1
re
variante : plusieurs btiments contenant un nombre vari de postes de travail ;
2
me
variante : plusieurs sites contenant un nombre vari de postes de travail.

Bien quarbitraires, ces bornes correspondent des ordres de grandeur et des sauts techno-
logiques. En effet, plus le nombre de postes est important, plus il faut rpondre un certain
nombre de contraintes et dexigences qui napparaissent quavec la complexit du rseau.

Larchitecture rseau est bien sre lie au systme de cblage, mais celui-ci doit avoir t
conu pour en limiter les contraintes, cest--dire sadapter toutes les situations. Le chapi-
tre prcdent a aid uvrer en ce sens. Tous les systmes de cblage sont en toile, de
mme que la topologie ; les quipements actifs seront donc positionns dans les locaux tech-
niques. Ils serviront connecter les postes de travail aux serveurs.

Dans le cas le plus simple, la conception dune architecture consiste choisir et position-
ner les quipements actifs, puis les connecter entre eux en utilisant le cblage.

Ethernet 802.3, commutateurs, couche MAC, spanning tree, GARP

48
48
Les choix de base
Quel type de rseau choisir ?

La cration dun rseau local ncessite de faire des choix, et tout dabord celui du type :
Ethernet, Token-Ring ou un autre ?
Le premier est le plus rpandu et le moins cher, alors que, pour le deuxime cest linverse.
Le choix ira donc de prfrence au premier. Lintrt de Token-Ring est surtout sa compati-
bilit avec les quipements grands systmes IBM (3090, etc.). Si vous avez des contrleurs
3174, des terminaux 3270 ou des PC devant se connecter en mulation 3270 un systme
central IBM, le choix se portera naturellement vers ce type de rseau local. Mais ce nest pas
une obligation, car la plupart des quipements IBM acceptent dsormais des cartes Ethernet.
Cela tant, les postes de travail peuvent toujours tre connects un rseau Ethernet, et les
systmes IBM des rseaux Token-Ring.
Dautres solutions sont envisageables pour construire un rseau local, mais elles sont nette-
ment plus chres. Il sagit, par exemple, dATM (Asynchronous Transfert Mode). Ce type de
rseau est surtout destin dautres usages que nous verrons au chapitre 11.
Pour toutes ces raisons, le choix dEthernet simpose.
Concernant la topologie, la plus pratique est celle de ltoile : tous les systmes de cblage
sont, on la vu, fonds sur ce principe.
Quel dbit retenir ?
La dcision suivante concerne le dbit du rseau, cest--dire la vitesse de transmission des
trames Ethernet, encore appele bande passante. La norme Ethernet est dcline en plusieurs
variantes : 10 Mbit/s (norme 10bT), 100 Mbit/s (norme 100bT) et 1 Gbit/s (norme 1000bT).
De par son cot et son caractre innovateur, le Gigabit Ethernet est rserv aux liaisons en-
tre les quipements de concentration et aux serveurs.
Le choix du dbit se fera donc en fonction des cots, plutt 10/100 Mbit/s pour les PC et
100/1000 Mbit/s pour les serveurs.

Dbit Utilisation
10 Mbit/s Postes de travail bureautique
100 Mbit/s Postes de travail multimdias et serveurs
1 Gbit/s Pour connecter les quipements rseaux entre eux ainsi que
les gros serveurs

Ct poste de travail, la plupart des cartes rseau fonctionnent 10 et 100 Mbit/s, et sont au
mme prix que les cartes 10 Mbit/s. En outre, la plupart des commutateurs offrent des ports
dtection automatique de vitesse (port autosense).

Architecture des rseaux locaux
CHAPITRE 3

49

LE POINT SUR ETHERNET (IEEE 802.3)
La norme 802.3 dcrit un protocole de niveau 1 (couche physique) cest--dire la manire de gnrer les
signaux sur le cble ainsi que le protocole de niveau 2 (couche liaison). Les spcifications, dictes par
lIEEE (Institute of Electrical and Electronics Engineers), reposent sur le modle suivant :

100 Mbit/s
PHY
Gigabit 10 Mbit/s
MII MII GMII
AUI AUI
MDI MDI
1 Mbit/s
10 Mbit/s
MDI MDI
Cble
Niveau 2
Niveau 1
Couche MAC (Media Access Control)
PLS Reconciliation Reconciliation Reconciliation
PLS PCS PCS
PMA PMA
PMD PMD PMA PMA MAU

Au niveau 2, la couche MAC (Medium Access Control) a pour rle de transporter les donnes entre deux
points dun segment Ethernet. Pour ce faire, elle encapsule les donnes dans une trame MAC, identifie
metteurs et destinataires par des adresses MAC et assure que les donnes sont transmises sans erreur,
grce un code de contrle.

Adresse MAC
destination
Code de contrle
derreur
Prambule Dlimiteur de
dbut de trame
Les cartes rseaux se synchronisent sur ce prambule pour lire les trames.
Champ de
donnes
1 6
Adresse
MAC source
7
Bourrage
46 1500 6
Longueur
0 46 2 4
Dans une trame Ethernet v2, il sagit du type de protocole
transport dans le champ de donnes (par exemple, 0x800 = IP)
(nbre doctets)
Prambule = 10101010 x 7
Start Frame Delimiter = 10101011
MTU (Maximum Transfer Unit) Ethernet = 1 500 octets

Chaque carte rseau est identifie par une adresse MAC unique sur 6 octets (par exemple,
01-00-0A-FB-5D-52). Toute trame MAC mise comporte les adresses de lmetteur et du destinataire. La
carte rseau ne prend en compte que les trames MAC qui lui est destine. Exception cette rgle : une
carte peut mettre une trame spciale, appele trame de diffusion (ou trame de broadcast), qui sera lue
par toutes les autres cartes (adresse destination dont tous les bits sont 1 FF-FF-FF-FF-FF-FF).
La couche MAC est galement responsable de grer laccs au segment Ethernet quand il est partag par
plusieurs nuds. Lorsque deux stations mettent simultanment, la somme des deux signaux dpasse un
seuil qui est interprt comme tant une collision. Dans un tel cas, chaque station arrte dmettre et at-
tend un temps alatoire avant dessayer de rmettre leur trame. Cette mthode de gestion de la contention
est appele CSMA/CD (Carrier Sense Multiple Access / Collision Detection).


50
50
Quel format dquipement ?

Le march offre le choix dquipements seuls (stand alone), empilables (stackable), ou en
chssis : des cartes sont insres dans des emplacements prvus cet effet (slots). Pour
compliquer le choix, il existe galement des stackables avec des slots dextension qui per-
mettent dajouter un ou deux ports, dans le but de chaner lquipement un autre.

Figure 3-1.
Les possibilits
des concentrateurs
empilables.

Hub 2
Up
# K 5864AA3
OFF
ON
Hub 1
# K 5864AZ5
OFF
ON
Diffrents types de hub de la mme
marque peuvent tre empils
Connecteurs en face
arrire servant relier
les deux concentrateurs
sur le mme bus.
En blanc, les ports
affects au segment 1.
En gris, ceux affects
au segment 2.
Les deux PC sont sur des rseaux indpendants :
ils ne peuvent pas communiquer entre eux.
LE POINT SUR ETHERNET (SUITE)
Afin dtre le plus possible indpendant des mthodes et des supports de transmission, le modle de rf-
rence de la norme IEEE 802.3 repose sur plusieurs sous-couches physiques :
La sous-couche rconciliation, qui a pour rle dadapter les bits manipuls par la couche MAC avec les
signaux utiliss par les couches physiques sous-jacentes.
PLS (Physical Layer Signaling), qui interprte les bits vhiculs sur le cble (donnes, dtection de colli-
sion, auto-ngociation, etc.).
PCS (Physical Coding sublayer), qui code les groupes de bits en symboles, cest--dire en des signaux.
Par exemple, le codage 4B/5B consiste coder 4 bits en un groupe de 5 signaux.
PMA (Physical Medium Attachment), qui transmet et reoit les signaux vhiculs sur le cble en bande
de base (par exemple, NRZI). La PMA, associe un dbit, est active ou dsactive en fonction de la
ngociation de dbit.
PMD (Physical Medium Dependant), qui dsigne llectronique qui gnre les signaux lectriques ou op-
tiques.
Les interfaces AUI (Attachement Unit Interface), MII (Media Independant Interface) et GMII (Gigabit MII), qui
sont optionnelles, assurent la liaison entre la couche MAC (logiciel hberg dans des composants lectro-
niques) et les composants grant les signaux (PHY) de la carte rseau. Concrtement, elles se prsentent
sous la forme de connecteurs, pouvant tre tendus par un cordon de quelques centimtres, et raccordant
la couche MAC un transceiver ou MAU (Medium Attachment Unit), qui intgrent donc les fonctions de la
couche PHY. Les GBIC de Cisco sont des exemples de tels transceivers.
CHAPITRE 3

51
Les modles stand alone visent le march dentre de gamme ; ils sont parfaits pour crer un
premier rseau local tel que celui du premier chapitre.

Les modles empilables sont envisageables ds quil y a des possibilits dextension. Par
exemple, votre socit dispose de cinquante postes de travail, et vous commencez par en
connecter dix dans un premier temps. Vous pouvez alors acheter un hub 12 ports, puis un
autre 12 ports plus tard.

Un concentrateur, ou un commutateur, comprend un nombre limit de ports (gnralement
8, 16, 24 ou 32). Or, la plupart du temps, un local technique concentre beaucoup plus de
postes de travail (jusqu plusieurs centaines). La solution est alors de chaner les stackables
entre eux via un bus spcial, ddi cet effet ; il sagit dun cble externe reliant les qui-
pements entre eux pour nen faire quune unit logique. Attention, le bus tant propritaire,
seuls les quipements dun mme constructeur pourront tre chans entre eux, gnrale-
ment de 5 8 au maximum.

Une autre solution consiste installer des chssis, certes plus chers, mais qui offrent de plus
grandes capacits daccueil. Ces quipements permettent de crer plusieurs segments ind-
pendants des dbits diffrents.

Figure 3-2.
Principes
et fonctionnalits
d'un chssis.

Il est possible dinsrer diffrents types de cartes dans un chssis : concentrateur Ethernet,
commutateur Ethernet, carte Token-Ring, FDDI, ATM, etc. Il est galement possible de
combiner les dbits (10, 100 et 1 000 Mbit/s) sur des segments spars. Mais, attention, il
nest en aucun cas possible de mlanger des dbits sur un mme segment Ethernet. De
mme, les rseaux Token-Ring, FDDI et ATM crs seront indpendants.

La carte dispose dun attachement vers
chacun des 6 segments Ethernet muls sur
un bus de fond de panier hauts dbits.
Matrice de slection
du segment
Ports RJ45
La carte peut tre isole pour crer un
segment indpendant, ou tre associe un
des segments Ethernet de fond de panier.
Alimentations
redondantes et en
partage de charge
Ventilateur
Connecteur sur le bus
de fond de panier

52
52

LES DIFFRENTS RSEAUX ETHERNET
Il existe actuellement trois dclinaisons dEthernet normalises par lIEEE (Institute of Electrical and Elec-
tronics Engineers) : le 10bT 10 Mbit/s (norme 802.3), le 100bTx alias Fast Ethernet 100 Mbit/s (norme
802.3u) et le 1000bT alias Gigabit Ethernet (norme 802.3ab).
Le premier chiffre qualifie le dbit du rseau Ethernet, la lettre b signifie un codage des signaux en bande
de base (ex : Manchester) et la lette T reprsente Twisted Pair , ce qui signifie que le rseau Ethernet
fonctionne sur un cblage en cuivre paires torsades.
Il existe galement les mmes dclinaisons fonctionnant sur fibre optique : 10bF, 100bFx et 1000bX
(norme 802.3z). Parmi cette dernire, on distingue le 1000bSX (S pour short wavelength) oprant 850 nm
sur fibre optique multimode et le 1000bLX (L pour long wavelength) oprant 1 300 nm sur les fibres mul-
timode et monomode.

Ethernet Codage en
ligne
Codage
complet
Paires cuivre
utilises
Frquence du signal
/ Longueur donde
Distance
maximale
10bT Manchester --- 1,2 / 3,6 10 MHz (15%) 100 m
10bF (FL et FB) Manchester --- --- 850 nm 2 000 m
100bTx NRZI 4B/5B 1,2 / 7,8 62,5 MHz 100 m
100bFx NRZI 4B/5B --- 850 nm 2 000 m
1000bT PAM5 8B1Q4 Toutes 125 MHz 100 m
1000bSX NRZ 8B/10B --- 850 et 1 300 nm 220 550 m*
1000bLX NRZ 8B/10B --- 1 300 et 1 550 nm 550 5 000 m*
* Selon le type de fibre optique et la qualit des quipements (voir chapitre 12).
Ces variantes utilisent toutes le mme principe daccs au support de transmission (dtection de collision
en half duplex), les mmes trames Ethernet et le mme adressage MAC (Medium Access Control).
Il existe deux types dquipements : les concentrateurs (hubs), qui partagent un segment Ethernet entre
plusieurs ports, et les commutateurs (switch), qui crent un segment Ethernet par port.
Certains concentrateurs peuvent tre partags en plusieurs segments indpendants, tandis que le commu-
tateur est capable dinterconnecter des segments qui sont physiquement indpendants.
Un domaine de collision comprend un ou plusieurs concentrateurs Ethernet ; une trame mise sur un port
est rgnre sur tous les autres ports des concentrateurs chans (via un cordon de brassage) ou empils
(via un bus externe par un cble spcifique). Le commutateur ne laisse pas passer les collisions, mais une
trame de broadcast mise sur un port sera rgnre sur tous les autres ports.
Un domaine de diffusion MAC
(domaine de broadcast)
Concentrateur
Concentrateur
Concentrateur
Commutateur
Un segment Ethernet = un domaine de collision
Une trame de broadcast MAC
gnre sur ce segment...
...sera transmise sur
cet autre segment.

Un PC connect un port du commutateur est seul sur le segment Ethernet : aucune collision nest donc
possible, et il dispose de toute la bande passante. Inversement, tous les PC connects un concentrateur
partagent la mme bande passante (10, 100 ou 1000 Mbit/s) et peuvent mettre des trames en mme
temps, do une probabilit de plus en plus importante de collision qui crot avec le nombre de PC.
CHAPITRE 3

53
Le tableau suivant prsente quelques lments de comparaison.

Critre Empilable Chssis
volutivit Ajout dlments empilables limit cinq
environ
Ajout de cartes limit par le nombre de
slots
Segmentation Limite un ou deux segments Plusieurs segments par port ou par
groupe de ports
Capacit de traitement Bus externe limit quelques centaines
de Mbit/s
Bus de fond de panier de 100 Mbit/s
plusieurs Gbit/s
Alimentation Une par lment ou, rarement, une pour
tous
Une trois pour lensemble du chssis
Redondance dalimentation Pas tout le temps Oui
Cration de plusieurs segments
indpendants
Oui Oui
Utilisation Moins de cent postes en Ethernet, en
Token-Ring ou en ATM
Plus de cent postes ; combinaison
Ethernet, Token-Ring et ATM possible

En dfinitive, lempilable sera choisi pour des faibles densits (moins de cent postes par lo-
cal technique) ; les chssis seront privilgis dans les autres cas. Dune manire gnrale,
plus le rseau concentre de postes de travail, plus la fiabilit des quipements doit tre im-
portante.
Les chssis seront donc choisis l o le besoin en bande passante est lev et o la fiabilit
est primordiale, cest--dire des points de concentration stratgiques du rseau.

Concentrateur ou commutateur ?

Lautre dcision prendre consiste choisir entre les concentrateurs et les commutateurs.
Les premiers se contentent de gnrer le signal, alors que les seconds permettent de crer un
segment par port. Ces derniers sont bien sr plus chers.
Pour une utilisation bureautique du rseau (traitement de texte, comptabilit, base de don-
nes, connexion un serveur, etc.), les concentrateurs suffisent pour connecter les postes de
travail car il y a peu de trafic entre eux. Pour amliorer les performances, on peut jouer sur
la vitesse (10 ou 100 Mbit/s).
Lutilisation des commutateurs senvisage dans plusieurs cas de figures :
lorsquon emploie des applications multimdias (voix et vido) gnrant des dbits
importants et ncessitant des temps de rponse courts ;
dune manire gnrale, lorsque le flux rseau est important et que les temps de rponse
sont mauvais ;
pour interconnecter plusieurs segments Ethernet.


54
54

Si vous constatez un nombre lev de collisions li une charge rseau importante, vous
pouvez, dans un premier temps, segmenter le rseau (cest--dire le couper en deux). Dans
ce cas, les PC situs sur un segment ne pourront plus communiquer avec ceux situs sur
lautre.
Au lieu dacheter un second concentrateur, lachat dun commutateur rsoudra le problme :
les postes seront rpartis sur les deux quipements, et les segments ajouts seront intercon-
nects.

Figure 3-3.
Concentrateur
et commutateur.

Les stations consommant le plus de bande passante seront de prfrence connectes au
commutateur. Cest le cas des serveurs qui concentrent toutes les connexions des utilisa-
teurs.
Les commutateurs apportent, par ailleurs, de nouvelles fonctionnalits et ils peuvent tre
prfrs aux concentrateurs rien que pour cela, indpendamment de tout problme de charge
rseau.
tant donn quun commutateur cre un segment par port, il est possible de combiner les
dbits (10, 100 et 1 000 Mbit/s) au sein de la mme bote. Il est noter que seul le mode
store and forward le permet tandis que le mode cut-through, quant lui, ne bnficie pas de

Commutateur Concentrateur
10 Mbit/s partag par tous les PC 10 Mbit/s pour chaque station
Les 10 Mbit/s de ce port sont partags
par les stations connectes sur le hub.
Les stations sont raccordes
aux quipements actifs via le
systme de cblage.
Cordon de brassage
QUEST-CE QUUN COMMUTATEUR ?
Un commutateur (switch) est un quipement qui offre une bande passante ddie pour chaque port (10,
100 ou 1 000 Mbit/s par port) alors que le concentrateur partage la bande passante entre tous ses ports.
Cela revient crer un segment Ethernet par port.
On distingue les switches cut-through (on the fly, la vole) et les switches store and forward (les plus
courants aujourdhui). Les premiers se contentent de rgnrer la trame (mme les trames errones et les
collisions), tandis que les seconds la stockent en mmoire avant de la rgnrer. La mthode adaptative
cut-through combine les deux principes : ds quune trame est en erreur, le commutateur bascule en
mode store and forward pendant un certain temps. La mthode fragment free, la plus performante, lit les
64 premiers octets avant de dcider du mode de transmission.
Chaque port du commutateur correspond un segment Ethernet, cest--dire un domaine de collision
(voir encadr Le point sur Ethernet ).
CHAPITRE 3

55

cette possibilit car les trames sont commutes la vole (elles ne sont pas stockes en m-
moire).
On trouve sur le march les formules suivantes :
ports dtection automatique de vitesse (port autosense, 10/100 Mbit/s) ;
port uplink 100 Mbit/s ou 1 Gbit/s.
Les cartes rseau autosense 10/100 posent des problmes avec les commutateurs qui sont
galement autosense, car il ny a pas de ngociation de dbit ; chacun essaie de se caler
sur la vitesse de l'autre. Il est donc recommand de dsactiver cette fonction au niveau de
la carte et de fixer la vitesse manuellement (configuration laide de Windows).
Les commutateurs permettent galement daugmenter les dbits de plusieurs manires :
avec le mode full duplex entre un PC et un port du commutateur ou entre deux commu-
tateurs ;
en agrgeant plusieurs ports full duplex du commutateur (technique du port trunking)
pour le relier un autre commutateur.

Figure 3-4.
Augmentation
des dbits
grce
aux commutateurs.

Commutateur Commutateur
Port et carte rseau configurs
en full duplex : 100 Mbit/s
dans les deux sens. 3 cordons de brassage
Une seule connexion logique 3 x 10 Mbit/s,
3 x 100 Mbit/s ou 3 x 1 Gbit/s.
LE POINT SUR L'ETHERNET FULL DUPLEX (IEEE 802.3X)
Le mode full duplex conserve le dbit nominal de 10, 100 ou 1 000 Mbit/s, mais spare les canaux mission
et transmission, et donc, limine le besoin de la dtection de collision CSMA/CD employe par l'Ethernet
classique (en half duplex).
Le mode full duplex n'est possible :
que sur des liaisons point point entre un PC et un commutateur ou entre deux commutateurs ;
quavec des cbles qui sparent physiquement les canaux mission et rception, c'est--dire le cuivre en
paires torsades et la fibre optique, mais pas les cbles coaxiaux ;
quavec les commutateurs qui sont seuls capables de stocker les donnes envoyer lorsque le canal
mission est occup.
L'absence de dtection de collision CSMA/CD a une consquence importante : la limitation de longueur
des cbles impose par le dlai de propagation des collisions disparat. Seule l'attnuation du signal,
et donc la performance du cble, limite dsormais la distance entre deux quipements : en pratique, on at-
teint des valeurs comprises entre 150 et 200 m au lieu des 100 m habituels, et plusieurs centaines de kilo-
mtres en fibre optique.

56
56
Le mode full duplex ne permet pas d'augmenter la vitesse de transmission, mais consiste
sparer les canaux mission et rception. Le dbit global est ainsi augment, et peut, thori-
quement, tre multipli par deux. Dans la pratique, ce mode est donc intressant pour les
serveurs et les liaisons intercommutateurs qui peuvent avoir traiter un flux simultan dans
les deux sens.
La carte rseau doit galement supporter le mode full duplex.
l'inverse, lagrgation consiste crer une seule liaison logique constitue de plusieurs
liaisons physiques. Le dbit obtenu est alors gal la somme des dbits des ports agrgs.
Cette technique, normalise 802.3ad, est utilise pour interconnecter deux commutateurs
gnralement de mme marque. Certaines cartes rseau supportent ce mode de fonctionne-
ment.

Fonctionnalit Concentrateur Commutateur
Segment Un seul pour le concentrateur Un par port
Segmentation (Optionnel) Rseaux indpendants
(cest--dire isols, ne pouvant pas
communiquer entre eux)
Segments interconnects par la matrice
de commutation
Mlange des dbits Non Oui pour le mode store and forward
Port Uplink Pour chaner les hubs ;
4 maximum en cascade
Pour chaner les commutateurs entre
eux
Administrable SNMP en option SNMP + RMON en option
Autres fonctionnalits Partitionnement des ports sur erreur Dtection automatique 10/100 Mbit/s
Full duplex
Agrgation de ports
VLAN

Les VLAN (Virtual LAN) seront tudis au chapitre 12. Pour linstant, nous nen avons pas
besoin.
Larchitecture
Mise en place dun rseau local dtage

Ayant en tte toutes les possibilits des quipements notre disposition, la conception dune
architecture rseau simple consiste assembler les concentrateurs et les commutateurs en
exploitant au mieux les capacits du cblage.
Partons dun cas simple : une cinquantaine de PC situs au mme tage dun immeuble
quelconque. Les utilisateurs ont juste besoin dchanger des donnes entre eux et de parta-
ger des applications (un serveur web, une base de donnes, des traitements de texte, etc.).
Le schma suivant dcrit larchitecture de base qui en rsulte.

CHAPITRE 3

57
Figure 3-5.
Rseau local
sur un tage.

Cest on ne peut plus simple :
En vertu de ce qui a t dit aux sections pr-
cdentes, deux concentrateurs empilables
10bT ont t installs et chans entre eux
sur un bus externe.
Chaque poste est raccord un port dun
concentrateur via un systme de cblage tel
que dcrit au chapitre prcdent : un cblage
en cuivre paires torsades (avec, bien sr,
des prises RJ45) centr en toile autour dun
local technique.
Les serveurs sont ici situs dans le local
technique, et chacun dentre eux est raccor-
d directement un port dun concentrateur
via un cordon de brassage RJ45/RJ45.

Il ny a pas de question se poser.

Extension du rseau dtage

Maintenant, des utilisateurs, situs ltage au-dessus, ont les mmes besoins.
Pas de problme : il y a moins de dix PC, ce qui nous permet dutiliser les rocades en cuivre
existantes, et de les connecter directement aux concentrateurs qui sont dj installs.

Concentrateur
LTE
Concentrateur
Deux concentrateurs
stakables empils
QUELS CORDONS DE BRASSAGE ?

Pour connecter un PC un hub, un cordon de
brassage droit (de mme nature que le c-
blage en cuivre paires torsades) doit tre
utilis. Pour connecter deux hubs entre eux,
un cordon crois (paires mission et rcep-
tion) doit tre utilis, sauf si le port uplink est
utilis.

58
58
Figure 3-6.
Extension d'un rseau local
sur plusieurs tages.

Sil y a davantage de PC, ou, dune manire gnrale, sil ny a plus de cbles de rocade en
nombre suffisant (en gnral, entre 6 et 12), il suffit de crer un autre rseau sur le mme
modle. Le problme est maintenant de connecter les rseaux construits sur les deux tages
pour que tout le monde puisse accder aux mmes donnes et aux mmes applications.
La solution la plus simple consiste connecter les deux concentrateurs en cascade, via un
cble de rocade en cuivre.

Figure 3-7.
Un rseau local
tendu sur plusieurs tages.

Concentrateur
Concentrateur
LTE-1
LTE-2
Bus externe matrialis
par un cble reliant les
deux concentrateurs

Concentrateur
LTE-1
LTE-2
Concentrateur
De plus en plus de PC doivent tre
connect cet tage : il ny a plus de
cbles de rocade disponible.
La solution la moins chre consiste
installer un deuxime hub et le
chaner avec lautre via son port uplink.
Port uplink
CHAPITRE 3

59
Conception dun rseau dimmeuble
Maintenant, la situation se corse un peu : le rseau est un succs, il y a de plus en plus de
demandes de connexions, la socit utilise de plus en plus linformatique. Il faut maintenant
crer des rseaux chaque tage. La solution prcdente, consistant chaner les concentra-
teurs nest plus applicable, car on est limit par le nombre de cascades possible. De plus, au-
del de cent postes connects, le rseau Ethernet deviendrait satur (du fait du nombre de
collisions qui augmente avec le nombre dutilisateurs) et, en dfinitive, les temps de rponse
seraient trop grands.
Linstallation de botes doit maintenant faire place une plus grande rflexion, cest--dire
un travail darchitecture. Imaginons donc que nous ayons trois cents utilisateurs rpartis sur
une demi-douzaine dtages, soit en moyenne cinquante postes par tage, plus les impriman-
tes et les serveurs. On se retrouve avec soixante soixante-dix connexions par tage.
Comme prcdemment, on peut installer une pile de concentrateurs chaque tage pour
crer un rseau local dtage. L encore, il faut se poser de nouveau les mmes questions :
Quel dbit : 10bT, 100bT ou Gigabit ?
Quelle technologie : concentrateurs ou commutateurs ?
Un seul segment Ethernet ou plusieurs ?

Les rponses ces questions dpendent avant tout du trafic prvisionnel, des perspectives
dvolution et des performances mises en balance par rapport au cot. Si limmeuble com-
prend trente autres tages, on peut supposer quil faudra tt ou tard tendre le rseau. Si, en
revanche, limmeuble nen comprend que six, on sait que la configuration sera fige pour un
bon moment.

Larchitecture doit donc tre conue pour couvrir les besoins futurs et non seulement ceux
du moment. Elle doit donc tre volutive, cest--dire tre btie sur des quipements que
lon pourra rcuprer (recycler pour dautres usages).
Mise en place dun rseau fdrateur
Si les besoins en trafic sont importants (applications multimdias, applications, voix, don-
nes et visioconfrences), on peut envisager des commutateurs 10bT tous les tages. Dans
la plupart des cas, un dbit de 10 Mbit/s suffira, mais la diffrence de cot tant minime, on
peut envisager le 100bT.

La question est maintenant de savoir comment connecter les rseaux locaux entre eux. La
solution repose sur la cration dun rseau fdrateur (backbone).

On peut imaginer un cble Ethernet (topologie en bus), ou FDDI (anneau), qui parcourt tous
les tages et auquel on connecte les concentrateurs. Cest une solution peu volutive, car le
dbit est limit la technologie utilise (100 Mbit/s pour FDDI). En outre, le Gigabit Ether-
net et lATM ne sont pas prvus pour une topologie en bus ou en anneau. Cest galement
une solution peu sre : le cble tant un lment passif, il ny a aucun moyen de le supervi-
ser distance.

60
60
Larchitecture couramment utilise est de type collapse backbone (littralement, rseau f-
drateur effondr). Le principe consiste concentrer le backbone en un seul point : au lieu
davoir un rseau qui parcourt tous les tages, le backbone est ralis dans un commutateur
unique. Cela revient crer une architecture en toile deux niveaux, un premier concen-
trant les PC chaque tage et un second concentrant les quipements dtage en un point
central, en gnral la salle informatique ou un local nodal ddi aux quipements rseau.

Figure 3-8.
Conception
dun rseau fdrateur.

Commutateur Fdrat
LTE-1
LTE-2
Commutateur
Concentrateur
Local Nodal ou Salle Informatique
Concentrateur
Concentrateur
Commutateur 10bT ou 100bT ou
10/100bT pour les PC gnrant
beaucoup de trafic
Concentrateur 10bT pour les PC gnrant
peu de trafic (bureautique) ou bien 100bT
sil y en a beaucoup cet tage
Port uplink
Le dbit des liaisons
uplink doit tre suprieur
ceux des ports de
connexion des PC.
Les serveurs accds par tous les
utilisateurs doivent tre connects
un dbit suprieur ou gal celui
des liaisons uplink.
100bF
100bT Port uplink
CHAPITRE 3

61
Pour un rseau de taille moyenne (de 200 800 utilisateurs), lquipement central doit tre
de grande capacit en termes daccueil et de performances. Le choix se portera donc sur un
chssis qui offre une matrice de commutation haut dbit. Le rseau fdrateur nest alors
pas limit 10 Mbit/s, mais 100 Mbit/s par tage et la capacit de la matrice de commu-
tation du commutateur central, gnralement plusieurs gigabits.
Quel dbit et quelle technologie ?
Le choix du dbit du rseau fdrateur dpend de celui utilis par les PC.

Si les PC sont connects un Le dbit des liens uplink vers le commutateur
central doit tre au moins gal
Concentrateur 10 Mbit/s 10 Mbit/s
Concentrateur 100 Mbit/s 100 Mbit/s
Commutateur 10 Mbit/s 100 Mbit/s
Commutateur 100 Mbit/s 1 Gbit/s

Le choix du dbit des PC dpend, quant lui, du volume de trafic gnr et du type
dapplication (du flux bureautique au flux multimdia). Mais le passage du concentrateur au
commutateur vite ou retarde laugmentation du dbit, ce qui permet de conserver les cartes
rseau existantes dans les PC.

Indpendamment de la charge rseau et du nombre de PC, certaines combinaisons sont plus
appropries que dautres.

Applications bureautiques
Applications multimdia et client-serveur
Serveur
Plus de 40 PC
3 40 PC

62
62

Type de trafic Rseau dtage Fdrateur
Applications bureautiques
(Word, Excel, bases de donnes)
Concentrateurs 10bT Commutateurs 10/100bT
Client-serveur et un peu de multimdia
(voix et vido)
Commutateurs 10/100bT Commutateurs 100bT
Applications multimdias intensives Commutateurs 100bT Commutateurs Gigabit

Le cot est un autre critre de dcision, sans doute le plus important. Lors du choix dune
technologie (concentration ou commutation) et du dbit, il faut tenir compte du nombre de
cartes rseau pour les PC ainsi que du nombre dquipements.

COMMENT FONCTIONNE UN COMMUTATEUR ?
Un commutateur permet dinterconnecter plusieurs segments Ethernet. Sur chacun de ses ports, on peut
raccorder un concentrateur (plusieurs PC partagent alors la bande passante sur ce port) ou un seul PC
(technique de la microsegmentation).
Afin de limiter le trafic rseau inutile, les trames Ethernet changes entre les PC dun mme segment ne
sont pas transmises sur les autres segments grs par le commutateur (voir encart Le point sur Ether-
net ).
Pour savoir quelles sont les trames qui doivent sortir du segment et celles qui ne le doivent pas, le commu-
tateur regarde toutes les adresses MAC sources des trames qui entrent sur chacun de ses ports, et les en-
registre dans ses tables dadresses (il existe une table par port). Cest le mcanisme dapprentissage. Si
un PC est dplac dun port lautre ou dun commutateur lautre, son adresse MAC peut se retrouver
dans deux tables et crer ainsi des conflits. Pour viter cela, les adresses sont effaces de la table au bout
de 15 30 secondes.
Les commutateurs dentre de gamme ne disposent que de trs peu de mmoire et ne peuvent apprendre
quune, deux ou quatre adresses MAC par port. Ils sont plutt ddis la microsegmentation. Les commu-
tateurs fdrateurs doivent en revanche disposer de beaucoup de mmoire et tre capables denregistrer
plusieurs milliers dadresses MAC, car ils fdrent tous les flux interrseaux locaux (cest--dire interseg-
ment Ethernet).
La mmoire tampon doit galement tre suffisamment importante pour permettre ladaptation des dbits
(entre 10 et 100 Mbit/s, et surtout entre 10/100 et 1 Gbit/s).
Linterconnexion des segments est ralise par une matrice de commutation haut dbit capable de sup-
porter la somme des dbits des ports (8 10 Mbit/s, par exemple). L encore, les commutateurs fdra-
teurs doivent comprendre une matrice de commutation trs puissante (gnralement des ASIC et des
processeurs RISC).
CHAPITRE 3

63

quipement actif 8 ports Cot en Euros HT
Carte 10bT De 38 120
Cartes 100bT et 10/100bT De 75 185
Concentrateur 10bT De 75 770
Concentrateur 100bT (ou 10/100bT) De 385 1 000
Commutateur 10bT De 770 2 300
Commutateur 100bT (ou 10/100bT) De 2 300 3 000
Concentrateur 1000bT Nexiste pas
Commutateur 1000bT De 7 600 13 800

Les carts de prix sont dus des diffrences dans les fonctionnalits proposes (concentra-
teur administrable ou non, empilable ou non, avec ou sans slot dextension, etc.). Un exem-
ple en a t donn au premier chapitre concernant les concentrateurs 10bT. Le choix de la
fibre optique fait galement monter les prix.
Suivre lvolution des besoins
La direction a maintenant dcid de regrouper plusieurs sites sur le ntre et de louer lautre
aile de limmeuble. Le nombre dutilisateurs va ainsi passer de 300 500. Ils seront rpartis
sur 10 tages, soit une moyenne de 70 connexions par tage en comptant les imprimantes,
les doubles connexions, etc.
Par ailleurs, les utilisateurs de bases de donnes client-serveur se plaignent des mauvais
temps de rponse. Il sagit de gros consommateurs de bande passante (gestion lectronique
de documents, applications dcisionnelles de type datawharehouse, etc.) qui perturbe les au-
tres trafics. Les utilisateurs qui se connectent sur des serveurs Unix se plaignent galement
de ralentissements brusques lors de laffichage des crans et du dplacement du curseur
lcran.
Pour faire face cette monte en charge, nous avons plusieurs solutions, que nous pouvons
combiner.
En premier lieu, les commutateurs peuvent tre gnraliss. Cela permet de segmenter le r-
seau afin quun flux important ne viennent en perturber un autre. Ensuite, les dbits peuvent
tre augments 100 Mbit/s pour les plus gros consommateurs. Afin de limiter le cot du
rseau, les autres utilisateurs peuvent rester connects 10 Mbit/s.

64
64

Figure 3-9.
Utilisation des capacits des commutateurs
pour monter en charge.

Commutateur fdrat Commutateur fdrat
LTE-1A
LTE-2A
Salle Informatique
LTE-1B
LTE-2B
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
Commutateur 100bT
Commutateur
Le bus externe doit offrir
un dbit suffisant. Sinon,
un lien uplink pour
chaque commutateur est
ncessaire.
Trunk de deux liens Gigabit
full duplex = 2 Gbit/s
Commutateur 100bT reli
au rseau fdrateur par
un lien uplink 1Gbit/s.
Lien full duplex
100 Mbit/s
Les serveurs accds uniquement par
les utilisateurs de cet tage peuvent
rester dans le LTE afin de rduire la
charge du commutateur fdrateur.
Lien full duplex
10 Mbit/s
100bF
100bT
100bF
Les commutateurs 10bT disposent
de liens uplink 100bT ou 100bF
CHAPITRE 3

65
Au niveau du rseau fdrateur, la capacit daccueil doit tre augmente. La scurit de
fonctionnement doit galement tre amliore, car la panne de lquipement central entra-
nerait larrt de tout le rseau. Le ou les commutateurs empilables doivent donc faire place
un chssis plus performant (en termes de bande passante de la matrice de commutation) et
qui offre des alimentations redondantes.
Lajout dun second commutateur, identique au premier et donc interchangeable, renforce
encore la fiabilit du rseau fdrateur.
Afin de ne pas crer un engorgement entre les deux commutateurs, un lien trs haut dbit
doit tre cr. Cela est ralis en agrgeant plusieurs ports Gigabit (technique du port trun-
king).
Les serveurs trs sollicits et certains postes de travail consommateurs de bande passante
peuvent voir leurs performances daccs rseau accrues par des connexions full duplex.
Assurer la continuit de service
Prs de 500 utilisateurs sont connects. Le rseau devient un lment stratgique du systme
dinformation. En effet, sans lui, les utilisateurs ne peuvent plus travailler : plus de
connexion au systme central, plus daccs aux bases de donnes, plus de messagerie, etc.
Bref, il est ncessaire de construire une architecture redondante pour parer aux ventuelles
pannes. Celles-ci ne sont pas un mythe. En voici quelques-unes qui arrivent frquemment :
panne dalimentation ;
coupure dun cble entre les commutateurs (erreur de manipulation lors du brassage
dans les locaux techniques) ;
dbranchement dun cble, dun convertisseur ou de tout autre petit botier : eh oui, un
transceiver ou un connecteur mal enfoncs dans la prise tendent non pas se remettre
en place deux-mmes (dommage), mais plutt tomber sous leffet des vibrations et de
la pesanteur...
Lincendie ou linondation sont plus rares, mais, quand ils se produisent, il nest pas ques-
tion de reconstruire un systme de cblage et un rseau avant quelques heures, voire plu-
sieurs jours.
La mise en place dun rseau redondant repose dune part sur un systme de cblage qui of-
fre lalternative de plusieurs cheminements, dautre part sur la mise en place dquipements
de secours.
La redondance est gnralement limite au rseau fdrateur, mais, dans des cas critiques
(salles de march, processus industriels en flux tendus, etc.), il peut tre ncessaire de
ltendre jusquau poste de travail.
On peut alors prvoir dquiper ces derniers en carte deux ports : quand le premier perd le
contact avec le port du concentrateur, il bascule sur le second, connect un autre concen-
trateur situ dans un autre local technique. Ct serveur, on peut envisager la mme solution
ou encore prvoir deux cartes ou plus, ce qui offre lintrt du partage de charge en fonc-
tionnement normal.


66
66
Figure 3-10.
Cas
d'un rseau
redondant.

Les quipements fdrateurs sont ici des commutateurs relis entre eux pour former un seul
rseau fdrateur. Cette liaison doit tre de dbit lev afin dabsorber tous les flux issus des
tages et allant vers un serveur connect au commutateur fdrateur oppos. On peut envi-
sager ici du Gigabit Ethernet. Les liaisons entre les commutateurs fdrateurs et les quipe-
ments dtage peuvent tre ralises en cuivre ou en fibre optique, le choix dpendant de la
distance.
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
Commutateur 100bT
Commutateur 10bT
Commutateur fdrat
LTE-1A
LTE-2A
Salle Informatique A
LTE-1B
LTE-2B
Salle Informatique B
Carte double attachement : un lien est
en attente de la dfaillance de lautre
Cordon crois
Lien en attente de
la dfaillance dune
liaison uplink
Les serveurs et quipements rseaux sont
rpartis dans deux salles informatiques.
Deux chemins de
cbles diffrents.
Serveur quip de 2 cartes
full duplex 100 Mbps
Commutateur fdrat
CHAPITRE 3

67
L'agrgation de liens offre ici une protection supplmentaire car chaque lien passe par deux
gaines techniques diffrentes : en cas de perte d'une des liaisons (coupure du cble, incendie,
etc.), l'autre reste oprationnelle et permet un fonctionnement en mode dgrad 1 Gbit/s au
lieu de 2 Gbit/s.
Il est noter que cette architecture redondante nest possible que parce que les quipements
sont des commutateurs. Ceux-ci changent des informations sur la topologie du rseau et d-
terminent les routes actives et celles qui ne le sont pas. Le protocole utilis sappelle le
spanning tree.
La mme architecture avec des concentrateurs serait impossible car le segment Ethernet fe-
rait une boucle, ce qui est interdit par la norme IEEE. Pour assurer le mme niveau de re-
dondance, une configuration quivalente avec des concentrateurs serait donc beaucoup plus
complexe et ncessiterait de doubler le nombre de cbles. De plus, seule lutilisation de la
fibre optique permet ce type de redondance.

Figure 3-11.
Redondance
avec des concentrateurs
Ethernet.

Les liaisons en pointill sont inactives en fonctionnement normal. En cas de rupture de la
liaison principale, le concentrateur dtage active la seconde liaison en quelques microse-
condes.
La liaison entre les deux concentrateurs fdrateurs doit tre double. En effet, si elle tait
perdue, on se retrouverait avec deux rseaux isols ayant le mme numro de rseau IP.

Concentrateur
LTE-1A
Concentrateur
Concentrateur
Concentrateur
LTE-1B
Salle Informatique B
Concentrateur
Concentrateur
Lien en attente de la
dfaillance du premier
Liens actifs Liens en attente
Salle Informatique A

68
68
Inversement, avec le spanning tree, les liens sont tous actifs, mais une des routes est invali-
de par les commutateurs. En cas de rupture dun lien, une nouvelle route sera calcule, g-
nralement au bout de trente secondes.

Figure 3-12.
La redondance
avec le spanning tree.

Lchange de trames Ethernet

Un rseau local tel quEthernet est constitu de concentrateurs et de commutateurs, deux
quipements au comportement bien diffrent.

Caractristique Ethernet partag Ethernet commut
quipement Concentrateur Commutateur
Segment Un segment partag par tous les ports Un segment par port
Architecture matrielle Composants lectroniques ; un ou plu-
sieurs bus Ethernet
ASIC et processeur RISC, matrice de
commutation
Architecture logicielle Petit logiciel pour des options de confi-
guration et pour ladministration SNMP
Logiciel plus complexe, mais traitement
essentiellement matriel
Algorithme de routage Aucun Spanning tree
Traitement des trames Aucun traitement (transparent pour les
trames Ethernet)
Filtrage et transmission (forward) des
trames ; apprentissage des adresses
MAC
Couche rseau Niveau 1 = couche physique Niveaux 1 et 2 = couche physique et
liaison
Fonction Connecter plusieurs PC au sein dun
segment
Interconnecter plusieurs segments

change de trames sur un segment Ethernet
Commenons par tudier le fonctionnement au sein dun segment Ethernet partag (la trame
circule sur un seul segment).
La norme Ethernet spcifie lutilisation dadresses physiques lies aux cartes rseau : les
adresses MAC.

Commutateur Commutateur
Commutateur
Les commutateurs bloquent
lutilisation de ces ports car
une boucle a t dtecte.
Une autre paire de ports aurait pu
tre dsactive, mais lalgorithme
spanning tree a choisi ceux l.
CHAPITRE 3

69

La carte recevant une trame Ethernet ne la prendra en compte que si ladresse MAC de des-
tination de la trame est identique celle qui est inscrite dans sa mmoire. La seule exception
cette rgle concerne les adresses de broadcast et, ventuellement, les adresses multicast.

En rsum, les cartes sont programmes pour accepter les trames qui leur sont destines,
plus toutes les trames de broadcast ainsi que les trames multicast qui ont t configures.

Figure 3-13.
change
des trames
Ethernet.

Les trames qui sont acceptes sont remises au protocole de niveau 3, qui correspond
lidentifiant trouv dans le champ Type , soit 00800 pour IP. Celles qui ne sont pas des-
tines la station sont ignores.

La carte envoie la trame MAC : le signal Ethernet
se propage le long du cble et est rpt par le
concentrateur sur les autres ports.
Toutes les cartes sont lcoute des
signaux qui circulent sur le cble.
Toutes les cartes se synchronisent
sur le prambule des trames MAC.
Les cartes lisent les adresses
MAC destination des trames qui
circulent sur le cble.
Concentrateur
Up
Oui, la trame est pour moi,
jai la mme adresse MAC
que ladresse destination
de la trame. Je la transmets
la couche rseau IP.
Non, la trame nest pas pour moi,
je nai pas la mme adresse MAC
que ladresse destination de la
trame. Je lignore.

QUEST-CE QUE LE SPANNING TREE ?

Lorsquun commutateur reoit une trame, il recherche son adresse de destination dans ses tables
dadresses MAC (une par port). Si elle ne sy trouve pas, il la transmet sur tous ses ports. Sinon, il lenvoie
uniquement sur le port identifi. Cest le mcanisme de forwarding.
Sil existe plusieurs chemins, par exemple entre un commutateur dtage et deux fdrateurs, la trame ris-
que de boucler, car chacun des commutateurs transmet la trame (forward).
Le spanning tree est un protocole de routage de niveau 2 associ un algorithme qui permet dviter que
les trames bouclent dans le rseau. Les commutateurs schangent des trames spanning tree et calculent
une route en invalidant les chemins multiples susceptibles de crer des boucles au sein du segment Ether-
net.

70
70

change de trames entre diffrents segments Ethernet
On la vu, le commutateur est un quipement permettant de segmenter le rseau Ethernet et
dinterconnecter ces diffrents segments. Pour dcider si la trame doit passer dun segment
lautre, il se base sur son adresse MAC quil compare avec celles se trouvant dans ses tables
dadresses en mmoire.
On peut envisager diffrentes situations dans lesquelles il existe plusieurs chemins possibles
entre deux stations.

Chaque commutateur transmet la trame.
Hub dtage
Mais la trame arrive en deux exemplaires : erreur !
1 1
2 2
Table
Port Adr
1 X
2 Y
Adresse MAC = x
Adresse MAC = y
Table
Port Adr
1 X
2 Y
Switch 1 Switch 2
De plus, le hub 2 rgnre la trame sur tous ses
ports. Chaque commutateur reoit sur son port
n 2 la trame mise par lautre commutateur :
celle-ci est bloque car ladresse MAC source
X se trouve dj sur un autre port (le n 1).
Le PC met une trame.
Hub 1
Hub 2

LES ADRESSES MAC (IEEE 802.3)
Une adresse MAC est constitue de 6 octets et scrit sous forme hexadcimale spar par des tirets,
comme par exemple 02-60-8C-EB-25-D2. Ladresse de broadcast est FF-FF-FF-FF-FF-FF.

I/G U/L Adresse du constructeur sur 22 bits Sous-adresse sur 24 bits
Bit I/G 0 = Adresse unicast (individuelle)
1 = Adresse multicast (groupe)
Bit U/L 0 = Adresse Universelle attribue par lIEEE
1 = Adresse Locale
OUI (Organizationally Unique Identifier) = Partie de
ladresse affecte par lIEEE un fabricant de carte :
02608C pour 3com, 00000C pour Cisco, etc.
Partie de ladresse affecte
par le fabricant de la carte :
de 000001 FFFFFE
sens de transmission des bits

Le schma montre ladresse dans lordre de transmission des bits, alors quen reprsentation hexadci-
male, lordre des bits au sein de chaque octet est invers (cf. exemple au dbut du chapitre 15). Ainsi, le
premier octet " 02 " indique que le bit U/L est " 1 ". Le site standards.ieee.org/search.html permet de re-
chercher les OUI affects par lIEEE.
CHAPITRE 3

71
Il faut noter que, si le serveur na jamais mis de trame, son adresse MAC Y nest pas
encore connue des commutateurs. Ces derniers transmettront alors la trame sur tous les au-
tres ports, dont le port n 2. De plus, la mme situation se produit pour toutes les trames de
broadcast et de multicast.

Pour viter ces problmes, il faut quune des deux routes soit interdite. Cest l quintervient
le spanning tree. Le but de ce protocole est de dfinir une route unique vers un commuta-
teur dsign racine en se basant sur des cots et des priorits.

Compte tenu des processus dlection, il est important de bien paramtrer les cots (expri-
ms en nombre de sauts et/ou dpendant du dbit du port) ainsi que les priorits. Les valeurs
par dfaut (fixes en usine) peuvent en effet aboutir choisir des chemins qui ne sont pas les
meilleurs. Prenons le cas de notre rseau local redondant.

Figure 3-14.
Consquence
dun spanning tree
mal paramtr.

Switch 5
Switch 6
Switch 3
Switch 4
Switch 1 Switch 2
D
D R
R
R
R
R
son initialisation, chaque switch se dsigne
racine, puis compare les identifiants des autres
BPDU qui arrivent. Finalement, tous les switches
enregistrent le switch 6 comme racine.
Tous les switches
ont t installs avec
les valeurs par
dfaut (valeurs
usine). Ils ont les
mmes cots et les
mmes priorits.
R = port racine
D = port dsign
En pointill, les liens
invalids : les ports
ont t bloqus par
le spanning tree.
D
D
D
Rsultat : le flux entre la station et
le serveur transite par deux
commutateurs au lieu dtre direct.


72
72

Tous les commutateurs ont la mme priorit (par exemple 32 768) et le mme cot sur cha-
que port de mme dbit (par exemple 19 pour les ports 100 Mbit/s). Le switch 6 a t d-
sign racine parce que son identifiant (priorit + adresse MAC) tait le plus bas. Le mme
processus de slection a dtermin les routes menant vers la racine uniquement en se fon-
LE POINT SUR LE SPANNING TREE (IEEE 802.1D)
Lalgorithme du spanning tree consiste construire un arbre dfinissant un chemin unique entre un commu-
tateur et sa racine.
Lors de la construction de larbre (suite un changement de topologie), chaque commutateur met un
BPDU (Bridge Protocol Data Unit) de configuration sur tous ses ports. Inversement, il retransmet tous les
BPDU (ventuellement en les modifiant) qui lui arrivent, et ainsi de suite jusqu ce que les BPDU changs
contiennent tous la mme valeur.
La premire tape de ce processus consiste lire un commutateur racine : cest celui dont la priorit est
la plus basse ou, en cas dgalit, celui dont ladresse MAC est la plus basse.
Ensuite, chaque commutateur dtermine le port racine celui par lequel un BPDU mis par la racine ar-
rive. Sil y en a plusieurs, le port choisi est celui qui a le cot de chemin vers la racine le plus bas. Le cot
est dtermin par la somme des cots des ports situs entre le commutateur et la racine. En cas dgalit,
le port choisi est celui qui a la priorit la plus basse ; en cas de nouvelle galit, cest celui qui a ladresse
MAC la plus basse.
Enfin, sur chaque segment Ethernet, le commutateur dont le port racine a le cot de chemin vers la racine
le plus bas est lu commutateur dsign. En cas dgalit, cest celui qui a la priorit la plus basse et, en
cas de nouvelle galit, celui qui a ladresse MAC la plus basse.
En dfinitive, sur chaque segment Ethernet, un seul chemin vers le commutateur racine sera calcul. Les
commutateurs dsactivent tous leurs ports qui ne sont ni racines ni dsigns.
Identificateur de
protocole=0
Flag chgt
de topologie
Priorit de la racine
(0 = la plus basse)
Type de
BPDU
Cot du chemin vers la racine
(0 = le plus bas)
Adresse MAC de la racine
Priorit du port du
commutateur
Adresse MAC du port du commutateur
Identifiant du port du
commutateur
ge du message ge maximum
Intervalle denvoi
des BPDU
Aprs chgt topologie,
dlais avant de xmettre
Version=0
2 octets 2 octets 1 octet 1 octet 1 octet

Afin de dtecter les changements de topologie (apparition ou disparition dun commutateur), la racine en-
voie rgulirement (toutes les deux secondes par dfaut) un BPDU dannonce (comprenant seulement les
trois premiers octets) sur tous ses ports. Les commutateurs transmettent ce BPDU sur leurs ports dsigns.
Les BPDU sont envoys dans des trames Ethernet multicast dadresse MAC 01:80:C2:00:00:10 transpor-
tant les trames LLC identifies par le SAP 0x42.
CHAPITRE 3

73
dant sur les valeurs des adresses MAC, puisque toutes les autres valeurs (priorit et cot)
sont identiques.
Rsultat, certains flux ne sont pas optimiss et peuvent dgrader les performances.
Reprenons les diffrentes phases de calcul de larbre spanning tree. Les commutateurs dsi-
gnent la racine. Afin doptimiser les flux, il est prfrable que ce soient les commutateurs
fdrateurs qui assurent ce rle. Leur priorit doit donc tre abaisse par rapport aux com-
mutateurs dtage. tant donn quil sagit de Catalyst 5000, la commande est la suivante :

Console> (enable)set spantree priority 10000
VLAN 1 bridge priority set to 10000.

Figure 3-15.
lection
du commutateur racine.

Chaque commutateur choisit ensuite son port racine, celui dont le cot de chemin vers la ra-
cine est le plus bas. Sur un Catalyst, le cot de chaque port dpend de son dbit : 4 pour 1
Gbit/s, 19 pour 100 Mbit/s, et 100 pour 10 Mbit/s. La commande suivante permet de chan-
ger la valeur par dfaut :
Console> (enable)set spantree portcost 1/1 4

Figure 3-16.
Choix
des ports racines.

Switch 3
Switch 4
Switch 1 Switch 2
En recevant la priorit de tous les autres
switches, chaque switch dtermine que cest le
switch 1 qui est lu racine.
D
BPDU
BPDU
Ma priorit
est 40000
Ma priorit
est 40000
Ma priorit
est 10000
Ma priorit
est 11000
BPDU
BPDU
BPDU

10 Mbps
100 Mbps
100 Mbps
1 Gps
Switch 3
Switch 4
Switch 1 Switch 2
Le switch 4 dtermine que son
port racine est le port 0.
Chaque switch fait de mme.
D
BPDU
BPDU
Cot = 19
Cot + 19
BPDU
BPDU
Cot =4
Cot = 119 via port 1
et = 23 via port 0
Cot + 100
Le cot vers la racine est
augment chaque passage
dans un commutateur.
etc.


74
74
Sur chaque segment Ethernet, le commutateur dsign est celui dont le port racine a le cot
le plus bas. En cas dgalit, la priorit dtermine ce cot. tant donn que tous les ports
ayant un mme dbit ont le mme cot et la mme priorit par dfaut, le choix seffectuera
en fonction de ladresse MAC. Pour viter les mauvaises surprises, il est possible dabaisser
la priorit dun port pour tre sr quil soit dsign en cas de routes multiples :
set spantree portpri 1/1 32

Figure 3-17.
lection
des commutateurs dsigns.

En dfinitive, les chemins redondants ne sont pas utiliss, et le partage de la charge entre
plusieurs routes nest pas possible.
Les mmes BPDU sont envoys sur tous les ports, mme l o il ny a quun PC connect.
Le spanning tree peut donc tre dsactiv sur ces ports, ce qui prsente lavantage de dimi-
nuer (un peu) le trafic et dviter que des ajouts sauvages de commutateurs (qui seraient
connects sur ces ports) ne viennent perturber votre rseau.

set spantree disable

Le commutateur racine met rgulirement (toutes les deux secondes par dfaut) des BPDU
pour maintenir ltat du spanning tree. Si le rseau est stable (peu dincidents et de change-
ments), il est possible daugmenter cette valeur afin de diminuer le trafic

set spantree hello 5

On peut sassurer que, sur le switch 1, le spanning tree sest stabilis dans une bonne confi-
guration.

Console> (enable) show spantree
VLAN 1
Spanning tree enabled
Designated Root 00-1f-00-40-0b-eb-25-d2
Designated Root Priority 45
Designated Root Cost 0
Designated Root Port 1/1
Switch 3
Switch 4
Switch 1 Switch 2
R
Le switch 1 a
t lu racine
D
R
Cot vers la
racine = 23
Cot vers la
racine = 19
Le switch 2 est lu
sur ce segment.
R
Lien 10 Mbit/s : cot par dfaut
= 100. Ce lien est invalid.
Lien 1 Gbit/s : cot
par dfaut = 4
Lien 100 Mbit/s :
cot par dfaut = 19
Lien 100 Mbit/s :
cot par dfaut = 19
D
Cot vers la
racine = 4
D
D
CHAPITRE 3

75
Root Max Age 20 sec Hello Time 2 sec Forward Delay 20 sec
Bridge ID MAC ADDR 00-40-0b-eb-25-d2
Bridge ID Priority 45
Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 20 sec

Port Vlan Port-State Cost Priority Fast-Start
-------- ---- ------------- ----- -------- ----------
1/1 1 forwarding 4 32 disabled
2/2 1 not-connected 19 32 disabled

Le processus de cration de larbre spanning tree peut durer plusieurs dizaines de secondes.
Ce temps est, en ralit, proportionnel au nombre de commutateurs.
Pendant cette phase, aucun commutateur ne traite de trame au cours des 15 premires se-
condes (valeur par dfaut) ; le rseau sarrte donc de fonctionner chaque fois quun com-
mutateur est allum ou teint quelque part dans le rseau.
La phase dapprentissage est encore plus longue lorsque tous les commutateurs sinitialisent
en mme temps (suite une panne de courant, par exemple). En effet, les BPDU sont reus
par plusieurs ports dont lun peut tre lu racine, puis invalid par la suite si un commutateur
situ en aval a invalid sa route. Le temps de stabilisation de larbre peut ainsi atteindre plu-
sieurs minutes.
Dans certains cas, notamment sur les commutateurs fdrateurs, il peut tre intressant de
diminuer ce temps, surtout si larchitecture rseau est conue sans aucune boucle.
set spantree fwddelay 5
Inversement, si ce temps est trop court par rapport au dlai de construction de larbre, des
trames peuvent commencer circuler et potentiellement tre dupliques dans le cas de rou-
tes multiples. Il vaut alors mieux augmenter le paramtre forward delay au-del des 15
secondes par dfaut.
La meilleure solution consiste activer plus rapidement les ports qui ne sont pas concerns
par le spanning tree, cest--dire ceux sur lesquels est connecte une seule station.
set spantree portfast 1/2 enable
On peut remarquer que lchange de BPDU et llection dun commutateur dsign impli-
quent que chaque port du commutateur soit identifi par une adresse MAC (comme une
carte rseau).
Lalternative cette optimisation repose sur la nouvelle version du spanning tree, appele
RSTP (Rapid Spanning Tree Protocol) et issue du groupe de travail IEEE 802.1w. Le pro-
tocole RSTP est compatible avec le spanning tree et sera, terme, intgr dans le standard
802.1d.

76
76

LE POINT SUR GARP (IEEE 802.1D)
La norme 802.d spcifie, en plus du spanning tree, le protocole GARP (Generic Attribute Registration Proto-
col), qui permet aux commutateurs dchanger des informations de gestion. Chaque commutateur peut ainsi
dclarer aux autres commutateurs appartenir un groupe possdant certains attributs.
La mme norme spcifie une application de GARP lenregistrement des groupes multicast, protocole appel
GMRP (GARP Multicast Registration Protocol). La norme 802.q utilise galement GARP pour la propagation
dynamique des VLAN entre commutateurs : le protocole est appel GVRP (GARP VLAN registration Proto-
col).
Un commutateur fonctionne avec plusieurs participants GARP, un par application et par port du commutateur.
Un tel participant est constitu de lapplication et dune instance du GID (GARP Information Declaration), qui
gre, pour chaque attribut utilis par lapplication, ltat du participant (membre, observateur) associ
ltat des attributs (enregistr, dclar). Les GID utilisent le protocole GIP (GARP Information Propagation)
pour changer ces attributs.

Application
GARP
GID GID GID
A B C
Ports
Commutateur
Participant GARP
Attributs
Application
GARP
GID
A B C
GIP Dclaration dattributs Enregistrement dattributs

laide de ces composants, un port recevant la dclaration dun attribut lenregistre et le dclare (i.e. le pro-
page) aux autres ports. Inversement, lannulation dun attribut est propage vers un port si tous les autres
ports ont annul lenregistrement de cet attribut.
Le PDU (Protocol Data Unit) utilis par GIP est constitu de messages contenant des listes dattributs re-
groups par types.

1
00 01 Type attribut
Liste dattributs Version du protocole Message
Attribut 1 Attribut Fin Attribut N
Longueur Action Valeur
Fin Type attribut
0 = LeaveAll : annule toutes les dclarations pour les attributs du type Type attribut .
1 = JoinEmpty : dclare lattribut, sans lenregistrer. Reste lcoute des dclarations.
2 = JoinIn : dclare lattribut qui a t enregistr.
3 = LeaveEmpty : annule la dclaration de lattribut, sans lavoir enregistr.
4 = LeaveIn : annule la dclaration de lattribut, aprs lavoir enregistr.
5 = Empty : attribut non enregistr et pas de dclaration faire. Reste lcoute des dclarations.
2 1
1 N Nombre doctets
1 Nombre doctets

Les PDU GARP sont transports dans des trames LLC identifies par le SAP 0x42. Les applications GARP
sont identifies par des adresses MAC qui leur sont rserves : 01-80-C2-00-00-20 pour GMRP et 01-80-C2-
00-00-21 pour GVRP.
4
Lalternative
du sans fil

Pourquoi sembarrasser de cbles ?
Le systme de cblage est, en effet, source de complexit et de cot. Il est galement syno-
nyme de rigidit : se dplacer dun bureau vers une salle de runion ou dune pice lautre,
ncessite de cbler entirement les bureaux ou sa maison.
Les concepteurs de rseaux Ethernet proposent ainsi une version sans fil de ce protocole, re-
posant sur les ondes radio. Les applications tant multiples, de nombreux protocoles se dis-
putent le march.
Les rseaux Ethernet sans fil rpondent aux inconvnients du cblage, mais posent dautres
problmes inhrents aux ondes radio, telles que les interfrences et la confidentialit des in-
formations. LEthernet sans fil requiert ainsi ses propres rgles dingnierie et a donc des
limites.
les principes techniques des rseaux sans fil ;
le fonctionnement des diffrents protocoles Wi-Fi, etc. ;
installer un rseau local Ethernet sans fil.

Wi-Fi 802.11a, 802.11b et 802.11g, Bluetooth 802.15

78
78
Introduction
Le monde du sans fil est trs vaste puisquil couvre de nombreuses applications qui nous
sont familires : radio, tlvision, tlphone et maintenant transmission de donnes.
Dun point de vue utilisateur, on peut classer le monde du sans fil en quatre catgories qui se
distinguent par la taille de la cellule. La cellule dsigne la porte de londe entre lmetteur
et le rcepteur, en dautres termes la distance maximale entre les deux.

Type de cellule Large Macro Micro Pico
Taille de la cellule 20 km 1 3 km 150 100 m 10 30 m
Position de lantenne Toits, pylnes Toits, pylnes,
faades
Plafonds, murs Sac, oreillette,
PDA
Application Tlphonie
(GSM, UMTS)
Boucle locale
radio
Rseau local
sans fil
Rseau
personnel
Dbit des donnes Quelques
centaines de
Kbit/s
Quelques
Mbit/s
10 50
Mbit/s
Quelques
Mbit/s

Les technologies employes sont non seulement adaptes ces diffrentes applications,
mais galement aux conditions rglementaires imposes dans chaque pays. En effet, le do-
maine des ondes radio couvre un espace de frquence limit, allant du Kilo-Hertz aux dizai-
nes de Giga-Hertz. Cet espace doit donc tre partag, et les utilisateurs ne manquent pas :
militaires, aviation civile, chanes de tlvision, stations de radio, oprateurs tlcoms, en-
treprises et maintenant les particuliers.

Les autorits gouvernementales de chaque pays, lART en France (Autorit de rgulation
des tlcommunications), la FCC aux tats-Unis (Federal Communication Commission),
contrlent cet espace et le grent. Des bandes de frquence sont ainsi attribues sous forme
de licences payantes et limites dans le temps. Certaines plages sont cependant libres,
cest--dire quelles peuvent tre utilises gratuitement, sans licence. Cela est le cas des
bandes de frquence autour de 2,4 GHz et de 5 GHz, celles qui nous intressent dans ce
chapitre consacr aux rseaux locaux sans fil.

Les bandes de frquence prcises utilises par ces technologies dpendent de celles alloues
par les autorits gouvernementales. Elles peuvent donc varier dun pays lautre.

La puissance des metteurs est galement rglemente, puisquelle influe sur la taille des
cellules. Il est ainsi possible dutiliser les mmes frquences des endroits distincts, si la
porte des ondes est rduite. Nous connaissons tous cela avec les radios FM : dune rgion
lautre, des stations diffrentes peuvent mettre sur la mme longueur donde.

Lalternative du sans fil
CHAPITRE 4

79
Les principes de transmission radio
Cette section na pas pour objet de vous faire devenir des experts en transmission hert-
zienne, mais de prsenter les principes de base permettant de comprendre comment fonc-
tionne votre rseau local sans fil.

Le signal radio

Un signal radio est une onde lectromagntique se propageant travers lespace. Selon sa
frquence, il traverse la matire ou est rflchi. ce titre, la lumire se comporte comme
une onde lectromagntique. Ces phnomnes bien connus de rflexion, de translucidit, de
transparence et dopacit sappliquent galement aux ondes radio.
De mme, la propagation dune onde lectromagntique dans lespace peut tre visualise
par analogie avec celle dune onde sur leau, provoque par le jet dune pierre, lmetteur de
londe tant en loccurrence la pierre. Les principes sont les mmes, bien que leur nature soit
diffrente.

Londe lectromagntique est gnre par loscillation dun champ lectrique qui gnre un
champ magntique, qui lui-mme oscille et donc gnre un champ lectrique, et ainsi de
suite. La frquence de loscillateur dtermine donc celle du signal.
Le schma suivant permet de se situer dans les gammes de frquence connues.

nergie
Spectre des radio-frquences
Rayons
gamma
Rayons
X
Ultra
violet
Visible Infra
rouge
Micro
ondes
Ondes
radio
50 m 700 nm 400 nm 10 nm 0,1 nm
10
9
6x10
12
4x10
14
8x10
14
3x10
16
3x10
19

Frquence en Hz
Longueur donde
VLF LF MF VHF UHF SHF EHF
1 GHz 6 THz 10 KHz
10
4

GSM, WLAN...
30 cm

Non seulement ces ondes diffrent par leurs frquences, mais aussi par la manire dont elles
sont gnres, savoir par transition : du spin (ondes radio), rotationnelle (micro-ondes), vi-
brationnelle (infrarouge) ou lectronique (visible et ultraviolet).

La puissance dun signal radio se mesure en milliwatts ou en dcibels, un ratio logarithmi-
que de la puissance du signal divis par 1 mW. Tout comme la luminosit diminue avec la
distance, la puissance du signal diminue proportionnellement au carr de la distance.


80
80
La modulation du signal
Une onde est classiquement reprsente par une sinusode et est caractrise par la longueur
entre deux points de rfrence, par exemple la crte du signal.

Voltage
en volts
Priodicit t de londe en secondes
Frquence f en Hertz = cycles par seconde
Amplitude en
volts ou en watts
Vitesse de propagation de londe
= 3x10
8
en mtres par seconde
f = 1 / t = v /
Longueur donde en mtres

Dans un signal, la porteuse est le signal de rfrence ne transportant aucune donne. Les
donnes sont transmises en modulant le signal selon diffrentes manires : par son ampli-
tude, sa frquence ou par sa phase.
Pour les signaux analogiques, on parle de modulation de frquence (FM) ou de modulation
damplitude (AM). Pour les signaux numriques, on retrouve lquivalent avec, en plus, des
variantes :
OOK (On/Off Keying), la base du code Morse ;
FSK (Frequency Shift Keying) ;
PSK (Phase Shift Keying) ;
ASK (Amplitude Shift Keying) ou PAM (Pulse Amplitude Modulation).

Amplitude
(volts)
FSK (modulation de frquence)
1 0 1 0 1 0 1 0
Amplitude
(volts)
Porteuse (signal de base)
Signal de modulation
Temps

CHAPITRE 4

81

Amplitude
(volts)
PSK (modulation par changement de phase)
Amplitude
(volts)
PAM (modulation de lamplitude)
Amplitude
(volts) OOK (modulation par absence de signal)

Il est galement possible de combiner les modulations ASK et PSK, technique appele APK
(Amplitude/Phase Keying) ou QAM (Quadrature Amplitude Modulation). Il existe gale-
ment des variantes la modulation de frquence, telle que GFSK (Gaussian Frequency Shift
Keying), et la modulation de phase, telle que GMSK (Gaussian Minimum Shift Keying) et
BPSK (Binary Phase Shift Keying).
En outre, le signal peut tre transmis une frquence donne (diffusion en bande troite),
comme cela est le cas pour la radio, ou tre diffus sur une plage de frquences (diffusion en
largeur de bande) comme cela le cas pour les transmissions de donnes. Dans ce dernier
cas, le canal dsigne ainsi la frquence au centre de la largeur de bande et la bande pas-
sante dsigne ainsi le spectre de frquence sur laquelle le signal est diffus. De fait, les ca-
naux doivent tre suffisamment espacs afin dviter les interfrences mutuelles.
Lavantage de la transmission en largeur de bande par rapport la transmission en bande
troite, est quun signal parasite naltre quune partie du spectre de frquence, et ces cons-
quences sur le signal originel peuvent mme tre supprimes en rception grce
lapplication de fonctions mathmatiques.
Le multiplexage des canaux de frquence
ces techniques de modulation, sajoutent des techniques de multiplexage permettant de
partager la bande passante entre plusieurs utilisateurs. On trouve ainsi :
FDMA (Frequency Division Multiple Accessing), qui consiste affecter un canal par
utilisateur (la bande de frquence est dcoupe en canaux avec une porteuse pour cha-
cun) ;
TDMA (Time Division Multiple Accessing), qui dcoupe le canal en tranches de temps,
une par utilisateur (un canal GSM utilise 3 tranches de temps) ;

82
82
CDMA (Code Division Multiple Accessing) qui partage le canal laide dune adresse
affecte chaque utilisateur (principe retenu pour lUMTS).
cela, viennent sajouter des techniques de gestion de la bande passante, cest--dire la
manire dutiliser le spectre de frquences pour transmettre une trame, le but tant dutiliser
au mieux la largeur de bande afin daugmenter les dbits :
FHSS (Frequency Hopping Spread Spectrum), qui met sur quelques canaux simulta-
nment parmi plusieurs dizaines en en changeant alatoirement plusieurs fois par se-
conde ;
DSSS (Direct Sequence Spread Spectrum), qui consiste mettre sur toute la largeur de
bande autour du canal ;
OFDM (Orthogonal Frequency Divison Multiplexing) qui segmente la largeur de bande
en sous-frquences (jusqu 52 porteuses), chacune transportant une portion de la trame
et tant module avec un code diffrent (BPSK, QPSK, 16-QAM, 64-QAM) selon le
dbit slectionn. OFDM est galement connu sous le nom de DMT (Discrete Multi-
Tone).
Alors que DSSS arrose tout le spectre, FHSS nen utilise quune partie en se dplaant
lintrieur. Cela rend ce dernier plus robuste aux interfrences (la probabilit de perturbation
augmente avec la largeur de bande), mais diminue le dbit de transmission.
De son ct, OFDM utilise encore mieux le spectre de frquence, puisque lespacement en-
tre les sous-porteuses est rduit, de lordre de 312 KHz contre 1 MHz entre les canaux FHSS
et DSSS.
De ce fait, OFDM convient mieux un faible nombre de nuds transmettant beaucoup de
donnes, tandis que DSSS est plus adapt un rseau comportant beaucoup de nuds et
transmettant moins de donnes.
Le codage
Les techniques de transmission numriques ne transmettent pas des bits indpendamment les
uns des autres, mais des groupes de bits cods par des symboles. Dans le cas dune modula-
tion de phase, un jeu de symboles pourrait tre, par exemple :

Bits Symbole
00 0
01 /2
10
11 3/2 (= -/2)

Un symbole correspond donc une forme de signal, dpendant de la technique de modula-
tion employe, comme, par exemple qui peut reprsenter la valeur 01.

CHAPITRE 4

83
Lintrt est que la transmission dun groupe de bits rsiste mieux aux interfrences : les
processeurs spcialiss dans le traitement du signal, les DSP (Digital Signal Processor),
comparent la forme du signal reu une table de rfrence (en dautres termes, une table des
symboles). Mme si une partie du signal est altre, le DSP sera quand mme capable de re-
connatre la forme si celle-ci ressemble de manire non ambigu un symbole de rfrence.
Les fonctions mathmatiques utilises par ce type de processeur sont les transformations de
Fourier rapides (FFT Fast Fourier Transform).
Proprits des ondes radio
Dune manire gnrale :
Plus le dbit est lev, plus la couverture radio est faible.
Plus la puissance dmission est leve, plus la couverture est grande, mais avec une
consommation dnergie plus grande.
Plus la frquence radio est leve, meilleur est le dbit, mais plus la couverture est fai-
ble.
Par ailleurs, les signaux se comportent diffremment dans lenvironnement selon leur fr-
quence :
Dans la gamme des micro-ondes, les gouttes de pluie attnuent davantage les signaux
haute frquence que les signaux basse frquence.
Une partie du signal peut traverser les objets et une autre tre rflchie, linstar de la
lumire sur une tendue deau.
Les ondes basse frquence, de lordre du Kilo-Hertz, sont rflchies par les couches
hautes de latmosphre et peuvent donc tre reues au-del de lhorizon cr par la
courbure de la terre.
Les micro-ondes sont en partie rflchies par la plupart des objets. Un signal dorigine
peut ainsi tre rflchi plusieurs fois. Le rcepteur capte donc plusieurs signaux avec de
lgers dcalages de temps.
Dans le haut du spectre des micro-ondes, au-del de 5 GHz, les ondes ne pntrent qua-
siment pas les objets. Lmetteur et le rcepteur ont besoin dtre en vue directe sans
obstacle, configuration appele clear line of sight dans la littrature anglo-saxonne.
Exemples dapplication
La norme Bluetooth 802.15.1 permet de grer jusqu 7 connexions simultanes de diff-
rentes natures : 3 canaux synchrones 64 Kbit/s (pour la voix et la vido) ou 2 canaux syn-
chrones 64 Kbit/s avec 1 canal asynchrone asymtrique (721 Kbit/s / 57,6 Kbit/s) ou
symtrique (432,6 Kbit/s dans les deux sens) pour les donnes. La norme emploie la techni-
que FHSS sur 5 canaux parmi 79 (4 parmi 23 en France) avec un espacement de 1 MHz en-
tre les canaux. Bluetooth change 1 600 fois de canal par seconde, comparer avec Home
RF qui saute de frquence 50 fois par seconde et qui, comme Bluetooth, combine transmis-
sion de donnes et tlphonie en fournissant 4 canaux DECT et un canal de donnes 1,6
Mbit/s.

84
84
De son ct, la norme Wi-Fi 802.11b emploie la technique DSSS avec des modulations de
type PSK, tandis que Wi-Fi 802.11a utilise la technique OFDM avec des modulations de
type PSK et QAM.
La norme 802.11b utilise le codage Barker pour les dbits de 1 et 2 Mbit/s, le codage CCK
(Complementary Code Keying) pour les dbits de 5,5 et 11 Mbit/s.
Revue des rseaux sans fil
Les quelques noms qui viennent dtre cits sont des protocoles normaliss qui dfinissent
les couches physiques et logiques, savoir : les techniques de gestion de la bande passante
et les modulations dune part, le format des trames et les procdures dchanges dautre part.
Selon leur domaine dapplication, on peut les ranger dans trois catgories : WPAN pour les
micro-rseaux personnels, WLAN pour les rseaux locaux Ethernet, sujet qui nous intresse
dans ce chapitre, et WMAN pour les rseaux lchelle dune ville.

Standard Nom
commercial
Catgorie Applications
802.11a Wi-Fi WLAN Rseau local
802.11b Wi-Fi WLAN Rseau local
802.11g Wi-Fi WLAN Rseau local
ETSI 300 652 HiperLAN 2 WLAN Rseau local
HomeRF HomeRF 2.0 WLAN Rsidentiel et SOHO
IrDA Infra-rouge WPAN Connexion des priphriques aux PC
802.15.1 Bluetooth WPAN Connexion des PC, PDA et tlphones
802.15.3 Bluetooth 2 WPAN Connexion des PC, PDA et tlphones
802.15.4 Zigbee WPAN Priphriques faible consommation
802.16 --- WMAN Boucle locale radio

La plupart des standards WLAN sont dicts par le groupe de travail 802.11 de lIEEE, qui
spcifie les couches physiques de transmission radio ainsi que la couche logique (niveau 2)
appele MAC (Media Access Control), celle que lon retrouve partout dans le monde Ether-
net.
Les technologies relatives au WPAN sont issues des industriels et ont t intgres, par la
suite, dans les travaux de lIEEE.
Les technologies WMAN, utilises depuis des dcennies mais jamais standardises, font
lobjet depuis peu, de travaux au sein du groupe de travail 802.16 de lIEEE.
Les applications
Linstallation dun WLAN peut tre intressante domicile, si vous avez plusieurs utilisa-
teurs, si vous jouez en rseau, etc. Il vite linstallation dun cblage plus ou moins bricol.
Dans une entreprise, il permet aux utilisateurs de se dplacer entre leurs bureaux et les salles
de runion. Il permet galement de desservir une zone ou un btiment dans lesquels les tra-
CHAPITRE 4

85
LES STANDARDS DE RSEAU SANS FIL
Trois comits de lIEEE (Institute of Electrical and Electronics Engineers) travaillent trois domaines
dapplication du sans fil :
le 802.11, dit WLAN (Wireless Local Area Network), pour les rseaux Ethernet ;
le 802.15, dit WPAN (Wireless Personal Area Network), pour les communications entre priphriques, les
assistants personnels, les tlphones mobiles, etc. ;
le 802.16, dit WMAN (Wireless Metropolitan Area Network) pour les boucles locales radio.
Ce dernier, tant destin des applications radicalement diffrentes, est trait la fin de ce chapitre.
Ct Europen, lETSI travaille, plus ou moins de concert avec lIEEE, sur les protocoles Hiperlan (HIgh
PErformance Radio LAN) et Hiperman (HIgh PErformance Radio MAN).

Norme WLAN Nom
commercial
Dbit
thorique
Porte
maximale
Bande de fr-
quence
Technique de
transmission
ETSI EN 300 652 Hiperlan 1 20 Mbit/s n.c. 5 GHz GMSK/FSK
ETSI (en cours) Hiperlan 2 54 Mbit/s 30 m 5 GHz OFDM
IEEE 802.11a Wi-Fi 54 Mbit/s 40 m 5 GHz OFDM
IEEE 802.11g Wi-Fi 54 Mbit/s 70 m 2,4 GHz DSSS/OFDM
IEEE 802.11b Wi-Fi 11 Mbit/s 90 m 2,4 GHz DSSS
HomeRF 1.0 HomeRF 1,6 Mbit/s 50 m 2,4 GHz FHSS

Norme WPAN Nom
commercial
Dbit
thorique
Porte
maximale
Bande de fr-
quence
Technique de
transmission
IEEE 802.15.1 Bluetooth 1 Mbit/s 30 m 2,4 GHz FHSS
IEEE 802.15.3 Bluetooth 2 12 Mbit/s 10 m 2,4 GHz n.c.
IEEE 802.15.4 Zigbee 250 Kbits/s 75 m 2,4 GHz DSSS
IrDA FIR (Fast infrared) 4 Mbit/s 1 m (850 nm) optique (LED)

Dautres standards IEEE viennent complter ces normes de base.

Standard IEEE Objet
802.11e

Gestion de la qualit de service.
802.11f IAPP (Inter-Access Point Prorocol) : protocole dchange entre bases (permet le roaming mul-
tivendeurs).
802.11h Conformit aux normes europenne relatives la gestion des bandes de frquence et la
puissance dmission.
802.11i WPA (Wi-Fi Protected Access) : scurisation du WLAN.
802.11j Convergence des standards 802.11a et Hiperlan 2.

vaux de cblage sont difficiles ou onreux. Il permet enfin, dinterconnecter deux btiments
proches, typiquement sur un campus ou spars par une cour, sans avoir tirer un cble.
Dans les lieux publics, il est envisageable de crer des zones de couverture, appeles hot
spots dans les salles dattente des aroports, les gares, voire dans le mtro. La rglementa-
tion pour un usage extrieur tant plus stricte, le dveloppement des hot spots dpendra
dune part des autorisations dorganismes de rgulation tels que lART et la FCC, et dautre
part de la concurrence venant des technologies GPRS et UMTS.


86
86
Quel WLAN choisir ?
Pour btir un rseau Ethernet sans fil, donc compatible avec votre rseau Ethernet filaire,
trois types de produits sont disponibles sur le march : ceux conformes la norme 802.11b
(dbit de 11 Mbit/s), ceux conformes la norme 802.11a (dbit de 54 Mbit/s) et le 802.11g
(dbit de 54 Mbit/s).
Les normes 802.11a et 802.11b sont incompatibles, car elles fonctionnent des frquences
diffrentes. Tous les composants, cartes, bases, etc., doivent respecter la mme norme, mais
il est possible dinterconnecter ces rseaux via un rseau Ethernet filaire. Par ailleurs, cer-
tains quipements supportent ces deux normes simultanment. La norme 802.11g prsente,
quant elle, lintrt doffrir le mme dbit que la norme 802.11a tout en tant compatible
avec la norme 802.11b.
Il est possible dinstaller un rseau WLAN avec des quipements en provenance de cons-
tructeurs diffrents sous certaines conditions :
Les quipements doivent tre certifis Wi-Fi (Wireless Fidelity), un label du WECA
(Wireless Ethernet Compatibility Alliance), organisme charg de tester linteroprabilit
des quipements (bases, interfaces, etc.).
Les quipements doivent supporter la norme 802.11f, qui autorise le dplacement (roa-
ming) entre bases issues de constructeurs diffrents. Cette norme spcifie un protocole
dchange entre les bases, qui permet une base de prendre en charge les communica-
tions prcdemment gres par une autre, lorsque la station choisit de passer dune cel-
lule une autre.
Dun point de vue technique, ces normes se distinguent par les frquences utilises :
2,4 GHz pour le 802.11b, frquence connue sous le nom de bande ISM (Industrial
Scientific and Medical band), galement utilise par les fours micro-ondes, les tl-
commandes de garage, etc.
5 GHz pour le 802.11a, frquence nettement moins encombre, ce qui permet dutiliser
des gammes de frquence plus larges et donc de transmettre plus haut dbit. Cette fr-
quence est nanmoins soumise des contraintes rglementaires plus strictes, car elle est
utilise par les militaires pour leurs transmissions satellites.
2,4 GHz pour le 802.11g, qui utilise la technique de transmission DSSS pour la compa-
tibilit avec 802.11b et OFDM pour les dbits plus levs.
Contraintes rglementaires
Selon les contraintes rglementaires de chaque pays, le standard 802.11b est autoris utili-
ser un nombre vari de canaux : 11 aux tats-Unis, 4 en France, 13 en Europe, 1 au Japon,
etc. De mme, la FCC aux tats-Unis autorise le 802.11a utiliser 8 canaux. Ces diffrences
influent sur les possibilits darchitecture : avec 11 canaux, 3 WLAN 802.11b peuvent fonc-
tionner sans interfrence sur une mme zone gographique (technique de la co-location),
alors quen France un seul WLAN peut oprer dans ces mmes conditions.

CHAPITRE 4

87
LE MODLE DE RFRENCE DES NORMES IEEE 802.11
Le modle de rfrence couvre une partie de la couche logique (architecture et couche MAC) ainsi que la
couche physique (transmissions 1 et 2 Mbit/s), aujourdhui obsolte. Par la suite, les normes 802.11a, b et
g ont introduites les spcifications pour diffrentes couches physiques (sous-couches PLCP et PMD).

802.11
LLC (Logical Link Layer)
MAC
(Medium Access Control)
PLCP
(Physical Layer Convergence Protocol)
PMD
(Physical Medium Dependant)

Couche
physique
(niveau 1)
Couche
logique
(niveau 2)
802.11a
802.11b
802.11g
802.2
MLME

PLME

La couche MAC a pour rle de grer laccs au support de transmission via un adressage (ladressage
MAC classique), une mthode de contention (CSMA/CA), une mthode de rservation (RTS/CTS) et un
format de trame identique quel que soit le support physique. Elle peut galement grer la fragmentation et
le rassemblage des trames si cela est demand. Dans des milieux perturbs impliquant de nombreuses
pertes de donnes, la retransmission dune partie de la trame prend, en effet, moins de temps que la re-
transmission complte. Optionnellement, elle peut grer des mcanismes de chiffrement et
dauthentification travers le protocole WEP (Wired Equivalent Privacy)
La couche PLCP ralise linterface entre les trames MAC et les caractristiques du support physique (syn-
chronisation, dbit, etc.), tandis que la couche PMD est propre chaque technique de transmission (fr-
quence, codage, modulation, transmission du signal, etc.).
Sur le plan de la gestion, la couche MLME (MAC Sublayer Management Entity) prend en charge la gestion
de lnergie ainsi que les procdures dinitialisation, dauthentification et dassociation, tandis que la couche
PLME (Physical Sublayer Management Entity) permet tout nud du rseau dobtenir les informations
relatives aux caractristiques oprationnelles supportes par une interface : longueur des en-ttes et des
prambules, taille maximale des MPDU, temps maximum de basculement entre les modes mission et r-
ception, etc.

Autorit de
rglementation
Bande de fr-
quences (MHz)
autorises
Bande
passante par
canal
Puissance
dmission
autorise
Modulation
autorise
FCC (USA) 2400 2483,5 83,5 MHz 100 mW FHSS / DSSS
ETSI (Europe) 2400 2483,5 83,5 MHz 100 mW FHSS / DSSS
ART (France) * 2400 2483,5 83,5 MHz 10 mW FHSS / DSSS
ART (France) 2446,5 2483,5 37 MHz 100 mW FHSS / DSSS
FCC (USA) 5150 5260
5260 5350
200 MHz 20 mW OFDM
ART (France) 5150 5350 200 MHz 200 mW OFDM
* Dans certains dpartements, lensemble de la bande est autoris lintrieur des btiments ainsi qu lextrieur
(dcisions de lART n 03-908 du 22/07/03, n 02-1009 du 31/10/02, n 02-1008 et n 02-1088).
Il est noter que lutilisation dune transmission en large bande est un pr requis
lutilisation dune frquence sans licence, car pour une transmission en bande troite, dont
lnergie est concentre sur une frquence, un signal large bande, dont lnergie est disper-
se sur une plage de frquences, est peru comme un bruit.


88
88
Performances
Les performances dun WLAN sont caractrises par la porte, cest--dire la distance
maximale entre les postes de travail, ainsi que par le dbit.
La porte dpend de la puissance mission et du gain de lantenne, cest--dire de sa sensibi-
lit. Ces paramtres tant imposs par la rglementation, la porte dpend, en dfinitive, de
la qualit des produits et, bien sr de lenvironnement considr (murs, meubles, personnes).
Le dbit dpend, quant lui, de la norme utilise. Actuellement, le 802.11g est le mieux pla-
c, dautant plus quil est compatible avec les premires normes 802.11. Le dbit diminue
avec laugmentation de la distance entre metteur et rcepteur. La qualit des produits inter-
vient, l encore, dans les performances.
Les tableaux suivants, issus des constructeurs, permettent de donner une ide des perfor-
mances globales dun WLAN.

Cisco aironet 802.11b avec une puissance dmission de 100 mW.
Dbit Intrieur Extrieur
11 Mbit/s 45 m 243 m
5,5 Mbit/s 61 m 304 m
2 Mbit/s 76 m 457 m
1 Mbit/s 106 m 609 m

Cisco 802.11a avec une puissance dmission de 100 mW et une antenne de gain de 6dbi.
Dbit Intrieur Extrieur
54 Mbit/s 21 m 36 m
18 Mbit/s 45 m 213 m
6 Mbit/s 61 m 365 m

Performance compare des standards Wi-Fi en usage intrieur.
802.11b 802.11a 802.11g
Porte maximale
pour dbit maximal
45 m
11 Mbit/s
12 m
54 Mbit/s
18 m
54 Mbit/s
Porte maximale
pour dbit minimal
91 m
1 Mbit/s
37 m
6 Mbit/s
73 m
6 Mbit/s

Les dbits indiqus dans ces tableaux sont les dbits de fonctionnement spcifis par les
normes. Si une interface reoit mal les donnes 11 Mbit/s, elle utilisera une vitesse de repli
5,5 Mbit/s, et ainsi de suite.
En outre, toutes les stations se partageant la mme bande passante en half-duplex, les dbits
rels constats par les utilisateurs sont infrieurs de 30 50 % aux dbits de transmission
indiqus ci-dessus. Ainsi sur les 11 Mbit/s annoncs par le 802.11b, le dbit effectif constat
par lutilisateur oscille entre 6 et 8 Mbit/s.
CHAPITRE 4

89
Architectures et principes de fonctionnement
Les rseaux WLAN peuvent tre btis selon deux modles :
ad-hoc, cest--dire en mode point point entre quipements (par exemple, PDA-
tlphone, PC-tlphone, PC-imprimante) ;
infrastructure, dans lequel le rseau est gr par des points daccs (appels bases ou
encore bornes daccs).
Typiquement, les WPAN sont btis sur le modle ad-hoc.
Le service de base, BSS (Basic Service Set), repose sur un seul point daccs raccordant
plusieurs quipements.
Une architecture infrastructure consiste en un ou plusieurs BSS raccords au rseau Ether-
net filaire. Les points daccs servent alors de pont entre le rseau filaire et le rseau sans fil.
Il est alors possible de mettre en place un service tendu, ESS (Extended Service Set), per-
mettant aux utilisateurs de se dplacer dun BSS lautre, cest--dire dtre pris en charge
successivement par plusieurs bornes. Les bornes forment alors un systme de distribution
qui leur permet dchanger des informations.

Systme de
distribution
(un LAN, un
WLAN)
WLAN
Toutes les quipements configurs
avec le mme SSID appartiennent
au mme ESS.
iBSS
(independant BSS)
BSS
WLAN
BSS
Point
daccs
Point
daccs
ESS
Au sein dun BSS, tous les
quipements partagent la
mme frquence.
Dcrit par la norme 802.11f IAPP
(Inter-Access Point Protocol)

Neuf services sont fournis par cette architecture :
lauthentification des stations sur un ou plusieurs points daccs, sur la base dun iden-
tifiant ou de ladresse MAC, qui permet de sinsrer dans le WLAN, sans pour autant
pouvoir changer des donnes ;
la d-authentification des stations, permettant une station de quitter le WLAN ;
lassociation, qui permet une station dchanger des donnes via un point daccs au-
prs duquel elle sest pralablement authentifie :
la r-association, qui permet la station daller dune base lautre, la station trans-
mettant la nouvelle base des informations sur lancienne. La nouvelle base se
connecte alors sur lancienne pour rcuprer des donnes ventuellement stockes
lattention de la station qui vient de quitter ladite base ;

90
90
la d-sassociation, qui permet une station de quitter une base, voire le WLAN ;
lacheminement des donnes ;
la confidentialit par un chiffrement simple, RC4 ;
la distribution permettant une base de savoir o envoyer les donnes (vers une autre
base, une station ou le rseau filaire) ;
lintgration, qui assure la conversion des trames entre le format WLAN et le format
LAN.
Afin de grer les contentions daccs la frquence qui est partage par toutes les stations,
le protocole 802.11 utilise un mcanisme similaire celui employ par son cousin filaire,
appel CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance). Selon ce principe,
une interface nmet une trame que si aucun trafic nest dtect sur la bande de frquence
partage. Dans le cas contraire, linterface attend un laps de temps alatoire avant de se met-
tre de nouveau lcoute, et rpte le processus.
Afin de minimiser le risque de collision, le mcanisme de rservation suivant peut option-
nellement tre utilis : avant dacheminer une trame une station, la base lui envoie dabord
une trame RTS (Requests To Send). La station doit alors rpondre par un CTS (Clear To
Send) et attendre la rception de la trame. De leur ct, les autres stations recevant ce type
de trame retardent dventuelles missions de trame.

Les frquences radio pouvant par ailleurs tre perturbes, le rcepteur doit renvoyer
lmetteur une trame ACK (Acknowledgement) pour chaque trame de donnes reue. Si
lmetteur ne reoit pas dacquittement, il rmettra la trame de donnes.
Toujours pour rduire limpact des interfrences radio, le standard prvoit de pouvoir
changer des trames courtes. Linconvnient est que dans un environnement non perturb,
loverhead protocolaire est plus important quavec des trames longues. Ladministrateur de-
vra choisir lun des deux modes lors de la configuration des quipements.

Afin de limiter la consommation lectrique des composants 802.11 dans un ordinateur por-
table, la station peut envoyer la base une trame PS-Poll (Power Save Poll) lui indiquant
quelle se met en mode veille. Si une trame destination de la station parvient la base,
celle-ci emmagasinera les donnes dans une mmoire tampon, le temps que la station se r-
veille. La station se doit denvoyer priodiquement une trame PS-Poll.

La taille dune cellule tant limite, la mobilit implique de pouvoir passer dune base
lautre sans couper les communications. Cest ce quon appelle le roaming. Afin de dtermi-
ner quelle est la meilleure base, cest--dire celle avec qui la communication est la meil-
leure, les stations sont lcoute des signaux mis par les bases (trames beacon). La station,
qui sest authentifie auprs de plusieurs bases, slectionne celle dont elle a reu la trame
beacon ayant le meilleur rapport signal/bruit, puis utilise le service r-association avec cette
base.

CHAPITRE 4

91
LE POINT SUR LE WLAN (IEEE 802.11, 802.11A, 802.11B, 802.11G)
La couche MAC peut fonctionner selon deux modes : DCF (Distribution Coordination Function), qui dfinit
une mthode daccs par contention, et PCF (Point Coordination Function), optionnel, qui dfinit une m-
thode daccs par allocation de la bande passante par un coordinateur central.
Le mode PCF ntant pratiquement jamais implment, seul le mode DCF est dcrit ici. Ce mode repose
sur la mthode daccs CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) associ la rser-
vation du support RTS/CTS :
La station doit respecter un intervalle de temps ISF (Inter Frame Space) avant de transmettre une trame.
La station peut attendre un intervalle de temps rduit SIFS (Short Inter Frame Space) dans les cas sui-
vants : rponse un polling de la base, envoi de fragments dune mme trame, envoi des trames ACK et
CTS.
La station doit sassurer que le canal est libre avant toute transmission de trame.
Si cela nest pas le cas, elle doit attendre un intervalle de temps DIFS (Distributed IFS) ajout dun dlai
alatoire (back-off window), avant de rcouter le canal.
Lorsque le support est libre, la station rserve le canal en envoyant la borne daccs une trame RTS
(Request to Send) et attend la rponse CTS (Clear To Send) avant dmettre. Ces trames permettent de
dfinir la priode de temps rserve pour transmettre la trame de donnes et, en retour, laccus de r-
ception (trame ACK). La fonction RTS/CTS ne peut tre utilise que pour des trames unicasts.
Le format gnral des trames MAC 802.11 est dcrit ci-aprs.

Adresse
MAC 1
Contrle
de trame
Dure /
AID
Contrle de
squence
2 6
Adresse
MAC 2
2 2 6
Adresse
MAC 3
6 6 0 2 312 4
Control : ........... PS-Poll, RTS, CTS, ACK
Data :............... donnes, donnes+CF-Ack/CF-Poll
Management : . association, beacon, authentification.
Adresse
MAC 4
Donnes FCS
Version Type Sous-
type
de
DS
vers
DS
Plus de
fragment
Retry Pwr
mgmt
Plus de
donnes
WEP Ordre
2 2 4 1 1 1 1 1 1 1 1
Adr1 Adr2 Adr3 Adr4
0 0 DA SA BSSID --
0 1 DA BSSID SA --
1 0 BSSID SA DA --
1 1 RA TA DA SA
1 = retransmission dune trame
prcdemment mise
1 = La station fonctionne en mode conomie dnergie.
1 = La base indique la station, fonctionnant en mode dconomie
dnergie, quelle a au moins une autre trame en mmoire qui lui
est destine.
Octets
1 = Les donnes sont traites par WEP.
1 = Classe de service Ordre strict
Trame dune station vers une autre dans le mme BSS
Trame destine au systme de distribution (DS)
Trame venant du systme de distribution (DS)
Trame envoye dune borne une autre
Bits
2 304 octets de donnes
+ ventuellement 8 octets
den-tte WEP
Pour les trames PS-Poll = AID (Association Identity) de 0 2 007
Pour les autres trames = temps, en microsecondes, ncessaire pour
transmettre la trame + 1 trame CTS + 1 trame ACK+ 3 intervalles temps
entre trames (SIFS - Short Interframe Space)
Le classique Frame Check
Sequence, ou CRC (Cyclic
Redundancy Code)
Valeur des
champs
dadresses en
fonction des
valeurs des
champs DS

DA (Destination Address) = adresse MAC destination
SA (Destination Address) = adresse MAC source
TA (Transmitter Address) = adresse MAC du point daccs metteur
RA (Receiver Address) = adresse MAC du point daccs rcepteur
BSSID (Basic Service Set Identification) = identifie de manire unique le BSS = adresse MAC de la base


92
92
LE POINT SUR LE WLAN (SUITE)
Comme exemples de trames MAC, nous trouvons :

Dure 00 01 1011 000001000
Contrle de trame
RA RTS (Request To Send) TA FCS
Dure 00 01 1100 000001000 RA CTS (Clear To Send) FCS
Valeurs copies de la trame RTS prcdente
AID 00 01 1010 000001000 PS-Poll (Power-Save Poll) BSSID TA FCS
Dlai dmission de la trame de donnes + SIFS + trame ACK
Contrle de trame
Dure 00 01 1000 000001000
Beacon
DA SA FCS BSSID Seq. ctrl Donnes
Permet aux stations de dterminer si le beacon
a t mis par une base du mme BSS

Les trames MAC sont encapsules dans des PPDU (PLCP Protocol Data Unit), trames dont le format est
proche de la couche physique sous-jacente (cf. modle de rfrence de lIEEE).

Prambule
SFD Trame MAC 802.11b Signal Service CRC Longueur
56 16 8 Bits
Sync
8 16 16
En-tte
128 bits pour le format long, compatible 802.11
Prambule
Trame MAC 802.11a Dbit Rserv Parit Longueur
4 Bits 1 12 1
En-tte PLPC
000000
6
Service
16
Sync
12 symboles OFDM

1 symbole OFDM cod en BPSK Symboles OFDM cods selon le dbit

Au niveau de la couche PMD, la norme 802.11b dfinit lutilisation de 3 canaux parmi les 14 disponibles
dans la bande de frquence autorise. Le choix de ces canaux dpend de lautorit de rgulation de chaque
pays. Trois bornes peuvent donc mettre simultanment dans la mme zone gographique sans se gner,
autorisant ainsi la co-localisation de 3 WLAN.

1 2 3 4 5 6 7 8 9 10 11 12 13 14
2400 2483,5
Largeur de bande = 22 MHz
2422 2412 2442 2472
Espacement = 3 MHz
10 mw
100 mw France : puissance dmission
maximale en extrieur
USA = 100 mw sur toute la bande. France : idem en intrieur.
Canal
2454

CHAPITRE 4

93
LE POINT SUR LE WLAN (FIN)
La norme 802.11a dfinit, quant elle, lutilisation de 8 canaux, permettant ainsi la co-localisation de 8
WLAN. Chaque canal est structur en 52 sous-canaux de 300 KHz de bande passante chacun (48 pour les
donnes et 4 pour la signalisation). La couche PMD 802.11a gnre 250 000 symboles par secondes, cha-
cun dentre eux couvrant les 48 sous-canaux. Le dbit rsultant varie selon le nombre de bits cods par
symbole.

36 40 44 48 52 56 60
5150
5350
Largeur de bande = 20 MHz
5200 5180 5240 5300
Espacement = 20 MHz
250 mw
40 mw Pusissance dmission
maximale aux tats-Unis
France = 200 mw sur toute la bande
64
5220 5280 5260 5320
Canal

Une autre bande de frquence est, par ailleurs, prvue par la norme :
11 canaux dans la bande 5 470 5 725 MHz, en Europe (en cours de ngociation avec larme en
France) ;
4 canaux dans la bande 5 725 5 825 MHz aux tats-Unis.

802.11a 802.11b
Dbit en Mbit/s Modulation Codage Bits (*) Dbit en Mbit/s Modulation Codage
6 BPSK OFDM 1 / 48 / 24 1 DBPSK Barker
9 BPSK OFDM 1 / 48 / 36 2 DQPSK Barker
12 QPSK OFDM 2 / 96 / 48 5,5 DQPSK CCK
18 QPSK OFDM 2 / 96 / 72 11 DQPSK CCK
24 16-QAM OFDM 4 / 192 / 96
36 16-QAM OFDM 4 / 192 / 144
48 64-QAM OFDM 6 / 288 / 192
54 64-QAM OFDM 6 / 288 / 216
(*) Nombre de bits cods par sous-frquence / Nombre de bits cods par symbole / Nombre de bits de donnes par sym-
bole, les autres bits tant utiliss pour la correction derreurs.
Installer un WLAN
Le plus simple des rseaux sans fil consiste quiper tous les postes de travail de cartes Wi-
Fi qui leur permettent de communiquer directement entre eux. Toutes les applications utili-
sant le protocole TCP/IP sont alors accessibles : partage de fichiers, partage dimprimante,
jeux en rseau, etc.
Cette architecture, prvue par le standard 802.11, est appele ad-hoc. Les stations WLAN
forment alors un iBSS (Independant Basic Service Set).

94
94

Ordinateur quip
dune carte Wi-Fi

Ltape suivante consiste ajouter une base, encore appele borne daccs ou point daccs.
Tout WLAN mettant en uvre un point daccs est appel, par le standard 802.11, une ar-
chitecture infrastructure. Le point daccs et les stations forment alors un BSS (Basic
Service Set).

WLAN
Fixation dune borne sur un mur
ou sous le faux plafond, voire
pose sur une table.
Antenne
omnidirectionnelle
Ordinateur quip
dune carte WLAN

Lintrt de larchitecture infrastructure est dtendre la porte du WLAN, puisque main-
tenant, les stations peuvent tre situes 50 m de part et dautre du point daccs, alors que
dans le mode ad-hoc, les stations doivent tre situes moins de 50 m les unes des autres.
part cela, les performances sont identiques, car tous les quipements dun BSS ou dun iBSS
se partagent la mme bande de frquence.
Choisir la bonne antenne
Cinq types dantenne peuvent tre utiliss pour les WLAN :

CHAPITRE 4

95
Type Forme Rayonnement Installation
Verticale
Tige Omnidirectionnel, cylindri-
que autour de laxe de la
tige
Salles de runion, bureaux
Diple
Tige surmonte dune barre
horizontale (forme en T)
Omnidirectionnel double
cylindrique vertical de part
et dautre de laxe de la
tige
Zones longues et troites
comme les couloirs
Sectorielle
Panneau plat
ou demi-cylindre
Omnidirectionnel
elliptique dans le plan du
panneau
Salles de runion, halls
dentre, liaisons point
multipoint
Yagi
Barres parallles lies par
une tige perpendiculaire
(type antenne TV)
Unidirectionnel elliptique
dans laxe de la tige
Liaisons entre immeubles
proches
Parabolique
Parabole
(type antenne satellite)
Unidirectionnel elliptique,
troit dans le plan perpen-
diculaire la parabole
Liaisons entre immeubles
loigns

Lantenne isotrope, cest--dire rayonnant de la mme faon dans toutes les directions, est
un modle thorique. En ralit, lnergie rayonne par une antenne est rpartie ingalement
dans lespace, certaines directions tant privilgies et dfinissant ce quon appelle des lobes
de rayonnement.
La qualit dune antenne est apprcie par son gain exprim en dBi (dcibels isotropes). Il
dpend de la taille de lantenne, de la frquence radio, de la capacit du rflecteur focaliser
les ondes radio et de la qualit des matriaux employs.
En mission, le gain est le rapport entre lnergie moyenne rayonne par lantenne et celle
que rayonnerait une antenne idale (isotropique) alimente avec la mme puissance. Expri-
m en dBi, il mesure la capacit dune antenne concentrer les ondes radio dans une direc-
tion donne. Donc, plus une antenne concentre lnergie dans une direction donne, plus son
gain est lev.
Lensemble, puissance de rayonnement multiplie par le gain de lantenne, dfinit le PIRE
(puissance isotrope rayonne quivalente) EIRP en anglais (Equivalent Isotropic Radiated
Power), exprim en milliwatts. Cest cette puissance qui est limite par les autorits de rgu-
lation (gnralement, de 10 100 mW dans les bandes de frquence 2,4 et 5 GHz).
En rception, le gain lev dune antenne compense en partie la perte de la puissance du si-
gnal. Cette valeur exprime donc sa capacit amplifier la puissance dun signal reu. Les
antennes fournies avec les bornes Wi-Fi prsentent gnralement un trs faible gain, de
lordre de 2.5 dBi. Dans des situations gographiques particulires ou en prsence de pertur-
bations lectromagntiques importantes, il convient donc dinstaller des antennes de meil-
leure qualit.

96
96
Les WLAN en entreprise
Lintrt dune borne est quelle permet de raccorder le rseau Ethernet sans fil au rseau
Ethernet filaire. Elle intgre alors la fonction de pont (bridge, en anglais) entre lEthernet
802.3 et lEthernet 802.11.

Switch
WLAN
La borne est raccorde au reste
du rseau de lentreprise (le
rseau Ethernet filaire)
Fixation dune borne sur un mur
ou sous le faux plafond
Antenne
omnidirectionnelle
Ordinateur quip
dune carte WLAN

Le rseau, qui permet aux BSS de communiquer entre eux, est appel, par la norme 802.11,
un DS (Distribution System). Lensemble des BSS connects un DS forme un ESS (Exten-
ded Service Set).
Ce type darchitecture permet de crer un WLAN sur lensemble dun immeuble, en posi-
tionnant les bornes intervalle rgulier. Deux applications sont alors envisageables :
La cration de hot-spots , cest--dire de zones dlimites telles que les salles de r-
union. Les zones de couverture des bornes peuvent tre disjointes.
La cration dun rseau tendu permettant aux utilisateurs de se dplacer dans tout
limmeuble. Les zones de couverture des bornes doivent alors se chevaucher afin de
permettre vos utilisateurs de se dplacer sans perdre la connexion au rseau (service
appel roaming). En outre, les bornes doivent tre situes dans le mme domaine de dif-
fusion MAC (cf. chapitre 3) et tre configures dans le mme sous-rseau IP.

Switch
WLA
En se dplaant, le PC est pris en
charge par diffrentes bornes.
WLA
Toutes les bornes sont
connectes au rseau filaire.

CHAPITRE 4

97
Ce dernier cas de figure est le plus dlicat, car il ncessite de raliser une tude de couver-
ture. Le plus simple est de vous inspirer de la procdure suivante :
Identifier les environnements types dans votre immeuble (zones de bureaux, open-
spaces, zones techniques, halls dentres, etc.). Chaque environnement est, en effet, ca-
ractris par des objets rflchissant et attnuant les ondes radio (cloisons, mobilier, po-
teaux, etc.).
Installer quelques bornes diffrents endroits dans chacun de ces environnements ty-
pes, en respectant les distances maximales indiques par le constructeur. Les meilleures
positions sont en hauteur, fixes un mur ou sous le faux plafond.
Se promener avec un PC quip dun logiciel affichant la puissance du signal reu. La
plupart du temps, ce type de logiciel est fourni avec la carte WLAN. Il suffit alors de
reprer les zones dombres, et de dplacer les bornes pour trouver la bonne configura-
tion. Certains quipements proposent dailleurs le mode survey permettant de raliser ce
type de test.
Avec ces expriences, vous pourrez alors dterminer le nombre de bornes ncessaires par
mtre carr et appliquer ces schmas pour chacun des environnements rencontrs dans tout
limmeuble.
Extension du rseau
La connexion de deux immeubles, spars de quelques centaines de mtres par un WLAN,
peut savrer une alternative intressante la mise en place dun cblage. Lutilisation
dantennes unidirectionnelles est alors conseille afin de canaliser les ondes radio et
lnergie utilise.

Switch
WLA
Btiment A
Antennes unidirectionnelles
WLA
Btiment B
Borne en mode
bridge
Borne en mode
bridge
Switch

Une autre manire daugmenter la porte du WLAN est de cascader les bornes grce la
fonction de rpteur.
En contrepartie, le dbit global est divis par deux, puisque les bornes doivent partager le
mme canal pour communiquer entre elles et avec les stations. La borne recevant une trame
de la part dune station, doit, en effet, la retransmettre lautre borne et utilise pour cela la
mme frquence.

98
98

Switch
WLA
WLA
WLA
Bornes en mode
rpteur
Borne en mode
bridge

Le systme de distribution est ici bti sur un WLAN.

Le WLAN la maison

La solution la plus simple et la moins chre repose sur une architecture ad-hoc, si les
contraintes des distances et dattnuation des signaux vous le permettent. Dans le cas
contraire, linstallation dune ou plusieurs bases sera ncessaire pour btir des architectures
similaires celles qui viennent dtre montres.

Si cependant, vous disposez dun abonnement Internet via un accs ADSL ou le cble, la
solution idale repose sur un routeur modem sans fil, quipement regroupant les fonctions
de point daccs Wi-Fi, de modem ADSL (ou cble) et de routeur.

Routeur / modem (ADSL ou cble)
quip dune carte WLAN
Ordinateur quip
dune carte WLAN
ADSL
Connexion vers la prise
tlphonique ou le cble
coaxial menant lInternet

La fonction de routeur permet tous vos ordinateurs de partager labonnement Internet,
qui est gnralement limit, par votre fournisseur daccs, une seule adresse IP.

Certains quipements intgrent galement un commutateur Ethernet quip de 4 ou 8 ports
10/100 Mbit/s, vous permettant ainsi de connecter vos quipements historiques, comme les
imprimantes, qui ne disposent pas encore dinterface WLAN.

CHAPITRE 4

99
La configuration des postes client
Les paramtres systme

Service Set Identifier : identifie lESS,
cest--dire le nom du rseau WLAN.
Il est ici possible de sassocier
alternativement 3 WLAN.
Nom de la station, tel que renseign
dans la base WLAN de rattachement.
Ad-Hoc = pas de base WLAN, mais
connexions directes entre les stations
Infrastructure = connexions via une
ou plusieurs bases WLAN.
Mode de fonctionnement de linterface WLAN :
CAM = toujours active (mode le plus performant).
Max PSP (Power Saving Poll) = se met en veille et
interroge rgulirement la base avec une trame PS-Poll,
afin de vrifier si la base a stock des donnes qui lui sont
destines (mode consommant le moins dnergie).
Fast PSP = fonctionne en mode CAM, si reoit beaucoup
de trames, et en mode Max PSP dans le cas contraire.

Les paramtres de communication

Les trames de plus de N octets seront fragmentes. Lutilisation de trames
plus courtes abaisse les performances en environnement non perturb, mais
est conseille en milieu perturb, les retransmissions tant opres sur des
portions de trames. La valeur de 2 312, qui correspond la taille maximale
des trames 802.11, indique ici que la fragmentation est dsactive.
En mode ad-hoc, il faut configurer
manuellement le mme canal sur
toutes les stations, tandis quen
mode infrastructure, la slection
du canal est automatique.
En mode infrastructure, mieux vaut
laisser l'interface WLAN dterminer elle-
mme quel est le plus haut dbit
possible.
En mode ad-hoc, mieux vaut spcifier un
manuellement le dbit (plus le dbit est
bas, plus la porte est grande).
Si coch, les canaux de frquence et
la puissance dmission sont
automatiquement configurs selon la
rglementation du pays via lchange
de trames beacon.
Les en-ttes courts amliorent les
performances, mais ne sont pas
supports par les matriels 802.11
(1 et 2 Mbit/s).


100
100
La technique DSSS employe par la norme 802.11b diffuse les signaux sur une largeur de
bande de 22 MHz et impose un espacement de 25 MHz entre les canaux afin dviter toute
interfrence entre les signaux.

La France nautorisant que 4 canaux, de 10 13, vous ne pouvez donc slectionner quun
seul canal pour votre rseau. En revanche, aux tats-Unis et dans les pays europens respec-
tant les directives de lETSI (European Telecommunications Standards Institute), il est pos-
sible de co-localiser 3 rseaux en slectionnant les canaux 1, 6 et 11, respectant ainsi
lespacement de 25 MHz ncessaire pour viter les interfrences. La bande passante offerte
aux utilisateurs est ainsi de 3 fois 11 Mbit/s.

Les paramtres propres au protocole 802.11b

Le mcanisme RTS/CTS est activ
pour les trames de plus de N octets.
La valeur de 2 312, correspondant
la taille maximale des trames
802.11, indique ici que cette
fonction est dsactive.
Si la carte est quipe de deux antennes
(une intgre et une externe), le mode
diversity permet de slectionner celle qui
met ou reoit le mieux.
Adresse MAC des bases prfres. Sil
ny en a aucune de spcifie ou si aucune
nest trouve, linterface WLAN peut
sassocier avec nimporte quelle base.
Indique le nombre de fois o linterface met
un RTS (Request To Send), si elle ne reoit
pas le CTS (Clear To Send) de la base.

Le mcanisme RTS/CTS induit un overhead propre aux trames de services changes et aux
temps dattente avant les transmissions.

Son activation permet de limiter les collisions, et notamment de rsoudre le problme du
nud cach : deux stations A et B sont situes de part et dautre dune borne, mais de
par leur loignement, elles sont hors de porte des signaux ; A ne peut ainsi pas recevoir les
signaux mis par B et inversement.

CHAPITRE 4

101
Lactivation du mcanisme RTS/CTS est recommande pour un WLAN supportant un fort
trafic, du fait dun nombre important dutilisateurs ou de volumes de donnes transfrs. Il
est galement recommand si les signaux sont perturbs par des interfrences ou par des sur-
faces mtalliques favorisant les chemins multiples (voir description de ce phnomne la
fin de ce chapitre). Il peut, en revanche, tre dsactiv dans des configurations faible trafic,
ce qui permet daugmenter les performances globales du WLAN.

Si vous constatez un nombre lev de collisions et/ou de faibles dbits, vous pouvez abaisser
le seuil partir duquel le RTS/CTS est activ.

La configuration des points daccs

La configuration des bases est similaire celles des stations. Ladministrateur doit sassurer
que les paramtres sont identiques dans tous les composants de son WLAN.

Un nom permettant didentifier la base,
et rappelant sa localisation
Lidentifiant de lESS : toutes les stations
devant sassocier ce WLAN, doivent
tre configures avec le mme identifiant.
De mme, toutes les bases formant un
seul WLAN, doivent tre configures de
manire identique.


102
102

Les canaux 10 13 sont
autoriss en France avec une
puissance dmission de 100mw
en intrieur

Comment scuriser son rseau ?
La scurit devient une proccupation majeure partir du moment o les ondes radio peu-
vent tre interceptes de manire compltement anonyme. Les standards 802.11a et b propo-
sent trois mcanismes de bases pour renforcer (un peu) la scurit : lidentification, les
adresses MAC et le chiffrement.
La scurit de base : WEP
La base peut identifier les stations autorises participer au WLAN en enregistrant leurs
adresses MAC. Cette mthode prsente le double inconvnient de devoir mettre jour la
liste chaque installation dune nouvelle carte sur une des quelconques stations de votre r-
seau, et dtre inefficace sur le plan de la scurit ds lors quil est ais de changer ladresse
MAC inscrite dans la PROM de la carte rseau.

Le SSID (Service Set Identifier), programm dans les bases et les stations, permet
didentifier le WLAN, appel ESS (Extended Service Set) dans la terminologie 802.11. Il est
donc tentant dutiliser cet identifiant comme mot de passe. Linconvnient est quil est stati-
que et quil faut le changer rgulirement, et cela sur tous les composants du WLAN. En ou-
tre, le SSID est affich en clair dans les outils de configuration.
CHAPITRE 4

103
Le protocole WEP (Wired Equivalent Privacy) offre un mcanisme dauthentification rudi-
mentaire sur la base dun mot de passe, appel cl WEP, programm dans tous les quipe-
ments, linstar du SSID. Dune part, la mise jour de cette cl est fastidieuse, mais en plus
sa large diffusion auprs des exploitants ou des utilisateurs augmente le risque de sa divul-
gation.

Cl WEP
WLAN
Cl WEP
Challenge gnr alatoirement
Si les challenges crypts sont
identiques, ils ont t crypts
par les mme cls.
Cryptage
RC4
Challenge crypt
Cryptage
RC4
Challenge crypt
Challenge envoy en clair

Le protocole WEP permet galement de crypter les donnes transportes par la trame, hors
en-tte. Lalgorithme de chiffrement utilis est RC4 (cl secrte de 40 bits en standard, jus-
qu 104 bits selon les constructeurs), qui ne prsente pas la meilleure robustesse contre les
attaques.

Deux cls sont gnres : une cl de session pour les communications entre la base et la sta-
tion, ainsi quune cl de groupe pour les flux multicasts.

Squence de cls de
la longueur du MPDU
crypter + les 4
octets de lICV
Cl WEP
IV (Initialization Vector)
Seed
MPDU crypter ICV (Integrity Check Value)

Calcul du
checksum
Cryptage
RC4
MPDU crypt 000000 IV ICV crypt N cl
3 octets 2 bits 4 octets N octets
Le vecteur dinitialisation est envoy en clair
bourrage
Gnrarateur
pseudo-alatoire
Champ Donnes de la trame MAC Numro de la cl utilise pour
crypter la trame (1, 2, 3 ou 4)
MPDU = MAC
Protocol Data Unit
Gnr alatoirement, thoriquement pour chaque
trame, mais dans la pratique, trs peu souvent !

On le voit, les quatre lments proposs en standard ne permettent pas dassurer une scurit
optimale de votre rseau sans fil. Des audits, raliss en France et aux tats-Unis, montrent
quil est mme possible de pntrer sans difficult un rseau WLAN, simplement en se
promenant dans la rue avec son ordinateur quip dune carte 802.11.


104
104
WPA et 802.11i
La solution repose sur le standard WPA et mieux encore, sur le standard 802.11i. WPA (Wi-
Fi Protected Access) est un sous-ensemble de 802.11i, dont il reprend les composants dj
figs et ne requrant pas dupgrade matriel :
EAP (Extensible Authentication Protocol), normalis 802.1x, pour lauthentification des
quipements ;
TKIP (Temporal Key Integrity Protocol) renforant la scurit du protocole WEP.

Le protocole EAP (RFC 2284) permet aux stations et aux bases de sauthentifier via un ser-
veur dauthentification, soit intgr la base, soit hberg sur un serveur Radius.
Avant que la station ne soit authentifie, la base autorise celle-ci ne communiquer quavec
le serveur dauthentification. Le mcanisme dauthentification peut alors tre de toute na-
ture : un mot de passe, un challenge, un certificat, une token card ou encore une carte
puce.

Dclinaisons dEAP Mcanisme dauthentification
EAP-TLS Certificat Windows XP (RFC 2716)
PEAP (Protected EAP) Mot de passe unique (OTP One Time Password)
EAP-MD5 Mot de passe (challenge avec algorithme de hachage MD5)
EAP-SIM Carte puce
LEAP (Lightweight EAP) Mot de passe gr par la carte (propritaire Cisco)

Phase dassociation
WLAN
Serveur dauthentification
radius
EAP identity request
EAP identity response
EAP request
EAP response
EAP success
Radius Access request
Radius Access challenge
Radius Access request
Radius Access accept
Point daccs Station

Le protocole TKIP est une amlioration de WEP en ce :
quil impose un vecteur dinitialisation et une cl RC4 diffrents pour chaque trame ;
quil permet de dtecter toute modification illgale intervenant sur des trames, en calcu-
lant une cl de hachage irrversible transporte dans le champ MIC (Message Integrity
Code) ;
quil lance des contre-mesures si une tentative de modification ou dattaque sur le mot
de passe est dtecte.
CHAPITRE 4

105

Adresse MAC de lmetteur
Cl temporelle
Fonction
de
hachage
MPDU
MIC
8 octets
N octets

Mlangeur
de cls
MSDU = MAC Service Data Unit
Gnrs alatoirement
pour chaque trame ou
fragment de trame
TSC (TKIP Sequence Counter)
Cl MIC
Adresse MAC source
Adresse MAC destination
MSDU
Fragmentation
Cl RC4 104 bits
IV 24 bits

Moteur
WEP
Le champ MIC est
ajout au MSDU

La norme 802.11i spcifie galement lutilisation de lalgorithme de chiffrement AES (Ad-
vanced Encryption Standard) plus robuste que RC4.

Lauthentification sappuyant
sur le domaine de compte NT,
lutilisateur dj authentifi par
Windows na pas entrer un
mot de passe supplmentaire.
EAP (Extensible Authentication Protocol),
spcifi 802.1x, offre une meilleure
authentification que WEP.
Lidentifiant et le mot de passe,
saisis ici, seront envoys au
serveur Radius pour vrification.


106
106
La boucle locale radio
La BLR, en abrg, couvre le dernier kilomtre (the last mile en anglais), cest--dire la por-
tion de rseau entre le client (une maison) et le point daccs le plus proche au rseau opra-
teur. Elle constitue de fait une solution intressante pour que des oprateurs alternatifs,
nouveaux venus sur le march, puissent proposer des offres concurrentes aux boucles loca-
les filaires proposes par un oprateur historique tel que France Tlcom en France.
Les technologies proposes rpondent un besoin o metteur et rcepteur sont fixes : le
point daccs (une antenne sur un toit ou un pylne) et la maison dun particulier.

Technologie Bande de
frquences
Largeur de
bande par
cellule
Taille approxi-
mative
de la cellule
Dbit
MMDS
(Multichannel Multipoint
Distribution Service)
2,5 2,7 GHz
(USA)
3,5 GHz (France)
~200 MHz 10 15 km 1 2 Mbit/s
LMDS
(Local Multipoint
Distribution Service)
28 38 GHz (USA)
26, 38 et 32
(France)
~500 MHz 5 8 km 155 Mbit/s
500 Mbit/s
IEEE 802.16
IEEE 802.16a
10 66 GHz
2-11 GHz
2 155 Mbit/s

Ces technologies, notamment de par les longueurs donde utilises, ne tolrent aucun obsta-
cle ou objet rflchissant entre lmetteur et le rcepteur autour dune zone en forme
dellipse appele zone de Fresnel. Elles sont galement gnes par les objets rflchissant
les ondes, tels un plan deau, des surfaces mtalliques ou, dans une moindre mesure, les
gouttes de pluie : le rcepteur est ainsi susceptible de recevoir plusieurs signaux dcals
dans le temps, loriginal et les rflexions de ce mme signal. Ce phnomne est connu sous
le nom de chemins multiples. Dautres objets, comme les arbres, absorbent les ondes et
contribuent les affaiblir : lmetteur peut ainsi recevoir un signal trop faible pour tre in-
terprt.
Les dnominations MMDS et LMDS recouvrent une gamme dapplication lie une bande
de frquence autorise, et reposent sur des technologies propritaire.
Le dveloppement de la boucle locale radio devrait venir du comit IEEE 802.16 qui dfinit
les bases du WMAN (Wireless Metropolitan Area Network). la diffrence des technolo-
gies MMDS et LMDS, ce standard spcifie les couches physique et MAC ainsi que
linterfaage avec les couches suprieures (Ethernet, IP, ATM).
La couche physique repose sur plusieurs techniques de multiplexage variant selon les appli-
cations : temporel adaptatif appel DAMA-TDMA (Demand Assignment Multiple Access-
Time Division Multiple Access), OFDM (OrthogonalFrequency Division Multiplexing) ou
OFDMA (OFDM Access).
Ct europen, le comit BRAN (Broadband Radio Access Networks) de lETSI travaille au
projet HIPERMAN, similaire au 802.16.
CHAPITRE 4

107
Les micro-ondes point point
Une autre application de la transmission sans fil dans la gamme des micro-ondes (2 40
GHz) est la connexion point point (PtP Microwave). Toujours soumise aux alas climati-
ques, au brouillard notamment, les dbits peuvent nanmoins atteindre plusieurs centaines
de Mbit/s. tant donn la nature point point de ce type de liaison, ce genre dapplication ne
ncessite bien souvent aucune licence dexploitation.
Les technologies sous-jacentes, qui ne sont pas nouvelles puisquelles sont mises en uvre
depuis plus de dix ans notamment aux tats-Unis, sont cette fois-ci directement utilisables
par les entreprises pour leurs besoins propres. Des constructeurs proposent, en effet, des
quipements ddis permettant dinterconnecter des rseaux locaux, jusqu des dbits pou-
vant atteindre 622 Mbit/s, entre deux immeubles spars de quelques centaines de mtres
plusieurs kilomtres.

DEUXIME PARTIE

Les rseaux
IP
5
Dmarrer son rseau IP
Des architectures viennent dtre labores, des rseaux viennent dtre construits, des pro-
tocoles sont utiliss. Mais comment tout cela simbrique-t-il ? Comment IP, TCP et Ethernet
fonctionnent-ils ensemble ?
Ce chapitre est loccasion daller plus loin dans la connaissance de ces protocoles et de votre
rseau, et de vous donner par la mme occasion une vision plus globale des rseaux. Car,
comprendre, cest pouvoir construire des rseaux de plus en plus complexes comme le re-
quirent les applications multimdias daujourdhui.
Jusqu prsent, nous ne nous sommes proccups que du matriel mais, avec le spanning
tree, introduit au chapitre 3, nous devons dsormais nous proccuper du paramtrage logi-
ciel des quipements rseau.
Comprendre, cest donc matriser le fonctionnement de son rseau.
Deuxime exemple, celui de ladresse IP que nous avons utilis sans en bien comprendre les
tenants et aboutissants. Cet aspect logiciel doit maintenant tre expliqu, car les choix que
vous prenez lorsque vous commencez par construire un petit rseau peuvent ensuite peser
bien des annes plus tard, lorsque celui-ci a pris de lampleur.
Comprendre, cest donc anticiper et faire les bons choix pour lavenir.

dfinir un plan dadressage IP ;
comprendre linteraction des protocoles Ethernet et IP ;
le fonctionnement dun rseau local ;
le fonctionnement des protocoles IP, TCP et UDP.
IPv4, adressage, encapsulation IP dans Ethernet, ARP, TCP/UDP

112
112
Le plan dadressage IP
plusieurs reprises dj, nous avons parl dadresses IP sans vraiment nous en proccuper.
Il est vrai que nous nen avions pas rellement lusage ; il suffisait simplement de saisir une
adresse unique pour chaque station du rseau.
Mais notre rseau prend de lampleur et nous devons dsormais organiser laffectation des
adresses. Les ISP ne procdent pas autrement au sein de lInternet.
Comme cela a t dcrit au chapitre 3, une
adresse IP scrit avec quatre numros, com-
pris entre 1 et 255, spars par des points, par
exemple 192.162.0.1. Une partie de cette
adresse dsigne un rseau, lautre le numro
de station au sein de ce rseau. Jusqu pr-
sent, nous nous sommes arrangs pour confi-
gurer toutes nos stations dans le mme rseau
IP.
On peut se poser la question suivante : pour-
quoi faut-il des adresses IP alors quil existe
dj des adresses MAC ? Dabord, Ethernet
est un rseau local, qui na donc quune por-
te gographique limite. Ensuite, il existe
des dizaines de rseaux de niveau 1 et 2 diff-
rents avec chacun un adressage physique qui
lui est propre. Or, les PC, mme situs sur
des rseaux diffrents, doivent pouvoir com-
muniquer ensemble. Il faut donc un protocole
de niveau suprieur, dit de niveau 3 (couche
rseau), qui permet de fdrer ces rseaux
avec un adressage unique. On trouve ainsi IP
sur Ethernet et PPP, mais aussi sur Token-
Ring, ATM, etc.
IP permet aussi de partitionner les rseaux. En effet, de nombreux protocoles utilisent abon-
damment les broadcasts et multicasts, et il est prfrable de limiter la diffusion de ces types
de trames. Si votre intranet est connect lInternet, il nest pas envisageable de recevoir
des trames multicast et broadcast mises par un employ de la socit X.
De plus, linterconnexion des sites cote cher compte tenu des distances. Il est donc judi-
cieux de limiter le trafic afin de ne pas surcharger inutilement les liaisons par des broad-
casts.
La dmarche
Tout dabord, il est conseill de retenir un adressage priv, cest--dire compltement spar
de celui de lInternet, ceci pour des questions de simplicit et de scurit. Il est toujours pos-
sible dopter pour un adressage public, mais lobtention de telles adresses est trs difficile,
car il faut justifier de leur usage auprs des organismes de rgulation de lInternet.
POURQUOI UN PLAN DADRESSAGE ?
Lobjectif premier du plan dadressage est
dviter la duplication accidentelle des adres-
ses. Pour ladressage MAC, un plan nest pas
utile car les adresses sont affectes aux car-
tes par les constructeurs. En revanche,
laffectation des adresses IP relve de votre
responsabilit, ou de celle du NIC pour le r-
seau public Internet.
Le plan dadressage permet galement de
contrler le fonctionnement de votre rseau
IP. En effet, laffectation des adresses IP doit
rpondre des rgles prcises sous peine
daboutir des dysfonctionnements (con-
nexions impossibles, voire intermittentes,
etc.).
En dfinitive, le plan dadressage permet
dorganiser lexploitation de votre intranet.
CHAPITRE 5

113

LADRESSAGE IP V4 (RFC 791)
IP (Internet Protocol) dfinit un rseau virtuel reposant sur des rseaux physiques de diffrente nature
(Ethernet et PPP, par exemple). Pour ce faire, IP utilise un adressage logique diffrent de ladressage
physique (MAC, PPP ou autre).
Une adresse IP est dcoupe en un numro de rseau et un numro de station au sein de ce rseau. Il
existe trois classes dadresses unicast en fonction de la taille du rseau (cest--dire du nombre de sta-
tions par rseau). Pour diffrencier la partie rseau (subnet) de la partie station (host), IP utilise un masque
dont tous les bits 1 reprsentent la partie rseau.

0 24 bits pour le n de station,
de 1 16 777 214
7 bits pour le n de
rseau de 1 127
1 14 bits pour le n de rseau,
de 1 16 383
0 16 bits pour le n de station,
de 1 65 534
0 1 1 21 bits pour le n de rseau,
de 1 2 097 151
8 bits pour le n de
station de 1 254
Classe A
Classe B
Classe C
0.x.x.x Rserv
127.x.x.x Adresse de boucle locale (loopback)
x.255.255.255 Broadcast : toutes les stations sur le
rseau x
Masque naturel = 255.255.0.0
126 rseaux
de 1.0.0.0 126.0.0.0
128.0.x.x Rserv
191.255.x.x Rserv
x.x.255.255 Broadcast : toutes les stations sur le
rseau x.x
16 382 rseaux
de 128.1.0.0 191.254.0.0
192.0.0.x Rserv
223.255.255.x Rserv
x.x.x.255 Broadcast : toutes les stations sur le
rseau x.x.x
2 097 150 rseaux
de 192.0.1.0 223.255.254.0

Deux valeurs sont rserves dans la partie station de ladresse : 0 pour dsigner le rseau lui-mme et 255
(tous les bits 1) pour dsigner toutes les stations au sein de ce rseau (broadcast).
Il existe galement une classe dadresses multicast permettant de dsigner des groupes de stations.

1 28 bits pour le n de groupe,
de 1 268 435 456
Classe D
224.0.0.0 Rserv
224.0.0.1 Tous les groupes sur ce rseau local
Des n sont dj rservs (well known group)
268 435 455 groupes
de 224.0.0.0 239.255.255.255
Pas de masque
1 1 0

La classe E (premiers bits 11110) dfinit une classe dadresses exprimentales. Elle nest jamais utilise.
Ladresse 255.255.255.255 dsigne toutes les stations sur le rseau de lmetteur du paquet (broadcast IP).

114
114
Il se peut donc que vous utilisiez des adresses dj affectes sur lInternet, mais cela na pas
dimportance car votre intranet est isol. Cela ne vous empchera cependant pas de
linterconnecter avec lInternet.
La seconde dcision concerne le choix de la classe dadresse IP. Ce choix dpend du nom-
bre de stations prsentes sur votre rseau. Si ce nombre dpasse 254, une classe B simpose.
Une classe A nest pas utile, car une classe B offre 65 534 adresses de stations, ce qui est
largement suffisant. De plus, une classe A est limite 126 rseaux IP, ce qui, pour les
grands rseaux, peut tre un handicap.
En rsum, notre choix sest provisoirement port sur un plan dadressage priv de classe B,
ce qui nous donne 16 382 rseaux possibles contenant chacun 65 534 stations. Aux sections
suivantes, dautres considrations viendront modifier ce choix.
Les principes de base
Ladressage IP est trs souple et permet de faire tout ce que lon veut. Afin dviter toute
mauvaise surprise, il est conseill de suivre les principes suivants :
Rgle 1 : un rseau IP ne doit pas chevaucher plusieurs sites.
Rgle 2 : il peut y avoir plusieurs rseaux IP sur un site.
Rgle 3 : sil y a plusieurs rseaux IP sur un site, choisir des numros contigus. Cela
simplifiera le routage et permettra aux routeurs dagrger les routes selon la mthode
CIDR (Classless Inter-Domain Routing) explique au chapitre 12.
Rgle 4 : limiter le nombre de rseaux IP. Cela simplifiera les connexions lInternet.
Le protocole IP impose quune station se
trouvant dans un rseau IP ne puisse pas
communiquer directement avec une station se
trouvant dans un autre rseau IP, mme si el-
les sont connectes au mme segment Ether-
net. Les rseaux sont segments de manire
logique ; en dautres termes, ils sont parti-
tionns.
La solution repose sur lutilisation dun rou-
teur dont le rle est dinterconnecter les r-
seaux IP, quelle que soit leur localisation
gographique.
On verra au chapitre 12 quil existe un moyen
de lever cette contrainte impose par IP.
De toute faon, lutilisation dun routeur
simpose ds que vous devez relier deux sites
sur de longues distances. LInternet comporte
des dizaines de milliers de routeurs. Donc,
autant prendre en compte cette contrainte ds
le dbut de llaboration du plan dadressage.
QUEST-CE QUUN ROUTEUR ?
Un routeur est un commutateur de niveau 3,
cest--dire qui commute les protocoles de la
couche rseau, tels que IP. La commutation
des paquets IP est plus complexe que celle
des trames Ethernet. On emploiera donc plu-
tt le terme de routage.
Ce mcanisme consiste analyser ladresse
de destination du paquet IP et le transmettre
sur le bon port (appel interface). Il utilise
pour cela des algorithmes de routage, tels que
OSPF (Open Shortest Path First) qui permet-
tent de calculer les meilleures routes en fonc-
tion des numros de rseau IP.
Comme pour les PC, une interface routeur est
associe au moins un rseau IP.
CHAPITRE 5

115
Impact sur lInternet
Tt ou tard, linterconnexion de votre rseau avec lInternet sera ncessaire. Comment viter
que vos adresses internes entrent en conflit avec celles de lInternet ?
La solution repose sur lutilisation de la translation dadresses (cf. chapitre 17). Cette
technique permet de masquer votre plan dadressage priv vis--vis des utilisateurs situs
sur lInternet.
Une solution complmentaire la premire repose sur le non-routage de certaines adresses.
La RFC 1918 prcise que certaines adresses ont t rserves pour ladressage priv. Le res-
pect par tous les ISP de cette RFC garantit que ces adresses ne seront jamais routes sur
lInternet.

Rseaux rservs (RFC 1918) Espace dadressage
10.0.0.0 1 rseau de classe A
De 172.16.0.0 172.31.0.0 16 rseaux de classe B
De 192.168.0.0 192.168.255.0 256 rseaux de classe C

On peut donc utiliser ces adresses pour notre rseau priv, sans que cela soit pour autant une
obligation. Lessentiel dune interconnexion avec lInternet repose, en effet, sur la transla-
tion dadresses.
Or, pour les grands rseaux, le nombre de rseaux IP translater est source de complexit :
sil y a quarante sites mais un seul point de sortie vers lInternet, le firewall devra prendre en
compte quarante rseaux IP dans ses rgles de translation dadresses.
Afin de simplifier cette configuration, il faudrait donc pouvoir ne translater quun rseau IP
au niveau du firewall (respect de la rgle 4) tout en ayant autant de subnets IP que ncessaire
pour notre intranet. La solution repose sur la cration de sous-rseaux IP.
Les sous-rseaux IP
Le principe des sous-rseaux (subnet) consiste tendre le nombre de bits dsignant la par-
tie rseau. Le nombre de stations par sous-rseau diminue donc dautant.

Classe Masque naturel
Nombre de bits
affects au numro
de rseau
Extension possible :
nombre de bits affec-
ts au sous-rseau
A
255.0.0.0 8 + 1 + 22 bits
B
255.255.0.0 16 + 1 + 14 bits
C
255.255.255.0 24 + 1 + 6 bits


116
116
La partie station de ladresse doit comporter au moins 2 bits afin que cette dernire soit
valide.

Numro de station Conclusion
1 bit
1 = broadcast
0 = ce rseau
Interdit. Il ne reste aucun bit pour dsigner un sous-rseau
ou une station.
2 bits
11 = broadcast
00 = ce rseau
01 = station n 1
10 = station n 2
OK. 2 est le nombre minimal de bits devant tre rservs
aux sous-rseaux et stations.

La notation dcimale (octet par octet) est rendue difficile lorsque le sous-rseau ne porte pas
sur un multiple de 8 bits. Cest pourquoi la notation / [nombre de bits affects la partie
rseau] est plus souvent utilise.

Numro de rseau /
nombre de bits rservs
la partie rseau
Masque Commentaire
10.0.0.0 / 10
subnet de +2 bits
255.192.0.0 Permet de crer 4 sous-rseaux, de 10.0
10.3
10.0.0.0 / 16
subnet de +8 bits
255.255.0.0

On dit que la classe A est subnette sur
une classe B
194.50.0.0 / 19
subnet de +3 bits
255.255.224.0 Permet de crer 8 sous-rseaux
194.50.0.0 / 24
subnet de +8 bits
255.255.255.0 On dit que la classe B est subnette sur
une classe C

Figure 5-1.
Les masques
de sous-rseaux.

Notre choix initial portait sur une classe B. Si nous voulons limiter le nombre de rseaux IP
et conserver la mme souplesse que la classe B, il faut donc retenir une classe A subnet-
te sur une classe B.
128 64 32 16 8 4 2 1
192
224
240
248
252
254
255
Bit
Masques
CHAPITRE 5

117
Cela nous offrirait 256 sous-rseaux. Si, dans le futur, ce chiffre tait dpass, on pourrait
toujours ajouter un autre rseau de classe A (il ne ferait pas partie de la RFC 1918, mais ce
nest pas rellement important) et le subnetter , ou ajouter une classe B notre plan
dadressage. Notre but est simplement de limiter le nombre de rseaux IP.
Nous choisissons donc ladresse de classe A, 10.0.0.0, issue de la RFC 1918. tant donn le
subnet choisi, notre masque sera donc : 255.255.0.0. Mais ce choix est encore provisoire.
Mthode daffectation des rseaux LAN
Le plus simple est daffecter les rseaux par site (respect de la rgle 1). Au lieu daffecter
squentiellement le numro, on peut lincrmenter de 4 ou 8, ce qui laisse la possibilit
dtendre le subnet affect au site (respect de la rgle 2). Lajout dun rseau sur un site se
traduira donc par laffectation du numro de rseau suivant (respect de la rgle 3).
Une premire version de notre plan dadressage serait donc la suivante :

Rseau Site
10.0.0.0/16 Paris : 1 rseau de 65 534 stations
De 10.1.0.0/16 10.3.0.0/16 Non affect
(rserv aux extensions de Paris)
10.4.0.0/16 Toulouse : 1 rseau de 65 534 stations
De 10.5.0.0/16 10.7.0.0/16 Non affect
(rserv aux extensions de Toulouse)
Etc.
De 10.248.0.0 10.255.0.0 Rseaux non affects

Lincrment de 4 a t soigneusement choisi, de manire obtenir des rseaux contigus.
Ainsi, le site de Paris dispose de quatre rseaux : 10.0.0.0, 10.1.0.0, 10.2.0.0 et 10.3.0.0,
avec chacun un masque 255.255.0.0. Mais cette manire de dcouper les rseaux est quel-
que peu rigide, car la rgion de Paris peut comprendre la fois des petits sites et des gros si-
tes.
Une autre faon de voir les choses est de considrer le rseau 10.0.0.0 avec le masque
255.252.0.0 (soit 10.0.0.0/14), ce qui offre 262 142 adresses (65 536 4 2) pour le subnet
10.0.0.0 affect Paris (de 10.0.0.0 10.3.255.255).

Figure 5-2.
Cration dun subnet.

En dfinitive, notre plan dadressage se prsente en ralit sous la forme suivante :

128 64 32 16 8 4 2 1
252.
255.
Bit
10.
0.0
0. 0.0
Masque
Adresse
8 bits + 6 bits /14

118
118
Subnets du rseau 10.0.0.0/8 Site
10.0.0.0/14
255.252.0.0
Rgion parisienne
10.4.0.0/14
255.252.0.0
Rgion toulousaine
10.8.0.0/14
255.252.0.0
Strasbourg
Etc.
De 10.248.0.0 10.255.252.0 Rseaux non affects

Au sein de ce rseau, il est alors possible de crer dautres subnets dont la taille varie en
fonction de limportance du site. En faisant varier la longueur du masque on cre ainsi des
subnets variables (RFC 1219).
Par exemple, au sein de la plage dadresses affecte la rgion parisienne, on peut rserver
le subnet suivant un site de moyenne importance : 10.0.0.0/20 (masque gal
255.255.240.0), soit 4 094 adresses (16 256 2), de 10.0.0.1 10.15.255.254.

Figure 5-3.
Cration dun deuxime subnet.

Au sein de ce site, il peut ensuite tre ncessaire de crer des rseaux de diffrentes tailles,
par exemple un rseau principal et de nombreux petits sous-rseaux ddis connects, par
exemple, un firewall.

Subnets du rseau 10.0.0.0/14 Fonction
10.0.0.0/22
255.255.252.0
Rseau principal (1 022 adresses)
10.0.4.0/22
255.255.252.0
Rserv lextension du rseau principal (*) ou la cration
dun deuxime rseau
10.0.8.0/24
255.255.255.0
Rseaux ddis au firewall
(254 adresses)
(*) Si le rseau principal est tendu, il suffit de changer le masque qui devient 255.255.248.0, ce qui donne le rseau 10.0.0.0/21.
Le rseau 10.0.10.0/23 peut galement tre dcoup en deux subnets de classe C (masque de
24 bits) 10.0.10.0 et 10.0.11.0.
Figure 5-4
Extension
des subnets.

128 64 32 16 8 4 2 1
240. 255.255.
Bit
10.0.
0
0.
0
Masque
Adresse
16 bits + 4 bits /20
10.0.8.0/24
10.0.9.0/24
128 64 32 16 8 4 2 1
255.255.
Bit
252. Masque
10.0.0.0/22
10.0.4.0/22
10.0.8.0/22
10.0.12.0/22
le subnet de 20 bits est dcoup
en 4 subnets de 22 bits
10.0.10.0/23
10.0.10.0/24
10.0.11.0/24
254. 255.
CHAPITRE 5

119

Les subnets de classe C ainsi crs (10.0.8.0, 10.0.9.0, etc.) peuvent leur tour tre dcou-
ps en de trs petits rseaux, juste assez grands pour connecter un routeur et quelques ma-
chines.
Subnets du rseau 10.0.8.0/24 Fonction du rseau ddi
10.0.8.0/27
255.255.255.224
Serveurs publics (30 adresses)
10.0.8.32/27
255.255.255.224
Rserv (30 adresses)
10.0.8.64/26
255.255.255.192
Accs distants (62 adresses)
10.0.8.128/28
255.255.255.240
Accs externes (14 adresses)
10.0.8.144/28
255.255.255.240
Rserv (14 adresses)
10.0.8.160/27
255.255.255.224
PABX (30 adresses)
10.0.8.192/26
255.255.255.192
Rserv (62 adresses)
Une autre manire dapprhender la subtilit du subnetting qui vient dtre opr est de
considrer la grille de dcoupage suivante.

2 subnets
de 128 ( 2) adresses
4 subnets
de 64 ( 2) adresses
8 subnets
de 32 ( 2) adresses
16 subnets
de 16 ( 2) adresses
0 15
0 31
16 31
32 47
0 63
32 63
48 63
64 79
64 95
80 95
96 111
0 127
64 127
96 127
112 127
128 143
128 159
144 159
160 175
128 192
160 191
176 191
192 207
192 223
208 223
224 239
Plage dadresses
au sein du subnet
128 255
192 255
224 240
240 255
Masque /25 /26 /27 /28
Les plages rserves permettront dtendre les plages dj affectes si le nombre de stations
devient plus important que prvu. Ainsi, le rseau Serveurs publics pourra tre tendu en
diminuant le masque de 1 bit, afin de donner le subnet 10.0.8.0/26 (255.255.255.192).
Il est noter que la cration dun sous-rseau fait perdre chaque fois deux adresses.

120
120
La technique du subnetting permet de grer la pnurie dadresses publiques sur lInternet.
En effet, la cration de rseaux IP taills sur mesure vite le gaspillage dadresses ; par
exemple, le rseau 10.0.0.0/16 offre 65 534 adresses qui seront loin dtre toutes utilises.
Sur votre rseau priv, vous avez cependant plus de latitude. Mais attention aux volutions
qui peuvent tre rapides, par exemple lors de la fusion de deux socits.
Mthode daffectation des rseaux WAN
Linterconnexion des rseaux (aborde aux chapitres suivants) ncessite galement des
adresses, mais en moins grand nombre que pour les rseaux LAN.
Par exemple, sur une liaison point point, seules deux adresses sont ncessaires, une pour
chaque extrmit. Le subnetting sur 30 bits, qui offre deux adresses, permet de crer un r-
seau juste dimensionn pour ce besoin.
Nous pourrions utiliser une des plages de notre rseau 10, mais il est cependant plus intres-
sant dutiliser un autre rseau IP, et cela pour plusieurs raisons :
Les adresses des rseaux WAN ne sont pas diffuses sur lensemble du rseau ; elles ne
sont connues quentre routeurs adjacents.
Les adresses nont donc pas besoin dtre connues des rseaux utilisateurs.
Utiliser une plage dadresses distincte permet de mieux identifier les liaisons WAN.
Bien que cela ne soit pas une obligation, nous prfrons donc utiliser une autre plage
dadresses de la RFC 1918. Une classe B suffira amplement.
Nous pouvons donc rserver une plage de notre rseau 172.16.0.0/16, que nous subnette-
rons comme suit :

Subnets de 172.16.0.0/16 Fonction
172.16.0.0/30
255.255.255.252
Liaison Paris-Toulouse
172.16.0.4/30
255.255.255.252
Liaison Paris-Strasbourg
etc. En tout :
16 384 subnets de 2 adresses

Pour les interconnexions multipoints, il suffira de rduire le masque dautant de bits que n-
cessaires pour les subnets considrs. En gnral, les rseaux multipoints WAN sont rares et
comprennent peu dadresses en comparaison des LAN.

CHAPITRE 5

121
Mthode daffectation des stations au sein des rseaux
Chaque nud IP doit possder une adresse IP. Cela concerne les PC et les Macintosh, les
serveurs (NT, Unix, etc.), les imprimantes, les routeurs, les concentrateurs et commutateurs
administrables (pour les agents SNMP), etc.
Il est tentant de dcouper la plage dadresses en autant de parties quil y a de types de
matriels. Cela napporterait cependant rien ni sur un plan technique, ni sur un plan organi-
sationnel.
Lexprience montre, de plus, quune telle pratique nest pas prenne : soit la taille de la
plage que lon avait rserve est insuffisante (davantage de PC que prvu, par exemple),
soit, la longue, personne ne respecte une marche suivre qui est trop contraignante (par
exemple, sil faut installer un PC en urgence, on prend la premire adresse disponible).
Il est, en revanche, intressant de prvoir un dcoupage simple entre les quipements termi-
naux (PC, serveurs, imprimantes, etc.) et les quipements rseau (les routeurs, les agents
SNMP des concentrateurs et des commutateurs, etc.). Cela permet de mieux contrler les
flux du rseau. Dans le cas dun subnet de classe B, on peut se risquer crer une troisime
plage rserve aux serveurs.

Plage dadresses Affectation
De 0.1 24.255

quipements rseau (routeurs, hubs, switches, etc.).
6 399 adresses (de 1 6 399)
De 25.0 49.255 Serveurs NT, Unix, etc.
6 400 adresses (de 6 400 12 799)
De 50.0 255.254

Postes de travail (PC, etc.)
52 735 adresses (de 12 800 65 534)

Dans le cas dun subnet sur une classe C, le plus simple est de ne pas affecter de plage
dadresses par type dquipement, car la probabilit de collision est encore plus forte
quavec une classe B. Laffectation des adresses pour les quipements rseau et serveur peut
commencer par le bas de la plage et sincrmenter ensuite, tandis que celle pour les PC peut
commencer par le haut de la plage et se dcrmenter ensuite.

De .1 .254

quipements rseau (routeurs, hubs, switches, etc.) et ser-
veurs NT, Unix, etc.
De .254 .1 Stations de travail (PC, etc.)

On peut constater que le plan dadressage doit prendre en compte de nombreux paramtres
lis des notions qui nont pas t introduites : routage, translation dadresse, affectation
dynamique, connexion lInternet et contrle de flux. Les chapitres suivants vous permet-
tront de juger de la pertinence ou non du plan dadressage qui vous est propos.


122
122
Lencapsulation des protocoles
Il existe diffrents supports de transmission (cbles en cuivre ou en fibre optique, faisceaux
hertziens) et diffrents moyens daccder ces supports (accs partag par dtection de col-
lision, par jeton, par partage fixe de bande passante, etc.). Cela implique lutilisation de
nombreux protocoles de niveau 1 (couche physique) adapts chaque situation.
La couche liaison, telle que PPP, permet de masquer aux couches suprieures les particulari-
ts du niveau physique et ses contraintes. Mais il arrive quune norme spcifie les couches 1
et 2 : cest le cas dEthernet et dATM (Asynchronous Transfert Mode).
La couche de niveau 3 (couche rseau), telle que IP, peut donc utiliser diffrents rseaux en
recourant aux services de PPP ou en sadaptant directement sur une autre couche liaison.

Figure 5-5.
Paquet IP
au-dessus
de diffrents
rseaux.

On peut tablir lanalogie suivante : le paquet IP est une voiture ; les pneus et les suspen-
sions sont les protocoles de niveau 2 qui ralisent ladaptation aux routes que sont les r-
seaux physiques. Vous roulez ainsi sur un chemin de terre (le RTC), puis sur une nationale
(Ethernet) et enfin sur une autoroute (ATM), mais toujours avec la mme voiture. ventuel-
lement, vous changez de pneus ou de suspensions, afin de vous adapter au terrain. De mme,
le paquet IP peut emprunter le RTC (avec une trame PPP), un rseau Ethernet (avec une
trame Ethernet) ou un rseau ATM (avec une cellule ATM).

Figure 5-6.
Modle en couches
des protocoles Internet.

155 Mbits/s
10 Mbps
RTC
Le paquet IP est achemin de proche en proche
au dessus de diffrents protocole de niveau 2.
Trame Ethernet
Trame PPP
Cellule ATM
Paquet IP
1 Mbits/s
56 Kbits/s
Trame PPP
Votre PC
Serveur Web
Routeurs
Couche 3
Couche 4
Applications Telnet, FTP
IP
SNMP, RSVP
UDP TCP
ICMP
ARP Adressage logique
Rsolution dadresse
IP MAC
Couche 1
Couche 2 Ethernet, ATM
Cble
Adressage physique
CHAPITRE 5

123

LENCAPSULATION DIP DANS ETHERNET (RFC 894 ET 1042)
Il existe deux formats de trames : Ethernet v2, galement appele DIX (du nom des constructeurs Digital,
Intel et Xerox), et Ethernet IEE 802.3. Il y a donc deux faons denvoyer un paquet IP sur Ethernet : direc-
tement dans une trame Ethernet v2 (RFC 894) ou dans une trame 802.3 via un en-tte LLC/SNAP (RFC
1042).
Si la valeur du champ Type de protocole/Longueur est suprieure 1 500 (correspondant au nombre
maximal doctets pour le champ contenant le paquet IP), il sagit dune trame Ethernet v2 (le champ a alors
la signification Type de protocole ). Dans le cas contraire, il sagit dune trame Ethernet 802.3 (le champ a
alors la signification Longueur ).

Adresse MAC
destination
dbut de trame
Ethernet v2
Paquet IP
1 6
Adresse
MAC source
7 46 1500 6
Type de
protocole
2 4
Format obligatoire pour Ethernet 100 Mbps et Gigabit
(nbre doctets)
Adresse MAC
destination
Code de contrle
derreur
dbut de trame
Ethernet 802.3
Paquet IP
1 6
Adresse
MAC source
7 38 1492 6
Longueur
2 4
(nbre doctets)
Code de contrle
derreur
Format de base pour Ethernet 10 Mbps
LLC /
SNAP
8
SNAP
SSAP=AA DSAP = AA
LLC 802.2
1 1
Type trame
LLC = 03
1
OUI
= 000
3 (nbre doctets)
Type de
protocole
2
RFC 894
RFC 1042
SAP = Service Access Point
DSAP = Destination SAP
SSAP = Source SAP
OUI = Organizationally Unique Identifier

Il existe diffrents types de trames LLC (IEEE 802.2) impliquant diffrents modes de fonctionnement. Pour
IP, seule la trame de type Unnumbered Information (type 03) est utilise (trame simple sans acquittement).
Elle est galement utilise pour transporter IP dans ATM (Classical IP), Token-Ring et FDDI.
La couche SNAP (Sub Network Access Protocol) est ncessaire, car la trame LLC (Logical Link Control) ne
contient pas de champ quivalent au champ Type de la trame Ethernet v2. Le SAP (Service Access
Point) utilis pour transporter SNAP est 170 (0xAA). On retrouve ce principe dadaptation avec dautres pro-
tocoles comme Frame-Relay ou ATM (voir chapitre 11).
Dans le dernier champ de len-tte SNAP, on retrouve enfin le type de protocole (ethertype) utilis dont les
valeurs sont identiques celles du champ de mme nom de la trame Ethernet v2 (0x0800 pour IP, 0806
pour ARP, etc.).
Il est noter que le MTU (Maximum Transfert Unit), cest--dire les donnes utiles transportes dans la
trame Ethernet, est plus important avec Ethernet v2, lencapsulation 802.3 faisant perdre 8 octets.

124
124
Ladressage
Toutes les couches rseau, de la couche physique lapplication en passant par les couches
liaison, rseau et transport, utilisent des adresses afin didentifier lmetteur et le destina-
taire. Chaque couche utilise un systme dadressage spcifique qui rpond un besoin
prcis.
Ladressage de niveau 2 est gographiquement limit un rseau local ou une liaison point
point dun rseau tendu.
Ladressage de la couche 3 permet didentifier les stations un niveau suprieur. Il assure la
continuit entre des rseaux physiques qui utilisent diffrents systmes dadressage.

Figure 5-7.
Le rle de ladressage.

Enfin ladressage de niveau 4 permet didentifier les applications quutilisent les services de
la couche transport.

Espace dadressage
local (niveau 2)
Espace dadressage
local (niveau 2)
Routeur
Ladressage IP est utilis pour
les changes de bout en bout.
Ladressage MAC est utilis
pour les changes locaux.
Adresse de la carte
Adresse de la carte
Adresse de la carte
Adresse de la carte
Adresse de la carte
Adresse
du PC
Espace dadressage
global (niveau 3)
Adresse
du PC
Adresse
du PC
Adresse
du routeur
Adresse
du routeur
CHAPITRE 5

125
Le multiplexage

Chaque couche rseau dispose dun champ pour identifier le type de protocole encapsul
dans le champ de donnes. Ethernet identifie ainsi quil transporte un paquet IP, IP identifie
quil transporte des donnes TCP, et TCP identifie lapplication qui a rempli son champ de
donnes.

Figure 5-8.
Le principe de l'encapsulation
des protocoles.

Les champs Type , Protocole et Port permettent chaque couche de savoir
quelle couche suprieure remettre les donnes reues. Le site www.iana.org/numbers.html
recense ainsi toutes les valeurs affectes aux protocoles de la famille TCP/IP ou ceux qui
utilisent IP.

Il est ainsi possible denvisager toutes les combinaisons dencapsulation, telles que celle
spcifie par le protocole STUN (Serial Tunneling) qui permet de transporter dans un paquet
IP une trame SDLC (Synchronous Dala Link Control) qui est un protocole de niveau 2 utili-
s dans les rseaux SNA dIBM. On pourra ainsi trouver lencapsulation : SDLC TCP
IP SNAP LLC Ethernet 802.3 .

En thorie, tout protocole peut donc tre encapsul dans nimporte quel autre protocole.
Dans la pratique, on utilise cette facilit pour rpondre une contrainte particulire, telle
que le transport des flux SNA dans un rseau IP.

1=ICMP, 2=IGMP, 6=TCP, 17=UDP, 46=RSVP, 54=NHRP, 89=OSPF
Adresse MAC
destination
Code de contrle
derreur
dbut de trame
Trame Ethernet v2
Champ des
donnes
1 6
Adresse MAC
source
7
Bourrage
46 1500 6
Type
(Ethertype)
0 46 2 4
Ver IHL Adresse
source
Id FO N de
fragment
Adresse
destination
TOS Longueur
totale
TTL Protocole Contrle
derreur
Options et
bourrage
Champ des
donnes
Numro
squence
Port
source
Longueur Fentre Port
destination
Rserv Code Contrle Urgence Options Bourrage Numro
acquittement
Champ des
donnes
Paquet IP v4
Segment
Telnet
Segment
FTP
Segment
HTTP
Segment
SMTP
Autres
applications
ou ou ou ou
23 20, 21 80 25 ...
(nbre doctets)
>1023
Paquet TCP
0x0800=IPv4, 0x0806=ARP,
0x86DD=IPv6, 0x8847=MPLS
etc.

126
126
Dans le cas dune navigation sur le web, lempilement des protocoles est : segment HTTP
TCP (port 80) IP (protocole 6) , puis toutes sortes de rseaux de transport, tels que
PPP, Frame-Relay, ATM, etc.

Sur votre rseau, lencapsulation sera : IP SNAP (protocole 2048) LLC (SAP 170)
Ethernet 802.3 .

Par dfaut, Windows 2000 encapsule les paquets IP dans les trames Ethernet v2. Il est pos-
sible dactiver lencapsulation LLC/SNAP en ajoutant le paramtre ArpUseEtherSNAP
de type REG_DWORD la cl de registre HKEY_local_machine\System\Current-
ControlSet\Services\Tcpip\Parameters , et en fixant sa valeur 1.

Figure 5-9.
Le rle
des couches
rseau.

Ce modle en couches simplifie la programmation des protocoles en leur assignant des rles
prcis, et offre plus de souplesse par le jeu des encapsulations possibles.
Lchange de paquets IP
Une carte rseau ne se proccupe que des adresses MAC pour envoyer et recevoir des don-
nes. En revanche, une application telle que Telnet ne connat que ladresse IP qui est pure-
ment logique : une pile IP recevant un paquet IP ne le prendra en compte que si ladresse de
destination du paquet correspond ladresse IP qui a t paramtre dans le PC. Dans le cas
contraire, il sera ignor.

t
Physique
Rseau
Liaison
Transport
Session
Prsentation
Application
trame MAC / LLC
Couches rseaux
1
Bit
paquet IP
segment TCP
page HTTP
2
3
4
5
6
7
IEEE 802.3 (mac)
Transmissions entre 2 noeuds
Adressage physique des noeuds
Contrle derreur
Routage
Adressage logique
Fragmentation / rassemblage
Gestion TTL
Contrle de flux (fentre dmission)
Fragmentation et resquencement des donnes
Contrle derreur
Adressage applicatif (ports)
Interface utilisateur
Formatage des donnes
Gestion de la session client-serveur

RFC
791, 1011
IEEE 802.2 (llc)
Routeur
Commutateur
RFC 675
761, 793
RFC 1042
Codage Manchester,
CSMA/CD, etc.
Pile TCP/IP de
lordinateur (sockets)
Navigateur Web
Cble
CHAPITRE 5

127

Figure 5-10.
change
de paquets IP.

Par ailleurs, ladresse MAC de la station changera si la carte rseau est change (en cas de
panne, par exemple). De mme, son adresse IP peut tre modifie tout moment laide des
outils de configuration Windows (en cas de dmnagement, par exemple).
Lexemple prcdent montrait un paquet IP envoy dans une trame de broadcast. Ce moyen
doprer est pratique mais trs consommateur de bande passante puisque la trame est propa-
ge travers tout le rseau. Sauf quand cela est ncessaire, un paquet IP est envoy dans une
trame unicast, cest--dire directement au PC concern. Mais comment connatre ladresse
MAC de la carte du PC destinataire alors que vous ne connaissez que ladresse IP de sa pile
IP ?
Cela est, par exemple, le cas lorsque vous lancez la commande suivante, qui permet de vous
connecter un serveur Unix :
Telnet 192.50.10.1
Lapplication Telnet va demander la couche TCP douvrir une connexion avec ladresse IP
indique, et va transmettre son paquet la couche IP (avec ladresse de destination indi-
que). Cette dernire va encapsuler le segment TCP dans un paquet IP, puis lenvoyer la
carte. Mais la carte ne sait pas quoi faire dune adresse IP ; elle ne sait grer que des adres-
ses MAC : une trame Ethernet ne contient quune adresse MAC qui permet aux autres cartes
de la prendre ou non en compte.
La solution repose sur un mcanisme qui ralise la correspondance entre ladresse MAC du
PC destinataire et son adresse IP.
On pourrait utiliser une table de correspondance statique Adresse MAC Adresse IP. Mais
cela serait fastidieux, car il faudrait relever les adresses MAC des stations ainsi que les
adresse IP, et paramtrer la table sur tous les PC. Cela est inimaginable tant donn le nom-
bre important de PC et les nombreux changements dadresses qui interviennent. On perdrait
en plus lavantage de dissocier ladresse physique de ladresse logique. En outre, un PC peut
tre configur avec plusieurs adresses IP.

La pile IP envoie un paquet qui est encapsul
dans une trame Ethernet de broadcast que la
carte envoie son tour.
Les cartes sont lcoute des signaux qui circulent sur le cble.
Elles se synchronisent sur le prambule des trames MAC et
lisent les adresses MAC destination.
Toutes les piles IP
reoivent le paquet.
Il sagit dune adresse de broadcast
(FFFFFFFFFFFF) : toutes les cartes
acceptent la trame, et le paquet IP qui y est
contenu est transmis la couche IP.
Concentrateur
Up
Oui, le paquet est pour
moi, jai la mme
adresse IP que ladresse
destination du paquet.
Non, le paquet nest pas pour moi,
je nai pas la mme adresse IP que
ladresse destination du paquet.
Mme rsultat si cest
un commutateur


128
128

LE POINT SUR IPV4 (RFC 791)
IP (Internet Protocol) est un protocole de niveau 3 (couche rseau) qui dcoupe les rseaux locaux en r-
seaux logiques indpendamment de leur implmentation physique. Ce protocole permet donc denvoyer
des donnes travers un rseau logique reposant sur des rseaux physiques de diffrente nature (Ether-
net et PPP, par exemple). Pour ce faire, IP utilise un adressage logique diffrent de ladressage physique
(MAC, PPP ou autre).

Version = 4
TTL (Time To Live)
dure de vie du paquet
Adresse IP source (celle de la station qui a mis le paquet)
Contrle derreur (checksum) sur lentte du
paquet IP uniquement
Protocole encapsul
dans le champ donne
0
TOS
(Type Of Service)
Longueur
de lentte
Options (champ factultatif de longueur comprise entre 1 et 3 octets)
Adresse IP destination (celle de la station qui ce paquet doit tre envoy)
Longueur totale du paquet
(en nombre doctets, de 1 65 535)
Identification du fragment : permet de savoir
quel paquet IP appartient ce fragment
Position du fragment exprime en
multiples (de 0 8 191) de 8 octets
D
F
M
Bourrage
4 bits 8 bits 16 bits 4 bits

Cette couche se contente de router (cest--dire acheminer) le paquet travers un rseau IP : les paquets
peuvent tre perdus (pas de garantie dacheminement), contenir des erreurs (sauf sur len-tte, qui est
contrl) ou arriver dans le dsordre. IP fragmente les paquets dont la taille excde celle des trames (le
MTU, Maximum Transfer Unit). Les fragments sont routs indpendamment les uns des autres comme au-
tant de paquets, mais IP assemble dans le bon ordre les fragments dun mme paquet original. Le bit M
positionn 0 indique que ce paquet est le dernier fragment dune srie lorsque le bit DF est position-
n 0 .
Le bit DF positionn 1 indique que lmetteur ne souhaite pas fragmenter les paquets. Dans cas, si
un routeur reoit un paquet dpassant le MTU, il envoie lmetteur un message icmp_destination unrea-
chable type 4 lui indiquant le MTU. Il est alors de la responsabilit de lmetteur dajuster la taille de ces
paquets ou dautoriser la fragmentation.
Le champ TTL est dcrment de 1 chaque fois que le paquet passe par un routeur. Si la valeur atteint z-
ro, le routeur dtruit le paquet. Ce mcanisme vite aux paquets de rester trop longtemps sur le rseau, soit
parce quils tournent en boucle (suite une erreur de routage), soit parce quils traversent trop de routeurs.
La valeur initiale du TTL est fixe par la station mettrice (de 32 128, en gnral).

TOS Options D Priorit T R

0 0

D = dlai dacheminement court
T = dbit lev R = Grande fiabilti
Clas
se
C Numro
Classe / Numro
0 / 2 IP security Option
0 / 3 Routage lche
0 / 7 Enregistrement des routes
0 / 9 Routage strict dfini par la source
2 / 4 Horodatage des paquets
C = Option recopie
dans tous les fragments

Le champ TOS n'existe plus en tant que tel. Il a t redfini par les RFC 2474 (DiffServ) et 3168 (ECN) qui
sont dtailles au chapitre 14.
CHAPITRE 5

129
La rsolution dadresse
La seule solution est donc une rsolution dadresse automatique, cest--dire un mcanisme
permettant de trouver ladresse MAC en connaissant uniquement ladresse IP. Cest le rle
du protocole ARP (Address Resolution Protocol) li la couche IP. Ce protocole gre une
table de correspondance dynamique Adresse MAC Adresse IP, appele cache ARP.
Vous pouvez en visualiser le contenu laide de la commande Windows suivante :
arp a
00:40:0b:4b:25:d2 190.50.1.253

Si vous navez pas communiqu rcemment avec un autre PC, la table sera vide : les entres
sont, en effet, effaces au bout dun certain temps. Sous Windows, une entre ARP (adresse
MAC / adresse IP) est supprime au bout de deux minutes si le PC na pas dialogu avec la
station cible (selon le mcanisme TTL, Time To Live). Dans tous les cas, lentre reste au
maximum dix minutes en mmoire, puis elle est supprime.
Si ladresse IP recherche nest pas dans le cache, ARP va alors envoyer un paquet de re-
qute encapsul dans une trame Ethernet de broadcast. Cette dernire va donc tre lue par
toutes les cartes rseau.
LE POINT SUR ARP (RFC 826)

Pour obtenir ladresse MAC d'une station ne connaissant que son adresse IP, la pile TCP/IP met une re-
qute ARP (Address Resolution Protocol) dans une trame Ethernet de broadcast dont le champ Type
contient la valeur 0x0806.
Chaque pile IP recevant un tel paquet compare alors son adresse avec celle figurant dans le champ
Adresse protocole destination .
S'il y a correspondance, la couche ARP envoie un paquet de rponse en remplissant le champ Adresse
physique destination avec ladresse MAC de sa carte. Dans le cas contraire, le paquet est ignor.
Cest moi : voici mon adresse MAC
Quelle est ladresse MAC qui
correspond cette adresse IP ?
Requte
Rponse
change de paquets IP
changes ARP
MAC dest = FF:FF:FF:FF:FF:FF MAC src = 02:60:8C:EB:25:D2
MAC src = 02:60:8C:80:BD:05 MAC dest = 02:60:8C:EB:25:D2
IP = 192.50.10.20 IP = 192.50.10.1

Donc, seule la station dont ladresse IP correspond celle demande par la requte envoie en rponse un
paquet contenant sa propre adresse MAC.
La rsolution inverse, cest--dire lobtention de ladresse IP partir de ladresse MAC, est ralise par le
protocole RARP (Reverse ARP RFC 903).

130
130

Figure 5-11.
Format
d'un paquet ARP
dans une trame
Ethernet.

Seule la station configure avec ladresse IP recherche va rpondre en renvoyant son
adresse MAC.
Une fois ladresse rsolue, le paquet IP peut tre envoy dans une trame MAC unicast dont
ladresse de destination est celle de la station cible.
Lchange de donnes entre applications
Une application utilise les services de la couche transport avec qui elle change des donnes
travers une interface de programmation livre avec la pile TCP/IP. Sous Unix, il sagit des
Sockets ; sous Windows de Winsock.
La couche transport est soit TCP (Transport Control Protocol) soit UDP (User Datagram
Protocol), qui est une version allge de TCP.
Le protocole TCP agit en mode connect, ce qui implique que le client demande louverture
dune connexion pralablement tout change. Par exemple, lorsque vous entrez la com-
mande Windows Telnet 192.50.10.1 , le programme client Telnet demande TCP
douvrir une connexion un serveur Telnet qui est en attente, cest--dire lcoute du port
TCP 23.
Inversement, UDP agit en mode non connect, ce qui permet deux machines dchanger
des donnes tout moment, sans entrer dans une phase de connexion. Par exemple, lorsque
vous voulez vous connecter un serveur de fichiers Windows NT, votre PC met une de-
mande de rsolution de nom destination dun serveur WINS qui est lcoute sur le port
UDP 137.
Adresse MAC
destination
Code de contrle
derreur
dbut de trame
Trame Ethernet
Champ de
donnes
1 6
Adresse
MAC source
7
Bourrage
46 1500 6
Type
0 46 2 4
La valeur du champ Type est 0x806 : la carte remet le contenu du champ de donnes la couche ARP.
Champ des donnes = paquet ARP
Code
0x0806 = ARP
(nbre doctets)
16 8 6 pour Ethernet 8 4 pour IP 16 6 pour Ethernet 4 pour IP
1 = Ethernet 0x0800 = IP
Paquet ARP
Nombre doctets de ladresse physique (6 pour Ethernet)
Nombre doctets de ladresse du protocole rsoudre (4 pour IP)
192.50.10.1 192.50.10.5 00:44:AA:12:54:54 Vide pour une requte
Protocole Adresse MAC
metteur
Couche
Physique
Longueur
Protocole
Adresse IP
metteur
Adresse MAC
destination
Adresse IP
destination
= Requte ou Rponse
16
Longueur
Physique
CHAPITRE 5

131
Figure 5-12.
Utilisation
des ports TCP et UDP.

La pile TCP/UDP du client choisit gnralement un port source suprieur 1023, et incr-
mente cette valeur chaque nouvelle session ouverte simultanment dautres dj actives.

Les clients et les serveurs manipulent des noms (une machine Unix, un serveur de fichiers
NT) et schangent des donnes travers des ports qui leur sont rservs par lIANA (voir
en annexe La gestion de lInternet ). Sur lInternet, le service DNS permet de convertir
les noms en adresses IP (voir chapitre 7), tandis que, dans le monde Microsoft, on utilise en-
core le service WINS pour convertir des noms Netbios en adresses IP.
On peut considrer que ce protocole est situ au niveau de la couche 5 (couche session) : il
permet, en effet, dtablir et de grer des sessions entre applications. Dans le monde Inter-
net, les applications comme Telnet, votre navigateur Web, FTP, etc.) grent elles-mmes
tous les mcanismes situs au-dessus de la couche transport, cest--dire TCP et UDP.
lorigine, Netbios circulait nativement dans des trames Ethernet, mais de nos jours, il est
encapsul dans IP (RFC 1001 et 1002).
Par exemple, le partage de fichiers et la messagerie Exchange utilisent le protocole Netbios
sur le port TCP 139. Par ailleurs, les serveurs WINS schangent des donnes sur le port
TCP 42.
Figure 5-13.
Netbios sur IP.

Client Serveur
>1023 23
>1023 23
Telnet
TCP UDP
UDP
Client Serveur
>1023 137
>1023 137
Netbios (rsolution de noms)
TCP
TCP
Client Serveur
>1023 137
>1023 137
Name Service Protocol
UDP
UDP
Client Serveur
>1023 139
>1023 139
Session Service Protocol
UDP
UDP
Client Serveur
>1023 138
>1023 138
Datagram Service Protocol
LE POINT SUR UDP (RFC 768)
UDP (User Datagram Protocol) permet simplement une application davoir accs au rseau IP. Ce proto-
cole noffre aucune garantie dacheminement, aucun mcanisme de reprise sur erreur, ni de contrle de
flux, et ne vrifie pas la duplication des paquets. Tous ces contrles doivent tre oprs par les autres cou-
ches rseau. En revanche, les paquets remis lapplication le sont sans erreur.
Port UDP source Port UDP destination
16 bits
Nombre doctets de lentte
et des donnes
Contrle derreur : checksum portant sur lentte
UDP, une partie de lentte IP et les donnes
16 bits

Les champs port source et port destination servent identifier une application (par exemple, 23 pour Tel-
net). Ces valeurs sont rserves et enregistres par lIANA (www.iana.org/assignments/port-numbers).

132
132

LE POINT SUR TCP (RFC 793)
TCP (Transport Control Protocol) est un protocole de niveau 4 (couche transport) qui permet deux appli-
cations (un client et un serveur) dchanger des donnes en leur masquant les mcanismes rseau. Les
segments TCP sont transports dans des paquets IP de type 6 (champ protocole = 6).
TCP offre un service de bout en bout (entre deux entits, quelle que soit leur localisation) en mode
connect (un client doit se connecter une application serveur). Il utilise pour cela un adressage applicatif
bas sur des ports TCP. Chaque application est identifie par un numro de port rserv (well known port).
Gnralement, le client choisit un numro de port alatoire suprieur 1023 comme port source. Le serveur
lui rpond sur ce port.

Longueur
de lentte
Numro de squence des segments mis (sens metteurrcepteur)
= N du premier octet du champ Donne
Rserv (6 bits) Fentre dmission permettant dacquitter
plusieurs segments en mme temps
Numro dacquittement des segments reus (sens metteurrcepteur)
= ok jai bien reu les N-1 octets, jattends le Nme
Port TCP source Port TCP destination
Contrle derreur (checksum) portant sur lentte
TCP, une partie de lentte IP et les donnes
Pointeur durgence =
nombre doctets urgents restant envoyer
Options Bourrage
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N

Les bits de contrle ont la signification suivante :

URG (Urgent) Indique que les donnes doivent tre remises sans dlai lapplication.
ACK (Acknowledge) Acquittement dun ou de plusieurs segment selon le n dacquittement
PSH (Push) Indique la couche TCP denvoyer et de remettre les donnes sans attendre le
remplissage des tampons dmission et de rception.
RST (Reset) Ferme la connexion TCP suite un problme.
SYN (Synchhronize) Le rcepteur doit synchroniser son n dacquittement avec le n de squence reu
FIN Demande de dconnexion.
Des options peuvent tre ngocies entre entits TCP (champ Option ), par exemple la taille maximale
des segments transports.
La couche TCP assure le contrle derreur et le squencement des segments (les segments sont remis
dans le mme ordre que lors de leur mission). La taille de la fentre dmission indique au rcepteur le
nombre doctets quil pourra son tour envoyer sans attendre dacquittement. Elle permet galement de
demander la retransmission partir du premier segment en erreur (manquant ou erron).
La couche TCP mesure le temps coul entre lmission dun segment et la rception de laccus de rcep-
tion correspondant, et calcule ainsi une moyenne glissante du temps de rponse (Round Trip Time). Elle
utilise lalgorithme de Karn pour dduire la valeur de ses temporisateurs. Ainsi, plus le temps de rponse
est long, plus TCP attendra longtemps laccus de rception avant de retransmettre. De mme, TCP estime
le nombre de segments perdus : plus celui-ci augmente, plus la fentre dmission est rduite. Ces mca-
nismes permettent TCP de contrler le flux de donnes en fonction de ltat du rseau (perte de seg-
ments et dbits) et donc dviter une surcharge du rseau par un nombre croissant de retransmissions de-
venues inutiles.

CHAPITRE 5

133

LE POINT SUR TCP (SUITE)
Une connexion TCP seffectue par lchange des trois segments suivants (three ways handshake) :

SYN= bit SYN
SEQ= n de squence des segments mis
ACK= n dacquittement des segments reus
SYN=1
SEQ=1500, ACK=0
Le bit SYN 1 indique que le rcepteur doit
synchroniser son n ACK avec le n SEQ
envoy.
SYN=0
SEQ=1501, ACK=601
SYN=1
SEQ=600, ACK=1501
Initiateur de
la connexion
Le n de squence initial est gnr
alatoirement. Aprs chaque mission de
segment, il est incrment du nombres
doctets transports dans ce segment.

Pour grer la fentre glissante, chaque extrmit gre deux fentres par connexion, une pour lmission (cf.
schma ci-dessous) et une autre pour la rception.

Octets mis
et acquits
128 256 384 512 640 768 896 1024
Dans cet exemple lmetteur envoit des segments comportant 128 octets de donnes,
et la taille de la fentre demande par le rcepteur est de 512 octets.
Octets mis et
non acquits
Octets
pouvant
encore
tre mis
Octets ne pouvant pas
tre mis tant quun
acquittement na pas
t reu
Un paquet avec ACK=640 a t reu :
la fentre glisse de 256 octets

Lacquittement TCP est cumulatif : un acquittement de numro de squence N signifie que les octets prc-
dents ont bien t reus.

SEQ=1502, ACK=601 Deux segments contenant
128 octets de donns sont
envoys.
SEQ=1630, ACK=601
SEQ=601, ACK=1630
Le checksum calcul ne correspond pas
celui reu dans lentte.
SEQ=1630, ACK=1113
512 octets de donnes envoys en
mme temps que lacquittement des
128 octets correctement reus.
Bit ACK=0 : le n dacquittement est
ignor (pas dacquittement).
Bit ACK=1. Le pointeur
doctets mis et acquitts =
n dacquittement
(la fentre glisse).
La taille de la fentre passe 256
octets.
+512
+128

Nombre dapplications se contentent denvoyer peu doctets, voire un seul octet par segment TCP, comme
cela est le cas de Telnet (cf. chapitre 10). Sur un rseau non encombr et/ou haut dbit, on peut se per-
mettre dencapsuler un octet dans un segment TCP puis dans un paquet IP (overhead de 40 octets), de
procder la mme opration pour le caractre en cho, puis de gnrer deux acquittements, un pour le
caractre envoy et un autre pour le caractre en cho. Mais dans des conditions inverses, cet overhead
nest pas supportable. Ainsi, lorsque TCP constate que les temps de rponse sont longs, il active
lalgorithme de Nagle, qui consiste accumuler les octets pour les envoyer dans un mme segment, plutt
que denvoyer chaque caractre dans des segments individuels.
6
Administrer
son rseau IP

Votre rseau dentreprise est dsormais oprationnel. Il stend sur plusieurs sites. Cepen-
dant, les problmes vous guettent. En effet, plus le rseau est important, plus la probabilit
quune panne survienne un endroit ou un autre est importante. Cest statistique.

En outre, plus un rseau est important, plus il est difficile grer. Il convient donc dutiliser
des outils qui simplifient sa gestion et diminuent donc le nombre potentiel de pannes.

Dans ce chapitre vous apprendrez :
utiliser les outils de base pour le diagnostic rseau ;
installer un serveur DHCP qui vous facilitera la vie.

ICMP, SNMP, MIB, DHCP, BootP

136
Les utilitaires de base
Deux programmes doivent faire partie du kit de survie de tout administrateur rseau :
ping et Traceroute.
Le ping
La commande de base est le ping (Packet Internet Groper, ou ping-pong). Ce programme
permet de savoir si une station IP est active et, plus gnralement, si le rseau fonctionne
correctement entre deux points, par exemple, entre votre PC Paris et le serveur de Londres.
Autre fonction intressante, le programme donne galement le temps de rponse mesur.

Figure 6-1.
Le ping.

La commande ping sappuie sur le protocole ICMP (Internet Control Message Protocol) qui
fait partie de la couche IP. Ce protocole est utilis pour toutes les oprations qui ont trait la
gestion du rseau IP, et ce, de faon transparente pour les utilisateurs.

FR
10.0.2.50
switch
switch
Paris Londres
10.12.1.100 10.0.2.40 10.0.0.1 172.16.0.9 172.16.0.10 10.12.0.1 10.12.1.60
ICMP_ECHO_REQUEST
ICMP_ECHO_REPLY
Sous Windows NT, le TTL par dfaut est de 128. Vous pouvez le modifier
dans la base des registres Windows : HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL.
Le temps de rponse varie entre 80 ms et 90 ms. Cest le temps
mis par le paquet ICMP_ECHO_REQUEST pour aller jusquau
serveur + le temps mis par le paquet ICMP_EGHO_REPLY pour
revenir jusquau PC.
Administrer son rseau IP
CHAPITRE 6

137
Le traceroute
Lautre commande de base est le traceroute. Ce programme utilise des mcanismes propres
IP et ICMP pour afficher lcran la route emprunte par un paquet IP en plus du temps
de rponse. Son principe de fonctionnement est le suivant :
Le programme envoie un paquet ICMP_echo_request destination de la machine cible
avec un TTL (Time To Live) gal 1.
Le premier routeur reoit ce paquet, dcrmente le TTL de 1, et constate quil est gal
0. Il dtruit le paquet, et renvoie lmetteur un message ICMP_Time_exceeded.
Le programme enregistre ladresse IP du routeur qui a envoy ce message ainsi que le
temps coul depuis lmission du paquet ICMP_Echo_request.
Le programme continue de mme en incrmentant le TTL de 1 chaque paquet
ICMP_Echo_request mis. Le paquet ira donc un saut plus loin que le prcdent, et le
routeur suivant rpondra.

Le mcanisme du TTL (Time To Live) est expliqu dans lencart Le point sur IP v4 , au
chapitre 5.

Certaines implmentations de traceroute utilisent un paquet UDP sur un port quelconque la
place dun paquet ICMP_Echo_request. La RFC 1393 (statut exprimental) propose, quant
elle, un autre algorithme qui repose sur un message ICMP_Traceroute (type 30). Il est ce-
pendant rarement implment, aussi bien sur les stations que sur les routeurs.

Figure 6-2.
Le traceroute.

FR
10.0.2.50
switch
switch
Paris Londres
10.12.1.100 10.0.2.40 10.0.0.1 172.16.0.9 172.16.0.10 10.12.0.1 10.12.1.60
ICMP_TIME_EXCEEDED
TTL-1 = 0
ICMP_ECHO_REQUEST, TTL=1
TTL-1 = 1
TTL-1 = 0
ICMP_TIME_EXCEEDED
TTL-1 = 2 TTL-1 = 1
ICMP_ECHO_REPLY issus de la station cible (fin de la recherche)


138

LE POINT SUR ICMP (RFC 792, 950 ET 1256)
ICMP (Internet Control Message Protocol) regroupe prs de trente types de messages permettant aux
nuds dun rseau dchanger des informations de gestion relatives IP.
Type de
message
Checksum portant
sur le message
Code
Donnes dpendant
du type et du code du message
4 bits 8 bits 4 bits

Except pour les messages Echo et Timestamp, le paquet ICMP contient une copie partielle du paquet ori-
ginal ayant caus lerreur (en-tte IP + 8 premiers octets des donnes).
Le tableau de la page suivante recense les types et codes existants ce jour. Lorsque cela nest pas prci-
s, les messages sont gnrs par les routeurs et les stations IP. Sauf indication contraire, les messages
ICMP sont dfinis dans la RFC 792.

Type Message Code et description
0 network unreachable : le routeur ne connat pas la route
1 host unreachable : le routeur ne peut pas trouver la station
2 protocol unreachable : le protocole demand nest pas actif.
3 port unreachable : aucun programme ne rpond sur ce port TCP
ou UDP.
4 fragmentation needed and DF set : indique lmetteur que le
routeur doit fragmenter un paquet qui dpasse le MTU, alors que
la fragmentation nest pas souhaite par ce mme metteur.
3 Destination Unreachable
5 source route failed
0 Si un routeur reoit un paquet avec un TTL 0, il envoie ce
message lmetteur.
11 Time exceeded
1 Si une station nobtient pas tous les fragments dun message
dans le temps imparti, elle envoie ce message lmetteur.
12 Parameter Problem 0 Des paramtres incorrects ou inconsistants dans len-tte du
paquet IP ont t dtects (un pointeur indique la position de
lerreur dans lentte)
4 Source Quench 0 Le routeur, ou la station, est congestionn (ou rgule le trafic
selon un algorithme propre) et demande lmetteur de rduire
son flux. Les paquets en excs peuvent tre dtruits.
0 for the Network : le routeur a dtect une meilleure route et indi-
que la station quel routeur solliciter
1 for the Host : idem pour une station
2 for the TOS and Network : idem avec le champ TOS correspon-
dant.
5 Redirect
3 for the TOS and Host : idem pour une station.
8 Echo request 0 Demande au rcepteur de renvoyer un Echo reply (un identifiant
et un numro de squence identifient le message).
0 Echo reply 0 Rponse un Echo request. Les donnes contenues dans le
message Echo request doivent tre reportes dans ce message.

CHAPITRE 6

139

La version Windows de traceroute procde trois
essais chaque saut et affiche trois temps de rponse.
Les adresses affiches sont celles des
interfaces des routeurs qui ont mis le
message ICMP_TIME_EXCEEDED et,
en dernier, celle de la station cible qui,
elle, renvoie un ICMP_ECHO_REPLY.
LE POINT SUR ICMP (SUITE)

Type Message Code et description
13 Timestamp 0 Indique le nombre de millisecondes coul depuis 00h00 GMT
lorsque le message Timestamp a t envoy. Utilis pour va-
luer le temps de transit.
14 Timestamp reply 0 Indique le nombre de millisecondes coul depuis 00h00 GMT
lorsque le message Timestamp a t reu, ainsi que la valeur de
ce nombre lorsque la rponse a t envoye.
15 Information request 0 (obsolte) Permettait aux stations dobtenir leur adresse IP. M-
canisme remplac par les protocoles RARP, puis BOOTP et
DHCP.
16 Information reply 0 Idem (obsolte).
17 Mask request 0 (RFC 950) Permet une station dobtenir le masque IP de son
sous-rseau.
18 Mask reply 0 (RFC 950) Rponse du routeur une demande de masque.
9 Router Advertisement 0 (RFC 1256) mis priodiquement par un routeur pour indiquer
ladresse IP de son interface. Permet aux routeurs de dcouvrir
leurs voisins, et aux stations de dcouvrir leur passerelle par
dfaut.
10 Router Solicitation 0 (RFC 1256) Lors de son initialisation, une station peut demander
un routeur de sannoncer immdiatement. Les routeurs
nenvoient, en principe, aucune sollicitation, mais attendent les
annonces.


140
COMMENT UN ANALYSEUR RSEAU FONCTIONNE-T-IL ?
Un analyseur rseau est un logiciel capable de dcoder idalement tous les protocoles existants, du niveau
2 au niveau session. Il fonctionne de concert avec une carte rseau, de prfrence haut de gamme, capa-
ble de capturer toutes les trames, mme pleine charge.
Le cot dun tel produit dpend donc du nombre de protocoles reconnus et de la carte dacquisition : Ether-
net, Token-Ring ou ATM pour les LAN, et srie synchrone pour les liaisons WAN en Frame Relay, ATM,
etc.
La carte rseau doit fonctionner en mode promiscus. Dans un mode de fonctionnement normal, une carte
ne prend en compte que les trames multicast et de broadcast, ainsi que celles dont ladresse de destination
MAC correspond celle qui est programme dans sa mmoire (PROM, Flash, etc.). En mode promiscus, la
carte prend en compte toutes les trames. Toutes les cartes rseau ne supportent pas le mode promiscus.
La commande ping sera plutt utilise pour savoir si un nud IP est actif et joignable ainsi
que le temps de rponse de bout en bout. Elle offre en outre davantage de possibilits de pa-
ramtrage (taille et nombre des paquets, enregistrement de la route, etc.). La commande tra-
ceroute permet, quant elle, de savoir quelle route est emprunte (par exemple, le chemin
principal ou celui de backup) et quelles parties du rseau engendrent les temps de rponse
les plus longs.
De nombreux utilitaires de ce type sont disponibles sur les sites ftp.lip6.fr, tucows.club-
internet.fr et www.winsite.com.
Observer ce qui se passe sur son rseau
Si votre rseau prsente un dysfonctionnement et que, malgr toutes vos investigations, vous
navez pas trouv do provient le problme, il ne vous reste plus qu lausculter, cest--
dire observer les donnes qui y circulent.
Mme lorsque le rseau semble bien fonctionner, il nest pas inutile dy jeter un coup dil,
car bien souvent des erreurs (collision, paquets corrompus, flux non identifi, trafic cens ne
pas tre prsent sur ce segment, etc.) se produisent. Ces erreurs ne sont alors pas percepti-
bles, mais peuvent le devenir sous certaines conditions, par exemple lorsque la charge r-
seau augmente. Une maintenance prventive permet donc dviter le pire.
Lanalyseur rseau est loutil tout indiqu pour ce type de situation. Il permet :
de capturer toutes les trames qui circulent sur un segment Ethernet ;
danalyser le contenu de toutes les couches rseau, de la trame aux donnes applicatives
en passant par le paquet IP ;
de dterminer si des erreurs se produisent (collision, erreur de transmission, etc.) et en
quelle proportion ;
de connatre les temps de rponse prcis (au millime de seconde prs).
En positionnant des filtres, il est possible de suivre prcisment les changes entre deux sta-
tions, soit partir de leurs adresses MAC, soit partir de leurs adresses IP.

CHAPITRE 6

141
La couche liaison (DCL =Data Link Control)
correspond ici une trame Ethernet.
Donnes brutes telles quelles
circulent sur le segment Ethernet.
La trame Ethernet transporte un paquet IP.
Il sagit dune trame Ethernet v2, car la
valeur du champ est suprieure 1 500.
Requte ARP suivie de sa rponse, qui permet
denvoyer la trame Ethernet ladresse MAC
correspondant ladresse IP qui est envoy le
paquet ICMP_echo_request (ping).
Dtail du paquet
Adresses MAC source et destination. Lanalyseur a
repr quil sagissait dune carte Fujitsu et a remplac
la partie constructeur de ladresse MAC par le nom.

Lanalyseur rseau peut galement tre utilis comme outil danalyse pour :
mesurer la volumtrie gnre par une application entre un client et un serveur ;
valuer la part de responsabilit du rseau, du serveur et du client dans le temps de
rponse global entre un client et un serveur ;
surveiller la charge du rseau pendant 24 heures ou sur une semaine ;
dterminer quelles stations gnrent le plus de trafic ;
dterminer la rpartition du trafic par protocole, par adresse IP, etc.

Enfin, lanalyseur rseau offre souvent des fonctions volues, telles que :
une minuterie (triger) qui permet de dclencher et darrter la capture sur rception
dune trame particulire (adresse, donnes, etc.) ;
un gnrateur de trafic pour vrifier le comportement du rseau et des applications
pleine charge (par exemple si trop derreurs surviennent partir dune certaine charge,
le cblage est sans doute en cause) ;
la possibilit de rejouer un change de trames pralablement captures.

142
Piloter son rseau
Si votre rseau prend de lampleur le nombre des quipements (routeurs, concentrateurs,
commutateurs, etc.) augmente, et ces derniers sont rpartis sur diffrents sites , il devient
de plus en plus ncessaire de centraliser la gestion des quipements.

Pour ce faire, la famille des protocoles TCP/IP propose le protocole SNMP (Simple Network
Management Protocol) qui permet lchange dinformations entre une station
dadministration (le client) et des agents (les serveurs) implants dans chaque quipement.
On parle alors dagent SNMP ; celui-ci se prsente sous forme dun petit programme qui
rpond aux requtes SNMP mises par la station dadministration.

Quelle station dadministration ?

Une station dadministration, ou plate-forme dadministration, est constitue dun ordina-
teur sous Windows NT/2000 ou sous Unix, ainsi que dun logiciel, tel quOpenView de
Hewlett-Packard, Tivoli dIBM, Unicenter de Computer Associates, Spectrum de Cabletron,
etc.

Ces logiciels haut de gamme (environ 15 000 ) sont en fait des botes outils sur lesquelles
sinstallent des modules ddis chaque constructeur (CiscoView pour les quipements
Cisco, Optivity pour ceux de Bay Networks, etc.). Ces modules peuvent, par ailleurs, fonc-
tionner de manire autonome.

Lintrt dune telle plate-forme est de fdrer la gestion dun parc dquipements htro-
gne autour dune gestion centralise des alarmes et dune carte rseau sur laquelle
saffichent les quipements dcouverts dynamiquement.

En fait, les plates-formes dadministration ncessitent un paramtrage trs important dont le
cot peut tre plus lev que celui du matriel et du logiciel runis. Elles sont pour cela r-
serves aux grands rseaux, notamment chez les oprateurs.

Pour un rseau de plus petite taille, il est prfrable dutiliser les modules des constructeurs
en mode autonome : si vous disposez dun parc dquipements homogne, nul besoin
dinvestir dans une usine gaz . Lintrt est de pouvoir visualiser graphiquement les
quipements et de cliquer sur les cartes et ports que vous voulez configurer.

Certains administrateurs de grands rseaux se dispensent mme de ce type de logiciel, prf-
rant utiliser Telnet, TFTP et les fichiers de configuration en mode texte, le ping et le trace-
route tant utiliss pour les dpannages quotidiens.

CHAPITRE 6

143
Pour quelle utilisation ?
Si vous dsirez nanmoins visualiser et surveiller votre rseau de manire graphique, vous
pouvez toujours utiliser des petits logiciels, tels que Whatsup. Le principe est identique ce-
lui des plates-formes, mais avec un peu moins de fonctionnalits.

Cette carte a t obtenue en scannant les adresses IP dun fournisseur daccs lInternet
(ISP). Le logiciel a ainsi trouv des routeurs, des serveurs DNS, des passerelles de message-
rie SMTP, ainsi quun certain nombre de stations non identifies.

La premire tche est dagencer les icnes qui apparaissent dans le dsordre.
Ladministrateur peut ensuite dessiner un rseau et positionner les objets dessus, de manire
faire correspondre la carte la ralit.

En slectionnant une icne, il est alors possible doprer plusieurs actions sur lquipement :
ajouter des informations complmentaires, interroger son agent SNMP, surveiller des para-
mtres de cet agent, positionner des seuils dalerte, etc.

Les objets en rouge ne
rpondent plus au ping.
Routeur
Serveurs DNS et
passerelles SMTP
Les quipements rseaux sont dcouverts
automatiquement en envoyant un echo_request
sur une srie dadresses (scan dadresses).
Stations quelconques dont la
fonction na pas t identifie.
La mib II est interroge pour connatre le type dquipement.
Le logiciel ralise galement un scan des ports tcp/udp pour
identifier les services qui rpondent (DNS, SMTP, etc.). Le
logiciel affiche ensuite licne correspondante.

144

LE POINT SUR SNMP V1 (RFC 1157, 2571, 2572)

Le protocole SNMP (Simple Network Management Protocol) est utilis pour piloter tous les quipements du
rseau (routeurs, commutateurs, concentrateurs, serveurs, etc.) partir dune station dadministration.

Il est ainsi possible de configurer distance les quipements (activation dune interface, ajout dune
adresse IP, etc.) et de rcuprer les paramtres actifs. Inversement, un quipement peut envoyer une
alarme la station dadministration via un trap SNMP.

Version Communaut PDU ID tat var:val Index
0 = GetRequest
Plate-forme
dadministration
2 = GetResponse
3 = SetRequest
quipement rseau
dot dun agent SNMP
4 = Trap
Version Communaut Objet Source var:val Type Code Temps
Adresse IP de lagent
Temps coul depuis la dernire
rinitialisation de lquipement
qui envoie le trap.
Variables et leurs valeurs
(instances), cest--dire
les objets de la MIB.
PDU
1 = GetNextRequest
=1
Deux noms par dfaut :
public
= accs en lecture
private
= accs en lecture/criture
Type de trap :
0 = Cold start (remise sous tension)
1 = Warm start (rinitialisation - reset)
2 = Interface/port down
3 = Interface/port up
etc.
ID = Identifiant de
transaction permettant
dassocier la rponse
une requte.
tat (significatif uniquement pour
le message GetResponse) :
0 = Pas derreur
1 = Message trop grand
2 = Objet non existant
etc.
Index indique la position
dans le champ
var:val de la variable
associe lerreur.
Code du trap spcifique
chaque type de trap.
Message transport
dans un paquet
UDP, port 161
Message transport
dans un paquet
UDP, port 162

Presque tous les quipements rseau intgrent un agent SNMP. Ce logiciel ralise linterface entre les re-
qutes SNMP et la base de donnes MIB (Management Information Base) qui regroupe tous les param-
tres de lquipement.
CHAPITRE 6

145
Services (i.e. applications)
dcouverts sur cette machine.

Le problme de ce type de logiciel est quil faut sans cesse le mettre jour, car le rseau ne
cesse dvoluer. Lautre problme tient la gestion des alertes : le logiciel doit tre trs pr-
cisment paramtr pour ne gnrer que des alarmes relles. Ces deux activits peuvent
prendre beaucoup de temps ladministrateur.

RFC1213-MIB DEFINITIONS ::= BEGIN
IMPORTS
mgmt, NetworkAddress, IpAddress, Counter, Gauge, TimeTicks
FROM RFC1155-SMI
OBJECT-TYPE
FROM RFC-1212;

mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }
DisplayString : := OCTET STRING
PhysAddress ::= OCTET STRING
-- groups in MIB-II
system OBJECT IDENTIFIER ::= { mib-2 1 }
interfaces OBJECT IDENTIFIER ::= { mib-2 2 }
at OBJECT IDENTIFIER ::= { mib-2 3 }
ip OBJECT IDENTIFIER ::= { mib-2 4 }
icmp OBJECT IDENTIFIER ::= { mib-2 5 }
tcp OBJECT IDENTIFIER ::= { mib-2 6 }
udp OBJECT IDENTIFIER ::= { mib-2 7 }
egp OBJECT IDENTIFIER ::= { mib-2 8 }

Importe ces groupes de la MIB SMI
et tous les objets de la MIB-I.
Cette MIB dfinit le groupe MIB-II situ sous le groupe Management.
Noms et identifiants
dans la MIB 2.
Dfinition de lobjet system,
identifiant n 1 dans le
groupe mib-2

146
-- cmot OBJECT IDENTIFIER ::= { mib-2 9 }
transmission OBJECT IDENTIFIER ::= { mib-2 10}
snmp OBJECT IDENTIFIER ::= { mib-2 11 }

-- the System group
sysDescr OBJECT-TYPE
SYNTAX DisplayString (SIZE (0..255))
ACCESS read-only
STATUS mandatory
DESCRIPTION
"Par ex. : Cisco 761 Software Version c760-i"
::= { system 1 }

sysObjectID OBJECT-TYPE
SYNTAX OBJECT IDENTIFIER
ACCESS read-only
STATUS mandatory
DESCRIPTION
"Par Ex. : Cisco2503"
::= { system 2 }
.......................................

ifNumber OBJECT-TYPE
SYNTAX INTEGER
ACCESS read-only
STATUS mandatory
DESCRIPTION "Nombre dinterfaces, par exemple, 3"
::= { interfaces 1 }
........................................
END

Pour que la station dadministration puisse interroger la MIB, il faut en premier lieu la com-
piler partir du fichier en syntaxe ASN.1. Le fichier texte est alors intgr sous une autre
forme (binaire gnralement) dans le gestionnaire de MIB du logiciel dadministration.

Le moyen le plus simple de visualiser la MIB dun quipement rseau est dutiliser le mo-
dule ddi, propre chaque constructeur. La manipulation des variables est alors transpa-
rente, puisque le module affiche graphiquement lquipement, par exemple, un commuta-
teur. Il suffit alors de cliquer sur un port et de slectionner les options qui vous sont
proposes : activation/dsactivation, vitesse (10, 100 ou autosense), nombre doctets mis et
reus, etc.). Par ailleurs, linterface graphique affiche les lments dans diffrentes couleurs
en fonction des alarmes (trap) qui lui sont remontes.
Description de lobjet sysDescr,
identifiant n 1 dans le groupe
system.
Description de lobjet sysObjectID,
system.
Description de lobjet ifNumber,
interfaces.
CHAPITRE 6

147

LE POINT SUR LA MIB (RFC 1212, 1213, 1155 ET 2863)
Les agents SNMP interagissent avec la MIB (Management Information Base) qui contient tous les param-
tres de lquipement rseau. Cette base de donnes se prsente sous forme darborescence, normalise
ISO, dans laquelle une branche est rserve lInternet. Chaque objet de larborescence est identifi par un
numro.

Partie commune tous les agents SNMP
RMON (16) Trans (10) EGP (8) TCP (6) IP (4) Interface (2)
... CMOT (9) UDP (7) ICMP (5) Addr.Trans. (3) System (1)
Capture (8) Matrix (6) Host (4)
Event (9) Filter (7) HostTopN (5) Alam. (3)
History (2)
Statistics (1)
Directory (1)
Enterprises (1)
Private (4)
MIB-2 (1)
ISO / ITU-T (3) ISO (1) ITU-T (2)
Racine
Experimental (3) Management (2)
Internet (1)
member-body (2)
DOD (6)
ORG (3)
Extensions
Un numro unique qui identifie
le nom de la branche
Branche ddie aux MIB
prives des constructeurs
Groupes et objets dfinis
dans le RFC 1213
Arborescence ISO.org.DoD.Internet
(= 1.3.6.1) et objets dfinis dans le
RFC 1155
La MIB dun agent SNMP contient la
MIB-2 ainsi que la MIB prive
spcifique lquipement rseau gr.

La structure de cette base de donnes est dcrite dans la syntaxe ASN.1 (Abstract Syntax Notation 1) nor-
malise ISO 8824. Un fichier MIB comporte deux parties (RFC 1212), la premire dcrivant les types et
groupes dobjets (macro Definitions), la seconde dcrivant les objets (srie de macro Object-Type).
La macro Definitions contient deux clauses :
Import : importe des dfinitions dautres fichiers MIB.
Object Identifier : dfinit un nouveau groupe (nom + identifiant).
La macro Object-Type contient trois clauses obligatoires, qui prennent les valeurs suivantes :
Syntax = integer | object identifier | octet string | networkaddress | ipaddress.
Access = read-only | read-write | write-only | not-accessible.
Status = mandatory | optional | obsolete | deprecated.
Et quatre autres facultatives, qui prennent les valeurs suivantes :
Description = texte dcrivant lobjet .
Reference = rfrence un autre objet.
Index = noms dobjets dans un objet structur, par exemple, ifIndex pour lobjet ifEntry qui contient une
liste dinterfaces.
Defval = valeur par dfaut de lobjet, par exemple, sysDescr pour une syntaxe Object Identifier, ou 1
pour une syntaxe Integer.

148
La seconde solution est de parcourir la MIB laide dun browser de MIB. Cet outil permet
de visualiser larborescence et dinterroger ou de modifier chaque variable.

Variables de la branche
mib-2 system.
Suite de larborescence
Numros uniques
dsignant chaque
branche de la MIB
Valeur de la variable
obtenue laide de la
requte SNMP GetRequest.

Grce au browser de MIB, il est possible dinterroger une variable en particulier, puis de
programmer des actions automatiques, comme une interrogation priodique du dbit entrant
et sortant dune interface, de manire suivre lvolution de la charge dun lien. Avec une
srie de valeurs, il sera par la suite possible de produire un graphique.

On peut interroger une variable, ou
lensemble des variables de cette branche.
Type de requte SNMP
Adresse IP de lagent SNMP
situ dans le routeur.
Nom de communaut tel que
programm dans lagent SNMP. Sil
est diffrent, lagent ne rpondra pas.
Rsultat de plusieurs
requtes.
Nom des variables tel quindiqu dans
le fichier ASN.1 dcrivant la MIB-II.

CHAPITRE 6

149
Configurer automatiquement ses PC
La configuration des PC peut savrer fastidieuse et tre source derreurs : adresses dupli-
ques, masques incorrects, etc. Le protocole DHCP (Dynamic Host Configuration Protocol)
permet dautomatiser ces tches laide dun serveur qui hberge les configurations. La
plupart des piles IP, dont celle de Microsoft, intgrent un client DHCP. Lunique configura-
tion ncessaire sur les PC consiste indiquer loption Obtenir ladresse IP par un serveur
DHCP lors de la configuration de la carte rseau.

Par dfaut, le PC envoie sa requte tous les serveurs DHCP et slectionne gnrale-
ment le premier qui rpond. Il est cependant possible de choisir le serveur DHCP en mo-
difiant la cl de registre HKEY_local_machine\System\CurrentControlSet\Services
\VxD\DHCP\DhcpInfo00\DhcpIPAddress .
Il sagit de la mme configuration que nous ralisons lorsque nous nous connectons
lInternet. En effet, les fournisseurs daccs Internet (les ISP) utilisent systmatiquement un
serveur DHCP pour attribuer les adresses IP aux PC qui se connectent leur rseau via un
modem. Il sagit gnralement dune adresse publique prise dans le plan dadressage affect
officiellement loprateur par le RIPE (Rseau IP Europen).

Quelle utilisation de DHCP ?
Que vous disposiez de 10 ou 10 000 postes de travail, DHCP sera tout aussi simple confi-
gurer et, dans tous les cas, il vous facilitera la vie.
soit on demande DHCP
de lattribuer dynamiquement. Soit on affecte manuellement une
adresse IP statique au PC

150
LES OPTIONS DHCP (RFC 2132)
La RFC 2132 prcise les principales options qui peuvent tre affectes par un serveur DHCP. Parmi les
plus importantes, on trouve (les numros doptions sont indiqus entre parenthses) :
le masque de ladresse IP (004) ;
ladresse IP des serveur DNS et le nom du domaine DNS dans lequel est situ la station (006 et 015) ;
le nom de la station ;
ladresse IP des serveurs WINS et le type de nud Netbios (044 et 046) ;
des paramtres IP, TCP et ARP tels que le MTU (026), le TTL (023), la dure du cache ARP (035), etc. ;
des routes statiques par dfaut ainsi que ladresse du routeur par dfaut (033 et 003) ;
les serveurs de messagerie SMTP et POP (069 et 070) ;
divers serveurs par dfaut tels que web (072), News (071), NTP (042), etc. ;
des paramtres relatifs DHCP (dure de validit de ladresse, etc.) ;
les types de messages DHCP (DISCOVER, REQUEST, RELEASE, etc.).

Dautres RFC peuvent dcrire des options spcifiques (par exemple la RFC 2244 pour des paramtres No-
vell). La liste exhaustive des options officiellement reconnues est disponible sur http://www.iana.org.
Ce protocole permet, avant tout, daffecter une adresse IP une station pendant une dure
limite. chaque initialisation et lorsque la priode de validit est expire , le PC de-
mande une nouvelle adresse. Cela procure plusieurs avantages :
Il ny a plus de risque derreur li une configuration manuelle.
Lorsquun PC est dplac et quil change de rseau IP, il nest plus ncessaire de
modifier son adresse IP.
En considrant que tous les PC ne se connectent pas en mme temps, on peut utiliser un
pool de 253 adresses (une classe C) pour connecter 500 PC, par exemple. Un ratio de un
pour quinze est gnralement utilis par les ISP. Cela permet de pallier la pnurie
dadresses publiques.
On peut galement affecter ladresse de faon permanente, mais on perd alors tous les avan-
tages numrs prcdemment.
Plus intressant, lutilisation de DHCP peut tre tendue la configuration de tous les para-
mtres rseau du PC (lis la famille TCP/IP ou dautres protocoles), tels que le routeur
par dfaut, le masque IP ou encore le TTL par dfaut. Cela procure de nouveaux avantages
pour ladministrateur rseau :
Tous les quipements rseau disposent des mmes paramtres, ce qui assure une
meilleure stabilit de fonctionnement de lensemble.
Tout changement de configuration rseau est automatis. Des oprations complexes,
telles que la migration vers un nouveau plan dadressage ou lapplication dun
paramtre TCP permettant doptimiser le rseau, sont rendues extrmement simples et
rapides.
Les matriels rseau (routeurs, agents SNMP, etc.) ainsi que les serveurs doivent disposer
dadresses fixes, car ils doivent tre connus de tous. Ils peuvent faire appel DHCP pour
obtenir une adresse permanente que vous aurez pralablement rserve ou pour obtenir des
paramtres de configuration IP.

CHAPITRE 6

151
Certains concentrateurs ou commutateurs peuvent tlcharger leur systme dexploitation
(un fichier excutable appel image de boot) ou un fichier de configuration en utilisant le
sous-ensemble BOOTP galement pris en charge par le serveur DHCP.
Avant de commencer, vous pourrez prendre en compte les recommandations suivantes :
Installez au moins un serveur par site pour des questions de performance et de charge
sur les liaisons WAN.
Pour des questions de scurit (surtout lorsque le nombre de PC est important), il est
prfrable de configurer deux serveurs par site, chacun grant un pool dadresses.
La dure de validit des paramtres doit tre limite dans le temps dans le cas o les
stations ne sont jamais teintes (ce qui est le cas des serveurs, par exemple). Une dure
de 12 ou 24 heures permet de couvrir une journe de travail et de diffuser de nouveaux
paramtres assez rapidement. Pour les serveurs et quipements rseau, une dure plus
longue peut tre dfinie, mais lapplication dun nouveau paramtre prendra plus de
temps. Vous pourrez de toute faon modifier la dure tout moment.

Enfin, toutes les piles IP ne prennent pas lensemble des options possibles en charge. Il
convient donc de vrifier que celle que vous utilisez accepte les options que vous voulez dis-
tribuer via DHCP.

Comment configurer un serveur DHCP ?
Pour installer le serveur sous Windows NT, il faut se rendre dans la configuration des servi-
ces IP : Dmarrer Paramtres Panneau de Configuration RseauServicesAjouter .
Pour configurer le serveur DHCP, cliquez sur DmarrerProgrammesOutils dadmi-
nistration Gestionnaire DHCP . Nous prenons lexemple de Windows NT, mais le principe
est le mme sous Unix.
Dfinir les pools dadresses
La premire tape consiste dfinir des pools dadresses dans lesquels le serveur va piocher
pour les affecter aux stations qui en feront la demande. Conformment notre plan
dadressage, nous avons dcoup notre espace dadressage en trois parties.

De 0.1 0.64

quipements rseau (routeurs, hubs, switches, etc.).
Les adresses seront fixes, et seules les options seront distribues (ventuellement des images de boot). Cela implique
de rfrencer tous les quipements concerns (noms et adresses MAC notamment).
Dure de validit des options = 1 semaine.
De 0.65 0.255 Serveurs NT, Unix, etc.
Les adresses seront fixes, et seules les options seront distribues.
Les options peuvent tre communes tous les serveurs.
Dure de validit des options = 1 semaine.
De 1.0 3.254

Postes de travail (PC, etc.).
Adresses et options affectes dynamiquement.
Dure de validit = 12 heures.

152
Rappelons quil est souvent souhaitable de limiter le dcoupage deux tranches, une pour
les quipements rseau et serveur, et une pour les postes de travail. Les deux premires par-
ties peuvent donc tre fusionnes.
Paris, le serveur DHCP prendra ainsi en charge la plage dadresses allant de 10.0.0.1
10.0.3.254, dcoupe en deux pools (appels scope ou tendue chez Microsoft). Le scope
ddi aux stations commencera 10.0.1.0. En cas de saturation de la premire tranche, il se-
ra toujours possible de modifier la plage dadresses affecte ce scope.
Pool dadresses gr par le serveur
et affect dynamiquement aux PC
des utilisateurs.
Au sein de ce pool, il est possible de dfinir
des adresses brles, par exemple par ce
quelles ont auparavant t affectes des
serveurs.

La configuration du pool dadresses
pour les quipements rseau et les
serveurs ncessite, en plus, de rser-
ver les adresses via le menu Eten-
dueAjouter adresse rserve . Avec
les clients Windows, le seul moyen
didentifier les stations est dutiliser
ladresse MAC de la carte rseau. La
norme prvoit cependant que
lidentifiant puisse tre une chane de
caractres quelconque, le nom de
lutilisateur ou du PC, par exemple.

Au sein de ce pool, rserve ladresse
10.0.0.100 au serveur pa001. Si ce dernier
envoie une requte DHCP, il se verra
affecter cette adresse.
CHAPITRE 6

153
Cette opration peut tre fastidieuse, car il faut relever les adresses MAC de tous les qui-
pements concerns (qui sont cependant en nombre moins lev que les PC). De plus, lors-
quune carte rseau est change, il faut mettre jour la base de donnes DHCP (cest une
opration en principe peu frquente, mais il faut y penser le jour o cela arrive).
Si vous ne voulez pas utiliser DHCP pour cette classe dquipements, il suffit de ne pas
ajouter de pool dadresses. Le plan dadressage facilite votre choix.

Dfinir les options distribuer
Les options peuvent tre dfinies trois niveaux : soit globalement pour tous les pools
dadresses, soit pour chaque pool (scope), soit encore individuellement pour chaque client.
Les options communes tous les nuds du rseau par exemple le TTL par dfaut ou
ladresse dun serveur NTP servant de rfrence la mise lheure des horloges peuvent
tre dfinies globalement dans le menu Option DHCP Global .

Option 003 = Routeur par dfaut
(Default Gateway)
Liste des options DHCP
Lors de la requte DHCP, la
route par dfaut sera envoye
au PC qui la programmera dans
sa pile IP.


154
LE POINT SUR DHCP (RFC 2131)
DHCP (Dynamic Host Configuration Protocol) permet une station dobtenir lintgralit de ses paramtres
IP (plus de 65 options recenses ce jour), ce qui pargne ladministrateur de devoir configurer manuel-
lement chaque poste de travail. DHCP est une extension du protocole BOOTP ; il utilise le mme format de
paquet.
Type dadresse
physique (1=MAC Eth)
XID : numro identifiant de manire unique la transaction.
La rponse du serveur doit contenir le mme XID que la demande du client
8 bits
1 = Requte
2 = Rponse
8 bits
Longueur de
ladresse physique
8 bits
Saut incrment de 1
par les routeurs
8 bits
Nombre de secondes depuis que
le client a initialis sa demande
Indicateurs (non utiliss)
B = bit de Broadcast
B
ciaddr - Adresse IP du client si celui-ci la connat
Il peut la connatre sil demande une prolongation de laffectation de ladresse.
yiaddr - Adresse IP affecte par le serveur
siaddr - Dans son message DHCP_OFFERT, le serveur DHCP indique ici son adresse IP
que le client devra indiquer en retour dans son message DHCP_REQUEST
giaddr - Adresse IP du routeur ayant relay le message DHCP.
Si cette adresse est non nulle, le serveur sait que la requte a travers au moins un routeur.
chaddr - Adresse physique du client (16 octets)
Dans le cas dEthernet, il sagit de ladresse MAC
sname - Nom optionnel du serveur (64 octets maximum termins par un 0)
file - Nom optionnel du fichier tlcharger (128 octets maximum termins par un 0)
Options - Liste des paramtres supplmentaires affects au client (les options son listes dans le
RFC 2132) ainsi que le type de message DHCP (DISCOVER, REQUEST, etc.).

Si la pile IP (et notamment le module ARP) peut fonctionner sans adresse IP, le bit de broadcast peut tre
mis 0 dans les requtes DHCP, ce qui permet au serveur de renvoyer ses rponses dans des trames uni-
cast ( ladresse MAC indique par le client dans le champ chaddr). Dans le cas contraire, le bit de broad-
cast est positionn 1 par le client, et le serveur rpond dans des trames de broadcast MAC
(FF-FF-FF-FF-FF-FF).
Cependant, si le champ giaddr est non nul, cela veut dire que la requte a transit par un routeur. Le ser-
veur envoie alors le paquet DHCP cette adresse IP (et donc ladresse MAC du routeur via ARP). Le port
UDP de destination est alors 67 (celui du serveur) au lieu de 68 qui dsigne le client , ce qui permet au
routeur didentifier les paquets DHCP traiter (voir plus loin).

Si vous voulez affecter comme passerelle par dfaut ladresse IP de la station elle-
mme (voir chapitre 9), il faut ajouter et positionner 1 la cl de registre suivante au
niveau du pool HKEY_local_machine\System\ CurrentControlSet\ Services\
DHCPServer\ Subnets\ a.b.c.d\ SwitchedNetworkFlag , o a.b.c.d est ladresse IP du
pool.

CHAPITRE 6

155

LE POINT SUR DHCP (SUITE)
Si le client possde dj une adresse IP (champ ciaddr non nul), il peut demander des paramtres de confi-
guration complmentaires (les options DHCP) en envoyant le message DHCP_INFORM. Le serveur en-
voie alors sa rponse ladresse IP indique (donc dans une trame MAC unicast).
Un client effectue sa requte en deux temps :
Tout dabord, il recherche un serveur DHCP, et attend les offres du ou des serveurs.
Ensuite, il confirme sa demande auprs du serveur quil a choisi, et attend une rponse lui confirmant que
ladresse IP a bien t rserve.
Les options sont galement ngocies au cours de cet change : le client indique celles dj configures
dans sa pile IP, et les serveurs lui proposent les leurs.
Plusieurs serveurs peuvent rpondre la demande. Le client en choisit un.
DHCP_DISCOVER
Routeur
Client DHCP
port UDP 68
Serveur DHCP
port UDP 67
10.10.41.100
DHCP_DISCOVER
MAC src = 02:60:8C:EB:25:D2 / dest = FF:FF:FF:FF:FF:FF
IP src = 0.0.0.0 / Dest = 255.255.255.255 / UDP 6867
MAC src = 00:00:0C:00:80:0C / dest = 02:60:8C:25:AB:8E
IP src = 10.10.0.253 / dest = 10.10.41.100 / UDP 6867
10.10.0.253 10.11.0.253
DHCP_OFFER DHCP_OFFER
MAC src = 00:00:0C:40:75:AC / dest = 02:60:8C:EB:25:D2
IP src = 10.11.0.253 / Dest = 10.10.50.1 / UDP 6768
Je propose ladresse IP 10.11.50.1 / siaddr=10.10.41.100
MAC src = 02:60:8C:25:AB:8E / dest 00:00:0C:00:80:0C
IP src = 10.10.41.100 / dest = 10.11.0.253 / UDP 6767
Je propose ladresse IP 10.11.50.1 / siaddr=10.10.41.100
DHCP_REQUEST DHCP_REQUEST
MAC src = 02:60:8C:EB:25:D2 / dest = FF:FF:FF:FF:FF:FF
IP src = 0.0.0.0 / Dest = 255.255.255.255 / UDP 6867
Daccord pour 10.11.50.1 / siaddr=10.10.41.100
MAC src = 00:00:0C:00:80:0C / dest = 02:60:8C:25:AB:8E
IP src = 10.10.0.253 / dest = 10.10.41.100 / UDP 6867
Daccord pour 10.11.50. / siaddr=10.10.41.100
DHCP_ACK DHCP_ACK
MAC src = 00:00:0C:40:75:AC / dest = 02:60:8C:EB:25:D2
IP src = 10.11.0.253 / Dest = 10.10.50.1 / UDP 6768
Ladresse 10.11.50.1 test affecte
MAC src = 02:60:8C:25:AB:8E / dest 00:00:0C:00:80:0C
IP src = 10.10.41.100 / dest = 10.11.0.253 / UDP 6767
Ladresse 10.11.50.1 test affecte
Le routeur met son adresse
10.11.0.253 dans le champ
giaddr et incrmente le saut de 1.
Sil y a un routeur, le serveur
rpond destination du port
UDP 67 au lieu du port UDP 68.
Le client positionne le
bit de broadcast 1.

Le client envoie toujours ses requtes dans des trames de broadcast MAC pour plusieurs raisons :
La requte initiale (DHCP_DISCOVER) permet de dcouvrir plusieurs serveurs (un serveur principal et
un serveur de secours).
Lors de la requte de confirmation (DHCP_REQUEST), la plupart des piles IP ne peuvent activer le mo-
dule ARP sans adresse IP.
Le client ne sait pas si le serveur est situ sur le mme rseau ou sil est spar par un routeur. Dans ce
dernier cas, si la trame est destine ladresse MAC du serveur, elle ne traversera pas le routeur, sauf
sil fonctionne en mode proxy ARP (voir chapitre 9), ce que la station ne peut prsupposer.
Configur en relais DHCP/BOOTP, le routeur convertit les broadcast MAC/IP en adresses unicast desti-
nation du serveur DHCP ou BOOTP.
lapproche de lexpiration de la priode de validit, le client demande renouveler son bail auprs du ser-
veur (DHCP_REQUEST) en indiquant son adresse IP dans le champ ciaddr. Le serveur peut alors proposer
la mme adresse, une nouvelle, ou encore accepter celle demande par le client.
En principe, cest au client quil incombe de vrifier que ladresse alloue par le serveur nest pas utilise
par une autre station (le serveur peut, en effet, tre situ de lautre ct dun routeur). Le client gnre cet
effet une requte ARP sur ladresse qui vient de lui tre alloue.

156
La mme option peut tre dfinie plusieurs niveaux, mais les options individuelles ont
priorit sur les options dun pool, qui elles-mmes ont priorit sur les options globales.
Lexemple suivant montre les options dfinies pour un pool, ainsi que les adresses dj af-
fectes des clients.
Adresses affectes
et noms des PC
Numro de loption
telle que dcrite
dans le RFC 2132.
Attention : efface la base de donnes, mais
les clients dtiennent toujours leur adresse !
Pool dadresses
10.0.1.0 10.0.3.254
Valeurs des options

Configurer les routeurs
Si les stations sont situes sur un rseau IP autre que le serveur DHCP, les requtes DHCP
doivent transiter par un routeur. Or, ce type dquipement ne transmet jamais les trames de
broadcast MAC, car il est justement conu pour dlimiter les domaines de broadcast (voir
lencart Le point sur Ethernet au chapitre 3). Il faut donc configurer explicitement les
routeurs afin de pouvoir relayer les requtes DHCP.

Figure 6-3.
Fonctionnement du DHCP
avec les routeurs.

0.0.0.0
switch switch
10.11.0.253 10.10.0.253 10.10.41.100
Serveur
DHCP
tant donn que giaddr =
10.11.0.253, le serveur propose
une adresse dans le pool 10.11.x.x
E0
Client
DHCP
E1
Paris
giaddr=10.10.0.253. Saut=Saut+1
CHAPITRE 6

157
interface ethernet 1
ip helper-address 10.10.41.100
ip helper-address adresses ip dautres serveurs DHCP
Avec la commande prcdente, les trames de broadcast MAC dont le port UDP est gal 67
seront transmises dans une trame unicast (via la rsolution ARP) destination du serveur
DHCP ou BOOTP et, en retour, vers le client.

Installer plusieurs serveurs
Si plusieurs serveurs sont utiliss (en partage de charge et en redondance), le pool dadresses
doit tre dcoup afin dviter les doubles affectations. La rpartition peut se faire parts
gales, comme suit :
le premier serveur affecte les adresses comprises entre 10.0.1.0 et 10.0.2.127 ;
le second serveur affecte les adresses comprises entre 10.0.2.128 et 10.0.3.254.
Les adresses affectes de manire fixe doivent tre rserves de manire identique sur cha-
que serveur.
Le serveur de Microsoft ne permet pas de mettre en place un rel partage de charge avec une
redondance complte. Pour cela, dautres serveurs DHCP plus perfectionns existent sur le
march.
Vrifier la configuration de son PC
Plusieurs utilitaires permettent de vrifier le paramtrage TCP/IP de son PC. Sous Windows
9.x et Me, il sagit de la commande winipcfg.

LE POINT SUR BOOTP (RFC 951 ET 1542)
BOOTP (Bootstrap Protocol) permet un quipement rseau dobtenir son adresse IP ainsi que le nom
dun fichier tlcharger via TFTP (Trivial File Transfer Protocol). Il peut sagir dun fichier de configura-
tion ou dun excutable (appel image de boot), tel quun systme dexploitation ou un micro-code. Ce pro-
tocole ne permet pas daffecter dynamiquement les adresses, et ncessite donc de connatre les adresses
MAC ou daffecter un nom aux quipements qui mettent des requtes.
DHCP a repris exactement les mmes spcifications que BOOTP en tendant ses possibilits. Un serveur
DHCP prend en charge les requtes BOOTP (compatibilit ascendante), alors que linverse nest pas pos-
sible.
Des quipements rseau qui ne disposent pas de mmoire flash, tels que des concentrateurs, des commu-
tateurs ou des serveurs daccs distants, utilisent BOOTP pour tlcharger leur code excutable.
Pour la petite histoire, la RFC 1542, relative aux extensions de BOOTP (lquivalent des options DHCP),
discute de lutilit du bit de broadcast en rappelant le paradigme de la poule et de luf : une station ne peut
pas fonctionner sans adresse IP ; cependant, elle envoie et reoit des paquets IP qui doivent justement lui
permettre dobtenir cette adresse IP ; mais elle ne peut pas traiter ces paquets puisquelle ne dispose pas
dadresse IP, etc.

158

Sous Windows NT, la commande quivalente est ipconfig :
ipconfig /all affiche tous les paramtres rseau.
ipconfig /release envoie un message DHCP_RELEASE au serveur pour librer
ladresse IP.
ipconfig /renew envoie un DHCP_REQUEST pour demander le prolongement de la
validit de ladresse IP, ou un DHCP_DISCOVER si la station ne possde pas
dadresse.
Adresse MAC
(cf. chapitres 4 et 6)
Adresse IP et le
masque de sous-
rseau associ
Default Gateway
Aucun serveur DHCP prcis
na t indiqu. Le PC a donc
envoy une requte DHCP
dans un paquet de broadcast.
Demande la libration ou le
renouvellement des baux DHCP
Adresse MAC
(cf. chapitres 4 et 6)
Adresse IP, masque de
sous-rseau associ et
default gateway.
CHAPITRE 6

159

Sous les deux environnements, la commande route permet de visualiser la table de routage
de la pile IP.

Enfin, la commande Netstat permet de vrifier le bon fonctionnement de la couche TCP/IP.
Elle permet, par exemple, de visualiser les connexions actives.

Adresse de loopback utilise pour vrifier que la pile IP
fonctionne bien (par exemple avec un ping)
Route par dfaut
(defaut gateway)
Route permanente (sauvegarde dans la Registry).
Ajoute une route statique : pour envoyer un paquet vers le rseau
192.168.0.0, le PC le transmettra au routeur 10.0.0.253.
Groupe multicast par dfaut (cf. chapitre 15)
Numros de ports TCP
source et destination.
Noms obtenus par le DNS et
correspondant ladresse IP cible.
7
La gestion
des noms

Partie de la cblerie et de la basse filasse, nous abordons dans ce chapitre les couches appli-
catives, cest--dire les services rseau. Pour ainsi dire, nous nous levons dans les couches
suprieures du rseau.
Car, de nos jours, ladministrateur rseau ne peut pas se contenter de fournir le transport des
donnes. Il doit en faciliter laccs ses utilisateurs.
En outre, plus le nombre dutilisateurs est lev, plus il est important de simplifier les tches
administratives.
Il convient donc dutiliser des outils qui simplifient la vie des utilisateurs et celle des exploi-
tants. Le service de nom, ou DNS (Domain Name System), est le premier dentre eux.

Dans ce chapitre vous apprendrez ainsi :
comprendre le fonctionnement du DNS ;
dfinir un plan de nommage ;
configurer les serveurs DNS ;
configurer les PC ;
interroger la base de donnes du DNS.

DNS

162
Prsentation du DNS
Pour vos utilisateurs et vous-mme, il serait bien plus pratique dutiliser des noms de ma-
chines plutt que des adresses, linstar de ce qui se fait sur lInternet. De mme que lon
accde www.3com.com, il serait bien plus simple daccder votre serveur au moyen du
nom www.societe.fr plutt que de son adresse IP.
La premire solution repose sur lutilisation des fichiers hosts (localiss dans /etc sous Unix,
et dans \Windows sous Windows 9x). Ce fichier contient simplement la correspondance en-
tre adresses IP et noms de machines :
10.0.0.1 par001
10.0.0.100 nt001
10.0.0.101 mail
Linconvnient de cette mthode est quil faut configurer le fichier sur chaque poste de tra-
vail, et ce, chaque changement dadresse ou de nom. On pourrait imaginer une distribution
automatique de ce fichier, mais cette opration serait trs complexe et source derreur avec
les PC. De plus, lespace de nommage est plat (tous les noms sont au mme niveau).
La seconde solution, de loin la meilleure, repose donc sur lutilisation dun systme DNS
(Domain Name System). Cest celle utilise grande chelle sur lInternet (plusieurs mil-
lions de machines rfrences dbut 2001) et qui convient galement pour vos 10 ou
10 000 PC.
Les composants du DNS
Le DNS est utilis sur lInternet pour naviguer sur le Web et pour envoyer des messages. Il
sagit ici de recrer un DNS priv, cest--dire rserv nos utilisateurs.
Il faut pour cela dfinir :
un espace de nommage hirarchique dcoup en domaines ;
des serveurs grant des bases de donnes ;
des clients appels resolver ;
un protocole dchange entre clients et serveurs dune part, et entre serveurs dautre
part.
Tous ces composants sont dcrits dans une srie de RFC dont les premiers remontent
1987.
laborer un plan de nommage
Le nommage DNS est organis sous forme darbre, avec une racine et des domaines qui lui
sont rattachs. Le plan de nommage consiste donc dfinir cette arborescence et la manire
daffecter des noms aux objets (les feuilles de larbre).
La gestion des noms
CHAPITRE 7

163
Dfinir larborescence DNS
Ds le dbut de votre rflexion, vous serez confront au dilemme classique : dfinir une ar-
borescence qui reflte lorganisation de la socit ou une arborescence qui reflte son im-
plmentation gographique ?
Par exprience, lune nest pas meilleure que lautre, car toutes deux sont soumises aux
alas des changements. Lapproche organisationnelle est soumise au changement du nom de
la socit (suite une dcision stratgique, un rachat, etc.) ou du service (suite une ror-
ganisation), tandis que lapproche gographique est soumise aux dmnagements.
LInternet a dailleurs retenu les deux approches.

Domaines Top Level
Racine
Domaines grs par chaque
socit et organisme
.
3com
com fr ch
laposte gouv vector
www
Noms des serveurs
cisco
www mail
www finances
Type puis noms des
organisations
Pays puis
organisation
www
ou sous-domaines

Pour notre DNS priv, donc usage purement interne, nous navons pas besoin de faire rf-
rence au pays et au nom de la socit, mais plutt la ville, au nom du site et au nom des di-
rections (ou, selon la terminologie propre chaque socit, des divisions, des Business
Units, etc.).
Nous pouvons cependant retenir la mme approche mixte en fonction du degr de centralisa-
tion de chaque dpartement.

Reprsentation dans le DNS Organisation centralise Organisation dcentralise
Racine
Par convention, le point (.) Par convention, le point (.)
Domaine Top Level
Nom de la direction Nom de la ville
Domaine (optionnel)
Nom de la ville Nom de la direction
DNS

164
Il est conseill de ne retenir que les invariants ou, pour tre exact, les lments qui sont sus-
ceptibles de changer le moins souvent. Dans notre cas, ce sont les directions (cest--dire les
services situs au sommet de la hirarchie organisationnelle) et les villes principales o est
implante notre socit.
Lespace de nommage est indpendant de la localisation gographique : tous les immeubles
dune mme ville peuvent donc tre rfrencs dans le mme domaine DNS.
Par exemple, lindication dlments pouvant changer frquemment, tels que le nom du ser-
vice au sein dune direction ou le nom du site dans une ville, est source de complication, et
entrane un travail supplmentaire de reconfiguration. Plus vous ajouterez de niveaux au
DNS, plus vous devrez effectuer de mises jour. En revanche, si un service au sein dune
direction devait garder son autonomie, on pourrait envisager de lui dlguer la gestion de
son sous-domaine.

Figure 7-1.
Dfinition
d'un DNS priv.

Le DNS offre donc beaucoup de souplesse :
Une mme machine (ayant une adresse IP) peut tre rfrence dans plusieurs
domaines.
Une mme machine peut tre rfrence sous plusieurs noms principaux et/ou sous un
nom principal associ des alias.
La gestion dun domaine peut tre dlgue un nouveau service devenu autonome, ou
tre reprise de faon centrale.
Une direction peut grer son propre DNS (avec sa propre racine).
Les machines peuvent tre rfrences dans plusieurs DNS.
Un DNS peut comporter une centaine de niveaux.
On le voit, le DNS permet toutes sortes de fantaisies. Il est donc de votre responsabilit den
assurer la cohrence et la simplicit. Ainsi, les fonctionnalits prsentes ci-dessus doivent-
elles plutt tre utilises pour faciliter les priodes de transition lors de changements
dorganisation ou de dmnagement ou, dune manire gnrale, pour rpondre des situa-
tions exceptionnelles.
.
compta
paris
www
www
Les directions centralises peuvent tre
rfrences au plus haut niveau.
info
www toulouse
www priv
drh
www sgbd compta
londres
www
Les directions dcentralises peuvent
tre organises gographiquement.
Toulouse sera responsable
de son propre domaine et
de ses sous-domaines.
Le serveur Web de
Toulouse sera connu sous le
nom de www.toulouse.info.
La gestion des noms
CHAPITRE 7

165

LE POINT SUR LE DNS (RFC 1034, 1035, 1995, 1996, 2181)
Le DNS (Domain Name System, quelquefois appel Domain Name Service) dfinit une base de donnes
dcoupe en zones (constitues dun domaine et de ses sous-domaines) correspondant une partie dun
arbre hirarchique. Un serveur peut avoir autorit sur une ou plusieurs zones. Sil est primaire, il est ma-
tre de la zone. Sil est secondaire, il dispose dune copie quil demande rgulirement au [serveur] primaire.
Sil est racine, le serveur a autorit sur la racine de larbre. Les serveurs racines peuvent dlguer leur
autorit aux serveurs grant le premier niveau de domaines, appels domaines Top Level, et ainsi de
suite. Tous les serveurs font galement office de cache pour les requtes DNS mises par les clients appe-
ls resolver.
Nom du domaine
du RR
Classe : 1 = IN
(Internet)
Type de RR
(A, SOA, PTR)
TTL : validit du
cache pour ce RR
Longueur des
donnes
Donnes : par exemple, ladresse IP
si le type de RR demand est A (type RR = 1)
Numro de la
transaction
Indicateurs Nombre de
questions
Nombre de
rponses
Nombre de RR
NS
Nombre de RR
additionnels
Le message DNS est divis en 4 sections vides ou non : les questions, les rponses, les enregistrements NS et les
enregistrements additionnels (les autres RR). Chacune est constitue dun ou de plusieurs objets.
Type de question Classe : 1 = IN
(Internet)
Nom du domaine
concern
1 RR spcifique
ou * = tous les RR
AFX = demande de transfert de
zone par un serveur secondaire
IXFR = idem mais, transfert
incrmental
Q Opcode
(4 bits)
R
D
A
A
T
C
R
A
Code rponse
(4 bits)
0 = Requte
1 = Rponse
0 = Requte standard
1 = Requte inverse
4 = Notify
1 = la rponse provient dun serveur primaire ou secondaire (Authoritative Answer)
0 = la rponse provient dun cache
0 63 octets
Format des objets (gnralement
un seul) dans la section Questions
Format des objets dans
les autres sections
4 octets
Sauf indication contraire,
les champs font 2 octets
Message DNS
A
D
Z C
D
TC = Trunckated, message tronqu car plus grand que le MTU
RD = Rcursion demande par le client
RA = Rcursion suporte par le serveur
Z (bit non utilis)
AD = Authentic Data
CD = Checking Disabled
0 = par derreur
1 = format de la requte invalide
2 = Erreur interne au serveur
3 = Nom de domaine inexistant
4 = Type de requte non supporte
5 = Requte refuse par le serveur (pour des raisons de scurit)
RR = Ressource Record
NS = Name Server

Afin de diminuer la taille des messages DNS, les noms apparaissant plusieurs fois peuvent tre remplacs
par des pointeurs de deux octets indiquant la position de lunique exemplaire du nom. La longueur maxi-
male dun nom dobjet est de 63 octets, et celle dun nom de domaine complet (y compris celui de lobjet)
est de 255 octets. Les messages DNS transitent dans des paquets UDP ou TCP selon les cas (port 53).
Requte sur le A
Serveur
UDP
Client
Adresse IP
53 >1023
Primaire Secondaire
Requte sur le SOA
SOA
53 53
Demande xfert SOA
Transfert de la zone
53 53 TCP
UDP
Le secondaire demande le transfert de la zone
si le serial du SOA reu est suprieur au sien.

La RFC 1995 prcise un mode de transfert incrmental (seules les modifications sont transfres). La RFC
1996 spcifie, quant elle, un mcanisme permettant au primaire de notifier au secondaire que le SOA
vient dtre modifi. Cela vite dattendre la fin de la priode indique dans le paramtre refresh.
DNS

166
Standardiser le nommage des objets
Il nest pas ncessaire de mettre les postes de travail dans la base DNS, car ces derniers ne
sont que des clients ; ils ne sont pas connus en tant que serveur. Seuls sont renseigns dans
les bases DNS les quipements rseau (pour les exploitants) et les serveurs (pour les
utilisateurs).
Il est conseill dadopter un codage diffrent et adapt chaque type dobjet, cest--dire
sa nature et sa fonction. Par exemple, les serveurs ne seront pas nomms de la mme ma-
nire que les routeurs. Le nom principal doit correspondre un invariant, et les alias la
particularit du moment.
Si la scurit est privilgie et que le nom ne doit pas permettre didentifier ces lments,
des noms neutres peuvent tre retenus (noms de musiciens, de fleurs, de plantes, etc.).

Objet Invariant Variant
Serveur
Systme dexploitation (Unix, NT) Fonction (Web, messagerie, base de don-
ne, etc.)
Routeur
Marque (Cisco, 3com, etc.) et fonction de
routage
Localisation
Concentrateur
Marque (3com, etc.) et fonction de concen-
tration
Localisation et, ventuellement, emploi de
rseaux diffrents (Ethernet, ATM, etc.)
Commutateur
Marque (Cisco, 3com, etc.) et fonction de
commutation
Localisation et, ventuellement, emploi de
rseaux diffrents (Ethernet, ATM, etc.)
Serveur daccs
distant
Marque (Cisco, 3com, etc.) et fonction
daccs distant
Localisation

La localisation peut tre considre comme tant un variant de faible impact partir du
moment o lquipement doit de toute faon tre reconfigur (changement dadresse IP, par
exemple).
Il faut privilgier un nommage simple des quipements auxquels on accde le plus fr-
quemment : les serveurs (auxquels accdent les utilisateurs) et les routeurs et serveurs
daccs distants (auxquels accdent les exploitants rseau). Le nom doit :
Ne comporter que des caractres alphanumriques (minuscules et/ou majuscules) et des
tirets (-). Ils constituent, en effet, le plus petit dnominateur commun dans le monde de
linformatique. Les autres caractres sont proscrire, car certains systmes ne les
acceptent pas.
tre court, afin dtre facile mmoriser et rapide saisir au clavier.
Contenir une ou deux alternances de noms et de chiffres pour en amliorer la lisibilit.
Contenir un tiret au maximum pour sparer deux champs alphabtiques ou numriques,
afin den amliorer la lisibilit.
La gestion des noms
CHAPITRE 7

167
quipement Codage retenu
Nom principal
(nom systme)
Exemple
Serveur NT
Nom neutre
(plantes)
mars
pluton
mars.marseille.
mars.paris.
Unix
Nom neutre
(musiciens)
mozart
schubert
mozart.toulouse.info.
Routeur
Ville sur trois lettres et numro
dordre sur trois chiffres
par001, par002
toul001
par001.info.
par001.paris.
Serveurs daccs
distants
Prfixe svc, suivi du codage
identique aux routeurs
ras-par001
ras-mar002
ras-mar002.info.

Un serveur peut tre connu sous plusieurs noms :
Un premier qui dsigne sa nature et qui correspond au nom systme dfini lors de
linstallation. Il ne change pas (sauf lors dune rinstallation).
Un ou plusieurs autres qui dsignent sa ou ses fonctions et qui correspondent une ou
plusieurs applications (base de donne, Web, etc.)
Pour les utilisateurs, le meilleur moyen didentifier et de mmoriser le nom dun serveur est
de lui donner le nom de lapplication dont ils se servent. Un alias correspondant la fonc-
tion du serveur pourra donc tre dfini et correspondre la fonction du serveur (il varie au
cours du temps alors que le nom systme ne change que si lon rinstalle compltement la
machine).

Fonction Codage retenu Alias Exemple
Serveur Web principal Convention universelle www www.paris.
www.toulouse.info.
www.drh.
Autres serveurs Web Convention suivie dun num-
ro dordre sur un chiffre
www1
www2
www.paris.
www1.paris.
www2 .paris.
Messagerie Mail suivi dun numro
dordre
mail
mail1
mail.paris.
mail1.info.
Autres applications Nom de lapplication compta
rivage
compta.paris.
rivage.info.

Certains serveurs centraux, cest--dire communs lensemble de la socit, pourront tre
situs juste sous la racine. On aura, par exemple, www pour le serveur servant de point
dentre toute la socit : il contiendra les informations du jour et des liens vers les autres
serveurs Web. On pourra aussi y placer les serveurs qui ralisent linterconnexion des mes-
sageries.
Les concentrateurs et les commutateurs ne sont gnralement pas accessibles au moyen
dune connexion Telnet, mais via SNMP et une station dadministration. Le codage des
noms peut donc tre plus complexe. Il peut reflter leur localisation gographique et, ven-
DNS

168
tuellement, leur fonction, afin de faciliter leur identification. Dans notre cas, nous avons
choisi le codage suivant : [type]-[ville][tage][immeuble].

Champ Signification Code
[type]
Type de matriels, sur une lettre H = Hub, S = switch, A = ATM,
F = Frame Relay, I = FDDI
[ville]
Abrviation de la ville, sur trois lettres par = Paris, tou = Toulouse tur = Tour,
etc.
[immeuble]
Lettre majuscule identifiant un immeuble
dans la ville
Le code dpend de la ville
D = Descartes, M = Montparnasse, etc.

Ce qui donne, par exemple, h-par05a, s-tou05D, etc.
Afin de faciliter leur lecture et leur traitement dans des bases de donnes, il est prfrable
que chaque champ ait une longueur fixe.
Configurer les serveurs DNS
Le DNS est gr par des serveurs qui assurent plusieurs fonctions :
la gestion dune zone, cest--dire dun domaine et de ses sous-domaines : on dit que le
serveur a autorit sur la zone ;
lchange des bases de donnes au sein dune zone : un serveur est dsign
primaire pour une zone et distribue la base de donnes aux serveurs secondaires ;
le relais des requtes DNS dun client sur un nom situ dans une autre zone ;
le cache des requtes clients de manire limiter les requtes ;
enfin, un serveur doit tre dsign racine de larbre DNS.
Tout serveur DNS est serveur cache et peut tre la fois ou seulement :
primaire pour un ou plusieurs domaines ;
secondaire pour un ou plusieurs autres domaines ;
racine.
Comme pour le nommage, le DNS offre de nombreuses possibilits et peu de contraintes :
Il faut au moins un serveur racine.
Il faut un et un seul serveur primaire par domaine.
Toutes les modifications de la base de donnes dune zone doivent tre ralises sur le
serveur qui a autorit (le serveur primaire).
Il peut y avoir aucun ou autant de serveurs secondaires par domaine.
Les fonctions primaires et secondaires sont exclusives pour un domaine donn.
Mais un serveur peut tre la fois primaire pour un domaine et secondaire pour un
autre.
La gestion des noms
CHAPITRE 7

169
Un serveur DNS peut ne servir que de cache (cest--dire ntre ni racine, ni primaire,
ni secondaire).
Ladministrateur peut dlguer la gestion dun domaine faisant partie de la zone
dautorit un autre serveur qui devient alors primaire pour le domaine.
Les clients et les serveurs DNS peuvent tre situs nimporte o sur le rseau : sur des
lieux gographiques diffrents et sur des rseaux IP diffrents.
Il peut y avoir plusieurs DNS distincts.
Les postes de travail et les serveurs peuvent tre rfrencs dans nimporte quel
domaine.
Le DNS permet de faire tout et nimporte quoi. Il convient donc de respecter quelques rgles
afin de conserver une certaine cohrence au sein de votre socit. Ainsi, vous devez pr-
voir :
au moins un serveur DNS par site afin de ne pas surcharger les liaisons WAN ;
au moins un serveur secondaire en partage de charge et en secours ;
un arbre DNS pour toute la socit, mme si chacun gre son propre domaine.
Les bonnes pratiques du DNS sont exposes dans la RFC 1912.
Selon ces principes, nous avons dcid de crer larchitecture prsente ci-aprs.

Figure 7-2.
Les serveurs DNS.

Chaque serveur DNS gre une partie de la base de donnes DNS, celle reprsentant la zone
sur laquelle il a autorit. Le serveur de Toulouse ne contiendra ainsi que les objets situs
dans la zone toulouse.info .
Sous Windows NT, la manipulation de la base de donnes est ralise laide du Gestion-
naire DNS, situ dans le menu Dmarrer Programmes Outils dadministration . Ce-
lui-ci sauvegarde les donnes dans la base des registres Windows (cl
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \Dns) et maintient une
copie sous forme de fichiers ASCII dans le rpertoire \Winnt\System32\Dns. Ces fichiers
respectent le format des serveurs DNS sous Unix, tels que ceux produits par la version appe-
le BIND et dveloppe Berkeley.
.
compta
paris info
toulouse
drh
compta
londres
Primaire
Primaire
Le serveur info est primaire
pour tous les domaines et
secondaire pour toulouse.info.
Un ou deux serveurs
secondaires par site afin de
rpondre aux requtes locales.
Les serveurs info et
toulouse sont galement
racines de larbre DNS.
Toulouse gre son propre
domaine toulouse.info..
DNS

170
LA BASE DE DONNES DU DNS
La base de donnes consiste en des fichiers ASCII contenant des enregistrements appels RR (Resource
Record) dont le format gnrique est le suivant :
nom [ttl] [IN] RR paramtres
nom Dsigne le nom du domaine. Sil est omis, cest le mme que celui du SOA.
ttl Time To Live. Indique pendant combien de secondes le resolver, qui aura fait une requte, pour-
ra conserver cet enregistrement dans son cache. Le TTL est dfini au niveau du SOA (et donc
pour tous les RR situs dedans), mais peut, optionnellement, tre dfini pour chaque RR. Le d-
lai de validit du cache est le maximum des valeurs ttl et minimum.
IN Dsigne la classe dadresse, dans notre cas lInternet (on trouve aussi CH pour les adresses
Chaos).
RR Nom de la ressource (SOA, NS, A, LNAME, NX, PTR, HINFO, etc.).
Les principaux enregistrements sont SOA, NS, A, CNAME, MX, PTR, HINFO et AAA.
nom [ttl] [IN] SOA name e-mail serial refresh retry expire minimum
(Start Of Authority). Indique le nom de la zone pour laquelle le serveur a autorit (secondaire ou primaire),
ainsi que les paramtres de mise jour de la base de donnes.
name Dsigne le serveur primaire de la zone.
e-mail Dsigne ladresse e-mail de la personne responsable de la zone.
serial Dsigne le numro de version du SOA.
refresh Indique le nombre de secondes au bout duquel le serveur secondaire doit redemander le SOA au
serveur primaire.
retry Indique le nombre de secondes qui scoule entre deux tentatives de tlchargement du SOA
par le serveur secondaire.
expire Indique le nombre de secondes au bout duquel le SOA ne sera plus valable aprs le dlai indi-
qu par refresh. Au-del de ce dlai, le serveur secondaire ne doit plus rpondre aux requtes
concernant ce SOA.
minimum Indique la valeur minimale du TTL des RR de cette zone.

[nom] [ttl] IN NS nom_du serveur_DNS
(Name Server) Indique le serveur (primaire ou secondaire) qui a autorit sur la zone.
[nom] [ttl] IN A adresse_IPv4
(Address) Indique ladresse IPv4 qui correspond au nom demand dans une requte.
alias [ttl] IN CNAME nom_principal_de_lobjet
(Canonical Name) Indique lalias dun objet.
nom [ttl] IN MX priorit nom_du_MTA
(Mail eXchanger) Indique le nom du MTA acheminant les messages destination du domaine.
65535 = priorit basse, 1 = priorit haute.
inverse [ttl] IN PTR nom_machine
(Pointer) Indique le nom qui correspond ladresse IP demande dans une requte.
inverse Dsigne ladresse IP inverse, suivie de in-addr.arpa.
[nom] [ttl] IN HINFO matriel systme
(Host Information) Champ dinformation concernant lobjet (type de machine et dOS).
[nom] [ttl] IN AAAA adresse_IPv6
Indique ladresse IPv6 qui correspond au nom demand (RFC 1886).

La gestion des noms
CHAPITRE 7

171

Configurer le fichier cache
Tous les serveurs participant votre DNS doivent connatre les serveurs racines. Ces infor-
mations rsident dans le fichier cache (attention, celui-ci na rien voir avec le serveur ap-
pel cache). Sous Windows NT, ce fichier est situ dans le rpertoire
\Winnt\System32\Dns\Cache.dns. Il doit tre dit manuellement sur chaque serveur DNS
de votre socit :

. IN NS nt001.info.
. IN NS nt004.toulouse.info.
nt001.info. IN A 10.0.0.100
nt004.toulouse.info. IN A 10.4.0.165

Les instructions NS (Name Server) et A (Address) indiquent les adresses IP des serveurs ra-
cines. Il peut y en avoir autant que ncessaire, afin dassurer la redondance et le partage de
charge.
Si vous voulez construire un DNS intranet directement rattach lInternet, il faut y indi-
quer les serveurs racines officiels. (Vous pouvez vous procurer la dernire version sur le site
ftp://ftp.rs.internic.net/domain/named.root.) Vous obtenez alors le fichier cache suivant
(extrait) :
;
; formerly NS.INTERNIC.NET
;
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
.........
Serveur de nom pour la Racine
LA BASE DE DONNES DU DNS (SUITE)

Les noms de serveurs indiqus dans les RR ne doivent pas tre des alias.
Il existe dautres enregistrements peu ou pas utiliss ou encore ltat exprimental : WKS, TXT (RFC
1035), AFSDB, RP, X25, ISDN, RT (RFC 1183), NSAP (RFC 1706), GPOS (RFC 1712), SRV (RFC 2052)
et KX (RFC 2230).
DNS

172
Configurer un serveur primaire
Dans le DNS, il est ncessaire de configurer un serveur primaire unique pour chaque zone.
Un serveur primaire pour une zone est primaire pour le domaine situ en tte de cette zone,
ainsi que pour tous les sous-domaines.

Le serveur nt001 va
tre primaire pour
une nouvelle zone.
Fichier DNS de la zone
dans le rpertoire
\Winnt\system32\dns

Cela a pour effet de produire le fichier C:\Winnt\System32\Dns\info.dns :

;
; Database file info.dns for info zone.
; Zone version: 1
;

@ IN SOA nt001.info. administrateur.info. (
1 ; serial number
3600 ; refresh
600 ; retry
86400 ; expire
3600 ) ; minimum TTL

@ NS nt001
nt001 A 10.0.0.100
nt004.toulouse A 10.4.0.165

Les parenthses doivent tre
utilises si les paramtres
tiennent sur plusieurs lignes.
Rfrence relative la
zone en cours, ici info. .
Serveur primaire pour la zone en cours.
Description de la zone info.
La gestion des noms
CHAPITRE 7

173

Que ce soit sous NT ou sous Unix, il est possible dditer manuellement ce fichier pour mo-
difier les paramtres de la zone. Avec le gestionnaire DNS de Windows, on obtient lcran
suivant.

Les paramtres de la zone (SOA, Start Of Authority) sont dfinis au niveau du serveur pri-
maire pour tre ensuite utiliss par les serveurs secondaires. Le champ Temps par dfaut
minimum pourra galement tre utilis par les resolvers pour dterminer la dure de
conservation de lenregistrement dans leur cache.

Si vous voulez limiter les changes entre serveurs, mieux vaux positionner le paramtre
refresh une valeur assez leve, gnralement 12 24 heures, sauf durant les priodes
de changement. En prvision de telles priodes, vous pouvez rduire cette valeur 1 heure
(voire moins selon vos besoins).

Vous pouvez galement activer un mcanisme de notification automatique qui permet au
serveur secondaire dtre averti immdiatement de tout changement. rception de ce si-
gnal, le serveur secondaire dclenchera alors un transfert de zone. Il suffit pour cela
dajouter, dans longlet Notification , les adresses IP des serveurs secondaires.
DNS

174
Activer la rsolution de nom
Gnralement, ladministrateur commence par remplir la base de donnes denregistrements
A . Ce type denregistrement permet aux utilisateurs dobtenir ladresse IP correspondant
au nom, qui leur est plus familier. Cest toute lutilit du DNS.

Zone info..
Cration dun
enregistrement A.

Cela a pour effet de crer lenregistrement suivant :
nt003 IN A 10.0.0.110
Dsormais, le serveur DNS enverra au client ladresse IP indique ci-dessus, toute requte
concernant ce nom.
Activer le routage de la messagerie
Un autre grand utilisateur du DNS est la messagerie SMTP. Chaque MTA (Message Trans-
fer Agent) sappuie en effet sur les enregistrements MX pour router les messages vers le
prochain MTA.
Priorit de 0 (haute)
65535 (basse).
Nom du serveur. Un
enregistrement A
doit tre associ pour
donner son adresse IP.
Ou tout autre
serveur SMTP !

En dfinitive, deux enregistrements doivent tre crs :

info. IN MX 10 mail.info.
@ IN MX 10 mail
mail IN A 10.0.0.100

Ces deux notations
sont quivalentes.
La gestion des noms
CHAPITRE 7

175
Ainsi, tous les messages destination de xxx@info seront routs vers le serveur mail si-
tu dans le domaine info .
Avec le mcanisme des priorits, il est possible de dfinir des serveurs de secours au cas o
le MTA principal serait surcharg ou en panne. Il suffit pour cela de crer un autre enregis-
trement MX de priorit plus basse que celui cr prcdemment :
info. IN MX 20 mail2.info.
mail2 IN A 10.0.0.101

Enfin, il est galement possible de dfinir un serveur poubelle recueillant tous les mes-
sages destination de domaines inconnus :
* IN MX 100 mail9
Du bon usage des alias
Lutilisation dun alias permet de dissocier la fonction (Web, messagerie) de la nature des
serveurs (nt001, unix002) ou de leur localisation dans un domaine ou un autre :

www IN CNAME nt003.info.
pluton IN CNAME ux001.paris.compta.

Grce lutilisation des alias, le changement des noms pluton et www suite un dmna-
gement sera plus facile oprer que celui de nt003 qui est rfrenc par des enregistrements
A .
Par exemple, on doit dplacer lapplication intranet sur une nouvelle machine plus puis-
sante. Il suffit de modifier le CNAME comme suit :

www IN CNAME nt004.toulouse.info.
Configurer un serveur racine
Les serveurs racines ont tout simplement autorit pour la zone . , cest--dire sur
lensemble de larbre DNS. Leur rle est dindiquer aux serveurs ne pouvant rpondre aux
requtes de leurs clients, ladresse du serveur pouvant les aider.

Figure 7-3.
Recherche DNS
rcursive.

Adresse de sgbd.toulouse.info. ?
pc1.londres.
10.12.1.150
Le premier serveur ne rpond pas. Le
resolver essaie le 2
me
sur sa liste.
Le serveur na pas autorit sur
toulouse.info. Il regarde dans son cache.
L'information ne sy trouvant pas, il
contacte le serveur racine nt001.info.
Le client positionne le bit
RD 1 demandant une
recherche rcursive.
nt001.londres.
10.12.0.100
nt001.info.
10.0.0.100
Pour ce domaine, contacter NS 10.4.0.165
Adresse de sgbd.toulouse.info. ? nt004.toulouse.info.
10.4.0.165
Adresse = 10.4.0.200 Adresse = 10.4.0.200
Le resolver garde le rsultat dans son cache pendant
TTL secondes. Cette dure est indique dans la rponse
et provient du max (ttl du RR, minimum du SOA).
Pour les besoins de
lexemple, nt001 na
pas autorit sur
toulouse.info, sinon il
aurait rpondu lui-
mme.
DNS

176
La recherche peut galement tre effectue de manire itrative. Dans ce cas, le serveur
DNS indique au client le nom du serveur DNS qui peut laider, et il revient au client
deffectuer lui-mme la recherche.
Dans notre cas, nous commenons par dclarer un serveur primaire pour la zone . (ne
pas choisir le nom de fichier . , mais, par exemple, le nom racine.dns ). Puis, nous d-
clarons les serveurs primaires des domaines Top Level.

Type de RR = Name Server
Le serveur nt002.info est primaire
pour le Top Level drh.
La zone . a t cr.
La zone Cache nest plus affiche.

Cette action produit le fichier suivant :

. IN SOA nt001.info. jlm.nt001.info. (
2 ; serial : 2
me
version
1800 ; refresh : toutes les 30 min.
300 ; retry : toutes les 5 minutes
604800 ; expire : 48 heures aprs
86400) ; minimum : 24h dans le cache
NS nt001.info
NS nt004.toulouse.info

nt001.info A 10.0.0.100
nt004.toulouse.info A 10.4.0.165

paris NS nt001.info
info NS nt001.info
drh NS nt002.info

nt002.info. A 10.0.0.124

Liste des serveurs ayant
autorit sur la racine.
Liste des serveurs ayant
autorit sur les Top Level
paris, info et drh.
La gestion des noms
CHAPITRE 7

177
Configurer un serveur secondaire
Un serveur secondaire pour une zone est un serveur qui a autorit sur ladite zone, mais qui
ne peut pas modifier la base de donnes correspondante. Pour cela, il demande auprs du
serveur primaire le transfert de la zone, ce qui lui permet ensuite de rpondre aux requtes
de la mme manire quun serveur primaire.
Sur ce type de serveur, une zone est dclare secondaire en indiquant ladresse IP du serveur
primaire partir duquel transfrer la zone.
Un seul primaire !
La zone londres sera transfre
partir de ce serveur

Il est noter que le volume de donnes reprsent par un transfert de zone est peu important,
dautant plus si les serveurs supportent une mise jour incrmentale (RFC 1995).

Configurer un serveur cache
Tous les serveurs DNS conservent en mmoire cache les rponses des requtes prcdentes.
Le serveur cache joue le mme rle, mais prsente la particularit de navoir aucune autorit
sur une quelconque zone : le serveur nest ni primaire ni secondaire.
La configuration dun serveur cache se rsume donc renseigner uniquement le fichier ca-
che.dns qui liste les serveurs racines.
La dure de validit des enregistrements dans le cache est dtermine par le maximum des
deux valeurs suivantes : le paramtre minimum TTL du SOA et le TTL de chaque enre-
gistrement si celui-ci est spcifi.
DNS

178
Dlguer lautorit un autre serveur
Pour des questions dorganisation, il est maintenant opportun de dlguer la gestion de la
zone toulouse.info aux exploitants de ce site. Pour cela, la procdure est la suivante :
1. Configurer le serveur de Toulouse en secondaire de toulouse.info , afin de transfrer
cette zone.
2. Configurer ensuite le serveur de Paris en secondaire pour la zone toulouse.info .
3. Basculer enfin le serveur de Toulouse en primaire pour la zone toulouse.info .
4. Modifier les enregistrements NS sur les diffrents serveurs concerns, de manire poin-
ter sur le nouveau serveur primaire.
5. Si lancien serveur primaire ne doit pas faire office de serveur secondaire du domaine
toulouse.info , supprimer toute rfrence cette zone.
Sous le gestionnaire DNS de Windows, il faut, en plus, crer un domaine toulouse.info ,
de manire extraire les donnes du fichier info.dns dans un autre fichier, tou-
louse.info.dns , par exemple.
Dans le serveur primaire de info , la zone dlgue apparatra alors comme suit :
;
; Delegated sub-zone: toulouse.info.
;
toulouse NS nt001
; End delegation

Les domaines de rsolution inverse
Un domaine spcifique, appel domaine de rsolution inverse et not in-addr.arpa pour
IPv4 et ip6.int pour IPv6, est utilis pour trouver un nom partir dune adresse IP. Un do-
maine correspondant au rseau 10.4.0.0 sera ainsi not 4.10.in-addr.arpa. (notation inverse
de ladresse IP) et ladresse 2001:xxx:C7D9 sera note 9.D.7.C.xxx.1.0.0.2.ip6.int.
Les domaines de rsolution inverse se manipulent de manire identique aux domaines de
noms. Chacun des 4 nombres de ladresse IP est considr comme tant un domaine qui
peut tre dlgu. Un serveur peut ainsi tre primaire pour le domaine 10.in-addr.arpa, et d-
lguer son autorit pour 15.10.in-addr.arpa.
La rsolution inverse permet :
De dcouvrir les routeurs dun sous-rseau IP. Le client reoit le nom des routeurs et
peut ensuite lancer une requte pour en connatre les adresses IP. Pour des questions de
scurit, il est donc dconseill dutiliser cette facilit.
un serveur de sassurer quun client qui se prsente avec une adresse IP appartient
bien un domaine autoris et/ou est bien celui quil prtend tre. Certains serveurs FTP
de lInternet ncessitent que les clients soient rfrencs dans la base DNS sous forme
denregistrement PTR.
La gestion des noms
CHAPITRE 7

179
De rfrencer les noms de rseaux permettant une station dadministration dafficher
les noms au lieu des adresses IP.
Au programme nslookup (voir plus loin) de fonctionner correctement. En effet, le
serveur partir duquel la commande est lance doit tre rfrenc.
Une arborescence similaire doit donc tre cre. Et, l encore, le DNS permet toutes sortes
de fantaisies.
Par exemple, il ny a pas obligatoirement de correspondance entre domaines de noms et do-
maines de rsolution inverse. Les serveurs primaires pour un rseau peuvent ainsi ne pas
ltre pour les domaines qui le contiennent. La cration automatique de PTR est alors rendue
difficile.
Il est donc conseill de limiter le nombre de ce type de zones une par subnet IP principal,
le rseau 10 dans notre cas.

Un domaine de rsolution inverse pour
lensemble du subnet 10.x.x.x
Lenregistrement PTR est automatiquement
cr si la zone de rsolution inverse existe.

Le fichier dinitialisation
Le serveur DNS de Microsoft peut fonctionner sans linterface graphique, la manire des
premiers serveurs DNS sous Unix. Le systme fonctionne alors uniquement partir des fi-
chiers ASCII situs dans le rpertoire \Winnt\System32\Dns.
Pour passer en mode texte, il faut supprimer la variable EnableRegistryBoot de la base des
registres Windows au niveau de la cl HKEY_LOCAL_MACHINE\ System\ Current-
ControlSet\Services\Dns\ Parameters .
Un nouveau fichier doit alors tre renseign : il sagit du fichier dinitialisation du DNS tel
quutilis sous Unix, appel boot :
DNS

180
;
; Fichier Boot de nt001.info
;
cache . cache.dns
primary info info.dns
secondary toulouse.info 10.4.0.165 toulouse.info.dns
primary 10.in-addr.arpa 10.in-addr.arpa.dns

Configurer les clients DNS
Dans la terminologie DNS, un client est appel resolver. Ce petit morceau de programme
est directement sollicit par toutes les applications fonctionnant en rseau, telles que le na-
vigateur Web. Il se contente dinterroger des serveurs DNS.
Sa configuration consiste simplement indiquer le domaine dans lequel il se trouve, ainsi
que la liste des adresses IP des serveurs DNS susceptibles de rpondre ses requtes.
Une fois de plus, le DNS offre beaucoup de souplesse :
Le client interroge le premier serveur de la liste puis, sil ne rpond pas, le second et
ainsi de suite.
Les serveurs peuvent tre de type cache, primaire ou secondaire.
Le client peut tre situ dans un domaine diffrent des serveurs quil interroge.

Si le serveur DNS de Toulouse ne rpond pas,
le resolver interroge le serveur de Paris.
Le domaine est important : en interrogeant
www, le resolver cherchera implicitement
www.toulouse.info.

Nom du fichier cache indiquant
les serveurs racines.
Prcise les zones et noms des fichiers de chaque SOA
pour lequel le serveur est primaire ou secondaire.
Adresse IP du serveur primaire
La gestion des noms
CHAPITRE 7

181
Lutilisateur peut formuler une demande sur un nom complet, tel que www.info. (un
nom termin par un point). Aucun suffixe ne sera alors ajout.
Sil lance une recherche sur un nom relatif, par exemple www (un nom qui nest pas termi-
n par un point), le resolver le recherchera par dfaut dans le mme domaine que celui
configur. Sil reoit une rponse ngative, il ajoutera le suffixe .info , puis un autre suf-
fixe en fonction de la configuration.
Vrifier le fonctionnement du DNS
Lutilitaire de base pour tout administrateur DNS est le nslookup qui sexcute partir
dune fentre DOS de Windows NT :

>set d2
>set recurse
>www.3com.com.
> Serveur: nt001.info.
Address: 10.0.0.100

------------
SendRequest(), len 30

HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
www.3com.com, type = A, class = IN

------------
------------

Got answer (301 bytes):

HEADER:
header flags: response, want recursion, recursion avail.
Dans sa rponse, le serveur DNS indique
quil supporte la recherche rcursive.
Se positionne en mode debug afin
dafficher le dtail des changes.
Nom et adresse du serveur
DNS de rattachement.
On demande ladresse IP du serveur www
situ dans le domaine 3com.com.
La question porte sur un
enregistrement A .
Une recherche rcursive
est demande.
Nombre de RR
par section
DNS

182
QUESTIONS:
www.3com.com, type = A, class = IN
ANSWERS:
-> www.3com.com
type = A, class = IN, dlen = 4
ttl = 3645 (1 hour 45 secs)
AUTHORITY RECORDS:
-> 3COM.COM
type = NS, class = IN, dlen = 9
nameserver = FOUR11.3COM.COM
ttl = 38819 (10 hours 46 mins 59 secs)
...... suivent 5 autres RR ......
ADDITIONAL RECORDS:
-> FOUR11.3COM.COM
type = A, class = IN, dlen = 4
internet address = 129.213.128.98
ttl = 92825 (1 day 1 hour 47 mins 5 secs)
...... suivent 5 autres RR ......

Par dfaut, lenregistrement A est demand, mais il est possible de demander dautres
types denregistrements, tels que le SOA :

>set d2
>set recurse
>set querytype=soa
>www.3com.com.
> Serveur: ns1.club-internet.fr
Address: 194.117.200.10

------------
SendRequest(), len 26
HEADER:
header flags: query, want recursion

QUESTIONS:
3com.com, type = SOA, class = IN
------------
------------
La rponse est structure en 4 sections :
question, rponse, enregistrements NS et
les autres enregistrements.
La gestion des noms
CHAPITRE 7

183
Got answer (320 bytes):

HEADER:
header flags: response, want recursion, recursion avail.

QUESTIONS:
3com.com, type = SOA, class = IN
ANSWERS:
-> 3com.com
type = SOA, class = IN, dlen = 42
ttl = 68436 (19 hours 36 secs)
primary name server = four11.3com.com
responsible mail addr = hostmaster.3com.com
serial = 1998090100
refresh = 10800 (3 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 10800 (3 hours)
AUTHORITY RECORDS:
-> 3com.com
type = NS, class = IN, dlen = 2
nameserver = four11.3com.com
ttl = 38922 (10 hours 48 mins 42 secs)
...... etc. ......

On retrouve les paramtres du
SOA tels que ladministrateur de
3com les a dfinis.
8
En route vers
la sixime dimension dIP

peine digrs les protocoles du monde IP, voil quun nouveau apparat. Fini donc IP,
dont on apprend quil tait le quatrime du nom, et bienvenue dans le monde IPv6. Le mys-
tre demeure quant ce qui est advenu des autres versions.

Avec IPv6, il faut presque tout rapprendre, commencer par le format des adresses. Heu-
reusement, la plupart des protocoles existants sont soit adapts (BGP, DNS, RSVP) soit
reprennent les principes de leur quivalent en IPv4 (ICMP, OSPF). Nous pouvons donc
rutiliser la plupart des concepts que nous avons appris.

Dans ce chapitre, vous dcouvrirez ainsi :
ladressage ipv6 ;
les principes de fonctionnement du protocole ;
les moyens de migrer de IPv4 vers IPv6.

IPv6, ICMPv6

186
Gense dIPv6
Les besoins
Dbut 2002, il ne restait que 36 % des 4,3 milliards dadresses publiques IPv4 possibles. En
particulier, lAsie, zone conomique forte croissance, ne disposait que de 20 % de lespace
dadressage.
En outre, de nouvelles applications dInternet doivent voir le jour, comme les PDA (Perso-
nal Digital Assistants), les tlphones portables de troisime gnration (les fameux UMTS)
ou encore la domotique (eh oui, certains rfrigrateurs sont dj connects Internet !) ;
mme la console de jeu X-Box de Microsoft supporte dj IPv6.
Besoins rels ou non, applications du XXI
e
sicle ou de science-fiction, la pression sur les
adresses se fait de plus en plus forte, ne serait-ce que par le biais des connexions Internet
que nous connaissons dj aujourdhui. Ainsi en Asie, la Chine migre vers IPv6 et le Japon
investit massivement dans un programme de migration.
Et mme si la pression vient du march grand public, des constructeurs tels que Microsoft et
Cisco, en qute de nouveaux dbouchs dans les entreprises, souhaitent galement acclrer
le mouvement.
Les solutions
Face la pnurie dadresses qui se profilait en 1990, deux types de solutions ont vu le jour,
lune consistant ajouter des fonctions autour dIPv4 (avec la translation dadresses no-
tamment) et lautre consistant dvelopper un nouveau protocole, appel IPv6.
Il est vrai que la translation dadresses complexifie la gestion des rseaux et atteindra ses li-
mites. Cependant, les rseaux IPv6 sont toujours en phase pilote, et lon sachemine plutt
vers une migration lente par la mise en place de passerelles aux frontires des rseaux pu-
blics et privs.
Nanmoins, les concepteurs dIPv6 ont vu les choses en grand : un espace dadressage im-
mense de 3,4 10
38
adresses et lintgration de nombreuses fonctionnalits, qui ne sont que
des rajouts dans IPv4 :
la gestion de la QoS DiffServ ;
la gestion des flux avec les labels ;
la gestion de la scurit avec lauthentification et le chiffrement des donnes IPsec ;
laffectation automatique des adresses ;
le support de la mobilit, qui permet de conserver son adresse partout dans le monde
(fonction de roaming utilise par les tlphones portables).
Mais pour ne pas retomber dans les limitations dIPv4, les concepteurs ont sans doute rpt
les erreurs dATM : un protocole tout faire et qui remet en cause lexistant. Car, avec
IPv6, il faut apprendre manipuler un nouveau systme dadressage et un nouvel en-tte ;
rcrire de nouveaux protocoles (ICMP, IS-IS, SNMP) et adapter les existants (OSPF,
En route vers la sixime dimension dIP
CHAPITRE 8

187
BGP) ; puis installer de nouveaux logiciels dans les routeurs et les ordinateurs (couches
TCP/IP, browser, Telnet, FTP, ping, etc.).
Si la lenteur de la migration est rattrape par des volutions dIPv4, alors IPv6 suivra le
chemin dATM, cest--dire quil restera cantonn dans les rseaux des oprateurs.
Mais enfin, tt ou tard, de prs ou de loin, vous serez confront IPv6 ; donc autant
sinformer ds maintenant.
Comparaison avec IPv4
Afin de donner quelques points de repre ceux qui connaissent dsormais IPv4, voici
quelques points de comparaison.
Tout dabord les adresses : 128 bits au lieu de 32 et plusieurs formats la place de la notion
de classe. On retrouve certes une partie rseau et une partie station, fixe 64 bits chacune,
mais le dcoupage et le format de chaque partie sont diffrents. La premire utilise des bits
variables pour dsigner les subnets, permettant ainsi dagrger les routes selon le principe du
CIDR (Classeless Inter-Domain Routing), alors que la partie station correspond ladresse
Ethernet MAC au format 64 bits.
Le systme dadressage est donc plus compliqu, mais les adresses peuvent tre configures
automatiquement avec ou sans DHCP, ce qui simplifie grandement la tche des administra-
teurs. Toute la complexit de ladressage est, en effet, reporte sur les routeurs.
Ceux qui connaissent le protocole IPX et Novell ne seront pas dpayss.
Ensuite, une srie de procdures IPv4 est remplace. Ainsi :
le protocole ARP est remplac par une procdure simple reposant sur deux messages
ICMPv6 Neighbor Solicitation et Neighbor Advertisement ;
la dcouverte des routeurs, optionnelle avec IPv4 et dsormais obligatoire, repose sur
deux messages ICMPv6 Router Solicitation et Router Advertisement ;
les adresses de broadcasts sont remplaces par des adresses multicasts permettant de
dsigner tous les nuds ou tous les routeurs ;
le protocole IGMP est remplac par une procdure similaire, la MLD (Multicast
Listener Discovery) reposant sur trois messages ICMPv6.
Enfin, les couches TCP et UDP doivent tre mises jour car le contrle derreur porte sur
une partie de len-tte IP qui nest pas la mme entre les deux versions.
Remarque sur la terminologie
Dans le jargon dIP, un nud dsigne une machine TCP/IP connecte au rseau. Parmi cel-
les-ci, on distingue les routeurs et les stations (hosts). Un lien est le rseau sur lequel est
connect le nud, soit une liaison point point (lien srie PPP, PVC ATM ou Frame Relay),
soit un rseau local tel quEthernet. Dans ce dernier cas, le lien dsigne le domaine de
broadcast MAC dlimit par des routeurs.

IPv6, ICMPv6

188

LADRESSAGE IPV6 (RFC 2373, 2374, 2450)
Une adresse IPv6 est code sur 128 bits et scrit sous la forme de 8 chiffres hexadcimaux reprsentant
chacun 16 bits spars par " : ", comme par exemple 2001:0000:0000:A7CF:02D0:B7FF:FE26:CB2A.
Plusieurs zros conscutifs peuvent tre abrgs par deux signes " :: " conscutifs, et ce, une seule fois
dans ladresse, comme par exemple, 2001::A7CF:02D0:B7FF:FE26:CB2A.
Pour les adresses compatibles IPv4, les 32 derniers bits peuvent conserver lcriture standard, comme par
exemple, 0:0:0:0:0:0:176.16.10.3 qui scrit galement ::176.16.10.3.
Le masque indique le nombre de bits codant la partie rseau de ladresse (subnet), les autres bits codant
un ventuel sous-rseau et la partie station (host), comme par exemple : 2001:0660:0100:0:800:1:2:3/41,
quivalent 2001:660:100:0:800::/41, qui prcise que les 41 premiers bits codent le rseau. Le masque ne
peut jamais dpasser 64 bits, les 64 derniers bits tant rservs lidentifiant dinterface.
Des formats de prfixe (i.e. les premiers bits de ladresse) spcifient un format dadresse.

Les adresses commenant par sont affectes aux
0000 001 (prfixe 02/7) Adresses NSAP
0000 010 (prfixe 04/7) Adresses IPX
001 (prfixe 2/3)
Adresses unicasts globales (agrgeables selon les principes
CIDR)
1111 1110 10 (prfixe FE8/64) Adresses unicasts locales de lien (non routables en dehors du lien)
1111 1110 11 (prfixe FEC/48) Adresses unicasts locales de site (non routables en dehors du site)
1111 1111 (prfixe FF/16) Adresses multicasts
::x.x.x.x (prfixe ::/96) Nuds IPv4 dadresse x.x.x.x supportant les adresses IPv6
::FFFF:x.x.x.x (prfixe ::FFFF/96) Reprsentation interne dun nud IPv4 dadresse x.x.x.x

Par ailleurs, les adresses ::1 et :: sont rserves :
0:0:0:0:0:0:0:1 pour ladresse de loopback qui dsigne le nud lui-mme ;
0:0:0:0:0:0:0:0 pour ladresse non spcifie qui indique labsence dadresse sur linterface.
La RFC 2374 structure les adresses unicasts globales (i.e. publiques) de faon hirarchique :

24 bits 3 bits
TLA id FP
Champ Description
FP Format Prefix (=001) : identifie le type dadresse global unicast
TLA Top Level Agregation identifier : identifie un organisme grant un rseau public tel que le IANA pour lInternet (cf. RFC 2450).
RES Rserv pour tendre les champs TLA et NLA (notamment aux dlgations rgionales de lIANA (cf. RFC 2450).
NLA Next-Level Aggregation identifier : identifie un oprateur rseau tel un ISP (cf. RFC 2450).
SLA Site-Level Aggregation identifier : identifie 65 535 sous-rseaux au sein dune organisation (quivalent aux subnets IPv4).
Interface identifier Adresse de linterface au format IEEE EUI-64. Reprend ladresse MAC IEEE 802.3 en ajoutant FFFE avant la sous-adresse.
NLA id
8 bits 13 bits
RES
64 bits
Interface identifier
16 bits
SLA id
Rseau public Rseau priv
OUI
Voir encart chapitre 3
"Les adresses MAC"
FFFE Sous-adresse
I/G U/L
Lordre des bits de ladresse MAC est invers au sein de
chaque octet, comme indiqu au dbut du chapitre 13.
Par rapport la norme IEEE, la signification du bit U/L est inverse : 1=global
scope / 0=adresse locale. Le bit tant ainsi 0 par dfaut, cette convention
permet de simplifier lcriture des adresses locales utilises pour les liaisons
point point, ce qui donne par exemple, ::1 au lieu de 0200:0:0:1.

CHAPITRE 8

189

LADRESSAGE IPV6 (SUITE)

Ainsi, la RFC 2450 affecte lInternet le TLA 0001 provenant du format de prfixe 2, ce qui correspond
au rseau 2001/16. Le IANA, qui dtient ce prfixe, dlgue ensuite des sous-TLA de 13 bits aux autorits
rgionales telles que lAPNIC (2001:0200::/29), lARIN (2001:0400::/29), ou le RIPE en Europe
(2001:0600::/29). Ces organismes distribuent ensuite ces adresses aux oprateurs tels les ISP (Internet
Service Provider), qui les allouent ensuite leurs clients, ces derniers disposant alors des bits du champ
SLA pour leur rseau priv (voir lannexe La gestion de lInternet ce sujet).
Le format de ladresse unicast globale retenu pour lInternet est le suivant :

19 bits 3 bits
TLA id FP NLA id
13 bits 64 bits
16 bits
SLA id
Rseau public Rseau priv
sous-TLA
13 bits

Le champ sous-TLA correspond aux 8 bits du champ RES, plus 5 bits prlevs sur le champ NLA.
Le champ NLA peut tre structur de manire permettre lagrgation de routes en respectant, par exem-
ple, la topologie du rseau de loprateur.

19-n bits
NLA1 NLA
n bits
NLA2
m bits 19-n-m bits
NLA
Les oprateurs dcoupent leur(s) NLA
selon leurs besoins et peuvent affecter
un ou plusieurs identifiants leurs
clients importants.

Une adresse locale de lien nest pas route au-del du domaine de broadcast dlimit par des routeurs.
Ce type dadresse est utilis pour la communication des nuds voisins, (dcouverte de routeurs, rsolu-
tion dadresse, etc.), et pour ladressage des liaisons point point (lien srie ou tunnel).

54 bits
1111111010 0
10 bits 64 bits
FP
Adresse unicast
locale de lien

Une adresse locale de site est utilise dans un espace dadressage priv sans possibilit de routage sur
le rseau public.

38 bits
1111111011 0
10 bits 64 bits
FP
Adresse unicast
locale de site
Subnet id
16 bits

Une adresse unicast peut tre affecte plusieurs interfaces et des routeurs diffrents : on parle alors
dadresse anycast. Sur les 128 bits, le prfixe de sous-rseau est variable, la partie interface tant gale
0. tant donn quil ny a aucun moyen de diffrencier une adresse anycast dune adresse unicast, elle doit
tre explicitement dclare et traite comme telle dans les routeurs.

n bits
Prfixe de sous-rseau
128 n bits
0
Adresse
anycast

Laffectation des prfixes peut tre consulte sur le site www.iana.org/assignments/ipv6-address-space.
IPv6, ICMPv6

190
Configuration des nuds
linitialisation dun nud, IPv6 affecte chaque interface une adresse locale de lien (pr-
fixe FE80::/64).
Si un routeur est prsent sur le lien de linterface, celle-ci se voit affecte dune ou de plu-
sieurs adresses globales (prfixe 02/3) ou locales de site (prfixe FEC/48), en fait une par
prfixe annonc par le ou les routeurs.
Lidentifiant dinterface (adresse MAC au format 64 bits dans le cas dEthernet) est ajout
chacun de ces prfixes.
De plus, chaque nud IPv6 se met lcoute des adresses multicasts suivantes :

Prfixe Signification
FF01::1 Toutes les interfaces du nud
FF02::1 Tous les nuds du lien
FF02 ::1:FFxx :xxxx Tous les nuds se terminant par xx:xxx (adresse de sollicitation de nud)

Sous Windows 2000 ou XP, nous pouvons visualiser la configuration rsultante.

ipv6 if 4
Interface 4 (site 1): Local Area Connection
uses Neighbor Discovery
uses Router Discovery
link-layer address: 00-d0-b7-26-cb-2a
preferred link-local fe80::02d0:b7ff:fe26:cb2a, life infinite

multicast interface-local ff01::1, 1 refs, not reportable
multicast link-local ff02::1, 1 refs, not reportable
multicast link-local ff02::1:ff26:cb2a, 1 refs, last reporter

link MTU 1500 (true link MTU 1500)
current hop limit 128
reachable time 44500ms (base 30000ms)
retransmission interval 1000ms
DAD transmits 1

En labsence de routeur, une station ne peut gnrer quune adresse locale de lien.
Adresse MAC
Adresse de lien
Adresse de sollicitation
de nud
Paramtres par dfaut
CHAPITRE 8

191

LE POINT SUR IPV6 (RFC 2460)
Le protocole repose sur un en-tte fixe de 40 octets, ventuellement suivi dextensions de tailles varia-
bles, comportant des options utilises occasionnellement.

Extensions optionnelles de len-tte
20 bits 4 bits
DiffServ / ECN Version
valeur Champ En-tte suivant Description
59 No next header Aucune donne ne suit len-tte IPv6
0 Hop-by-hop options
Options examines par chaque nud : Bourrage, Jumbogram (RFC 2675), et Alerte routeur (RFC 2711)
qui indique au routeur de traiter le message multicast mme sil nest pas membre de ce groupe.
60 Destination options Options examines par le destinataire et les routeurs lists dans loption "Routing"
43 Routing Liste des routeurs traverser : impose un chemin de routage lche (loose routing)
44 Fragment Identifie le numro de fragment du paquet IP, si celui-ci a t fragment parce quexcdant le MTU
51 Authentication Cf. RFC 2402
50 Encapsulation security payload Cf. RFC 2406
60 Destination options Options uniquement examines par le destinataire
(1) Le paquet de la couche suprieure suit immdiatement len-tte IPv6. Il ny a pas den-tte optionnel.
Ex: 58 = ICMPv6 Cf. RFC 2463
(1) Fonctionnellement Identique au champ "Protocol" de len-tte IPv4. Voir www.iana.org/assignments/protocol-numbers
Identique au champ TTL (Time To Live) de IPv4
Label de flux
8 bits
Taille des donnes + extensions Limite de saut En-tte suivant
Adresse source (128 bits)
Adresse destination (128 bits)
8 bits
Longueur extens.
En-tte suivant
Format spcifique lextension
8 bits
Ordre des extensions dentte

Except lextension hop-by-hop, les routeurs intermdiaires nont pas besoin danalyser les extensions,
acclrant par l le traitement du paquet IP.

En-tte IPv6
Next header = 6
Paquet TCP
En-tte IPv6
Next header = 43
En-tte Routing
Next header = 6
Paquet TCP

La couche IP a pour rle de router les paquets individuellement et de traiter les flots de paquets identifis
par des labels de flux. Les paquets peuvent tre perdus ou arriver dans le dsordre. la diffrence de
son prdcesseur, IPV6 ne procde aucun contrle derreur, cette fonction faisant double emploi avec
celle ralise par la couche liaison tel Ethernet ou Frame Relay.
Les stations IP fragmentent galement les paquets pour quils puissent tenir dans les MTU des diffrentes
couches liaison traverses. larrive, les paquets sont rassembls ( la diffrence dIPv4, les routeurs
ne procdent aucune fragmentation, car le calcul du MTU ne le ncessite pas). Le champ hop limit
est dcrment dune unit chaque fois que la paquet traverse le routeur. Arriv une valeur de 0, le pa-
quet est dtruit au cas o cela serait le rsultat dune boucle dans le rseau.
Le site www.ietf.org/html.charters/ipv6-charter.html permet de suivre les volutions du protocole dont cer-
tains aspects, tels les labels de flux, ne sont pas encore figs.
IPv6, ICMPv6

192
Sur les routeurs et selon le plan dadressage retenu, il faut configurer les prfixes dadresses
globales et locales de site.

ipv6 unicast-routing
int e0
ipv6 address 2001:0660:0100:A7CF::/64 eui-64

Notre routeur diffuse alors le prfixe (i.e. les subnets) quil supporte sur le rseau local de
son interface Ethernet e0 .
En plus des adresses prcdemment mentionnes, le routeur est lcoute des adresses any-
casts et multicasts suivantes :

Prfixe Signification
FF01::2 Toutes les interfaces du routeur
FF02::2 Tous les routeurs du lien
FF05::2 Tous les routeurs du site

show ipv6 int e0
Ethernet0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::0A00:58FF:FE5A:C7D9
Global unicast address(es):
2001:0660:0100:A7CF:0A00:58FF:FE5A:C7D9, subnet is
2001:0660:0100:A7CF/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:5A:C7D9
MTU is 1500 bytes
ICMP error messages limited to one every 500 milliseconds
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.

Prfixe dadresse unicast globale
Indique quil faut gnrer un
identifiant dinterface partir de
ladresse MAC au format 64 bits.
Adresse unicast globale
Adresse de sollicitation de nud
Groupes multicasts par dfaut
Adresse unicast locale de lien
CHAPITRE 8

193
La station rcupre le prfixe et construit ladresse en y ajoutant son adresse MAC au format
64 bits. Nous pouvons alors la visualiser sur notre station Windows XP.

ipv6 if 4
Interface 4 (site 1): Local Area Connection
...
preferred address 2001:0660:0100:a7cf:02d0:b7ff:fe26:cb2a,
infinite/infinite
...

FP | TLA | s-TLA | NLA | SLA | Interface = adresse MAC
unicast IANA Renater IdF *Intel: :n NIC
2 001 : 0660 : 0100 : A7CF: 02D0:B7FF:FE26:CB2A

Le RIPE disposant du sous-TLA 0600/29 a allou 0660/35 Renater (voir
www.ripe.net/ripencc/mem-services/registration/ipv6/ipv6allocs.html) qui gre les 29 bits
despace dadressage restant (13 bits de NLA structurs en 63 plaques rgionales de 127
campus et laboratoires et 16 bits de SLA, soit 65 535 rseaux). Par exemple, le
NLA 0100/41 correspond la rgion Ile-de-France et 0180/41, Grenoble.
Le champ Interface a t construit partir de ladresse MAC 00-D0-B7-26-CB-2A
(D0-B7 indiquant que le fabriquant de la carte rseau est Intel), la valeur du bit U/L (indiqu
par une *) tant inverse.
La couche IP cr galement une pseudo-interface de loopback comme, par exemple, sur
notre PC :

ipv6 if 1
Interface 1 (site 0): Loopback Pseudo-Interface
does not use Neighbor Discovery
link-level address:
preferred address ::1, infinite/infinite
link MTU 1500 (true link MTU 1500)
current hop limit 1
reachable time 0ms (base 0ms)
retransmission interval 0ms
DAD transmits 0

Adresse unicast globale
Validit permanente
Adresse rserve linterface de loopback.
Sa porte reste locale au nud.
IPv6, ICMPv6

194
LADRESSAGE MULTICAST (RFC 2373 ET 2375)
Une adresse multicast, identifie par le prfixe FF/16, permet de grer des groupes de diffusion.

4 bits
11111111 000T
8 bits 80 bits
0
4 bits
Scope
Le bit T "1" indique que le groupe est temporaire.
Le champ "Scope" dfinit la porte du groupe multicast.

Scope Porte du groupe Prfixe
1 Nud local FF01
2 Lien local FF02
5 Site local FF05
8 Organisation locale FF08
E Porte globale FF0E
32 bits
Identifiant de groupe

Un certain nombre de groupes permanents est utilis pour changer des messages de service ICMP.

Prfixe Groupe permanent
FF01:1 Toutes les interfaces du nud
FF01:2 Toutes les interfaces du routeur
FF02::1 Tous les nuds du lien
FF02::2 Tous les routeurs du lien
FF02::D Tous les routeurs PIM du lien
FF05::2 Tous les routeurs du site
FF05::1:3 Tous les serveurs DHCP du site
Le site www.iana.org/assignments/ipv6-multicast-addresses tient jour la liste des groupes rservs.
Sur un rseau Ethernet, les paquets multicasts IP sont envoys dans des trames multicasts dont ladresse
MAC de destination commence par 33-33 , les 32 derniers bits de cette adresse provenant des 32 der-
niers bits de ladresse IP.

3 3 3
Adresse IPv6 multicast
0 1 1 0 0 1 1 0 0 1 1 0 0 1 1
3
0
7
0 1 1 0 1 1 1 1 0 1 0 0 1 1 0 0
B7 26 CB FF
1
0
0 1 0 1 1 0 1 1 1 1 1 1 1 1 1
B 2 6 C B
Adresse MAC multicast
F F
(Lordre de transmission des bits est invers
au sein de chaque octet de la trame Ethernet)
Bits U/L et I/G (cf. lencart "Les adresses MAC" au chapitre 7)
0 1 1 0 1 1 1 1 0 1 0 0 1 1 0 0 1
0
0 1 0 1 1 0 1 1 1 1 1 1 1 1 1
FF
..

titre de comparaison, vous pouvez consulter le schma au dbut du chapitre 15, qui montre le mme
principe appliqu IPv4.
Ladresse de sollicitation de nud a pour but de minimiser le nombre de nuds devant traiter la trame
multicast diffuse sur le rseau local. Son prfixe est FF02::1:FFxx:xxxx/104, xx:xxx dsignant les 24
derniers bits dune adresse IP.
Ainsi, le nud dadresse de lien FE80::02D0:B7FF:FE26:CB2A coutera galement les adresses
FE02::1:FF26:CB2A. Et seuls les nuds dont ladresse MAC se termine par 26-CB-2A prendront en
compte la trame multicast 33-33-FF-26-CB-2A, les autres ne perdant pas de temps lanalyser.
CHAPITRE 8

195
Fonctionnement standard des nuds
Chaque nud IPv6 conserve en mmoire les informations suivantes :
Le cache des voisins, quivalent au cache ARP dIPv4, indique la liste des adresses
IPv6 avec les adresses de niveau 2 associes, par exemple les adresses MAC Ethernet.
Le cache des destinations contient les adresses IP auxquelles le nud a rcemment en-
voy un paquet, avec pour chacune dentre elles, ladresse du prochain saut ainsi que le
MTU du chemin.
La liste des prfixes, provenant des messages dannonce des routeurs (messages ICMP
134), qui contient les prfixes directement joignables (i.e. situs sur le mme lien).
La liste des routeurs qui ont envoy une annonce (message ICMP 134) et parmi les-
quels lun est susceptible dtre lu routeur par dfaut pour ce nud.
Lalgorithme denvoi des paquets permet de dcrire le format et lutilisation de ces tables.

Correspond
un prfixe?
Envoyer le paquet avec ladresse
MAC du prochain saut
oui
Oui
Routeur par
dfaut ?
Non
Ladresse
sy trouve ?
Ladresse
sy trouve ?
Non
Non
oui
Oui
Utiliser la procdure de rsolution
dadresse pour trouver ladresse
MAC du prochain saut
Cache des destinations
Adresse IP Prochain saut MTU
2001:0660:0100:A7CF:02D0:B7FF:FE26:CBFF
2001:0660:0100:A7CF:02A0:9DFF:FE15:A7F9
1500
Cache des voisins
Adresse IP Adresse MAC tat
2001:0660:0100:A7CF:02A0:9DFF:FE15:A7F9
00-A0-9D-15-A7-F9
Reachable
Adresse IP de destination
Adresse IP du prochain saut
Liste des prfixes
Prfixe TTL
2001:0660:0100:A7CF 500
2001:0660:0100:0001 2500

Liste des routeurs par dfaut
Prfixe tat
2001:0660:0100:0001 Reachable

Adresse IP de destination
Adresse du prochain saut
= Adresse de destination
Non
Adresse du prochain saut
= Adresse du routeur
Met jour le cache
des destinations

IPv6, ICMPv6

196

LE POINT SUR ICMPV6 (RFC 2463 ET 3122)
ICMP (Internet Control Message Protocol) regroupe tous les messages de services ncessaires aux com-
munications entre nuds. ICMP correspond, en effet, une srie de procdures trs diverses allant de la
dcouverte des routeurs voisins la notification derreurs.

Message (format et longueur variables selon le type)
Type
8 bits
Code
8 bits
Checksum
16 bits

Type Message Code Description
1 Destination unreachable 0 Le routeur ne connat pas la route
1 La communication est interdite par un pare-feu
2 Ladresse destination dpasse le domaine de routage de
ladresse source
3 La destination nest pas joignable
4 Aucun programme ne rpond sur le port TCP ou UDP
2 Packet too big 0 La taille du paquet dpasse le MTU de la couche liaison
3 Time exceeded 0 Le paquet a t reu avec une limite de saut 0
1 Tous les fragments dun paquet nont pas t reus dans le
temps imparti
4 Parameter problem 0 Erreur dtecte dans len-tte ou une de ses extensions
1 Un code dextension den-tte inconnu a t trouv
2 Une option inconnue a t trouv
128 Echo request 0 Demande au rcepteur de renvoyer un Echo reply (un iden-
tifiant et un numro de squence identifient le message)
129 Echo reply 0 Rponse un Echo request. Les donnes contenues dans
le message Echo request doivent tre reportes dans ce
message.
130 Multicast listener query 0 Demande de rapport envoye par le routeur
131 Multicast listener report 0 Rapport de participation au groupe envoy par le membre
132 Multicast listener done 0 Le membre indique au routeur quil quitte le groupe
133 Router solicitation 0 mis par une station pour dcouvrir les routeurs sur son lien
134 Router advertisement 0 Envoy par un routeur priodiquement ou en rponse un
message de sollicitation pour indiquer les paramtres du lien
135 Neighbor solicitation 0 Demande de rsolution de ladresse IPv6 en adresse MAC
136 Neighbor advertisement 0 Rponse une demande de rsolution dadresse, envoye
spontanment en cas de changement dadresse de niveau 2
137 Redirect 0 Le routeur indique au nud quun autre routeur connat une
meilleure route
141 Inverse neighbor discovery
solicitation
0 Demande de rsolution de ladresse MAC en adresse IPv6
142 Inverse neighbor discovery
solicitation
0 Rponse une demande de rsolution dadresse inverse

CHAPITRE 8

197
La dcouverte des nuds voisins (RFC 2461 et 3122)
Les voisins sont les nuds situs sur le mme domaine de broadcast Ethernet ou sur le
mme lien srie (PPP, Frame Relay ou ATM).
Derrire le terme ND (Neighbor Discovery), se cache une srie de procdures qui sont :
utilises par les stations pour la dcouverte des routeurs, des prfixes rseaux et des
paramtres utiliss (MTU, nombre maximal de sauts,) ;
utilises par les routeurs pour la fonction de redirection vers une meilleure route ;
utilises par les nuds en gnral pour la rsolution dadresses, la vrification de
ltat des voisins et la recherche du prochain saut pour aller vers un rseau donn.
Toutes ces procdures reposent sur 5 messages ICMP, contenant un en-tte de message ND
et ventuellement des options.
Les options utilises dans les messages de dcouverte
Options Adresse de lien source et Adresse de lien destination utilises dans divers
messages.

Type = 1
1 octet
Longueur = 1
1 octet
Adresse source de la couche liaison
Type = 2 Longueur = 1 Adresse cible de la couche liaison
6 octets

Option Information de prfixe utilise dans les messages dannonce de routeurs.

Type = 3 Longueur = 4
Prfixe de ladresse
(champ de 16 octets)
Long. Prf. L
Dure de validit du prfixe
Dure dutilisation du prfixe
Rserv = 0
1 octet 1 octet 1 octet 1 octet
A 0 L (On-link) =
Ladresse incluse dans le prfixe peut tre
affecte une interface connecte ce lien
A (Autonomous) =
Le prfixe peut tre utilis pour gnrer
automatiquement une adresse (mode stateless)
Nombre de bits constituant le prfixe

Option MTU utilise dans les messages dannonce de routeurs.

Type = 5 Longueur = 1 Rserv = 0
2 octets 1 octet 1 octet
MTU du lien
Lorsque plusieurs type de rseaux cohabitent
sur un LAN switch (Ethernet, Token-Ring,
FDDI), le plus grand des MTU est indiqu ici.

Option Redirection utilise par les routeurs.

Type = 4 Long = 1+N Rserv = 0
Copie partielle (N octets, N < 1 280) du paquet qui a caus la redirection

Le champ Longueur indique le nombre de blocs de 8 octets, donnes et en-tte compris.
IPv6, ICMPv6

198
La rsolution dadresse
La procdure est relativement simple. Un nud dsirant connatre ladresse MAC partir de
son adresse IP, met une requte multicast dans le groupe de sollicitation de nuds corres-
pondant cette mme adresse IP.

Option = 1 Longueur = 1 Adresse MAC source = 00-D0-B7-26-CB-2A
Rserv = 0
Type=135
1 octet
Code = 0
1 octet
Checksum
2 octets
Adresse IP rsoudre = FE80::0250:8BFF:FE3A:3B3C
Message ICMP
Neighbor
sollicitation
Adresse IP destination = FF02::1:FF3A:3B3C
Adresse MAC = 00-D0-B7-26-CB-2A
Adresse IP locale de lien = FE80::02D0:B7FF:FE26:CB2A
Adresse MAC = 00-50-8B-3A-3B-3C
Adresse IP locale de lien = FE80::0250:8BFF:FE3A:3B3C
Adresse IP source = FE80::02D0:B7FF:FE26:CB2A Adresse
multicast de
sollicitation
En-tte paquet
IPv6
En-tte trame
Ethernet
Recherche ladresse MAC correspondant ladresse IP cible
Adresse MAC source = 00-D0-B7-26-CB-2A
Adresse MAC destination = 33-33-FF-3A-3B-3C

Seuls les nuds dont ladresse MAC se termine par les 24 derniers bits de ladresse MAC
de la trame multicast vrifient si ladresse IP demande correspond la leur, et seul le nud
qui rpond par laffirmative renvoie une annonce lmetteur.

Les informations ainsi collectes permettent de mettre jour le cache des voisins.

Option = 2 Longueur = 1 Adresse MAC annonce = 00-50-8B-3A-3B-3C
Type=136
1 octet
Code = 0
1 octet
Checksum
2 octets
Adresse IP annonce = FE80::0250:8BFF:FE3A:3B3C
Message ICMP
Neighbor
advertisement
Adresse IP destination = FE80::02D0:B7FF:FE26:CB2A
Adresse MAC source = 00-50-8B-3A-3B-3C
Adresse MAC = 00-50-8B-3A-3B-3C
Adresse IP locale de lien = FE80::0250:8BFF:FE3A:3B3C
Adresse IP source = FE80::0250:8BFF:FE3A:3B3C
Adresse MAC destination = 00-D0-B7-26-CB-2A
Rserv = 0 R S O
En-tte paquet
IPv6
En-tte trame
Ethernet
Rponse du nud qui correspond ladresse IP recherche
Adresse
unicast
locale de lien
Adresse MAC unicast
R = 1/0 : lmetteur est/nestpas un routeur
S = 1 : rponse un message Neighbor sollicitation
O = 1 (Override) : le cache des voisin doit tre mis
jour avec ladresse MAC indique dans loption2
CHAPITRE 8

199
La rsolution inverse dadresse
Il est des cas, comme par exemple sur un lien Frame Relay, o connaissant ladresse de ni-
veau 2 du routeur den face (en loccurrence le DLCI), il serait intressant den connatre
automatiquement ladresse IP. La RFC 3122 dfinit la procdure dite de rsolution inverse.

Adresse MAC = 08-00-58-5A-C7-D9
Adresse IP locale de lien = FE80::0A00:58FF:FE5A:C7D9
Option = 2 Longueur = 1 DLCI cible = ct metteur = 60
Rserv = 0
Type=141
1 octet
Code = 0
1 octet
Checksum
2 octets
Message ICMP
Inverse
Neighbor
Discovery
Solicitation
Adresse IP destination = FF02::1
En-tte paquet
IPv6
Recherche ladresse IP correspondant au DLCI cible
Trame Frame Relay (cf. chapitre 10)
Adresse MAC = 08-00-58-B2-C3-D4
Adresse IP locale de lien = FE80::0A00:58FF:FEB2:C3D4
Routeur
Adresse IP source = FE80::0A00:58FF:FE5A:C7D9
Routeur
Adresse multicast:
tous les nuds
du lien
Option = 1 Longueur = 1 DLCI source = ct nud distant, 0 si inconnu
Option = 9 Longueur = x Liste des adresses IP associes linterface mettrice
DLCI = 60
DLCI = 50
Le DLCI cible est celui qui, pour le nud
considr, identifie le PVC vers le destinataire.
Cest donc le DCLI local ce nud

Si prsente, loption 9 indique la liste des adresses IP affectes linterface par laquelle la
requte est envoye.

Option = 2 Longueur = 1 DLCI cible = ct emetteur = 50
Rserv = 0
Type=142
1 octet
Code = 0
1 octet
Checksum
2 octets
Message ICMP
Inverse
Neighbor
Discovery
Solicitation
En-tte paquet
IPv6
Recherche ladresse IP correspondant au DLCI cible
Trame Frame Relay (cf. chapitre 10)
Adresse MAC = 08-00-58-B2-C3-D4
Adresse IP locale de lien = FE80::0A00:58FF:FEB2:C3D4
Routeur
Routeur
Adresse multicast:
tous les nuds
du lien
Option = 1 Longueur = 1 DLCI source = ct nud distant = 60
Option = 10 Longueur = x Liste des adresses IP associes au DLCI cible
DLCI = 60
DLCI = 50
Le DLCI source est celui qui, pour le nud
distant, identifie la source de ce message.
Cest donc le DCLI distant au nud considr.

Dans le paquet de rponse, le rcepteur met son DLCI dans loption Adresse de lien desti-
nation quil obtient de la couche niveau 2 de la trame Frame Relay quil reoit. Il y ajoute
les adresses IP associes.
IPv6, ICMPv6

200
La dcouverte des routeurs
son initialisation, tout nud IPv6 recherche lexistence de routeurs sur son ou ses liens
afin de dterminer sil faut rcuprer des prfixes et des paramtres.

Rserv = 0
Type=133 Code = 0 Checksum Message ICMP
Router
sollicitation
Adresse IP source = FE80::02D0:B7FF:FE26:CB2A En-tte paquet
IPv6
n-tte trame
Ethernet
Recherche lexistence de routeurs sur le lien
Adresse MAC destination = 33-33-00-00-00-02
Routeur
Adresse
multicast locale :
tous les routeurs
du lien

Les routeurs envoient priodiquement des annonces et rpondent galement aux sollicita-
tions comme celle montre ci-dessus.

Option type 5 (MTU du lien si plusieurs MTU)
Router
advertisement
Adresse MAC source = 08-00-58-5A-C7-D9
0 M O
En-tte paquet
IPv6
En-tte trame
Ethernet
Rponse du nud qui dtient dj ladresse
Adresse MAC unicast
Routeur
Adresse
unicast
locale de lien
Hop limit Lifetime
Reachable time
Retransmission timer
Option type 3 (Information de prfixe)
M = 1 : la station recevant ce message doit obtenir
dautres adresses en mode stateful (i.e. DHCPv6) en plus
du mode stateless actuellement utilis.
O = 1 : la station recevant ce message doit utiliser le
mode stateful (i.e. DHCPv6) pour obtenir des paramtres
supplmentaires

Dans ce message, le routeur communique la station une srie de paramtres prciss dans
le tableau ci-aprs.

CHAPITRE 8

201

Paramtre Signification
Hop limit Nombre limite de sauts : valeur que la station doit utiliser dans les paquets quelle met.
Lifetime Dure, en ms, pendant laquelle le routeur peut tre considr comme routeur par dfaut. Une
dure de 0 ms indique que le routeur ne peut pas tre considr comme routeur par dfaut.
Reachable time Dure, en ms, pendant laquelle un nud voisin peut tre considr comme joignable aprs
avoir reu une confirmation.
Retransmission timer Dlai, en ms, entre les envois de message de sollicitation de voisins.
MTU Dans le cas de rseaux commuts avec diffrents supports (Ethernet v2 et 802.3, FDDI, To-
ken-Ring).
Information de prfixe Prfixe annonc par le routeur.

Sauf indication contraire, une valeur 0 indique que le routeur ne spcifie pas de valeur.
La vrification de ltat des voisins
Une fois les voisins dcouverts, un nud vrifie priodiquement leur tat et en garde une
trace dans le cache des voisins.

tat Signification
Incomplete La rsolution dadresse est en cours.
Reachable Le nud a t rcemment confirm comme joignable.
Stale Le nud nest apparemment pas joignable, mais son tat ne sera pas vrifi avant que des donnes doi-
vent lui tre envoyes.
Delay Le nud nest apparemment pas joignable alors que des donnes lui ont t envoyes. Attend un certain
dlai avant de lancer une vrification.
Probe Le nud nest apparemment pas joignable, et une vrification est en cours.

Envoie une sollicitation de voisinage multicast
Pas de rponse 3 sollicitations conscutives
Reoit une annonce de voisinage
suite la sollicitation
Envoi de donnes
TCP/UDP
Dlai de 5
secondes expir
Aucune entre nexiste
Prim Dlai Sonde
Incomplet
Joignable
Rception dune annonce non sollicite
ou expiration du dlai de validit
(gnralement 30 secondes)
Rponse TCP/UDP
lenvoi de donnes
Sollicitation de voisinage unicast
suivie dune rponse positive
Pas de rponse 3 sollicitations conscutives

IPv6, ICMPv6

202
Si le voisin est le routeur par dfaut et vient ne plus tre joignable, le nud recherche un
autre routeur dans sa liste de routeurs.
La redirection
Un routeur a la possibilit dinformer une station quil existe un routeur voisin disposant
dune meilleure route vers la destination spcifie dans les paquets mis par la station.
De la mme manire, il peut informer une station que son destinataire est directement joi-
gnable sans passer par un quelconque routeur. Ce cas de figure se produit lorsque plusieurs
subnets IP cohabitent sur le mme domaine de broadcast Ethernet.

Option Adresse de lien de l@ IP cible
Redirect
Adresse MAC source = 08-00-58-5A-C7-D9
En-tte paquet
IPv6
En-tte trame
Ethernet
Indication de redirection
Adresse MAC unicast
Routeur
Adresse
unicast
locale de lien
Rserv = 0
Adresse IP cible qui envoyer les paquets ayant ladresse IP de destination ci-dessous
Adresse IP de destination des paquets envoys par la station et reus par le routeur
Option Redirect

la rception de ce message, la station envoie les paquets ladresse MAC qui lui est indi-
que.
Lauto-configuration des adresses (RFC 2462)
Lors de son initialisation, une interface IPv6 sattribue une adresse de lien sur la base du
prfixe FE80::/64 et de son adresse MAC dans le cas dEthernet. Des adresses supplmen-
taires sont cres si des routeurs lui envoient des annonces de prfixe.
Cette procdure daffectation automatique des adresses est connue sous le nom de stateless
par opposition au mode stateful qui fait intervenir un serveur DHCP.
Laffectation automatique des adresses
Le nud fait appel la procdure de dtection des adresses dupliques. En cas de dtection
positive, linterface ne peut tre active. Dans le cas contraire, ladresse est enregistre.
CHAPITRE 8

203
Dans le cas dune station, la procdure se poursuit par la recherche des routeurs voisins, et
en cas de succs, la station sauvegarde les paramtres Hop limit , Reachable time ,
Retransmission timer , et le MTU.
Pour chaque prfixe indiqu dans lannonce de routeur, la procdure dauto-configuration de
la station se poursuit comme suit :
Si lindicateur On-Link de loption dinformation de prfixe est positionn 1 ,
le prfixe est ajout la liste des prfixes.
Si lindicateur Autonomous de loption dinformation de prfixe est positionn
1 , le prfixe et ladresse MAC sont concatns pour former une adresse, dont
lunicit est vrifie laide de la procdure de dtection des adresses dupliques.
Si lindicateur Managed address est positionn 1 dans le message dannonce
du routeur, un protocole tel que DHCP doit tre utilis pour obtenir dautres adresses.
Si lindicateur Other stateful est positionn 1 dans le message dannonce du
routeur, un protocole tel que DHCP doit tre utilis pour obtenir dautres paramtres.
Les adresses IPv6 sont donc alloues dynamiquement, une de lien locale, et dautres, si des
routeurs voisins sont dtects.

La dtection dadresse duplique
Il sagit du cas hautement improbable dune duplication dadresse, sans doute suite une
mauvaise configuration lorsque, par exemple, ladministrateur a voulu fixer ladresse IP in-
dpendamment de ladresse MAC de la carte rseau.

Rserv = 0
Type=135
1 octet
Code = 0
1 octet
Checksum
2 octets
Adresse IP rsoudre = FE80::02D0:B7FF:FE26:CB2A
Message ICMP
Neighbor
sollicitation
Adresse IP destination = FF02::1:FF26:CB2A
Adresse IP source = :: (adresse non spcifie) Adresse
multicast de
sollicitation
En-tte paquet
IPv6
En-tte trame
Ethernet
Recherche si ladresse IP est dj affecte un autre noeud
Adresse MAC destination = 33-33-FF-26-CB-2A
Adresse MAC unicast

Si aucune rponse nest reue, ladresse est suppose tre libre et est affecte linterface.
IPv6, ICMPv6

204

Option = 2 Longueur = 1 Adresse MAC annonce = 00-D0-B7-26-CB-2A
Type=136
1 octet
Code = 0
1 octet
Checksum
2 octets
Adresse IP annonce = FE80::02D0:B7FF:FE26:CB2A
Message ICMP
Neighbor
advertisement
Adresse MAC = 00-0D-B9-26-CB-2A
Adresse IP source = FE80::02D0:B7FF:FE26:CB2A
Adresse MAC destination = 33-33-00-00-00-01
Rserv = 0 R S O
En-tte paquet
IPv6
En-tte trame
Ethernet
Rponse du nud qui dtient dj ladresse
Adresse
multicast locale :
tous les nuds
du lien
R = 1/0 : lmetteur est/nestpas un routeur
S = 1 : rponse un message Neighbor sollicitation
O = 1 (Override) : le cache des voisin doit tre mis
jour avec ladresse MAC indique dans loption2

La dcouverte du MTU (RFC 1981)
Le MTU (Maximum Transmission Unit) est la taille maximale dun paquet IP non fragment
pouvant tre transport par la couche liaison. tant donn quun paquet IP peut traverser des
rseaux de nature trs diffrente, le MTU rsultant doit correspondre au plus petit MTU
trouv. Par exemple, le MTU dune trame Ethernet v2 est de 1 500 octets, celui dune trame
Ethernet 802.3, de 1 492 octets et celui dune trame Frame Relay, de 4 096 octets.
La procdure utilise est la suivante :
1. Initialement, le MTU correspond celui de la couche liaison de linterface par laquelle
le premier paquet est envoy.
2. Si un routeur constate que la taille du paquet est suprieure au MTU de la couche liaison
de linterface vers laquelle il doit transmettre le paquet, il renvoie lmetteur un mes-
sage ICMP Packet too big qui contient le MTU correspondant la couche liaison en
cause.
3. Lmetteur ajuste son MTU et renvoie le paquet en le fragmentant ventuellement. Il
procde ainsi de suite, tant quun routeur situ sur la route dacheminement du paquet lui
envoie le mme type derreur.
4. Toutes les cinq ou dix minutes, lmetteur essaye daugmenter son MTU, afin de dtec-
ter un ventuel changement dans la topologie du rseau. En cas dchec, il reoit les
mmes messages derreur.
En aucun cas, IPv6 naccepte un MTU infrieur 1 280 octets.
La gestion des groupes de diffusion (RFC 2710 et 2711)
La procdure MLD (Multicast Listener Discovery) permet denregistrer les stations apparte-
nant un groupe multicast. Elle est identique IGMP (voir le dbut du chapitre 15) employ
avec IPv4, mais utilise des messages ICMP quivalents.
CHAPITRE 8

205

Type = * Code = 0 Checksum
Dlai max
Adresse IP multicast (16 octets)
Type Message
130 Listener Query
131 Listener Report
132 Listener Done
Rserv = 0

Les messages MLD sont constitus dun en-tte IP, dune extension Hop-by-hop com-
portant loption Router Alert , et dun des trois messages ICMP ci-dessus.
Les messages Listener Query sont envoys par les routeurs pour rechercher les membres
dun groupe (recherche spcifique une adresse multicast) ou les membres de tous les grou-
pes (recherche gnrale).
Les membres des groupes rpondent cette sollicitation ou se manifestent deux-mmes en
envoyant un message Listener Report . Ds que lun deux quitte le groupe, il envoie un
message Listener Done .
Loption Router Alert , dcrite par la RFC 2711, indique au routeur de traiter le message
MLD, mme sil nest pas lcoute de ladresse multicast parce que nayant aucun membre
pour ce groupe.
Migrer de la v4 la v6
Thoriquement, les applications ne doivent pas tre rcrites, car elles font rfrence aux
couches TCP et UDP. Or, ces couches doivent tre modifies afin que le calcul du checksum
porte sur une partie de len-tte IPv6 (voir la fin du chapitre 5).
Avec IPv6, TCP doit calculer le checksum sur les donnes et la partie den-tte suivante,
appele pseudo en-tte :

1 octet
Taille du paquet TCP (4 octets) En-tte suivant
Adresse source (16 octets)
Adresse destination (16 octets)
3 octets 0

Dans le cas de Windows, Microsoft a dvelopp une nouvelle couche TCP adapte IPv6 et
distincte de celle reposant sur IPv4. En consquence, les applications doivent tre rcrites
pour supporter la nouvelle interface Winsock conforme la RFC 2553.
Par exemple, les primitives gethostbyname et gethostbyaddr doivent respectivement tre
remplaces par getaddrinfo et getnameinfo.
Pour plus dinformations, le lecteur pourra se reporter aux RFC suivants :
RFC 2529 Transmission of IPv6 over IPv4 Domains without Explicit Tunnels ;
RFC 2893 Transition mechanisms ;
RFC 3056 Connection of IPv6 Domains via IPv4 Clouds (6to4) ;
RFC 3142 An IPv6-to-IPv4 Transport Relay Translator .

TROISIME PARTIE

Les rseaux
tendus
9
Mettre en place
sa premire interconnexion

Comme leur nom lindique, les rseaux locaux sont gographiquement restreints un im-
meuble, voire un campus. Votre socit se dveloppant, de nouveaux sites sont crs et les
rseaux locaux se multiplient.

Lenjeu est dsormais de connecter ces rseaux entre eux de sorte que tous les utilisateurs
accdent aux mmes applications quelle que soit leur localisation.

Cest le rle des rseaux WAN (Wide Area Network), cest--dire des rseaux tendus. On
parle galement dinterconnexion de rseaux, de rseaux longue distance ou de rseaux
intersite.

Dans ce chapitre, vous apprendrez :
choisir entre plusieurs solutions techniques et conomiques ;
interconnecter deux sites ;
mettre en place une ligne spcialise et une ligne de secours RNIS ;
configurer un routeur.

PPP, RNIS, Proxy ARP

210
210
Le contexte
Notre rseau local est oprationnel, et les utilisateurs sont satisfaits. En plus du site parisien,
il faut maintenant offrir le mme type de service pour un nouveau site situ Orlans. Qu
cela ne tienne, il suffit dappliquer les recettes qui ont dj fait le succs de notre premier r-
seau.
Mais les utilisateurs de chaque site doivent communiquer entre eux : messagerie, transferts
de fichiers et connexions aux serveurs Web sont demands. Il faut donc interconnecter les
rseaux locaux de ces deux sites. Le problme est quils sont distants de plus de 100 km.
On pourrait utiliser les mmes quipements Ethernet, des commutateurs par exemple. Mais
la norme impose une longueur maximale aux liaisons Ethernet, au mieux quelques kilom-
tres en fibre optique. Ces contraintes proviennent de laffaiblissement du signal dune part,
et du dlai de propagation des trames, dautre part. En effet, plus les distances sont grandes,
plus le signal est affaibli et plus le dlai de propagation des trames est lev. Si ce dernier
tait plus lev que celui impos par la norme, les stations devraient attendre plus longtemps
avant de pouvoir transmettre une trame, ce qui diminuerait considrablement le dbit du r-
seau (moins de trames circuleraient en un laps de temps donn puisquil faudrait attendre
plus longtemps avant de transmettre). lavenir, cette contrainte disparatra mais, pour le
moment, nous devons encore en tenir compte.
Il faut donc employer dautres techniques plus adaptes ces contraintes et dfinir une ar-
chitecture des rseaux tendus, appels WAN (Wide Area Network) par opposition aux r-
seaux locaux, LAN (Local Area Network).

Les choix de base
Quel support de transmission ?
Le RTC (rseau tlphonique commut) que nous avons utilis pour nous connecter Inter-
net est un rseau tendu.

Quelques supports de transmission utiliss
pour les rseaux tendus
Dbit
RTC Rseau tlphonique analogique utilis
pour transporter des donnes.
De 19,2 56,6 Kbit/s
RNIS
(rseau numrique intgration de ser-
vice)
Rseau tlphonique numrique utilis
pour transporter des donnes. Trs
utilis en interconnexion de LAN.
De 64 128 Kbit/s
(plus rare : N x 64 Kbit/s)
LS
(ligne spcialise)
Liaison numrique en point point entre
deux sites. Trs utilise en intercon-
nexion de LAN.
De 64 Kbit/s 2 Mbit/s ou 34 Mbit/s
Mettre en place sa premire interconnexion
CHAPITRE 9

211
Quelques supports de transmission utiliss
pour les rseaux tendus
Dbit
DSL
(Digital Subscriber Line)
Liaisons numriques en point point
entre deux sites. De plus en plus utili-
ses pour les accs Internet.
De 64 Kbit/s 6 Mbit/s
SDH
(Synchronous Data Hierarchy)
Liaisons en fibre optique haut dbit
utilises par les oprateurs.
De 51 Mbit/s plusieurs Gbit/s
ATM
(Asynchronous Transfert Mode)
Liaisons en fibre optique haut dbit
(emprunte galement des supports
SDH). ATM est galement utilis pour
les LAN.
34, 155, 622 Mbit/s et plus
Frame Relay Liaisons numriques commutation de
trames. Trs utilises en interconnexion
voix/donnes.
De 64 Kbit/s 8 Mbit/s
(voire 34 Mbit/s)

Ces supports de transmission ncessitent des modems adapts dnomms CSU (Channel
Service Unit) ou DCE (Data Circuit-Terminating Equipment), par opposition aux quipe-
ments DSU (Data Service Unit) ou DTE (Data Terminal Equipment) qui sy connectent. Par
exemple, le modem est un DCE, et le PC un DTE. Nous nous situons ici au niveau physique.
Quel protocole de niveau 2 ?
Les concepteurs auraient pu utiliser les mmes trames Ethernet, et ainsi simplifier le pro-
blme, dautant que la possibilit dadressage est immense (2
48
adresses). Ce pourrait tre le
cas, mais il aurait fallu laborer un mcanisme spcifique pour ne pas propager dans tout le
rseau les trames de broadcast et multicast. Cela aurait entran dautres complications inex-
tricables puisquil faut quand mme les propager dans un certain primtre (rsolution
dadresses, etc.). De plus, une trame Ethernet comprend 18 octets, ce qui tait considr
comme un overhead important lorsque le dbit des rseaux tendus tait limit (ce qui est
dailleurs toujours le cas avec notre modem RTC). En dfinitive, les protocoles LAN ne sont
pas adapts aux rseaux tendus. Ce constat sera de moins en moins valable dans le futur.

Quelques protocoles de niveau 2 utiliss pour les rseaux tendus
PPP (Point to Point Protocol) Utilis sur les supports RTC, RNIS, LS et ADSL.
Frame Relay Protocole point point et multipoint voix et donnes. Utilis
sur des supports LS.
ATM (Asynchronous Transfert Mode) Comme pour Ethernet, la norme dfinit les couches physique
et liaison. ATM vhicule voix et donnes.

Les deux tableaux prcdents font apparatre ATM comme tant le protocole universel : il
fonctionne sur les LAN et les WAN et supporte la voix et les donnes. Mais, bien que trs
utilis par les oprateurs sur leur rseau WAN, il est trs peu utilis en LAN cause de son
cot.

212
212
Quel quipement rseau ?
Lutilisation de multiples protocoles de niveau 2 pour transporter les paquets IP pose un
nouveau problme en comparaison des architectures de rseaux locaux qui nutilisaient
quEthernet. Celui-ci avait t entraperu lorsque lencapsulation des paquets au-dessus de
plusieurs rseaux avait t tudie au chapitre 5.

Figure 9-1.
Lacheminement
dun paquet IP.

Comment, en effet, assurer la continuit dadressage et de commutation au-dessus de proto-
coles aussi diffrents ? Rponse : le paquet IP est le seul lien commun. Il faut donc disposer
dquipements spcifiques qui permettent de :
grer les diffrents supports de transmission LAN et WAN ;
traiter les paquets IP, cest--dire utiliser les protocoles de niveau 3.
Lquipement qui rpond ces besoins est le routeur, cest--dire un commutateur de ni-
veau 3 (par opposition aux commutateurs de niveau 2, tels ceux trouvs sur Ethernet).
Quel oprateur ?
De plus, notre interconnexion de rseaux doit passer dans des zones du domaine public dont
nous navons pas la matrise. Enfin, mme en admettant que nous obtenions toutes les auto-
risations administratives ncessaires, la pose de cbles entre les deux sites reviendrait trs
chre.
La seule solution est de faire appel aux services doprateurs comme France Tlcom, Cege-
tel, Colt, etc. Dans ce domaine, le march offre un nombre impressionnant de solutions
combinant techniques et niveaux de service.

Niveau de prestation Description technique Service fourni
1. Support de transmission
(couche physique)
LS, xDSL, ATM (connexions point
point) et RNIS (multipoint)
Supervision de la ligne (option : garantie
de temps de rparation)
2. Rseau fdrateur
(couches physique et liaison)
Accs via LS et RNIS au backbone
Frame-Relay, ATM, etc., de loprateur
Rseau fourni et exploit par loprateur
+ support client avec engagements de
rsultats
3. Interconnexion de rseaux locaux
(couches 1, 2 et 3)
Support de transmission + rseau fd-
rateur + routeur
Rseau tendu de bout en bout fourni et
exploit par loprateur + support client,
avec engagement de rsultat
155 Mbps
10 Mbps
Le paquet IP est achemin de proche en proche
au-dessus de diffrents protocoles de niveau 2.
Trame Ethernet
Trame PPP
Cellule ATM
Paquet IP 1 Mbps
Trame PPP
Votre PC
Serveur Web Routeur
RTC
33,6 Kbps
CHAPITRE 9

213
Les cots associs ces services sont de diffrentes natures :
frais uniques de mise en service ;
frais mensuels fixes en fonction du dbit des lignes et de la qualit du service ;
et, de moins en moins, frais mensuels variables en fonction de la consommation.
De quoi avons-nous besoin ?
Pour notre premire interconnexion, nous allons restreindre notre choix au plus simple et au
moins cher.
Dune liaison entre les deux sites
Les sites de Paris et dOrlans tant distants de 112 km vol doiseau, il faut obligatoire-
ment passer par un oprateur. Mais quel support de transmission utiliser et quel dbit, et
quel type de service demander ?
quel dbit ?
Le dimensionnement des liaisons est un exercice dlicat et important, car il va influer sur les
temps de rponse du rseau et donc sur la satisfaction des utilisateurs. linverse des LAN,
les dbits des rseaux tendus sont limits cause des cots quils entranent.
Le dbit dpend de trois facteurs : le type de trafic, le volume de donnes gnr et les
temps de rponse requis.

Application Type de trafic Volume gnr Temps de rponse re-
quis
Sauvegarde Transfert de gros et trs gros
fichiers
lev Faible moyen
Partage de fichiers avec des ser-
veurs Windows NT
Transfert de petits et gros
fichiers
lev Moyen
Messagerie Transfert de petits et gros
fichiers
Moyen lev Moyen lev
Base de donnes client-serveur Transactionnel (transfert de
petits et moyens fichiers)
Faible lev Moyen
Connexion aux serveurs Web Transactionnel (transfert de
petits et moyens fichiers)
Faible Moyen
Connexion Telnet sur un serveur
Unix
Conversationnel
(cho distant)
Faible lev
(< 300 ms)

Les transferts de fichiers perturbent fortement les flux conversationnels (Telnet) et, dans une
moindre mesure, les petits flux transactionnels (serveurs Web). En consquence, les sauve-
gardes et les transferts de gros fichiers doivent, de prfrence, tre effectus la nuit, ce qui
prsente le double avantage de ne pas gner le travail des utilisateurs de jour et de rpartir
lutilisation du rseau sur 24 heures.

214
214
Dans un cas simple comme le ntre (messagerie, transfert de fichiers et connexion Web), un
dbit de 64 128 Kbit/s devrait tre suffisant. Compte tenu du nombre dutilisateurs (plu-
sieurs centaines sur chaque site), un dbit de 128 Kbit/s est plus scurisant. Nous limiterons
les risques en souscrivant un contrat dune dure minimale dun an, ce qui nous permettra de
changer de dbit facilement.
Lorsque notre rseau intersite aura une plus grande ampleur, nous devrons nous livrer un
calcul plus prcis, comme nous le verrons au chapitre 10.
Avec quel support de transmission ?
La manire de calculer les frais mensuels varie dun support de transmission lautre et,
parfois, dun oprateur lautre.

Support de transmission Mode de facturation Frais mensuels
RNIS Dure de la communication et distance Variables
LS / xDSL Dbit et distance Fixes
Frame Relay Dbit garanti, dbit du port et type
dquipement
Fixes
ATM Dbit et qualit de service Fixes

Le premier critre prendre en compte est donc le temps dutilisation de la liaison, puis son
dbit.

Figure 9-2.
Choix dun support
pour une interconnexion
de rseaux locaux.

NOTE Le seuil de deux heures par jour a t calcul pour une distance de 100 km.
Dans notre cas, la liaison devrait tre utilise toute la journe, quasiment en continu, compte
tenu du nombre dutilisateurs (quelques centaines) et des applications utilises (flux client-
serveur, connexions des machines Unix, etc.). La LS point point est donc approprie.
< 2 heures par jour
Oui, la moins chre
Temps de
connexion
Dbit >
128 Kbit/s
Non
RNIS
Dbit >
2 Mbit/s ?
2 heures par jour
Non
LS ou xDSL
2
ATM ou
Frame Relay
Oui
Combien
de sites ?
> 2
Frame-Relay
Solution
oprateur ?
Non
Oui
(*)
La technique d'agrgation de
canaux autorise jusqu' 384
Kbit/s mais est nettement plus
chre. LS ou xDSL
CHAPITRE 9

215
Avec quel service oprateur ?
En ce qui concerne le type de service, la question est de savoir si vous voulez faire ou
faire faire . En dautres termes, voulez-vous raliser vous-mme linterconnexion (solu-
tion prive), ou prfrez-vous confier le projet un spcialiste (solution oprateur) ?

Le premier critre prendre en compte est celui de limplication en termes de ressources
humaines.
Tches \ Qui fait ? Solution prive Service oprateur niveau 3
tude technique (choix des supports,
dimensionnement, etc.)
Vous Vous, assist de loprateur
Fourniture de la liaison Oprateur Oprateur
Achat des routeurs Vous, auprs dun distributeur rseau Oprateur
Installation et configuration des routeurs Vous ou le distributeur rseau Oprateur
Exploitation du routeur (supervision,
modification des paramtres, interven-
tion lors des pannes, etc.)
Vous ou le distributeur, avec un contrat
dassistance
Oprateur
Rsolution des pannes matrielles Distributeur, avec un contrat de mainte-
nance
Oprateur

La solution oprateur ncessite moins de ressources internes (vous tes notamment moins
sollicit), surtout avec le service de niveau 3. La solution prive revient choisir le service
de niveau 1 et implique donc de grer un projet avec au moins deux interlocuteurs (le distri-
buteur et loprateur).

Le second critre prendre en compte est dordre financier.
Tches \ Quel cot ? Solution prive Service oprateur niveau 3
tude technique (choix des supports,
dimensionnement, etc.)
Dpend de limportance du projet Cot identique
Mise en uvre du support
de transmission
Cot standard (mise en service + frais
mensuels)
Cot moins lev, car la LS daccs est
locale
Achat des routeurs Cot dinvestissement Frais mensuels dexploitation
Installation et configuration des routeurs Cot dinvestissement Frais de mise en service
Exploitation Contrat dassistance sur site Cot plus lev, mais meilleure qualit
de service
Rsolution des pannes matrielles Contrat de maintenance annuel : 8
12 % du cot dachat
Moins cher


216
216
La solution oprateur devrait tre la moins chre long terme (2 5 ans) et apporter le
moins de soucis. Cela nest cependant pas toujours le cas, surtout pour de petits rseaux, qui
plus est, limits la France. Les conomies les plus importantes sont, en effet, ralises
linternational.
Si vous disposez dun gros rseau, vous pouvez opter pour la solution intermdiaire qui
consiste retenir le service oprateur de niveau 2. Cette solution permet de conserver la
matrise du routage IP et de modifier plus facilement la configuration de vos routeurs. Rien
ne vous empchera par la suite dopter pour le service de niveau 3 (tous les oprateurs pro-
posent des routeurs Cisco qui peuvent donc tre repris).
Dans notre cas (deux sites interconnecter), la meilleure solution est une LS avec une ga-
rantie de temps de rtablissement. Mais il serait intressant de comparer les cots avec un
service de niveau 3 (LS plus routeur). Les rsultats de cette comparaison peuvent varier en
fonction de nombreux critres (le moment o elle est ralise car les prix voluent vite ,
les distances entre sites, le dbit, etc.).
Admettons cependant que la solution prive soit la moins chre ou alors regardons faire
loprateur qui fait ce que nous aurions d faire.

De routeurs
Le routeur est le seul quipement permettant dinterconnecter deux sites sur de longues dis-
tances. Le rseau Internet nest dailleurs constitu que de routeurs utilisant des liaisons sp-
cialises, ATM et Frame Relay.
Le plus simple est dopter pour une configuration fixe comprenant une interface Ethernet et
une interface WAN et ne supportant que le protocole IP. Le cot de cette configuration de
base oscille entre 1 000 et 1 300 HT. Il nous faut deux routeurs, un par site.

Quelques extensions matrielles et logicielles sont proposes.

Fonctionnalit Description Intrt Cot HT
Multiprotocole Support des protocoles IP +
IPX + Decnet + SNA, etc.
Si existant supporter 1 500 (ncessite davan-
tage de mmoire)
Fonction pont (bridge) Commutation de niveau 2 Pour les anciens protocoles
non routables
150
(ou 0 car livre souvent en
standard)
Interface RNIS Connexion au support de
transmission RNIS
Peut tre utilise pour le se-
cours ou le dbordement
450

CHAPITRE 9

217
Dans notre cas, loption RNIS est intres-
sante, car elle offre une solution de secours
en cas de panne de la LS. Elle permet ainsi
dassurer la continuit de service avec la
mme qualit, le dbit offert tant de 64 et
128 Kbit/s, soit exactement celui de notre LS.

Lautre intrt du RNIS concerne le dbor-
dement : lorsque la LS est charge 80 ou
100 %, le routeur peut activer linterface
RNIS, offrant ainsi un dbit supplmentaire
de 64 Kbit/s, voire 128 Kbit/s. Cette fonction
pourra tre utilise si le dbit ncessaire a t
sous-valu.

De cbles
Encore des cbles ! Il faut bien sr un cordon de brassage pour connecter le routeur un
concentrateur ou un commutateur Ethernet. Linterface Ethernet du routeur tant stricte-
ment quivalente une carte rseau dun PC, un cordon identique (droit RJ45/RJ45) sera
utilis.
Il faut galement des cbles spcifiques ct rseau de loprateur, en loccurrence ct li-
gne spcialise. Pour notre connexion Internet, nous avions utilis un cble srie entre le
PC et le modem, cble fourni avec le modem. Le principe est identique pour les routeurs :
lorsque loprateur (France Tlcom, par exemple) met en service la LS, il installe dans vos
locaux un modem auquel vous connectez le routeur via un cble srie adapt.

Figure 9-3.
Connexion
du routeur
la ligne spcialise.

Tte de ligne France Tlcom
Ferme de brassage
Arrive de la LS
France Tlcom
Dport modem (2, 4 ou 6 fils)
installer par votre service
technique
Routeur
ce qui implique
dacheter le cble
srie avec le routeur.
Les interfaces WAN sont
souvent propritaires
Modem fourni et install
par France Tlcom
Interface Ethernet
(connecteur RJ45)
Interface normalise
X21/V11, V.35, etc.
QUEST-CE QUUN PONT ?
Le pont (bridge) est lanctre du commutateur
de niveau 2. Il a t le premier quipement
utilis pour interconnecter des segments
Ethernet partags, soit localement, soit via
des rseaux tendus. Compte tenu de la
technologie et des prix dalors, il tait quip
de deux quatre interfaces LAN et WAN, et
offrait une faible puissance compare aux
commutateurs daujourdhui.
Les routeurs continuent de supporter cette
fonctionnalit afin dassurer la compatibilit
avec lexistant.

218
218
La ligne spcialise arrive dans un local technique rserv France Tlcom. La longueur
des cbles srie tant limite, il faut dporter le modem au plus prs du routeur qui se trouve
dans un LTE ou une salle informatique. Cette partie de linstallation est prive (elle se d-
roule dans les locaux de votre socit) et doit donc tre ralise par les services techniques
de limmeuble (souvent, les services gnraux ou les tlphonistes). France Tlcom se
contente damener la LS dans son local, dattendre la fin de linstallation du dport modem,
puis dinstaller le modem et de tester la LS avant de la mettre en service.
Les cbles srie sont de diffrentes natures. Pour la connexion Internet, nous avions utilis
un cble V.24 (connexion srie RS-232). Pour notre LS, loprateur France Tlcom nous
propose V.35 ou X21/V11.

Spcifications des interfaces
Appellation
usuelle
Mcanique lectrique Fonctionnelle
Longueur
du cble
Dbit
en Kbit/s
V.24
(RS 232)
ISO 2110
25 broches
V.28 V.24 12 m De 2,4 19,2
V.35
(RS 232)
ISO 2693
34 broches
V.11/V.10 V.24 15 m
10 m
48, 56, 64
128, 256
V.36
ISO 4902
37 broches
V.11/V.10 V.24 15 m
10 m
48,56, 64
128, 256
X21/V.11
ISO 4903
15 broches
V.11 X.24 100 m
50 m
De 64 1 024
1 920
G703
ETSI 300.166 G703 G703 300 m 2 048
G703/G704
ETSI 300.167
9 broches
G703 G704 300 m De 256 1 984

Malgr la normalisation, des variantes peuvent cependant exister. Les plus connues sont
celles relatives la norme V.35 qui accepte une version amricaine et une version fran-
aise en fonction du format de la prise. Les diffrences rsident dans le diamtre des bro-
ches (plus grand sur le modle amricain) et dans le type de fixation (par vis dans le
premier cas, par clip dans le second).
Comment faire fonctionner tout cela ?
Dfinir larchitecture
Les routeurs vont sinsrer dans un rseau existant. Il convient donc de dfinir larchitecture
et de rflchir au paramtrage des routeurs.
CHAPITRE 9

219

Figure 9-4.
Principe
de larchitecture rseau.

Suivant les indications de notre plan dadressage (voir chapitre 5), nous avons choisi pour
notre site parisien une classe A subnette sur 22 bits. En revanche, le site dOrlans corres-
pond une nouvelle entit rachete par la socit, et une classe C avait t choisie par notre
prdcesseur. Nous navons pas le temps de changer cette adresse et la conservons en ltat.
La question encore en suspens est de savoir si les interfaces WAN doivent galement dispo-
ser dune adresse IP et, dans laffirmative, de quelle classe dadresse.

Connecter un PC au routeur
Pour une configuration fixe, aucune prparation matrielle spcifique nest ncessaire (pas
de carte installer, rien dmonter).
En revanche, le routeur est livr avec un logiciel non configur (comme les PC). Vous pou-
vez le configurer dans votre bureau sans quil soit connect au rseau, ou linstaller et le
configurer sur place.
Les premiers paramtrages dun routeur ncessitent de sy connecter directement pour saisir
des commandes. Un routeur est limage dun PC : il contient un systme dexploitation
(propritaire) et une interface utilisateur (gnralement en mode texte sans fentre ni souris).
Vous avez donc besoin dun cble srie (RS-232 avec un connecteur V.24) pour raccorder le
port console du routeur au port srie dun PC.
Le type de port srie des routeurs est variable. Vous pouvez trouver un connecteur DB9
comme sur votre PC ou, plus rarement, un connecteur DB25 (lquivalent dun DB9 avec 25
broches) ou encore, de plus en plus souvent, une prise RJ45 femelle. Il faut donc trouver le
bon cble (crois !) qui dispose dun connecteur DB9 femelle ct PC (DTE) et dun
connecteur adquat mle, ct routeur. De plus en plus souvent, ce cordon est livr avec le
routeur.
Ct PC, vous devez utiliser le logiciel Hyperterminal en cliquant sur Pro-
grammeAccessoiresHyperterminal . Ce logiciel est un mulateur VT (Virtual Termi-
nal) qui va vous permettre de dialoguer en mode texte avec le routeur.
Switch 1 Switch 2
Site de Paris
500 connexions
Site dOrlans
200 connexions
194.168.0.1
10.0.0.1
E0 E0
S0
RNIS
Routeur 1
S0
Bri1
Routeur 2
Bri1
Rseau IP 10. 0.0.0
Rseau IP 192.168.0.0
LS

220
220
Saisissez alors le nom du profil que vous
pourrez rutiliser par la suite, par exemple
routeur , puis cliquez sur OK . Choisis-
sez ensuite le port srie auquel vous avez
connect le cble reliant le PC au routeur :
gnralement COM1 ou COM2 (cran ci-
contre).
Puis, saisissez les paramtres de la liaison s-
rie. Les valeurs dpendent du routeur em-
ploy ; elles sont gnralement indiques
dans la documentation. Nos routeurs tant des
routeurs Cisco, les valeurs sont les suivan-
tes (deuxime cran ci-contre) :
Cliquez sur OK , puis appuyez plusieurs
fois sur la touche Entre ou, si cela nest
dj fait, allumez le routeur.
Vous devez vous retrouver avec un cran de
bienvenue et, un $$prompt$$ vous invitant
saisir des commandes, ou bien vous obtenez
un menu dans lequel vous vous dplacez
laide des touches flches du clavier.
Vous tes maintenant prt configurer le rou-
teur.

Configurer le routeur
Selon les constructeurs, la connexion rseau
dun routeur lquivalent dune carte r-
seau dun PC sappelle port ou inter-
face . On parlera alors indiffremment de
ports LAN ou WAN, dinterface srie, etc.

Affecter les adresses IP
La premire chose faire est daffecter les adresses IP chaque interface. Ct LAN, on se
rfre au plan dadressage. La commande suivante ralise lopration et active le logiciel IP
dans le routeur.

int e 0
ip address 10.0.0.1 255.255.252.0

Abrg de Interface ethernet 0
CHAPITRE 9

221
Par contre, faut-il en affecter une aux interfaces srie ? Si tel est le cas, il faut ddier un r-
seau IP pour seulement deux adresses. Mme pour une classe C, 252 adresses sont gaspil-
les. Ceci tant, nous pouvons utiliser autant dadresses que souhaites puisque nous avons
pris le parti dun plan dadressage priv. Cependant, il est conseill de limiter le nombre de
rseaux afin den simplifier la configuration.
Deux solutions sont conseilles : aucune adresse IP (pour les petits rseaux), ou un rseau IP
ddi aux interfaces WAN en le subnettant (pour les petits et grands rseaux).

Aucune adresse IP Adresse IP subnette
Point point uniquement avec HDLC ; PPP et Frame Relay
en point point.
Point point et multipoint (Frame Relay, X.25, SMDS).
Linterface ne rpond jamais au ping (pour savoir si elle est
active) ; SNMP fonctionne.
Linterface rpond au ping : cela permet de savoir rapidement
si elle est active.
Autres fonctions propres au constructeur non supportes. ---

La commande suivante permet dactiver IP sur linterface srie sans lui affecter une adresse.
Si des paquets sont gnrs par cette interface, ladresse IP source sera celle de linterface
Ethernet.

int s 0
ip unnumbered e 0

Par dfaut, le routeur utilise un protocole de niveau 2, en gnral HDLC ou PPP. La com-
mande suivante permet de forcer lutilisation de PPP, ce dernier tant plus appropri aux
liaisons point point et IP.

int s 0
encapsulation ppp

Activer le routage
Le routage des paquets IP sappuie sur la partie rseau des adresses de destination des pa-
quets. Il faut donc indiquer au routeur parisien que les paquets destination dOrlans doi-
vent tre envoys sur linterface srie.
Dans notre cas, le plus simple est de configurer une route statique. Puisque notre interface
srie ne possde pas dadresse IP, on indique explicitement son nom.

# Sur le routeur de Paris
ip route 192.168.0.0 255.255.255.0 s0

Abrg de Interface serial 0

222
222

LE POINT SUR PPP (RFC 1661 ET 1662)
PPP (Point-to-Point Protocol) est un protocole utilis sur des liaisons point point synchrones (une LS) et
asynchrones (avec un modem RTC, par exemple). Il est utilis pour des dbits variant entre 19,2 Kbit/s et
2 Mbit/s. Il est compos de trois lments :
des trames pour transporter les protocoles de niveau 3 ;
de LCP (Link Control Protocol) pour tablir, configurer et tester la liaison ;
de NCP (Network Control Protocol) pour tablir et configurer diffrents protocoles de niveau 3 (tels que
IP, IPX ou Decnet) qui peuvent tre multiplexs sur une seule liaison.
Longueur variable 2 octets 2 octets 1 octet 1 octet 1 octet
Fanion Adresse Contrle Donnes Protocole FCS

Le champ Fanion est un dlimiteur de trame de valeur binaire 01111110 . Le champ Protocole indi-
que le type de protocole de niveau 3 prsent dans le champ de donnes (0021 pour IP, c021 pour LCP,
c023 pour LQM, c223 pour CHAP, 8281 pour MPLS-CP, etc.). Le champ FCS (Frame Check Sequence)
est un code de dtection derreur.
Dans sa version asynchrone, chaque octet de la trame est transmis avec un bit start et un bit stop, mais
sans bit de parit, puisque le champ FCS est utilis pour dtecter les erreurs.
Le protocole LCP permet dtablir, de configurer, de surveiller et de terminer les liaisons point point. Il
permet, tout dabord, de ngocier des options, telles que :
le MTU (Maximum Transmission Unit) dont la valeur par dfaut est celle dEthernet (1 500 octets) ;
le choix du protocole dauthentification (CHAP, PAP ou aucun) ;
le choix du protocole de contrle de qualit (LQR ou aucun) ;
la rduction du champ Protocole un octet ;
la suppression des champs Adresse et Contrle lorsquils ne sont pas utiliss.
LCP peut activer un protocole dauthentification, tel que CHAP (Challenge Handshake Authentication Pro-
tocol). Un mot de passe chiffr est chang entre les deux nuds (routeur ou PC).
LCP peut activer la procdure LQM (Link Quality Monitor RFC 1989) qui coupe la liaison lorsque la quali-
t de service calcule tombe en dessous dun seuil prdfini. La qualit en mission est calcule en compa-
rant le nombre total de paquets et doctets transmis avec ceux reus par la station distante. De mme, la
qualit en rception est calcule en comparant le nombre total de paquets et doctets reus avec ceux mis
par la station distante.
Le protocole NCP se dcline en autant de versions que de protocoles rseau supports. On trouve ainsi
IPCP (IP Control Protocol), DCP (Decnet Phase IV Control Protocol), MPLS-CP (MPLS Control Protocol),
etc. Les trames changes sont du mme type que celles utilises par LCP.
IPCP (RFC 1332) permet de ngocier des options spcifiques, comme laffectation des adresses IP ou la
compression des en-ttes TCP/IP. Pour viter la fragmentation des paquets TCP, la longueur maximale des
donnes peut tre ngocie pour aller au-del des 1 500 octets, et correspondre ainsi au MTU du protocole
TCP.
PPP se contente ensuite de vhiculer les paquets IP en offrant simplement la dtection derreur.
CHAPITRE 9

223
La mme configuration doit tre applique au routeur dOrlans.

int e0
ip address 192.168.0.1 255.255.255.0
int s0
ip unnumbered e 0
encapsulation ppp
^Z
ip route 10.0.0.0 255.255.252.0 s0

Grce ces commandes, les routeurs sont capables de router correctement les paquets.

Figure 9-5.
Principe du routage
des paquets IP.

Puisquil nexiste quun seul chemin (la ligne srie), il est possible de dclarer une route par
dfaut. Cette commande permet au routeur denvoyer sur son interface srie tous les paquets
dont il ne connat pas ladresse de destination :

# Remplace la commande ip route 192.168.0.0 255.255.255.0 s0
ip route default s0

Configurer les postes de travail
La question est maintenant de savoir comment les PC vont pouvoir envoyer les paquets IP
sur lautre site. Rponse : selon le mme principe que celui utilis par les routeurs.
Il suffit, en effet, dajouter une route par dfaut (default gateway).

128 Kbps
10 Mbps
Trame Ethernet
Paquet IP
Trame PPP
Votre PC
Serveur Web
Table de routage
Destination Interface
10.0.0.0 e0
192.168. 0.0 s0
PPP Ethernet
IP
Ethernet PPP
IP
Trame Ethernet
Paquet IP
10 Mbps
Table de routage
Destination Interface
192.168. 0.0 e0
10.0.0.0 s0
10.0.0.0 192.168.0.0
Paquet IP
ARP ARP

224
224

Si une route par dfaut existe dj vers un autre routeur, il est toujours possible dajouter
une route statique, comme suit :

route add p 192.168.0.0 mask 255.255.255.0 10.0.0.1

Mais, comment la rsolution dadresse fonctionne-t-elle, tant donn que ladresse MAC du
serveur situ Orlans nous est inconnue et que les trames de broadcast ARP ne peuvent
pas passer par le routeur ?
On pourrait activer la fonction Pont du routeur et ne laisser passer que les broadcasts
ARP, mais on perdrait alors lavantage de la segmentation : le rseau de Paris recevrait des
broadcasts MAC dont il na pas lusage, et inversement.
En ralit, la solution retenue par la pile IP est la suivante :

Touches Alt+Entre
Tous les paquets destination dun
rseau IP inconnu, seront envoys
par dfaut vers le routeur 10.0.0.1
Pour aller vers ce rseau,
je passe par ce routeur
CHAPITRE 9

225

n rseau
identique ?
Comparer ladresse destination du
paquet avec ma propre adresse IP
Oui
Envoyer le paquet avec
ladresse IP destination dans
une trame Ethernet avec
ladresse MAC trouve
Faire appel ARP pour
trouver ladresse MAC qui
correspond ladresse IP
de la default gateway
Non
Faire appel ARP pour
trouver ladresse MAC qui
correspond ladresse IP
destination
Utilisation du
masque

En dfinitive, le PC recherchera ladresse MAC du routeur et lassociera ladresse IP de
destination. Les trames Ethernet seront ainsi envoyes directement au routeur. Ce dernier
grce ladresse de destination IP comprendra que le paquet ne lui est pas destin. Mais,
au lieu dignorer le paquet comme le font les PC (voir chapitre 5), il consultera sa table de
routage et retransmettra le paquet vers la bonne interface (Ethernet ou autre, ici la srie).
Le routeur dOrlans reoit le paquet. Ladresse IP de destination correspondant un rseau
auquel il est directement connect, celui-ci fait appel ARP pour obtenir ladresse MAC qui
correspond cette adresse IP. Le routeur envoie alors le paquet IP dans une trame Ethernet
dont ladresse de destination est celle du serveur.

Il est galement possible dindiquer ladresse IP de la station elle-mme comme passe-
relle par dfaut. Ce faisant, la pile IP considre que tous les subnets lui sont directement
accessibles. Par consquent, si ceux-ci sont tous situs sur le mme segment Ethernet, la
station pourra directement accder toutes les autres stations. Si les subnets se trouvent
sur dautres segments interconnects par des routeurs, le routeur local doit tre configur
en mode Proxy ARP, ce qui est le cas par dfaut de nos routeurs Cisco.

LE POINT SUR PROXY ARP (RFC 1027)
Le protocole ARP (Address Resolution Protocol) permet une station de connatre ladresse Ethernet MAC
dune autre station en ne connaissant que son adresse IP. La trame de broadcast envoye par ARP nest
diffuse que localement un segment : elle est, en effet, bloque par les routeurs, comme cela est la rgle
dans les rseaux locaux.
En mode proxy ARP, un routeur qui reoit une requte ARP concernant une adresse IP dont il connat le
rseau (car ladresse est prsente dans sa table de routage) sassure quil dispose de la meilleure route,
puis rpond la requte en y mettant sa propre adresse MAC. En dfinitive, il se substitue la station
cible qui ne peut pas recevoir une telle requte puisquelle se trouve sur un autre segment Ethernet.

226
226
Ces deux mcanismes utiliss conjointement permettent, par exemple, de migrer dun rseau
de routeurs vers un rseau de commutateurs, ou dun VLAN plusieurs subnets IP vers un
VLAN un seul subnet. Si, de plus, vous utilisez un serveur DHCP (voir chapitre 6), ce
dernier doit galement tre configur en consquence.
Voil, vous venez de raliser votre premire interconnexion de rseaux.

Tester le rseau
Pour tester le bon fonctionnement de votre rseau, vous pouvez utiliser la commande ping
(voir chapitre 6). Ce programme est disponible sur les routeurs et les PC Windows, les ser-
veurs Unix, etc.
Il se contente denvoyer des paquets une adresse cible qui lui rpond par un paquet en re-
tour. De plus, le ping mesure le temps de rponse aller-retour, ce qui est une bonne indica-
tion sur les performances du rseau. Toute pile IP se doit de rpondre un ping.

Le routeur d'Orlans rpond aux messages envoys
par la commande ping. Cela signifie que la
communication est oprationnelle au niveau d'IP.
Le temps de rponse indiqu est celui qui
spare l'envoi du message de la rception
de la rponse.

Rduire loverhead
Une fonctionnalit trs souvent utilise pour les liaisons bas dbit (64 128 Kbit/s), est la
compression des en-ttes TCP/IP (RFC 1144). Le principe repose sur le constat que les en-
ttes varient peu dun paquet lautre. Seuls les octets modifis par rapport au prcdent
paquet sont donc transmis. La taille de len-tte est ainsi rduite de 40 (20 pour TCP et 20
pour IP) 10 octets en moyenne. Cette fonctionnalit est dautant plus efficace quil y a de
nombreux petits paquets traiter (connexions Telnet, par exemple).

interface serial 0
ip tcp header-compression
CHAPITRE 9

227
Mettre en place une liaison de secours
Notre liaison est en place : tout fonctionne. Mais que se passera-t-il si elle tombe en panne ?
Plus de rseau. La solution consiste mettre en place une liaison de secours. L encore, la
question du choix du support de transmission et du dbit se pose.
Quels sont les choix ?
La premire solution consiste doubler la liaison principale : une seconde LS prend le relais
de la premire. En fonctionnement normal, les deux liaisons peuvent tre utilises en partage
de charge.
Lautre solution consiste utiliser Numris, le rseau tlphonique numrique de France T-
lcom, gnralement appel RNIS (rseau numrique intgration de service). Pour un cot
nettement moins lev quune LS, la liaison RNIS nest active que si la liaison principale
est coupe.

Secours via Avantages Inconvnients
RNIS
Permet le dbordement.
Factur essentiellement lutilisation
Limit 128 Kbit/s en standard et 384
Kbit/s avec lagrgation de canaux.
LS
Convient une utilisation en partage de
charge.
Facture mme si elle nest pas utilise.

La mise en place de deux LS, par exemple 2 64 Kbit/s la place dune seule liaison
128 Kbit/s, permet de rpartir la charge sur les deux liaisons. Cette solution ncessite cepen-
dant des mcanismes plus complexes que ceux utiliss jusqu prsent : ils reposent sur des
protocoles de routages qui sont le plus souvent propritaires. En outre, deux LS 64 Kbit/s
cotent plus cher quune seule 128 Kbit/s.
Une liaison RNIS prsente lavantage de ntre active quen cas de ncessit. Si elle est
inutilise, seul labonnement de base doit tre pay : de 30 45 contre 455 610 par
mois pour une LS 64 Kbit/s courte distance.
Globalement, le secours RNIS revient donc nettement moins cher que le doublement dune
LS. Pour toutes ces raisons, cette solution est donc plus adapte notre besoin.
Solutions alternatives
Des techniques dagrgation de canaux B permettent dutiliser n canaux B 64 Kbit/s de
manire nen faire quune seule liaison logique n 64 Kbit/s. Il est ainsi possible
dagrger les deux canaux B dun accs de base (offrant un dbit global de 128 Kbit/s) ou
dagrger les canaux B de plusieurs accs de base (gnralement jusqu trois, autorisant un
dbit global de 384 Kbit/s). Cette technique requiert lutilisation dquipements spcifiques
qui peuvent tre onreux.
Attention au cot des communications : lagrgation de deux canaux B offre un dbit de
128 Kbit/s mais quivaut deux communications tlphoniques simultanes. Cette tech-
nique est donc deux fois plus coteuse quune simple connexion 64 Kbit/s.

228
228
Le choix du dbit de la liaison de secours dpend de limportance accorde
linterconnexion :
Si un mode dgrad est acceptable, une liaison 128 ou 256 Kbit/s pourra tre
secourue 64 Kbit/s.
Inversement, si vous voulez conserver les performances en mode secours, il faut utiliser
une seconde liaison qui aille au-del des limitations de dbit du RNIS.
LE POINT SUR LE RNIS (ITU SRIE I)
Le RNIS (rseau numrique intgration de service ISDN, en anglais) dsigne le rseau tlphonique
numrique, par opposition au RTC (rseau tlphonique commut PSTN, en anglais) qui en est la ver-
sion analogique. En France, le RNIS est commercialis par France Tlcom sous le nom de Numris.
Il existe deux types dabonnement RNIS :
Laccs de base T0 qui offre 2 canaux 64 Kbit/s et un canal de signalisation 16 Kbit/s.
Laccs primaire T2 qui revient fournir un systme 30 canaux de 64 Kbit/s chacun et un canal de 64
Kbit/s pour la signalisation (le premier canal, appel verrouillage de trame, est ddi la synchronisation
du faisceau).
Un canal RNIS permet de transporter une liaison tlphonique, une liaison tlcopie ou encore une liaison
de donnes. Cette unit de base est appele canal B (Base), tandis que le canal de signalisation est ap-
pel canal D (Donnes).
Laccs de base est lquivalent dun rseau local, appel bus S0, qui est gr par la TNR (terminaison
numrique de rseau). Cinq terminaux au maximum (tlphone, tlcopieur, routeur ou tout autre quipe-
ment pourvus dune interface de base BRI, Basic Rate Interface) peuvent se partager le bus dont laccs
est gr selon lalgorithme CSMA-CR (Carriage Sense Multiple Access - Contention Resolution).
Le canal D vhicule le protocole de signalisation de niveau 3 (couche rseau) Q.931 qui permet dtablir et
de grer les communications entre deux terminaux RNIS (numrotation, identification de lappelant, ngo-
ciation des paramtres, etc.).
Les messages Q.931 sont transports dans des trames de niveau 2 (couche liaison) gres par le protocole
HDLC (High Data Link Control) qui fournit des mcanismes dacquittement de trames, de contrle de flux et
de reprise sur erreur pour le canal D. Le RNIS utilise une version adapte, appele LAP-D (Link Access
Procedure - D channel).
La trame de laccs primaire est constitue de 32 canaux de 64 Kbit/s : 30 canaux B, un canal D et un canal
de synchronisation (30B+D, en abrg). Le dbit global de laccs primaire est de 2 Mbit/s.
0 16 31
Octet 0 = IT de synchronisation Octet 16 = Canal D
Octets 1 15 et 17 31 = 1 octet par canal B, soit 30 canaux B
1 octet =
1 IT (Intervalle de Temps)

La trame de laccs de base comprend 2 canaux B 64 Kbit/s, 1 canal D 16 Kbit/s et quelques bits de
gestion (2B+D, en abrg). Le dbit global est de 192 Kbit/s. Dune longueur de 48 bits, elle est mise en
250 microsecondes (soit 4 000 trames par seconde).

CHAPITRE 9

229

LE POINT SUR LE RNIS (SUITE)
Laccs primaire et laccs de base utilisent les mmes protocoles de signalisation de niveaux 2 et 3.
+ 2 paires optionnelles pour
lalimentation du terminal
2 paires de cuivre
Bus S0
Prise S0
Prise RJ45 ISO 8877 Cble catgorie 4 ou 5
D E F A B1 L F N B2 B1 S D E B2 S D E L D E
Trame NT : de la TNR vers le terminal
D L F L B1 L F L B2 B1 L D L B2 L D L L D L
Trame TE : du terminal vers la TNR
1 octet
Dlimiteur
2 octets
Adresse
1 octet
Contrle
Longueur variable
Donnes
1 octet
Dlimiteur
2 octets
FCS
SAPI C/R EA TEI EA
1 bit 1 bit 1 bit 6 bits 7 bits
Canal D : 4 bits par trame x 4 000 trames/sec = 16 Kbps
Couche 2
HDLC LAP-D
Q.921
(I440-I.441)
Couche 1
Accs de base
(I.420-I.430)
Codage de la
trame
4B3T ou 2B1Q
Codec voix des
canaux B :
PCM (G.711)
Couche 3
Signalisation
Q.931
(I450-I.451)
Protocole Q.931 = 0x08
Rfrence dappel
Type de message
Donnes du message
Longueur du message
Autre type de message
etc.
Setup (0x05)
change de
messages Q.931
lors dun appel
tlphonique
Alerting (0x01)
Call proceeding (0x02)
Connect (0x07)
Tailles variables
N de tlphone,
n de canal B,
dlai de transit,
options HDLC,
etc.
1 bit 8 bits

Dlimiteur est de valeur binaire 01111110 . Afin dviter que les donnes lui soient identiques,
un mcanisme dinsertion de 0 est utilis lmission. Le principe consiste
insrer un 0 ds que 5 valeurs 1 conscutives ont t transmises (cet
algorithme nest bien sr pas appliqu aux dlimiteurs). la rception, le 6
e
bit suivant
5 bits ayant une valeur de 1 est analys. Sil est 0 , il est ignor et, dans le cas
contraire, il est considr comme un dlimiteur de trame.
Adresse Comporte lidentifiant SAPI (Service Access Point Identifier) permettant de distinguer
les applications utilisant les canaux B (tlphonie, tlcopie, etc.) et lidentifiant TEI
(Terminal End-point Identifier) qui permet didentifier le terminal sur le bus. Le numro
127 est rserv la diffusion (broadcast).
Contrle indique le type de la trame (Unnumbered, Information ou Supervision), et contient un
numro de squence. Le protocole utilise 20 formats de trames.
Donnes contient les donnes utiles (260 octets au maximum).
FCS (Frame Check Sequence) est un code de dtection derreur de type CRC (Cyclic
Redundancy Check).


230
230

Installation dun accs de base T0
Comme pour notre LS, loprateur (France Tlcom en France) installe la liaison RNIS dans
la partie de vos locaux techniques qui lui est rserve. Laccs de base T0 se termine chez
lutilisateur par un petit botier appel TNR (terminaison numrique de rseau). Celui-ci est,
la plupart du temps, accompagn dun coffret dalimentation appel BAL.

Figure 9-6.
Connexion
du routeur
au RNIS.

Sur notre routeur dOrlans, linterface RNIS (appele BRI pour Basic Rate Interface) doit
tre configure de manire ne sactiver que si la liaison principale (linterface srie) est
coupe :
isdn switch-type vn3
interface Ethernet 0
ip address 192.168.0.1 255.255.255.0
^Z
Interface RNIS de France Tlcom
(Version Numris 3)
LE POINT SUR LE RNIS (FIN)
F est un bit de synchronisation.
Fa est un bit de synchronisation auxiliaire pour une utilisation future.
L est le bit dquilibrage qui sert rtablir la composante nergtique du courant transportant
le train de bits. Lobjectif est dobtenir une composante nergtique nulle afin de
consommer le minimum dnergie.
E bit dcho utilis par la mthode daccs au bus CSMA/CR (Carrier Sense Multiple Access -
Contention Resolution).
A bit utilis pour lactivation du terminal.
S bit non utilis.
B1 est un champ de 8 bits qui vhicule les donnes du premier canal B.
B2 est un champ de 8 bits qui vhicule les donnes du deuxime canal B.
D est le champ qui vhicule les donnes de signalisation du canal D.

Tte de ligne France Tlcom
Ferme de brassage
Arrive de
l'accs de base
France Tlcom
Dport (4 8 fils)
install par
France Tlcom
Routeur
Interface RNIS
(prise RJ45)
TNR fournie et installe
par France Tlcom.
Interface Ethernet
(connecteur RJ45)
Cordon de brassage
RJ45/RJ45 droit
Interface
srie (WAN)
Botier d'alimentation fourni et
install par France Tlcom
TNR BAL
CHAPITRE 9

231
interface serial 0
ip unnumbered e0
encapsulation ppp
backup delay 2 15

backup interface bri 0
^Z
interface bri 0
ip unnumbered e0
encapsulation ppp
dialer string 0144758899
dialer-group 1
^Z
ip route 10.0.0.0 255.255.252.0 s0
dialer-list 1 protocol ip permit

En mode secours, un seul canal B est activ. Notre routeur est capable de grer deux
connexions simultanes, une sur chaque canal B, mais pas dagrger les canaux.

Scurisation de la liaison
Le problme avec le numro de tlphone est quil peut tre appel par nimporte qui. Il faut
donc appliquer quelques rgles de base. La premire est, bien sr, dinscrire votre numro
sur liste rouge. Le service didentification de lappelant pourra aussi tre utile.
Au niveau du routeur, il est possible de raliser une authentification laide du protocole
CHAP (Challenge Handshake Authentication Protocol) utilis conjointement avec PPP. Le
principe repose sur le partage dune cl secrte par les deux routeurs. Lors de lappel, le rou-
teur appel envoie un challenge au routeur appelant. La bonne rponse est lie la cl
secrte (le mot de passe).

hostname orleans

username paris password 7 14041BBEAB04

isdn switch-type vn3

interface Ethernet 0
ip address 192.168.0.1 255.255.255.0
^Z
interface serial 0
Dfinition dune
route statique.
Active l'interface RNIS 2 secondes aprs la chute de
l'interface principale. Attend 15 secondes avant de
couper la liaison RNIS lorsque l'interface principale est
de nouveau oprationnelle.
L'interface de secours est la bri 0 qui ap-
pelle le numro de tlphone de l'abon-
nement RNIS situ Paris.
Le chiffre 7 indique que le mot de passe
nest pas affich en clair. Atten-
tion cependant : il faut saisir le mot de passe
en clair lors de la configuration.
Cl secrte CHAP
(mot de passe)
Nom du routeur distant qui correspond au hostname paris .

232
232
ip unnumbered e0
encapsulation ppp
backup delay 2 15
backup interface bri 0
^Z
interface bri 0
ip unnumbered e0
encapsulation ppp
dialer in-band
dialer map ip 10.0.0.0 name paris broadcast 0144758899
dialer-group 1
^Z
ip route 10.0.0.0 255.255.252.0 s0
dialer-list 1 protocol ip permit

ip route 10.0.0.0 255.255.252.0 s0

Gestion du dbordement
La mme liaison RNIS peut galement tre utilise pour absorber du trafic en surplus sur
linterface srie :

int bri 0
backup load 80 10

Cette commande active linterface RNIS si la ligne principale atteint une charge gale
80 %, et la dconnecte lorsque la charge globale (principale + secours) redescend 10 %.
Le cas de la panne dun routeur nest pas trait ici. Pour offrir cette scurit supplmentaire,
dautres mcanismes doivent tre activs (voir VRRP et HSRP au chapitre 12).

Seul le protocole IP est permis.
Numro de tlphone RNIS
du site parisien
Pour joindre le rseau 10.0.0.0, il faut
appeler le routeur distant paris .
10
Architecture
des rseaux tendus

Aprs avoir ralis notre premire interconnexion, nous pouvons passer ltape suivante
qui consiste crer un rseau WAN complet.

linverse dun LAN qui est par essence priv, un WAN ncessite demprunter des rseaux
publics ou oprateur qui agissent sous licence octroye par ltat.

linverse de votre LAN sur lequel vous pouvez raliser des excs de vitesse gratuitement
jusquau Gigabit, la vitesse est limite quelques dizaines de Mbit/s sur les rseaux WAN.
Et plus vous allez vite et loin, plus cest cher.

Il faut donc choisir avec discernement la technologie utiliser, et dterminer au mieux, en
fonction de vos besoins et de votre budget, la route emprunter (route dpartementale, voie
rapide, autoroute de linformation avec page, bretelle daccs, etc.).

choisir un niveau de service oprateur ;
connatre les technologies daccs xDSL ;
connatre les rseaux haut dbit SDH et WDM ;
dimensionner votre rseau WAN.

VPN, LS, xDSL, SDH, WDM

234
234
Les solutions disponibles sur le march
Aprs notre premire interconnexion, voil quil faut interconnecter quatre nouveaux sites :
Toulouse, Marseille, Strasbourg et Londres.
Quels sont alors les moyens mis notre disposition ?
Les liaisons point point
Llment de base dun rseau tendu est la liaison dtenue et gre par un oprateur :
France Tlcom et Cegetel en France, Deutsche Telekom en Allemagne, ATT et Worldcom
(pour ne citer queux) aux tats-Unis, etc.
Une liaison peut tre filaire (cuivre ou fibre
optique) ou hertzienne (satellites ou met-
teurs terrestres). Les liaisons filaires sont
obligatoirement point point, tandis que les
liaisons hertziennes peuvent tre point point
ou multipoint.
Les oprateurs louent leurs liaisons entre eux.
Ils btissent leurs propres rseaux bass sur
des liaisons qui leur appartiennent et sur
dautres quils louent l o ils ne peuvent pas
en construire.
La construction de liaisons filaires ou hert-
ziennes requiert, en effet, des autorisations
administratives (licences) pour pouvoir poser
les cbles travers des territoires appartenant
chaque tat, lancer les satellites, obtenir les
frquences hertziennes et les exploiter com-
mercialement. En France, lART (autorit de
rgulation des tlcommunications) est res-
ponsable de lattribution de ces licences aux
oprateurs. Depuis peu, la libralisation du
commerce mondial incite supprimer les
derniers monopoles.
Au niveau international, lorganisme qui contrle les activits tlcoms (autorisations, pro-
jets internationaux, normes, etc.) est lITU (International Telecommunication Union) qui est
affili lONU. Tous les oprateurs nationaux sont membres de lITU.
La plupart des liaisons internationales sont le fruit dune coopration entre les oprateurs qui
utilisent les bandes passantes proportionnellement leur participation financire. Certains
oprateurs possdent en propre leurs liaisons internationales, et les louent dautres opra-
teurs.
RSEAUX LOCAUX, TENDUS ET
INTERSITE

Le terme LAN (Local Area Network) dsigne
les rseaux locaux, dont le principal repr-
sentant est Ethernet. Le terme WAN (Wide
Area Network) dsigne les rseaux tendus
dont les reprsentants les plus rpandus sont
les LS, Frame Relay et ATM.

On dsignera par rseau intersite un rseau
d'interconnexion de rseaux locaux reposant
sur un rseau tendu et des routeurs qui r-
alisent l'interface entre les LAN et le WAN.
Architecture des rseaux tendus
CHAPITRE 10

235
Les rseaux oprateur
Les oprateurs utilisent des rseaux haut dbit pour transporter une varit de flux (voix,
lignes spcialises, Frame Relay, ATM, etc.) des dbits divers (de 64 Kbit/s plusieurs
Mbit/s). Leurs clients se raccordent leur rseau via une boucle locale, qui gnralement
appartient et est gre par un oprateur national historique (France Tlcom, Deutsche Tele-
kom, etc.) ou un oprateur local, nouveau venu, comme COLT ou Cegetel.
Le rseau dun oprateur repose sur des fibres optiques qui souvent ne lui appartiennent pas.
Il achte de la bande passante en gros un autre oprateur, appel pour cela carrier de car-
rier . Aux extrmits des fibres optiques, dans ses locaux techniques (POP et centre de t-
lcommunications), loprateur connecte tous ses quipements SDH, ATM, Frame Relay,
routeurs, modems, etc.
partir des liaisons qui lui appartiennent en
propre ou quil loue, un oprateur cre un ou
plusieurs rseaux interconnectant ses propres
sites. Ces liaisons se terminent par des multi-
plexeurs et des commutateurs (Frame Relay,
ATM, SDH ou propritaires). Loprateur
propose ensuite ses clients de partager son
rseau en leur revendant de la bande passante
et en leur proposant un service dexploitation.
Le but de loprateur est alors de partager son
rseau par le plus grand nombre de clients
possible, tout en sparant ces derniers. Le par-
titionnement logique du rseau est ralis
grce aux circuits virtuels, qui permettent de
constituer autant de VPN (Virtual Private
Network) quil y a de clients. Le VPN est
donc la base de loffre de service des opra-
teurs rseau.
Une entreprise dsirant interconnecter ses sites, ou un particulier dsirant communiquer
distance (tlphoner, se connecter Internet ou son intranet, etc.) devra faire appel aux
services dun oprateur, ou, si cela est conomiquement plus intressant, creuser ses propres
tranches pour y poser ses propres cbles afin de construire une infrastructure privative sur
le domaine public, comme le font les oprateurs.
Le premier des rseaux oprateur est historiquement le RTC (ou rseau tlphonique com-
mut) qui permet aux entreprises et aux particuliers de communiquer par tlphone moyen-
nant un abonnement et une facturation la dure.
Le second type qui est apparu est la LS (ligne spcialise, encore appele ligne loue), qui
permet aux entreprises dinterconnecter leurs sites moyennant un abonnement mensuel dont
le cot dpend du dbit utilis et de la distance.
Aujourdhui, les rseaux sont trs varis : boucles optiques SDH, rseaux optiques Ethernet
natifs, rseaux IP-MPLS sur fibre optique WDM, etc.

QUEST-CE QUUN CIRCUIT VIRTUEL ?
Les circuits virtuels sont des liaisons logi-
ques, gnralement point point, se parta-
geant un mme support physique. Les don-
nes appartenant un mme CV ne peuvent
tre changes avec celles des autres CV.
Grce aux CV, un rseau physique peut tre
partitionn en plusieurs rseaux logiques
indpendants et tanches les uns des autres,
crant ainsi ce quon appelle des VPN (Virtual
Private Network). Pour lutilisateur, le VPN se
comporte comme sil tait seul sur le rseau
alors que ce dernier est partag.

236
236
Laccs aux rseaux des oprateurs
Les sites et les liaisons qui constituent le rseau de loprateur peuvent tre plus ou moins
nombreux, et la zone de couverture de ce rseau peut tre plus ou moins tendue.
Chaque client doit se raccorder au rseau de loprateur via des liaisons daccs (filaires le
plus souvent, ou hertziennes pour le tlphone mobile, par exemple) entre son site et les
points daccs appels POP (Point Of Presence) de loprateur. La liaison daccs est ga-
lement appele desserte locale ou, plus spcifiquement, boucle locale.
Lintrt dune telle solution est que le POP soit le plus prs possible du site client afin que
la liaison de raccordement, dont le prix dpend du dbit et de la distance, cote le moins
cher possible. Le RTC est le rseau oprateur qui dispose du plus important nombre de
POP : il sagit dun commutateur install au coin de la rue, dans un immeuble. Mais, pour
les autres rseaux, il nen est pas de mme. Par exemple, vous avez sans doute consult les
zones de couverture dItinris, de Bouygues Tlcom, de SFR, etc.
Loprateur installe toujours un quipement dextrmit, appel CPE (Customer Premises
Equipment), dans les locaux du client qui permet de grer la liaison daccs. Il sagit, par
exemple, dun modem, dun commutateur, etc., selon le niveau de service fourni.

Les services proposs par les oprateurs
Loprateur propose ses clients dutiliser son rseau en leur revendant de la bande passante
ainsi que diffrents niveaux de service dexploitation. la diversit des technologies
sajoute le maquis des services proposs, lhabillage commercial en quelque sorte. Bien
quil en existe de nombreuses variantes, on trouve principalement trois types de service.

Niveau de prestation Description technique Service fourni Exemples
1. Fourniture du support de
transmission brut (couche
physique)
Liaisons (le plus souvent
point point) pour crer un
rseau priv
Support client de la liaison Lignes spcialises, liaisons
VSAT
2. Rseau fdrateur (cou-
ches physique et liaison)
Cration dun rseau priv (le
plus souvent multipoint) au-
dessus de linfrastructure
oprateur
Rseau fourni et exploit par
loprateur + support client
Rseau ATM, Frame Relay ;
accs Internet
3. Service valeur ajoute
(couches physique, liaison et
rseau)
Support de transmission +
rseau fdrateur + quipe-
ments terminaux (routeur,
tlphone, etc.)
Rseau de bout en bout (jus-
que dans le site du client)
fourni et exploit par
loprateur
RTC, RNIS, interconnexion
de LAN, accs Internet

Le service de niveau 1 permet aux clients de disposer du support de transmission qui leur est
fourni : ils peuvent installer des multiplexeurs, des commutateurs ATM ou Frame Relay, des
routeurs, etc., pour transmettre des donnes, de la voix ou de la vido.

CHAPITRE 10

237

Figure 10-1.
Service oprateur
de niveau 1
lignes
spcialises.

Le service de niveau 2 consiste profiter de linfrastructure rseau de loprateur, qui est vu
comme un nuage (un rseau multipoint), sur lequel les sites du client sont raccords via des
liaisons locales et les POP.
Le service de niveau 3 est un service complet : loprateur propose un service cl en main
via un rseau quelconque, avec les moyens et les technologies souhaits. Le client ne voit
que le service : tlphone, interconnexion de rseaux locaux, etc.

Figure 10-2.
Services oprateur
de niveaux 2 et 3.

Les choix du client
Pour crer notre rseau tendu, la premire question concerne le niveau de service que nous
allons demander loprateur. Du point de vue client, nous avons le choix entre deux types
de solutions :
Solution prive reposant sur le service de niveau 1. Lentreprise construit son rseau
tendu.
Solution oprateur reposant sur les services de niveaux 2 et 3. Lentreprise confie tout
ou partie de son rseau tendu un oprateur.

La premire solution consiste suivre le modle de notre premire interconnexion, afin de
raliser notre propre rseau multipoint reposant sur des lignes spcialises point point.

Service de niveau 2
Service de niveau 3
Rseau oprateur
POP
POP
POP
Routeur
CPE
routeur
CPE
Limites de responsabilit de loprateur
quipement dextrmit
install et gr par loprateur
(un modem, un commutateur,
un multiplexeur)
quipement terminal
Point daccs
Liaison daccs

Service de niveau 1
Rseau oprateur
Limites de responsabilit de loprateur
quipement terminal
Point daccs
POP
CPE
CPE
POP
POP
CPE
Routeur
Routeur
routeur
quipement dextrmit
install et gr par loprateur
(un modem)
Autant de LS quil y a
de sites distants
ventuellement un multiplexeur ou
un commutateur (ATM, Frame-
Relay, ou autre) si plusieurs
quipements dextrmit doivent
CPE

238
238

Figure 10-3.
Rseau priv
reposant sur des LS.

Le rseau peut tre en toile sur un site principal, distribu selon limportance relative de
chaque site, ou plus ou moins maill afin de rpartir la charge et dassurer le secours des
liaisons.
La seconde solution repose sur lutilisation dun rseau oprateur et sur des LS ou, de prf-
rence, des boucles locales raccordant les sites du client aux POP les plus proches.

Figure 10-4.
Rseau priv virtuel
bas sur un rseau
oprateur.

Loprateur installe les liaisons daccs locales (ou les commande auprs de loprateur lo-
cal sil na pas de licence) entre les sites du client et ses points daccs.
Pour compliquer le choix des clients, il existe plusieurs types doffres :
Les VPN de niveau 2 reposant sur Frame Relay et ATM (voir chapitre 11).
Loprateur garantit au client la bande passante demande ainsi que le niveau de service
souhait, avec des engagements de rsultats.
Les VPN de niveau 3, reposant sur IP et MPLS (voir chapitre 12). De la mme ma-
nire, loprateur sengage sur une qualit de service quivalente, voire suprieure,
celle pouvant tre offerte sur un VPN de niveau 2.
Les VPN IPsec, galement de niveau 3, reposant sur le protocole de cryptage IPsec
(voir chapitre 17). Dans ce cas, il ny a pas sparation logique, mais cration dun tun-
nel crypt qui garantit la confidentialit des informations vis--vis des autres utilisa-
teurs. Si le rseau IP est celui de loprateur, celui-ci peut sengager sur une qualit de
service, gnralement de niveau infrieur aux deux prcdents VPN. Si le rseau IP est
lInternet, loprateur ne sengage quasiment sur aucune qualit de service.

Paris
Toulouse
Londres
Marseille
Strasbourg
POP
POP
POP
POP
POP
Rseau de
loprateur
Ligne spcialise locale
(distance la plus courte possible)
ou boucle locale
Point daccs au
rseau de loprateur.
Paris
Toulouse
Londres
Marseille
Strasbourg
Lignes spcialises
longues distances
CHAPITRE 10

239
Dans tous les cas, le client doit signer un contrat de service, appel SLA (Service Level
Agreement), avec loprateur. Ce dernier sengage fournir une qualit de service (temps de
rponse, dbit garanti, taux de disponibilit, etc.) ainsi qu payer des pnalits au client en
cas de non-respect de ses engagements.
Le rseau oprateur peut sengager sur diffrents services :
Taux de disponibilit. Loprateur garantit que son rseau sera disponible 99,9 % du
temps (cest une valeur courante).
Bande passante. Loprateur garantit que le client disposera du dbit demand (512
Kbit/s entre deux sites, par exemple) pendant 100 % du temps.
Temps de transit. Loprateur garantit le temps mis par un paquet pour aller dun site
lautre.
Ces garanties peuvent tre valables de POP POP (cest--dire dans le rseau fdrateur de
loprateur appel backbone) ou de bout en bout (cest--dire entre les sites du client), liai-
sons et quipements daccs compris. Cest vous de ngocier les engagements en fonction
du cot.
Loprateur exploite son rseau laide dun ou plusieurs centres de supervision, de centres
de support client (Help Desk) et dquipes projet qui lui permettent doffrir un service de
guichet unique (interlocuteur unique) :
Loprateur se charge de toutes les commandes de LS daccs auprs des oprateurs lo-
caux, de linstallation des quipements, de la configuration de son rseau pour accueillir
le VPN du client ainsi que de la gestion du projet.
Quels que soient le site et le pays, le client peut appeler le centre de supervision pour lui
signaler un problme, et inversement.
Il ny a quune facture, et le client choisit le mode de facturation quil souhaite : centra-
lise, rpartie par site, etc.
Loprateur fournit des statistiques sur le VPN du client et les preuves que ses engage-
ments ont t respects. Cela nempche pas le client de mettre en place son propre sys-
tme de contrle.

Critre Solution prive Solution oprateur
Investissements Importants (frais de mise en service et
achat des quipements)
Faibles (frais de mise en service) ; pas
dachat dquipement
Cots de fonctionnement Assez faibles en national, levs
linternational
Assez levs (cot des LS plus faible et
forfait oprateur)
Exploitation Assure par la socit (vous) Assure par loprateur (supervision des
LS, exploitation, etc.)
Distances des LS Longues entre les sites Locales entre les sites et les POP de
loprateur

Une entreprise a toujours la possibilit de passer dune solution prive une solution opra-
teur, autrement dit dexternaliser son rseau (ce que lon appelle loutsourcing).

240
240
Lopration inverse (la rversibilit) nest pas dans lair du temps et est toujours une opra-
tion dlicate. La rversibilit peut aussi tre applique pour changer doprateur en cas
dinsatisfaction.
Les lignes spcialises
Une LS (ligne spcialise ou ligne loue) est un terme gnrique pour dsigner une liaison
point point entre deux sites.
Pour lutilisateur, une LS consiste en deux ou quatre fils (plus rarement six) de cuivre reliant
deux de ses sites. Pour loprateur, ce nest quune liaison daccs son rseau : la liaison
cuivre qui part du site du client aboutit un multiplexeur qui concentre dautres LS (issues
dautres clients) sur des liaisons haut dbit en fibre optique.
Les LS reposent sur deux technologies :
T1 (tats-Unis, Canada et Japon) et E1 (reste du monde), qui datent des annes 60.
HDSL (High bit rate Digital Subscriber Line), qui date des annes 80.

Dnomination Technologie Codage en ligne Distance
E1 MIC (modulation par impulsions
codes)
32 canaux de 64 Kbit/s
Bipolar AMI (Alternate Mark
inversion)
De 1 2 km
sans rpteur
2 paires
T1 PCM (Pulse Code Modulation)
24 canaux de 64 Kbit/s
Codage bipolar AMI De 1 2 km
sans rpteur
2 paires
HDSL DSL
Trames transmises en 6 ms
2B1Q (2 bits / 1 signal quater-
naire)
De 3,7 7,9 km sans rpteur
1, 2 ou 3 paires

Le dbit offert par une E1/T1 est un multiple de 64 Kbit/s. Cette unit correspond un canal
dans un lien E1 2,048 Mbit/s (32 canaux 64 Kbit/s) ou T1 (Trunk-carrier, level 1 multi-
plexing) 1,544 Mbit/s (24 canaux 64 Kbit/s + 8 Kbit/s de signalisation).
Les ondes sonores de la voix sont converties en signaux numriques un dbit de 64 Kbit/s,
tout comme le mouvement est converti en 24 images/seconde par une camra. Ce dbit est
li aux limitations technologiques des annes 60, et demeure encore lunit de rfrence. Les
progrs font que, aujourdhui, on peut se contenter de 8 Kbit/s, voire moins.
Lunit de base est donc constitue dun canal de 64 Kbit/s (dnomm DS0, Digital Signa-
ling 0). Comme il est plus pratique et plus conomique de transporter plusieurs canaux en
mme temps, ces derniers sont multiplexs au sein dune liaison composite (trunk). Et,
comme dans toutes les couches rseau (nous sommes ici au niveau physique), un protocole
est ncessaire pour grer ces canaux (dbut et fin du canal, synchronisation des horloges,
etc.). Un canal est donc ddi ce protocole souvent appel canal de signalisation.

CHAPITRE 10

241
Liaison Canaux de donnes utiles Canaux de signalisation
RNIS (rseau tlphonique numrique) 2 canaux 64 Kbit/s 1 canal 16 Kbit/s
E1 en Europe : 2 048 Kbit/s 30 canaux 64 Kbit/s 2 canaux 64 Kbit/s
T1 aux tats-Unis : 1 544 Kbit/s 24 canaux 64 Kbit/s 1 canal 8 Kbit/s

Ces changes point point sont raliss entre deux multiplexeurs qui dialoguent via le canal
de signalisation (des bits prlevs sur le dbit global).
Un multiplexeur prend ainsi n canaux 64 Kbit/s en entre, et gnre un signal de
2 048 Mbit/s en sortie pour une E1. Un autre type de multiplexeur prend 4 canaux 2 Mbit/s
en entre, et gnre un signal 8 Mbit/s en sortie, et ainsi de suite. On dfinit ainsi une hi-
rarchie de dbits plsiochrones (plusieurs horloges, une pour chaque type de multiplexeur)
jusqu 34 Mbit/s en Europe et 45 Mbit/s aux tats-Unis.

2 8 34 140 565 2 260
1,544 6 45
E1 E3
T1 T3
CEPT
ANSI
Divergence de dbit

Aujourdhui, cette cascade de multiplexage a t remplace par des multiplexeurs permet-
tant dextraire directement la bande passante souhaite. On dfinit ainsi une hirarchie de
dbits synchrones (une seule horloge pour transporter plusieurs dbits). La structure des
trames et le protocole associ sont SONET (Synchronous Optical NETwork) aux tats-
Unis, et SDH (Synchronous Digital Hierarchy) en Europe. Ces rseaux forment le cur des
infrastructures rseau haut dbit des oprateurs (de 51,84 Mbit/s plus de 9 Gbit/s).

55 155 622 2 488
OC-1 OC-3 OC-12 OC-48
155 622 2 488
STM-1 STM-4 STM-16
SONET (ANSI)
SDH (UIT-T)
Dbits quivalents

quipements installs chez lutilisateur
Loprateur installe dans les locaux du client un CSU/DSU (Channel Service Unit/Data
Service Unit) qui gnre et reoit les signaux sur la LS. Le CSU/DSU est lquivalent num-
rique du modem : alors que ce dernier convertit les signaux analogiques en signaux numri-
ques et inversement, le CSU/DSU convertit les signaux numriques des interfaces locales

242
242
(V.35, X21/V11, etc.) en signaux numriques adapts aux longues distances, xDSL par
exemple.
Le CPE (Customer Premises Equipment) est le terme gnrique dsignant un quipement de
raccordement install chez le client. Il sagit dun CSU/DSU (quipement de base), dun
commutateur ATM ou Frame Relay, dun FRAD ou dun routeur. Ces derniers peuvent ou
non intgrer un CSU/DSU.

Les technologies DSL
Les technologies PCM/MIC utilises par les liaisons T1 et E1 depuis les annes 60 sont au-
jourdhui dpasses. Les lignes spcialises offrent toujours une interface E1 ou T1 leurs
clients, mais le PCM a fait place aux technologies DSL (Digital Subscriber Line). Celles-ci
utilisent des codages plus performants et des processeurs spcialiss dans le traitement du
signal, les DSP (Digital Signaling Processing).
La premire de ces technologies est IDSL (Integrated Service Digital Network DSL), cou-
ramment appele RNIS (rseau numrique intgration de service) et commercialise sous
le nom de Numris par France Tlcom. Le RNIS est la base du rseau tlphonique num-
rique ; il a t la premire technologie numrique tre propose aux particuliers. Laccs
de base T0 offre deux canaux B de 64 Kbit/s, chacun pouvant tre utilis sparment (deux
communications) ou agrg pour offrir un dbit de 128 Kbit/s. Un canal D de 16 Kbit/s est
rserv la signalisation (numrotation, rveil du terminal, etc.). Des bits supplmentaires
permettent de grer les signaux transmis sur le cble.

Figure 10-5.
L'accs
de base IDSL.

Ct client, le RNIS se prsente sous la forme dun bus, appel bus S0, sur lequel plusieurs
quipements peuvent tre connects (tlphones, tlcopieurs, routeurs, etc.).

2 paires
2B1Q
1 ou 2 paires
2B1Q
TNR
Terminaison
Numrique
de Rseau
DACS
E1
Multiplexeur 12
accs de base
Prise S0
(RJ45)
160 Kbit/s
Routeur
192 Kbit/s
IDSL
2 paires : 144 Kbit/s + bits de
gestion des signaux = 160 Kbit/s
Digital
Access
Cross
Connect
Customer
Premise
Equipment
Bus S0
2B + D
Terminaison
Numrique
dAbonn
CHAPITRE 10

243
D E F
a
A B1 L F N B2 B1 S D E B2 S D E L D E
Trame NT : de la TNR vers le terminal
D L F
a
L B1 L F L B2 B1 L D L B2 L D L L D L
Trame TE : du terminal vers la TNR
Bit de synchronisation
Bit dquilibrage
Bit dcho pour grer laccs au bus
via CSMA/CR (Carrier Sense multiple
Access Contention Resolution)
Deuxime canal B
Premier canal B
Canal D

Octet 1 Octet 3 Octet 35 Z
HOH PAD
145 bits
Octet 2 Octet 4 Z
Paire 1
Paire 2
SYN
6 984 bits transmis en 6 ms soit 1 168 Kbit/s x 2 paires = 2 336 Kbit/s
B01 B12 HOH B13 B24 HOH B13 B48
Octet 36
12 blocs
HDSL OverHead 2 bits
1 bit de dbut
de bloc
Synchronisation :
7 symboles
2B1Q = 14 bits
Bourrage
x 4 units spares
par HOH
144 bits x 48 blocs en 6 ms
soit 1 152 Kbit/s x 2 paires
= 2 304 Kbit/s utiles transports
soit 2 048 Kbit/s pour E1
+ 256 bits pour la compatibilit
SDH
Figure 10-6.
Les trames IDSL
(accs de base S0).

La deuxime technologie qui est apparue est HDSL (High bit rate DSL) sur laquelle repo-
sent quasiment toutes les liaisons daccs (LS notamment). La raison est quune liaison
E1/T1 ncessite de coteux rpteurs tous les 1 2 km, alors que la porte du HDSL est
dau moins 3,7 km (jusqu 7,9 km sans rpteur). La rduction du nombre de rpteurs
permet ainsi de rduire les cots des LS de 30 50 % par rapport aux E1/T1.
La vraie rvolution des technologies xDSL est que cette baisse de prix permet aux opra-
teurs de proposer des liaisons xDSL aux particuliers pour leurs connexions tlphonique et
Internet.

Figure 10-7.
Accs E1
via HDSL.

Figure 10-8.
Trames HDSL
sur 2 paires.

2 paires
AMI
1, 2 ou 3 paires
2B1Q
HTU-C HTU-R
HDSL
1 paire : 2 320 Kbit/s
2 paires : 1 168 Kbit/s par paire
3 paires 784 Kbit/s par paire
CPE
E1
DCS
Digital
Cross
Connect
Customer
Premise
Equipment
E1
Interface
E1
Interface
E1
Network
Terminaison Unit
Line
Terminaison Unit
HDSL
Transmission
Unit - Central
HDSL
Transmission
Unit - Remote

244
244
S-HDSL (Single pair HDSL) et SDSL (Symetric DSL) sont des versions simplifies de
HDSL.
La norme DSL la plus avance est ADSL (Asymetric DSL). Sa particularit est de prsenter
des dbits diffrents selon le sens de la transmission : le dbit destination du client est plus
important que celui offert ce dernier en mission. Ce type daccs est associ un spara-
teur offrant un accs analogique pour les tlphones classiques en plus de laccs numri-
que. Cela en fait une utilisation approprie pour les particuliers.

Figure 10-9.
Accs ADSL
pour
les particuliers.

Il est noter que les TNR, HTU et ATU qui viennent dtre voqus aux figures prcdentes
sont des modems numriques (CSU/DSU).

Figure 10-10.
Format
d'une trame
ADSL.

RADSL (Rate Adaptative DSL) est une version dADSL qui permet daugmenter ou de di-
minuer le dbit selon ce que permet la qualit de la ligne. Cest en fait une volution natu-
relle dADSL.
ADSL Lite (G.Lite), anciennement CDSL (Customer DSL), est lquivalent dADSL sans
le sparateur (splitter). Lobjectif est de diminuer les cots en simplifiant linstallation de
labonn (suppression du sparateur) ainsi que lexploitation pour loprateur. Les fonction-
Fast byte Donnes prioritaires FEC
Trame 1 = Code de contrle derreur CRC
(Cyclic Redundancy Check)
Trame 2 = Indicateurs
Trame 1
Super trame transmise en 17 ms
Trame de synchronisation
SYN Trame 67 Trame 2
Donnes
Indicateurs (significations
diffrentes selon le n des trames)
Code auto correcteur
Donnes sensibles aux
dlais (voix et vido)
mais tolrant les bruits
Donnes sensibles aux
bruits et tolrant les dlais
(le temps de traitement est
plus long)
4 000 trames/seconde. La taille des trames
dpend du dbit offert.
Les donnes sont structures
en canaux de 64 ou 96 octets

Connecteurs
V.35, RJ45, RJ11
1paire
CAP ou DMT
ATU-C ATU-R
ADSL
1 paire : 6,1 Mbit/s / 640 Kbit/s
ou 1,5 Mbit/s / 64 Kbit/s
ou 512 Kbit/s / 128 Kbit/s
Votre PC, un
rseau local,
etc.
Sparateur
Sparateur
RTC
Internet
ADSL
Transmission
Unit - Central
ADSL
Transmission
Unit - Remote
Sparateur inclus
ou non dans lATU
CHAPITRE 10

245
nalits sont les mmes que celles fournies par ADSL/RADSL (connexion Internet + tl-
phone).
La dernire technologie en date est le VDSL (Very high speed DSL) qui utilise les paires
torsades en cuivre mais surtout la fibre optique. Lobjectif premier de VDSL est de trans-
porter des cellules ATM (Asynchronous Transfer Mode). La norme repose sur un multi-
plexage temporel (TDM, Time Division Multiplexing) aux dbits normaliss STM (Synchro-
nous Transfer Mode), ceux utiliss par SDH (Synchronous Digital Hierarchy).

Technologie Dbit descendant /
Montant en Kbit/s
Distance maximale
sans rpteur
Nombre
de paires
Codage
HDSL G.991.1
(High bit rate DSL)
1 544 / 1 544
2 048 / 2 048
3,7 km (24 AWG)
2,7 km (26 AWG)
2
1 3
2B1Q
ADSL G.992.1
(Asymetric DSL)
1 544 / 512
6 144 / 640
5,5 km (24 AWG)
3,7 km (24 AWG)
1
1
DMT
RADSL
(Rate Adaptative DSL)
1 544 / 512
6 144 / 640
4,6 km (26 AWG)
2,7 km (26 AWG)
1
1
DMT
ADSL lite G.992.2
(G.lite)
1 544 / 512 5,5 km (24 AWG) 1 DMT
VDSL
(Very high speed DSL)
13 000 / 1 500
52 000 / 2 300
1,3 km (24 AWG)
0,3 km (24 AWG)
1
ou FO
DWMT / SLC
S-HDSL G.991.2
(Symetric HDSL)
768 / 768 3,7 km 1 2B1Q
SDSL
(Single pair HDSL)
1 544 / 1 544
2 048 / 2 048
3 km
3 km
1
1
2B1Q / CAP
IDSL
(ISDN DSL)
160 / 160 1 ou 2 2B1Q

Le dbit descendant correspond aux flux allant du rseau (par exemple lInternet) vers le
client (vous), tandis que le dbit montant correspond au flux allant du client vers le rseau.
Au sein dune mme norme, les dbits et distances varient en fonction du diamtre des fils
utiliss (norme AWG, American Wire Gauge).

Diamtre des fils Distance maximale
22 AWG = 0,65 mm
7,9 km (26 000 pieds)
24 AWG = 0,5 mm
5,5 km (18 000 pieds)
26 AWG = 0,4 mm
3,7 km (12 000 pieds)

Les dbits peuvent, par ailleurs, tre augments si les distances sont raccourcies.


246
246

Codage utilis par xDSL Brve description
DMT
(Discrete Multi-Tone)
Repose sur les transformations de Fourrier pour grer et dmoduler 256
sous-canaux (sous-porteuses).
DWMT
(Discrete Wawelet Multi-Tone)
Repose sur une fonction mathmatique, les ondelettes, plus performante
que les transformations de Fourrier.
SLC
(Simple Line Code)
Codage en bande de base 4 niveaux.
QAM 16
(Quadrature Amplitude Modulation)
2 amplitudes et 12 changements de phase permettent dobtenir 16 si-
gnaux diffrents reprsentant 4 bits de donnes.
CAP
(Carrierless Amplitude Phase)
Analogue QAM, mais sans gnrer de porteuse.
PAM
(Pulse Amplitude Modulation)
2B1Q est un exemple de code PAM 4 niveaux : 2 bits de donnes sont
cods en un signal quaternaire (4 niveaux lectriques).

Les applications du xDSL

Suite la libralisation du march des tlcoms, lenjeu commercial qui aiguise le plus les
apptits est celui de la boucle locale, cest--dire la liaison daccs aux rseaux des opra-
teurs. HDSL couvre les besoins des entreprises en matire de rseau tendu, tandis que les
besoins des particuliers (tlphone, tlvision, accs Internet cest--dire les services r-
sidentiels) sont couverts par ADSL/RADSL/CDSL (G.lite).

Technologie Applications / March vis
IDSL
(accs de base RNIS, 2B+D)
Pour les entreprises
Tlphonie numrique, accs Internet et lintranet
Interconnexion des rseaux locaux : accs principal si les temps dutilisation sont faibles, se-
cours dune liaison principale et dbordement en cas de surcharge de la ligne principale
HDSL
Accs primaire RNIS (2 Mbit/s)
Liaison daccs E1/T1 de 64 Kbit/s 2 Mbit/s
ADSL, RADSL, CDSL
Services rsidentiels : tlphone, tlvision, vido la demande, connexion Internet
VDSL
Rseaux haut dbit ATM sur cuivre et surtout sur fibre optique

Concernant nos rseaux locaux, PPP fonctionne directement au-dessus des LS (donc de
HDSL) et de RNIS (IDSL) grce aux routeurs qui prennent en compte les interfaces E1/T1
et S0.

CHAPITRE 10

247

Quant ADSL, quatre modes daccs aux canaux de donnes sont possibles :
Mode synchrone. Les canaux sont accessibles sous forme dun train de bits aux dbits
STM.
Mode adaptation de paquet. Permet plusieurs applications dutiliser les canaux pour
transporter leurs donnes selon leurs propres formats.
Mode paquet de bout en bout. Les paquets IP sont envoys directement dans les tra-
mes (sans se soucier de laffection des canaux), et la commutation est effectue au ni-
veau dADSL sur la base des adresses IP contenues dans les paquets.
Mode ATM. Permet de transporter les cellules ATM qui contiennent les trames PPP
(qui transportent IP, et ainsi de suite).
Actuellement, aucune tendance nest perceptible, car le march est naissant et les quipe-
ments peu nombreux. En France, France Tlcom promeut le mode ATM.

Les boucles SDH
Ds lorigine des tlcommunications, le premier objectif a t de partager une mme liai-
son physique entre plusieurs flux comme on vient de le voir avec xDSL. Ce principe, appel
multiplexage, consiste dcouper en tranches de temps simples (multiplexage temporel),
puis structurer ces tranches de temps en des formats de plus en plus volus pour crer des
trames.
La LS et la boucle locale ne concernent quun utilisateur, mais dj sur cette portion de r-
seau, diffrents flux sont multiplexs : tlphonie et Internet si lon prend lexemple dune
boucle ADSL. Si lon avance au cur des rseaux des oprateurs, les tuyaux deviennent de
plus en plus gros et gnralistes, cest--dire quils doivent vhiculer des flux aussi divers
que de la tlphonie et des donnes (lignes spcialises, ATM, Frame Relay, ADSL, etc.), et
des dbits trs varis, allant de 64 Kbit/s plusieurs centaines de Mbit/s.
La technique de multiplexage aujourdhui utilise par les oprateurs pour transporter tous
ces flux tous ces dbits est SDH (Synchronous Digital Hierarchy), et son quivalent am-
ricain SONET (Synchronous Optical Network), sur de la fibre optique.
Et qui dit fibre optique, dit distances importantes, de lordre de plusieurs dizaines de kilom-
tres. SDH permet donc de constituer des rseaux haut dbit lchelle dune agglomra-
tion. Il permet ainsi de vhiculer des lignes tlphoniques (canaux MIC, niveau 1), de crer
des boucles locales (LS, ATM et Frame Relay, niveau 2), et de constituer des MAN (r-
seaux haut dbit). Les oprateurs mettent profit cette technologie pour raccorder leurs
grands clients leur POP (points de prsence).
Des boucles 155 Mbit/s, 622 Mbit/s ou 2,5 Gbit/s sont commercialises auprs des gran-
des entreprises, leur permettant de raliser ces mmes fonctions pour leurs besoins propres,
comme linterconnexion haut dbit (2, 34, 45, 155 ou 622 Mbit/s) de leurs sites rpartis
autour dune grande ville.


248
248

PABX
ADM
Site central
ADM
ADM
ADM
En cas de coupure de la fibre optique ou de la
panne dun ADM, SDH est toujours oprationnel,
les ADM assurent le rebouclage de lanneau
PABX
Chaque ADM est bi-
connect la boucle PABX
ADM = Add and Drop Multiplexer
Lien ATM 34 Mbit/s
LS 1 Mbit/s
Boucle SDH 155 Mbit/s
Liens MIC 2 Mbit/s
Site de
sauvegarde
routeur
routeur
routeur

Dans cet exemple, la boucle SDH vhicule des liens MIC 2 Mbit/s entre les PABX, des LS
1 Mbit/s entre les routeurs, et une liaison ATM 34 Mbit/s entre les deux principaux sites.

Sonet SDH Dbit en Mbit/s
OC-1 -- 51,84
OC-3 STM-1 (*) 155,52
OC-9 STM-3 466,56
OC-12 STM-4 (*) 622,08
OC-18 STM-6 933,12
OC-24 STM-8 1 244,66
OC-36 STM-12 1 866,24
OC-48 STM-16 (*) 2 488,32
OC-96 STM-32 4 976,64
OC-192 STM-64 9 953,28
(*) Dbits standardiss et commercialiss par les oprateurs.

CHAPITRE 10

249

LE POINT SUR SDH (ITU-T G.709)
Une trame SDH se compose dun en-tte appel section de surdbit (SOH pour Section OverHead) de 81
octets, qui contient toutes les informations relatives la structure de la trame ainsi que les donnes relati-
ves la signalisation Q.93B (norme G.771) et ladministration. Au sein de la trame, les donnes utiles
sont places dans des conteneurs virtuels (norme G.709) adapts leur dbit. Ces donnes peuvent tre
des cellules ATM, ou correspondre aux dbits des rseaux plsiochrones (normes G.703 et G.704), tel celui
2,048 Mbps.
Un conteneur est compos des donnes utiles et dun en-tte de conduit (POH pour Path OverHead) de 9
octets qui assure notamment les fonctions de contrle de la parit et didentification du type des donnes
transportes.
Len-tte SOH comporte un pointeur permettant au dbit des donnes transportes de varier dans le temps.
Les donnes utiles peuvent ainsi flotter lintrieur du conduit qui leur est allou. Cette technique per-
met dadapter le dbit lorsque les horloges de deux nuds sont diffrentes.
titre dexemple, la section de surdbit occupe 5,184 Mbit/s sur une liaison STM-1, laissant 150,336 Mbps
de bande passante pour les donnes utiles. Des dbits suprieurs sont forms par entrelacement de trames
STM-1. Dans le cas des trames STM-4 et STM-16, 4 ou 16 flux de cellules ATM 150 Mbit/s sont transpor-
ts dans un conteneur de type 4.

SOH (9)
POH (1)
Conteneur (260)
9 ranges de
270 octets
La trame doit tre transmise
en 125 microsecondes.

Le SOH est constitu de 9 ranges de 9 octets, le POH de 9 ranges de 1 octet et les donnes utiles de 9
ranges de 260 octets. La transmission seffectue de gauche droite en partant de la range du haut. Cette
technique dentrelacement permet de limiter les consquences dune erreur de transmission, le raisonne-
ment tant quil vaut mieux perdre 1 octet tous les N octets que N octets successifs.
Une trame STM-3 est compose de trois trames STM-1 entrelaces. Len-tte est constitu de 3 x 9 octets
(toujours sur 9 ranges), puis de 3 x 261 octets. Toutes les trames STM-n sont transportes en 125 ms.
titre de comparaison, la trame Sonet est compose de 9 ranges de 90 octets transmises en 125 ms.


250
250
Le multiplexage WDM
Le multiplexage propos par SDH est cependant un peu rigide de par la taille incrmentale
des conteneurs ; on passe, par exemple, dun dbit de 622 Mbit/s (STM-4) 2,5 Gbit/s
(STM-16).
Les nouvelles techniques de multiplexage sur fibre optique monomode sappellent WDM
(Wavelength Division Multiplexing) et DWMD (Dense WDM) dont le principe consiste
gnrer plusieurs faisceaux lumineux dans la mme fibre, jusqu 256 actuellement. Chaque
faisceau optique, indiffremment appel canal, longueur donde ou lambda, transporte un
flux de donnes de nature et de dbit quelconque, alors que SDH multiplexe les donnes en
entre puis les transmet sur une seule longueur donde. Cependant, WDM ne prend que des
signaux optiques en entre, alors que SDH multiplexe des signaux dentre optique et non
optique.
WDM peut ainsi transporter en mme temps des signaux optiques OC-3, ATM, Gigabit
Ethernet et mme SDH, puisque ce dernier gnre un signal optique. WDM permet donc de
multiplier aisment les capacits des fibres optiques dj existantes, sans remettre en ques-
tion lexistant.

Comparaison WDM SDH / SONET
Topologie Bus point point ou boucle Boucle
Signaux en entre Optiques Optiques et lectriques
Faisceaux optiques Plusieurs centaines dondes Une onde
Rgnration du signal Amplificateur optique Rgnrateur opto-lectrique
Dbit transport Dbit quelconque par longueur donde
en fonction du dbit entrant
Dbits par palier : STM-1, STM-3
STM-64.
Transport dun lien
Gigabit Ethernet
Une longueur donde de 1 Gbit/s Trame STM-16 (2,48 Gbit/s) :
59,8 % de bande passante inutilise
Distances maximales
(dpend du dbit)
Plusieurs centaines de km quelques
milliers
Plusieurs dizaines de km quelques
centaines

On le voit, toutes ces techniques de multiplexage peuvent simbriquer : ATM dans SDH ou
dans WDM, SDH dans WDM, bien que nous soyons toujours au niveau physique, cest--
dire au niveau du multiplexage des signaux gnrs sur un cble.
Dimensionner les liaisons
Quelle que soit la solution retenue, le choix du dbit est important, car il influe directement
sur le cot des liaisons. Celui-ci est dailleurs dautant plus lev que la distance entre les
deux sites est grande. Par exemple, une simple liaison 64 Kbit/s entre la France et la Chine
cote plusieurs milliers deuros par mois. Sil sagit dune liaison locale vers un POP de
CHAPITRE 10

251
loprateur, le cot est moindre, mais ce dernier vous facturera de toute faon en fonction du
dbit.
Il ne faut donc pas survaluer le dbit par rapport vos besoins, afin dviter de payer un
surcot inutile. Il ne faut pas non plus le sous-valuer, car les utilisateurs exigent des temps
de rponse corrects. La conception dun rseau intersite (rseau dinterconnexion de r-
seaux locaux) rsulte donc dun compromis cots/performances.
La dmarche propose pour dimensionner les liens repose sur trois tapes :
identifier les flux gnrs par les applications ;
estimer la volumtrie, soit partir de statistiques existantes (facturation, traces releves
sur les quipements, etc.), soit partir dhypothses ;
dterminer une formule permettant de calculer le dbit ncessaire.

Identifier les flux
Nos utilisateurs sont rpartis sur six sites (le sige Paris et les directions rgionales :
Orlans, Toulouse, Marseille, Strasbourg et Londres). Ils veulent utiliser les mmes applica-
tions et accder aux mmes donnes.
Le but de cette phase est de caractriser les flux de chaque application (type, priodicit) et
didentifier les acteurs qui mettent et reoivent les donnes.

tape 1 Identifier les flux
Application De vers Objet Type de flux Systme Priodicit
Base de donnes Directions rgionales
sige
Comptabilit,
logistique
Client-serveur Unix Mise jour : TLN*
Consultation : TLJ*
Datawarehouse Directions rgionales
sige
Activit commerciale Transfert de gros
fichiers
Unix Mise jour : TLN
Consultation : TLJ
Messagerie Intrasite et intersite Transfert de fichiers
(Word, Excel, appli-
cations mtier)
Exchange
SMTP
Toutes les 10 minutes
entre MTA (un MTA
par site)
Tlcopie via
la messagerie
Tous les sites changes
externes
Messagerie Exchange TLJ
Intranet Tous les sites Informations, DRH,
accs aux bases de
donnes
Transactionnel
Client-serveur
Unix, NT TLJ
Connexions
Internet
Directions rgionales
Sige
Consultation Web
messagerie
Transactionnel, trans-
fert de fichiers
Accs Internet
situ au sige
TLJ
*TLJ = tous les jours *TLN = toutes les nuits


252
252
Cette vision synthtique est une tape vers la traduction du langage utilisateur en langage in-
formatique. Cest aussi un bon moyen de dcrire les flux circulant au sein de la socit
(workflow) afin de btir le rseau qui lui soit le mieux adapt.
Les flux recenss peuvent tre classs en trois catgories :
les flux conversationnels ;
les flux transactionnels ;
les flux de type transfert de fichiers.
Il faut ajouter cela les applications client-serveur qui peuvent, selon les cas, sapparenter
la deuxime ou la troisime catgorie.

Quel type de flux ? Quelles caractristiques ? Quelles applications ?
Conversationnel Trames courtes, frquence soutenue Connexions Telnet
Transactionnel Trames moyennes (trafic montant) et longues
par rafales (trafic descendant)
Serveurs intranet
Connexions aux sites centraux (via des passerelles)
Transfert de fichiers Trames longues, trafic soutenu Serveurs bureautiques
(FTP ou moniteur spcialis sur TCP/ IP)
Client-serveur Dpend de la position de la base de donnes
et du module client
Requtes SQL sous Unix, Windows NT, etc.
Ces flux doivent cohabiter au sein dun mme rseau intersite et tre transports simultan-
ment sur une mme liaison.
Les flux de type conversationnel
Les applications conversationnelles sont les plus courantes dans les mondes Unix et TCP/IP.
Le protocole utilis est Telnet. Le principe repose sur lenvoi dun caractre avec cho dis-
tant. Une session tant tablie entre un poste de travail et une machine, tout caractre frapp
sur le clavier est envoy la machine, trait par cette dernire, et enfin renvoy tel quel pour
affichage, ventuellement avec dautres attributs. Chaque caractre peut en effet dclencher
une action comme laffichage dune fentre.

Figure 10-11.
Types de flux
gnrs
par des applications
conversationnelles.

3 2 1
Caractre frapp
par lutilisateur
Serveur Unix,
routeur, etc.
3 2 1
Application Telnet
cho des caractres frapps par
lutilisateur avec, optionnellement, des
attributs (changement de la position
du curseur, inversion) vido...)
CHAPITRE 10

253
Le type de flux qui en rsulte est par consquent irrgulier, car il dpend de lactivit de
lutilisateur et est compos de trames courtes.
Le temps de rponse est donc primordial pour ce type dapplication. Il se doit dtre le plus
rgulier possible, le principe tant quun utilisateur shabitue un temps de rponse, mme
mauvais, pourvu quil soit rgulier. Un maximum de 300 500 ms est gnralement tolr.
Quand plusieurs caractres sont saisis la suite, ce temps est gnralement rduit du fait de
leur encapsulation dans le mme paquet TCP (algorithme de Nagle RFC 896).
! Activation de l'algorithme nagle sur un routeur Cisco
! Utile pour les connexions Telnet
! A desactiver pour X-Window
service nagle
Les flux de type transactionnel
Le mode transactionnel est le fonctionnement le plus courant pour les applications critiques
sur les systmes centraux. La technique consiste envoyer un cran de saisie vers un termi-
nal, raliser localement les modifications, puis renvoyer les donnes modifies vers le
site central. Ces oprations sont contrles par un logiciel appel moniteur transactionnel
(CICS sous IBM et Tuxedo sous Unix).
Les flux gnrs entre serveurs intranet et navigateurs peuvent tre assimils au mode tran-
sactionnel, bien que le volume des pages HTML soit beaucoup plus important.

Figure 10-12.
Types de flux gnrs
par des applications intranet.

Les flux gnrs sont caractriss par un trafic descendant (serveur intranet vers navigateur)
plus important que le trafic montant (les donnes du formulaire ou un clic sur une URL). La
ligne est rarement mobilise (2 4 transactions par minute) tandis que le transfert dune
page (de 4 50 Ko, voire plus) ncessite la presque totalit de la bande passante pendant
quelques secondes. Le dbit instantan requis est donc une donne importante dans le calcul
de la bande passante requise par ce type de flux.
Les flux de type transfert de fichiers
Ces flux sont caractriss par des changes soutenus et des trames longues. Leurs occurren-
ces peuvent tre prvisibles, dans la mesure o la majorit des transferts de fichiers est sou-
vent associe des traitements automatiques qui ont lieu en dehors des heures ouvres, ce
qui est le cas pour la sauvegarde ou la synchronisation de bases de donnes.

Formulaire
Recherche et
construction de la
nouvelle page
Serveur Web
Nouvelle page
Saisie dun formulaire
et clic sur OK
Affichage dune
nouvelle page
Flux descendant plus
important que le flux montant
Flux montant
Clic sur un lien URL


254
254

Figure 10-13.
Types de flux gnrs
par des applications
transactionnelles.

Pendant les heures ouvres, ce type de flux peut dgrader les temps de rponse des flux
transactionnels et surtout des flux conversationnels. Cette interfrence peut tre contrle
par des mcanismes de priorit positionns sur les quipements dinterconnexion tels que
les routeurs.

Les flux client-serveur
Le concept client-serveur se dcline en ralit sur plusieurs modles :
La base de donnes et la logique applicative sont situes sur le serveur. Le poste client
soumet une requte puis attend les rsultats qui, seuls, transitent par le rseau.
Le serveur hberge la base de donnes ; la logique applicative rside sur le poste client.
La puissance de traitement est donc reporte sur les postes client. Les changes sur le
rseau sont aussi frquents que les manipulations de la base.
La logique applicative et les donnes sont rparties entre le serveur et le client. La pro-
cdure dinterrogation consiste extraire tout ou partie de la base de donnes centrale,
puis oprer des traitements spcifiques sur la base de donnes locale. Le rseau nest
sollicit que lors des extractions depuis la base de donnes. La synchronisation des ba-
ses peut intervenir en dehors des heures ouvres.

Modle Application Flux rseau
1. Base de donnes et application
sur le serveur
Comptabilit, gestion commerciale,
logistique, gestion des ressources
humaines
Type transactionnel
2. Base de donnes sur le serveur
et applications sur le client
Gestion commerciale
Serveur Intranet
Type transactionnel (volumtrie fai-
ble) ou transfert de fichiers (volum-
trie leve)
3. Base de donnes et applications
rparties entre le serveur et le client
Datawarehouse
Architecture 3 tiers
Transfert de fichiers
Transactionnel

Larchitecture 3 tiers (client, serveur applicatif, serveur de base de donnes) gnre des flux
de type transactionnel, ct client, et de type transfert de fichiers, ct base de donnes.
Flux continu
de donnes
Fichier
Ack
Acquittements pisodiques
CHAPITRE 10

255
Estimer la volumtrie
Les flux doivent ensuite tre quantifis, partir de donnes existantes, ou sur la base
dhypothses. Si lon part dun rseau existant, soit pour loptimiser, soit pour le faire vo-
luer, on peut sappuyer sur des statistiques indiquant les volumes changs entre deux sites.
Ces donnes peuvent tre issues de facturations dtailles ou dune phase daudit consistant
en une campagne de mesure sur le terrain.
La volumtrie est calcule diffremment selon le type de flux. Souvent, elle doit tre extra-
pole partir dinformations partielles. Ce travail doit donc tre ralis indpendamment
pour chaque application susceptible dtre vhicule par le rseau intersite. Les rsultats
doivent ensuite tre consolids sous forme de matrice de flux prsentant les volumes chan-
gs entre chaque site. Lchelle de temps gnralement utilise est une journe de travail ;
cette priodicit permet en effet de lisser les variations.
La volumtrie globale pour un site est gnralement issue dune volumtrie unitaire estime
pour un utilisateur et calcule selon la formule suivante :
Vj Vu U =

Vj est le volume journalier calculer pour un site.
Vu est le volume journalier estim pour un utilisateur.
U est le nombre dutilisateurs pour un site donn.
Les sections suivantes dcrivent les manires destimer les volumtries quand lexistant est
peu ou pas connu.

tape 2 Estimer la volumtrie

Applications Exemples destimation de la volumtrie
Messagerie SMTP ou Exchange 10 messages par utilisateur et par jour x 100 Ko
Synchronisation des annuaires
Transfert de fichiers FTP N % des utilisateurs (ou des applications batch) = X Ko par jour
Transactionnelles sites centraux 100 200 crans de 2 ou 4 Ko par utilisateur et par jour
Transactionnelles intranet 20 50 crans de 4 50 Ko par utilisateur et par jour
Conversationnelles Telnet Dpend des applications (faire des tests avec un analyseur rseau) ; un cran =
2 4 Ko
Services rseau (vidotex, tlcopie, etc.) 3 sessions vidotex par jour et par utilisateur
Un fax de 10 Ko par jour
Administration du rseau 0 10 sessions Telnet sur chaque routeur
Configuration SNMP de 1 Ko par quipement et par jour
1 50 trap SNMP de 1Ko par jour
Sondes RMON : 1 10 transferts de fichiers par jour (plusieurs centaines de Ko)


256
256
Volumtrie lie la messagerie
Les volumes de donnes gnrs par une messagerie bureautique peuvent tre modliss sur
la base des hypothses suivantes :
Environ 10 messages par jour et par utilisateur destination dun autre site (20 % des
messages sont destination dun site extrieur, 80 % restent locaux).
Environ 100 Ko par message. Cette valeur dpend beaucoup de lutilisation qui est faite
de la messagerie au sein de la socit. Plus celle-ci est utilise, plus les messages ont
tendance tre importants (pices jointes).
La taille de lannuaire est base sur 100 octets par utilisateur.
Synchronisation hebdomadaire (voire toutes les nuits) de lannuaire : transfert depuis
les sites distants vers le sige (si la gestion est dcentralise), consolidation de
lannuaire, puis transfert depuis le sige vers les sites distants.
Les messageries bureautiques transportent les messages sous forme de copies de fichiers en-
tre les serveurs bureautiques. La priodicit des changes dpend du paramtrage ; elle est
gnralement comprise entre 5 et 15 minutes. Ces transferts de fichiers occupent donc rgu-
lirement la bande passante des liens.
Volumtrie lie aux transferts de fichiers
La volumtrie lie aux transferts de fichiers dpend des applications prsentes au sein de la
socit. Son valuation repose donc sur une analyse prcise de lexistant et/ou des besoins.
Elle peut tre modlise sous la forme N % des utilisateurs ralisant lquivalent dun trans-
fert de X Ko par jour destination dun site distant.
Volumtrie lie aux applications transactionnelles site
central
Dans la plupart des cas, on peut estimer quun utilisateur change 100 200 crans de 2 Ko
4 Ko par jour avec le site central. Cette valuation est bien sr minemment variable selon
le contexte considrer. La taille des crans varie, par exemple, en fonction des applica-
tions, et la frquence des changes en fonction du type de travail de lutilisateur (saisie in-
tensive, consultation, etc.). Il convient donc destimer la volumtrie moyenne partir de
tests.
Volumtrie lie aux applications transactionnelles intranet
Mme remarque que pour les applications transactionnelles, sauf que la taille des pages va-
rie entre 4 Ko et 50 Ko, une page pouvant contenir des images GIF (fixes ou animes).
En prenant en compte les fichiers GIF, JPG et HTML, la moyenne constate est de 4 Ko. Si
lon se rfre aux transferts de fichiers raliss partir dInternet (documents .pdf, .txt ou
.doc), la moyenne constate est de 100 Ko. La moyenne peut atteindre plusieurs Mo si le t-
lchargement des excutables (.exe) est autoris.
CHAPITRE 10

257

Vous pouvez vrifier les valeurs propres votre contexte en visualisant le contenu du ca-
che de votre navigateur (recherchez un rpertoire appel cache situ dans le rper-
toire dinstallation du navigateur).

Volumtrie lie dautres services
Diffrents services peuvent emprunter le rseau intersite, notamment en provenance de sites
rattachs dans le cas o les passerelles de communication sont centralises. Les hypothses
de travail qui peuvent tre retenues sont les suivantes (il ne sagit ici que dindications, la
volumtrie relle tant lie la nature des travaux raliss par les utilisateurs) :
Service de tlcopie. Chaque utilisateur expdie en moyenne un fax de 10 Ko par jour.
Service daccs au vidotex. Un quart des utilisateurs effectue 3 connexions vidotex de
2 minutes par jour. Chaque connexion gnre un flux de 5 Ko.
Etc.
Lutilisation des applications multimdias pose dautres problmes, qui sont abords au
chapitre 13.
Rassembler toutes les donnes
Ayant ces abaques en tte, nous pouvons maintenant calculer les volumes pour notre cas. La
premire chose faire est dtablir la matrice des flux prsentant les types de flux et le nom-
bre dutilisateurs qui les gnrent.
tape 3 Matrice des flux
Depuis \ vers Toulouse Paris Strasbourg Etc.
Toulouse --- 400 intranet
40 Telnet
100 Telnet
Paris ---
Strasbourg 50 intranet
---

Etc.

---

La volumtrie doit tre calcule entre chaque site et dans les deux sens. Les liaisons tant de
type full duplex, il convient de prendre la valeur la plus haute, ce qui permet de calculer le
dbit instantan ncessaire.


258
258
tape 4 Matrice volumtrique
De vers

P T T P T S S T etc.

Flux transactionnels intranet

Nombre d'utilisateurs 400 400 50 50
Volumtrie unitaire (en Ko) 50 0,5 50 0,5
Pages par jour et par utilisateur 10 10 10 10
Quantit / utilisateur / jour (en Ko) 500 5 500 5
Total journalier en Mo 200 2 25 0,25

Flux conversationnels Telnet
Nombre d'utilisateurs 40 40 100 100
Volumtrie unitaire (en Ko) 4 0,5 0,5 4
crans par jour et par utilisateur 100 100 50 50
Quantit / utilisateur / jour (en Ko) 400 50 25 200
Total journalier en Mo 16 2 2,5 20
Etc.

Volume total en Mo 960 320 240 190
Selon le sens de la connexion client-serveur, les flux montants (depuis le client vers le ser-
veur) et descendants (depuis le serveur vers le client) apparatront dans la premire colonne
ou la deuxime. Au final, seul le maximum des deux flux doit tre pris en compte. Cest lui
qui dterminera la bande passante maximale requise.

Calculer les dbits
Pour dimensionner une liaison, il convient destimer les besoins en termes de dbit instanta-
n. La formule de calcul gnralement admise est la suivante :

( ) Bp Vj Th Ov
Tu
=
1 1
3600
8 1024 ,

La signification des paramtres est la suivante :
Bp est la bande passante instantane calcule pour une liaison exprime en Kbit/s.
CHAPITRE 10

259
Vj est le volume journalier, estim en Ko. Cette valeur reprsente la somme des flux de-
vant circuler sur le lien considr (le maximum pris entre les flux montants et des-
cendants).
Th est un coefficient permettant de calculer le trafic ramen lheure charge. On consi-
dre gnralement que le trafic journalier est concentr sur une heure charge. Cette
hypothse part du constat que, sur 8 heures de travail, les utilisateurs sont le plus ac-
tifs sur deux priodes de pointe, entre 10 h et 11 h, et entre 15 h et 16 h. Les valeurs
gnralement admises sont comprises entre 20 % et 30 % du trafic journalier concen-
tr sur une heure.
Ov est loverhead gnr par les protocoles de transport (TCP, IP, PPP). Ce coefficient
est gnralement affect dune valeur de 20 %. Il tient compte des en-ttes et des pa-
quets de service (acquittements, etc.).
Tu est le taux maximal dutilisation de la bande passante du lien. Cette correction permet
de prendre en compte le fait que lon utilise rarement 100 % du dbit nominal dun
lien. Ce taux est gnralement fix 80 % de la bande passante, ce qui donne un sur-
dimensionnement du lien de lordre de 25 %. Pour des liaisons haut dbit, ce taux
peut atteindre 90 %.

Le rapport 1/3600 permet de ramener la volumtrie sur une heure en secondes, tandis que le
rapport 8*1,024 permet de convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1 024
octets et 1 000 bits = 1 kilobit).
Si lon prend les valeurs standard pour ces paramtres, la formule devient :
( ) 024 , 1 8
3600
1
8 , 0
1
2 , 1 30 , 0 Vj Bp =

soit, par exemple, une bande passante de 1 Mbit/s pour un volume journalier estim 1 Go.
Si la liaison doit servir de secours pour n autres liaisons de dbit D
N
sans que les performan-
ces ne soient dgrades, la bande passante du lien doit tre augmente de la somme de ces
dbits D
N
. Dans notre cas, nous choisirons un mode dgrad, afin de limiter les cots.

Liaison Volume en Ko Vj
30 % lheure
charge Th
Overhead
protocole Ov
Taux d'occupation
du lien Tu
Dbit du lien
en Kbit/s
P T
960 000 0,3 1,2 0,8 984
T S
240 000 0,3 1,2 0,8 246
Etc. ... ... ... ...

Le dbit du lien doit tre arrondi la valeur suprieure des dbits proposs par les opra-
teurs, soit, dans notre cas, 1 Mbit/s entre Paris et Toulouse et 256 Kbit/s entre Toulouse et
Strasbourg.

260
260
Tenir compte des temps de rponse
Pour des applications client-serveur reposant sur des extractions de donnes et assimilables
des transferts de fichiers, le critre performance se pose en termes de dlai maximal de
transfert des donnes. Il convient donc de calculer les dbits ncessaires en fonction des d-
lais acceptables et des volumes estims :
Bp
Vo
Tps
=

Bp est la bande passante ncessaire.
Vo est le volume moyen (converti en kilobits) des donnes extraites suite une requte.
Tps est le temps de rponse souhait.
Cette dmarche est combiner avec une tude de cot, car il faut trouver un compromis
avec la performance. Il faut donc recourir une simulation des temps de rponse obtenus en
fonction des dbits des liens, et ventuellement les mesurer pour diffrentes tailles de requ-
tes.
Par exemple, le tableau suivant compare les temps de transfert de donnes de diffrentes
tailles en fonction du dbit de la ligne.

Volume en Ko 64 Kbit/s 128 Kbit/s
10 1,25 s 0,62 s
20 2,50 s 1,25 s
30 3,75 s 1,87 s
50 6,25 s 3,12 s
Cot mensuel HT 1 200 2 200

Il vous appartient alors de mettre en balance le cot et les performances souhaites.

11
Btir un rseau
de transport

Le rseau WAN qui interconnecte les rseaux LAN utilise les services dun rseau de
transport. Celui-ci vhicule galement de la voix, de la vido, etc.

Le rseau de transport correspond aux couches physique (niveau 1) et logique (niveau 2).
Sur le LAN nous avions Ethernet, sur le WAN, nous allons avoir ATM et Frame Relay.

Ces technologies rpondent des contraintes plus larges que celles dune interconnexion de
LAN. Notre rseau intersite nest donc quun utilisateur parmi dautres, tels un rseau de
PABX pour la tlphonie ou des connexions entre salles de visioconfrence.

interconnecter des rseaux locaux via Frame Relay et ATM ;
configurer les circuits virtuels ;
grer la qualit de service ;
connatre la signalisation et ladressage.

LS, Frame Relay, ATM

262
LS, Frame Relay ou ATM ?
En tant quutilisateur, seul le service compte, quelle que soit la technologie employe. Le
choix de lune des trois solutions qui soffrent nous se fera en fonction de nos besoins, de
loffre du march et du cot, que ce soit dans le cadre dune solution prive ou oprateur.
Comme nous lavons vu au chapitre prcdent, il est possible de choisir entre diffrentes
technologies et diffrents niveaux de service.
Pour une interconnexion de rseaux locaux, la LS est la solution idale. partir dun certain
nombre de sites (une dizaine, voire moins linternational), la solution oprateur reposant
sur un rseau Frame Relay ou ATM devient plus rentable.
La technologie Frame Relay est actuellement la plus rpandue, mais les oprateurs investis-
sent dans ATM. En 1997, leurs rseaux reposaient pour 30 % sur une infrastructure Frame
Relay et pour 45 % sur ATM. En 1998, la proportion tait de 22 % pour Frame Relay et
61 % pour ATM.

Solution
prive ?
oui
Frame Relay
64 Kbit/s 34 Mbit/s
Service oprateur niveau 2 :
Frame Relay ou ATM
Non
Service oprateur
niveau 1 : LS
Voix +
donnes ?
Besoin de
haut dbit ?
ATM
plus de 34 Mbit/s
PPP
64 Kbit/s 2 Mbit/s
Oui
Oui
Non
Non

Pour lutilisateur, un accs Frame Relay revient cependant moins cher. Les oprateurs rser-
vent donc ATM pour des accs haut dbit (34 Mbit/s et plus), et limitent les accs Frame
Relay 34 Mbit/s, voire 8 Mbit/s.
Techniquement, ATM a tout pour simposer, mais lhistoire de linformatique nous a montr
que cela nest pas un gage de prennit. Rappelons-le, les protocoles qui se sont imposs
sont les plus simples, les moins chers et surtout les mieux adapts aux besoins des utilisa-
teurs.
Btir un rseau de transport
CHAPITRE 11

263
Par exemple, les principaux inconvnients dATM sont :
un overhead trs important (plus de 10 %) ;
un manque de maturit dans la normalisation et les offres.
En revanche, le point fort dATM rside dans sa capacit multiservice : il permet de crer
des rseaux locaux et tendus (LAN et WAN) et transporte les flux multimdias. Malheu-
reusement, cest justement sur ces points quATM manque de maturit : les normes ne sont
pas stabilises, ou non satisfaisantes, et aucune offre ne permet de transporter simultanment
les flux voix, donnes et vido.
En ralit, ATM est actuellement utilis en tant que :
rseau fdrateur WAN pour les rseaux fdrateurs (backbone) des oprateurs ;
rseau fdrateur LAN par les entreprises, en association avec les rseaux virtuels
LANE (LAN Emulation).
Mais, mme sur ces crneaux, il est concurrenc par le Gigabit Ethernet.

Critre Frame Relay ATM
Dbit De 64 Kbit/s 45 Mbit/s partir de 34 Mbit/s
Qualit de service Gestion des congestions, dbit garanti Gestion des congestions, dbit garanti,
trafic synchrone, priorits
Rseau WAN LAN et WAN
Application Voix et donnes (vido via IP) Voix, donnes et vido
DSU FRAD DXI ou ATM
Overhead pour un MTU
de 1 500 octets
0,5 % 10,4 % au minimum
Adressage Local (DLCI) Local (VPI/VCI)
Normes ITU Q.922 / Q.933 ITU I.361 I.363 / Q.931 et ATM Forum
Transport dIP RFC 2427 (NLPID/SNAP) RFC 1483 (LLC/SNAP)
RFC 2225 (Classical IP)

ct de ces deux protocoles, nous retrouvons nos LS (lignes spcialises) qui sont dans
tous les cas la base dun rseau de transport Frame Relay ou ATM. Nous pouvons mme d-
cider de btir notre rseau uniquement sur des LS, comme nous lavons fait pour notre pre-
mire interconnexion.


264
Mettre en place un rseau de LS
La mise en place dun rseau de LS implique de commander vous-mme les liaisons auprs
des oprateurs locaux. En France, on peut sadresser France Tlcom et, bientt,
dautres, pour toutes nos LS. Il suffit dindiquer loprateur le dbit souhait, les adresses
des sites connecter et, si cela est propos, le type dinterface dsire : V.35 ou X21/V11 la
plupart du temps.

Figure 11-1.
Rseau intersite
reposant sur des LS.

Pour la liaison internationale Strasbourg-Londres, le problme se complique puisque vous
avez affaire deux oprateurs, BT et France Tlcom, par exemple. La liaison est adminis-
trativement dcoupe en demi-circuits, chacun tant gr par loprateur situ aux tenants
et aboutissants de la LS.
Votre correspondant Londres doit donc sadresser BT pour la fourniture du demi-circuit
anglais, et vous devez faire de mme auprs de France Tlcom pour le demi-circuit fran-
ais. Dans le cas o la LS traverse plusieurs autres pays, aucune autre dmarche nest ef-
fectuer.
Les oprateurs ont pass des accords de coopration multilatraux et ont mis en place des
structures de coordination pour que les demi-circuits soient regroups en une seule liaison
internationale. Cette procdure est transparente pour vous. Nanmoins, le dlai de mise en
service est gnralement de dix semaines, voire plus dans certains pays.
La mise en service de la LS se concrtise par linstallation dun modem numrique CSU
(Channel Service Unit) dans vos locaux et par un test BERT (Bit ERror Tests). Ce dernier
consiste envoyer un train continu de bits pendant une dure minimale de 24 heures, et
mesurer le taux derreur qui ne doit pas dpasser 10
-6
10
-10
(une erreur tous les 10 milliards
de bits).
Gnralement, loprateur vous accorde un dlai de quelques jours avant de dclarer la liai-
son oprationnelle et de dbuter la facturation. Cela vous permet de tester la liaison avec vos
routeurs.
S0
E0
E0 E0
E0
192.168.0.1
1 Mbit/s
128 Kbit/s
10.0.0.1
E0
E0
S1
RNIS
S0
Bri0
S0
Bri0
256 Kbit/s
S1
S0
1 Mbit/s
512 Kbit/s
S1 S0
S0
S1
S2
10.16.0.1
Strasbourg
Londres
E0
128 Kbit/s
10.12.0.1
128 Kbit/s
10.8.0.1
10.4.0.1 10.4.0.2
Marseille
Toulouse Toulouse
Orlans
Paris
S3
S0
S2
CHAPITRE 11

265
Mettre en place un rseau Frame Relay
Faire appel un oprateur permet de ne sadresser qu un seul interlocuteur, quels que
soient les pays concerns. Mme en retenant un oprateur tranger pour vos sites franais,
celui-ci se chargera de commander les liaisons daccs (en fait, des LS aux technologies E1
ou xDSL) auprs de loprateur local. Il suffit de lui indiquer les adresses de vos sites pour
quil commande les LS entre vos sites et ses POP les plus proches.
Comme pour la LS, loprateur local installe son modem numrique (le CSU) dans vos lo-
caux. Loprateur retenu pour le rseau Frame Relay installe ensuite un commutateur appel
FRAD (Frame Relay Access Device) quil va connecter au modem. Linterface srie du rou-
teur sera ensuite connecte un des ports du FRAD.

Figure 11-2.
Responsabilits
des configurations
de laccs
Frame Relay.

Le FRAD est un quipement de conversion entre des protocoles dentre (interfaces E1,
X.21/V11, voix, donnes, etc.) et le protocole Frame Relay. Cet quipement prend les pa-
quets IP issus dun routeur, ou les canaux voix issus dun PABX, et les encapsule dans les
trames Frame Relay. Le FRAD est reli via la liaison daccs au commutateur Frame Relay
situ dans le POP de loprateur. Plusieurs flux sont ainsi multiplexs sur une mme liaison.

Figure 11-3.
Rseau intersite
reposant
sur un rseau oprateur
Frame Relay.

LS d'accs
FRAD CSU
FR
Oprateur
Frame Relay
Oprateur local
Routeur
Backbone de
l'oprateur
Oprateur Frame Relay
POP Votre local technique
Vous ou l'oprateur
Frame Relay
E0
E0 E0
E0
192.168.0.1
512 Kbit/s
128 Kbit/s
10.0.0.1 E0 E0
S1
RNIS
S0
Bri0
S0
Bri0
S0
512 Kbit/s
512 Kbit/s
S0 S0
S0
10.16.0.1
E0
128 Kbit/s
10.12.0.1
256 Kbit/s
10.8.0.1
10.4.0.1 10.4.0.2
Orlans
S0
Frame Relay
1 Mbit/s
128 Kbit/s
Strasbourg
Londres
Marseille
Toulouse Toulouse
Paris

266
Les avantages sur la premire solution sont immdiatement perceptibles :
Il ny a plus quune seule LS par site. Nous avons besoin de moins dinterfaces srie, ce
qui diminue dautant le cot de nos routeurs.
Les LS sont locales entre nos sites et les POP de loprateur, ce qui diminue galement
leur cot.

Critre Solution oprateur Solution prive
Caractristiques de loffre
Un rseau fdrateur et des liaisons
locales.
Des liaisons longue distance entre les
sites.
Dmnagement dun site
Facile : une liaison locale changer.

Cots rduits.
Difficile : plusieurs liaisons longue dis-
tance changer.
Cots levs dus aux changements et
la priode de recouvrement.
Modification des dbits
Trs souple : dbit des liaisons locales
et/ou des CIR.
Assez difficile (surtout linternational) :
changement du dbit des liaisons lon-
gue distance.
Redondance de site (second site
en secours du premier)
Possible : une liaison locale sur le site
principal et une sur le site de secours.
Impossible, sauf doubler les liaisons
longue distance (trs cher).
Exploitation du rseau
Prise en charge par loprateur. Prise en charge par le client via des
contrats de maintenance.

Nous avons conserv notre LS entre Paris et Orlans, car le rseau oprateur tait plus cher
dans ce cas prcis. Cette situation permet de montrer lusage de trois rseaux doprateurs :
liaison spcialise, RNIS et Frame Relay. Par ailleurs, deux liaisons daccs ont t conser-
ves Toulouse car le site est stratgique.
Qualit de service et facturation
Un oprateur sengage toujours sur une qualit de service et base son offre commerciale sur
les mcanismes offerts par les protocoles quil utilise.
Par exemple, Frame Relay permet de grer la congestion du rseau, de diminuer le dbit
des LS et donc les cots. Comment ? La rponse est intimement lie au fonctionnement du
protocole Frame Relay.
Dbit garanti
Tout dabord, le rseau garantit lutilisateur un volume de Bc (committed burst size) kilo-
bits pendant une priode de Tc (committed rate measurement interval) secondes, dfinissant
ainsi un dbit garanti CIR (Committed Information Rate) : CIR = Bc / Tc. Lorsque le com-
mutateur voit passer plus de Bc kilobits pendant Tc secondes (cest--dire lorsque le dbit
dpasse le CIR), le bit DE (Discard Eligibility) des trames en dpassement est positionn
1 . Cela signifie que ces trames seront dtruites en priorit en cas de congestion du r-
seau.
CHAPITRE 11

267
Ensuite, le rseau autorise lutilisateur un volume supplmentaire de Be (excess burst size)
kilobits pendant une priode de Tc secondes, dfinissant ainsi un dbit en excdent EIR
(Excess Information Rate) : EIR = Be / Tc. Lorsque le commutateur voit passer plus de
Bc+Be kilobits pendant Tc secondes (quand le dbit dpasse lEIR), toutes les trames en ex-
cs sont dtruites.
Gnralement, la priode de mesure Tc est fixe une seconde, et lAIR (Allowed Informa-
tion Rate = CIR + EIR) ne dpasse pas le dbit de la liaison daccs.

Figure 11-4.
Qualit de service
Frame Relay.

Le dbit des liaisons internes au rseau peut tre infrieur la somme des AIR des clients.
Loprateur se fonde sur des calculs de probabilit qui montrent que tous les clients
nutiliseront pas leur AIR en mme temps (surbooking), et compte sur les mcanismes de
contrle de congestion offerts par le protocole pour rsoudre les problmes. Loprateur ne
facturera ainsi que le CIR (le dbit garanti), lEIR tant gratuit ou presque.
Ds lors, tout le monde joue sur les CIR : le client pour payer le moins cher possible, et
loprateur pour dpenser le moins possible.
Le dbit de la liaison daccs peut ainsi tre de 512 Kbit/s, et celui du CIR de 64 Kbit/s ; ce
qui permet dobtenir un dbit maximal de 512 Kbit/s tout en ne payant que pour 64 Kbit/s.
Inversement, pour un site central, la somme des CIR peut tre gale 200 % du dbit de la
liaison daccs (on espre alors que toutes les applications nutiliseront pas le rseau en
mme temps).

CIR
Intervalle de mesure : Tc secondes
Taille du burst garanti : Bc kilo-bits

EIR
Taille du burst en excs : Be kilo-bits
Dbit de la ligne daccs
Kilo-bits
Secondes
Kbit/s
DE = 1
Trames dtruites
Trames dtruites
si congestion

268
Cependant, le dbit offert au-del du CIR ntant pas garanti, les temps de rponse risquent
dtre mauvais et erratiques. Il est donc conseill de dimensionner suffisamment les CIR
afin dobtenir une bonne qualit de service, notamment pour les applications que vous
considrez comme tant critiques et surtout pour les flux voix.
Connecter un routeur au rseau de transport
La norme Frame Relay dfinit uniquement une interface daccs pour lutilisateur. Bien
quil soit possible de raliser un rseau 100 % Frame Relay, le rseau interne de loprateur
repose souvent sur un protocole propritaire ou ATM. Pour le client, cela na pas
dimportance : il faut simplement que linterface soit de type Frame Relay.
Chaque trame est identifie par un DLCI (Data Link Connection Identifier), une adresse lo-
cale partage par deux commutateurs. Il ny a pas dadressage de bout en bout, mais uni-
quement un adressage point point entre deux commutateurs. Un commutateur recevant une
trame avec un DLCI donn la routera sur un autre port et lenverra avec un autre DLCI, et
ainsi de suite.
La connexion entre deux commutateurs seffectue par louverture de circuits virtuels perma-
nents (PVC, Permanent Virtual Circuit) ou commuts (SVC, Switched Virtual Circuit),
cest--dire ouverts la demande via un protocole de signalisation (qui utilise quelques
Kbit/s dans le DLCI 0).
Lintrt des SVC est que la qualit de service (CIR et EIR) peut tre spcifie la de-
mande, permettant ainsi de rduire (encore) les cots. Sur un PVC, le CIR est fix une fois
pour toutes et engendre un cot fixe. De plus, la signalisation Q.933 utilise pour tablir les
SVC permet de demander un dlai de transit maximal, alors que cette fonction nest pas
prvue pour les PVC.

Figure 11-5.
Circuits virtuels
et DLCI Frame Relay.

DLCI 40
DLCI 500
DLCI 40
DLCI 200
DLCI 50
DLCI 60
FR
FR
FR
FR
Reroutage du DLCI en cas
de problme sur une liaison.
PVC ou SVC
PVC ou SVC
Un DLCI par application : un pour le
routeur, un pour le PABX, etc. ou un
par protocole (IP, IPX, Decnet, etc.).
Routeur
PABX
DLCI 200
DLCI 300
CHAPITRE 11

269

LE POINT SUR FRAME RELAY (ITU Q.922 ANNEXE A, ANSI T1.618, FRF 1.1)
Le Frame Relay (relais de trames) est un protocole de niveau 2 multipoint, qui dfinit uniquement linterface
daccs au rseau (UNI, User Network Interface). Les nuds intermdiaires relaient les trames sans rali-
ser le moindre contrle de flux ni aucune reprise sur erreur : les trames peuvent ainsi tre transportes par
nimporte quel protocole. Seuls les nuds dextrmit sont tenus de respecter la norme Q.922, appele
Frame Relaying Bearer Service .
DLCI
8 7 6 5 4 3 2 1
DLCI F B
C 0
D E
Bits
Donnes
(1 4 096 octets)
FCS
(2 octets)
Dlimiteur
DLCI = Data Link Connection Identifier
C = Bit C/R pour Command / Response
F = Bit FECN pour Forward Explicit Congestion
Notification
B = Bit BECN pour Backward Explicit
Congestion Notification
D = Bit DE pour Discard Eligibility
E = Bit EA pour Extended Address
FCS = Frame Check Sequence
Dlimiteur = 01111110
Dlimiteur

Le champ FCS est un code de contrle derreur de type CRC (Cyclic Redundancy Check). Si une erreur
est dtecte, la trame est dtruite. Les pertes de donnes et les reprises sur erreur sont laisses
linitiative des couches suprieures (TCP dans les cas Internet/intranet). Le bit EA permet dtendre les 10
bits du DLCI 16 ou 23 bits.
Lorsque le dbit des trames atteint le CIR (Commited Information Rate), le commutateur positionne le bit
DE 1 . Si, dans le rseau, une congestion est dcele, les trames marques DE seront dtruites en
priorit. Autrement dit, le dbit peut donc dpasser le CIR, mais sans garantie.
Les congestions sont dtectes au niveau des files dattente. Lorsquun seuil est dpass, le commutateur
avertit explicitement lmetteur du flux (en positionnant 1 le bit BECN des trames circulant dans lautre
sens) et le rcepteur du flux (en positionnant le bit FECN 1 ).
La recommandation Q.922 suggre que le commutateur metteur rduise son flux de 30 % si, pour plus de
S % des trames quil reoit, le bit BECN est positionn 1 . La valeur S est calcule dynamiquement en
fonction du dbit, du dlai de transit, des paramtres Bc et Be, etc. Si le bit BCEN est toujours positionn
1 dans les trames qui continuent darriver, le flux est rduit de 50 %, puis de 75 % si le problme per-
siste.
La recommandation Q.922 suggre galement que le commutateur rcepteur rduise son flux de 25 % si,
pour plus de la moiti des trames quil reoit, le bit FECN est positionn 1 . Si la proportion sinverse, il
peut augmenter son flux par paliers de 1/16.
Les quipements terminaux (les routeurs, par exemple) peuvent galement interprter le bit BECN, et r-
agir de la mme faon que les commutateurs. De mme, ils peuvent dtecter implicitement des problmes
de congestion lorsque des trames sont perdues aprs quun certain nombre dentre elles aient t reues
avec les bits DE 1 .
Cependant, la norme Q.922 prconise que les commutateurs avertissent les quipements terminaux des
congestions via le protocole CLLM (Consolidated Link Layer Management). Les messages CLLM (envoys
dans le DLCI 1023) contiennent la liste des DLCI pouvant causer des congestions court, moyen et long
termes. Cette signalisation de niveau 3 est plus fiable que linterprtation des bits BECN et DE, car elle
vite lattente de trames (seuls vecteurs des bits BECN et DE) et vite aux couches suprieures davoir
affaire des informations internes au niveau 2.

270
Un PVC peut tre gr comme un SVC au sein du rseau de loprateur. Cette facilit lui
permet doffrir le reroutage du PVC en cas de panne. Le client ne voit cependant quun
PVC, appel soft PVC, switched PVC ou encore shadowed PVC.
Si le routeur ne supporte pas Frame Relay
La manire la plus simple de raccorder nos routeurs est de les connecter des FRAD
(Frame Relay Access Device) de loprateur via leur interface srie.
Une liaison Frame Relay peut tre configure en point point ou en multipoint. Dans tous
les cas, elle permet au routeur de joindre directement nimporte quel autre routeur. Elle doit
donc tre considre comme tant un rseau IP, au mme titre quun segment Ethernet, ce
qui implique daffecter une adresse IP linterface srie du routeur.
interface serial 1
ip address 172.16.0.1 255.255.255.252
encapsulation hdlc

QUEST-CE QUE LA SIGNALISATION ?
Dans le jargon de lITU, la signalisation est un protocole qui permet de grer ltat des connexions : ouver-
ture et fermeture, ngociation des paramtres, gestion de la qualit de service, etc. Vis--vis de
lutilisateur, la signalisation est appele UNI (User Network Interface). Entre les quipements rseau, la
signalisation est dsigne sous le nom gnrique de NNI (Network to Network Interface).
Dans le monde TCP/IP, la sparation signalisation/donnes utilisateur nest pas si nette : le trafic de ser-
vice est souvent ml au trafic des donnes. Quelques protocoles utilisent cependant le principe de spa-
ration, tel que FTP : le client et le serveur ouvrent deux ports TCP, le 21 pour envoyer les commandes, le
20 pour transfrer les donnes.
Dans tous les cas, il sagit dune sparation logique, car la bande passante est partage entre les donnes
de service et les donnes utilisateur. Dans les rseaux des oprateurs, la signalisation peut cependant
emprunter un chemin diffrent de celui des donnes.
En fait, cette sparation na rellement de sens que pour les protocoles de niveau 2 agissant en mode
connect, tels que Frame Relay et ATM. Une signalisation de niveau 3 permet ainsi de grer les circuits
virtuels de bout en bout laide dun adressage global de niveau 3.

Norme ITU Description
Q.2931 et suivants UNI ATM pour les rseaux publics = DSS2 (Digital Subscriber Signalling System No. 2)
Q.2100 et suivants UNI ATM pour les rseaux privs = SAAL (Signalling ATM Adaptation Layer)
Q.931 UNI RNIS = DSS1 (Digital Subscriber Signalling System No. 1)
Q.933 UNI Frame Relay = DSS1 (Digital Subscriber Signalling System No. 1)

Toutes ces normes reposent sur le mme protocole (format des messages, procdures, paramtres gn-
raux). Seuls changent les paramtres propres chaque rseau.
CHAPITRE 11

271
Si le routeur supporte Frame Relay
La solution la plus souple consiste cependant configurer le routeur en FRAD : les trames
LAN (Ethernet dans notre cas) sont converties en trames Frame Relay.
Dans ce cas, le FRAD de loprateur nest utile que si dautres quipements sont connects,
comme un PABX.

Figure 11-6.
Connexion
dun routeur
un FRAD.

Le FRAD de loprateur se comporte comme un commutateur Frame Relay vis--vis du rou-
teur, et comme un FRAD voix (voice-FRAD) vis--vis du PABX.
Si vous choisissez un service de niveau 3, loprateur prend en charge le routeur qui peut
alors tre intgr au FRAD (ou inversement, le routeur peut supporter des cartes voix, per-
mettant de configurer en voice-FRAD). Les constructeurs tlcoms proposent des FRAD in-
tgrant cartes voix et cartes routeur, tandis que les constructeurs informatiques proposent
des routeurs intgrant des cartes voix.
Si, comme dans notre cas, seuls des rseaux locaux doivent tre connects, le routeur peut
directement tre raccord au commutateur situ chez loprateur (dans son POP) :
interface serial 1
ip address 172.16.0.1 255.255.255.252
encapsulation frame-relay ietf

Figure 11-7.
Connexion
dun routeur
un commutateur
Frame Relay.

Loption ietf indique au routeur de respecter le RFC 2427 au lieu dutiliser le format
propre Cisco.

LS d'accs
Commutateur
chez loprateur
FRAD
CSU
(modem numrique)
FR
PABX
FR FR
E1
Routeur
LAN FRAD

LS d'accs
Commutateur
chez loprateur
FRAD CSU
(modem numrique)
FR
FR
Routeur
10.0.0.1
E0
S1

272
Grer les circuits virtuels
La gestion des CV (circuits virtuels) implique lactivation de trois mcanismes :
1. un protocole de signalisation Q.933 qui permet douvrir et de fermer les SVC et de grer
les CV (PVC et SVC) ;
2. lutilisation de la procdure LAP-F (dcrite dans la norme Q.922) qui permet de
transporter les messages Q.933 de manire sre (reprise sur erreur, contrle de flux,
etc.) ;
3. un adressage global de bout en bout E.164 ou X.121 pour les SVC.
Ainsi, les routeurs peuvent changer des informations avec les commutateurs en utilisant la
signalisation LMI (Local Management Interface). Notre routeur supporte trois formats de
messages : celui de lANSI (T1.617), celui de lITU (Q.933) et un autre, propre Cisco, qui
utilise le DLCI 1023 (en principe rserv CLLM). Nous prfrons utiliser le mode de
fonctionnement dfini par lITU.
interface serial1
frame-relay lmi-type q933a
Les paramtres par dfaut peuvent tre utiliss pour la signalisation Q.933 et la procdure
LAP-F. La configuration en devient simplifie. Si la liaison est de mauvaise qualit (souvent
suite un problme survenu sur la liaison daccs), il peut tre intressant de rduire la taille
initiale de la fentre 8, voire 1 :
interface serial1
frame-relay lapf k 8
a comme Annexe A de la
norme Q.933
ENCAPSULATION DANS FRAME RELAY (RFC 2427, ANSI T1.617A, FRF 3.1)
Deux mthodes sont dfinies pour encapsuler les protocoles dans une trame Frame Relay. La plupart le
sont par la mthode SNAP (Sub Network Access Protocol) tandis que certains, dont IP, peuvent ltre soit
via SNAP, soit directement dans la trame via lidentificateur NLPID (Network Level Protocol ID).
DLCI
DLCI F B
C 0
D E
Encapsulation SNAP
Paquet IP
FCS
(2 octets)
Dlimiteur
Dlimiteur
Contrle = champ de contrle sur un octet.
Valeur = 3 (trame de type UI).
PAD = un octet de bourrage pour alligner sur
des octets pairs (dpend de la longueur du
DLCI)
NLPID = Network Level Protocol ID
(0x80 = SNAP, 0xCC = IPv4, 0x8E = IPv6,
0x08 = Q.933, etc.)
Contrle = 0x03 = UI
PAD
NLPID = 0xCC
Paquet IP
OUI (3 octets) = 0x000000
PID (2 octets) = 0x0800
NLPID = 0x80
OUI = Organizationally Unique Identifier
(0x000000 = Ethertype,
0x0080C2 = trame IEEE, etc.).
PID = Ethertype si OUI = 0x00000 ou code
trame IEEE (0x0001 ou 0x007 pour les
trame 802.3, etc.)
Ethertype = identique au champ Type de la trame
Ethernet (0x800 = IP, etc.)
Encapsulation directe
PAD

Si la fonction pont est active sur le routeur, les trames Ethernet, Token-Ring, FDDI, etc., sont encapsules
dans une trame Frame Relay selon la mthode SNAP.
CHAPITRE 11

273

Combien de circuits virtuels ?
La premire question se poser est de savoir combien de PVC ou de SVC utiliser : un cir-
cuit virtuel (CV) par protocole, ou un seul circuit virtuel pour tous les protocoles ?
Un CV par protocole permet de bnficier dun dbit garanti, ce qui assure que les
transferts de fichiers ne perturberont pas les flux conversationnels. Mais cette solution
cote plus cher, car les oprateurs facturent chaque CV en fonction du CIR affect.
Un seul CV est plus conomique, mais tous les flux de rseaux locaux sont mls. Le
contrle du flux doit donc tre report au niveau du routeur travers un systme
daffectation de priorit par protocole ou de rservation de ressources (voir chapitre 14).
Ces mcanismes fonctionnent gnralement bien.
Nous choisirons donc la seconde solution.
Un site peut communiquer avec plusieurs autres sites, ce qui implique dutiliser un CV par
connexion, les CV Frame Relay tant de type point point.
Si nous voulons construire un rseau parfaitement maill, chaque routeur doit voir un CV
par site distant. Cette configuration est envisageable, mais risque dtre onreuse, car
loprateur facture chaque CV.
Si vous voulez rduire les cots, il vaut mieux dfinir des CV l o les flux sont les plus im-
portants. Les autres communications transiteront ventuellement par plusieurs routeurs (par
exemple, Marseille Paris dans notre cas).

LA SIGNALISATION FRAME RELAY (ITU Q.933, ANSI T1.617)
Les commutateurs Frame Relay utilisent un PVC ddi (DLCI 0) pour vhiculer les messages de signalisa-
tion Q.933. Ce protocole sappuie sur celui utilis par le RNIS (Q.931).
La premire fonction offerte permet lquipement dextrmit (un routeur, par exemple) de demander
louverture et la fermeture des SVC (Switched Virtual Circuit). Pour louverture, les messages Setup et
Connect contiennent le numro dappel (adresse aux formats E.164 ou X.121), le DLCI affect, etc., ainsi
que le dlai maximal de transit ngoci. Louverture du SVC se traduit par laffectation des DLCI entre les
commutateurs et les quipements terminaux.
La deuxime fonction a trait la procdure LMI (Local Management Interface) dont le rle est de surveiller
ltat des PVC (Permanent Virtual Circuit). Des messages Status Enquiry sont priodiquement envoys par
lquipement terminal (un routeur, par exemple) pour connatre ltat du PVC. Le commutateur rpond par
un message Status (PVC actif, inactif, etc., ou nouveau PVC). En cas de dfaillance, le routeur peut ainsi
rerouter les flux. Le commutateur peut galement interroger lquipement terminal.
Les messages ELMI (Enhanced LMI) permettent au commutateur de communiquer lquipement terminal
(un routeur, par exemple) la valeur des CIR, Be, Bc, etc. Le support de cette norme vite davoir configu-
rer les paramtres en double, la fois sur le commutateur et sur le routeur.

274

Figure 11-8.
Exemples
de circuits virtuels.

La question du choix entre PVC et SVC ayant t discute prcdemment, nous commence-
rons par configurer des PVC.

E0
E0 E0
E0
192.168.0.1
512 Kbit/s
10.0.0.1 E0 E0
S1
RNIS
S0
Bri0
S0
Bri0
S0
512 Kbit/s
512 Kbit/s
S0 S0
S0
10.16.0.1
E0
128 Kbit/s
10.12.0.1
256 Kbit/s
10.8.0.1
10.4.0.1 10.4.0.2
Orlans
S0
1 Mbit/s
128 Kbit/s
Strasbourg
Londres
Marseille
Toulouse Toulouse
Paris
LA COMMUTATION FRAME RELAY (ITU Q.922)
La norme dfinit un second mode de fonctionnement, appel Frame Switching Bearer Services , qui offre
des mcanismes de reprise sur erreur et de contrle de flux. Il repose sur lutilisation de la procdure LAP-F
(Link Access Procedure-Frame) inspire du LAP-D du RNIS (Q.921), lui-mme issu du LAP-B de HDLC. Le
format des trames diffre lgrement, mais les principes restent les mmes.
Ce mode de fonctionnement nest actuellement utilis que pour le PVC vhiculant la signalisation Q.933
(dans le DLCI 0).
DLCI
8 7 6 5 4 3 2 1
DLCI
1
2
F B
C 0
D E
Bits
Octets
Donnes
(1 2 048 octets)
FCS (2 octets)
Dlimiteur
Dlimiteur
DLCI = Data Link Connection Identifier
C = Bit C/R pour Command / Response
F = Bit FECN pour Forward Explicit Congestion
Notification
B = Bit BECN pour Backward Explicit
Congestion Notification
D = Bit DE pour Discard Eligibility
E = Bit EA pour Extended Address
FCS = Frame Check Sequence
Dlimiteur = 01111110
Contrle (1 ou 2 octets)

CHAPITRE 11

275

Configurer les PVC
Dans notre rseau, un site peut communiquer avec plusieurs autres sites : les communica-
tions sont dites multipoint. Lutilisation des interfaces non numrotes (unnumbered) est
toujours possible, mais il vaut mieux considrer le rseau Frame Relay comme tant un r-
seau IP part entire : il sera plus volutif et pourra tre administr. Notre plan dadressage
(voir chapitre 5) prvoit daffecter le rseau 172.16.0.0/16.
LA COMMUTATION FRAME RELAY (SUITE)
Le champ Contrle a t ajout la trame standard. Il permet la procdure LAPF de fournir un mca-
nisme de reprise sur erreur et de contrle de flux. Il existe trois formats de trames (I, S, U) dfinissant
autant de formats du champ de contrle.

N(S)
8 7 6 5 4 3 2 1
N(R)
0
P/F
Bits Trame I = Information
Trame S = Supervision
Trame U = Unnumbered
N(S) = Numro squence mission
N(R) = Numro squence rception
P/F = Poll/final (trame commande/rponse)
Su = Supervision
M = Modifier function
Les bits Su et M distinguent les 11 types de trames
(SABME, UI, DISC, XID, RR, RNR, etc.)
Trame I
N(R)
1
P/F
Trame S 0 0 0 0 0
1 Trame U M M M M M 1 P/F
Su Su

Format de trame Type Description
I -- Transport des donnes utilisateur
RR Receive Ready : accus de rception, et prt recevoir
RNR Receive Not Ready : accus de rception, et non prt recevoir S
REJ Reject : trame rejete ; retransmettre partir de N(R)
SABME Set Asynchronous Balanced Mode Extended : initialisation de la procdure
U
FRMR Frame Reject : trame rejete, erreur non rcuprable
Etc.

Afin de rduire le trafic de service, une fentre dmission dune taille N (entre 1 et 127) indique que le
commutateur enverra N trames daffile et attendra un acquittement en retour. La taille de la fentre varie
au cours du temps selon la qualit de la transmission (meilleure elle est, plus N est grand).
Le champ NA(S) est le numro de squence de la trame envoye par le commutateur A ; NA(R) est celui
de la trame dernirement reue du commutateur B, augment de 1. Si, aprs N trames envoyes, le com-
mutateur A reoit un NB(R) infrieur son NA(S), cela signifie que des trames ont t perdues ou endom-
mages. Il retransmet alors toutes les trames partir du NB(R) reu, et NA(S) devient gal NB(R).

276
De plus, linterface du routeur doit tre configure avec plusieurs DLCI (un PVC par site
distant). Paris, notre oprateur nous a affect les DLCI 40 et 60, respectivement pour Tou-
louse et Strasbourg :

Figure 11-9.
Exemples
de DLCI.

interface serial1
ip address 172.16.0.1 255.255.255.248
frame-relay interface-dlci 40 broadcast
frame-relay interface-dlci 60 broadcast

Loption broadcast indique que les broadcasts IP seront transmis sur la ligne srie, permet-
tant ainsi des protocoles de routage comme OSPF de fonctionner (cf. chapitre 12).

Correspondance entre adresses IP et DLCI
Sur le rseau intersite, les routeurs utilisent le protocole Inverse ARP pour dcouvrir les
adresses IP des routeurs distants et les associer aux DLCI.

Interface multipoint : jusqu 6 sites sur
ce subnet
S1
S0
DLCI 60
DLCI 40
DLCI 60
DLCI 40
FR
DLCI 50 DLCI 50 DLCI 200 DLCI 200
Strasbourg FR
FR Paris
172.16.0.1 172.16.0.2
LE POINT SUR INVERSE ARP (RFC 1293)
Le protocole ARP (Address Resolution Protocol RFC 826) permet une station IP de connatre ladresse
physique (MAC ou autre) dune autre station en connaissant son adresse IP. Le protocole RARP (Reverse
ARP RFC 903) permet une station dobtenir, partir de son adresse MAC et auprs dun serveur
dadresses, ladresse IP qui lui a t affecte.
InARP (Inverse ARP) est le mcanisme inverse dARP : ce protocole permet une station (typiquement un
routeur) de connatre ladresse IP du routeur se trouvant lautre bout dun circuit virtuel (Frame Re-
lay ou ATM). Les paquets envoys sont identiques ceux dARP. Le routeur envoie une requte InARP, et
attend une rponse contenant ladresse IP du routeur distant. Le routeur associe alors ladresse IP reue au
DLCI local du circuit virtuel. Plusieurs routeurs distants peuvent rpondre si les circuits virtuels sont de type
multipoint. InARP fonctionne sur le mme principe pour dautres protocoles, tels que Decnet, Apple Talk ou
IPX.
CHAPITRE 11

277

Si vous rencontrez des problmes dincompatibilit avec ce protocole, ou si InARP nest pas
pris en charge par le routeur distant, vous devez associer manuellement ladresse IP de des-
tination avec le DLCI :
interface serial 1
ip address 172.16.0.1 255.255.255.248
frame-relay map ip 172.16.0.6 40 broadcast
frame-relay map ip 172.16.0.2 60 broadcast

Loprateur configure les mmes DLCI sur son quipement (FRAD ou commutateur) reli
au routeur.

Configurer les SVC
Le choix de circuits virtuels commuts peut tre intressant double titre :
Du point de vue du cot, tout dabord. Loprateur facture le SVC uniquement lorsquil
est ouvert (facturation la dure et/ou au volume).
Du point de vue des performances ensuite. Si de nombreux CV doivent tre utiliss (cas
dun rseau parfaitement maill, par exemple), fermer ceux qui sont inutiles permet de
librer des ressources mmoire et CPU dans les routeurs et les commutateurs.

En plus de la signalisation Q.933 et de la procdure LAP-F, les SVC ncessitent lemploi
dun troisime mcanisme, celui de ladressage (voir la fin de ce chapitre pour plus de d-
tails). Frame Relay utilise soit celui du RNIS (E.164) dans le cas des rseaux publics, soit
X.121 dans le cas des rseaux privs et publics. Cet adressage de niveau 3 est utilis par le
protocole de signalisation Q.933 pour ouvrir les SVC, cest--dire affecter dynamiquement
les DLCI dentre et de sortie dans chaque commutateur travers. Les trames sont ensuite
achemines en fonction des DLCI qui ralisent un adressage de niveau 2.

Cette fois, lactivation des SVC ncessite une configuration manuelle, non des DLCI, mais
des adresses E.164 ou X.121, ainsi que lassociation des SVC avec les adresses IP.

Figure 11-10.
Affectation
dynamique
des DLCI.

S1
S0
E.164=0144759800
FR
E.164=0357859800
DLCI affects dynamiquement
lors de louverture du SVC
Strasbourg FR
FR Paris
172.16.0.1 172.16.0.2
E.164=0475020300

278
interface ser 1
ip address 172.16.0.1 255.255.255.248
frame-relay svc
map group strasbourg
map group toulouse

map-list strasbourg source-addr E.164 0144759800 dest-addr E.164
0357859800
ip 172.16.0.2 class operateur broadcast ietf

map-list toulouse source-addr E.164 0144759800 dest-addr E.164
0475020300
ip 10.16.0.6 class operateur broadcast ietf

map-class frame-relay operateur
frame-relay traffic-rate 256000 384000

Les CIR et AIR sont utiliss lors de la ngociation qui a lieu louverture du SVC. Ces pa-
ramtres doivent tre identiques ceux configurs dans le commutateur.
Grer la qualit de service
Quel que soit le type de CV, le routeur peut moduler les flux de donnes selon ltat du r-
seau (en cas de congestion). Sur les routeurs Cisco, la qualit de service est gre en activant
la fonction traffic shaping (voir chapitre 14). cette occasion, le routeur met en place une
file dattente par DLCI, et adapte le flux en fonction des informations envoyes par le com-
mutateur :
interface serial 1
ip address 172.16.0.1 255.255.255.248
frame-relay traffic-shaping

De plus, lactivation de la fonction ELMI (Enhanced Local Management Interface) permet
au routeur de connatre automatiquement les paramtres Frame Relay en recevant les mes-
sages LMI du commutateur (sur le DLCI 0). Le commutateur communique ainsi au routeur
les valeurs des paramtres CIR, Be et Bc :
frame-relay qos-autosense

Enfin, les commutateurs peuvent informer les routeurs de ltat du rseau de deux manires :
via les messages CLLM (Consolidated Link Layer Management) ou via le bit BECN
(Backward Explicit Congestion Notification). Nous prfrons le mode CLLM (appel fore-
sight chez Cisco) au mode BECN, moins fiable (voir encadr Le point sur Frame Relay ).
Paramtre optionnel
CIR = 256 Kbps
AIR = CIR + EIR
Encapsulation selon
la RFC 2427
CHAPITRE 11

279
interface s 1
ip address 172.16.0.1 255.255.255.248
frame-relay class operateur
!
frame-relay adaptive-shaping foresight

Il se peut que les fonctions CLLM et ELMI ne soient pas disponibles sur le FRAD de
loprateur ou que lon y rencontre des incompatibilits. La solution est donc de configurer
manuellement tous les paramtres. Lquivalent de la configuration prcdente est, de ce
fait, plus complexe :
interface s 1
bandwidth 512
ip address 172.16.0.1 255.255.255.248
frame-relay class operateur

frame-relay traffic-rate 256000 384000

La commande traffic-rate indique le CIR et lAIR, que nous avons respectivement position-
ns 256 Kbit/s et 384 Kbit/s. Si la valeur de lAIR est omise, la valeur par dfaut est celle
du dbit de la ligne indique par la commande bandwidth.
Il est possible de dfinir plus finement les paramtres de qualit de service dcrits dans la
norme Q.922. Le routeur Cisco permet mme de le faire dans les deux sens, bien que, gn-
ralement, les oprateurs proposent des valeurs identiques afin de simplifier la configuration
des commutateurs et la grille tarifaire. Le profil personnalis prsent ici se substitue
alors au profil oprateur prcdemment dcrit :

map-class frame-relay personnalise
frame-relay cir in 1280000
frame-relay bc in 256000
frame-relay be in 256000
frame-relay cir out 2560000
frame-relay bc out 256000
frame-relay be out 128000
frame-relay idle-timer 30
et supprimez cette commande.
Pour les SVC, ajoutez :
frame-relay svc
map group .
map-list
ip class operateur
AIR = CIR + EIR = (Bc+Be) / Tc
EIR = Be/Tc
CIR = Bc/Tc
ELMI
CLLM
Remplace ELMI

280
partir des 3 valeurs CIR, Bc et Be, on peut dduire celle de Tc (2 secondes en entre et 1
seconde en sortie).
Toujours dans loptique de grer la qualit de service, vous pouvez affecter une priorit plus
faible certains protocoles en positionnant le bit DE dans les trames qui les vhiculent :

int s 1
frame-relay de-group 1 50

frame-relay de-list 1 protocol ip characteristic tcp 20
frame-relay de-list 1 interface e 0 characteristic list 100 access-list
101
...

Par exemple, des protocoles comme FTP pourront tre marqus de cette manire afin de pri-
vilgier la voix sur IP en cas de congestion du rseau.

Les sous-interfaces
Dans certains cas, il peut tre intressant dutiliser le principe des sous-interfaces propos
par Cisco, afin dactiver un secours RNIS individuellement, par PVC, et non pas sur la chute
de linterface srie. Les sous-interfaces permettent galement de configurer le traffic sha-
ping, ainsi que dautres paramtres Frame Relay PVC par PVC.
Sur notre routeur Cisco, linterface physique est configure en Frame Relay et est associe
des sous-interfaces logiques (une par DLCI). Nous avons choisi un DLCI par site distant,
donc un mode point point pour chaque sous-interface, ce qui permet de ne pas utiliser
dadresse IP sur la liaison WAN.
interface s 1

interface serial1.1 point-to-point
ip address 172.16.0.1 255.255.255.252
frame-relay interface-dlci 40
class operateur

interface serial1.2 point-to-point
ip address 172.16.0.5 255.255.255.252
frame-relay interface-dlci 60
class personalise

Liste de DLCI (rien = tous les DLCI)
CHAPITRE 11

281
Pour terminer, il est possible doptimiser lutilisation des liaisons srie en compressant les
donnes (norme FRF.9 du Frame Relay Forum).

frame-relay map payload-compress frf9 stac

Cette commande peut sappliquer une interface physique ou une sous-interface.

Mettre en place un rseau ATM
Les rseaux ATM sont rservs aux hauts dbits : partir de 34 Mbit/s en France, et de 45
Mbit/s aux tats-Unis. La facturation associe est donc trs leve.
Nous nous plaons ici dans cette situation.
Comme prcdemment, loprateur local installe son modem numrique (le CSU) dans vos
locaux. Loprateur retenu pour le rseau ATM installe ventuellement un commutateur
ATM quil connecte au modem. Linterface srie du routeur sera ensuite connecte lun
des ports du commutateur.

Figure 11-11.
Rseau intersite reposant
sur un rseau oprateur ATM.

E0
E0 E0
E0
192.168.0.1
512 Kbit/s
128 Kbit/s
10.0.0.1 E0 E0
S1
RNIS
S0
Bri0
S0
Bri0
S0
512 Kbit/s
512 Kbit/s
S0 S0
S0
10.16.0.1
E0
128 Kbit/s
10.12.0.1
256 Kbit/s
10.8.0.1
10.4.0.1 10.4.0.2
Orlans
S0
ATM
1 Mbit/s
128 Kbit/s
Strasbourg
Londres
Marseille
Toulouse Toulouse
Paris
Mthode Stacker

282
Qualit de service et facturation
Avec ATM, les oprateurs peuvent contrler prcisment la qualit de service. Ils laborent
leur offre commerciale partir des mcanismes offerts par le protocole.
Par exemple, ATM permet de grer la congestion du rseau et doffrir diffrentes classes
de service, ce qui permet de proposer une facturation adapte chaque type de situation
(flux voix et/ou donnes et/ou vido). Comment ? La rponse est intimement lie au fonc-
tionnement du protocole ATM.
La gestion du trafic : TMS 4.0 (ATM Forum af-tm-0056.000)
La spcification TMS (Traffic Management Specification) dfinit les paramtres et procdu-
res relatifs la gestion du trafic ainsi qu la qualit de service. Elle reprend les normes de
lITU en prcisant leur fonctionnement (paramtres et procdures pris en charge ou non) et,
surtout, en les modifiant. Elle dfinit galement les procdures et algorithmes permettant
aux commutateurs ATM dassurer la qualit de service demande.

Procdure Description
CAC
(Connection Admission Control)
Avant dautoriser louverture dun CV, chaque commutateur vrifie quil pourra bien as-
surer la qualit de service demande sans remettre en cause celles dj accordes.
UPC
(Usage Parameter Control)
Chaque commutateur vrifie que le flux mis dans un CV respecte bien la QOS deman-
de. En cas de dpassement, les cellules sont marques avec le bit CLP positionn
1 et peuvent tre dtruites.
CLP Control
(Cell Loss Priority Control)
Lquipement terminal (par exemple, le routeur) peut positionner le bit CLP 1 dans
les cellules qui ne sont pas prioritaires. En cas de congestion ou de dpassement de la
QOS, les commutateurs dtruiront ces cellules en priorit.
NRM
(Network Resource Management)
Si des signes de congestion apparaissent (remplissage dune file dattente, par exem-
ple), les commutateurs peuvent mettre des cellules RM destination de lmetteur
dun flux (retour sur la qualit de service - feedback) linvitant rguler son trafic via le
mcanisme de traffic shaping.
Traffic Shaping Les quipements terminaux et les commutateurs peuvent modifier les caractristiques
du flux mis (rduction du dbit, rgulation dun trafic erratique, etc.).
Frame Discard Si une cellule est dtruite, le commutateur peut dtruire toutes les autres cellules appar-
tenant aux mmes donnes (par exemple, toutes les cellules dun paquet IP).

CHAPITRE 11

283
Figure 11-12.
Gestion
de la qualit
de service
par ATM.

Les classes de service ATM Transfer Capabilities
(ITU I.371 et TMS)
Les procdures dtailles ci-dessus ont pour but dassurer une certaine qualit de service aux
applications. Celles-ci ont le choix entre cinq classes de service adaptes divers types de
flux. Par exemple, les cellules vhiculant un canal voix dune conversation tlphonique
doivent tre transmises avec une grande rgularit (les horloges de lmetteur et du rcep-
teur doivent tre synchronises). En revanche, un flux de type rseau local, qui est par na-
ture erratique (trafic par rafales), ne ncessite pas la mme qualit de service.
Ces classes de service sont accessibles via diffrentes interfaces daccs ATM, appeles
AAL (ATM Adaptation Layer).

Classe de service Caractristiques du trafic Applications
CBR
(Constant Bit Rate)
Le dbit est constant et garanti. Voix non compresse en mulation de
circuit
(accs de prfrence via AAL-1)
rt-VBR
(Real-Time Variable Bit Rate)
Le dbit est variable et est garanti. Le
dlai de transit est garanti et varie peu.
Donnes
nrt-VBR
(Non Real-Time Variable Bit Rate)
Le dbit est variable et est garanti. Vido + voix compresses
(accs de prfrence via AAL-2 ou AAL-
5)
ABR
(Avaible Bit Rate)
Le dbit est variable et peut tre modifi
si le rseau le demande (en cas de
congestion, par exemple).
Donnes
UBR
(Unavaible Bit Rate)
Acheminement sans garanties, au mieux
des capacits du rseau (best effort) .
Donnes

La classe de service UBR noffre aucune garantie de service, tandis que lABR est la plus
utilise, notamment par lUNI 4.0.
Contrle du flux : si
dpassement, CLP=1
RM RM
CAC
NRM
UPC
Contrle dadmission.
si rseau satur : refus
Traffic
Shaping
Rgulation du flux en
fonction des priorits
Prise en compte
des cellules RM
Demande ouverture CV
Files dattentes
Si congestion : dtruit
les cellules avec CLP=1
Avertit lmetteur
du problme
CLP
Control
Si une cellule
de la trame
est dtruite,
elle dtruit
toutes
les autres
Frame
Discard

284

Connecter le routeur au rseau de transport
La norme ATM dfinit un ensemble de protocoles reposant sur la commutation de petites
cellules de taille fixe (58 octets dont 5 den-tte).
Chaque cellule est identifie par un couple dadresses VPI (Virtual Path Identifier) et VCI
(Virtual Channel Identifier), adresse locale partage par deux commutateurs. Il ny a pas
dadressage de bout en bout, mais uniquement un adressage point un point entre deux
commutateurs. Un commutateur recevant une trame avec un VPI/VCI donn la routera sur
un autre port et lenverra avec un autre VPI/VCI.
La connexion entre deux commutateurs ATM seffectue par louverture de circuits virtuels
permanents (PVC, Permanent Virtual Circuit) ou commuts (SVC, Switched Virtual Cir-
cuit), cest--dire ouverts la demande via le protocole de signalisation Q.2931 (qui utilise
quelques Kbit/s du VPI/VCI = 0/5).
LA SIGNALISATION UNI 4.0 (ATM FORUM AF-SIG-0061.000)
LUNI (User Network Interface) reprend les normes de lITU en prcisant leur fonctionnement (paramtres et
procdures pris en charge ou non), et surtout en les modifiant :
Appels point point (Q.2931) sans les fonctions OAM (Operations, Administration and Maintenance).
Adressage NSAP (ISO 8348, ITU X.213, RFC 1629).
Couche SAAL (Q.2100, Q.2110, Q.2130) ; VPI/VCI = 0/5.
Appels point multipoint (Q.2971) avec extensions pour que les feuilles puissent accepter de nouveaux
participants la confrence en cours (dans Q.2971, une confrence plusieurs est gre sous forme
darbre, dont seule la racine permet dautres utilisateurs de rejoindre une confrence).
Direct Dialling In (Q.2951).

LATM Forum a ajout les extensions suivantes Q.2931 :
Gestion des adresses de groupe ATM (adresses anycasts) identifies par le prfixe C50079. Par exem-
ple, le groupe C50079.00000000000000000000.00A03E000001.00 permet de joindre le LECS (LAN
Emulation Configuration Server)
Ngociation des caractristiques de la connexion (CBR, VBR, rt-VBR, ABR, UBR).
Prsentation individuelle des paramtres de qualit de service.
Paramtres dcrivant la classe de service ABR.
Signalisation proxy : un nud ATM peut grer la signalisation la place dun autre nud qui ne la
supporte pas. Permet galement un serveur disposant de plusieurs interfaces ATM de ne possder
quune seule adresse NSAP.

En ltat actuel de la norme, les cellules RM (Resource Management) ne sont utilises que pour rguler le
trafic ABR.
CHAPITRE 11

285
Lintrt des SVC est que la qualit de service peut tre spcifie la demande permettant
ainsi de rduire (encore) les cots. Sur un PVC, le dbit est fix une fois pour toutes et en-
gendre un cot fixe.

Figure 11-13.
Circuits virtuels
et VPI/VCI ATM.

Si le routeur ne dispose pas dinterface ATM
La manire la plus simple de connecter nos rseaux locaux est de configurer linterface srie
du routeur en mode DXI (Data eXchange Interface). Ce mode de fonctionnement implique
lutilisation dun DSU (Data Service Unit) externe fourni par loprateur. Le DSU se charge
dadapter le flux srie mis et reu par le routeur en cellules ATM.

Figure 11-14.
Connexion
dun routeur
un commutateur ATM.

Lexemple suivant montre un PVC configur sur notre routeur parisien destination du r-
seau de Strasbourg :

interface serial 0
ip address 172.16.0.1 255.255.255.248
encapsulation atm-dxi
dxi pvc 14 50 mux
dxi map ip 172.16.0.2 14 50 broadcast

VPI = 14 / VCI = 50
vpi/vci=14/60
vpi/vci=16/80
vpi/vci=20/60
vpi/vci=50/60
vpi/vci=16/20
vpi/vci=14/50
ATM
ATM
ATM
ATM
Reroutage du CV en cas de
problme sur une liaison
PVC ou SVC
PVC ou SVC
Un vpi/vci par application : un pour le
routeur, un pour le PABX, etc. ou un
par protocole (IP, IPX, Decnet, etc.)
Routeur
PABX
vpi/vci=16/50
vpi/vci=15/80
DXI
Routeur
ATM
ATM
Commutateur
chez loprateur
DSU
(interface ATM)
CSU
(modem numrique)
Vpi/vci=14/50
10.1.10.1

286
Le paramtre mux indique que nous avons choisi lencapsulation de type multiplexage
par circuit virtuel : un seul protocole (IP dans notre cas) utilisera le PVC identifi par le VPI
14 et le VCI 50. Lencapsulation LLC/SNAP (paramtre snap la place de mux )
napporterait aucun avantage et ajouterait un overhead de 8 octets par paquet IP.

Si le routeur supporte ATM
La seconde solution consiste insrer une carte ATM dans le routeur. Fonctionnellement,
celle-ci se comporte comme un DSU et peut tre directement connecte au CSU (cest--
dire le modem numrique) de loprateur ou un commutateur.
Pour la mme interconnexion Paris-Strasbourg et Paris-Toulouse, la configuration devient la
suivante :

Figure 11-15.
Configuration
des VPI/VCI
ATM.

interface atm 0
ip address 172.16.0.1 255.255.255.248
LINTERFACE DXI (ATM FORUM AF-DXI-0014.000)
La norme DXI (Data eXchange Interface) dfinit le protocole de niveau 2 utilis pour changer les donnes
entre un quipement non ATM (via une interface srie V.35 ou HSSI) et un DSU ATM. Trois modes de
fonctionnement sont possibles.
Dans le mode 1a, le routeur place ses donnes dans une trame DXI (SDU de 9 232 octets), puis le DSU
ralise lencapsulation AAL-5, la segmentation SAR AAL-5 et laccs UNI. Ce mode supporte 1 023 CV si-
multans.
Dans le mode 1b, le routeur ralise lencapsulation AAL-3/4 puis place le rsultat dans une trame DXI (SDU
de 9 224 octets). Le DSU ralise la segmentation SAR AAL-3/4 et laccs UNI. Le mode 1a est galement
support, mais le mode 1b doit tre utilis pour au moins 1 CV. Ce mode supporte 1 023 CV simultans.
Dans le mode 2, le routeur ralise lencapsulation AAL-3/4, puis place le rsultat dans une trame DXI (SDU
de 65 535 octets). En cas de besoin, le DSU peut convertir lencapsulation AAL-3/4 en AAL-5 (changement
dencapsulation). Le DSU ralise ensuite lassemblage SAR (AAL-3/4 ou AAL-5) et laccs UNI. Ce mode
supporte 16 millions de CV simultans.
A0
A0
vpi/vci=14/50
Strasbourg
Paris
172.16.0.1 172.16.0.2
ATM ATM
ATM
vpi/vci=14/50 vpi/vci=10/10 vpi/vci=10/10 vpi/vci=20/60 vpi/vci=20/60
vpi/vci=14/60 vpi/vci=14/60
CHAPITRE 11

287
atm pvc 1 14 50 aal5mux ip
atm pvc 2 14 60 aal5mux ip
map-group operateur

map-list operateur
ip 172.16.0.2 atm-vc 1 broadcast
ip 172.16.0.6 atm-vc 2 broadcast

Lencapsulation choisie, aal5mux , est la mme que prcdemment : un CV transporte le
protocole IP. Cependant, lencapsulation LLC/SNAP, utilise conjointement avec linterface
ATM, nous donne la possibilit supplmentaire de pouvoir excuter Inverse ARP, et donc
de simplifier la configuration :
interface atm 0
ip address 172.16.0.1 255.255.255.248
atm pvc 1 14 50 aal5snap inarp 5
atm pvc 2 14 60 aal5snap inarp 5

La valeur 5 affecte inarp indique que la procdure inverse ARP est lance toutes les 5
minutes. La correspondance manuelle entre adresse IP et circuit virtuel nest donc plus n-
cessaire.

Identifiant du PVC propre Cisco
(interne au routeur)
LENCAPSULATION DES PROTOCOLES DANS LES CELLULES ATM (RFC 1483)
Le transport dun protocole dans les cellules ATM requiert lutilisation de linterface AAL-5 (ATM Adaptation
Layer 5), accessible via la couche CPCS (Common Part Convergence Sublayer). Lencapsulation peut tre
ralise de deux manires : soit en dehors dATM, soit au niveau dATM.
La premire mthode permet de transporter plusieurs protocoles dans un seul circuit virtuel ATM ; elle uti-
lise pour cela lencapsulation LLC/SNAP (Logical Link Control/Sub Network Access Protocol).

Encapsulation LLC/SNAP
Donnes (1 65 535 octets)
Bourrage
En-tte LLC (0xAA AA 03)
En-tte LLC : SAP source = SAP destination = AA
(encapsulation SNAP). 0x03 = trame de type UI
(Unnumbered Information)
OUI (Organizationally Unique Identifier)
0x000000 = Ethertype, 0x0080C2 = trame IEEE, etc.
PID = Ethertype si OUI=0x000000 ou = code trame
IEEE (0x0001 ou 0x0007 pour trame 802.3, etc.)
Ethertype : identique au champ Type de la trame
Ethernet (0x0800 = IP, etc.)
CPCS-UU (Common Part Convergence Sublayer
User-to-User) : indique le transfert de donnes
utilisateur (non utilis par la RFC 1483)
Bourrage : utilis pour remplir la dernire cellule du
PDU concurrence de 48 octets
CPI (Common Part Incidator) : usage non dfini
OUI (3 octets) = 0x000000
PID (2 octets) = 0x0800
CPCS-UU (1 octet)
CPI (1 octet)
Longueur (2 octets)
CRC (4 octets)
LLC
SNAP
CPCS
AAL-5

La seconde mthode, appele multiplexage par circuit virtuel, consiste encapsuler le protocole direc-
tement dans le PDU AAL-5, ce qui implique lutilisation dun circuit virtuel ATM par protocole.

288

LE POINT SUR ATM (ITU I.361)
ATM (Asynchronous Transfer Mode) dcoupe la bande passante en tranches de temps fixe appeles
cellules.
GFC
1 bit 4 bits 16 bits 8 bits
VPI VCI CLP PTI HEC
8 bits 3 bits
Donnes (48 octets)
EFCI OAM UI VPI (si NNI)
GFC (Generic Flow Control). Priorit de la cellule (0 = la plus basse).
VPI (Virtual Path Identifier). Identifie le chemin virtuel (255 possibilits).
VCI (Virtual Channel Identifier). Identifie la voie virtuelle au sein du chemin virtuel (65 535 possibilits).
PTI (Payload Type Indicator). Le premier bit indique si la cellule transporte des donnes de contrle ou des
donnes utilisateur. Dans ce dernier cas, le deuxime bit, appel EFCI (Explicit Forward Congestion Indication), indique
lapplication quil faut prvoir des dlais dacheminement pour les cellules venir (suite une congestion par
exemple). Positionn 1, le troisime bit indique que le champ dinformation contient des donnes utilises par les
applications dadministration OAM (Operations, Administration and Maintenance).
CLP (Cell loss Priority). Positionn 1, ce bit indique que la cellule peut tre dtruite par le commutateur en cas de
congestion.
HEC (Header Error Control). Cet octet permet la couche TC (Transmission Convergence) doprer un contrle
derreur sur len-tte de la cellule.

Les applications transmettent leurs donnes la couche AAL (ATM Adaptation Layer) qui se charge de les
convertir en cellules, puis de les envoyer en respectant le niveau de service demand (AAL-1 AAL-5 et
SAAL).
SAAL - Signalisation AAL (Q.2100)
CS - Convergence Sublayer (I.365)
SSCS - Service Specific CS
AAL - ATM Adaptation Layer (I.363)
CS - Convergence Sublayer (I.365)
SSCS - Service Specific CS
Couche
1
Couche
2
ATM - Asynchronous Transfer Mode (I.361)
Commutation des cellules en fonction du vpi/vci, contrle de flux
PHY - Physical (I.432)
Adaptation au support physique
Couche
3
Signalisation UNI
(Q.2931)
SSCOP - SS Connection Oriented Protocol
SSCF - SS Coordination Function
SAR - Segmentation And Reassembly
Dcoupe les CS-PDU en cellules et inversement
ILMI (AAL-5) et Applications : voix (AAL-1),
vido+voix (AAL-2), donnes (AAL-5)
TC - Transmission Convergence
PMD - Physical Medium Dependant
SSCOP (Q.2110)
SSCF (Q.2130)
SAR (I.363)
CPCS - Common Part CS CPCS

CHAPITRE 11

289

LE POINT SUR ATM (ITU I.361 SUITE)
La couche AAL, et donc les sous-couches qui la composent, est adapte chaque type de service (AAL-1,
AAL-2, AAL-3/4, AAL-5 et SAAL). Par exemple, la couche CS accepte des donnes au format CS-PDU
(Convergence Sublayer-Protocol Data Unit).
Donnes (45 octets) AAL-2
CPI = Common Part Indicator : fonction non encore dfinie
Btag = Dlimiteur de dbut
BAS = Buffer Allocation Size
PAD = Bourrage pour remplir la dernire cellule 48 octets
AL = Alignement
Etag = Dlimiteur de fin
Lg = Longueur du champ de donnes
UU = User-to-User indicator
CRC = Cyclic Redundancy Check : code de contrle derreur portant sur le champ de donnes
Donnes (47 octets) AAL-1
AAL-5 Donnes (1 65 535 octets) UU PAD
0-47 octets 8 bits
CPI Lg CRC
8 bits 8 bits 16 bits 0-47 octets 8 bits
Btag CPI Donnes (1 65 535 octets) AL PAD BAS AAL-3/4 Etag Lg
8 bits 16 bits
PDU

De mme, la couche SAR structure diffremment les 48 octets du champ de donnes des cellules ATM
(appel SAR-PDU).
SN = Sequence Number : dtecte les cellules manquantes ou errones
SNP = Sequence Number Protection : code autocorrecteur portant sur le SN
IT = Information Type : dbut, continuation ou fin dun CS-PDU
ST = Segment Type : dbut, fin, continuation ou segment simple
MID = Multiplexing Identifier : partage dun circuit virtuel par plusieurs applications de la couche SAR
LI = Length Indicator : nombre doctets significatifs dans le cas dune cellule partiellement remplie
CRC = Cyclic Redundancy Check : code de contrle derreur portant sur le champ de donnes
En-tte (5) IT SN Donnes (45 octets) CRC LI
4 bits 4 bits
AAL-2
6 bits 10 bits
En-tte (5) SNP SN Donnes (47 octets) AAL-1
4 bits 4 bits
En-tte (5) SN ST Donnes (44 oc.) CRC LI MID
2 bits 4 bits 10 bits 6 bits 10 bits
AAL-3/4
En-tte (5) Donnes (48 octets) AAL-5
Cellules

En comparant les deux schmas prcdents, on constate que les PDU des AAL-1 et AAL-2 sont directe-
ment insrs dans une cellule ATM. La couche AAL nutilise donc pas obligatoirement les mcanismes de
segmentation et dassemblage.
Il existe galement une couche SSCS pour Frame Relay (I.365.1).

290
Configurer les SVC
Si loprateur nous en donne la possibilit, la mise en place de SVC permet, comme pour
Frame Relay, de raliser des conomies : loprateur nous facture en fonction de lutilisation
( la dure et/ou au volume). De plus, si les CV sont nombreux, la fermeture des SVC, sils
ne sont pas utiliss, permet de librer des ressources CPU et mmoire dans les routeurs et les
commutateurs.

Lutilisation des SVC implique lactivation de deux nouveaux mcanismes :
Un PVC pour le protocole SAAL (Signaling ATM Adaptation Layer) qui gre les SVC
(ouverture, fermeture, etc.). Le VPI/VCI utilis est 0/5.
Lutilisation dun adressage global (de niveau 3) permettant didentifier les nuds du
rseau. Ladressage utilis par ATM est de type NSAP ; trois encapsulations dadresses
sont possibles : DCC, ICD et E.164 (reportez-vous la fin de ce chapitre pour plus de
dtails).

La commande map-list permet de configurer manuellement la correspondance entre adres-
ses NSAP et adresses IP :

Figure 11-16.
Configuration
des VPI/VCI
ATM.

interface atm 0
ip address 172.16.0.2 255.255.255.248
atm nsap-address
47.0091.81.000000.0061.705b.7701.0800.200c.1A2B.01
AFI|ICD | Prfixe DSP | ESI |SEL
atm pvc 1 0 5 qsaal
map-group operateur
!
map-list operateur
ip 172.16.0.2 atm-nsap
47.0091.81.000000.0061.705b.7701.0800.200c.1000.02 broadcast
47.0091.81.000000.0061.705b.88a7.0900.20ab.2000.01 broadcast

PVC ddi la signalisa-
tion Q.2931
Adresses ATM
A0
A0
vpi/vci=14/50
Strasbourg
Paris
172.16.0.1 172.16.0.2
ATM ATM
ATM
vpi/vci=14/50 vpi/vci=10/10 vpi/vci=10/10 vpi/vci=20/60 vpi/vci=20/60
vpi/vci=14/60 vpi/vci=14/60
CHAPITRE 11

291
Une autre manire daffecter ladresse NSAP linterface est dutiliser la signalisation
ILMI (Integrated Local Management Interface). Elle permet au routeur dobtenir le prfixe
de ladresse, le DSP (champs ESI et SEL) tant toujours affect par lquipement terminal
(le routeur). Le PVC ddi ILMI est : VPI/VCI = 0/16 :

atm pvc 2 0 16 ilmi
atm esi-address 0800200c1000.02
ESI | SEL

La premire partie du chiffre correspond au champ ESI (6 octets, lquivalent dune
adresse MAC) ; la seconde au champ Selector (1 octet) de ladresse NSAP. Le reste de
ladresse (13 octets) est affect automatiquement par le commutateur ATM via ILMI.
Lactivation de cette signalisation permet galement au routeur et au commutateur de sur-
veiller ltat des circuits virtuels.

PVC ddi la signalisation ILMI
LA SIGNALISATION ILMI 4.0 (ATM FORUM AF-ILMI-0065.00)
La signalisation ILMI (Integrated Local Management Interface)* est un protocole permettant aux commuta-
teurs ATM dchanger des informations avec les quipements terminaux (stations ATM, routeurs, etc.), tel-
les que :
la configuration et ltat des circuits virtuels ;
les prfixes des adresses NSAP ;
les services et options supports par les quipements.
Le protocole utilis par ILMI est SNMP (Simple Network Management Protocol RFC 1157) qui utilise les
services de AAL-5 (VPI/VCI = 0/16). La base de donnes MIB (Management Information Base) contient des
informations relatives aux couches physique et ATM, aux circuits virtuels (tat des VPI/VCI), aux adresses,
ainsi quaux services supports et pouvant tre ngocis (version UNI, nombre maximal de VPI/VCI, qualit
de service, etc.).
Par exemple, ILMI permet de configurer les LEC (LAN Emulation Client) et de trouver le LECS (LAN Emula-
tion Configuration Server).
La bande passante utilise par ILMI ne doit pas dpasser 1 % du dbit de la ligne, et 5 % en pic.

*Note : le 1
er
I signifiait Interim car lATM Forum attendait la normalisation de lITU. Mais celle-ci stant fait attendre,
lATM Forum a dfinitivement entrin sa proposition de norme.

292
Les normes prvoient de nombreux et complexes mcanismes pour grer la qualit de ser-
vice sur ATM. Seuls certains dentre eux sont disponibles sur nos routeurs.
Pour les PVC, seules les caractristiques du flot de donnes peuvent tre spcifies :
atm pvc 1 14 50 aal5snap 384 256 inarp 5

Cette commande prcise quun maximum de 384 Kbit/s sera allou notre PVC et que le
dbit moyen du trafic sera de 256 Kbit/s.
Les possibilits de paramtrage sont plus tendues en ce qui concerne les SVC puisque lon
peut demander lactivation de classes de service. Celles-ci sont dcrites implicitement par
des combinaisons de paramtres :
map-list operateur
47.0091.81.000000.0061.705b.7701.0800.200c.1000.02 broadcast class
traficUBR
47.0091.81.000000.0061.705b.88a7.0900.20ab.2000.01 broadcast class
traficNrtVBR

map-class traficUBR
atm forward-peak-cell-rate-clp1 384
atm backward-peak-cell-rate-clp1 256

map-class traficNrtVBR
atm forward-peak-cell-rate-clp1 384
atm forward-sustainable-cell-rate-clp1 256
atm forward-max-burst-size 128
atm backward-peak-cell-rate-clp1 384
atm backward-sustainable-cell-rate-clp1 256
atm backward-max-burst-size 128

Le suffixe clp1 indique que le paramtre sapplique aux cellules dont le bit CLP est posi-
tionn 1 ou 0. Le suffixe clp0 permet dappliquer les mmes paramtres aux cellules
dont le bit CLP est 0 (cest--dire non marques en suppression).
Dans le cas de la classe de service traficUBR , aucune bande passante nest rserve pour
le SVC. Cest le mode de fonctionnement par dfaut si aucun paramtre nest spcifi.
Enfin, il est possible dactiver la procdure de contrle CAC (Connection Admission
Control) au niveau du routeur.
atm sig-traffic-shaping strict
Avec cette commande, louverture dun SVC ne sera possible que si les commutateurs ATM
sont capables dassurer la qualit de service demande.
Cette combinaison de paramtres
active la classe de service nrt-VBR.
La qualit de service
peut tre diffrente
dans chaque sens.
CHAPITRE 11

293
Les paramtres dcrivant les classes de service
(ITU I.356 et ATM Forum TMS 4.0)
Chaque classe de service (UBR, ABR, etc.) est dfinie par un ensemble de paramtres qui
dcrivent les caractristiques du flux qui sera gnr, ainsi que la qualit de service deman-
de. Ces paramtres peuvent, par exemple, tre configurs sur nos routeurs.

Paramtre

Description du trafic

PCR
(Peak Cell Rate)
Dbit maximal autoris en pointe (nombre maximal de cellules par secondes).
SCR
(Sustainable Cell Rate)
Dbit moyen autoris (nombre moyen de cellules par secondes).
MBS
(Maximum Burst Size)
Nombre de cellules autorises pendant le dbit en pointe. PCR/MBS = dure
pendant laquelle le dbit en pointe est autoris.
MCR
(Minimum Cell Rate)
Dbit minimal demand (nombre minimal de cellules par secondes).

Paramtre

Description de la qualit de service

CDV
(Cell Delay Variation)
Demande dune variation maximale du dlai de transit (la gigue - jitter). Le flux
doit tre le plus constant possible ( CDV ms).
La fonction UPC utilise pour cela lalgorithme GCRA (Generic Cell Rate Algo-
rithm) de type Leaky-bucket
(1)
.
MCTD
(Maximum Cell Transfer Delay)
Dlai maximal de transit des cellules entre lUNI de lmetteur et lUNI du r-
cepteur.
CLR
(Cell Loss Ratio)
Pourcentage acceptable de cellules pouvant tre perdues (appliqu aux cellu-
les ayant le bit CLP positionn 0 ).

Autre paramtre

Description

RM
(Resource Management)
Traitement des cellules RM permettant dadapter le trafic en fonction de ltat
du rseau report par les commutateurs (feedback).
(1) Leaky-bucket signifie littralement seau (deau) perc . Voir le chapitre 14 ce sujet.

Le tableau suivant indique les combinaisons autorises. Ainsi, le paramtre PCR seul indi-
que implicitement la classe de service UBR. En revanche, la configuration des paramtres

294
SCR et MBS seuls ne correspond aucune classe de service ; elle reprsente donc une com-
binaison invalide.

Classe
de service
Description du trafic Qualit de service
Autre
paramtre

PCR SCR MBS MCR CDV MCTD CLR RM
CBR X

X X X
rt-VBR X X X

X X X
nrt-VBR X X X

X

X
ABR X

X X

X X
UBR X

Dautres paramtres relatifs la gestion de la qualit de service sont prvus par la norme :
CER (Cell Error Ratio). Taux maximal de cellules pouvant tre en erreur ;
SECBR (Severely Errored Cell Block Ratio). Taux maximal de cellules conscutives
(par blocs de N dfinis dans ITU I.610) pouvant tre en erreur ;
CMR (Cell Misinsertion Rate). Taux maximal de cellules pouvant tre mal insres
(cest--dire dont les erreurs portant sur len-tte nont pas t dtectes).
La dtection des erreurs et la surveillance des performances sont ralises par la couche
OAM (Operations, Administration and Maintenance ITU I.610).
Ladressage
Ladressage NSAP (ISO 8348, ITU X.213, RFC 1629)
NSAP (Network Service Access Point) dfinit un adressage global de niveau 3 permettant
didentifier les utilisateurs dun rseau ATM, Frame Relay ou RNIS. Dans le cas du RNIS,
il sagit tout simplement du numro de tlphone.

Adresse locale Adresse globale
Protocole Niveau 2 Niveau 3
Frame Relay DLCI E.164 ou X.121
ATM VPI/VCI NSAP (encapsulation DCC, ICD ou
E.164) ou E.164
RNIS SAPI/TEI E.164

CHAPITRE 11

295
Lapparent paradoxe dun adressage de niveau 3 utilis par des protocoles de niveau 2
sexplique par le fait que ces protocoles agissent en mode connect. Ladressage global est
utilis par les protocoles de signalisation (situs au niveau 3) pour tablir les communica-
tions de niveau 2 (les circuits commuts RNIS ou virtuels ATM) ; la commutation de cir-
cuits RNIS ou de cellules ATM nutilise ensuite que des adresses locales de niveau 2.

Figure 11-17.
Format gnrique
dune adresse NSAP.

Ladressage ATM
ATM peut utiliser trois types dadresses encapsules au format NSAP :
DCC pour les rseaux publics et privs ;
ICD pour les rseaux privs ;
E.164 pour les rseaux publics, soit de manire native, soit encapsule dans une adresse
NSAP.

Figure 11-18.
Format
des adresses ATM.

Dans les rseaux publics, ATM utilise une adresse E.164 native.
2 octets 0 10 octets 1 octet 1 8 octets 1 octet
Pre-DSP AFI IDI
IDP DSP
ESI SEL
Prfixe DSP
IDP = Initial Domain Part : format de ladresse (37=X.121, 45=E.164, etc.)
AFI = Authority and Format Identifier
IDI = Initial Domain Identifier
Prfixe ou HO-DSP pour High Order DSP : partie de ladresse structure en fonction de lIDI
DSP = Domain Specific Part : partie de ladresse affecte localement
ESI = End System Identifier : identifiant du nud du rseau
SEL = Selector : multiplexage si le nud comporte plusieurs interfaces ou protocoles
AFI (39) DCC DFI AA Rserv RD Zone ESI SEL
AFI (47) ICD DFI AA Rserv RD Zone ESI SEL
AFI (45) E.164 RD Zone ESI SEL
Adresse DCC
Adresse ICD
Adresse E.164
AFI = Authority and Format Identifier : type dadresse (39 = DCC, 47 ICD, 45 E.164, etc.)
DCC = Data Country Code : indique le code associ au pays (ISO 3166)
DFI = DSP - Domain Specific Part Format - Identifier : format de la suite de ladresse
AA = Administration Authority : autorit administrative en charge du domaine dadressage
RD = Routing Domain : numro de domaine de routage
Zone = identifiant de zone
ESI = End System Identifier : adresse MAC
SEL = Selector : gnralement, le numro de linterface ATM
ICD = International Code Designator : code attribu par le British Standards Institute
E.164 = numro de tlphone RNIS sur 8 octets (15 chiffres + octet de bourrage)
1 octet 2 octets 1 octet 3 octets 2 octets 2 octets 2 octets 6 octets 1 octet
8 octets

296
Ladressage Frame Relay
Les rseaux Frame Relay peuvent utiliser deux types dadresses :
E.164, identique aux numros de tlphone RNIS ;
X.121, identique aux rseaux X.25.

Figure 11-19.
Format
dune adresse E.164.

Figure 11-20.
Format
dune adresse X.121.

Interoprabilit entre Frame Relay et ATM
Les rseaux Frame Relay et ATM peuvent tre utiliss conjointement de deux manires :
soit par encapsulation de Frame Relay dans les cellules ATM, soit par conversion de proto-
cole. Loprateur peut de cette manire offrir un rseau avec une interface Frame Relay tout
en utilisant ATM au sein de son rseau fdrateur.
La seconde mthode consiste convertir une trame Frame Relay en un PDU AAL-5.

Frame Relay ATM
Encapsulation NLPID ou SNAP
(RFC 2427)
Encapsulation SNAP/LLC sur AAL-5 (RFC 1483)
Bit DE Bit CLP
Bit FECN Bit EFCI
LMI ILMI
Inverse ARP (PVC) Classical IP : Inverse ARP (PVC) et serveur ATM (SVC)

1 3 chiffres 10 12 chiffres 0 40 chiffres
Pays 33 = France, 44 = UK, 1 = USA, etc.
NSN = National Significant Number
NDC = National Destination Code : numro du rseau ou
numro de rgion.
SN = Subscriber Number : numro de tlphone de labonn
Longueur maximale du numro E.164 = 15 chiffres
NDC Sous-adresse Pays SN
NSN

3 chiffres 10 chiffres 1 chiffre
DNIC = Data Network Identification Code
NTN = Network Terminal Number
DCC D = code dchappement, CC = code pays
N = numro de rseau dans le pays
N Numro DCC
DNIC NTN
12
Commutation et routage
LAN / MAN / WAN

Jusqu prsent, nous avons utilis diffrentes technologies, les unes adaptes aux rseaux
locaux, les autres aux rseaux tendus.

Arrive un moment o les deux mondes doivent se rencontrer puisque la vocation des r-
seaux est de relier des hommes, quils fassent ou non partie de la mme entreprise.

Les rseaux locaux ont de plus en plus tendance stendre au-del dun simple site pour
former un rseau de campus, repoussant ainsi la frontire qui les spare des rseaux tendus.

Dans ce chapitre, vous apprendrez :
mettre en place un rseau fdrateur puis un rseau de campus ;
configurer des VLAN ;
tablir le lien entre commutateurs LAN et routeurs WAN ;
configurer les protocoles de routage OSPF et BGP ;
le fonctionnement de MPLS.

Gigabit, VLAN, VRRP, OSPF, BGP, MPLS

298
Mettre en place un rseau fdrateur
Les donnes du problme
Le rseau de 800 postes dont nous avons dcrit linstallation au chapitre 3 fonctionne parfai-
tement. Or, voici que louverture dun nouvel immeuble proximit est annonce. Elle im-
plique un changement dchelle, puisquil sagit dune tour de quinze tages, reprsentant
environ 2 000 connexions, raison de 130 par tage en tenant compte des postes de travail,
des imprimantes, des serveurs, etc.
Le cblage a t conu en fonction des besoins potentiels en matire darchitecture, incluant
la fois la tlphonie (la voix), le rseau local (les donnes), et la diffusion vido (limage).
Les principes sont ceux qui ont t tudis au chapitre 2.

La dmarche
Il semble tout dabord vident quil faudra au moins un rseau local par tage, afin de
contrler les flux, et sans doute plus, car il faut toujours sattendre des besoins spcifiques
pour une population de 1 500 utilisateurs. Il est donc sage de prvoir une quarantaine de
rseaux.
Un constat simpose : sil faut descendre prs de quinze rseaux en collapse backbone, les
quipements fdrateurs doivent disposer dune trs grande capacit. De plus, un rseau re-
dondant est absolument ncessaire pour assurer une bonne qualit de service. En effet, une
telle chelle, un problme survient ncessairement quelque part (en vertu dun principe de
probabilit).
Le point central de larchitecture concerne donc les caractristiques du rseau fdrateur
pour lequel nous nous posons les questions suivantes :
Quelle technologie ?
Quels quipements ?
Routeurs ou commutateurs de niveau 3 ?

Quelle technologie ?
Nous avons ici le choix entre Ethernet et ATM, sujet que nous avions abord au cours du
chapitre prcdent.
Bien quadapt aux rseaux WAN, les constructeurs nous proposent dutiliser ATM gale-
ment pour les rseaux locaux. Choix trange, car lutilisation de ce protocole pose un certain
nombre de problmes :
Il faut mettre en place une mcanique complexe pour adapter un rseau multipoint tel
quEthernet un rseau ne fonctionnant quavec des circuits virtuels point point.
Il faut mettre en place une mcanique non moins complexe pour interfacer les rseaux
Ethernet avec le monde ATM.
Le dbit dATM est aujourdhui limit 622 Mbit/s, 155 Mbit/s tant le dbit le plus
frquemment rencontr dans les entreprises. Face au Gigabit Ethernet, largument est
donc mince.
Commutation et routage LAN / MAN / WAN
CHAPITRE 12

299
Un certain nombre de standards permettent deffectuer cette intgration. Il sagit de LANE
(LAN Emulation) pour les VLAN, de MPOA (Multi Protocol Over ATM) pour le routage et
linterconnexion des ELAN (Emulated LAN) et de Classical IP pour la correspondance entre
adresses ATM et adresses IP.
Face cela, Ethernet nous offre la simplicit et une panoplie de solutions homognes et vo-
lutives, du 10 Mbit/s au Gigabit. Nous choisirons donc cette technologie pour lensemble de
notre rseau local, du poste de travail au rseau fdrateur.
Quels quipements ?
Le rseau fdrateur concentre tous les flux entre les rseaux dtage dune part, et entre ces
derniers et les ressources communes dautre part. Cela suppose que la majorit des flux est
mise entre les utilisateurs dun tage donn.
Mais, de nos jours, la traditionnelle rpartition 80/20 (80 % du trafic local sur le rseau et
20 % vers dautres rseaux) nest plus valable. Par exemple, la constitution de groupes de
travail pluridisciplinaires amne des personnes disperses au sein de limmeuble tablir
des liens de communication privilgis entre elles.
Traduit en termes techniques, les flux rseau gnrs de manire privilgie entre les postes
de travail et les serveurs volueront sans cesse.
En outre, la constitution de rseaux isols regroupant des utilisateurs gographiquement dis-
perss pourrait savrer ncessaire.
La solution ces besoins passe par les VLAN (Virtual Local Area Network). Cette techno-
logie permet de dfinir des segments Ethernet logiques, indpendamment de la localisation
gographique des postes de travail. Une trame mise au sein dun VLAN ne sera diffuse
quaux stations participant audit VLAN.

Figure 12-1.
Principe des VLAN.

Aucune communication nest possible
entre la station S2 et les autres.
S 1.1
S 1.2 S 2
Toutes les stations peuvent
accder au serveur car celui-ci
est quip de deux cartes,
chacune affecte un VLAN.
Les liens intercommutateurs sont
affects tous les VLAN. Ils
constituent le rseau fdrateur.
VLAN 2
VLAN 1

300
Or, seuls les commutateurs permettent de crer des VLAN, cest--dire de segmenter le r-
seau correspondant des groupes dutilisateurs indpendamment de leur localisation go-
graphique.
De plus, nous avons vu au chapitre 3 que les commutateurs sont ncessaires pour des appli-
cations multimdias (tlphonie et visioconfrence sur IP), pour de gros volumes de donnes
et pour une question de fiabilit.
Si lon veut rpondre tous ces besoins, il est donc ncessaire dinstaller des commutateurs
sur lensemble de notre rseau (eau et gaz tous les tages, pour ainsi dire !). Le choix de
ces quipements simpose donc la fois pour des questions de performances et
darchitecture.
Nous choisissons donc la solution 100 % commutateurs.

Routeur ou commutateur de niveau 3 ?
Lintrt de partitionner notre rseau en rseaux plus petits est de circonscrire localement les
flux gnrs par un groupe dutilisateurs, de crer des zones isoles, ou encore de rduire les
flux gnrs par les broadcasts (surtout pour les grands rseaux).
La constitution de rseaux distincts (constituant chacun un domaine de broadcast MAC) n-
cessite cependant de les interconnecter quelque part. En effet, mme sils appartiennent
des groupes diffrents, les utilisateurs doivent, un moment ou un autre, accder des res-
sources communes (serveur dannuaire, passerelles fax, base de donnes centrale, PABX,
accs Internet, etc.).
Une fonction de routage est donc ncessaire pour interconnecter ces diffrents rseaux,
quils soient physiquement ou virtuellement constitus.
ce niveau, nous avons le choix entre deux types dquipements : les routeurs et les com-
mutateurs de niveau 3.
Compar au commutateur de niveau 3, le rou-
teur prsente un certain nombre de dsavan-
tages : il est nettement moins performant et,
de ce fait, dispose rarement dinterfaces Gi-
gabit. Par ailleurs, il ne sait pas grer les
VLAN.
Ce dernier point mentionn implique que le
routeur dispose dautant dinterfaces quil y a
de VLAN (si ceux-ci sont crs par port), ou
dautant dadresses IP sur une interface quil
y a de VLAN crs par adresse IP.
Pour les petits et moyens rseaux (moins de
800 postes) sans liens Gigabit, on peut envi-
sager un routeur pour interconnecter quelques
VLAN. Au-del de ces restrictions, le com-
mutateur de niveau 3 simpose.
LES COMMUTATEURS DE NIVEAUX 2 ET 3
Un commutateur de niveau 2 agit au niveau des
couches physique et logique (niveaux 1 et 2). Il
ne traite que les trames MAC. On parle de
commutation de niveau 2 ou layer 2 switching.
Un commutateur de niveau 3, quant lui, agit
au niveau de la couche rseau (niveau 3). Il ne
traite que les paquets IP. Cest lquivalent dun
routeur mais en beaucoup plus performant. On
parle de commutation de niveau 3 ou layer 3
switching.
CHAPITRE 12

301
Quelle architecture ?
Nous voil donc conforts dans le choix des commutateurs. Mais quelle architecture rete-
nir ? Et quel dbit ?

On le voit, pour notre rseau de 1500 postes, de nouvelles considrations viennent compli-
quer notre tche, de nouveaux paramtres influent sur le choix de larchitecture. En fait, tout
tourne autour du fdrateur, pice matresse du rseau. Rsumons :
1. Une architecture base uniquement sur des commutateurs de niveau 2 a le mrite de la
simplicit. Elle a t tudie au chapitre 3. Si lon veut crer des rseaux spars, il faut
employer des VLAN par port ou par adresses MAC, ce qui augmente la complexit
dexploitation.
2. Une architecture base uniquement sur des commutateurs de niveau 3 est plus coteuse.
Elle est cependant plus souple que la prcdente, car on peut choisir les classes
dadresses IP et les combiner. Larchitecture est identique celle de la premire solution,
seule la technologie change.
3. Une architecture base sur des routeurs est la moins performante de toutes et la moins
souple (pas de VLAN possible). En fait, les routeurs sont plutt destins aux rseaux
WAN.
4. Une architecture reposant sur un rseau fdrateur ATM est la plus complexe et la plus
fragile, car elle impose une combinaison de plusieurs technologies. Son dbit est, de
plus, limit 622 Mbit/s, ce qui est un handicap certain face au Gigabit Ethernet.
En fait, le routage nest ncessaire quau niveau du rseau fdrateur, car tous les commuta-
teurs dtage y seront relis.
En dfinitive, le choix se portera sur des commutateurs de niveau 2 pour les tages, et des
commutateurs de niveau 3 pour le rseau fdrateur. Dans la pratique, ces derniers sont ga-
lement des commutateurs de niveau 2 quips de cartes de commutation de niveau 3.
Pour le reste, nous appliquerons les recettes indiques au chapitre 3.

Les commutateurs dtage sont quips de cartes 10/100bT ainsi que de deux ports uplink
Gigabit. Ils peuvent ventuellement tre dots de cartes 100bF ou de cartes gigabit pour
connecter des serveurs dlocaliss.
Les commutateurs fdrateurs sont principalement quips de cartes gigabit pour tre rac-
cords, dune part, entre eux et, dautre part, aux commutateurs dtage. Ils peuvent ven-
tuellement tre dots de cartes 10/100bT ou 1000bT, afin de connecter des serveurs situs
dans des salles informatiques. Les cartes 1000bT offrent, en effet, une plus grande densit
de port que leurs quivalents en fibre optique.
Les cartes en fibre optique sont utilises partout o les distances sont suprieures 90 m-
tres. Leur emploi est cependant systmatis au niveau du rseau fdrateur, mme en des-
sous de cette distance, afin de disposer de configurations homognes.


302

Figure 12-2.
Rseau fdrateur.

Configurer les VLAN
Mme si les commutateurs fdrateurs sont quips de cartes de commutation niveau 3, tous
assurent la commutation de niveau 2. Le spanning tree doit donc tre configur sur tous les
commutateurs, comme indiqu au chapitre 3.
De la mme manire, un VLAN doit tre configur sur tous les commutateurs, afin quil soit
connu de tous. Sur nos quipements (de marque Cisco), la cration dun VLAN par port
seffectue de la faon suivante :
set vlan 100 name VLAN_principal
set vlan 100 2/1-48
Les ports 1 48 situs sur la carte n 2 seront ainsi affects au VLAN 100 que nous avons
appel VLAN principal .
Lopration suivante consiste activer le protocole 802.1q entre tous nos commutateurs,
afin dtendre la porte du VLAN lensemble de notre rseau. Ce protocole ne doit tre ac-
Commutateur tage
Commutateur tage
Commutateur tage
Commutateur fdrat Commutateur fdrat
LTE-30A
Salle Informatique
LTE-30B
Trunk de deux liens Gigabit
full duplex = 2 Gbit/s
10bT ou 100bT
selon la carte
du PC
LTE-2A
LTE-2B
100bT
1000bX
Carte 100bT
ou carte 1000bT
Commutateur tage
100bF ou 1000bX selon
la carte du commutateur
ou en SI mais connects au commutateur dtage
afin de rduire la charge du commutateur fdrateur.
Les serveurs accds uniquement par les utilisateurs

de cet tage peuvent tre installs dans le LTE
CHAPITRE 12

303
tiv que sur les ports qui raccordent des commutateurs entre eux, quon appellera des ports
trunk (ports de liaison) :

set trunk 3/1 dot1q
set trunk 3/2 dot1q

Active le protocole 802.1q
sur ces ports
LE POINT SUR LES VLAN (IEEE 802.1Q)
La norme 802.1q consiste ajouter un champ len-tte de la trame Ethernet initiale (802.3) la fois pour
grer les VLAN et pour grer des classes de service (802.1p).

CRC Adresse MAC dst TCI Long/Type Adresse MAC src TPID Donnes
Trame Ethernet originale
COS VLAN id CFI
3 bits 1 bit 12 bits
0 = Format normal
1 = Champ RIF prsent
Champ type = 0x8100
Indique que le protocole
transport est 802.1q.
TPID = Tag Protocol Identifier : correspond au champ Type dune trame Ethernet v2
TCI = Tag Control Information : le label 802.1q insr dans la trame Ethernet v2
COS = Class Of Service : utilis par la norme 802.1p (cf. chapitre 14)
CFI = Common Format Identifier : permet de transporter le champ RIF dans le cas dun tunnel source routing
VLAN id = numro de VLAN (4 096 possibilits)
v2 ou 802.3

Cette trame, gnralement vhicule qu'entre les commutateurs, permet d'tendre un VLAN tout un rseau
de commutateurs. Ces derniers tent le champ 802.1q lorsquils transmettent la trame un quipement ter-
minal (PC, serveur, etc.) de manire ce que ces derniers retrouvent une trame conforme la norme 802.3
ou Ethernet v2.
La constitution des VLAN dpend de limplmentation qui en est faite au sein des commutateurs. Il est ainsi
possible de crer des VLAN :
par port : toute trame entrant par un port est affecte doffice un VLAN ;
par adresse MAC source : toute trame disposant dune telle adresse est affecte un VLAN ;
par protocole : toute trame vhiculant de lIP, par exemple, est affecte un VLAN ;
par adresse IP source : toute trame vhiculant un paquet IP avec une telle adresse est affecte un
VLAN.
Un processus spanning tree (802.1d) est cr par VLAN. Par consquent, les trames de broadcast et de
multicast MAC mises au sein dun VLAN ne seront pas propages aux autres VLAN. En outre, les stations
dun VLAN ne pourront pas communiquer avec celles appartenant un autre VLAN. Pour permettre cette
fonction, il faut interconnecter les VLAN laide dun routeur ou dun commutateur de niveau 3.
La norme spcifie galement lutilisation du protocole GVRP (GARP VLAN registration Protocol), qui permet
de configurer les VLAN sur un seul commutateur, puis de les diffuser aux autres commutateurs participant au
spanning tree. Lattribut chang par les GID via le protocole GIP (cf. chapitre 3) est lidentifiant de VLAN sur
12 bits.

304
Le protocole MSTP (Multiple Spanning Tree Protocol), issu du groupe de travail IEEE
802.1s, permet de crer plusieurs spanning tree (cf. chapitre 3). La rpartition des VLAN sur
plusieurs spanning tree prsente lavantage de pouvoir activer des liens qui sont dsactivs
par dautres spanning tree. Il est donc possible de configurer ce protocole indpendamment
pour chaque VLAN :

set spantree enable 100
set spantree fwddelay 15 100
set spantree hello 2 100
set spantree priority 16384 100

Les ports Gigabit peuvent, de plus, tre configurs de manire oprer un contrle de flux.
Cela consiste en un signal envoy un autre commutateur pour lui demander de ralentir
temporairement lenvoi de trames :
set port flowcontrol send 0/0-1 on
set port flowcontrol receive 0/0-1 on

Dans notre architecture, il est galement prvu dagrger deux liens gigabit entre les deux
commutateurs fdrateurs :

set vlan 100 2/0-1
set port channel 2/0-1 desirable
set trunk 2/0 desirable dot1q

La configuration des VLAN au niveau des cartes Ethernet des PC et des serveurs est possi-
ble si elles supportent le protocole 802.1q, ce qui est le cas de nos cartes 3com.
Active la prise en compte des
VLAN par la carte (norme 802.1q).
Les autres paramtres concernent la
qualit de service (cf. Chapitre 14).

Envoie
et accepte les signaux de
contrle de flux.
Cre un groupe de 2 ports
Lactivation du trunking 802.1q sur
un port est applique tout le
groupe.
Le paramtre 100
correspond au
numro de VLAN
CHAPITRE 12

305
Il est cependant prfrable de ne pas utiliser cette facilit pour les raisons suivantes :
Cela ajouterait une complexit supplmentaire aux tches dadministration : il faudrait
configurer distance toutes les cartes des PC.
Les utilisateurs trouveraient toujours le moyen de modifier la configuration de leur carte
de manire changer de VLAN.
Pour viter cela, il faudrait raliser un contrle au niveau des commutateurs, ce qui in-
duirait une double exploitation.
Nous pourrions galement crer des VLAN dynamiques par adresse IP. L encore,
lexploitation est dlicate et les modifications de la part des utilisateurs sont toujours possi-
bles. Laffectation des VLAN par port a le mrite dtre simple, de faire partie de la confi-
guration normale des commutateurs et de matriser ltendue du VLAN sur notre rseau.
Mettre en place un rseau de campus
Nos deux commutateurs fdrateurs taient suffisants pour accueillir les 15 rseaux dtage.
Maintenant, nous devons connecter un autre site situ quelques centaines de mtres, puis
deux autre situs quelques kilomtres. Lenjeu est maintenant dtendre notre rseau fd-
rateur pour en faire un rseau de campus. On parle galement de MAN (Metropolitan Area
Network), bien quaucune technologie particulire ne soit associe ce type de rseau. Il
sagit simplement dune dnomination conceptuelle dsignant les rseaux mtropolitains
haut dbit.
Si tous les btiments sont situs sur un terrain priv (par exemple, un campus universitaire),
nous pouvons poser de la fibre optique comme nous lentendons. Dans le cas contraire, soit
un oprateur nous loue des cbles en fibre optique, soit nous devons obtenir une autorisation
pour en poser entre nos btiments.
Pour ceux qui en doutaient encore, le Gigabit Ethernet convient parfaitement ce type de
besoins (voir les diffrents rseaux Ethernet au chapitre 3). Certains oprateurs proposent
mme ce service sur quelques centaines de kilomtres. Tout dpend de la fibre optique utili-
se.

Support de transmission Distance maximale Longueur donde
Fibre multimode 62,5 (qualit standard)
220 m 850 nm
Fibre multimode 62,5 160/500 MHz-km
275 m 850 nm
Fibre multimode 62,5 200/500 MHz-km
500 m 850 nm
1000bSX
Fibre multimode 50 400/400 MH-km
550 m 850 et 1300 nm
Fibre multimode 62,5 ( la bande passante)
550 m 1 300 nm
Fibre multimode 50
550 m 1 300 nm
Fibre monomode 9
5 km 1 550 nm
1000bLX
Fibre monomode 9 faible dispersion
70 100 km 1 550 nm

306
Ct performances, le Gigabit Ethernet est la hauteur des dbits annoncs :
un dbit rel de 761 Mbit/s pour des trames de 64 octets (soit 1 488 095 paquets par se-
conde) ;
un dbit rel de 986 Mbit/s pour des trames de 1 518 octets (soit 81 274 paquets par se-
conde).
Conforts dans notre choix du Gigabit, nous nous retrouvons avec plusieurs commutateurs
fdrateurs interconnecter.

Figure 12-3.
Extension
du rseau fdrateur :
le rseau de campus.

Nous aurions pu mailler tous les commutateurs fdrateurs de manire offrir des routes
multiples. Cela est envisageable si les serveurs sont dissmins dans diffrents btiments.

Quand cela est possible, il est cependant prfrable de respecter les principes suivants :
Choisir deux commutateurs fdrateurs de campus qui fdreront galement les autres
commutateurs fdrateurs de site (ou en ddier deux autres), de manire centraliser les
flux intersites au sein dun nombre rduit de matrices de commutation. Ces deux qui-
pements peuvent tre situs dans deux btiments diffrents.
Relier les deux commutateurs fdrateurs de campus par un lien trs haut dbit, dans
notre cas quatre liens gigabits.
Connecter les fdrateurs de site aux fdrateurs de campus par deux liens distincts en
partage de charge et en redondance, de prfrence sur deux commutateurs distincts, de
manire pallier la dfaillance dun quipement.

Salle Informatique / Centre de calcul
Commutateurs dtage relis
aux commutateurs fdrateurs
du site principal
Site de secours
Autre site
Tour principale
Btiment annexe
Quelques commutateurs dtage
40 commutateurs dtage
CHAPITRE 12

307
Lextension du rseau fdrateur se fait donc de manire trs simple, sans remettre en cause
les choix technologiques et larchitecture.
Il est noter que, grce aux VLAN, cette architecture permet plusieurs socits de cohabi-
ter sur la mme infrastructure tout en tant isoles.
Ladressage et le routage IP
Nous avons dcid de crer un VLAN et daffecter de manire statique les ports ce VLAN,
que nous avons appel VLAN principal. Dautres VLAN peuvent tre cres pour des r-
seaux ddis.
Cela implique daffecter un subnet IP chaque VLAN, et par consquent de configurer nos
cartes de commutation niveau 3 (fonctionnellement quivalentes, rappelons-le, des rou-
teurs). Pour notre VLAN principal, cela est ralis comme suit, conformment notre plan
dadressage tabli au chapitre 5 :

interface Port-channel 1
no ip address

interface Port-channel 1.1
encapsulation isl 100
ip address 10.0.0.1 255.255.248.0

interface GigabitEthernet0/0/0
no ip address
channel-group 1

Lencapsulation isl (Inter-Switch Link) active le protocole propritaire Cisco quivalent
de la norme 802.1q. Dans ce cas particulier, nous ne pouvons faire autrement.
La carte de commutation de niveau 3 dispose ainsi dun attachement sur le VLAN principal,
qui est ralis au niveau de la matrice de commutation. La cration de tout autre VLAN sera
ralise sur le mme modle.
Le routage entre VLAN, et donc entre subnets IP, est effectu par la carte de commutation.
Pour sortir du VLAN principal, les PC et les serveurs doivent connatre la route de sortie,
cest--dire la route par dfaut (default gateway), comme cela tait le cas au chapitre 9.
Mais, cette fois, elle doit pointer sur ladresse IP de la carte de commutation, savoir
10.0.0.1.
Sur chaque VLAN, la passerelle par dfaut des PC et des serveurs pointe donc sur ladresse
IP du commutateur de niveau 3 attach audit VLAN.
VLAN 100 = VLAN principal
Sous-interface qui
correspond un VLAN
Par rapport au chapitre 5, nous avons r-
duit le masque dun bit, de manire obte-
nir un subnet de 2 046 adresses.

308
La redondance du routage
Si, comme sur notre site parisien, nous disposons de deux commutateurs fdrateurs, chacun
quip dune carte de commutation de niveau 3 (carte de routage), il est intressant dassurer
la redondance de la route par dfaut vis--vis des PC et des serveurs. Sur nos quipements,
cela est ralis grce la fonction HSRP (Hot Standby Router Protocol).
Le principe repose sur un groupe de n routeurs (ou cartes de commutation de niveau 3 dans
notre cas), dont lun est dsign actif. Comme dhabitude, chaque interface est associe
une adresse IP et une adresse MAC. Mais le routeur actif reoit en plus une adresse IP (d-
finie comme route par dfaut) associe une adresse MAC qui seule rpond au protocole de
rsolution dadresses ARP (voir chapitre 5). En cas de dfaillance du routeur actif, un nou-
veau routeur est lu parmi les N-1 restants en fonction des priorits affectes au sein du
groupe HSRP, qui sapproprie les adresses HSRP (MAC et IP) :

#Commutateur 1
ip address 10.0.0.2 255.255.248.0
standby 1 priority 110
standby 1 preempt
standby 1 ip 10.0.0.1

#Commutateur 2
ip address 10.0.0.3 255.255.248.0
standby 1 preempt
La route par dfaut configure sur les PC et serveurs est celle de ladresse HSRP, savoir
10.0.0.1.
Ce principe peut tre appliqu chaque VLAN. Il est alors conseill daffecter les priorits
de telle manire que chacune des cartes de commutation de niveau 3 soit active au moins
pour un VLAN, et ce afin de rpartir la charge de routage.
Certaines piles IP, comme celle de Windows NT, intgrent un mcanisme de dtection
de panne du routeur par dfaut (dead gateway detection), tel que dcrit dans la RFC 816.
Si la station constate quelle ne parvient plus joindre son routeur par dfaut, elle en
choisira un autre parmi une liste dfinie dans le menu des proprits de TCP/IP, case
Avanc , section Passerelle . Pour activer ce mcanisme de dtection, il faut po-
sitionner 1 la cl de registre HKEY_LOCAL_MACHINE\System
\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect .

Adresse HSRP, virtuelle, seule
connue des PC et des serveurs
Adresse de la carte
de routage
La priorit la plus basse indique
que la carte est en attente dune
ventuelle dfaillance de lautre.
Groupe HSRP
CHAPITRE 12

309

LE POINT SUR VRRP (RFC 2338)
Le protocole VRRP (Virtual Router Redundancy Protocol) reprend les principes du protocole HSRP (Hot
Standby Router Protocol RFC 2281) spcifi par Cisco. Les formats des paquets sont en revanche diff-
rents, ce qui rend ces deux protocoles incompatibles.
Le but est ici doffrir une redondance de routeurs pour les machines (notamment les PC) utilisant le mca-
nisme de passerelle par dfaut (default gateway). Mme si plusieurs routeurs sont connects un seg-
ment Ethernet, la passerelle par dfaut des PC pointera vers une seule adresse IP, celle dun des routeurs
choisis par ladministrateur du rseau.
Le protocole VRRP permet dajouter, en plus des adresses propres chaque routeur, une adresse IP vir-
tuelle vers laquelle les passerelles par dfaut peuvent pointer. un instant donn, seul le routeur dsign
matre dtiendra ladresse virtuelle, et pourra assurer le traitement des paquets destination de cette
adresse.
Ainsi, lorsque la pile IP du PC devra rsoudre, grce ARP, ladresse de sa passerelle par dfaut, seul le
routeur matre rpondra en indiquant ladresse MAC virtuelle.
Le routeur matre envoie un paquet dannonce intervalle rgulier. Si les autres routeurs nen reoivent plus
au bout de lintervalle de temps spcifi dans le dernier paquet reu (par dfaut une seconde), ils consid-
rent que le routeur matre est en panne et entrent alors dans un processus dlection en envoyant des an-
nonces. Celui dont la priorit est la plus leve, devient alors matre et prend le contrle de ladresse vir-
tuelle.
8 bits
Version=2 N id routeur virtuel Type Priorit Nombre dadresses
Type authentification Intervalle dannonce Checksum
Adresse IP primaire de linterface du routeur
Optionnel : liste des adresses IP secondaires du routeur
Mot de passe en clair (8 octets maximum), si le type dauthentification est 1
4 bits
1 = Annonce
255 = valeur positionne par le routeur matre
254 = priorit la plus haute
1 = priorit la plus basse
0 = le routeur matre sort du groupe VRRP
0 = Aucune authentification
1 = Mot de passe en clair
2 = En-tte de type IPSEC

Les paquets VRRP disposent du numro de protocole 112. Ils sont envoys dans des paquets IP desti-
nation de ladresse multicast 224.0.0.18, dont ladresse source est la vritable adresse IP du routeur et dont
le TTL est obligatoirement fix 255. Le tout est envoy dans une trame MAC dadresse source 00-00-5E-
00-01-xx o xx reprsente le numro didentification du routeur virtuel (identique au champ n id routeur
virtuel du paquet VRRP).
De son cot, HSRP fonctionne au-dessus dUDP avec ladresse multicast 224.0.0.2 et un TTL fix 1.
Ladresse MAC virtuelle utilise est 00-00-0C-07-AC-xx.
Un mme routeur peut participer plusieurs groupes VRRP et plusieurs groupes VRRP peuvent cohabiter
sur un LAN. Si, via le systme des priorits, on sarrange pour que chaque routeur dun LAN soit matre
pour un groupe, et, si on rpartit les passerelles par dfaut des PC sur chacune des adresses virtuelles, il
est alors possible de partager la charge de routage entre les routeurs.
Les mcanismes classiques dicmp-redirect et de proxy ARP sont toujours oprants.

310
La rencontre du LAN et du WAN
Les routeurs qui interconnectent notre site aux autres peuvent directement tre raccords au
rseau fdrateur. Nous prfrons cependant crer un VLAN spcifique, afin de marquer la
frontire entre les deux mondes, ce qui procure certains avantages :
Tout changement darchitecture ou de configuration du LAN naffecte pas le WAN, et
inversement.
La gestion du WAN peut tre centralise partir dun autre site, ce dernier gardant son
autonomie sur le LAN.
Idem lorsque les routeurs sont grs par un ou plusieurs oprateurs.

Figure 12-4.
La frontire
entre le LAN et le WAN.

Comme pour le VLAN principal, il faut affecter un subnet IP au VLAN WAN, puis des
adresses IP aux cartes de commutation et HSRP. Un subnet de 30 adresses, pris dans notre
plan dadressage, sera largement suffisant :

encapsulation isl 5
ip address 10.0.9.34 255.255.255.224

standby 2 preempt

Il suffit ensuite de configurer le routage entre nos commutateurs LAN et le routeur WAN.
La manire la plus simple de le faire est de dfinir des routes statiques, soit une par dfaut,
soit explicitement pour chaque site distant connu :

# route par dfaut
ip route 0.0.0.0 0.0.0.0 10.0.9.36
VLAN n 5 = VLAN WAN
Groupe HSRP n 2 affect ce VLAN
Tout ce qui nest pas connu
est envoy au routeur.
VLAN principal
VLAN WAN
Paris
Routage entre les cartes de
commutation niveau 3 et le routeur
Les cartes de commutation
niveau 3 assurent le routage
entre les deux VLAN.
10.0.8.36
10.0.8.33
.34 .35
CHAPITRE 12

311
# OU routes statiques explicites
ip route 10.4.0.0 255.252.0.0 10.0.9.36
ip route 10.8.0.0 255.252.0.0 10.0.9.36

Inversement, nous indiquons au routeur comment joindre le VLAN principal du site pari-
sien :
ip route 10.0.0.0 255.252.0.0 10.0.9.33

int e0
ip address 10.0.9.36 255.255.255.224

Sur Toulouse, nous avons deux routeurs WAN qui peuvent tre redondants pour des liaisons
Frame-Relay. Il est alors possible de configurer HSRP la fois sur les routeurs WAN et sur
les routeurs LAN (les cartes de commutation de niveau 3).

Le routage sur le WAN - OSPF
Une fois arrivs sur le WAN, les paquets IP se trouvent face de multiples routes allant vers
la mme destination.
Il est envisageable de programmer tous les routeurs avec des routes statiques, comme nous
lavons fait prcdemment, mais cette tche peut savrer complexe et fastidieuse, surtout
sil faut envisager des routes de secours.
Sur le WAN, le plus simple est dutiliser un protocole de routage dynamique. Nous avons
alors le choix entre RIP et OSPF (voir encadr). Ce dernier est cependant le plus performant
et le plus rpandu, mme sil est un peu plus complexe programmer. Nous choisissons
donc OSPF.

Configurer le routage OSPF
La premire tche est dactiver le routage OSPF. Sur nos routeurs Cisco, il faut attribuer un
numro de processus, car plusieurs instances dOSPF peuvent fonctionner simultanment :
router ospf 1

Avec OSPF, la premire tche est de dfinir laire 0, appele backbone area.

Vers Toulouse et vers Strasbourg
via le routeur

312

Mme si de multiples configurations sont possibles avec OSPF, il est cependant conseill de
respecter les rgles suivantes :
Laire 0 doit couvrir toutes les interfaces WAN des routeurs (cest--dire les interfaces
srie, Frame-Relay, ATM, LS, RNIS, etc.).
Une aire doit tre dfinie par site ou par groupe de sites fdrs autour dun campus.
Lintrt est de pouvoir contrler la diffusion des routes, par exemple, dempcher
quun subnet parisien puisse tre vu des autres sites.

tant donn que notre plan dadressage dfini au chapitre 5 prvoit laffectation dun subnet
complet lensemble des liaisons WAN, une seule commande sur chaque routeur est nces-
saire pour affecter laire 0 :

network 172.16.0.0 0.0.255.255 area 0.0.0.0

Laire OSPF est un numro sur 32 bits qui peut tre not la manire dune adresse IP. La
notation du masque associ au subnet annoncer utilise, quant elle, une convention in-
verse celle utilise pour les adresses IP (les bits 0 indiquent la partie rseau).
Tous les rseaux WAN sont
dans laire backbone
QUEST-CE QUUN PROTOCOLE DE ROUTAGE ?
Le routage est laction de commuter les paquets dun rseau IP lautre en fonction de leur adresse IP de
destination. Le routeur se base sur des routes statiques (configures par ladministrateur) et dynamiques
(apprises par des protocoles de routage).
Le routeur maintient ainsi une base de donnes des cots des routes associes, ce qui permet de calculer
le meilleur chemin.
Afin de rduire le trafic rseau gnr par les protocoles de routage, de rduire la taille des bases de don-
nes et de dlguer ladministration, les rseaux IP sont dcoups en domaines de routage appels sys-
tmes autonomes (AS, Autonomous System).
Les protocoles spcialiss dans le routage au sein dun AS sont de type IGP (Interior Gateway Protocol).
Les plus courants sont RIP (Routing Information Protocol), OSPF (Open Shortest Path First) et EIGRP (En-
hanced Interior Gateway Routing Protocol). Les protocoles spcialiss dans le routage inter AS sont de type
EGP (Exterior Gateway Protocol) dont le plus rpandu est BGP (Border Gateway protocol).
Au sein dun AS, tous les routeurs disposent de la mme base de donnes dcrivant la topologie de lAS.
Les IGP utilisent deux types dalgorithmes pour calculer les routes : celui vecteur de distance (Bellman-
Ford) utilis par RIP, et celui de larbre du plus court chemin (Dijkstra), plus performant, qui est utilis par
OSPF.
CHAPITRE 12

313

Figure 12-5.
Configuration OSPF.

Ct LAN, il ny a pas de contrainte particulire laffectation dune aire. Nous choisissons
den affecter une par site (ou par campus) si cela se rvlait ncessaire.

Aire OSPF Site
0.0.0.1 Rgion parisienne
0.0.0.2 Rgion toulousaine
0.0.0.3 Strasbourg
Etc.

Cest justement le cas Toulouse, car nous avons deux routeurs, connects laire 0 dun
ct et au mme rseau local de lautre. Afin que ces deux routeurs puissent changer leurs
tables de routage et se secourir mutuellement, il faut positionner leur interface locale dans
une aire.
Sil ny a que deux routeurs, le plus simple est de tout mettre dans laire 0. Si le rseau de
Toulouse grandit au point dintgrer plusieurs routeurs (ou cartes de commutation de niveau
3), on peut envisager de crer une aire sur ce site, afin de rduire le trafic sur le WAN et de
mieux contrler la diffusion des routes :
network 10.4.0.0 0.3.255.255 area 0.0.0.2

Redondance en cas de panne
En reprenant le rseau Frame-Relay que nous avons construit au chapitre 11, nous pouvons
apercevoir que, en cas de panne du routeur de Strasbourg, laire backbone serait coupe en
deux, empchant toute diffusion des routes. Mme sil y a continuit du rseau local, laire
backbone est spare par laire 2.
E0
E0 E0
E0
192.168.0.1
10.0.0.1 E0 E0
S1
RNIS
S0
Bri0
S0
Bri0
S0
S0 S0
S0
10.16.0.1
E0
128 Kbit/s
10.12.0.1
10.8.0.1
10.4.0.1 10.4.0.2
Orlans
S0
Frame Relay
Strasbourg
Londres
Marseille
Toulouse Toulouse
Paris
Annonce
10.0.0.0/14
Annonce
10.8.0.0/14
Annonce
10.4.0.0/14
Annonce
10.16.0.0/14
Annonce
10.12.0.0/14
Aire
Backbone
Annonce
192.168.0.0/24

314

LE POINT SUR OSPF (RFC 2328)
Le protocole OSPF (Open Shortest Path First) dcoupe lAS (Autonomous System) en aires. Toutes les
aires doivent tre adjacentes laire 0 (backbone area) qui doit tre contigu. Si elle ne lest pas, un lien
virtuel doit tre configur pour assurer sa continuit logique. Les paquets routs entre aires doivent tous
passer par la backbone area via les routeurs de bordure.
Les routeurs diffusent rgulirement des messages dannonce LSA (Link State Advertisement) pour indi-
quer quels rseaux leur sont directement attachs. Les LSA sont diffuss tous les routeurs de laire ; ils
permettent chacun dentre eux de disposer de la mme base de donnes dtat des liens et de calculer
larbre du plus court chemin dont il est la racine. Un routeur gre autant de bases de donnes et calcule
autant darbres quil y a daires auxquelles il est connect.

Version = 2
Identifiant de laire
Longueur en nombre
doctets
Type de
message
Authentification (mot de passe en clair ou chiffr MD5)
Identifiant du routeur
Checksum
(hors authentification)
Type dauthentification
ge du LSA Options Type de
LSA
Identifiant du LSA
Identifiant du routeur qui a gnr ce LSA Numro de squence du LSA
(pour dtecter les paquets dupliqus et anciens)
Checksum LSA Longueur en nombre
doctets
entte
O
S
P
F
entte
L
S
A

Nombre de LSA

Les routeurs diffusent rgulirement des messages Hello afin dannoncer leur prsence leurs voisins sur
les rseaux multipoints supportant le broadcast (par exemple Ethernet). Celui dont la priorit est la plus
grande est lu routeur dsign ; il a la charge dinclure ce rseau dans ses LSA. Sur les rseaux Ethernet,
les messages sont envoys dans des paquets multicasts 224.0.0.5.
Dans la backbone area, les routeurs de bordure schangent les bases de donnes des aires auxquelles ils
sont rattachs. Ils calculent les meilleures routes qui sont ensuite diffuses aux routeurs intra-aire. Les rou-
teurs intra-aire calculent la meilleure route pour sortir de laire (via un routeur de bordure). Le routeur fron-
tire (qui peut tre situ nimporte o dans lAS) assure le mme rle pour les routes permettant de sortir de
lAS.
Quatre types de LSA sont changs :
router-LSA : mis par tous les routeurs dune aire pour dcrire ltat et indiquer le cot de leur interface.
network-LSA : mis par les routeurs dsigns pour annoncer les rseaux de type broadcast (Ethernet,
par exemple) ;
summary-LSA : mis par les routeurs de bordure ;
AS-external-LSA :mis par les routeurs de frontire.
Aucun AS-external-LSA nest envoy dans les aires configures en stub area. la place, le routeur de bor-
dure diffuse une route par dfaut.
CHAPITRE 12

315

Figure 12-6.
Liens virtuels OSPF.

Il est noter que ce cas de figure nexisterait pas si Toulouse ne disposait que dun seul rou-
teur ou si les interfaces Ethernet des deux routeurs taient situes dans laire 0.
La solution ce problme passe par la cration dun lien virtuel entre les deux routeurs de
Toulouse :

# Routeur 1
area 2 virtual-link 10.4.0.2
# Routeur 2
area 2 virtual-link 10.4.0.1

Ce lien permet dassurer la continuit de laire backbone via laire de transit de Toulouse.

Ajustement des paramtres
Diffuser les routes statiques
Certains sites peuvent comporter des routeurs configurs uniquement avec des routes stati-
ques. Si ces routes doivent tre connues des autres sites, il est alors impratif de les diffuser
au processus OSPF, de manire ce que ce dernier les diffuse dynamiquement ses voi-
sins :
router ospf 1
redistribute static
Modifier le cot des routes
Pour calculer le cot des routes, et donc choisir la meilleure, OSPF se base sur la bande pas-
sante du lien. Sur nos routeurs, il est ncessaire de lindiquer manuellement, par exemple
512 Kbit/s sur les routeurs de Toulouse :
int s0
bandwidth 512

Adresse du routeur lautre
bout du lien virtuel
Aire de transit commune
aux deux routeurs

RNIS
128 Kbps
10.4.0.1 10.4.0.2
Orlans
Strasbourg
Londres
Marseille
Toulouse Toulouse
Paris
Aire 2
Le lien virtuel de Toulouse
permet dassurer la continuit
de laire backbone
Aire Backbone
coupe en deux

316
Par dfaut, le cot associ linterface est de 100 000 divis par le dbit exprim en Kbit/s,
ce qui donne, par exemple, un cot de 1 562 pour un dbit de 64 Kbit/s. Il est nanmoins
possible de le modifier, comme suit :
int s0
ip ospf cost 300
Limiter la diffusion des routes
Dans certains cas, il peut tre intressant de limiter la diffusion de certaines routes afin
quelles ne soient pas connues dautres sites, par exemple pour des questions de confidentia-
lit ou pour forcer le chemin emprunter :

router ospf 1
distribute-list 11 out

access-list 11 deny 192.168.0.0 0.0.0.255
access-list 11 permit any

De la mme manire, un routeur peut ne pas accepter une route si, par exemple, le site
dOrlans doit tre cach uniquement celui de Londres :

router ospf 1
distribute-list 11 in

access-list 11 deny 192.168.0.0 0.0.0.255
access-list 11 permit any

Modifier la frquence des changes
Les routeurs OSPF voisins schangent des paquets Hello selon une priodicit quil est pos-
sible de modifier :

int s0
ip ospf hello-interval 10
ip ospf dead-interval 40

Forcer llection du routeur dsign
Lorsque, comme cela est le cas Toulouse, il existe deux routeurs sur le mme rseau
Ethernet, seul le routeur dsign va diffuser le subnet IP de laire n 2. Est lu dsign le
routeur dont la priorit est la plus haute ; en cas de niveau de priorit identique, cest celui
dont ladresse IP est la plus haute :

ip ospf priority 1
Valeur de 1 65 535
Le routeur voisin est dclar absent
au bout de 40 secondes
(par dfaut, 4 x le hello-interval).
Envoie un paquet Hello ses
voisins toutes les 10 secondes.
Valeur par dfaut
Le routeur parisien ne diffuse pas le
rseau du site dOrlans.
Le routeur de Londres filtre
la route du site dOrlans.
CHAPITRE 12

317
Les performances dOSPF
La RFC 1245 fournit quelques statistiques releves sur les routeurs de lInternet :
Chaque entre de la base dtats de liens est mise jour toutes les 30 minutes en
moyenne.
Selon les cas, larbre du plus court chemin est recalcul toutes les 13 50 minutes.
En moyenne, un paquet dannonce contient trois LSA.
Pour 2 000 entres dans une base de donnes OSPF, la bande passante consomme par
lmission des LSA reprsente moins de 0,5 Kbit/s.

Type dannonce Taille moyenne dans les paquets Mmoire routeur
External LSA
36 octets 64 octets
Router et Network LSA
108 octets 192 octets
Summary LSA
36 octets 64 octets
En-tte OSPF
24 octets --
En-tte IP
20 octets

Le temps CPU pour calculer larbre du plus court chemin (algorithme de Dijsktra) est de
lordre de n*log(n) pour N routes et 200 routeurs, soit environ 15 millisecondes pour un
processeur de 10 Mips. En dcoupant un systme autonome en aires, la charge CPU est r-
duite, car il y a moins de routeurs prendre en compte, le calcul SPF tant ralis au sein
dune aire.
Le routage entre systmes autonomes - BGP
Avec OSPF, votre rseau fonctionne de manire indpendante avec son systme autonome
OSPF, tout comme le fait une autre entreprise ou un ISP avec le leur.
Dans certaines entreprises, on peut envisager de dcouper son rseau en domaines adminis-
tratifs distincts, chacun deux tant sous la responsabilit dune quipe dexploitation ind-
pendante. Ce type de besoin sexprime galement avec lInternet o chaque ISP ne gre que
sa portion de rseau. Lautre intrt de ce dcoupage est quil limite la taille des tables de
routage OSPF.
Arrive un moment o il faut interconnecter ces systmes autonomes, que ce soit en entre-
prise ou sur Internet. Lchange des informations de routage entre AS est alors ralis
laide du protocole BGP (Border Gateway Protocol).

318

AS 100
AS 200
AS 500 R55
R10
R21
R521
R51
172.16.0.1
172.16.0.2
172.16.0.5
172.16.0.6
Sessions BGP
router bgp 100
neighbor 172.16.0.2 remote-as 500
router bgp 500
router bgp 200
router bgp 500
10.10.0.0
10.50.0.1
10.50.0.21
10.20.0.0
10.21.0.0
10.50.0.0
10.51.0.0

Un routeur BGP peut injecter automatiquement toutes les routes apprises de BGP dans
OSPF, afin quelles soient diffuses dans le reste de lAS. En retour, il ne faut pas rinjecter
les routes OSPF dans BGP, mais seulement y injecter les routes de lAS, ce qui implique
une configuration manuelle. Le routeur R51 doit donc tre configur comme suit :

router bgp 500
network 10.50.0.0 mask 255.255.0.0
network 10.51.0.0 mask 255.255.0.0

router ospf 1
network 10.50.0.0 0.0.255.255 area 0
network 10.51.0.0 0.0.255.255 area 0
redisbribute bgp 500

Il est noter que pour BGP la commande network indique la liste des rseaux annoncer,
tandis que pour OSPF, elle spcifie les interfaces prises en compte par le processus.
Les configurations des autres routeurs sont similaires, par exemple, celle de R21 :

router bgp 200
network 10.20.0.0 mask 255.255.0.0

router eigrp 65020
network 10.20.0.0
network 10.21.0.0
redisbribute bgp 500
et leur annonce les routes
de son AS.
Numro de lAS
Toutes les routes apprises de BGP (donc les
routes des autres AS) sont injectes dans OSPF
afin quelles soient diffuses dans lAS 500 .
Ce systme autonome fonctionne avec
EIGRP (Enhanced Interior Gateway Routing
Protocol), protocole propritaire Cisco.
Par dcision de ladministrateur,
seul le rseau 10.20 doit tre vu,
et donc accessible des autres AS.
R51 apprend les routes an-
nonces pas ses voisins
CHAPITRE 12

319

LE POINT SUR BGP (RFC 1771 1774)
Lobjectif de BGP (Border Gateway Protocol) est de diffuser les routes entre des systmes autonomes tels
que ceux dOSPF. Le principe consiste injecter manuellement les routes dun AS dans BGP ; ce dernier
annonce ses routes aux routeurs BGP des autres AS qui les rinjectent ensuite dans le routage interne
leur AS respectif.
leur initialisation, les routeurs BGP ouvrent des sessions TCP (port 179) avec leurs partenaires (peers) et
changent lintgralit de leur table de routage, puis uniquement les mises jour par la suite.
Quatre types de messages sont ainsi changs :
Open contient des informations relatives au routeur BGP qui envoie ce message : lAS dans lequel il est,
le dlai par dfaut du keepalive, son identifiant (gnralement son adresse IP), ainsi que des paramtres
optionnels relatifs lauthentification.
Keepalive est envoy rgulirement aux partenaires pour indiquer que le routeur est toujours actif.
Notification est envoy lorsquune erreur a t dtecte (valeur non conforme dans le message, r-
ponse non reue dans les temps, erreur de format du message, erreur de procdure, etc.).
Update contient dventuelles routes prcdemment annonces et qui ne sont plus valides, ainsi que les
routes actives associes ladresse du routeur de bordure et la liste des AS traverser pour y aller.

Longueur du
champ suivant
Longueur du
message
Marqueur pour authentifier les
routeurs
Type de
message
2 octets 2 octets 1 octet
Liste des routes <longueur, prfixe>
retirer de la table BGP car plus valides
Longueur du
champ suivant
Liste des attributs obligatoires et optionnels
Pour chaque attribut, le codage est le suivant :
NLRI (Network Layer Reachability Information)
Liste des routes actives codes sous forme <longueur, prfixe>
1 octet
Code Nom Description
1 ORIGIN Origine de linformation (IGP, EGP ou incomplte)
2 AS_PATH Liste des AS traverss par ce message. Le numro dAS y est ajout en sortie.
3 NEXT_HOP Adresse IP du saut suivant pour aller vers les rseaux lists dans le champ NLRI
4 MULTI_EXIT_DISC (optionnel) Mtrique permettant de choisir entre plusieurs points de sortie vers un autre AS
5 LOCAL_PREF Degr de prfrence pour une route de sortie vers un autre AS
6 ATOMIC_AGGREGATE Indique quune route moins spcifique a t slectionne parmi celles indiques dans la liste
7 AGGREGATOR (optionnel) Dernier n dAS et adresse IP du dernier routeur BGP qui a form la route agrge.
8 COMMUNITY (optionnel) Indique comment une route a t apprise et permet de dcider qui la diffuser (cf. RFC 1997)
Actuellement, 18 attributs cf. www.iana.org/assignments/bgp-parameters
Code attribut
Longueur attrib.
Valeur attribut
Ext. longueur
Bit = 1 signifie :
O = attribut optionnel
T = attribut optionnel transitif
P = attribut transitif partiel
E = champ longeur tendu
deux octets au lieu dun seul
U = Non utilis
O T P E U U U U

Les messages Update sont propags de routeur en routeur : chaque sortie dAS, le routeur BGP ajoute
son numro dAS dans la liste AS_PATH, permettant ainsi de reconstituer le chemin dAS. Chaque routeur
BGP communique ainsi son partenaire la liste des rseaux atteignables (NLRI) via tel routeur indiqu
dans NEXT_HOP.
Sil existe plusieurs routes entre deux AS, les routeurs BGP de chaque AS calculent la meilleure route vers
lautre AS laide des attributs MULTI_EXIT_DISC et LOCAL_PREF.
Les informations de routage (NLRI) sont changes sous le format CIDR (Classless Inter-Domain Routing)
qui consiste ne coder que le prfixe des adresses (la partie rseau des adresses IP) et agrger les rou-
tes contigus.
Les routeurs BGP partenaires (internal peers si dans le mme AS ou external peers si dans deux AS diff-
rents) doivent avoir au moins une de leur interface dans le mme subnet IP.

320
Le protocole BGP requiert un maillage complet de toutes les paires de routeurs au sein dun
AS (entre Internal peers). Afin de simplifier cette configuration pour les grands rseaux, la
solution consiste regrouper les routeurs dans des clusters BGP et dsigner un leader au
sein de chaque cluster, appel Route Reflector. Les changes avec les routeurs dautres AS
(entre External peers) sont alors raliss via les Routes Reflectors qui redistribuent les routes
apprises aux routeurs BGP de leur AS respectif. Utilis au sein dun AS, le mme protocole
est appel I-BGP (Internal BGP) tandis quutilis entre AS, il est appel E-BGP (External
BGP). La diffrence rside dans les rgles de diffusion des routes apprises : un prfixe dun
voisin I-BGP ne peut pas tre annonc un autre voisin I-BGP, ce qui est en revanche pos-
sible avec des voisins E-BGP.
La commutation sur le WAN - MPLS
Une alternative au routage classique est la commutation MPLS (Multiprotocol Label Swit-
ching). Dans le premier cas, chaque routeur analyse len-tte des paquets IP et dcide du
routage en fonction dune table reprsentant la topologie du rseau. Dans le second cas,
lanalyse de lentte est ralise par le premier routeur qui ajoute un label, ce qui permet aux
autres routeurs de commuter le paquet daprs ce label sans analyser le paquet. Lavantage
immdiat est de rduire la taille des tables de routage et damliorer les performances.
Lide originale tait effectivement de rduire le temps de traitement des paquets en combi-
nant le routage OSPF la priphrie du rseau et la commutation ATM au cur du rseau.
Plusieurs constructeurs ont ainsi propos des solutions : Cisco avec Tag Switching, IBM
avec ARIS (Aggregate Route-Based IP Switching), Ipsilon et Cascade. Ces approches pro-
pritaires ont conduit lIETF se pencher sur le problme en 1997 puis proposer le stan-
dard MPLS en janvier 2001, sorte de synthse des prcdentes solutions. Entre temps, les
soucis de performances ont perdu de leur actualit grce la monte en puissance des rou-
teurs, mais la principale technique mise en uvre dans MPLS, cest--dire la dfinition de
chemins IP commuts, sest avre pouvoir remplir dautres fonctions.
En effet, le concept de circuit virtuel au niveau IP, appel LSP (Label Switched Path),
permet de crer des chemins en fonction de diffrents critres et de leur appliquer des trai-
tements diffrencis. Le critre, qui permet daffecter un paquet IP un LSP, peut ainsi cor-
respondre :
une adresse IP et/ou un port TCP ou UDP ;
une classe de service ;
des choix dingnierie (dnomms communment traffic engineering), tels la rparti-
tion de trafic entre deux liaisons parallles (load balancing), une route de secours en cas
de panne du lien principal, etc.
Ces possibilits ouvrent la voie trois applications :
la cration de rseaux logiques spars, appels VPN-MPLS ;
le traitement diffrenci des flux de paquets en fonction de la classe de service qui leur
est affecte ;
CHAPITRE 12

321
lorientation du trafic en fonction de ltat du rseau.
Lintrt de reporter un maximum de fonctions au niveau 3 est quIP est prsent partout,
quel que soit le protocole de transport. On peut ainsi grer de bout en bout et uniformment
les VPN, la qualit de service et le trafic, que ce soit dans les rseaux privs en entreprise ou
sur le rseau public Internet. En effet, MPLS est multiprotocole, car il repose sur nimporte
quel protocole de niveau 2 (ATM, Frame Relay, PPP et Ethernet ce jour) et peut tre utili-
s par nimporte quel protocole de niveau 3 (IPv4 et IPv6 ce jour).
Fonctionnement de MPLS
Un LSP (Label Switched Path) est matrialis par une succession de routeurs qui assignent
les mmes labels aux paquets IP ayant les mmes caractristiques (mme adresse destina-
tion, mme classe de service diffserv, etc.). Comme dans un rseau IP, les paquets sont m-
langs, mais dans un domaine MPLS, les paquets dun mme LSP ne peuvent pas voir
les autres paquets IP et sont traits diffremment des autres LSP.
Dans cet exemple :
LSP de labels impairs = VPN 1
LSP de labels pairs = VPN 2
Paquet IP
9 Paquet IP
MPLS
MPLS
MPLS
MPLS
MPLS
MPLS
4 Paquet IP
9 Paquet IP
6 Paquet IP
9 Paquet IP
7 Paquet IP
7 Paquet IP
4 Paquet IP
7 Paquet IP
7 Paquet IP
6 Paquet IP
4 Paquet IP
7 Paquet IP
4 Paquet IP
Paquet IP
Paquet IP
Pour simplifier, tous les labels
de ce LSP sont gaux 4.
Sur ce lien, les labels impairs
ont priorit sur les labels pairs
Paquet IP
Paquet IP
Paquet IP
MPLS
MPLS
MPLS
MPLS

Le label peut correspondre au VPI/VCI dun CV ATM (RFC 3035) ou au DLCI dun CV
Frame Relay (RFC 3034). Dans ce cas de figure, les commutateurs ATM et Frame Relay se
comportent comme des routeurs MPLS.

Comparaison ATM et de Frame Relay MPLS
Circuit virtuel CV LSP
Identification du CV VPI/VCI et DLCI Label
Cration des CV Statique Dynamique via LDP
Critres de cration dun circuit virtuel Aucun Adresses, ports tcp/udp, QoS
Hirarchie de CV Non Oui
VPN Niveau 2 Niveau 3

322

LE POINT SUR MPLS (RFC 3031 ET 3032)
Le protocole MPLS (Multiprotocol Label Switching) cr des circuits virtuels au niveau IP, appels LSP (La-
bel Switched Path), sur la base de critres, appels FEC (Forwarding Equivalent Class), tels que les adres-
ses destinations, les classes de services, le type dapplication, etc. Tous les paquets correspondant un
mme FEC emprunteront ainsi le mme LSP et seront identifis par les mmes labels.

2me entre de la pile
1 bit 20 bits
Label S Exp TTL
8 bits 3 bits
Paquet IP
Label Numro de label.
0 = Ipv4 explicit null label (valable pour le dernier label de la pil e). Indi que que le l abel doit tre retir de la pile
et que le routage doit tre ralis sur la base de lentte IP.
1= Rout er Alert Label (non valabl e pour le dernier label de la pil e).
2 = Ipv6 explicit null label. Mme signi fication que la val eur 0, mais appli que Ipv6.
3 = Implicit null label. Utilis par le protocol e de distribution des labels.
4-15 : valeurs rserves un usage futur. Le reste des valeurs est libre d utilisation.
Exp (Experimental ).
S (Stack). 1 = dernier label de la pil e.
TTL (Time To Li ve). Est dcrment de 1 par l es LSR afin d viter les boucles infini es. En entre dun LSP, le LER
copie le TTL du paquet IP dans ce champ et inversement en sortie.
1re entre de la pile de labels (shim)
Plusieurs labels peuvent tre empils en tte du paquet IP.

la frontire dun domaine MPLS, le paquet IP est pris en charge par un routeur de bordure (LER Label
Edge Router) qui il ajoute (en entre) ou retire (en sortie) un label. Les paquets sont ensuite commuts
par des routeurs MPLS (LSR Label Switch Router) qui ont la possibilit de modifier les labels.
Alors quun routeur classique traitera chaque paquet individuellement sur la base de sa table de routage et
de lentte IP, un LSR se contentera de commuter les paquets uniquement sur la base des labels, sans
soccuper de quoi que ce soit dautre.
Les labels sont affects indpendamment par chaque routeur MPLS. Ils nont donc quune porte locale,
entre deux LSR adjacents.

10.6
LSR LER
LER
ILM (entre)
Interf ace Label
S0 9

ILM (entre)
Interface Label
S0 8
S0 6
NHLFE (Next Hop Label Forwarding Entry) contient les informations permettant de router un paquet MPLS tels que le saut
suivant, lopration raliser sur le label (swap, pop, push, aggregate, untag), la manire de coder le label, etc.
Plusieurs NHLFE peuvent tre associs un label entrant, comme dans le cas du multicast, par exemple.
ILM (Incoming Label Map) est une table de correspondance entre un label et un ou plusieurs NHLFE
FTN (FEC-to-NHLFE) est une table de correspondance entre un FEC et un ou plusieurs NHLFE
NHLFE (sortie)
Interf ace Label Action
S1 9 swap
S2 9 swap
LER
10.5
S1
S2 S0
FTN (entre)
Interface FEC
S0 10.5
S0 10.6
S0
S0 S1
S1
S0 S1
NHLFE (sortie)
Interface Label Action
S1 8 push
S1 6 push
NHLFE (sortie)
Interf ace Label Action
S1 - pop
Paquet IP 6 Paquet IP 9
Paquet IP
Adresse IP destination = 10.6
Paquet IP
10.2

CHAPITRE 12

323

LE POINT SUR MPLS (SUITE)
Chaque routeur MPLS indique au routeur situ en amont le label associ tel FEC grce au protocole de
distribution des labels (LDP Label Distribution Protocol RFC 3036 3038 et 3215). partir des tables
de routage et des informations changes entre LSR, LDP constitue une table de correspondance appele
LIB (Label Information Base) qui associe un FEC (dans le cas de LDP, un numro de rseau ou une
adresse de machine) un ou plusieurs couples Identifiant despace de label / Label .
MPLS peut cependant utiliser dautres protocoles pour distribuer les labels. Ainsi, des extensions de BGP
(RFC 3107) et de RSVP (RFC 3209) ont t spcifies cet effet.

10.6
LSR LER
LER
ILM (entre)
Interface Label
S0 9
ILM (entre)
Interface Label
S0 8
S0 6
NHLFE (sortie)
S1 9 swap
S2 9 swap
LER
10.5
S1
S2 S0
FTN (entre)
Interface FEC
S0 10.5
S0 10.6
S0
S0 S1
S1
S0 S1
NHLFE (sortie)
S1 8 push
S1 6 push
NHLFE (sortie)
S1 - pop
NHLFE (sortie)
S1 - pop
Jutilise le label 9
pour le FEC 10.5
Jutilise le label 9
pour le FEC 10.6
Jutilise le label 8 pour le FEC 10.5
Jutilise le label 6 pour le FEC 10.6
ILM (entre)
Interface Label
S0 9
10.2
la rception du message dannonce LDP,
les autres LER creront galement une
table FTN pour le FEC 10.2 tandis que les
LSR creront une table ILM.
Ce LER crera galement une table

ILM pour le FEC 10.2 et lannoncera
au LSR adjacent avec LDP.

Il est possible de crer des hirarchies de LSP, par exemple pour agrger des LSP dans un seul LSP sur
une partie du chemin (cration dun tunnel) linstar dATM qui agrge plusieurs VC dans un VP (cf. chapi-
tre 11), mais sur un seul niveau alors que MPLS nest pas limit. Dans lentte MPLS, les labels sont ainsi
empils par les LER de chaque domaine sur le mode LIFO (Last In, First Out). Il est alors possible
dimbriquer plusieurs domaines MPLS, chaque domaine ne traitant que le label situ au dessus de la pile.

Paquet IP 3
LSP niveau 2
Paquet IP 7
Paquet IP 9
Paquet IP 9
2
LSR
LER
LSR
LER
LSR
LSR LSR
LER
LER
Paquet IP 9 8
Paquet IP 9 4
Paquet IP 9 4
Paquet IP 9
LER
Paquet IP
LSP niveau 1
Paquet IP
LER
6
Domaine MPLS
de loprateur
Domaine MPLS du client
Deux entres dans
la pile de labels
Chaque domaine MPLS traite
le label du haut de la pile sans
se proccuper du reste.
des fins
doptimisation, le
label "2" peut tre
retir au niveau du
pnultime saut.

la diffrence dun domaine MPLS, un tunnel LSP ne concerne que deux routeurs quils soient dailleurs
adjacents (tunnel rout saut par saut) ou non (tunnel rout explicitement).


324

Les VPN-MPLS sont fonctionnellement quivalents aux VLAN Ethernet dcrits au dbut de
ce chapitre. Les premiers agissent au niveau 2, tandis que les seconds agissent au niveau 3.
Lexemple suivant est propos titre indicatif, car les implmentations actuelles sont encore
propritaires, notamment au niveau du protocole de diffusion de labels et de lutilisation du
champ Exp . Le lecteur pourra se tenir inform des volutions de MPLS sur le site
www.ietf.org/html.charters/mpls-charter.html.

int e0/1
tag-switching advertise-tags

ip vrf VPN_client
rd 100:1
route-target both 100:1
router bgp 500
neighbor 10.5.0.1 activate

LE POINT SUR MPLS (FIN)
Le routage MPLS peut tre trait de deux manires :
saut par saut, chaque LSR choisissant indpendamment le prochain saut pour chaque FEC sur la base
des informations fournies par un protocole de routage tel quOSPF.
explicitement, le LER dentre ou de sortie indiquant tout (routage explicite strict) ou partie (routage ex-
plicite lche) des LSR emprunter pour tel FEC.
Les protocoles de distribution de label permettant de crer des LSP saut par saut sont LDP et une exten-
sion de BGP (RFC 3107). Les protocoles de distribution de label permettant de crer des LSP explicites
sont actuellement RSVP-TE (RSVP Traffic Engineering, RFC 3209) ou CR-LDP (Constraint-Based LDP,
RFC 3212 3214).
Les LSP peuvent tre crs avec LDP selon le mode de contrle indpendant ou ordonn. Dans le pre-
mier cas, la diffusion des labels est ralise par chaque LSR ds que possible, on pourrait dire de manire
dsordonne, tandis que dans le second cas, les LSR ne diffusent les labels dun FEC que sil a reu le
label correspondant ce FEC en provenance dun routeur amont.
Plusieurs FEC peuvent tre agrgs en un seul FEC, seul ce dernier tant alors li un label. Cela peut,
par exemple, tre le cas de FEC partageant les mmes prfixes dadresse. De mme, plusieurs labels en-
trant peuvent tre fusionns en un seul label, ce qui revient fusionner plusieurs flux auparavant distincts.
Les flux fusionns ne peuvent alors plus tre spars.
Active MPLS
Cre un VPN
Cre un domaine BGP
pour ce VPN

QUATRIME PARTIE

La gestion avance
des flux IP
13
Les flux
multimdias

Lobjectif de ce chapitre est de prsenter les caractristiques des flux multimdias (essentiel-
lement la voix et la vido), afin de montrer comment leurs particularits influent sur un r-
seau de paquets tel que TCP/IP.
Il na pas pour objet de faire de vous des experts en audiovisuel, mais plutt de vous donner
les informations essentielles vous permettant de savoir de quoi on parle, ce que lon mani-
pule et de comprendre limpact de ces flux audio et vido sur votre rseau.

Vous dcouvrirez ainsi :
comment sont transports le son et limage sous forme numrique ;
ce quest un codec audio et vido ;
les problmes poss par les dlais de transit et la gigue ;
quels dbits ces types de flux engendrent sur votre rseau.

Codec audio G.7xx, codec vido H.26x, MPEG

328
Les caractristiques des flux multimdias
Initialement, un rseau IP, tel que lInternet, tait conu pour vhiculer des donnes entre
deux machines : transfert de fichiers, connexion Web, messagerie, etc. Depuis, la voix et
limage ont fait leur apparition et ont tendu le champ dutilisations du rseau : tlphonie,
diffusion de films la demande et confrences plusieurs. Dans ce dernier domaine, on dis-
tingue laudioconfrence (voix uniquement), la visioconfrence (voix + vido) et, dune ma-
nire gnrale, la tlconfrence (voix + vido + donnes).
Ces flux multimdias induisent un certain nombre de contraintes nouvelles :
Les signaux audio et vido doivent tre numriss, ce qui veut dire convertir les signaux
analogiques en bits numriques.
La voix ncessite une bonne synchronisation entre lmetteur et le rcepteur.
La vido engendre une augmentation du volume des donnes transfres.
La tlconfrence ncessite de diffuser un flux entre un metteur et plusieurs rcepteurs
qui peuvent devenir, leur tour, metteurs.
La numrisation des signaux ncessite dchantillonner la voix, de la quantifier, de la coder
et, de plus en plus souvent, de la compresser :
Lchantillonnage consiste prlever des chantillons du signal intervalles rguliers,
linstar du cinma qui utilise 24 images par seconde pour traduire le mouvement. Ain-
si, plus la frquence dchantillonnage sera leve, plus le nombre de bits utiliss pour
reprsenter un chantillon sera grand et plus la forme numrique sera fidle au signal
original. En contrepartie, le dbit rseau gnr sera plus important. La plupart du
temps, lchantillon porte sur 8 bits, alors que, pour la haute fidlit (requise, par exem-
ple, pour un Compact Disc), lchantillon porte sur 16 bits.
La quantification fait correspondre une valeur lamplitude dun chantillon par rap-
port des valeurs-talons appeles niveaux de quantification. Lamplitude des chantil-
lons prlevs peut varier de faon illimite, mais doit pouvoir tre reprsente par un
nombre fini de valeurs binaires. La valeur rsultant, gnralement code sur un octet,
sera gale au niveau de quantification le plus proche de celui mesur.
Le codage consiste transmettre un flux dinformations binaires correspondant
lchantillon reprsent par un octet.
De plus en plus souvent, le codage est associ un algorithme de compression.
Par exemple, la voix gnre des signaux une frquence oscillant entre 300 Hz et 3 300 Hz,
valeur arrondie 4 000 Hz par les quipements numriques. Un chercheur, appel Shannon,
a montr que la frquence dchantillonnage devait tre gale au double de la frquence du
signal numriser. Un signal analogique de 4 000 Hz ncessite donc 8 000 chantillons par
seconde, qui sont reprsents sur 8 bits, soit un dbit de 64 Kbit/s pour coder la voix. Cette
unit, appele DS0 (Digital Signaling 0), a longtemps t la rfrence et continue encore de
ltre pour les liaisons daccs E1/T1 proposes par les oprateurs, aussi bien pour la voix
que pour les donnes.

Les flux multimdias
CHAPITRE 13

329

LES CODEC AUDIO
Il existe une multitude de codec, que lon peut ranger en trois catgories : temporel, source et hybride. Cette
diffrenciation repose sur la manire dont est ralise la quantification.
La quantification diffrentielle consiste mesurer la diffrence entre deux chantillons. Lchelle utilise
peut tre fixe, on parle alors de quantification diffrentielle scalaire (de type linaire ou logarithmique),
ou varier en fonction du signal prcdent, qui est appele quantification diffrentielle adaptative.
Au lieu de travailler chantillon par chantillon, la quantification vectorielle travaille sur un groupe
dlments qui sont cods laide dun dictionnaire (codebook). Ce type de quantification peut tre appliqu
des chantillons de voix ou des paramtres quelconques.

Les codeurs temporels (waveform)
Les codeurs de ce type codent directement le signal dentre, chantillon par chantillon. Cela est le cas
des codec de type PCM (Pulse Code Modulation) qui utilisent une quantification diffrentielle logarithmique
(loi A ou loi ) et des codec de type ADPCM (Adaptative Differential PCM) qui reposent sur une quantifica-
tion diffrentielle adaptative.

Les codeurs sources
Cette catgorie est constitue par des algorithmes qui transmettent les paramtres de la voix (intensit et
frquence principalement) au lieu dune reprsentation du signal lui mme. La voix est modlise par une
fonction dexcitation choisie parmi plusieurs. la rception, la voix est reconstitue en utilisant cette fonc-
tion et les paramtres qui ont t transmis.
Les plus rpandus de cette famille sont les algorithmes prdiction linaire (LPC Linear Prediction
Coding). Ils utilisent une combinaison des chantillons prcdents pour construire une valeur prvisible ap-
prochant le plus possible lchantillon coder. Ils sont spcifique au codage de la voix (tout autre son serait
restitu avec une trs mauvaise qualit). Cest pour cela que les codec utilisant ce type dalgorithme sont
appels vocoder (voice coder). Ils produisent une voix daspect synthtique, mais le dbit rseau gnr
est trs bas. Par exemple, LPC10 (10 coefficients) code des trames de 20 ms sur 54 bits, ce qui donne un
dbit de 2,4 Kbit/s.
Un autre type dalgorithme frquemment utilis est le LTP (Long Term Predictor), qui sattache construire
une valeur prvisible de la frquence du son.

Les codeurs hybrides
Ces codeurs combinent lutilisation des technologies temporelles et source, en plus de lutilisations de m-
thodes de quantification vectorielles.
La mthode la plus utilise est lanalyse par synthse (ABS Analysis By Synthesis), technique sur la-
quelle se basent les codec de type MPE (MultiPulse Excited), MP-MLQ (MultiPulse Maximum Likelihood
Quantization), RPE (Regular-Pulse Excited), et surtout CELP (Code-Excited Linear Predictive). Elle consiste
analyser le signal dentre en synthtisant diffrentes approximations dduites des signaux prcdents.
Citons galement les variantes LD-CELP (Low-Delay CELP) et CS-ACELP (Conjugate-Structure Algebraic
CELP).
Un codec ABS travaille sur des groupes dchantillons appels trames, typiquement longues de 10, 20
ou 30 ms. Pour chaque trame, le codec dtermine les coefficients dun codage source (appel ici filtre), puis
choisit une fonction dexcitation qui sera applique ce filtre. Les codes transmis correspondent aux para-
mtres tels que ceux ncessaires LPC, RPE et LTP.


330

Les quatre oprations constituant la numrisation dun signal analogique (audio ou vido)
sont ralises par des processeurs spcialiss appels DSP (Digital Signaling Processing).
Les algorithmes qui dfinissent la manire de raliser ces oprations sont appels Codec
(codeur/dcodeur).
Les codec tant normaliss ITU-T, srie G, leurs noms commencent par cette lettre. Le pre-
mier dentre eux et le plus utilis sur les liaisons E1/T1 ainsi que sur le RTC, rpond la
norme G.711. Le codage est de type PCM (Pulse Code Modulation) ; il nutilise aucun al-
gorithme de compression. En France, la norme est appele MIC (modulation par impulsions
codes), do le nom des liaisons 2 Mbit/s proposes par France Tlcom (32 canaux DS0,
dont 2 pour la signalisation).
Le codec G.711 existe en deux variantes de codage : A-law (Europe) et -law (Amrique du
Nord et Japon).

Application chantillon-
nage
Bande passante
transmise
Convertisseurs
Analogique / Numrique
Dbit brut
gnr
Tlphonie 8 KHz 300 Hz 3,4 KHz 8 13 bits 64 104 Kbit/s
Radio FM 16 KHz 50 Hz 7 KHz 14 ou 15 bits 224 ou 240 Kbit/s
NICAM (son st-
ro pour la TV)
32 KHz 30 Hz 15 KHz 16 bits 512 Kbit/s
Compaq Disc 44,1 KHz 20 Hz 20 KHz 16 bits 706 Kbit/s
DAT 48 KHz 10 22 KHz 24 bits 1 152 Kbit/s
LES CODEC AUDIO (SUITE)
Quelques techniques complmentaires peuvent tre utilises par les codec.

Le codage en sous bande
Nombre de codeurs rcents utilisent, en plus, une technique de codage en sous bande (SBC - Sub-Band
Coding) galement appele codage psychoacoustique. Cette technique consiste dcouper le signal
dentre en sous-frquences et utiliser plus de bits pour coder les frquences les plus audibles. En
dautres termes, lalgorithme concentre les efforts de codage sur les frquences auxquelles notre oreille est
la plus sensible.
Le premier algorithme employer cette technique a t G.222, un codec de type temporel. Il utilise deux
sous-bandes sur lesquelles sont appliques un codage ADPCM, tandis des codec hybrides plus rcents tels
que MPEG utilisent jusqu 32 sous-bandes.

Le codage des silences
Par ailleurs, les codec intgrent des dtecteurs de silence (VAD Voice Activity Detection). Lors dune
conversation, les silences reprsentent, en effet, 35 40% du temps global.
Les flux multimdias
CHAPITRE 13

331
Choisir un codec audio
Pour notre oreille, la qualit dun codec se rsume sa qualit acoustique. Celle-ci dpend
de la frquence dchantillonnage, de la bande passante transmise (facult reproduire les
aigus et les graves) et de la manire dont est cod le signal. Lensemble de ses paramtres
techniques se concrtise par lapprciation subjective de loreille. Celle ci est value par
sondage sur une population dutilisateurs et sexprime par un indice de satisfaction moyen,
le MOS (Mean Opinion Score).
Pour la voix sur IP, la qualit dun codec dpend dautres facteurs :
du dlai des oprations de codage et de dcodage ;
du dbit rseau gnr ;
de la sensibilit aux erreurs. Par exemple, le codec G.726 est moins sensible que G.711,
tandis que G.723 tolre un taux derreur de prs de 3%. Gnralement, la perte dun pa-
quet IP a un impact trs important sur les codec PCM et ADPCM (la resynchronisation
de lmetteur sur les chantillons est difficile) et moins sur les codec hybrides ;
de sa complexit, donc de la puissance processeur requise pour le codage et le dco-
dage. Pour certains codec, lutilisation de DSP savre souvent prfrable.
Caractristiques
Dautres paramtres, trs techniques, caractrisent cependant les codec.

Codec
(standard ITU)
Algorithme
de codage
Dure de
lchantillon
Nombre
dchantillons
par trame
Longueur de
la trame
Lookahead
Dlai
algorithmique
x = + =
G.711 PCM 0,125 s 8 1 ms 0 ms 1 ms
G.722 ADPCM 0,0625 s 16 1 ms 1,5 ms 2,5 ms
G.723.1 ACELP
MP-MLQ
0,125 s 240 30 ms 7,5 ms 37,5 ms
G.726 ADPCM 0,125 s 80 10 ms 0 ms 10 ms
G.728 LD-CELP 0,125 s 5 x 4 2,5 ms 2,5 ms 2,5 ms
G.729 CS-ACELP 0,125 s 80 10 ms 5 ms 15 ms
GSM 6.1 RPE-LTP 0,125 s 160 20 ms 0 ms 20 ms
GSM 6.2 VSELP 0,125 s 160 20 ms 4,4 ms 24,4 ms
GSM 6.6 CD-ACELP 0,125 s 160 20 ms 0 ms 20 ms

332
Le lookahead (analyse en avant) reprsente le temps moyen danalyse dune partie de
lchantillon N+1 permettant de prdire lvolution du signal et de coder lchantillon N.
Le dlai algorithmique, ou dlai de traitement, dun codec correspond donc la taille de la
trame augmente du lookahead.
Cependant, les codec temporels ne travaillent pas sur des trames mais uniquement chantil-
lon par chantillon. Transports dans des paquets IP, ces chantillons de 125 microsecondes
sont regroups pour former lquivalent dune trame.
Au dlai de traitement du codec, il faut donc ajouter le temps mis pour remplir une trame.
Par exemple, le codec G.723 gnre une trame contenant 30 ms de voix. Elle comporte 240
chantillons compresss 189 bits (24 octets) ou 158 bits (20 octets), les deux premiers
bits indiquant respectivement le type de codec et la taille de la trame.
Performances
Quelle que soit sa complexit, un codec doit coder et dcoder les chantillons selon un
temps fixe dtermin par la frquence dchantillonnage. Selon la complexit de
lalgorithme, un codec requerra donc plus ou moins de puissance, value en Mips (millions
dinstructions par secondes). En outre, la puissance requise par un codec est plus importante
si le calcul est effectu en virgule flottante que sil est effectu en virgule fixe.
Les processeurs spcialiss que sont les DSP excutent en une seule instruction et en un seul
cycle horloge des calculs rptitifs comme, par exemple, (a*b)+rsultat prcdent , cal-
culs que des processeurs gnralistes comme le Pentium excutent en plusieurs instructions
et plusieurs dizaines de cycles. Les DSP intgrent galement les dictionnaires (codebook)
utiliss par les codec Hybrides.
Les valeurs prsentes ci-aprs sont les moyennes indiques par un constructeur pour ses
DSP en virgule fixe. Elles ont t arrondies aux valeurs les plus proches. Pour les codec
temporels, la puissance de calcul est quasi identique en codage et en dcodage, alors que
pour les codec hybrides, une puissance plus importante est ncessaire au codage.

Codec Dbit rseau
gnr
Longueur de
la trame
Nombre doctets
par trame
Nombre de
trames par
paquet RTP
Complexit
codage /
dcodage
x 8 =
G.711 64 Kbit/s 1 ms 8 20 0,1 / 0,1 Mips
G.722
(1)
48, 56 et 64 Kbit/s 1 ms 6 / 7 / 8 20 13 / 13 Mips
G.723.1
(1)
5,3 et
6,4 Kbit/s
30 ms 20
24
1 15,5 / 2 Mips
G.726
G.727
(2)

16, 24, 32 ou 40 Kbit/s 10 ms 20 / 30 / 40 / 50 2 4 / 4,5 Mips
Les flux multimdias
CHAPITRE 13

333
Codec Dbit rseau
gnr
Longueur de
la trame
Nombre doctets
par trame
Nombre de
trames par
paquet RTP
Complexit
codage /
dcodage
G.728 16 Kbit/s 2,5 ms 5 8 17,5 / 12 Mips
G.729 8 Kbit/s 10 ms 10 1 16 / 3,5 Mips
8,5 / 2 Mips
GSM 6.1 13 Kbit/s 20 ms 32,5 1 2,5 Mips
GSM 6.2 5,6 Kbit/s 20 ms 14 1 17,5 Mips
GSM 6.6 12,2Kbit/s 20 ms 30,5 1 15,4 Mips
(1)
Les codec G.722 et G.723 sont des codec combins (embedded) : ils changent automatiquement de dbit.
(2)
G.727 est la version combine de G.726.
titre de comparaison, un processeur Pentium cadenc 100 MHz fournit une puissance
denviron 166 Mips (source Intel).
Qualit
En dehors des performances intrinsques dun codec rsultant des paramtres qui viennent
dtre dcrits, sa qualit dpend essentiellement de lchantillonnage et du taux de compres-
sion : plus ce dernier est lev, plus la voix apparat mtallique celui qui lcoute.
Sans compression, le codec G.711 sert de rfrence pour la qualit de la voix sur le tl-
phone, rfrence qui est appele toll quality. La perception de la qualit de la voix est sub-
jective. Cest pour cela quelle est mesure travers un indice moyen de satisfaction appel
MOS (Mean Opinion Score), sur une chelle allant de 0 (trs mauvais) 5 (trs bon).

Codec Algorithme
de codage
chantillonnage Bande passante
transmise
MOS Applications
G.711
PCM 8 KHz 3,4 KHz 4,2 RTC, RNIS
G.722
ADPCM 16 KHz 7 KHz 4 / 4 / 4,3 RNIS
G.723.1
ACELP
MP-MLQ
8 KHz 3,4 KHz 3,7 / 3,9 VoIP
G.726
ADPCM 8 KHz 3,4 KHz 2 / 3,2 / 4 / 4,2 DECT
G.728 LD-CELP 8 KHz 3,4 KHz 4 RNIS
G.729 CS-ACELP 8 KHz 3,4 KHz 4 Frame-Relay
GSM 6.1 RPE-LTP 8 KHz 3,4 KHz 3,6 3,8 Tlphone cellulaire

334
Codec Algorithme
de codage
chantillonnage Bande passante
transmise
MOS Applications
GSM 6.2 VSELP 8 KHz 3,4 KHz 3,5 3,7 Tlphone cellulaire
GSM 6.6 CD-ACELP 16 KHz 4,1 Tlphone cellulaire

Les voix ayant une sonorit mtallique obtiennent un MOS infrieur 3 ; celles acceptables
pour une communication tlphonique, un MOS compris entre 3 et 4. Au-del de 4, la quali-
t est excellente.
Le choix dun codec rsulte donc dun compromis qualit/dbit sur le rseau utilis. Ainsi,
le programme Netmeeting permet-il de slectionner le plus appropri votre contexte (menu
OutilOptionsAudioAvanc ).

Rappel des caractristiques
du codec
Codec

Les codec vido
Une image vido affiche sur un cran de PC reprsente 640 480 points en 16,7 millions
de couleurs (24 bits) 25 images par seconde, ce qui correspond un dbit de 23 Mbit/s
(640 480 3 25).
Afin de diminuer le dbit gnr sur le rseau, une premire solution consiste diminuer le
nombre dimages par seconde. La meilleure solution consiste cependant compresser les
images, linstar de la voix.
Pour les donnes, aucun bit ne doit tre altr dans les phases de compression et de dcom-
pression : la dcompression dun fichier doit reproduire exactement le fichier original. Les
taux de compression sont, en moyenne, de 1 pour 2, voire plus pour les images bitmap.
Mais, pour la vido, limage dcompresse peut tre diffrente de la mme image avant
compression. Ainsi, une lgre variation de couleur ou la suppression dun pixel nest pas
perceptible lorsquils affectent 1 image sur 25 par seconde. Ce principe permet datteindre
des ratios de compression de 1 pour 100, voire 1 pour 300. Une perte de qualit est accepta-
ble partir du moment o elle est peine perceptible.

Les flux multimdias
CHAPITRE 13

335
Normes Bande passante requise Remarque
MPEG-1 De 1,8 80 Mbit/s
Compression pralable, puis dcom-
pression en temps rel
MPEG-2 De 1,8 80 Mbit/s
Vido la demande par des cblo-
oprateurs, HDTV. Codec en temps
rel. Interfac AAL5.
MPEG-4 De 64 Kbit/s 1,5 Mbit/s
Stockage des donnes multimdias et
vido haute qualit et bas dbit (DivX)
M-JPEG De 8 10 Mbit/s
Agrgation dimages JPEG.
H.261
p x 64 Kbit/s (1 < p < 30)
QCIF
Utilis par les normes
H.32x.Visioconfrence.
H.263
p x 64 Kbit/s (1 < p < 30)
Sub-QCIF et QCIF
Utilis par les normes H.32x.
Amlioration de H.261.

Principes de compression des images
La compression peut tre spatiale (cest--dire porter sur une image mode intraframe) ou
temporelle (cest--dire porter sur plusieurs images dans le temps mode interframe).
Dans le mode intraframe, limage est divise en blocs de 88 pixels : les pixels et leurs
couleurs associes sont convertis en frquence de changement de couleurs et amplitude des
variations de couleurs. La moyenne est calcule sur le rsultat, de manire ce que la perte
dinformations qui en rsulte ne soit pas perceptible par lil. Les donnes sont ensuite
compresses par diffrents algorithmes.
Dans le mode interframe, seule la diffrence entre deux images est transporte partir
dune image de rfrence (key frame) ou partir de limage prcdente. Une technique de
compensation de mouvement est, de plus, utilise : le delta est calcul non pas, pixel par
pixel, mais par bloc de pixels en mouvement.
Parce quimage aprs image, le mode interframe dgrade limage de manire trop impor-
tante, il est ncessaire de transmette rgulirement limage complte en mode intraframe.
Par exemple, M-JPEG (Motion JPEG) utilise un algorithme spatial (srie dimages JPEG),
alors que les normes MPEG et H.26x utilisent une combinaison des deux.

336

LE POINT SUR MPEG (ISO CD 11172-2)
La norme MPEG (Moving Pictures Expert Group) est structure en trois couches : la premire, dite sys-
tme, a trait la synchronisation et au multiplexage des flux, la seconde la compression de la vido et la
troisime la compression de laudio. La norme utilise galement le terme couche pour dsigner les
units de travail sur lesquelles sappliquent les fonctions de compression dimage et galement pour dsi-
gner les trois niveaux de qualit audio (I, II et III). MP3 tire son nom de la qualit de niveau III.

Couche vido Description
Squence Train de bits produits par la compression MPEG
Groupe dimages Trames I (Intra frame), P (Predictive frame) et B (Bidirectional frame)
Image Unit primaire sur laquelle sapplique le codage
Tranche (slice) Groupe de macroblocs sur laquelle sapplique la synchronisation
Macrobloc Groupe de 6 blocs sur laquelle sapplique la compensation de mouvement
Bloc Bloc de 8x8 pixels sur lequel est appliqu lalgorithme DCT
(Discrete Cosine Transform)

Il existe 3 versions de MPEG : MPEG-1, MPEG-2 et MPEG-4. La version 3 na jamais vu le jour, car une
simple volution de MPEG-2 sest avre suffisante pour atteindre les objectifs assigns MPEG-3.
La norme MPEG-1 produit des images de toutes tailles et tous les dbits, jusqu 80 Mbit/s, dfinies par
des paramtres appels CPB (Constrained Parameters Bitstream). Les formats les plus couramment utili-
ss sont le SIF (Standard Interchange format) et le CCIR-601 (Comit Consultatif International Radio). Les
dbits gnrs dpendent de la rsolution et du nombre dimages par seconde.

Pixels Images / sec. Format Dbit maximal Application
352 x 240 30 SIF 4 Mbit/sec VHS, NTCS
352 x 288 25 SIF 4 Mbit/sec VHS, PAL/SECAM
720 x 480 30 CCIR 15 Mbit/sec HDTV, DVD
1440 x 1152 25 60 Mbit/sec HDTV, DVD

En plus des trames I (Intra frame) et P (Predicted frame), lalgorithme MPEG produit des trames B (Bidirec-
tional) rsultant du codage opr sur linterpolation des trames prcdentes et futures. La squence de tra-
mes produites ressemble ainsi la suivante : IBBPBBPBBPBBIBBPBBPBBPBBI... (une trame I toutes les
douze trames).
La compression rsulte dune srie doprations applique limage complte (trames I) ou des portions
dimage (trames P), celles qui ont chang par rapport limage prcdente. Dans les deux cas, limage ou
la portion dimage est code avec lalgorithme DCT, quantifie, puis successivement code par RLE et par
entropie (selon la frquence des valeurs).
Le codage DCT (Discrete Cosine Transform) permet de reprsenter limage par des frquences, seuls les
coefficients dune fonction sinusodale tant gnrs. La quantification a pour objectif de rduire le nombre
de coefficients DCT coder (comme pour la voix, certaines informations sont alors perdues). Le codage
RLE (Run Length Encoding) remplace les valeurs successives identiques par un code de quelques octets.
Le codage par entropie consiste trier les valeurs par frquence dapparition puis les remplacer par des
codes plus petits.

Les flux multimdias
CHAPITRE 13

337

La norme H.261 promue par lITU-T repose sur les mmes principes que MPEG, mais
consomme moins de CPU pour la compression. De plus, lalgorithme permet daugmenter la
compression, au dtriment cependant de la qualit des images qui bougent vite (sil existe
plus de 15 pixels de diffrence entre deux images, limage devient floue).
La norme H.263 est une amlioration de H.261 : elle permet de consommer 50% de bande
passante en moins et de rcuprer plus facilement les erreurs de transmission, et ce, pour une
qualit quivalente.
Le CIF (Common Intermediate Format) est le format de base dune image respectant les
normes H.26x.

Format de limage
Nombre de pixels
pour la luminance
Nombre de lignes
pour la luminance
Nombre
de pixels pour
la chrominance
Nombre
de lignes pour
la chrominance
sub-QCIF
128 96 64 48
QCIF
176 144 88 72
CIF
352 288 176 144
4CIF
704 576 352 288
16CIF
1 408 1 152 704 576
LE POINT SUR MPEG (SUITE)
Concernant laudio, les dbits vont de 32 Kbit/s 448 Kbit/s selon la qualit du son, sil est strophonique,
etc.

Couche audio Dbit Trame Application
I 384 Kbit/s 384 chantillons PCM 48 KHz, 8 ms Satellite
II 64 224 Kbit/s 1 152 chantillons PCM 48 KHz, 24 ms MiniDisc de Sony
III 64 128 Kbit/s 1 152 chantillons MP3

Par exemple, pour une qualit CD (Compaq Disc) avec un chantillonnage 44,1 KHz, la couche III gnre
un dbit de 128 Kbit/s (trames de 417 octets).
La norme MPEG-2 utilise, quant elle, des algorithmes amliors offrant des performances de 10 20 %
suprieures celles MPEG-1 tout en tant compatible avec ce dernier. Les paramtres CBP sont rempla-
cs par une combinaison de quatre profils (algorithmes utiliss et fonctions actives) et de quatre niveaux
dfinissant les paramtres (rsolutions minimale et maximale, chantillonnage, couches audio et vido sup-
portes, dbit maximal, etc.).
La principale caractristique de MPEG-4 (ISO 14496) est son orientation objet. Appliqu aux images de
synthse, lalgorithme de codage dcrit les objets, leur forme, leur texture, leur dimension (2D ou 3D) en
sappuyant sur les spcifications VRML (Virtual Reality Modeling Language). Son objectif est galement de
produire des vidos bas dbit, de 64 Kbit/s 1,5 Mbit/s. Les applications vises par cette norme sont, par
exemple, DivX (Digital Video Express), les bases de donnes multimdias et interactives, le vidophone,
laudiovisuel mobile, etc.

338

600 Kbits/s
Trames B et P
128 256 octets
Trames I
1024 1518 octets
32 Kbits/s
Gnralement, le format QCIF est utilis lorsque la bande passante est infrieure 192
Kbit/s (p <= 3). H.261 et H.263 travaillent sur des GOB (Group Of Block) de 33 macroblocs
(soit 198 blocs). Le format QCIF correspond ainsi 1 GOB.

Les problmes poss par les transmissions audio et vido
Il ressort de cette prsentation que le trafic rseau gnr par les codec vido est par nature
erratique, les pointes de dbit correspondant aux transmissions de trames I (50% du volume
du trafic), et les dbits les plus faibles correspondant aux trames P et B.

Figure 13-1.
Profil de trafic gnr
par les flux vido

En revanche, le trafic audio est plutt continu, et surtout beaucoup plus faible que les flux
vido.
Les flux audio et, dans une moindre mesure, les flux vido sont sensibles plusieurs
phnomnes :
lcho ;
le dlai de transit (encore appel latence), cest--dire le temps qui scoule entre la
prononciation dun mot et sa restitution ct rcepteur ;
la variation du dlai de transit, appele gigue (jitter, en anglais).
Le phnomne dcho provient de la rflexion du signal sur le cble, surtout au niveau des
convertisseurs 2 fils/4 fils prsents en nombre sur le RTC. Il est surtout perceptible sur de
longues distances et est amplifi si les dlais de transit sont importants. Si ces derniers sont
assez bas (moins de 50 ms), lcho nest pas perceptible et est masqu par la conversation.
tant donn que les dlais de transit sont, la plupart du temps, suprieurs 50 ms, des appa-
reils spcifiques, appels annulateurs dcho (ITU G.165), sont systmatiquement utiliss
sur le RTC.
Le dlai de transit affecte une conversation tlphonique : si le temps qui scoule entre la
fin dune phrase et sa rception complte par le rcepteur est trop long, les personnes com-
mencent parler en mme temps puis sarrtent en mme temps, se coupent la parole, etc.
La norme G.114 prconise un dlai de transmission maximal de 400 ms pour le RTC. Dans
les faits, la dgradation de la qualit de la voix est nettement perceptible lorsque les dlais
dpassent 300 ms. De plus, lcho devient perceptible, ce qui ajoute la mauvaise qualit.
Les flux multimdias
CHAPITRE 13

339
Les variations des dlais de transit (gigues) sont essentiellement dues la charge du r-
seau qui doit traiter diffrents types de flux. Le RTC fonctionne en mode commutation de
circuit : un canal de 64 Kbit/s est rserv pendant toute la dure de la conversation. Il y a
donc trs peu de gigue, voire pas du tout. Linconvnient est que la bande passante du r-
seau nest pas optimise : les 64 Kbit/s restent accapars mme lorsquils ne sont pas utili-
ss, pendant les silences ou en labsence de transmission.
En revanche, un rseau de paquets, de trames ou de cellules vhicule simultanment une
multitude de flux et exploite au mieux ses ressources en les partageant entre plusieurs utili-
sateurs. Le dlai de traitement varie donc en fonction de sa charge.
La variation du dlai cre ainsi des interruptions inattendues au milieu dune phrase ou dun
mot (un paquet voix arrive plus tard que les autres), qui peuvent rendre une conversation
inintelligible. Pour compenser la gigue, on utilise des tampons mmoire. Les trames arrivant
en retard par rapport la moyenne sont restitues immdiatement, mais celles arrivant en
avance par rapport cette mme moyenne restent plus longtemps dans la mmoire tampon.
Linconvnient est donc que le dlai de transit est augment proportionnellement la taille
du tampon. Gnralement, cette taille correspond un dlai gal environ deux fois celui du
traitement du codec. Dans la pratique, les quipements la font varier dynamiquement.
Concernant le tlphone, notons galement une spcificit lie aux fonctionnalits offertes
par le DTMF (Dual-Tone MultiFrequency). Ce signal permet un utilisateur de dialoguer
avec un serveur audiotel, par exemple pour accder au rappel sur occupation (touche 5
avec France Tlcom) ou pour consulter son compte bancaire. La compression de la voix
empche la transmission de ce type de signal. Celui-ci est donc cod, puis rgnr son ar-
rive (G.729).
Estimation du temps de transit
Le dlai de transit sur le rseau est la somme des dlais induits par tous les quipements tra-
verss : cbles, routeurs, commutateurs, etc.
Il faut ainsi additionner :
le dlai de srialisation dtermin par la vitesse de la ligne et la taille du paquet ;
les dlais de traitement propres au codec ;
le dlai de transit dans un nud (routeur ou passerelle), dtermin par lempaquetage et
le dpaquetage des donnes, augments des temps de traitement dus aux protocoles r-
seau (interprtation des enttes, routage, etc.).
La srialisation est laction denvoyer les bits sur le cble. Plus le dbit de la liaison est le-
v, plus le temps de srialisation est court. Par exemple, il faut 125 microsecondes pour en-
voyer un octet sur une LS 64 Kbit/s contre 0,05 microsecondes sur une liaison 155
Mbit/s. De mme, plus les sites sont rapprochs, plus le dlai de propagation est court. Par
exemple, il faut compter 32 ms de dlai de propagation sur une LS 64 Kbit/s entre lEurope
et les tats-Unis.

340
titre dexemple, le tableau suivant dresse la liste des dlais ncessaires pour envoyer une
trame de 30 ms gnre par le codec G.723.

Opration Dlai
Traitement codec mission
7,5 ms (G.723)
Remplissage de la trame
30 ms de voix (20 ou 24 octets)
Encapsulation de la trame dans RTP/UDP/IP
5 ms (dpend de lOS et de la pile IP)
Encapsulation IP/Frame Relay
2 ms (traitement du routeur)
Srialisation de 31 octets (20 + 5 + 6)*
sur une ligne 128 Kbit/s
2 ms (4 ms sans compression)
Sous-total 1
46,5 ms
Dcapsulation IP/Frame Relay
2 ms (traitement du routeur)
Dcapsulation de la trame dans RTP/UDP/IP
5 ms (dpend de lOS et de la pile IP)
Tampon de gigue en rception
60 ms (deux fois le dlai du codec)
Traitement codec rception
7,5 ms (G.723)
Sous-total 2
74,5 ms
Temps de transit rseau **
De 30 150 ms
Total
De 151 271 ms
(*) Lencapsulation dans un paquet IP ajoute 2 5 octets (avec compression des en-ttes RTP/UDP/IP, voir chapitre 16). Il faut ajouter cela les
enttes Frame Relay (6 octets) ou ATM (5 octets) ou encore Ethernet, etc.
(**) Ce temps est gal celui induit par les routeurs et/ou commutateurs et/ou passerelles, ventuellement augment de celui induit par la propa-
gation des signaux sur les liaisons internes au rseau de loprateur.
Le transport des donnes multimdias
la diffrence des donnes applicatives, la voix et la vido ainsi que, dans une moindre
mesure, la tlcopie acceptent laltration des donnes. Il en rsulte une dgradation de la
qualit du son, de limage ou de la page, qui peut toutefois tre tolre par les personnes qui
les reoivent. En plus du dlai de transit et de sa variation, des paquets peuvent donc tre
perdus, mais bien sr dans une certaine limite.

Qualit Voix Fax Vido
Bonne
(dgradations
non perceptibles)
Dlai < 200 ms
Gigue < 15 ms
Perte < 5 %
< 200 ms
Gigue < 100 ms
Perte < 2 %
< 200 ms
Gigue < 15 ms
Perte < 5 %
Limite de lacceptable
Dlai = 400 ms
Gigue = 30 ms
Perte = 10 %
Dlai = 300 ms
Gigue < 1 000 ms
Perte = 4 %
Dlai = 400 ms
Gigue = 20 ms
Perte = 10 %
Les flux multimdias
CHAPITRE 13

341
En outre, les liens rseau doivent tre correctement dimensionns, afin de supporter les d-
bits gnrs par les flux multimdias. Ces derniers sont variables, car ils dpendent de la
qualit voulue pour le son et limage.

Application Bande passante requise
Audio (voix qualit tlphone) 64 Kbit/s sans compression (toll quality)
De 11 30 Kbit/s selon la compression
Vidoconfrence 384 768 Kbit/s (qualit visio professionnelle)
10 Mbit/s (qualit DVD)
Tableau partag De 10 64 Kbit/s

Sur le rseau tlphonique commutation de circuit (RTC, RNIS), la voix occupe un dbit
fixe rserv entre lappelant et lappel pendant toute la dure de la communication. Sur un
rseau commutation de paquets, tel quIP, aucun dbit nest rserv, et celui-ci peut varier
dans le temps (par exemple, les silences ne sont pas transmis, etc.).
La voix peut ainsi tre transmise sur IP on parle alors des produits VoIP (Voice Over In-
ternet Protocol) , directement sur Frame Relay (VoFR) ou sur ATM (VoATM).
Dans tous les cas, le transport de la voix et de la vido requiert des mcanismes spcifiques,
afin dassurer la qualit de service requise (dbit, dlai de transit, variation du dlai de tran-
sit, perte de paquets tolre).
Un autre problme, qui cette fois nest pas nouveau, est de dimensionner les liens rseau en
fonction du nombre dutilisateurs. On parlera ici de canaux, un canal correspondant une
session voix ou vido.
Une rgle simple, mais peu conomique, est de prvoir autant de canaux que dutilisateurs :
le dbit total est alors gal au dbit dun canal VoIP multipli par le nombre dutilisateurs.
Une rgle plus complexe, mais plus rationnelle, consiste sappuyer sur le nombre de com-
munications simultanes et utiliser des modles statistiques permettant de prvoir le nom-
bre de canaux ncessaires en fonction de diffrents paramtres, tels que le nombre
dutilisateurs, la dure moyenne des communications, le taux de dbordement acceptable,
etc.
Les modles standards sappuient sur des distributions de Poisson qui permettent de conver-
tir la nature alatoire des appels en probabilit, sur une unit de mesure appele Erlang ou
CCS (Centum Call Seconds).
En dfinitive, un travail dingnierie important est ncessaire pour prparer son rseau IP au
multimdia.
14
La qualit de service sur IP

Par dfaut, un rseau IP se contente dacheminer les paquets au mieux de ses possibilits, et
sans distinction. Tant que la bande passante (cest--dire le dbit) est suffisante, il ny a pas
de problme. Mais, en cas de saturation, les routeurs sont obligs de rejeter des paquets, in-
vitant tous les metteurs rduire leur flux. En consquence, lutilisateur constate une d-
gradation des performances du rseau.

La notion de qualit de service (QoS, Quality of Service) introduit la possibilit de partager
le plus quitablement possible une ressource devenant de plus en plus rare, car partage par
un grand nombre de flux applicatifs qui peuvent interfrer les uns avec les autres. Elle intro-
duit galement la possibilit de dterminer diffrents niveaux de service en fonction de la
nature de ce flux (une visioconfrence, un transfert de fichier, etc.).

Au chapitre 11, vous avez sans doute remarqu que la gestion de la qualit de service est d-
j prise en compte par des protocoles de niveau 2, tels quATM et Frame Relay. Alors pour-
quoi grer la QoS sur IP ? Parce que, lorsquune application gnre des flux sur un rseau
Ethernet, qui traversent ensuite un rseau ATM ou Frame Relay pour arriver sur un autre r-
seau local, le seul dnominateur commun est IP.

comment amliorer les performances de votre rseau ;
les diffrents moyens permettant de grer la qualit de service ;
quelle politique de qualit de service choisir ;
comment configurer votre rseau pour grer cette qualit de service.
WFQ, RED, Precedence, ECN, Diffserv, 802.1p, Intserv, RSVP, COPS

344
Amliorer les performances du rseau
Notre rseau est de plus en plus sollicit par de nouvelles applications aux besoins trs di-
vers : connexions Telnet pour se connecter une machine Unix, transferts de fichiers, bases
de donnes en mode client-serveur et, maintenant, flux audio et vido.
La charge du rseau augmente, et les flux gnrs se perturbent mutuellement : quel utilisa-
teur na pas expriment des temps de rponse trs longs alors que son voisin a lanc le
transfert dun gros fichier ?
Affecter des priorits aux files dattente
Le moyen le plus rudimentaire damliorer la qualit du service rendu par votre rseau est
de dfinir manuellement, et sur tous vos routeurs, des priorits. Cette approche consiste sur-
tout amliorer les performances du rseau en favorisant des applications au dtriment
dautres. La qualit est amliore, mais non garantie.
Le cas le plus couramment rencontr est celui dune liaison WAN qui doit vhiculer des
connexions Telnet (de type conversationnel) et des transferts de fichiers FTP. Les temps de
rponse Telnet se dgradent ds quun transfert FTP est lanc. Aucune qualit de service
ntant gre, la bande passante du rseau est, en effet, accapare par celui qui en consomme
le plus, cela bien sr au dtriment des autres.
Afin dviter que les applications Telnet ne soient gnes par un transfert de fichiers, le
moyen le plus simple est de dfinir des priorits sur la base des ports TCP qui identifient les
applications (23 pour Telnet et 20 pour le canal de donnes FTP).

Routeur 2
Telnet : utilise peu de
dbit mais ncessite des
bons temps de rponse
Routeur 1
LS 128 Kbit/s
FTP : utilise le plus de dbit possible
et le transfert peut durer longtemps

En classant les paquets Telnet en priorit haute, les paquets IP comportant le port TCP 23
seront placs dans la file dattente priorit haute, tandis que les paquets FTP seront stocks
dans la file dattente priorit basse. Nos routeurs, qui sont de marque Cisco, grent ainsi
quatre files dattente correspondant quatre priorits : haute, moyenne, normale et basse
(high, medium, normal, low).
CHAPITRE 14

345

Il existe un jeu de files dattente par interface rseau. La priorit doit donc tre active sur
les interfaces srie qui mettent les flux FTP perturbateurs. tant donn que le transfert de
fichiers peut avoir lieu dans les deux sens, la mme configuration doit tre applique aux
deux routeurs :

priority-list 1 protocol ip high tcp 23
priority-list 1 protocol ip low tcp 20
priority-list 1 protocol ip low tcp 21
int s 0
priority-group 1

En positionnant une priorit basse pour les flux FTP, les transferts de fichiers prendront plus
de temps mais ne perturberont pas les sessions Telnet. Lorsque plusieurs paquets sont en file
dattente, le routeur enverra de prfrence davantage de paquets Telnet que de paquets FTP.

Afin doffrir le mme comportement sur lensemble du rseau, il faut configurer de ma-
nire identique tous les routeurs. De mme, les interfaces Ethernet pourraient tre traites
de manire identique si les rseaux locaux taient chargs. En fonctionnement normal, le
dbit de 10 Mbit/s suffit, en effet, absorber les flux FTP et Telnet. Ce nest quen cas de
charge que la perturbation se manifeste et que lactivation des priorits permet de
conserver le mme niveau de service que celui obtenu en fonctionnement non charg.

Il est intressant de spcifier plus en dtail un flux en utilisant une access-list :
priority-list 1 protocol ip low list 10
access-list 10 permit 10.0.0.1 0.255.255.255
Telnet
FTP
LE RLE DES FILES DATTENTE
Lorsquil arrive plus de paquets quil nen sort du routeur, celui-ci les garde en mmoire en attendant que les
plus anciens soient envoys. Si dautres paquets continuent darriver, la file dattente se sature. Le dbor-
dement de la file dattente se traduit par le rejet des paquets continuant darriver (le routeur les ignore).
Un algorithme de traitement des files a donc deux rles essentiels :
traiter en priorit tel ou tel paquet en cas de congestion ;
rejeter en priorit tel ou tel paquet en cas de saturation du lien rseau.
La priorit de traitement dun paquet dpend des paramtres de qualit de service qui peuvent tre prdfi-
nis dans lalgorithme, soit dfinis statiquement dans le routeur, soit dfinis dynamiquement par lapplication.
Les paquets rejets signifient pour TCP quil doit rduire sa fentre dmission et donc son flux. Si le mme
paquet est rejet plusieurs fois, lutilisateur attend, et si lattente se prolonge, la session risque dtre inter-
rompue lexpiration dun timeout. Le choix des paquets rejeter dpend de lalgorithme choisi pour traiter
la file dattente.

346
Par dfaut, tous les autres paquets seront traits de la manire suivante :
priority-list 1 default medium

Il est galement possible de contrler indirectement le dbit en dfinissant le nombre maxi-
mal de paquets pouvant tre en attente :
priority-list 1 queue-limit 20 40 60 80

Les quatre chiffres indiquent le nombre maximal de paquets pouvant tre stocks dans les fi-
les dattente haute, moyenne, normale et basse (les valeurs indiques sont celles par dfaut).
Si la file dattente est pleine, les paquets en excs sont rejets, et un message ICMP source
quench est envoy lmetteur pour lui indiquer de ralentir le flux.
Cette stratgie a des limites, car elle est double tranchant lorsque le flux de paquets est im-
portant : si la file dattente est de trop grande dimension, les paquets saccumulent, ce qui a
pour consquence daugmenter le temps de rponse global. Si, en revanche, elle est de trop
petite taille, des paquets peuvent tre perdus, notamment entre deux rseaux de dbits diff-
rents (depuis un rseau Ethernet 10 Mbit/s vers un lien srie, par exemple) : le routeur re-
jette tout paquet entrant tant que ses files dattente sont satures.
Dans notre exemple, en abaissant ainsi 60 le nombre de paquets dans la file dattente
basse, le dbit maximal du flux FTP sera encore abaiss.
Agir sur les files dattente
Ltape suivante vers une gestion de la qualit de service consiste agir sur le comporte-
ment des files dattente des routeurs.
Lalgorithme FIFO Un fonctionnement simple
Le moyen le plus simple est de grer les files dattente sur le mode FIFO (First In, First
Out) : le routeur traite les paquets au fil de leau dans leur ordre darrive, au mieux de ses
capacits. Cest le principe du best effort, comportement par dfaut des routeurs. Aucun pa-
ramtrage nest possible, si ce nest de dfinir des priorits ce qui a pour effet de crer une
file dattente par niveau de priorit.
Grer les congestions
Une mthode plus efficace est de traiter les files dattente laide de lalgorithme WFQ
(Weighted Fair Queueing). Celui-ci identifie dynamiquement les flux et veille ce que les
applications gnrant peu de trafic ne soient pas perturbes par celles gnrant beaucoup de
donnes.
Le principe de lalgorithme tant fig, la possibilit de paramtrage est donc limite au seuil
de rejet et au nombre de files dattente :
int s 0
bandwidth 512
fair-queue 64 256 0 (valeurs par dfaut)
CHAPITRE 14

347

Dans lordre, les paramtres indiquent :
le seuil au-del duquel les paquets vont commencer tre rejets (cest--dire la taille
de la file dattente moins une petite marge), ici 64 paquets par file ;
le nombre de files dattente pouvant tre cres dynamiquement pour les flux sans
qualit de service (de type best effort), ici 256 files pour traiter simultanment 256 flux ;
le nombre de files dattente pouvant tre rserves par RSVP (voir plus loin), dans notre
cas aucune.
Les paquets qui disposent des mmes adresses IP source et destination, des mmes ports
source et destination et du mme champ TOS (voir plus loin) correspondent un mme flux.
Une fois identifis, tous les paquets du mme flux sont placs dans la mme file dattente.
La commande bandwidth , qui indique le dbit du lien rseau en Kbit/s, permet
lalgorithme de dfinir le nombre ncessaire de tampons dmission associs linterface
(gnralement quelques-uns).
Le mot weighted dans WFQ indique que lalgorithme prend en considration la priorit
indique dans le champ IP precedence du paquet (voir le paragraphe suivant ce sujet).
LA GESTION DES FILES DATTENTE
Comme dans la vie de tous les jours, une file dattente se forme lorsque le flux entrant est plus important
que le rythme de sortie des paquets, par exemple depuis une interface Ethernet 10 Mbit/s vers une liaison
srie 512 Kbit/s. Le routeur peut alors adopter diffrentes stratgies pour traiter les paquets en attente.
Mme si tout se passe en une fraction de seconde, le choix de lune ou de lautre dentre elles peut avoir
une grande influence sur le comportement gnral du rseau.
Le mode le plus simple est de type FIFO (First In First Out) qui consiste traiter les paquets dans leur ordre
darrive. Cest celui qui consomme le moins de CPU et qui engendre le moins de latence pour les paquets.
En cas de congestion, il se rvle, en revanche, moins performant car il ny a aucune rgulation du trafic.
Le principe du WFQ (Weighted Fair Queueing) repose quant lui sur un contrle de flux dynamique en
fonction de discriminants propres chaque protocole (le DLCI Frame Relay, les adresses IP et le port TCP,
une priorit, etc.), le principe tant de privilgier le trafic faible volume sur celui fort volume. Pour cela,
chaque flux est identifi ( partir des adresses IP source et destination et des port TCP/UDP source et des-
tination), et son dbit est mesur.
Le principe de lalgorithme RED (Random Early Detection) consiste prvenir les congestions. Lorsque la
file dattente commence tre sature, des paquets correspondant des flux slectionns alatoirement
sont rejets. Les variantes WRED (Weighted RED) et ERED (Enhanced RED) permettent de slectionner
les flux, en fonction de priorits qui dterminent le rejet des paquets.
Le traffic shaping repose sur lalgorithme du leaky-bucket (littralement le seau perc), dont le principe
est de lisser un flux erratique afin dobtenir un dbit stable en sortie. Pour ce faire, les pics de trafic sont
temporiss dans la file dattente avant dtre retransmis. Le policing repose, quant lui, sur lalgorithme du
token-bucket, qui consiste crter le trafic dpassant un certain seuil : le trafic en dbordement est igno-
r. Selon les implmentations, le traffic shaping et le policing peuvent oprer seuls ou conjointement avec
une file FIFO ou WFQ.

348
Prvenir les congestions
Alors que lalgorithme WFQ permet de grer les situations de congestion, lalgorithme
WRED (Weighted Random Early Detection) permet de les prvenir. Ds quune congestion
est dtecte, lalgorithme rejette des paquets, ce qui contraint lmetteur, au niveau de la
couche TCP, ralentir son flux :
int s 0
bandwidth 512
random-detect

Une approche rcente, appele ECN (Explicit Congestion Notification), consiste indiquer
explicitement TCP quil y a une congestion, plutt que de laisser cette couche le deviner
en constatant que des paquets sont rejets dans le rseau. Les congestions peuvent ainsi tre
vites plus rapidement.
int s0
service-policy input flux

policy-map flux
class generique
bandwidth percentage 35
random-detect ecn

Lintroduction dune composante alatoire par WRED permet de remdier au problme de
la synchronisation globale. En cas de congestion, toutes les sessions TCP ragissent en
mme temps et de la mme manire en rduisant leur flux, puis constatant que le rseau est
dsengorg, augmentent nouveau leur flux. Le rseau oscille ainsi entre des priodes de
congestion et de non congestion. En rejetant alatoirement des paquets, WRED oblige les
sessions les moins prioritaires rduire leur flux avant que les autres sessions
nexprimentent des congestions.
Rguler le trafic
Une autre alternative est de rguler le flux selon le principe du traffic shaping : le but de cet
algorithme est de donner un caractre prvisible aux flux en convertissant un flux erratique
en un flux peu prs constant.
Sur nos routeurs, lalgorithme peut tre appliqu lensemble du trafic, ou une portion de
celui-ci dfinie par une access-list :
access-list 101 permit ftp any any
int s 0
traffic-shape group 101 128000 64000 32000

int e1
traffic-shape rate 5000000 10000000 2000000

35 % du trafic est allou cette
politique de gestion de la QoS.
Taille du burst en bits
Burst en excs = nombre de bits
pouvant dpasser le dbit moyen.
Dfinitions identiques
celles du Frame Relay
dcrit au chapitre 11.
Liaison 512 Kbit/s
CHAPITRE 14

349

LA NOTIFICATION DE CONGESTION (RFC 3168)
Dans un rseau TCP/IP, les congestions sont dtectes par lmetteur lorsque des paquets sont perdus
(acquittements dupliqus ou timeout). La couche TCP rpond cette situation en rduisant la fentre
dmission (voir fin du chapitre 5) ou, plus rarement, en ragissant au messages ICMP source quench
(voir dbut du chapitre 6).
Associ une file dattente RED (voir encadrs prcdents), le mcanisme ECN (Explicit Congestion Notifi-
cation) permet de dtecter la congestion avant quelle ne survienne et de lindiquer lmetteur grce
deux bits situs dans lancien champ TOS des paquets IP.
DSCP (RFC 2474)
bits 0 1 2 3 4 5 6 7
ECN
Bits Description
10 ECT(0) ECN-Capable Transport
01 ECT(1) ECN-Capable Transport
00 ECT non support
11 CE Congestion Experienced

Par ailleurs, la RFC ajoute deux bits de contrle dans len-tte TCP.
Bits de contrle TCP
Bits Description
ECE
ECN-Echo : le rcepteur indique lmetteur quune congestion
a t dtecte au niveau IP
CWR
Congestion Window Reduced : lmetteur indique au rcepteur
quil a pris en compte la congestion en rduisant sa fentre
Autres bits : voir fin du chapitre 5
Rserv
(4 bits)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
E
C
E
C
W
R

Lors de louverture dune session, les deux couches TCP impliques doivent ngocier le support ou non
dECN, puis ragir lorsque le bit CE est positionn par la couche IP.
IP IP

TCP

IP

TCP

IP
ECT / CE ECT ECT / CE

ECE / ACK
CWR
RED dtecte que la file dattente dpasse

le seuil limite et positionne le bit CE.
Si la file dattente dborde,
le paquet est supprim.
Le rcepteur TCP indique quune
congestion a t dtecte au niveau IP. Lmetteur TCP rduit sa fentre
dmission et en informe le rcepteur.
Suite ngociation TCP,
tous les paquets IP ont le
bit ECT positionn 1.

Lorsque la file dattente RED dpasse un seuil prdfini (seuil dalerte), le champ ECN est positionn
11 . Si un autre seuil est dpass (seuil de saturation), les paquets peuvent tre dtruits. Grce ECN, la
couche TCP peut donc ragir ds le seuil dalerte, cest--dire avant la congestion, alors quauparavant, elle
ragissait aprs la congestion, lorsque des paquets taient perdus suite une saturation. La RFC 2884
discute des avantages utiliser la notification de congestion au niveau IP.


350
La premire commande indique que le dbit moyen est limit 128 Kbit/s, mais quun d-
passement de 32 kilo-bits est autoris pendant une demi-seconde (64/128). Cela signifie que
le dbit peut atteindre 192 Kbit/s (128 + 32/0,5) pendant une demi-seconde. Cette rgulation
sapplique aux flux FTP comme cela est indiqu dans laccess-list 101.
La deuxime commande est applique une interface Ethernet afin de limiter le dbit vers
ce rseau 5 Mbit/s en autorisant une pointe 6 Mbit/s (5 + 2/(10/5)) pendant 2 secondes
(10/5).
Quelle file dattente choisir pour son rseau ?
Chacune des fonctions qui viennent dtre dcrites prsente des avantages et des inconv-
nients. Le problme est alors de savoir dans quelle situation et quel endroit du rseau utili-
ser lune ou lautre de ces fonctionnalits.
Nous lavons vu prcdemment, une file dattente FIFO ne permet pas de grer des situa-
tions de congestion. En consquence, une file dattente de ce type ne peut tre utilise
quavec des rseaux non saturs et offrant suffisamment de dbit par rapport au trafic.
Laffectation de priorits sur les files dattente, qui a t lobjet de notre premire dmar-
che, consiste en une programmation arbitraire, statique, et qui ne distingue quindividu-
ellement les types de paquets. Lorsquune congestion survient, les paquets prioritaires sont
traits tant quil y en a dans la file dattente correspondante. Leffet de bord qui en rsulte
est que les autres paquets restent bloqus dans la file dattente, ce qui peut entraner un ra-
lentissement consquent, voire la coupure des sessions correspondantes ces paquets non
prioritaires. Cest nanmoins la mthode daffectation de priorit qui utilise le moins de
CPU, car lalgorithme est simple. Lutilisation de cette fonction sera donc limite des liens
bas dbit sur lesquels le trafic est bien identifi.
La file dattente WFQ identifie chaque flux, et traite tous les paquets dun mme flux de la
mme manire. En cas de congestion, lalgorithme traite quitablement tous les flux en pri-
vilgiant ceux faible volume, mais pas au dtriment de ceux fort volume. Bien
quefficient, cet algorithme complexe consomme de la ressource CPU, ce qui le destine plu-
tt des liens bas et moyens dbits. Du fait quil prend en compte les priorits indiques
dans les paquets, on activera cet algorithme au sein du rseau et non dans sa priphrie.
La file dattente WRED permet de prvenir les congestions en rejetant alatoirement des
paquets. partir dun certain seuil, le taux de rejet de paquets augmente mesure que la file
dattente se remplit. Cet algorithme est de ce fait particulirement bien adapt au protocole
TCP qui est prvu pour rduire sa fentre dmission en cas de perte de paquet (ce qui nest
pas le cas des protocoles IPX et AppleTalk).
Enfin, le traffic shaping et le policing sont des mcanismes qui permettent de rguler le tra-
fic et de fixer un dbit chaque type de flux. Ils sont donc bien adapts aux routeurs situs
en bordure du rseau, cest--dire sur les rseaux locaux, l o utilisateurs et serveurs met-
tent leurs donnes. Le trafic erratique peut ainsi tre liss ou crt lorsquil entre dans le r-
seau longue distance, ce qui permet ensuite aux routeurs situs au sein de ce rseau dutiliser
les files dattente WFQ et WRED.

CHAPITRE 14

351
La file dattente de type doit tre utilise
FIFO Lorsque le rseau nest pas satur
Priorit sur file dattente Sur des liens bas dbit
WFQ
Au sein du rseau, sur des liens bas et moyen dbits (< 2 Mbit/s), pour grer les
congestions
WRED Au sein du rseau, sur des liens haut dbit, pour prvenir les congestions
Traffic shaping
En entre ou au sein du rseau, pour lisser un flux erratique afin de limiter les risques de
congestion ou pour adapter le flux entre des rseaux dbits diffrents
Policing En entre du rseau, pour adapter le flux entre des rseaux dbits diffrents
la base, un rseau IP comme lInternet ne garantit pas que tous les paquets mis seront d-
livrs au destinataire. Il assure simplement que les paquets effectivement remis le seront
sans erreur ni duplication en routant les paquets au mieux de ses possibilits (principe du
best effort).
Cest galement le principe de la poste qui sefforce dacheminer le courrier dans les meil-
leurs dlais. Mais, pour sassurer quun colis arrivera destination en temps et en heure, il
faut payer un service supplmentaire. De mme, pour les rseaux, il faut mettre en uvre
des moyens supplmentaires afin de garantir ce niveau de service.
Alors que les flux de donnes classiques (Telnet, FTP, etc.) se contentent du service de base
(celui du meilleur effort), le transport des flux audio et vido ncessite plus que cela. Il faut
en effet garantir :
quune application disposera du minimum de dbit rseau ncessaire son bon
fonctionnement ;
un temps de rponse ;
que le temps de rponse variera peu dans le temps.
Afin de grer la qualit de service ncessaire au traitement des flux multimdias, trois mod-
les sont actuellement proposs :
La prsance (precedence en anglais), historiquement la premire et en voie de
disparition, qui consiste traiter le paquet IP en fonction de la priorit indique dans
son en-tte.
La diffrenciation de service (modle appel DiffServ) repose sur laffectation de
priorits et de classes de service dont les valeurs sont transportes dans les paquets IP.
Le flux est format (class) lentre du rseau, puis la qualit de service est applique
de la mme manire dans tous les routeurs en fonction de la valeur indique dans les
paquets.
Lintgration de service (modle appel IntServ) consiste rserver les ressources
tout le long du chemin quemprunteront les paquets, puis appliquer tout le flot de
paquets qui suivent la qualit de service demande lors de la rservation.

352
La qualit de service selon la prsance
Ds lorigine, les concepteurs des protocoles TCP/IP ont pens intgrer la notion de quali-
t de service dans un champ du paquet IP, appel TOS (Type of Service) . Ce champ tait
destin transporter des informations relatives la priorit (appele precedence) et la
classe de service, mais il na jamais t rellement utilis, jusqu ce que la qualit de ser-
vice soit dactualit. La prsance IP est cependant toujours supporte par les routeurs, et les
nouveaux modles de QoS sont compatibles avec le champ IP Precedence .

Les algorithmes WFQ et WRED prennent en compte le champ Precedence (do le
W pour Weighted). Lactivation de ces files dattente est donc particulirement judi-
cieuse au sein du rseau, car elles permettent de rguler le flux en fonction des priorits
fixes lentre de celui-ci.

Lexemple suivant, qui montre quelques valeurs par dfaut, permet dexpliquer comment
WRED interagit avec les priorits :

random-detect precedence 0 109 218 10
...

La premire valeur (de 0 7) correspond la priorit indique dans le champ Prece-
dence . Les trois paramtres suivants indiquent quant eux :
le seuil minimal, en nombre de paquets dans la file dattente, partir duquel les paquets
commenceront tre rejets ;
le seuil maximal, en nombre de paquets dans la file dattente, partir duquel les paquets
seront rejets au rythme indiqu dans le paramtre suivant ;
la fraction de paquets rejets lorsque le seuil maximal est atteint, par dfaut un sur dix.

Afin de favoriser les paquets prioritaires, le seuil minimal est dautant plus lev que la prio-
rit est grande. Lalgorithme WRED calcule la taille moyenne de la file dattente et la com-
pare aux seuils. En cas de congestion, les paquets des files dattentes les moins prioritaires
seront rejets en premier.

Le seuil maximal est dtermin automatiquement en fonction du dbit de linterface et de la
mmoire disponible, tandis que le seuil minimal correspond une fraction du seuil maximal
dpendant de la priorit (par exemple, 1/2 pour 0, 10/18 pour 1, 11/18 pour 2, etc.). Les
commandes sh queueing et sh int random-detect permettent de visualiser les param-
tres actifs.

CHAPITRE 14

353

Maintenir la qualit de service
la diffrence du traffic shaping qui lisse un flux erratique, le policing veille au respect du
flux conformment un profil prdfini. Il peut alors rejeter les paquets non conformes ou
les marquer pour une rgulation ultrieure sur dautres quipements au sein du rseau :
int e0
rate-limit output 5000000 32000 45000 conform-action transmit exceed-
action drop
Le mot cl output indique que la classification du flux est applique en sortie de
linterface :
Le premier paramtre indique le dbit moyen autoris, ici 5 Mbit/s.
Le deuxime prcise la taille du burst, ici 32 Ko.
La troisime valeur est le burst en excs, ici 45 Ko.
Si le flux est conforme ce profil (conform-action), le paquet est plac dans la file dattente
tel quel. Dans le cas contraire (exceed-action), il est rejet.

LE CHAMP TOS (RFC 791 ET 1349)
Le champ TOS (Type of Service) consiste en un unique octet :
IP precedence TOS
3 bits 4 bits
0

Le champ IP Precedence indique au routeur la manire de traiter le paquet sur la base dune priorit allant
de 0 7 (RFC 1812), les deux dernires tant rserves au trafic de service (routage, etc.) :

0 = Routine 2 = Immediate 4 = Flash override 6 = Internetwork control
1 = Priority 3 = Flash 5 = Critical 7 = Network control

Les bits TOS (la RFC utilise malencontreusement le mme terme TOS pour loctet entier ainsi que pour ces
4 bits) indiquent la classe de service souhaite :

Bit Description Signification des valeurs
3 minimize Delay (0 = Normal delay ; 1 = Low delay)
4 maximize Throughput (0 = Normal throughput ; 1 = High throughput)
5 maximize Reliability (0 = Normal reliability ; 1 = Reliability)
6 minimize monetary cost (ajout par la RFC 1349)

Ces 4 bits positionns 0 indiquent tout simplement le service standard (le best effort).

354
La fonction de policing peut galement marquer le paquet, cest--dire lui affecter une prio-
rit en fonction du respect ou non du profil de flux. On peut augmenter la granulomtrie de
cette dernire en prcisant le protocole (et ventuellement les rseaux, voire les adresses
source et destination) sur lequel va sappliquer le marquage :

rate-limit output access-group 101 5000000 24000 32000 conform-action
set-prec-transmit 1 exceed-action set-prec-transmit 0

access-list 101 permit tcp any any eq www

Nous avons dcid ici de limiter le flux des navigateurs Web (protocole HTTP), 5 Mbit/s.
La priorit est fixe 1 (prioritaire) sil se conforme la QoS, et 0 (best effort) dans le cas
contraire.

Sur notre backbone WAN 2 Mbit/s, connect en 100bT au LAN de notre site central, nous
dcidons de limiter le dbit 1 Mbit/s pour les paquets de priorit 1. Pour ceux de priorit 0,
il est limit 500 Kbit/s. Le burst autoris est de 500 Ko, et de 500 Ko en excs.

int e 1/0
rate-limit input access-group rate-limit 100 1000000 500000 500000 con-
form-action transmit exceed-action drop

form-action transmit exceed-action drop

access-list rate-limit 100 1
access-list rate-limit 101 0

La commande access-list rate-limit est ici utilise pour affecter une priorit basse si le
volume du flux est important, et haute dans le cas contraire. Les diffrents quipements au
sein du rseau se chargeront dappliquer la QoS, par exemple, au niveau de leurs files
dattente WRED ou WFQ.

la place de laction drop , il est possible de marquer le paquet, par exemple, en lui bais-
sant sa priorit :

form-action transmit exceed-action set-prec-transmit 1

Une file dattente WRED, applique cette fois lensemble des flux, rejettera en priorit les
paquets de plus faible priorit. Ce double mcanisme cascad, permet au flux de dpasser le
dbit autoris, sil y a de la bande passante disponible, et dans le cas contraire, de rester dans
les limites autorises.

Priorit (0 7) crite dans le
champ IP Precedence.
CHAPITRE 14

355
La qualit de service selon DiffServ
Depuis la notion de prsance dfinie dans la RFC 791 en 1981, les besoins ont volu, ce
qui a conduit diffrents groupes de travail au sein de lIETF modifier la signification du
champ TOS. Avec les bits ECN, DiffServ achve donc de remanier ce champ qui devrait
donc rapidement devenir obsolte.

Configuration des routeurs

Prenons notre rseau sur lequel nous devons vhiculer des applications aux exigences trs
diverses.

Applications Classe de service Limitation PHB / DSCP
VoIP Premium 512 Kbit/s Expedited forwarding / 46
HTTP Gold 25 % de la bande passante Assured forwarding / 18
Autres applications Best effort 256 Kbit/s Best effort / 0

La classe de service Expedited forwarding, telle que dfinie par DiffServ, nous semble tout
indique pour traiter la voix sur IP, tandis que les applications devant faire lobjet dun trai-
tement particulier, tel que lintranet, tombent dans la classe Assured forwarding. Les autres
flux, a priori non identifis, seront traits sur le mode du meilleur effort.

En respectant en cela les principes de DiffServ, les flux seront classs et marqus lentre
du rseau, tandis quau sein du rseau sera maintenue la gestion de la QoS (policing).

Figure 14-1.
Classificatoin, marquage et policing
au sein dun rseau

E0
E0
S0
S0
S1
S2
R2
R51
R52
R1
Contrle du flux (policing)
Classification et
marquage des paquets
Contrle du flux (policing)
sur toutes les interfaces
S0


356
Sur les interfaces dentre des routeurs R1 et R2, les paquets sont donc classs et marqus

int e0
service-policy input set_dscp

policy-map set_dscp
class EF
set ip dscp 46
class AF21
set ip dscp 18
class CS0
set ip dscp 0

class-map EF
match ip rtp 16384 32768
class-map AF21
match access-group 102
class-map CS0
match access-group 103

access-list 102 permit tcp any any eq www
access-list 103 permit ip any any

tandis que sur les interfaces de sortie de ces mmes routeurs, nous devons nous assurer
que les flux sont conformes notre politique de qualit de service (policing).

int s0
service-policy output maintien_qos

policy-map maintien_qos
class premium
priority 512
class gold
bandwidth percent 25
class best_effort
police 256000 0 0 conform-action transmit exceed-action drop

class-map premium
match ip dscp 46
class-map gold
match ip dscp 18
class-map best-effort
match ip dscp 0
Dfinit les rgles de marquage. Les
codes DSCP sont affects selon les
recommandations des RFC et du IANA.
Le DSCP 46 correspond au
PHB Expedited forwarding.
Dfinit les rgles de classification
selon nos critres.
Les flux HTTP sont arbitraire-
ment affects au PHB AF21.
Voir chapitre 16 pour le
transport de la voix sur IP.
Lalgorithme WFQ traite en priorit la VoIP et lui
garantit au moins 512 Kbit/s de bande passante.
Nous retrouvons ici nos flux dj marqus,
simplement identifis par leur DSCP.
25% de la bande passante
est alloue au PHB AF21.
CHAPITRE 14

357

LE POINT SUR DIFFSERV (RFC 2474 ET 2475)
Le modle de diffrentiation de service repose sur le transport, dans chaque paquet IP, de la classe de
service. Il se propose en plus de dfinir la manire dimplmenter cette qualit de service.
Le champ TOS est renomm DSCP (Differentiated Service Code Point) et est structur diffremment, ce qui
ne va pas sans poser des problmes de compatibilit pour les routeurs traitant ce champ sur lancien mode
(discussion objet de la RFC 2873).
DSCP
bits 0 1 2 3 4 5 6 7
ECN
RFC 3168

Le champ DSCP permet de dfinir 64 codepoints, rparties en trois pools :
xx0 32 codepoints pour les actions standard ;
x11 16 codepoints pour un usage exprimental et une utilisation locale ;
x01 16 codepoints pour un usage exprimental, une utilisation locale ou une extension du premier pool.

Un codepoint permet de slectionner une classe de service de type PHB (Per-Hop Behavior) appliquer au
paquet, cest--dire la manire de traiter le paquet au sein de chaque routeur. Le codepoint xxx000 (issu du
pool 1) permet dassurer la compatibilit ascendante avec le champ IP Precedence. En particulier, le DSCP
000000 dfinit le PHB par dfaut, le best effort, tel que dfini dans la RFC 1812.
Les 3 premiers bits du champ DSCP dfinissent ainsi la classe de service (slecteur de classe), sur le
modle du champ IP precedence, tandis que les 3 derniers bits dfinissent la Drop Precedence, cest--
dire la priorit avec laquelle les paquets seront rejets en cas de congestion.
Cette gestion de la QoS implique la mise en uvre des fonctions dcrites ci-aprs.
Le classificateur affecte une priorit et une classe de service au paquet en fonction de rgles paramtra-
bles (adresses IP source et destination, port TCP/UDP, etc.).
Le conditionneur applique la qualit de service en fonction du champ DSCP. Il analyse le flux de donnes
(fonction de comptage metering) et le compare la QoS demande. Il peut alors redfinir la classe de
service (fonction de marquage marking) ou rguler le trafic, soit par lissage des pointes de trafic (traffic
shaping), soit par crtage des pics de trafic (policing).

Classificateur Marqueur Shaping / policing
Paquet
Compteur

lheure actuelle, trois types de PHB sont dfinis :
AF - Assured Forwarding (RFC 2597), pour les flux ncessitant une bande passante limite, le trafic en
excs pouvant tre rejet progressivement selon un mcanisme de priorit 12 niveaux (4 classes 3
priorits de rejet).
EF - Expedited Forwarding (RFC 3246), galement appel Premium service (DCSP = 101110), pour
les flux requrant une bande passante garantie avec des faibles taux de perte, de gigue et de latence.
CS - Class Selector (RFC 2474), qui assure la compatibilit avec le champ IP Precedence : CS0=routine,
CS1=priority, CS2=immediate, CS3=flash, CS4=Flash override, CS5=Critical, CS6=Internetwork control,
CS7=Network control.

358
Sur les routeurs du cur de rseau, comme R52, seules les files dattente WRED sont appli-
ques.

int s0 ... s1 ... S2
service-class ctrl_qos
...
policy-map ctrl_qos
class gold
bandwidth percent 25
random-detect ecn
random-detect dscp-based
random-detect dscp 18 20 40 10
...
class-map gold
match ip dscp 18

Bien quil ny ait pas de standardisation en la matire, la classification des flux gnrale-
ment admise est la suivante :

Type de flux Classe de service Diffserv Code DSCP Nom commercial
Trafic rseau (routage) CS7, CS6 56, 48 Critical / network
Voix EF 46 Premium
Visio AF41, AF42, AF43 34, 36, 38 Platinium
Signalisation voix (optionnel) AF31, AF32, AF33 26, 28, 30 Gold
Critique AF21, AF22, AF23 18, 20, 22 Silver
Prioritaire AF11, AF12, AF13 10, 12, 14 Bronze
Standard (best effort) CS0 0 Best effort

Les 8 classes de service sont dfinies par les 3 premiers bits du champ DSCP (slecteur de
classe) qui reprend le principe du champ IP Precedence . La plus prioritaire est CS7, et la
moins prioritaire CS0.
Dans chaque classe de type Assured Forwarding, le PHB AFx1 est davantage prioritaire que
AFx2 qui lui-mme, lest plus que AFx3. Cette priorit est caractrise par la prsance de
rejet (Drop Precedence), dfinies par les 3 derniers bits du champ DSCP.
Les PHB de type CS correspondent une Drop Precedence gale 0.
Le tableau, ci-aprs, permet de mieux visualiser la signification des bits, des pools et des
codes DSCP par rapport aux PHB ainsi que les correspondances avec le champ IP Prece-
dence (CS0=IPprec0=routine, CS1=IPprec1=priority, etc.).

Lalgorithme WRED prend en compte
les priorits dfinies au format DiffServ
et applique la notification de congestion.
Est appliqu au DSCP 18 :
- un seuil dalerte de 20 paquets
- un seuil de rejet de 40 paquets
- le rejet dun paquet sur 10 si congestion
CHAPITRE 14

359

Bits du champ
DSCP

Bits du champ
DSCP
Pool
0 1 2 3 4 5
Valeur
dci-
male
PHB
0 1 2 3 4 5
Valeur
dci-
male
PHB
1 0 0 0 0 0 0 0 CS0 1 0 0 0 0 0 32 CS4
3 0 0 0 0 0 1 1 1 0 0 0 0 1 33
1 0 0 0 0 1 0 2 1 0 0 0 1 0 34 AF41
2 0 0 0 0 1 1 3 1 0 0 0 1 1 35
1 0 0 0 1 0 0 4 1 0 0 1 0 0 36 AF42
3 0 0 0 1 0 1 5 1 0 0 1 0 1 37
1 0 0 0 1 1 0 6 1 0 0 1 1 0 38 AF43
2 0 0 0 1 1 1 7 1 0 0 1 1 1 39
1 0 0 1 0 0 0 8 CS1 1 0 1 0 0 0 40 CS5
3 0 0 1 0 0 1 9 1 0 1 0 0 1 41
1 0 0 1 0 1 0 10 AF11 1 0 1 0 1 0 42
2 0 0 1 0 1 1 11 1 0 1 0 1 1 43
1 0 0 1 1 0 0 12 AF12 1 0 1 1 0 0 44
3 0 0 1 1 0 1 13 1 0 1 1 0 1 45
1 0 0 1 1 1 0 14 AF13 1 0 1 1 1 0 46 EF
2 0 0 1 1 1 1 15 1 0 1 1 1 1 47
1 0 1 0 0 0 0 16 CS2 1 1 0 0 0 0 48 CS6
3 0 1 0 0 0 1 17 1 1 0 0 0 1 49
1 0 1 0 0 1 0 18 AF21 1 1 0 0 1 0 50
2 0 1 0 0 1 1 19 1 1 0 0 1 1 51
1 0 1 0 1 0 0 20 AF22 1 1 0 1 0 0 52
3 0 1 0 1 0 1 21 1 1 0 1 0 1 53
1 0 1 0 1 1 0 22 AF23 1 1 0 1 1 0 54
2 0 1 0 1 1 1 23 1 1 0 1 1 1 55
1 0 1 1 0 0 0 24 CS3 1 1 1 0 0 0 56 CS7
3 0 1 1 0 0 1 25 1 1 1 0 0 1 57
1 0 1 1 0 1 0 26 AF31 1 1 1 0 1 0 58
2 0 1 1 0 1 1 27 1 1 1 0 1 1 59
1 0 1 1 1 0 0 28 AF32 1 1 1 1 0 0 60
3 0 1 1 1 0 1 29 1 1 1 1 0 1 61
1 0 1 1 1 1 0 30 AF33 1 1 1 1 1 0 62
2 0 1 1 1 1 1 31 1 1 1 1 1 1 63
Les 3 bits du champ IP Precedence
Class selector Drop precedence

360
Configuration des commutateurs de niveau 2

En fait, il est bien plus judicieux de marquer les paquets la source, cest--dire sur les
quipements directement en contact avec les PC. Il sagit bien sr des commutateurs Ether-
net 10/100bT.

Les postes de travail sont, en effet, gnralement connects des commutateurs de niveau 2,
alors que lon rserve la commutation de niveau 3 pour le rseau fdrateur en raison de son
cot. Cependant, ils grent rarement les priorits. De ce fait, les commutateurs transforment
les trames Ethernet en trames 802.1q pour grer la qualit de service et les VLAN. Lors-
quelles sont envoyes vers un port de sortie, ces trames sont reformates en trames Ethernet
802.3.

tant donn que toutes les trames ne sont pas obligatoirement de type 802.1q, par dfaut le
commutateur ne prend donc pas en compte le champ CoS (Class of Service), et la priorit
doit donc tre fixe au niveau du port.

Par dfaut, le port est en mode untrusted : la CoS est fixe la valeur par dfaut du port,
cest--dire 0. Il est possible de changer la valeur par dfaut associe chaque port :

set qos enable
set port qos 1/4 trust untrusted
set port qos 1/4 cos 6

Toutes les trames arrivant par le port 1/4 auront un champ COS fix doffice 0, moins
quune autre valeur par dfaut ne soit affecte au port.

Il nest ainsi pas ncessaire de grer la qualit de service au niveau du poste de travail et des
serveurs. Chacun deux tant raccord un port du commutateur, celui-ci se charge de mar-
quer les paquets. Linconvnient est que ce marquage ne distingue pas le type de flux.

Si la priorit est dj fixe par un quipement terminal ou un autre commutateur (donc gn-
rant une trame 802.1q), il est possible de prendre en compte le champ COS :

set qos enable
set port qos 1/3 trust trust-cos

Le champ COS des trames 802.1q arrivant par le port 1/3 sera ainsi pris en compte.
Valeur par dfaut du champ COS = 0
Fixe la valeur par dfaut du champ COS
CHAPITRE 14

361

Configuration des commutateurs de niveau 3
quip dune carte de commutation de niveau 3, le commutateur peut assurer toutes les
fonctions DiffServ : classification, marquage et policing.
Par dfaut, une politique de qualit de service est associe un port, mais il est possible de
lassocier un VLAN :
set qos enable
set port qos 1/1 port-based
set port qos 1/2 vlan-based
La configuration de nos commutateurs consiste dfinir une politique de qualit de service
contenant une rgle de marquage, une rgle de policing et une rgle de classification
(lordre de dfinition ne respecte pas celui du squencement des oprations).
Dfinir une rgle de marquage
Le commutateur associe aux ports une politique par dfaut dont il est possible de modifier
la rgle de marquage :

set qos acl default-action ip dscp 0
LA QUALIT DE SERVICE SUR ETHERNET (IEEE 802.1P)
La norme initiale 802.1q consiste ajouter un champ len-tte de la trame Ethernet initiale (802.3) la fois
pour grer les VLAN et des classes de service (802.1p) .

48 bits 16 bits
CRC Adresse source TPID Long/Type Adresse destination TCI Donnes
48 bits 16 bits
COS VLAN id CFI
3 bits 1 bit 12 bits

Cette trame n'est gnralement vhicule qu'entre les commutateurs, bien que les PC soient de plus en
plus souvent capables de la grer. Si cela nest pas le cas, les commutateurs enlvent le champ 802.1q
lorsquils transmettent la trame un quipement terminal (PC, serveur, etc.).
Sept classes de service (CoS) sont ainsi dfinies :

0 = Best effort 4 = Applications contrle de charge (streaming audio/vido)
1 = Tche de fond (batch) 5 = Vido
2 = Rserv 6 = Voix
3 = Excellent effort 7 = Network control

Certains pilotes de carte rseau permettent de grer la priorit directement au niveau du PC.
Marquage

362
Cette politique ne contient quune rgle de marquage, qui consiste marquer le champ
DSCP (Differentiated Service Code Point) de tous les paquets avec la valeur indique (0 par
dfaut).

Dautres marquages sont possibles en remplaant le mot cl dscp et sa valeur :
trust-dscp : le champ DSCP nest pas modifi et est accept tel quel.
trust-ipprec : le champ DSCP est modifi en prenant la valeur du champ IP
precedence .
trust-cos : le champ DSCP est modifi en fonction de la valeur contenue dans le champ
COS de la trame Ethernet 802.1q.

Dfinir une rgle de policing

Il est galement possible dassocier plusieurs rgles de policing la politique par dfaut :

set qos acl default-action ip dscp 0
microflow micro_de_base aggregate aggr_de_base

La cration dune rgle de policing seffectue comme suit :
set qos policer microflow micro_de_base rate 1000 burst 1000 drop

set qos policer aggregate aggr_de_base rate 1000 burst 1000 policed-dscp

Ces deux rgles limitent le dbit moyen 1 Mbit/s et le dpassement (burst) 1 Mo.
Le mot-cl microflow prcise que la rgle sapplique chaque flux considr individuelle-
ment, tandis que le mot-cl aggregate prcise quelle sapplique lensemble des flux.
Vient ensuite le type de traitement appliquer au paquet lorsque le flux ne correspond pas
au profil : le rejeter (drop) ou le marquer nouveau (policed-dscp).

Dans ce dernier cas, la commande suivante permet de dfinir les correspondances, soit par
plage de valeurs, soit individuellement :

set qos policed-dscp-map 63-62:62 61-60:60 ... 1-0:0
set qos policed-dscp-map 41:40

Les valeurs montres ici sont celles par dfaut qui sont conserves si elles ne sont pas expli-
citement redfinies.
Policing
Marquage
Nouvelle valeur
Anciennes valeurs
CHAPITRE 14

363
Dfinir une rgle de classification

La politique par dfaut qui vient dtre dcrite ne contient pas de rgle de classification
puisquelle sapplique tous les paquets IP. En revanche, nous pouvons crer une rgle
sappliquant un certain type de trafic :

set qos acl ip politique_ip_de_base trust-cos
microflow micro_de_base aggregate aggr_de_base
10.0.0.0 255.0.0.0 precedence routine

La politique ainsi dfinie sapplique aux paquets IP provenant du rseau 10.0.0.0 et ayant
leur champ Precedence 0 (mot-cl routine). Les paquets se conformant aux profils
micro_de_base et aggr_de_base seront affects de la priorit drive du champ COS
de la trame 802.1q (mot cl trust-cos).
Les valeurs qui suivent le mot-cl precedence sont celles dcrites dans le champ TOS : rou-
tine, priority, immediate, flash, flash-override, critical, internet et network.
la place de ladresse IP et de son masque, on peut mettre le mot-cl any ou le mot cl host
suivi dune adresse IP.
Nos commutateurs nous offrent la possibilit de dcrire dautres types de politiques
sappliquant aux trafics TCP, UDP, ICMP, IGMP, etc. Par exemple, il est ainsi possible
daffecter une rgle chaque application (qui se distingue par son port TCP ou UDP) :

set qos acl ip politique_web trust-ipprec
microflow micro_de_base
any tcp www

Associer une politique un port

La dernire tape consiste associer la politique que nous venons de crer un port du
commutateur ou un VLAN :
set qos acl map politique_ip_de_base 1/1
set qos acl map politique_web VLAN 1

Les ports ou le trafic associs au VLAN 1 se verront appliquer la politique Web que nous
venons de dfinir.

Marquage
Classification
Policing
Marquage
Classification
Policing

364
Affecter des valeurs au champ DSCP
Par dfaut, tous les ports fonctionnent sur le mode untrusted, ce qui signifie que les priorits
(COS et DSCP) des paquets y entrant sont ignores.
La carte de commutation de niveau 3 peut nanmoins prendre en compte les priorits des
trames et paquets pour un port auquel est connect une machine capable de gnrer des tra-
mes 802.1q et/ou des paquets IP DiffServ.
La manire de prendre en compte ces valeurs peut tre dfinie soit au niveau de la rgle de
marquage de la politique qui est ensuite affecte au port comme nous lavons dj fait, soit
tre dfinie directement par port :

# Soit dfinie au niveau de la politique
set qos acl ip politique_ip_de_base trust-cos ...
set qos acl map politique_ip_de_base 1/1

# Soit dfinie directement au niveau du port
set qos acl ip politique_par_port dscp 0 ...
set port qos 1/4 trust untrusted
set port qos 1/3 trust trust-cos
set port qos 1/2 trust trust-ipprec
set port qos 1/1 trust trust-dscp

La signification des mots-cls est la suivante :
untrusted : le champ DSCP est fix 0 ou par la valeur indique dans la politique de
qualit de service.
trust-cos : le champ DSCP est fix la valeur du champ COS de la trame Ethernet.
trust-ipprec : le champ DSCP est fix la valeur du champ Precedence du paquet
IP.
trust-dscp : le champ DSCP du paquet est conserv tel quel.
Les correspondances COS (0 7) valeur DSCP (0 63) et IP Precedence (0 7)
DSCP par dfaut conviennent, mais il est possible de les modifier comme suit :

set qos cos-dscp-map 0 8 16 24 32 40 48 56
set qos ipprec-dscp-map 0 8 16 24 32 40 48 56

Chaque valeur correspond un DSCP compris entre 0 et 63. Les valeurs indiques dans cet
exemple sont celles par dfaut.
Lorsque le paquet est finalement envoy sur le port de sortie, le champ COS de la trame est
driv de la valeur DSCP (conserve ou marque nouveau) :

set qos dscp-cos-map 0-7:0 8-15:1 ... 48-55:6 56-63:7

L encore, les valeurs indiques sont celles par dfaut.
Valeur par dfaut si
le port est marqu
untrusted
CHAPITRE 14

365
Configuration des postes de travail

Nous venons de le voir, il est possible de grer la qualit de service au niveau du WAN et du
LAN. Cette gestion sappuie sur des valeurs positionnes par les routeurs et les commuta-
teurs de niveau 3 dans les paquets IP (champs TOS et Precedence), ainsi que par les commu-
tateurs de niveau 2 dans les trames Ethernet (champ COS).

La question se pose alors de savoir o positionner ces paramtres. On peut le faire :
au niveau des commutateurs de niveau 2 afin de grer la qualit de service sur le LAN
uniquement ;
au niveau des commutateurs de niveaux 2 et 3 afin de grer la qualit de service sur le
LAN et le WAN ;
au niveau des routeurs pour grer la qualit de service sur le WAN.

Cette dernire solution est prfrable si les sites ne sont pas tous quips de cartes de com-
mutation de niveau 3. Par ailleurs, la bande passante est gnralement suffisante sur le LAN
pour permettre de se passer dune gestion labore de la qualit de service.

Une dernire solution est propose par les constructeurs : laffectation des priorits au ni-
veau des cartes Ethernet des postes de travail et des serveurs, cest--dire la source
dmission des trames et paquets.

Active la gestion de la qualit de service
par la carte (norme 802.1p). La carte
affecte une valeur au champ COS
(classe de service) de la trame Ethernet.
La carte affecte une valeur aux
champs TOS (classe de service) et
Precedence (priorit) du paquet IP.
Ces classes de service sont propres 3com. Ces colonnes
indiquent les correspondances avec les valeurs officielles
dfinies par les standards.


366
Il faut donc affecter une classe de service chaque application que sont susceptibles
dutiliser les postes de travail et les serveurs. Et il faut, bien videmment, que toutes les car-
tes soient configures de manire identique.

Affecte une classe de service chaque
application (port TCP ou UDP)
susceptible dtre utilise par le PC.
Les classes de service indiques nont quune
signification propre 3com. Lcran montr
prcdemment permet de les faire
correspondre aux valeurs dfinies par les
standards.

Cette solution est cependant difficile mettre en uvre pour plusieurs raisons :
Tous les PC et serveurs doivent tre quips de cartes supportant cette fonctionnalit.
Toutes les cartes doivent, de prfrence, provenir du mme constructeur, afin de
simplifier lexploitation et garantir lhomognit des paramtres.
Toutes les configurations doivent tre identiques.
Le paramtrage du driver doit pouvoir tre ralis distance.
Le nombre de nuds configurer est considrablement plus important que le nombre
de commutateurs sur lesquels ce mme paramtrage peut tre dfini.

En outre, si les utilisateurs disposent des droits administrateurs de leur poste de travail, ils
peuvent changer les paramtres de leur carte rseau, ce qui fausse la politique de qualit de
service que vous vouliez mettre en place. Toutes ces contraintes rendent donc difficile la
gestion de la qualit de service au niveau des postes de travail.
La pratique la plus courante consiste en fait classer et marquer les paquets au niveau 3,
par les commutateurs fdrateurs, voire les commutateurs dtage sils sont de niveau 3. Si
le marquage est ralis au niveau 2, les commutateurs de niveau 3 ou routeurs doivent mar-
quer les paquets IP en faisant correspondre le champ COS avec les 3 premiers bits du champ
DSCP et en ajoutant une prcdence de rejet selon une classification plus prcise.
CHAPITRE 14

367
La qualit de service selon IntServ
la diffrence de DiffServ qui repose sur le transport de la qualit de service dans les pa-
quets IP, le modle IntServ distribue ces informations (dbit, temps de rponse, etc.) tous
les routeurs concerns par le flux, afin dassurer la mme qualit de service de bout en bout,
cest--dire entre les applications mettrices et destinataires. Cette cohrence ncessite deux
fonctions distinctes :
la dfinition des spcificateurs (paramtres) qui permettent de caractriser la qualit de
service ;
le protocole de signalisation permettant aux routeurs dchanger les spcificateurs ainsi
que des informations relatives ltat du rseau.
La premire fonction fait lobjet des RFC 2211 2216 qui dfinissent les lments dun r-
seau intgration de service. La seconde est couverte par les RFC 2205 2209 qui dfinis-
sent le protocole RSVP (Resource reSerVation Protocol).
La RFC 2210 tablit la liaison entre les deux fonctions : elle traite du fonctionnement de
RSVP au sein dun rseau intgration de service.

RFC Sujet trait
2211 Classe de service par contrle de charge
2212 Classe de service par garantie de service
2213 MIB de lintgration de service
2214 MIB de lintgration de service Extension la garantie de
service
2215 Dfinition des paramtres permettant de calculer une QoS
2216 Dfinitions de la QoS pour les lments du rseau (dfinit un
cadre gnral sur lequel sappuient les RFC 2211 et 2212)
2210 Utilisation de RSVP dans un rseau intgration de service
2205 Spcifications fonctionnelles de RSVP
2206 MIB de RSVP
2207 Extensions pour les flux IPSEC
2208 Prconisations pour la mise en uvre de RSVP
2009 Rgles de traitement des messages

La rservation des ressources
La signalisation RSVP est le protocole qui permet de ngocier et de mettre en place une
qualit de service dans des routeurs. Dans la pile TCP/IP, il est situ au mme niveau que
ICMP et IGMP (paquet IP de type 46, adresse unicast ou multicast identique celle du
flux). Il est cependant possible de lencapsuler dans un paquet UDP (ports 1698 et 1699,
adresse 224.0.0.14).

368

LE POINT SUR INTSERV (RFC 1633)
Il existe diffrentes faons dassurer une qualit de service : affectation des priorits, choix de lalgorithme
pour grer les files dattente, etc. Mais, si chaque routeur gre un niveau de priorit qui lui est propre ou
gre des files dattente selon des paramtres diffrents, la qualit de service demande par une application
sera interprte diffremment par les routeurs et ne pourra donc pas tre assure de bout en bout.

Pour que tout le monde parle le mme langage, la RFC 1633 dfinit un cadre fonctionnel, appel intgra-
tion de service. Quatre nouveaux composants doivent tre intgrs aux routeurs :
Le contrle dadmission dont le rle est de vrifier que la QoS demande pour un nouveau flux ne re-
mettra pas en cause les QoS accordes aux autres flux existants.
Le classificateur de paquets dont le rle est daffecter une classe de service aux paquets entrants.
Lordonnanceur de paquets, qui gre les files dattente pour les paquets sortants.
Un mcanisme de rservation des ressources permettant de paramtrer le classificateur et
lordonnanceur.

Classificateur
Les messages changs par RSVP
permettent de connatre ltat du rseau
(charges, flux, etc.) et de paramtrer le
classificateur et lordonnanceur.
Ordonnanceur
Haute
Moyenne
Basse
QOS 1
QOS 2
Traitement
rservations
Contrle
dadmission
Interface
dentre
Interface
de sortie
Files dattente associes
linterface de sortie
Paramtrage
RSVP

Une demande de rservation est traite par le module de contrle dadmission qui vrifie que lapplication a
le droit deffectuer une telle requte et que le rseau peut offrir la QoS demande sans remettre en cause
celles dj accordes.
Limplmentation logicielle de lordonnanceur dpend du routeur. La plupart dentre eux utilisent nanmoins
un algorithme standard de type WFQ (Weighted Fair Queue) ou WRED (Random Early Detection) pour la
gestion des files dattente.
De mme, le classificateur peut utiliser diffrents lments pour classer un paquet dans tel ou tel niveau de
service : ladresse IP et le port TCP/UDP sont des informations de base qui peuvent tre utilises.
Enfin, le mcanisme de rservation repose sur le protocole de signalisation RSVP (Resource reSerVation
Protocol) qui permet de demander tous les routeurs concerns de rserver des ressources.
CHAPITRE 14

369
Les paquets RSVP sont routs saut par saut, cest--dire de routeur routeur : chaque rou-
teur travers, les paquets remontent donc la couche RSVP, puis sont rmis. Le routage
des paquets est assur par un protocole de routage quelconque, unicast ou multicast selon le
type dadresse.
Le protocole doit tre activ sur chaque interface :

int s 0
ip rsvp bandwidth

Un metteur de flux multimdia envoie priodiquement une annonce de chemin un desti-
nataire unicast ou un groupe multicast (message Path). Chaque routeur, situ entre
lmetteur et le (ou les) destinataire(s), garde une trace de cette annonce avec les interfaces
dentre et de sortie du paquet.
Chaque destinataire peut demander rserver des ressources correspondant une qualit de
service telle que dfinie dans la RFC 2210 (message Resv).
Le logiciel RSVP, qui reoit une demande de rservation, procde aux traitements tels que
spcifis par la RFC 1633 :
contrle dadmission afin de garantir que la demande ne remettra pas en cause la QoS
dautres flux (lapplication a-t-elle le droit de faire une telle demande ? Est-elle
raisonnable ? etc.) ;
affectation du flux une classe de service permettant dobtenir la QoS dsire.
Si ces contrles sont positifs, le message Resv est envoy lmetteur en suivant la mme
route que le message Path mis. Chaque routeur situ entre le destinataire et lmetteur du
flux garde une trace de cette demande, et procde au mme contrle que dcrit prcdem-
ment. Chaque routeur peut donc accepter ou refuser la demande (voir figure ci-aprs).
RSVP ne dfinit que le moyen dtablir une qualit de service entre un metteur et un desti-
nataire en garantissant que les routeurs rserveront suffisamment de ressources (mmoire,
CPU, files dattente, bande passante sur les liaisons, etc.) pour assurer cette qualit de
service.

Figure 14-2.
Principe de fonctionnement
de RSVP.

Par dfaut, 75% de la bande
passante est gre par RSVP

Groupe
224.10.1.1
Rapport IGMP
Demande IGMP
Les membres du groupe
sont enregistrs via IGMP.
R2 R1
R3 R4
R5
Groupe
224.10.1.1
Le serveur envoie une
annonce de chemin
tous les membres du
groupe (message Path).
Les paquets sont routs par un
protocole de routage multicast
(PIM, MOSPF ou DVMRP).
Les routeurs situs sur le
chemin enregistrent ltat du
chemin et de la rservation.
Le destinataire fait une
demande de rservation de
ressource (message Resv).


370
Sur nos routeurs, il est possible de dfinir quelle bande passante va pouvoir tre gre par
RSVP :

int s 0
ip rsvp bandwidth 200 20
fair-queue 64 256 10

Lalgorithme WFQ a galement t activ pour grer la qualit de service demande. Dix fi-
les dattente sont ainsi ddis RSVP : cest, en effet, le nombre de flux auquel nous nous
attendons (10 20 Kbit/s = 200 Kbit/s). Les valeurs par dfaut, 64 et 256, ont t conser-
ves pour les autres files dattente.
Ce qui vient dtre expliqu implique deux choses :
que les piles TCP/IP des PC et des serveurs supportent le protocole RSVP ;
et que les applications sachent dcrire et demander une QoS.
Le premier point est rsolu avec Windows 98, NT, 2000 et XP. Le second est, quant lui,
rsolu par les API RSVP disponibles dans Winsock 2.0. et sous la plupart des versions
dUnix. Ainsi, certaines applications, telles quInternet Explorer ou Netmeeting, prennent
directement en charge ce protocole pour les flux audio et vido.
Mais peu dapplications prennent actuellement en charge RSVP et les spcificateurs de QoS.
Heureusement, nos routeurs offrent une fonctionnalit intressante qui consiste simuler
lmission des messages Path et Resv par un serveur ou un PC.
Dans notre cas, qui sert dexemple, un serveur doit diffuser une vidoconfrence diffrents
utilisateurs via le protocole Proshare dIntel. Larchitecture est la suivante :

Groupe
224.10.1.1
R2 R1
R3 R4
R5
194.10.10.10
Le serveur envoie un
message Path tous les
membres du groupe.
Le destinataire fait une
demande de rservation de
ressource (message Resv)
195.5.5.5
Groupe
224.10.1.1
194.10.15.5
Groupe
224.10.1.1
195.5.5.1
194.10.15.1
194.10.10.1

20 Kbit/s par flux
200 Kbit/s gre par RSVP
10 files dattente pour RSVP
CHAPITRE 14

371
La commande suivante permet de simuler la rception de messages Path par notre serveur
vido :

#Routeur R2
ip rsvp sender 224.10.1.1 195.5.5.5 tcp 1652 4001 195.5.5.5 e0 20 5

Le routeur agit comme si une application sur le serveur dadresse IP 195.5.5.5 lui envoyait
un message Path pour ladresse de groupe multicast 224.10.1.1.
Les paramtres qui suivent sont :
les ports destination (tcp 1652 = vidoconfrence Proshare) et source (4001) les
mots-cls udp ou un port IP quelconque sont galement accepts ;
ladresse du saut prcdent, donc celle du serveur ou du routeur le plus proche du
serveur ;
linterface physique par laquelle est cens transiter le message mis par le serveur ;
la bande passante, en Kbit/s, rserver (ici 20 Kbit/s) ;
le dpassement autoris (burst), en Ko (ici 5 Ko).

En retour, il est ncessaire de simuler lenvoi dun message Resv par le destinataire du flux :
#Routeur R5
ip rsvp reservation 224.10.1.1 195.5.5.5 tcp 1652 4001 194.10.10.10 e0
SE rate 20 5
Le routeur agit comme si une application sur le PC envoyait un message Resv pour ladresse
de groupe multicast 224.10.1.1 et vers le serveur 195.5.5.5.
Les paramtres qui suivent sont :
les ports destination (1652 = vidoconfrence Proshare) et source le mot cl udp
ou un port IP quelconque sont galement accepts ;
ladresse du saut prcdent, donc celle du PC ou du routeur le plus proche du PC ;
linterface physique par laquelle est cens transiter le message mis par le serveur ;
le style de rservation : FF (Fixed-Filter), WF (Wildcard-Filter) ou SE (Shared-Explicit)
que nous avons retenu pour notre flux vido ;
la classe de service demande (voir paragraphe suivant) : rate (QoS garantie) ou
load (contrle de charge) ;
la bande passante, en Kbit/s, rserver (ici 20 Kbit/s) ;
le dpassement autoris (burst), en Ko (ici 5 Ko).

Adresse du serveur suppos en-
voyer le message Path.
Adresse du destinataire du message
(unicast ou multicast)

372
Nous devons galement nous assurer que les flux Telnet disposeront toujours de la bande
passante suffisante et des temps de rponse corrects :

#Routeur R2
Message Path metteur |Rcepteur |Flux Telnet |metteur
ip rsvp sender 195.5.5.5 194.10.10.10 tcp 23 1025 195.5.5.1 e0

#Routeur R5
Message Resv metteur |Rcepteur |Flux Telnet|Rcepteur
ip rsvp reservation 195.5.5.5 194.10.10.10 tcp 23 1025 194.10.10.1 e0 FF
load 32 1
Toutes les interfaces de sortie (par rapport au flux du serveur vers le PC) de tous les routeurs
situs sur le chemin emprunt par le flux vido doivent pouvoir grer la qualit de service
demande, ce qui est ralis travers la file dattente WFQ. Si lon ne considre que notre
flux vido, cela donne :
# Routeur
int e1 (int e0 pour R2, in s0 pour R1, int e2 pour R4)
fair-queue 64 256 10

Pour les routeurs situs au sein de notre rseau qui utiliseraient lalgorithme WRED, il est
possible de modifier les seuils de rejet appliqus par dfaut RSVP :
random-detect precedence rsvp 205 218 10
Les paramtres montrs sont ceux par dfaut ; leur signification est identique celle donne
en page 352.

200 Kbits/s grs par RSVP
et 20 Kbits/s affects par flux
LE POINT SUR RSVP (RFC 2205 2210)
Lmetteur dun flux (vido, par exemple) envoie rgulirement aux destinataires un message Path leur
permettant, ainsi quaux routeurs situs sur le chemin emprunt par le paquet RSVP, de dterminer la route
emprunte par les paquets IP du flux. Les destinataires renvoient rgulirement lmetteur un message
Resv, qui est pris en compte par tous les routeurs situs sur le chemin qui vient dtre dtermin. Cette m-
thode permet de sassurer que les ressources seront rserves sur le chemin emprunt par les paquets du
flux multimdia. Au sein dun rseau IP, le chemin retour peut, en effet, tre diffrent du chemin aller.
Une demande de rservation consiste en un descripteur de flux compos dun spcificateur de flux, flows-
pec (cest--dire la QoS dsire qui permet de paramtrer lordonnanceur de paquets) et dun filtre de flux,
filterspec (cest--dire les caractristiques du trafic qui permettent de paramtrer le classificateur de pa-
quet).
Un filtre consiste, au minimum, en une adresse IP et en un numro de port TCP/UDP. Une forme plus vo-
lue peut inclure des donnes issues des couches applicatives ou le champ TOS du paquet IP.

CHAPITRE 14

373

LE POINT SUR RSVP (SUITE)
Il existe plusieurs styles de rservation selon que la demande est partage ou non par plusieurs flux et
quelle concerne explicitement ou non les metteurs :
WF (Wildcard-Filter) : une seule rservation est faite pour les flux de tous
les metteurs (par exemple, pour une audioconfrence o le nombre de
personnes parlant en mme temps est limit).
Flux audio
E
E
R

FF (Fixed-Filter) : une rservation est faite par flux (par exemple, une
rservation par flux vido mis par chaque participant dune visioconf-
rence).
Flux vido
Flux vido
R
E
E

SE (Shared Explicit) : une seule rservation est faite pour les flux de quel-
ques metteurs (elle est adapte, par exemple, une visioconfrence
associe une confrence audio).
Flux audio
Flux vido
E
E
E
R

Un routeur peut recevoir des demandes de rservation en provenance de diffrents destinataires qui
concernent un mme flux mis par un mme metteur. Les QoS demandes seront alors fusionnes en
une seule qui sera remonte, et ainsi de suite jusqu lmetteur du flux. La rservation qui est remonte
jusqu lmetteur du flux dpend alors du style des rservations mises par les destinataires.
Fusion
Ce sont les rcepteurs
qui font les demandes
de rservation
E
R
R
R
R
Fusion

Un message RSVP comprend plusieurs objets, eux-mmes structurs en plusieurs champs. Par exemple,
un message Resv comprend les adresses IP de lmetteur et du destinataire du message RSVP, la priodi-
cit denvoi du message et le style de rservation, suivi des descripteurs de flux.
Afin de tenir compte des changements de topologie (apparition et disparition des routeurs et des membres
de groupe), les messages Path et Resv sont envoys priodiquement.
Options Type de message Checksum
TTL du paquet IP
Version
Rserv Longueur du message
Longueur de lobjet 1 Classe de lobjet Type de lobjet
Contenu de lobjet (valeurs)
.
Longueur de lobjet 2 Classe de lobjet Type de lobjet


374
La description de la qualit de service
RSVP est un protocole qui permet aux applications et aux routeurs de mettre en place une
qualit de service en changeant des informations. Mais, comment une application peut-elle
dcrire la qualit de service dont elle a besoin ? Quels paramtres doit-elle fournir aux rou-
teurs ? Comment les routeurs configurent-ils leur classificateur et leur ordonnanceur ?
La rponse ces questions passe par le respect dun langage commun, qui est dcrit dans les
RFC 2210 2216. Ce langage commun repose sur trois types de paramtres qui permettent
de caractriser la qualit de service :
la classe de service demande ;
les paramtres dcrivant la classe de service ;
les paramtres dcrivant les caractristiques du flux de donnes pour lequel cette
demande de qualit de service est faite.
Ces paramtres sont regroups dans des objets transports dans les messages Resv.
Les classes de service
Le support dune classe de service implique que les routeurs paramtreront leur classifica-
teur et leur ordonnanceur de manire identique et que, en dfinitive, ils se comporteront de
la mme manire, afin dassurer une qualit de service uniforme, celle quattend
lapplication.
Deux classes de service sont actuellement dfinies :
Un service de contrle de charge (RFC 2211). En prenant en charge ce type de service,
le routeur garantit que la plupart des paquets seront routs sans erreur et que le dlai de
transit nexcdera pas un certain seuil pour la plupart des paquets routs.
Un service garanti (RFC 2212). En prenant en charge ce type de service, le routeur
garantit que le dlai de transit des paquets ne dpassera pas un seuil fix et que
lapplication disposera de la bande passante demande.
Description des classes de service
La RFC 2215 dfinit, quant elle, les paramtres utiliss pour calculer les classes de ser-
vice :
non-is_hop : information dcrivant quun routeur ne gre aucune QoS (routeurs sans
intgration de service) ;
number_of_is_hops : nombre de sauts intgration de service (cest--dire de routeurs
grant une QoS) ;
available_path_bandwidth : bande passante disponible le long dune route (qui traverse
plusieurs routeurs et plusieurs rseaux) ;
minimum_path_latency : dlai minimal de transit dun paquet le long dune route
(dpend notamment de la bande passante et du dlai de traitement des routeurs). ;
path_mtu : taille maximale des paquets le long dune route : cest la plus grande MTU
(Maximum Transmission Unit 1 500 octets pour Ethernet) autorise par les diffrents
types de rseaux emprunts par un flot de donnes.
CHAPITRE 14

375
Caractristiques des flux
La mme RFC 2215 dfinit galement les paramtres que lapplication communique aux
routeurs via RSVP (regroups dans une structure appele token_bucket_tspec). Elle dcrit
les caractristiques du flux pour lequel lapplication fait une demande de classe de service. Il
sagit :
du dbit moyen du flux (token rate), en octets par seconde ;
du dpassement de dbit (bucket size) autoris pendant une courte priode, en dautres
termes le burst, exprim en nombre doctets ;
du dbit en pointe (peak rate), en octets par seconde ;
de lunit de contrle minimale, en octets, qui correspond la taille minimale des
paquets. Le routeur contrle en permanence le dbit, et lajuste par rapport au token-
bucket (rate + size) et la taille des paquets. Les paquets dont la taille est infrieure
cette valeur seront traits, dans le calcul de la QoS, comme ayant cette valeur ;
de la taille maximale des paquets en nombre doctets.
Objets RSVP
Ces paramtres sont regroups dans des objets transports dans les messages Resv de RSVP.
Ces objets sont dcrits dans la RFC 2210 :
flowspec : est gnr par le rcepteur vers le ou les metteurs dun flux afin dindiquer
la QoS dsire. Les routeurs peuvent modifier les informations flowspec en cours de
chemin, notamment lors de la fusion RSVP.
sender_tspec : indique les caractristiques des flux que le ou les metteurs vont gnrer.
Les routeurs intermdiaires prennent en compte cette information sans la modifier.
rsvp_adspec : est gnr par le ou les metteurs dun flux, mais modifi par les routeurs
intermdiaires. Cet objet contient des informations collectes dans le rseau, relatives
aux dlais de transit dans chaque nud, la bande passante mesure sur les liaisons,
la classe de service supporte, etc. Chaque routeur modifie ou ajoute ses propres
informations dans ce paquet.
Figure 14-3.
RSVP avec lintgration de service (RFC 2210).

Classificateur
Les messages changs par RSVP
permettent de connatre ltat du rseau
(charges, flux, etc.) et de paramtrer le
classificateur et lordonnanceur.
Ordonnanceur
RSVP Path Contrle
dadmission
Paramtrage
RSVP ADSPEC
Winsock
RSVP
Routeur 2
Winsock
RSVP
Contrle du
trafic
Module
RSVP
sender TSPEC
Contrle
dadmission
Routeur 1
Contrle du
trafic
Module
RSVP
Classificateur
Ordonnanceur
RSVP Resv
RSVP Flowspec
Les routeurs peuvent modifier le
contenu des objets (par exemple,
adspec) pour tenir compte de
ltat du rseau leur niveau.
Un routeur peut refuser la demande de QoS : le message RSVP
nest pas transmis et une erreur est renvoye (ResvErr ou PathErr).


376
Lobjet flowspec contient les paramtres suivants :
la classe de service demande : garantie ou contrle de charge ;
tspec (traffic specification) : correspond aux paramtres token_bucket_tspec ;
rspec (request specification) : si la classe de service demande est de type garantie. Cet
objet dcrit les caractristiques de la classe de service, cest--dire le dbit (exprim en
paquets par seconde) et la gigue maximale autorise (exprime en microsecondes).

Lobjet sender_tspec contient uniquement les paramtres token_bucket_tspec.
Lobjet rsvp_adspec contient tout ou partie des paramtres de description de classe de ser-
vice. Ils sont modifis ou ajouts par les routeurs pour dcrire des caractristiques locales et,
en dfinitive, dcrire les caractristiques globales pour la route.
Dployer une politique de qualit de service
Lapplication manuelle dune politique de qualit de service sur lensemble des routeurs et
des commutateurs peut se rvler fastidieuse et tre source derreur.
Il est possible dautomatiser ce processus grce au protocole COPS (Common Open Policy
Service). La politique de qualit de service est alors dfinie laide dune interface graphi-
que au niveau dun serveur COPS, puis diffuse partir de celui-ci aux routeurs du rseau.
La cration des rgles et leur diffusion sont ainsi simplifies.
Il faut avant tout indiquer aux routeurs de tlcharger leur politique en utilisant le protocole
COPS partir dun serveur :

# Sur un routeur :
ip rsvp policy cops servers 10.0.20.2

# Sur un commutateur :
set qos policy-source cops
set port qos 1/1 roles regulation
set cops server 10.0.20.2 diff-serv

# Sur un autre commutateur :
set qos policy-source cops
set cops server 10.0.20.2 rsvp
set cops domain-name domaine_multimedia

Concernant le serveur lui-mme et son interface graphique, il existe diffrents produits, tels
que QoS Policy Manager (Cisco), Orchestream (Network Computing), PolicyXpert (HP) et
RealNet Rules (Lucent).

Nom du domaine dfini au
niveau du serveur COPS
Indique ladresse IP
du serveur COPS
Profil tlcharger pour ce port
QoS DiffServ ou IntServ
CHAPITRE 14

377
La qualit de service sur MPLS
Il a t indiqu, au chapitre 12, que MPLS pouvait grer la qualit de service en intgrant les
modles DiffServ et IntServ.
Le RFC 3270 spcifie deux manires dintgrer DiffServ avec MPLS :
Dans le mode E-LSP (EXP-Inferred-PSC LSP), le champ Exp du label MPLS est
utilis pour vhiculer la CoS et le Drop Precedence , les trois premiers bits du champ
DSCP tant copis dans ce champ. Un LSP (Label Switched Path) peut donc vhiculer
des paquets ayant diffrentes classes de service.
Dans le mode L-LSP (Label-Only-Inferred-PSC LSP), la CoS est code dans le label
tandis que le champ Exp contient le Drop Precedence . Un LSP ne vhicule alors
que des paquets ayant la mme CoS. Cest la seule option possible pour les LSR ATM.
Le terme PSC signifie PHB Scheduling Class. Le Drop Precedence indique que faire du
paquet en cas de congestion, la manire la plus simple consistant dtruire le paquet
linstar du bit CLP dATM.
Le mode E-LSP est actuellement le plus utilis, car les oprateurs ne proposent gnrale-
ment pas plus de quatre CoS.
Concernant IntServ, une extension de RSVP, appele RSVP-TE (RSVP Traffic Enginee-
ring) et spcifie par la RFC 3209, permet de distribuer les labels en mme temps quun
chemin est rserv pour une CoS donne.
Les travaux en cours sur le sujet peuvent tre trouvs sur le site www.ietf.org/
html.charters/mpls-charter.html.

15
Le routage
des flux multimdias

Qui dit multimdia dit galement diffusion dun flux audio ou vido plusieurs destinatai-
res, dans le cadre dune confrence, par exemple. Un mme film vido peut ainsi tre dupli-
qu en autant de flux quil y a de destinataires.

Afin de limiter la charge induite sur le rseau, il est bien plus judicieux de dupliquer ce flux
au plus prs des destinataires. Pour ce faire, trois mcanismes doivent tre mis en place sur
notre rseau IP :
un adressage permettant de dsigner des groupes de machines plutt quune seule ;
un mcanisme permettant didentifier les groupes actifs au sein du rseau ;
un mcanisme permettant de router les paquets en les dupliquant le moins possible.

Sans cela, notre rseau IP serait vite engorg, surtout sur les liaisons WAN pour lesquelles
le dbit est compt.

utiliser ladressage multicast ;
grer les groupes de diffusion ;
configurer les algorithmes de routage multicast DVMRP, MOSFP et PIM ;
choisir lun de ces algorithmes en fonction de vos besoins.
IGMP, DVMRP, MOSPF, PIM

380
La diffusion sur un rseau IP
Un participant une audioconfrence parle tous les autres participants : sa voix est num-
rise, puis dcoupe en paquets IP qui sont ensuite envoys sur le rseau.
Au premier abord, il est possible de transmettre ces paquets sur un rseau IP classique : une
copie de ce paquet est alors transmise chaque destinataire. Chacun deux est, en effet,
identifi par une adresse IP unique qui est insre dans le champ destination du paquet. Les
routeurs se servent de cette adresse pour acheminer le paquet jusquau destinataire.

Figure 15-1.
Diffusion des paquets unicasts.

Cet exemple montre que ce type de fonctionnement nest pas adapt une diffusion : le r-
seau est inond par des paquets dupliqus ds la source dmission. Les adresses utilises
(classes A, B ou C) sont, en effet, de type unicast, car une adresse est associe une ma-
chine cible. Par extension, les paquets sont dits unicasts.
Ladressage IP propose une autre classe dadresses, la classe D. Ces adresses sont dites mul-
ticasts, car elles dsignent un groupe de machines. Il ne sagit pas dune adresse de broad-
cast, car seules les machines qui sont configures pour accepter une adresse multicast pren-
dront en compte le paquet.
La plage rserve pour la classe D stend de 224.0.0.0 239.255.255.255. Ladresse
224.0.0.0 nest attribue aucun groupe ; ladresse 224.0.0.1 permet dadresser toutes les
machines sur un rseau (le rseau local sur lequel est mis le paquet). Ladresse 224.0.0.2
permet dadresser, plus spcifiquement, tous les routeurs sur un rseau.
Des adresses de groupes permanents sont attribues officiellement par lIANA (Internet As-
signed Number Authority www.iana.org).

Routeur 4 Routeur 3
Routeur 2 Routeur 1
Une copie du mme paquet est
envoye chaque destinataire.
Le routage des flux multimdias
CHAPITRE 15

381
Groupe concern Exemple dadresse attribue
Toutes les machines sur le rseau local 224.0.0.1
Tous les routeurs sur le rseau local 224.0.0.2
Tous les routeurs DVMRP 224.0.0.4
Tous les routeurs OSPF 224.0.0.5
Tous les routeurs OSPF dsigns 224.0.0.6
Tous les routeurs RIP 224.0.0.9
Tous les routeurs PIM 224.0.0.13
Messages RSVP encapsuls dans UDP 224.0.0.14
NTP (Network Time Protocol) 224.0.1.1
Artificial Horizons Aviator 224.0.1.5
Music-Service 224.0.1.16
IETF-2-Video 224.0.1.15
Microsoft-ds 224.0.1.24

Figure 15-2.
Diffusion d'un paquet multicast.

Sans les mcanismes du multicast, le serveur devrait, tout dabord, dterminer les destinatai-
res (leur adresse IP ou leur nom), puis envoyer autant dexemplaires du paquet quil y a de
destinataires.
Ladresse IP source est toujours celle de la station qui envoie le paquet (une adresse uni-
cast). Aucun paquet nest mis avec une adresse source multicast. Une adresse de classe D
identifie toujours un groupe de destinataires.

Lmetteur envoie une seule
copie du paquet multicast.
Les routeurs dupliquent le paquet
au plus prs des destinataires.
Routeur 3
Routeur 4
Routeur 2
Routeur 1

382
Sur les rseaux qui prennent en charge ce type dadressage, le multicast IP utilise les fonc-
tions de multicast du niveau 2, cest--dire des trames multicasts. Sur un rseau Ethernet, les
paquets multicasts IP sont envoys dans des trames multicasts dont ladresse MAC de
destination commence par 01-00-5E . Les 23 derniers bits de cette adresse correspondent
aux 23 derniers bits de ladresse IP.

Figure 15-3.
Correspondance entre les adresses
multicasts IP et Ethernet.

Un PC envoie donc tous ses paquets multicasts IP dans une trame multicast Ethernet. Le
mcanisme de routage par dfaut (voir chapitre 9) ne sapplique, en effet, quaux paquets
unicasts.
Sur les rseaux ne disposant pas de la fonction multicast de niveau 2 (X.25, Frame Relay,
ATM, par exemple), les paquets multicasts sont transports dans les trames unicasts de ni-
veau 2.

La gestion des groupes de diffusion
Un groupe de diffusion (groupe multicast) est dynamique : ses membres peuvent adhrer au
groupe ou le quitter tout moment, tre disperss travers le monde, adhrer plusieurs
groupes en mme temps. Aucune restriction quant au nombre de participants nest gale-
ment applique. Le groupe peut tre permanent ou non. Un participant peut tre actif ou non
(la machine est teinte).
La premire tche pour un participant (une machine connecte sur le rseau) est donc de se
faire connatre. Pour cela, il dispose du protocole IGMP (Internet Group Membership Pro-
tocol) dfini par la RFC 1112, datant de 1989, et mis jour en 1997 par la RFC 2236 (IGMP
v2).
En principe, toutes les piles TCP/IP, et en particulier celle de Windows, supportent IGMP.
Aucune configuration spcifique nest ncessaire, car la gestion des groupes nest pas rali-
se manuellement mais directement par les applications via des API (Application Program-
ming Interface).

0
Adresse IP de classe D
Non copi
0 0 0 0 0 0 1
1
0
0
0 0 0 0 0 0 0
0
0 1 0 1 1 1 1 0
E
0
1 1 0 0 0 0 1 1 0 0 1 0 1 0 0 0
225 20 2 2
0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0
0 0 1 0 1 0 0 0
5 1 4
0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0
0 2
0 2
(Lordre de transmission des bits est invers
au sein de chaque octet de la trame Ethernet)
Bit I/G (cf. lencart "Les adresses MAC" au chapitre 7)
CHAPITRE 15

383
Par exemple, linterface Winsock offre les primitives permettant dentrer et de sortir dun
groupe :
JoinHostGroup (adresse IP du groupe, numro de linterface rseau) ;
LeaveHostGroup (adresse IP du groupe, numro de linterface rseau).
Ces fonctions permettent la pile TCP/IP daccepter dune part les paquets dont ladresse IP
de destination lui correspond et, dautre part, les paquets dont ladresse IP de destination est
celle du ou des groupes multicasts auxquels linterface rseau est non jointe . La pile TCP/IP
maintient ainsi une liste dappartenance pour chaque interface rseau de la machine.
Ainsi, plusieurs logiciels utilisent dj le multicast votre insu :
les serveurs WINS de Windows NT, qui se placent doffice dans le groupe 224.0.1.24
qui est utilis pour dialoguer avec des partenaires de rplication ;
le logiciel de visioconfrence Netmeeting ;
le logiciel de diffusion audio et vido RealG2 Player.
La plupart des routeurs prennent galement en charge ce protocole. La configuration dun
routeur Cisco consiste simplement activer la fonction multicast dIP :
int e 0
ip multicast-routing
Si le routeur dispose de plusieurs interfaces sur le mme rseau local, une seule doit tre
configure avec IGMP.
On peut indiquer au routeur de devenir membre dun groupe. Cela permet aux exploitants de
savoir si un groupe est joignable en utilisant la commande ping. Si personne nest actif sur
ce groupe, le routeur pourra au moins rpondre au ping :
ip igmp join-group 224.10.1.1
Considrons lexemple suivant : chacun des deux routeurs est lu Demandeur pour un r-
seau en fonction de son adresse IP.

Figure 15-4.
Exemple
de configuration IGMP.

194.10.10.1
194.10.10.20 194.10.10.30 194.10.10.10
Groupe
224.10.1.1
Groupes 224.10.1.1
et 225.20.2.2
Groupe
224.10.1.1
Demande gnrale
de rapport
Groupe
225.20.2.2
194.10.10.2
Groupes 224.10.1.1
et 225.20.2.2
Routeur 4 Routeur 3
200.20.20.6 200.20.20.5
200.20.20.20
200.20.20.30
Le routeur 4 a t lu Demandeur
sur le rseau 194.10.10.0
Le routeur 3 a t lu Demandeur
sur le rseau 200.20.20.0
Envoi dun rapport :
jappartiens au
groupe 225.20.2.2

384

Les routeurs sont lcoute de tout message multicast, et prennent donc en compte tous les
rapports. La commande suivante montre le rsultat obtenu sur un routeur Cisco :
Routeur3# show ip igmp interface
LE POINT SUR IGMP (RFC 1112 ET 2236)

IGMP (Internet Group Membership Protocol) est un protocole qui fonctionne conjointement avec IP, au
mme titre quICMP. Il permet aux membres dun groupe de signaler leur prsence au routeur le plus pro-
che, celui connect au rseau local. Si plusieurs routeurs sont connects un mme rseau local, celui qui
a la plus petite adresse IP est lu Demandeur.
Le routeur Demandeur met priodiquement une demande gnrale de rapport (adresse de destination
224.0.0.1). Les membres de tous les groupes actifs sur ce rseau local lui rpondent en envoyant un rap-
port pour chaque groupe auquel ils appartiennent.
Le routeur maintient jour une liste des groupes dont au moins un membre est actif. Les routeurs non de-
mandeurs nmettent pas de demande de rapport, mais lisent les rapports et mettent jour leur table.
Il existe trois types de paquets IGMP : demande de rapport, sortie dun groupe (demande par un membre)
et rapport dactivit. Un quatrime type, le rapport IGMP version 1, est support des fins de compatibilit.

ICMP IGMP
IP
Ethernet
TCP
MRT Non utilis Checksum
Adresse de groupe
Format dun paquet IGMP
Version

Le champ MRT (Max Response Time) est utilis dans les paquets de demande de rapport pour indiquer, en
diximes de secondes, le dlai maximal autoris pour envoyer un rapport dactivit. Au-del de ce dlai, le
destinataire est considr comme ntant pas actif dans le groupe.
Un membre peut galement demander sortir du groupe (message destination de 224.0.0.2). Le routeur
Demandeur met alors une demande spcifique de rapport (adresse de destination identique celle du
groupe) pour sassurer quun membre au moins est encore actif.
CHAPITRE 15

385
Internet address is 194.10.10.2, subnet mask is 255.255.255.0
IGMP is enabled on interface
IGMP query interval is 120 seconds
Inbound IGMP access group is not set
Multicast routing is enabled on interface
Multicast TTL threshold is 0
Multicast designated router (DR) is 194.10.10.1
Multicast groups joined: 224.10.1.1 225.20.2.2
Internet address is 200.20.20.5, subnet mask is 255.255.255.0
IGMP is enabled on interface
IGMP query interval is 120 seconds
Inbound IGMP access group is not set
Multicast routing is enabled on interface
Multicast TTL threshold is 0
Multicast designated router (DR) is 200.20.20.5
Multicast groups joined: 224.10.1.1 225.20.2.2

Le routeur 3 nest pas Demandeur pour le rseau 194.10.10.0 ; il nenvoie donc pas de re-
qute. En revanche, il prend en compte tous les rapports quil voit passer :

Routeur4# show ip igmp groups
IGMP Connected Group Membership
Group Address Interface Uptime Expires Last Reporter
224.10.1.1 Ethernet0 17:15:15 0:02:05 194.10.10.20
224.10.1.2 Ethernet1 1:01:01 0:01:05 220.20.20.30
224.10.1.1 Ethernet1 17:15:40 0:01:40 220.20.10.30
225.20.2.2 Ethernet0 1:00:45 0:01:50 194.10.10.10

De mme, le routeur 4 nest pas Demandeur pour le rseau 220.20.20.0 ; il nenvoie donc
pas de requte. En revanche, il prend galement en compte tous les rapports quil voit
passer.
La priodicit denvoi des demandes gnrales de rapports peut tre paramtre comme
suit :

ip igmp query-interval 120

La version 3 dIGMP, en cours dtude, permettra aux machines dindiquer au routeur
ladresse IP source pour laquelle elle accepte de recevoir des paquets multicasts ; ainsi, la
diffusion du paquet prendra en compte ladresse de lmetteur, en plus du groupe destina-
tion.
Toutes les 120 secondes

386
Le routage des flux multicasts
Le protocole IGMP permet aux routeurs de dtecter les groupes situs sur leurs rseaux lo-
caux (les rseaux auxquels une interface est connecte).
Mais les routeurs ne savent pas o sont situs les autres membres du groupe, puisque IGMP
na quune porte locale. Pour cela, il faut utiliser des protocoles de routage spcifiques au
multicast. Trois standards sont disponibles :
DVMRP (Distance Vector Multicast Routing Protocol), analogue au protocole RIP
adapt au multicast ;
MOSPF (Multicast Open Shortest Path First), une extension dOSPF ;
PIM (Protocol Independent Multicast), spcialement ddi au multicast.
Le choix de lun de ces protocoles dpend de nombreux paramtres. Les paragraphes sui-
vants dcrivent donc leurs principes de fonctionnement, afin de mieux cerner leurs cons-
quences sur larchitecture de notre rseau.

Le routage laide de DVMRP
Le premier protocole de routage multicast a t DVMRP (Distance Vector Multicast Rou-
ting Protocol). Comme son nom lindique, il repose sur un algorithme de calcul du plus
court chemin, bas sur le plus petit nombre de routeurs traverser pour atteindre une desti-
nation (nombre de sauts, appel mtrique).
Le principe est en cela identique RIP (Routing Information Protocol) : les routeurs
schangent lintgralit de leurs tables de routage. DVMRP doit donc tre utilis en sup-
plment dun protocole de routage unicast (RIP, OSPF, etc.).

Figure 15-5.
Diffusion
des tables de routage DVMRP.

Les routes sont diffuses dans
des paquets multicast IGMP.
N5
R3
Les routeurs diffusent leurs tables de routage multicast
N1
N2
R1
R4
N3
R2
R5
N4
LS
Deux routes avec la mme mtrique
pour aller vers N4 et N5 : le routeur
R4 est lu Dominant car il a la plus
petite adresse IP. Pour forcer R3
tre Dominant, il faut lui assigner
une mtrique infrieure.
N7
Rseau Masque Routeur Mtrique Statut TTL
Amont
N1 255. R1 2 up 200
N5 255. R5 2 up 150
N7 255. R1 3 up 150
1
2
3
2 2
Groupe
225.20.2.2
Groupe
224.10.1.1
Groupe
224.10.1.1
3
1
CHAPITRE 15

387
La commande suivante permet dactiver DVMRP sur notre routeur R1, qui est un Netbuil-
der de marque 3com. Elle doit tre utilise pour chaque interface grant le trafic multicast.
La commande MIP permet dactiver le protocole IGMP :
setdefault -MIP control = enable
setdefault !1 -DVMRP control = enable

Lorsque plusieurs routeurs coexistent sur le mme rseau local, seul lun deux a la charge
de diffuser les paquets multicasts, afin dviter leur duplication. Comme pour RIP, la route
choisie repose sur le plus petit nombre de sauts (la mtrique). En cas dgalit de mtrique,
le routeur dominant lu est celui qui possde la plus petite adresse IP.
Pour forcer R3 tre le routeur dominant sur le rseau N4, il faut lui attribuer une mtrique
infrieure celle de R4 :
#Routeur R3
setdefault !2 -DVMRP metric = 5
#Routeur R4
setdefault !2 -DVMRP metric = 10

La commande suivante permet de visualiser la table de routage du routeur R4 :
show -dvmrp routetable long

SourceSubnet SubnetMask FromGateway Metric Status TTL InPort OutPorts
200.10.10.0 255.255.255.0 200.20.20.1 2 Up 200 1 2 3*
200.30.30.0 255.255.255.0 1 Up 150 3 1 2
...

La colonne FromGateway indique le routeur le plus proche qui mne la source (un
champ vide indique que le rseau est directement connect au routeur R4).
La colonne InPort (Incoming Port) indique linterface par laquelle arrivent les paquets
multicasts mis par la source prcise dans la colonne SourceSubnet .
La colonne OutPorts (Outgoing Ports) donne la liste des ports vers lesquels seront diffu-
ss par dfaut les paquets multicasts issus de la source indique dans la colonne Source-
Subnet . Un astrisque indique que le port conduit une feuille de larbre, cest--dire
quaucun routeur ne se trouve en dessous.
En plus de la table de routage, le routeur gre une table de diffusion construite lorsque les
premiers paquets multicasts transitent par le routeur. Elle permet denregistrer les groupes
identifis pour chaque rseau source.


388
La commande suivante affiche la table de diffusion pour le routeur R4 :
show -dvmrp forwardtable

SourceSubnet MulticastGroup TTL InPort OutPorts
200.10.10.0 224.10.1.1 200 1 1 2p
200.30.30.0 224.10.1.1 150 3 2p 3
225.20.2.2 200 3 2p 3
...
La colonne MulticastGroup indique la liste des groupes de diffusion des paquets en pro-
venance de la source indique dans la colonne SourceSubnet . Les autres colonnes ont la
mme signification que celles de la table de routage. Lindicateur p (prune) indique
quun message de non-appartenance a t reu ; par consquent, aucun paquet multicast ne
sera envoy vers cette interface. Dans notre cas, cela indique que R3 est dominant.

Figure 15-6.
Routage
d'un paquet
multicast.

Dans notre rseau, le routeur R1 a diffus le paquet multicast vers les interfaces 2 et 3. Il
met alors jour sa table de diffusion. Linterface 3 a par la suite t marque p (pruned)
car le routeur R2 lui a renvoy un rapport de non-appartenance. En effet, ce dernier na d-
tect (via IGMP) aucun membre actif pour le groupe 224.10.1.1.
De mme, le routeur R5 renvoie un message de non-appartenance au routeur R3, qui ne lui
transmettra alors plus aucun paquet pour le groupe 224.10.1.1. Le routeur R3 fait ensuite de
mme vis--vis de R1 et R4.

R1 et R2 ajoutent le groupe
224.10.1.1 leur table de diffusion.
Groupe
225.20.2.2
Groupe
224.10.1.1
R3
Groupe
224.10.1.1
Groupe
225.20.2.2
Un PC met un paquet multicast
destination du groupe 224.10.1.1.
Le 1
er
paquet multicast est diffus par
tous les routeurs sur toutes leurs
R1
R4
N3
R2
R5
Groupe
225.20.2.2
LS
R3 est le routeur
Dominant. Aucun trafic
ne passe par R4 pour
aller vers le rseau N4.
Le routeur R5 na pas de membre
dans le groupe 224.10.1.1. Il envoie
un rapport de non-appartenance
R3. R2 fait de mme.
N2
N4
Rseau Groupe TTL In Out
N1 224.10.1.1 200 1 2, 3p
1
2
3
N1
1
2


CHAPITRE 15

389

LE POINT SUR DVMRP (RFC 1075)
DVMRP (Distance Vector Multicast Routing Protocol) utilise son propre protocole de routage de paquets
multicasts, qui est analogue celui de RIP : les routeurs schangent lintgralit de leurs tables de routage
et calculent les routes sur la base dune mtrique (nombre de sauts en termes de routeurs).
Il existe plusieurs implmentations de DVMRP qui diffrent par lalgorithme utilis pour construire la table de
diffusion : TRPB (Truncated Reverse Path Broadcasting) ou RPM (Reverse Path Multicasting), ce dernier
tant le plus rpandu car plus performant. Les routeurs 3com et le dmon Unix mrouted ( partir de la ver-
sion 3.8) utilisent RPM.
Le principe du TRPB est le suivant : un routeur recevant un paquet multicast par une interface, dont la route
de retour vers l'metteur est la plus courte, le transmet sur toutes les autres interfaces. Les routeurs situs
en aval reoivent donc le paquet. Sils ne disposent daucun membre dclar ni daucun autre routeur en
aval, ils renvoient un rapport de non-appartenance au routeur situ en amont. Ce dernier ne leur transmet-
tra alors plus de paquets multicasts. Afin de tenir compte des changements de topologie, l'arbre RPM est
priodiquement reconstruit (toutes les deux heures sur MBONE).
Si un nouveau membre senregistre sur un des routeurs situs en aval, celui-ci enverra au routeur situ en
amont un message dannulation, pour recevoir nouveau les paquets multicasts destins au groupe en
question.
Le principe du RPM reprend celui du TRPB, mais pousse plus loin la remonte dinformation : un routeur qui
ne dispose pas de membre ni de routeur en aval ayant de membre envoie un rapport de non-appartenance
aux routeurs situs en amont, de sorte que lui-mme ne reoive pas de paquets multicasts. Le rapport peut
ainsi remonter jusqu la source si ncessaire.
Un paquet DVMRP est compos dun en-tte IGMP auquel sont jointes des donnes de longueur variable
(512 octets au maximum) formates sur le mode : Commande, Valeur ou Commande, nombre de va-
leurs, valeur 1, valeur 2, etc. . Lexemple suivant montre un paquet dannonce de la route 194.10.10.0.

Type Sous-type Checksum
Cmde = AFI
Version
Valeur = 255.255.255.0
Valeur = IP Cmde = Mtrique Valeur = 2
Cmde = Intinity Valeur = 6 Cmde = Subnet Compte = 1
Cmde = DA Compte = 1 Valeur = 194.10
.10.0

Le champ Cmde contient le code dune commande qui dtermine la taille et la signification du champ
Valeur. Plusieurs commandes se suivent dans un paquet. Le champ Sous-type dtermine le type de mes-
sage : requte, rponse, rapport de non-appartenance ou annulation dun rapport de non-appartenance.

La commande AFI est toujours prsente : elle indique simplement que la famille dadresses est IP (seul
support). La commande DA indique une adresse destination.

390
Linconvnient de DVMRP est que les paquets multicasts doivent priodiquement tre en-
voys aux routeurs situs en aval pour tenir compte dventuels changements de topologie
ou dappartenance un groupe (pour un groupe donn, les messages dannulation ne remon-
tent que si un multicast a t prcdemment reu et un message de non-appartenance, mis).
Il en rsulte une nouvelle cascade de rapports de non-appartenance ou dannulation remon-
tant vers les routeurs situs en amont.
Sur un rseau, tous les routeurs ne sont pas DVMRP. La mise en place du routage multicast
est, en effet, progressive. En outre, le fait de ne pas installer de routeurs DVMRP partout
permet de dfinir des domaines dans le but de circonscrire la diffusion des paquets multi-
casts.
Pour assurer nanmoins la diffusion des paquets multicasts, il est possible de crer un tunnel
entre deux routeurs DVMRP spars par des routeurs qui ne savent pas router les paquets
multicasts.

Figure 15-7.
Principe
du tunneling
DVMRP.

Sur nos routeurs 3com, la cration du tunnel IP est ralise simplement en indiquant les
adresses des deux routeurs :
#Sur le routeur R3
setdefault !1 -DVMRP mon_tunnel = 194.10.10.1 195.50.5.5

#Sur le routeur R4
setdefault !2 -DVMRP mon_tunnel = 195.50.5.5 194.10.10.1

#Activation de DVMRP sur le tunnel
setdefault mon_tunnel -DVMRP control = enable
Groupe
224.10.1.1
Domaine 1
R3
R1
R2
R5
Groupe
224.10.1.1
Rw1 Rw4
Rw3
R4
Domaine 2
Rw2
Rw3
Pas de multicast sur cette partie du
rseau : les routeurs ne sont pas DVMRP.
Tunnel DVMRP entre R3 et R4 : les
paquets multicast sont encapsuls dans
des paquets unicast et routs laide des
protocoles unicast (RIP, OSPF, etc.).
194.10.10.1
195.50.5.5
CHAPITRE 15

391
Afin dattnuer les effets dun trafic multicast important sur un rseau non dimensionn
pour cela, il est possible den limiter le dbit 64 Kbit/s, par exemple :
# Sur les routeurs R3 et R4
setdefault mon_tunnel dvmrp ratelimit = 64

De mme, il est possible daugmenter la priodicit dchange des tables de routage entre
les deux routeurs (60 secondes par dfaut) :
setdefault -dvmrp updatetime = 120

Enfin, la dure de validit des entres dans la table de diffusion peut galement tre allonge
(dans notre cas, 3 600 secondes) :
setdefault -dvmrp cachetime = 3600

Le routage laide de MOSPF
Le protocole MOSPF (Multicast Open Shortest Path First) est une extension dOSPF per-
mettant de router les paquets IP multicasts. La dtection des membres actifs dun groupe est,
comme toujours, assure par IGMP, mais MOSPF permet aux routeurs de diffuser les grou-
pes auxquels ils appartiennent (cest--dire pour lesquels au moins un membre est actif).
Reprenons lexemple de notre rseau : chaque routeur est configur avec IGMP et MOSPF.
Localement, chaque routeur tablit une liste de tous les groupes pour lesquels il existe un
membre actif sur son (ou ses) interface(s) LAN.
En mme temps, les routeurs schangent des messages dannonce dtat des liens, suivant
en cela le fonctionnement classique dOSPF (voir chapitre 12). Cela leur permet de conna-
tre la topologie du rseau.

Figure 15-8.
Diffusion
d'un paquet
multicast
par MOSPF.

Groupe
225.20.2.2
Groupe
224.10.1.1
Rapport IGMP
Demande IGMP
Chaque routeur ajoute sa table de routage
OSPF, la liste des groupes auxquels
appartiennent les autres routeurs de laire.
Le routeur Demandeur IGMP recense les groupes pour lequel il
a reu des rapports de la part de ses membres. Puis, il envoie
un message MOSPF dannonce aux autres routeurs de laire 1.
R2 R1
R3 R4
R5

392
Ds le premier enregistrement dun membre de groupe via IGMP, les routeurs sont consid-
rs par OSPF comme tant membres du groupe. Ces routeurs schangent alors des messa-
ges dannonce dappartenance un groupe. Tous les routeurs savent dsormais quel routeur
appartient quel groupe.
Sur nos routeurs 3com, lactivation de MOSPF est effectue grce la commande suivante :
#Activation digmp
setdefault -mip control = enable

#Activation de mospf sur chaque interface
setdefault !1 -mospf control = enable
setdefault !2 -mospf control = enable

Le routage des paquets multicasts au sein dune aire est ralis en fonction de la source
(adresse IP unicast de la machine), de la destination (adresse IP multicast du groupe) et du
TOS (Type of Service). Le routeur construit pour cela un arbre SPF (Shortest Path First)
dont tous les routeurs non-membres du groupe indiqu dans le paquet ont t supprims. Cet
arbre est calcul la demande lorsquun paquet multicast arrive sur le routeur.

Figure 15-9.
Calcul de l'arbre
SPF lagu.

Dans cet exemple, il est noter que le routeur Demandeur IGMP doit tre un routeur
MOSPF, seul capable denvoyer des messages dannonce dappartenance un groupe.
Il faut donc affecter une priorit suprieure aux routeurs MOSPF pour quils soient lus rou-
teurs dsigns (au sens OSPF).

R4
N5
Groupe
225.20.2.2
Groupe
224.10.1.1
R3
Groupe
224.10.1.1
Groupe
225.20.2.2
Un PC met un paquet multicast
destination du groupe 224.10.1.1.
Le 1
er
routeur qui reoit le paquet calcule larbre SPF
avec comme racine lui-mme. Larbre est lagu de
tous les routeurs non-membres du groupe 224.10.1.1.
N1
N2
R1
R4
N3
R2
R5
N4
Groupe
224.10.1.1
R1
N2
R3
Le routeur R3 calcule le
mme arbre et route le
paquet en consquence.
R2
N4
R5
LS
N6
R5 fait de mme : tant une
feuille de larbre, il ne route
pas le paquet, mais le
transmet sur son rseau local.
R6
N5
R6
N6
Arbre SPF lagu

CHAPITRE 15

393

LE POINT SUR MOSPF (RFC 1584)

Au sein dune aire (voir encadr Le point sur OSPF ), les routeurs schangent des messages
dannonce dappartenance un groupe, permettant chacun deux de disposer dune visibilit complte
de la topologie du rseau.

Chaque routeur calcule un arbre SPF pour chaque triplet adresse source unicast/adresse destination multi-
cast/TOS (Type of Service). Ce calcul est effectu la demande, cest--dire lorsque le premier paquet mul-
ticast arrive. Larbre ainsi calcul est conserv dans une mmoire cache, puis dtruit au bout dun certain
temps si aucun autre paquet de ce type na t reu.

Larbre est lagu : tous les routeurs qui ne sont pas membres du groupe indiqu dans le paquet sont sup-
prims. Les rseaux terminaux (stub) nont pas besoin dtre pris en compte : la diffusion locale au routeur
est, en effet, assure par IGMP.

Un chemin multicast est donc calcul en construisant un arbre lagu du plus court chemin dont la racine
est lmetteur du paquet (la RFC emploie lexpression : pruned shortest-path tree rooted at the packet's IP
source ).
Pour la diffusion des appartenances un groupe, un nouveau paquet dannonce a t ajout : group-
membership-LSA.

Options Link State Age
Link State ID = adresse multicast du groupe
Type = 6
Advertising router
LS sequence number
Checksum Longueur
Vertex ID
Longueur du Vertex

Par ailleurs, les modifications suivantes ont t apportes OSPF :
Le champ Option des paquets Hello, Description de la base et Annonce dtat de lien contient un nou-
vel indicateur, le bit MC, qui indique si le routeur prend en charge lextension multicast dOSPF (MOSPF).
Le champ Rtype des paquets dannonce dtat de liens contient un nouvel indicateur, le bit W, qui indi-
que si le routeur accepte ou non les multicasts provenant de nimporte quelle source.

394
Un routeur calcule autant darbres quil y a de participants une confrence, et calcule au-
tant de variantes de cet arbre quil y a de groupes destinataires. La prise en compte du TOS
augmente encore le nombre de combinaisons.
Le nombre darbres peut donc tre trs important. Cest pour cette raison quils sont calculs
la demande et que le rsultat est conserv en mmoire cache. Cela implique galement
que, plus le nombre de machines et de groupes est lev, plus la CPU des routeurs est solli-
cite pour calculer les arbres.
Le rsultat du calcul dun arbre est conserv aussi longtemps quun trafic entre le couple
dadresses IP unicast source/multicast destination existe, et jusqu ce quun changement de
topologie intervienne. La taille mmoire requise est donc plus importante par rapport un
routeur OSPF classique (14 20 octets par triplet adresses source/groupe/TOS).
Le dimensionnement mmoire/CPU dpend du constructeur du routeur (architecture et puis-
sance), de limportance du rseau (nombre de machines multicasts et nombre de groupes)
ainsi que des performances vises (utilisation intensive ou non des tlconfrences, utilisa-
tion du rseau dautres fins que le multimdia, etc.).
Il est galement recommand de limiter le nombre de TOS, voire de ne pas activer cette
fonctionnalit, afin de limiter le nombre de combinaisons darbres SPF.
La diffusion des paquets multicasts entre aires et systmes autonomes utilise le principe ap-
pel Multicast Forwader : les routeurs de bordure et les routeurs inter-AS dclars comme
tels ne sont jamais supprims des arbres SPF. En consquence, tous les paquets multicasts
leur seront envoys. De leur ct, ces routeurs calculent un arbre SPF pour chaque aire (ou
AS) laquelle ils sont rattachs.

Figure 15-10.
Routage
des paquets multicast
entre aires.

Groupe
224.10.1.1
Le routeur R1 diffuse des annonces de
groupe sur la backbone area (aire 0).
Aire 1
R
R
R
R
Groupe
224.10.1.1
R1 R2
R3
R
Aire 2
Le routeur Forwarder R3 envoie le
paquet au routeur R1 qui le diffuse
ensuite dans son aire .
Le paquet multicast est diffus
tous les routeurs de laire 2 qui ont
dclar des membres actifs dans
le groupe 224.10.1.1 ainsi quau
routeur de bordure R3 dclar
Forwarder MOSPF.
Backbone area


CHAPITRE 15

395
Les annonces dappartenance un groupe sont diffuses au sein de laire 0 (backbone area)
par tous les routeurs de bordure. Tous les routeurs participant la backbone area connaissent
donc tous les groupes prsents au sein du systme autonome. Les informations provenant de
la backbone area ne sont cependant pas transmises aux autres aires. Seuls les Forwarders
conservent ces informations.
Larchitecture et le dimensionnement des rseaux constituant la backbone area sont donc
trs importants. Il faut tenir compte du nombre de postes de travail et de leur rpartition en-
tre les aires. Laire backbone concentre, en effet, la somme des flux circulant dans chacune
des aires o les groupes sont actifs. Dans la mesure du possible, il est donc conseill de limi-
ter le nombre daires ou bien de rpartir des groupes entre plusieurs aires.

La configuration pour dclarer Forwarder un routeur de bordure 3com est la suivante :
SETDefault -MOSPF MABR = Enable
Le mot cl MABR signifie Multicast Area Border Router.
Le principe est identique pour le routage entre systmes autonomes : un routeur frontire est
dsign Forwarder de systme autonome, et reoit tous les paquets multicasts circulant au
sein du systme autonome (et non plus seulement au sein dune aire). La diffrence est im-
portante, car la concentration de trafic est encore plus prononce et les routeurs de ce type
sont encore plus sollicits que les autres. Il est donc conseill de ddier un routeur frontire
de systme autonome cette seule tche et de le relier un rseau haut dbit.

Comme il a t mentionn au chapitre 12, OSPF ne permet pas de router les paquets entre
AS. Il faut lui adjoindre un protocole de routage extrieur, tel que BGP4. Dans le cadre dun
rseau multicast, cest DVMRP qui se charge de cette tche au niveau des routeurs
frontire.

Figure 15-11.
Routage DVMRP
entre systmes
autonomes.

Groupe
224.10.1.1
AS 1
RF1
R
R
R
Groupe
224.10.1.1
R1 R2
R3
RF2
AS 2
Domaine DVMRP
Rseaux 220.10.0.0
220.10.255.0
Rseaux 220.20.0.0
220.20.255.0
DVMRP se charge du
routage entre les systmes
autonomes.
Les routes MOSPF sont
redistribues dans les
tables de routage DVMRP
et inversement.

396
La configuration suivante doit donc tre effectue sur nos routeurs frontire RF1 et RF3 (ici,
lexemple concerne RF1) :
#Active la diffusion des routes MOSPF dans DVMRP
add -dvmrp mospf 220.10.0.0/16 aggregate 1
#Active le routage dospf vers dvmrp
setdefault -dvmrp policycontrol = mospf

#Active la diffusion des routes DVMRP dans ospf
add -mospf dvmrp 220.20.0.0/16 aggregate 5
#Active le routage de dvmrp vers ospf
setdefault -mospf policycontrol = dvmrp
Loption Aggregate permet de diffuser une seule route pour les routes comprises entre
220.10.0.0 et 220.10.255.0 au lieu de diffuser 256 routes.
Le systme permet de mler des routeurs OSPF et MOSPF. Cependant, aucune machine si-
tue derrire un routeur OSPF ne recevra les messages multicasts. Il doit donc y avoir conti-
nuit des routeurs MOSPF tout au long des routes menant vers les machines multicasts.
linverse de DVMRP, le tunneling nest, en effet, pas support.
De plus, il faut toujours que le routeur dsign sur un rseau local soit un routeur MOSPF,
sinon les requtes IGMP nalimenteront pas le protocole de routage multicast. Pour cela, il
faut assigner une priorit suprieure aux routeurs OSPF galement configurs en MOSPF.

Le routage laide de PIM
Comme indiqu aux paragraphes prcdents, le protocole MOSPF et encore moins
DVMRP nest pas adapt pour de grands rseaux, et notamment Internet (plusieurs di-
zaines de milliers daires et de systmes autonomes).
Pour rsoudre ce problme, lIETF a dfini le protocole PIM (Protocol Independent Multi-
cast) qui, comme son nom le laisse penser, est indpendant du protocole de routage unicast
utilis. PIM fonctionne, en effet, avec RIP, OSPF, BGP, et mme DVMRP.
PIM utilise deux modes de fonctionnement :
dense (densit leve), qui est adapt des rseaux haut dbit et des situations o les
membres de groupes sont gographiquement proches ;
sparse (clairsem), qui correspond aux cas de figures o les rseaux ont de plus faibles
dbits et o les membres de groupes sont trs disperss.
Un routeur PIM bascule dun mode lautre indpendamment de chaque groupe.
Le mode dense (PIM-DM) fonctionne de manire identique DVMRP (algorithme reverse
path flooding) sans toutefois utiliser un protocole de routage multicast ddi ; il utilise les
protocoles de routage unicast en place (RIP, OSPF, etc.), dou le nom de Protocol Inde-
pendant . PIM-DM ne fait pas encore lobjet dune RFC.
CHAPITRE 15

397
Le mode sparse (PIM-SM) ncessite de convenir dun routeur qui tienne lieu de point de
rendez-vous pour chaque groupe. Un routeur peut tre le point de rendez-vous pour plu-
sieurs groupes. Il peut exister plusieurs points de rendez-vous pour un groupe, mais un seul
doit tre actif un moment donn.

Principe de PIM-SM
Pour un couple rseau source/groupe multicast, un routeur PIM-SM bascule entre deux algo-
rithmes de routage : un dont le chemin passe par le point de rendez-vous, et un second qui
bnficie dun chemin direct entre la source et la destination. Pour le premier, le calcul de la
route stablit partir dun arbre partag dont la racine est le point de rendez-vous (Rendez-
vous Point shared tree). Pour le second, ce calcul se fonde sur un arbre du plus court chemin
dont la racine est la source dmission du paquet multicast (source shortest path tree).
Si plusieurs routeurs sont connects au mme rseau local, celui dont ladresse IP est la plus
leve sera lu routeur dsign et aura charge denvoyer et de recevoir les messages
Join/Prune. Pour dcouvrir ses voisins, un routeur met priodiquement un message Hello
dont la priodicit par dfaut est de 30 secondes :
ip pim query-interval 30

Tous les routeurs dsigns dont les membres actifs appartiennent un mme groupe
senregistrent auprs du mme routeur, appel point de rendez-vous (RP). Les routeurs in-
termdiaires enregistrent galement cette information et font de mme auprs du RP. Ce
dernier peut donc calculer un arbre de routage pour un couple adresse rseau source/adresse
multicast de groupe. En dfinitive, le RP connat tous les rseaux sources susceptibles
dmettre et de recevoir des paquets multicasts au sein dun groupe donn.
Pour terminer cette introduction, plusieurs routeurs peuvent tre candidats llection du
point de rendez-vous. Lun deux est lu routeur bootstrap ; il est charg de dsigner le RP
actif pour chaque groupe. Il en rsulte de nouveaux messages dannonce entre les RP.

Principe du calcul des routes
Un routeur PIM-SM ayant enregistr (via IGMP) des membres dun ou plusieurs groupes
envoie priodiquement un message Join/Prune (joindre/laguer) au point de rendez-vous RP.
Chaque routeur charg de transporter ce message se trouvant sur le chemin enregistre les
mmes informations : le groupe, la source (ladresse du rseau sur lequel ont t identifis
les membres du groupe) et linterface dentre du message Join/Prune.
Un message Join/Prune contient, pour chaque adresse de groupe (multicast), la liste des
adresses sources incluses dans larbre de routage (joined, qui ont rejoint larbre) et de celles
qui ne le sont pas (pruned, lagues de larbre).
Un routeur met un message Join/Prune vers un routeur situ en amont (en direction de la
racine de larbre). Il indique par l quil fait partie de larbre de routage pour les paquets
multicasts du groupe G mis par la source S.

398
En retour, un routeur diffuse les paquets multicasts uniquement vers les interfaces partir
desquelles des messages Join/Prune ont t reus (et qui correspondent un couple adresse
source unicast/groupe multicast).

Figure 15-12.
Calcul des routes par le routeur
point de rendez-vous.

Les commandes suivantes permettent dactiver PIM sur nos routeurs Cisco :
ip multicast-routing
ip pim sparse-dense-mode

Aucune autre configuration nest requise pour les routeurs intermdiaires et le routeur point
de rendez-vous.
En revanche, tous les routeurs susceptibles denregistrer des membres de groupe doivent
pointer vers le routeur point de rendez-vous :
access-list 1 permit 224.10.1.1
access-list 1 permit 222.20.2.2
ip pim rp-address 220.20.20.6 1

Laccess-list 1 prcise la liste des groupes pour lesquels le routeur 220.20.20.6 sera lu point
de rendez-vous.

Groupe
225.20.2.2
Groupe
224.10.1.1
R3
R1
R4
N7
R5
Groupe
224.10.1.1
LS
R2
R6
Rapport IGMP
Demande IGMP
Join/Prune
Routeur Point de
Rendez-vous pour le
groupe 224.10.1.1
Tous les routeurs qui ont des membres actifs pour le groupe
224.10.1.1 se signalent auprs du Point de Rendez-vous.
Les routeurs intermdiaires conservent cette
information et senregistrent galement
auprs du Point de Rendez-vous.
Join/Prune
Groupe Source Interface
224.10.1.1 194.10.10.1 s0
225.20.2.2 194.10.10.1 s0

CHAPITRE 15

399
Principe du routage
Le premier paquet multicast mis par un PC est envoy dans un paquet multicast IP qui est
pris en charge par le routeur PIM-SM dsign. Celui-ci encapsule ce paquet dans un paquet
unicast destination du RP. Le RP dcapsule ce paquet et lenvoie tel quel (donc sous forme
multicast) aux membres du groupe (les routeurs qui se sont dclars).

Figure 15-13.
Principe
du routage
PIM-SM.

Tous les messages passent donc par le RP, ce qui nest pas forcment une route optimale.
Si le trafic multicast persiste, un routeur (la source, la destination ou le RP) peut alors dci-
der que le flux emprunte un chemin direct entre la source et la destination. Les routeurs
concerns basculent alors dun arbre de routage dont la racine est le RP vers un arbre du
plus court chemin dont la racine est la source.
Dans notre rseau, le routeur R1 cre la table de routage suivante :
Router4# show ip pim interface
Address Interface Mode Neighbor Query DR
Count Interval
220.20.20.6 Ethernet0 sparse 2 30 220.20.20.6
197.10.10.0 serial0 sparse 1 10 0.0.0.0
La colonne Address indique ladresse du routeur vers lequel envoyer les paquets router via
linterface spcifie dans la colonne Interface.
La colonne Neighbor count indique le nombre de voisins dcouverts sur cette interface.
La colonne DR indique ladresse du routeur dsign.
Routage sur les liaisons WAN
Sur Ethernet, le paquet IP multicast est envoy dans une trame Ethernet multicast. Mais, sur
les rseaux qui noffrent par cette fonction (X.25, Frame Relay, ATM, etc.), seules des tra-
mes unicasts peuvent tre envoyes.

Groupe
225.20.2.2
Groupe
224.10.1.1
R3
R1
R4
R5
Groupe
224.10.1.1
R2
R6
Paquet multicast
Demande IGMP
Paquet unicast
Le routeur Point de Rendez-
vous dcapsule le paquet
multicast et lenvoie aux
autres membres du groupe.
Les premiers paquets multicasts
sont encapsuls dans des
paquets unicasts pour tre pris
en charge par le routeur Point
de Rendez-vous.
Paquet multicast

400

LE POINT SUR PIM-SM (RFC 2362)

Un routeur source qui reoit des rapports IGMP indiquant que des membres du groupe G sont actifs ajoute
une route (*, G) vers le routeur point de rendez-vous pour le groupe ; il lui envoie alors priodiquement un
message Join/Prune (joindre/laguer). Tous les routeurs situs sur le chemin qui relie ces deux routeurs
ajoutent la mme route (*,G) en notant ladresse du rseau source et linterface dentre, puis envoient un
message Join/Prune au routeur point de rendez-vous. Ce dernier connat donc le chemin le reliant au rou-
teur source qui dclare que des membres du groupe G sont actifs. Les routeurs ont donc rejoint un arbre
partag qui a comme racine le routeur point de rendez-vous (RP shared tree).
Un routeur source ayant pris en charge un paquet multicast lencapsule dans un paquet unicast, puis
lenvoie au routeur point de rendez-vous, qui le dcapsule et le renvoie vers tous les routeurs sources d-
clars (qui sont ici des routeurs destinations) et ayant rejoint larbre partag.
Au bout dun moment, un routeur (source, destination ou point de rendez-vous) peut dcider de quitter
larbre partag afin que les paquets multicasts soient changs directement sans passer par le routeur point
de rendez-vous. Il envoie alors un message Join/Prune au point de rendez-vous pour quitter larbre partag,
et un autre la source pour rejoindre larbre du plus court chemin (SPT, Shortest Path Tree dont la
racine est la source) pour le couple routeur source S/groupe G. Tous les routeurs situs sur le chemin rou-
teur source-routeur destination ajoutent la route (S,G) dans leur table de routage.
Le basculement vers le SPT sopre lorsque le flux multicast est suffisamment important et de longue dure
(en fait, au bout de quelques secondes).
Les messages Join/Prune contiennent, pour chaque groupe, la liste des sources (routeurs ou rseau) ap-
partenant larbre et celles qui en sont lagues.
Type Longueur adresse Checksum Version
Adresse du routeur upstream
Rserv Nombre de groupes Dure de vie de ltat Join/Prune
1
re
adresse multicast de groupe
Nombre de sources lagues Nombre de sources dans larbre
Adresse de la source 1 ayant rejoint larbre (Join)
Adresse de la source 1 lague (Prune)
2me adresse multicast de groupe

Le champ Nombre de groupes indique le nombre de groupes dcrits dans le message (nots 1, 2, etc.).
Le champ Adresse de la source indique que le routeur transmettra (ou non, sil est dans ltat Prune) un
paquet multicast issu de cette source sil provient de linterface par laquelle il envoie ce message
Join/Prune. Une adresse source peut tre celle dun routeur, dun rseau ou dun agrgat de rseaux.
Les routeurs diffusent les paquets multicasts uniquement vers les interfaces par lesquelles sont entrs des
messages Join/Prune. Par ce biais, chaque routeur connat la topologie du rseau et calcule un arbre de
routage (soit partag, soit du plus court chemin) pour chaque couple Source/Groupe. Les routeurs
schangent, par ailleurs, des messages Hello pour dcouvrir leurs voisins.
Les messages PIM sont envoys dans des paquets unicasts (Register et Register-stop) et multicasts
224.0.0.13 (Hello, etc.) en utilisant le protocole n 103 au-dessus dIP.
CHAPITRE 15

401
Lactivation du mode NBMA (NonBroadcast MultiAccess) permet au routeur de garder une
trace des adresses IP qui mettent les messages PIM Join arrivant par lintermdiaire de
linterface WAN. Les paquets multicasts devant ainsi tre diffuss vers cette interface seront
dupliqus en autant de paquets encapsuls dans des trames unicasts.
Cest notamment le cas sur les interfaces srie de nos routeurs R1 et R2 :
int s 0
ip pim nbma-mode
Il est noter que le mode NBMA consomme de la mmoire puisquil garde trace de toutes
les adresses IP sources arrivant par lintermdiaire de linterface WAN.
De mme, le mode source shortest path tree requiert davantage de mmoire que le mode RP
shared tree. En revanche, il rduit la charge rseau et optimise le chemin (il nest plus be-
soin de passer par le RP).
Les routeurs Cisco basculent du mode shared vers le mode shortest path ds le premier pa-
quet mis. Cependant, il est possible de nactiver le basculement qu partir dun certain d-
bit constat, en dautres termes, quand cela en vaut la peine.
ip pim spt-threshold 64 group-list 1
La commande prcdente indique que le basculement soprera lorsque le flux multicast au-
ra atteint 64 Kbit/s pour les groupes figurant dans laccess-list 1.
Quel protocole choisir ?
Pour lenregistrement des membres dun groupe auprs dun routeur, IGMP est incontour-
nable. Les informations collectes sont ensuite utilises par les protocoles de routage multi-
cast.
Trois protocoles de routage multicast sont proposs : trois solutions, trois approches
diffrentes.

Critre DVMRP MOSPF PIM
Mise jour des tables
de routage
Diffusion priodique de
lintgralit des tables
Diffusion des modifications
par messages dannonce
Centralise au niveau du
point de rendez-vous (PR)
Diffusion
du premier paquet
Inondation du premier paquet Rout directement vers les
membres du groupe
Encapsul dans un paquet
unicast vers le PR, puis redif-
fus par le PR
Calcul du meilleur chemin
(arbre SPT) pour le couple
Source/Groupe
Par lagage des routeurs ne
dsirant pas recevoir le pa-
quet
la demande, par tous les
routeurs recevant le premier
paquet
Par remonte de messages
Join/Prune de proche en
proche jusqu la source
Protocole de routage
DVMRP MOSPF s appuie sur OSPF Sappuie sur les protocoles
existants (RIP, OSPF, etc.)
Tunneling entre routeurs
non multicasts
Oui Non : les routeurs MOSPF
doivent tre contigus
Oui

402
DVMRP est le protocole le plus ancien et le moins performant (il prsente les mmes d-
fauts que RIP). Linondation rgulire des paquets multicasts ainsi que la diffusion priodi-
que des tables de routage ne font pas de DVMRP un protocole adapt aux grands rseaux.
MOSPF est le protocole le plus performant au sein dune aire ; il est relativement perfor-
mant entre aires. Entre systmes autonomes, lusage de DVMRP est requis pour le multicast
(en plus de BGP pour lunicast), ce qui peut prsenter quelques inconvnients.
PIM est adapt aux grands rseaux et notamment Internet, l o les membres dun mme
groupe sont trs disperss. Dans un petit rseau, cet avantage se transforme en inconvnient,
car le routeur de point de rendez-vous nest pas obligatoirement situ sur le meilleur chemin
( moins que le rseau soit trs centralis).

Dautres considrations, non techniques, entrent en jeu :
Les RFC de DVMRP (date de 1988) et de PIM (date de 1998) nen sont quau stade
exprimental, alors que celle de MOSPF (date de 1994) en est ltat de proposition
de standard.
Cependant, Cisco, le principal fournisseur de routeurs sur Internet, ne prend en charge
que PIM, et pour cause : les ingnieurs de la socit ont particip son laboration mais
pas celle de MOSPF.
En outre, DVMRP est le plus rpandu au sein de MBONE (Multicast Backbone, une
portion dInternet exprimentant le multicast). Son utilisation est donc requise, au
moins sur le routeur de frontire utilis en interconnexion avec ce rseau.

En conclusion :
Si vos routeurs sont de marque Cisco, PIM est le seul choix possible.
Si votre rseau fonctionne avec OSPF et ne comprend pas de routeurs Cisco, le choix de
MOSPF va de soi.
Utilisez DVMRP entre les systmes autonomes et pour vous raccorder MBONE.

Ltape suivante consiste dfinir larchitecture la mieux adapte au protocole choisi, afin
de limiter le trafic gnr par les routeurs.
Si plusieurs routeurs sont prsents sur le mme rseau local, il faut dterminer quel est le
meilleur candidat llection du Demandeur. Le processus dlection dpend du protocole
de routage activ. Pour les routeurs DVMRP, le routeur Demandeur IGMP est celui qui a la
plus petite adresse IP ou celui dont la mtrique est la plus faible. Pour les routeurs MOSPF,
il sagit du routeur dsign OSPF (celui dont la priorit est la plus basse), tandis que pour
PIM, il sagit de celui dont ladresse IP est la plus haute.

CHAPITRE 15

403
Architecture adapte au protocole DVMRP
Il existe peu de solutions pour optimiser les flux DVMRP, si ce nest lemploi dun rseau
centralis autour dun rseau fdrateur.

Figure 15-14.
Optimisation
des flux DVMRP.

On le voit, DVMRP est adapt un rseau localis sur un site ou un campus avec un rseau
fdrateur haut dbit.

Architecture adapte au protocole MOSPF
Le routage au sein des aires est bien contrl par MOSPF. Entre les aires, le routeur de bor-
dure dsign Forwarder reoit tous les flux multicasts ; il doit donc tre positionn sur un r-
seau fdrateur haut dbit.

Figure 15-15.
Optimisation
des flux MOSPF.

R3
Rseau fdrateur
Tous les routeurs schangent
priodiquement leur tables de routage.
Les flux multicast sont routs directement entre
les routeurs en gnrant un minimum de flux.
RP
R1
R2

R
Aire 1
RB1 na pas dtect de groupe ailleurs. Le
paquet nest pas diffus sur la backbone area.
R
Rseau fdrateur
R
Les flux OSPF sont optimiss
au sein dune aire, mme sur
un rseau compliqu.
Au sein de la backbone area,
les adresses des groupes
actifs dans chaque aire sont
changes.
R
R
R
R
R
R
Tous les flux multicast sont dirigs vers le
routeur de bordure dsign Forwarder dans
le cas o il y a un membre du groupe ailleurs.
Backbone area
Rb1
Rb2
Rb3

404
MOSPF est adapt aux grands rseaux mais limit un seul systme autonome. En effet, la
concentration des flux entre AS est encore augmente, limage de la concentration sur la
backbone area.

Figure 15-16.
Optimisation des flux
entre systmes autonomes.

Entre systmes autonomes, DVMRP doit tre configur en point point, ou en multipoint
sur un rseau fdrateur haut dbit, et ce afin doptimiser le flux multicast.
Afin de limiter la taille des tables de routage, les routes redistribues entre DVMRP et
MOSPF doivent tre agrges. Les adresses rseau doivent donc tre contigus au sein dun
systme autonome (voir chapitre 12).

Architecture adapte au protocole PIM
Le routeur point de rendez-vous de PIM doit tre situ au centre du rseau, afin doptimiser
la route des premiers paquets multicasts.

Figure 15-17.
Optimisation
des flux PIM.

AS 1 Rb1
Rb2
Rb3
Rb6
Rb5
Rb4
Si possible, deux rseaux
fdrateurs haut dbit
RF2
RF1
RF2
AS 2
AS 3
DVMRP entre les
routeurs frontire
RP
Rseau fdrateur
Le RP est bien situ : il peut redistribuer
directement le paquet multicast.
Le premier paquet multicast est encapsul
dans un paquet unicast destination du RP.
RP
Rseau fdrateur
Routage selon larbre partag
dont le RP est la source.
Les paquets multicast suivants sont routs
directement vers leurs destinations
Les routeurs ont rejoint larbre du
meilleur chemin dont R3 est la source.
R2
R1
R3
R1
R3
R2
CHAPITRE 15

405
Si les membres dun groupe sont rpartis entre plusieurs sites, la meilleure position du RP se
situe sur un routeur WAN.

Figure 15-18.
Flux PIM
sur un rseau intersite.

Il est conseill de paramtrer les routeurs PIM pour basculer rapidement vers larbre du
meilleur chemin, afin de ne plus passer inutilement par le RP. Les routeurs Cisco basculent
ds le premier paquet : la commande ip pim spt-threshold ne doit donc pas tre utilise. Le
revers de la mdaille est un basculement inutile si le flux multicast est sporadique, ce qui en-
trane une plus grande consommation de bande passante rseau (pour les messages
Join/Prune) et de ressources CPU sur tous les routeurs qui calculent le nouvel arbre du meil-
leur chemin. En outre, ce dernier utilise beaucoup de ressources mmoire, dautant plus
quun arbre par couple adresse source/adresse de groupe est ncessaire.
Par ailleurs, des messages Bootstrap circulent entre les routeurs point de rendez-vous, ajou-
tant encore des flux de gestion propres PIM.
Tout est donc affaire de dosage en fonction du nombre dutilisateurs et du type de trafic. Du
fait de la complexit du protocole PIM, la conception de larchitecture rseau nen est que
plus difficile.
Contrler la diffusion sur son rseau
Les flux multicasts, tels que la vido, peuvent gnrer un volume de donnes important.
Afin de contrler ces flux, il est possible de filtrer les groupes multicasts sur chaque inter-
face. Cela vite galement de voir fleurir des groupes un peu partout sans que
ladministrateur nen soit tenu inform.
access-list 90 225.20.2.2 0.0.0.0
access-list 90 224.10.1.1 0.0.0.0
ip igmp access-group 90
Laccess-list 90 contient la liste des adresses de groupe qui seront autorises tre diffuses
sur linterface Ethernet 0.
Rw2 RP
Rw3
R
Rseau fdrateur
Liaison WAN
haut dbit
Le flux des premiers paquets
multicast nest pas optimis,
surtout si le RP est loin et que
les membres sont proches.
R
R
Rseau fdrateur
R
Si tous les membres de
ce groupe sont sur ce
site, il est recommand
de ddier un RP
localement.
Le premier paquet multicast est encapsul
dans un paquet unicast destination du RP.
R
R
R
RP

406
Il est galement intressant de contrler le dbit gnr par les membres dun groupe, pour
ne pas pnaliser les autres applications et, galement, pour ne pas inonder votre rseau.

Figure 15-19.
Contrle du trafic multicast.

Dans cet exemple, les membres indiqus dans laccess-list 90 et qui mettent au sein des
groupes prciss dans laccess-list 80 sont limits un dbit de 64 Kbit/s sur la liaison
WAN. Cette limite peut tre positionne en entre (in) ou en sortie (out) de linterface.
interface serial 1
ip multicast rate-limit out group-list 80 source-list 90 64
ip multicast rate-limit in group-list 80 source-list 90 64

Dans lexemple prcdent, tous les multicasts issus du rseau 194.10.10.0 seront limits
64 Kbit/s, laissant une bande passante de 64 Kbit/s disponible pour les autres applications.
Reprenons lexemple de notre rseau intersite.

Figure 15-20.
Contrler
la diffusion.

Groupe
224.10.1.1
194.10.10.0
Routeur 2
Limitation du trafic
multicast transitant
sur le lien WAN
Routeur 1
LS 128 Kbps
Groupe
224.10.1.1
Groupe
224.10.1.1
Domaine 1
R3
R1
R2
R
Groupe
225.20.2.2
Rw1 Rw2
Rw3
R
Domaine 2
Avec DVMRP, les paquets
multicast sont rgulirement
propags travers tous le rseau,
mme l o il ny a pas de groupe.
Domaine 3
CHAPITRE 15

407
Si DVMRP est utilis, tous les premiers paquets multicasts mis par une source pour un
groupe donn sont diffuss travers lensemble du rseau (tant quil y a des routeurs
DVMRP). Comme on la vu, DVMRP est oblig de rpter cette procdure rgulirement
afin de tenir compte des changements de topologie et dappartenance un groupe.
Cest galement le cas de MOSPF, dans la backbone area, et de PIM, au niveau des rseaux
auxquels est connect le routeur point de rendez-vous.
Les routeurs permettent de limiter la propagation de ces paquets en contrlant leur TTL
(Time To Live). Ce mcanisme impose quun paquet IP ne soit pas rout si son TTL est gal
1. Le mcanisme propos permet de dfinir un seuil suprieur en dessous duquel le paquet
ne sera pas rout.

Figure 15-21.
Limitation de la diffusion
des paquets.

Seuls les paquets dont le TTL est suprieur au seuil de 32 seront routs par les routeurs Rw1
et Rw3 sur leur interface srie 3. La commande Cisco est la suivante :
int s3
ip multicast ttl-threshold 32

En positionnant diffrents seuils certains points stratgiques du rseau, il est possible de
dfinir des domaines de diffusion. On peut ainsi limiter la porte du point de rendez-vous
PIM ou la propagation des paquets via des routeurs DVMRP.
3
2
3
1
Groupe
224.10.1.1
Domaine 1
R3
R1
R2
R
Groupe
225.20.2.2
Rw1 Rw2
Rw3
R
Domaine 2
Un PC met des paquets
multicast avec un TTL
par dfaut gal 1.
TTL=1
TTL=5
TTL=6
Domaine 3
TTL=4
Le routeur R1 diffuse le paquet
multicast avec un TTL calcul en
fonction des tables de routage.
Chaque routeur acheminant le
paquet dcrmente le TTL de 1.
Le seuil de TTL tant 32 sur
linterface 3, le paquet est jet.
Idem : seuil TTL 32.
La valeur par dfaut est 0

408
Par exemple, MBONE utilise la convention suivante :

TTL Primtre
0 Restreint la machine (paquet boucle en local)
1 Restreint au mme rseau local
32 Site
64 Rgion
128 Continent
255 Pas de restriction de diffusion
Des mcanismes propres IGMP sont galement prvus pour limiter le trafic local :
Les rapports sont envoys avec un TTL = 1, ce qui permet de supprimer le paquet
rapidement : le rapport est cens tre adress uniquement au routeur du rseau local.
Les rapports sont envoys un un pour chaque groupe dappartenance, avec un
intervalle de temps alatoire.
Au niveau du routeur, les temporisateurs (timers) sont arms indpendamment pour
chaque groupe identifi.
Les groupes de paquets compris entre 224.0.0.0. et 224.0.0.255 ne sont jamais routs : de
tels paquets transitent dune machine vers un routeur, dun routeur vers un autre routeur, et
ce quelle que soit la valeur du TTL (en principe gale 1).
Limiter les flux multicasts sur le rseau local
Une fois arrivs sur le rseau local, les flux multicasts sont diffuss par tous les commuta-
teurs sur lensemble de leurs ports. Afin de limiter ces flux aux seuls ports connectant des
PC abonns, la norme 802.d spcifie le protocole GMRP (GARP Multicast Registration
Protocol).
Les deux attributs changs par les GID via le protocole GIP (cf. chapitre 3) sont ladresse
MAC multicast sur 48 bits ainsi quun type de service permettant au routeur dindiquer vou-
loir recevoir tous les flux multicasts enregistrs ou non.
Lactivation du protocole se ralise simplement comme suit :
set gmrp enable
set gmrp fwdall enable 1/1
La deuxime commande demande au commutateur de raliser une copie de tout le trafic
multicast sur le port 1/1, sur lequel est connect un routeur ne supportant pas GMRP.
Certains constructeurs implmentent un protocole propritaire, fonctionnellement quivalent
GMRP, sous le libell IGMP snooping. Avec ce protocole, le commutateur est lcoute
des requtes IGMP (il opre donc une analyse au niveau 3), ce qui lui permet dactiver ou de
bloquer les adresses MAC multicasts correspondantes. Dans la mesure du possible, le proto-
cole GMRP doit lui tre prfr.
16
La tlphonie
et la vido sur IP

On entend souvent la conversation suivante entre un sceptique et un convaincu propos de
la tlphonie sur IP :
Est-ce que a marche ?
Oui.
Mais, est-ce que a marche bien ? Est-ce que la qualit de service est bonne ?
La rponse est : oui, a marche, et mme trs bien !

Maintenant que vous avez prpar votre rseau au multimdia, vous pouvez, en effet, mettre
en place des solutions de tlphonie et de visioconfrence.

interconnecter des PABX via IP ;
raccorder un VoIP au rseau tlphonique classique ;
le fonctionnement des protocoles multimdias.

Les protocoles H.323 de lITU-T sont ici expliqus dans le dtail, car tous les produits du
march reposent sur cette norme. Mais, lavenir, cette dernire pourrait tre remplace par
son concurrent SIP (Session Initiation Protocol RFC 2543) promu par lIETF. Les deux
normes pourraient ventuellement cohabiter, SIP se posant en interface applicative, donc de
plus haut niveau que H.323.

H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

410
Prsentation des protocoles multimdias
Historiquement le premier, le RTC (rseau tlphonique commut) est le rseau quutilise
toujours notre bon vieux tlphone. La version numrique de celui-ci, le RNIS (rseau nu-
mrique intgration de service), est venue sajouter par la suite.
Lvolution des technologies a ensuite permis denvisager dautres supports pour transporter
la voix : ATM, Frame Relay et, aujourdhui, les rseaux IP (votre intranet et Internet). Tou-
jours grce lvolution des technologies, il est ensuite devenu possible dy ajouter limage,
la vido et le partage de donnes.
Accompagnant le mouvement, les normes H.32x de lITU-T (International Telecommunica-
tion Union Telecommunication Standardization Sector), sur lesquelles reposent le RTC et
le RNIS, ont t adaptes ces nouveaux supports de transmission et aux nouveaux besoins
multimdias. Cette continuit dans la standardisation des protocoles tlphoniques permet
ainsi dassurer une cohabitation et une transition en douceur.

Rseau Caractristiques
du rseau
Norme ITU-T
RNIS
(rseau numrique
intgration de service)
Commutation de circuit
Voix numrique
H.320
ATM
(Asynchronous Transfer Mode)
Commutation de cellules
Voix numrique
H.321
Rseaux WAN
avec qualit de service
Frame Relay
Voix numrique
H.322
Rseau VoIP
(Voice over Internet Protocols)
Commutation de paquets IP
Voix numrique
H.323
RTC
(rseau tlphonique commut)
Commutation de circuit
Voix analogique
H.324

Ces normes dcrivent un cadre gnral de fonctionnement et prconisent lutilisation
dautres normes de lITU-T et de lIETF (Internet Engineering Task Force) en fonction du
support de transmission (IP, RTC, RNIS, etc.). Elles dcrivent les codages audio et vido,
ladaptation au support de transmission, la signalisation, etc.

La tlphonie et la vido sur IP
CHAPITRE 16

411
H.320 H.321 H.322 H.323 H.324
Rseau RNIS ATM WAN QoS VoIP RTC
Codec vido H.261
H.263
H.261
H.263
H.261
H.263
H.261
H.263
H.261
H.263
Codec audio G.711
G.722
G.728
G.711
G.722
G.728
G.711
G.722
G.728
G.711
G.722
G.728
G.723
G.729
G.723
Adaptation H.221 H.222 H.221 H.225 H.223
Signalisation H.242
H.230
H.242 H.242
H.230
H.245
H.225
H.245
Confrences
multipoint
H.231
H.243
H.231
H.243
H.231
H.243
H.323
Donnes T.120 T.120 T.120 T.120
Couche
de transport
I.400 I.363
AAL
I.400 TCP/IP Fils

Ainsi, la norme H.323 dcrit un cadre gnral de fonctionnement pour un terminal multim-
dia fonctionnant sur IP. Elle implique lutilisation dautres normes dcrites, cette fois-ci, par
des RFC (Request For Comments) de lIETF. Il sagit notamment de RTP (Real-time
Transport Protocol) qui dcrit le format dun paquet transportant des donnes (un chantil-
lon sonore, une portion dun cran vido, etc.).

Les composants dun systme H.323
La norme H.323 dcrit le fonctionnement et linteraction de quatre entits :
un terminal qui supporte la voix et, optionnellement la vido et les donnes ;
une passerelle qui permet linterconnexion avec les autres rseaux H.32x tels que le
RTC ;
un serveur de confrence, appel MCU (Multipoint Control Unit) ;
un PABX IP, appel gatekeeper, qui offre le routage, la conversion dadresses ainsi
que la coordination de lactivit de toutes les entits H.323.

H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

412
Figure 16-1.
Entits dcrites
par la norme H.323.

La passerelle permet dinterconnecter le rseau tlphonique IP dautres rseaux tels que
le RTC ou le RNIS. Elle assure la conversion des codec audio et vido, de la signalisation et
du support de transmission.
Le MCU contrle lentre et la sortie des participants la confrence, rediffuse le flux entre
metteurs et rcepteurs en minimisant le trafic rseau, et assure lventuelle conversion de
codec (par exemple, si un participant est quip dun cran de moins bonne qualit que les
autres). Mme si son utilisation nest pas ncessaire lorsque les terminaux disposent des
fonctions multicasts et de ngociation de paramtres, un MCU permet cependant de dchar-
ger le terminal de certaines fonctions.
Le gatekeeper gre des services pour les entits de sa zone de couverture, tels que :
la gestion des tables de correspondance entre les noms des terminaux (le nom de la per-
sonne), un numro de tlphone E.164, une adresse e-mail et les adresses IP ;
le contrle dadmission : autorisation ou non de louverture dune communication ;
la gestion de la bande passante sur le rseau, le nombre maximal de confrences,
dutilisateurs, etc. ;
la localisation des passerelles et des MCU ;
le routage des appels au sein de la zone et entre les zones.
Le terminal, enfin, se prsente sous des formes diverses. Il peut prendre laspect dun tl-
phone classique quip dune interface Ethernet dont la prise RJ45 est connecte un com-
mutateur de notre rseau local. Il peut galement tre un PC dot dun logiciel de communi-
cation tel que Netmeeting de Microsoft. Le terminal intgre alors limage, en plus de la
voix, ce qui permet aux utilisateurs dtablir des visioconfrences directement entre eux. Le
PC devient ainsi un terminal multimdia traitant la voix, les donnes et limage.
RTC
RNIS
PC avec un logiciel respectant
les standards H.323 (par
exemple, Netmeeting)
Routeur
Internet
Terminal
H.323
Passerelle
MCU (gre les confrences)
Terminal
H.324
Terminal
H.320
Gatekeeper
( PABX)
Fax
CHAPITRE 16

413
Le schma suivant prcise ce que la norme H.323 couvre (carrs blancs) et les lments
obligatoires (en gras). Les lments griss correspondent aux protocoles spcifis par les
RFC sur lesquelles sappuie la norme H.323 pour transporter les informations sur un r-
seau IP.

Figure 16-2.
Protocoles utiliss par la norme H.323.

La norme H.235 recouvre les fonctions de scurit (authentification, intgrit des donnes,
chiffrement, etc.). La norme H.450 dcrit, quant elle, les services complmentaires (identi-
fication de lappelant, transfert dappel, rappel sur occupation, etc.).

Selon ce schma, un terminal H.323 doit donc comprendre :
un codec audio (au moins G.711) ;
optionnellement, un codec vido (au moins H.261) ;
optionnellement, lchange des donnes ( la norme T.120) ;
les protocoles de signalisation RAS, Q.931 et H.245 ;
une couche H.225 qui assure ladaptation des protocoles de lITU ceux de lIETF ;
les protocoles TCP, IP, UDP et RTP.

Par ailleurs, une entit H.323 comprend deux composants fonctionnels :
un MC (Multipoint Controler) pour ngocier, via H.245, les niveaux de service entre
les terminaux et les ressources utilises au sein dune confrence (canaux audio et vi-
do, adresses multicasts, etc.) ;
optionnellement, un MP (Multipoint Processor) pour traiter les flux multimdias
(mixage, synchronisation de la parole et des images, diffusion, chiffrement, etc.).

En pratique, toutes les entits H.323 intgrent un MC pour participer des confrences, tan-
dis quun MCU intgre les deux composants pour grer lesdites confrences.
H.323
RTP (Real-time Transport Protocol)
Codec audio
G.711 , G.722,
G723, G.728, G.729
Codec vido
H.261, H.263
Donnes
T.120
UDP
Signalisation
H.225 (RAS & Q.931)
H.235, H.450
Adaptation H.225
Signalisation
H.245
TCP TCP UDP / TCP
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

414
Ltablissement dune communication
Pour communiquer entre elles, les entits H.323 ouvrent des canaux logiques (sessions TCP,
UDP et RTP) soit ddis la signalisation, soit ddis au transport des flux multimdias :
un canal de signalisation RAS (Registration, Admission and Status) qui permet un
terminal de senregistrer auprs du gatekeeper de sa zone ;
un canal de signalisation dappel Q.931 (numrotation, sonnerie, etc.) qui permet un
terminal den appeler un autre ;
un canal de contrle H.245 qui permet dchanger les fonctionnalits supportes par les
entits (codec audio et vido, T.120), douvrir et de fermer les canaux audio, vido et
donnes ;
les canaux audio, vido et donnes.
Lutilisation des services dun gatekeeper, et donc louverture dun canal RAS, est option-
nelle. Les entits H.323 peuvent, en effet, communiquer directement entre elles.

LA SIGNALISATION DAPPEL Q.931
Une entit dsirant en appeler une autre doit ouvrir un canal de signalisation dappel Q.931 (dont
lutilisation au sein de H.323 est dcrite par la norme H.225). Il sagit dune connexion sur le port TCP 1720
qui vhicule des messages Q.931.
Setup
Signalisation
Q.931
Alerting
Call proceeding
Connect
Jappelle Bertrand pour quil se joigne
la visioconfrence.
Lappel est en cours.
Bertrand dcroche : lappel est accept.
Voici le port TCP pour le canal de contrle H.245
La sonnerie retentit sur le poste de Bertrand.

Un message Q.931 comporte un en-tte, suivi dun certain nombre d'lments d'information obligatoires ou
non. Par exemple, le message Connect contient, en plus de l'en-tte, les lments d'information suivants
: Bearer capability , Connect-UUIE , et optionnellement Progresss indicator , Notification Indicator ,
Facility , etc.
Discriminator (=08) Rfrence d'appel (identifiant local)
lment d'information
Type de message
lment d'information
Champs de longueurs variables
Champs de longueurs variables
etc. etc.

CHAPITRE 16

415

LA SIGNALISATION DAPPEL Q.931 (SUITE)

La signification des champs de len-tte Q.931 est la suivante :
Type de message : 1 = Alerting, 2 = Call proceeding, 5 = Setup, 7 = Connect, etc.
lments d'information : 4 = Bearer capability, 204 = numro de tlphone de l'appelant, 224 = num-
ro de tlphone appeler, 130 = temps de transit, etc.
Par exemple, le format de llment d'information Bearer Capability est le suivant :

Bearer capability (=04)
Transfer capbility Transfer rate Longueur (= 5 ou 6)
Multiplier rate Layer 1 protocol

La signification des champs est la suivante :
Transfer capability indique les fonctionnalits du terminal (audio, vido).
Transfer rate indique le dbit (mode paquet ou circuit, de 64 Kbit/s 1 920 Kbit/s).
Multiplier rate est uniquement prsent si le champ prcdent indique un dbit multirate .
Layer 1 protocol : G711 (A-law ou -law) ou H.225/H.245 (vidophone H.323).
Voici un autre exemple montrant le format de llment d'information Called Number :

Called number (=204)
16 bits 8 bits
Type / Plan de num Longueur
Numro de tlphone (2 131 octets)

La signification des champs est la suivante :
Type de numro (3 bits) : 1 = international, 2 = national.
Plan de numrotation (5 bits) : 1 = E.164, 8 = national, 9 = priv.
Numro de tlphone : par exemple 1#331836 ou 440553.
Lexemple suivant montre llment d'information utilisateur Connect-UUIE (User-to-User Information Ele-
ment) pour le message Connect dcrit selon la syntaxe ASN.1 (qui est utilise dans toutes les normes de
lITU-T) :
h323-message-body connect :{
protocolIdentifier { 0 0 8 2250 0 3 },
h245Address ipAddress : { ip '0A0C0006'h port 011026 } ,
destinationInfo { terminal { }, mc FALSE, undefinedNode FALSE },
conferenceID 5A 1E 55 55 8A B0 CF 72 00 00 00 00 17 00 86 B4,
callIdentifier CallIdentifier,
h245SecurityMode H245Security (champ optionnel),
tokens Sequence of ClearToken (champ optionnel),
cryptoTokens Sequence of CryptoH323Token (champ optionnel),
fastStart Sequence of octet string (champ optionnel) }
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

416
Interconnecter les PABX via IP
Lors de lintroduction dune nouvelle technologie, la premire contrainte est bien souvent de
prendre en compte lexistant, en loccurrence les PABX de lentreprise.
Dans notre exemple, nous souhaitons profiter de notre rseau WAN pour acheminer les ap-
pels internes entre deux sites sur notre rseau priv (on Net), mais galement pour passer
des appels vers lextrieur (off Net), de manire bnficier des meilleurs cots (par exem-
ple, Paris-Angleterre en sortant Londres pour le cot dun appel local ou national).

Figure 16-3.
Utilisation
des passerelles
pour interconnecter
les PABX via IP.

Nous avons choisi des routeurs Cisco comme passerelles, mais cela aurait pu tre des PC
quips de cartes de mme nature que celles des routeurs.

La premire tche est de configurer les liaisons entre les passerelles et les PABX, ce qui est
ralis de la manire suivante :

#gwpar1
controler E1 0
framing crc4
linecode ami
mode cas
voice-group 1 timeslot 1-6 e&m-immediate
voice port 0/1
voice port 0/2
voice port 0/3
...

Configuration dune liaison numrique CAS en-
tre le PABX parisien et la passerelle gwpar1
6 canaux sont utiliss
10.0.0.1
S0
E0
10.12.0.1
PVC Frame-Relay S0
PABX
172.16.0.1 172.16.0.2
E0 10.12.0.10 10.0.0.10
CAS
E&M
0/x
0/0/0
Londres
Paris
gwpar1 gwlon1
PABX
CHAPITRE 16

417
#gwlon1
voice-port 0/0/0
signal immediate
operation 4-wire
type 2
voice-port 0/0/1
signal immediate
operation 4-wire
type 2

Nous nentrerons pas dans les dtails, car ce domaine dpasse le cadre de cet ouvrage. Il
faudrait, en effet, expliquer le fonctionnement des signalisations utilises par les PABX
classiques.
Ltape suivante consiste configurer les liaisons entre les deux passerelles. Il sagit cette
fois de transporter la voix sur IP laide des protocoles H.323.
Les utilisateurs des postes tlphoniques connects aux PABX manipulent des numros de
tlphone au format E.164 (voir chapitre 11). Il faut donc associer des prfixes (cest--dire
la partie situe le plus gauche du numro de tlphone) des interfaces PABX dun ct et
des interfaces IP de lautre.

Passerelle Prfixe Correspondant
gwpar1
port 0/1-3
33 Numro sur quatre chiffres
gwlon1
port 0/0/0
44 Numro sur quatre chiffres

Chez Cisco, la connexion PABX est rfrence par lacronyme POTS (Plain Old Telephone
Service), et la connexion IP est appele VoIP (Voice over IP). Une connexion au sens large
est appele dial-peer .

# gwpar1
dial-peer voice 33 pots
port 0/1
destination-pattern 33....

dial-peer voice 44 voip
destination pattern 44....
session-target ipv4:10.12.0.10
codec g729r8

Quatre points indiquent que quatre numros
doivent suivre le prfixe 33.
Tous les numros dappel
commenant par 44 sont en-
voys vers la passerelle de
Londres en H.323.
Ce codec utilise 8 Kbit/s de bande
passante (cf. chapitre 13).
Tous les numros dappels commenant par
33 sont envoys sur cette interface.
Configuration de deux liaisons analogiques E&M
entre le PABX londonien et la passerelle gwlon1
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

418
Sur la passerelle de Londres, nous devons disposer dune configuration symtrique :

# gwlon1
port 0/0/0

destination pattern 33....
codec g729r8

Figure 16-4.
tablissement dune communication VoIP
via des passerelles.

Le correspondant de Paris compose le 440553 . Le PABX route ce numro vers la liaison
CAS tablie avec la passerelle parisienne. Celle-ci compare le numro ses dial-peer et
constate que le prfixe 44 correspond une connexion H.323. Elle envoie alors la de-
mande de connexion sur IP (signalisation Q.931) la passerelle londonienne qui compare
son tour le numro prsent ses dial-peer . Celle-ci constate alors que le prfixe 44
correspond un port physiquement connect au PABX et y envoie le numro. Le PABX d-
clenche la sonnerie du tlphone du correspondant recherch.
Nous souhaitons galement acheminer des appels en off Net sans que les utilisateurs fran-
ais changent leurs habitudes de numrotation : 00 pour linternational, 44 pour
lAngleterre, suivis de dix chiffres. De mme, les utilisateurs anglais numrotent comme
suit : 00 pour linternational, 33 pour la France, suivis de neuf chiffres. Il suffit de
configurer autant de dial-peer quil y a de prfixes :

Numro arbitraire ayant uniquement une signification
pour la passerelle locale. Nous avons choisi une nota-
tion mnmotechnique.
Active les protocoles H.323
10.0.0.1
S0
E0
10.12.0.1
1836
PVC Frame-Relay S0
PABX
172.16.0.1 172.16.0.2
E0 10.12.0.10 10.0.0.10
CAS
E&M
0/1
0/0/0
Londres
Paris
gwpar1 gwlon1
PABX
0553
440553
voice-port 0/1
session-target ipv4 :10.12.0.10
Dial-peer voice 44 voip
destination-pattern 44.
Dial-peer voice 44 pots
port 0/0/0
destination-pattern 44.
1
2
3
4
5
3
Adresse IP de la passe-
relle parisienne.
CHAPITRE 16

419
# gwpar1
port 0/4-6
destination-pattern 0033.........
destination pattern 0044..........
codec g729r8

Un PC quip de Netmeeting peut
galement profiter des services de
nos passerelles pour appeler un
correspondant situ sur le RTC
classique. Il suffit dindiquer son
adresse IP dans le menu :
OutilOptionAppel Avanc .
Adresse IP de la
passerelle de Paris

Il suffit ensuite de composer le
numro de tlphone de notre cor-
respondant Londres.
Nous utilisons ici la numrotation
abrge configure dans nos pas-
serelles.

Les neuf points correspondent
aux neuf chiffres attendus.
Dix points = dix chiffres.
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

420
Mettre en place un gatekeeper
La complexit de notre installation augmente avec le nombre de sites interconnecter. Nous
devons de plus supporter des tlphones IP et des PC quips de logiciels tlphoniques, tels
que Netmeeting. Le rseau VolP prenant de limportance, nous devons assurer des services
plus volus, comme le routage automatique, les statistiques ou encore la facturation. Nous
devons donc assurer non seulement la reprise de lexistant mais galement le dveloppement
de la voix tout IP.
La solution est de mettre en place un PABX IP, appel gatekeeper dans la terminologie
H.323. Nous choisissons donc den installer un par site, de marque Cisco (encore !), et de
reprendre les deux sites prcdents comme exemple.

Figure 16-5.
Utilisation des gatekeepers.

Afin de simplifier les configurations et la vie des utilisateurs, nous choisissons galement
dutiliser les services dun DNS (Domain Name System) priv, dont la mise en uvre est
explique au chapitre 7. Le DNS permet de manipuler des noms la place des adresses IP
en assurant la rsolution de lun vers lautre.
Ds lors, la configuration des gatekeepers est la suivante :

#gkparis
gatekeeper
zone local gkparis fr.intranet
zone prefix gklondon 44....
zone prefix gklondon 0044...........
gw-type-prefix 1# default-tech

Le prfixe technique, indiqu par la commande gw-type-prefix ne pas confondre
avec le prfixe de numrotation permet de dsigner explicitement les services dune pas-
serelle, par exemple une passerelle offrant le routage onNet, une autre le routage offNet, le
fax, etc. Par convention, le prfixe technique se termine par un dise. Dans notre exemple, si
aucun prfixe technique nest indiqu dans le numro appel, lappel sera rout vers la pas-
serelle supportant le prfixe technique 1#.
Active H.323, la fonction de gatekee-
per et la signalisation RAS.
Le gatekeeper gre les terminaux IP
situs dans le domaine DNS indiqu.
Le gatekeeper route les appels pr-
fixs 44 et 0044 vers Londres.
10.0.0.1
S0
E0
10.12.0.1
PVC Frame-Relay S0
PABX
172.16.0.1 172.16.0.2
E0 10.12.0.10 10.0.0.10
CAS
E&M
0/x
0/0/0
Londres
Paris
gwpar1 gwlon1
PABX gkparis gklondon
10.0.0.11 10.12.0.11
CHAPITRE 16

421
Le gatekeeper de Londres est configur de manire symtrique :

#gklondon
gatekeeper
zone local gklondon uk.intranet
zone prefix gkparis 33....
zone prefix gkparis 0033...........
gw-type-prefix 1# default-tech

Le routage des appels est dsormais ralis entre gatekeepers. Dans chacune des zones, les
passerelles doivent par consquent senregistrer auprs de leur gatekeeper de rattachement :

#gwpar1
gateway

int e0
h323-gateway voip interface

h323-gateway voip h323-id gwpar1@fr.intranet
h323-gateway voip id gkparis multicast
h323-gateway voip tech-prefix 1#

laide de ces commandes, la passerelle parisienne numro 1 va rechercher le gatekeeper
appel gkparis et sy enregistrer avec le prfixe technique 1# sous le nom gwpar1
dans la zone fr.intranet .
Toujours sur nos passerelles, la configuration des dial-peer change lgrement par rap-
port une architecture sans gatekeeper :

tech-prefix 1#
session-target ras

Lorsque ce dial-peer sera invoqu, il enverra lappel au gatekeeper, qui le routera
conformment la configuration prcdente.

Le prfixe technique
par dfaut est 1#.
Notre DNS priv est configur avec
un sous-domaine par pays, et nous
installons un gatekeeper par zone.
Active H.323 et la signalisation RAS.
Dsigne explicitement linterface
Ethernet pour les fonctions H.323.
Nom de la passerelle dans la zone
fr.intranet contrle par un gatekeeper
Recherche le gatekeeper gkparis
laide de la signalisation RAS dans
sa version multicast.
Optionnel : ajoute le prfixe 1# au numro appel, afin
de dsigner explicitement un groupe de passerelles.
Utilise les services du gatekeeper qui lui donnera
ladresse IP de la passerelle de Londres.
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

422
10.0.0.1
S0
E0
10.12.0.1
PVC Frame-Relay S0
172.16.0.1 172.16.0.2
E0
10.12.0.10 10.0.0.10
Londres
Paris
gwpar1
gkparis gklondon
10.0.0.11 10.12.0.11
Dial-peer voice 44 voip
Destination-pattern 44.
session-target ras
gatekeeper
zone prefix gklondon 44.
gw-type-prefix 1#
H323-gateway voip id gklondon
voip tech-prefix 1# 1
3 5 4
gwlon1
440553 2
6

LE CANAL DE SIGNALISATION RAS (H.225)
La signalisation RAS (Registration, Admission and Status) permet toutes les entits H.323 (un terminal,
un MCU ou une passerelle) de communiquer avec un gatekeeper afin de bnficier de ses services.
Les messages de dcouverte sont envoys dans des paquets UDP, port 1718, soit destination du gate-
keeper sil est connu (son adresse ayant t configure manuellement), soit destination du groupe multi-
cast 224.0.1.41. Si plusieurs gatekeepers rpondent, lentit en choisit un.
Ltape suivante consiste rejoindre la zone contrle par un gatekeeper en senregistrant auprs de ce
dernier. Le canal RAS utilise maintenant des paquets UDP unicasts port 1719.

Gatekeeper Request
Canal RAS H.225
Registration Request
Gatekeeper Confirmation
Registration Confirmation
Qui est mon gatekeeper ?
cest moi : adresse IP = x, et voici les
adresses IP dautres gatekeeper de secours.
Ton alias est Montagnier
Je rejoins la zone
Admissions Request
Admissions Confirm
Jai besoin de 64 Kbit/s
Tu nen auras que 32 Kbit/s

Dsormais, lentit H.323 sadresse au gatekeeper pour appeler tous ses correspondants en les dsignant
par leur nom ou leur numro de tlphone. Le gatekeeper se charge de convertir ce nom en une adresse
IP, et de router lappel :
soit directement vers le correspondant si celui-ci se trouve dans la mme zone ;
soit vers un autre gatekeeper si le correspondant se trouve dans une autre zone ;
soit vers une passerelle si le correspondant nutilise pas un terminal IP (mais un tlphone, par exemple).

CHAPITRE 16

423
Un PC quip de Netmeeting peut galement utiliser les services dun de nos gatekeepers. Il
suffit dindiquer son adresse IP, ou mieux, son nom DNS, dans le menu Ou-
tilOptionAppel Avanc .

Je menregistre auprs du gatekeeper sous ces deux
identifiants. Mes correspondants pourront ainsi
mappeler par mon nom ou mon numro de tlphone.
Nom DNS ou adresse IP
du gatekeeper de Paris

LE CANAL DE SIGNALISATION RAS (H.225 SUITE)
Plusieurs types de messages peuvent tre changs : Dcouverte, Enregistrement/Annulation, Admission
(demande dautorisation dutiliser le rseau), Changement de bande passante (demand par le terminal), Loca-
lisation (conversion dadresses), Statut et Information sur les ressources disponibles (pour les passerelles). Ces
types regroupent 18 messages diffrents.

Voici, titre dexemple, le format, en syntaxe ASN.1, dune demande denregistrement dune passerelle auprs
dun gatekeeper :
RasMessage ::= registrationRequest : {
requestSeqNum 037001,
protocolIdentifier { 0 0 8 2250 0 3 },
discoveryComplete TRUE,
callSignalAddress { ipAddress : { ip 'A00C00A'h, port 01720 } },
rasAddress { ipAddress : { ip A0 0C 00 0A, port 04520 } },
terminalType { gateway { protocol { voice : { supportedPrefixes { { prefixe 164 :"1#" } } } } }, mc FALSE, un-
definedNode FALSE },
terminalAlias { h323-ID :"gwlon1.fr.intranet" },
gatekeeperIdentifier { "gklondon.fr.intranet" },
endpointVendor { vendor { t35CountryCode 0181, t35Extension 00, manufacturerCode 018 } } }
Q.931
ITU-T, recommandation srie
H, 225.0, (0), version 3
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

424

LE CANAL DE CONTRLE H.245
La dernire tape dans ltablissement dune communication H.323 est louverture du canal de contrle
H.245. Les messages changs permettent de ngocier les fonctions prises en charge par les termi-
naux (Terminal Capability) : choix des codec audio et vido, de la rsolution dimage, etc., puis daffecter
dynamiquement les ports UDP supportant les canaux audio et vido.
Si une confrence trois ou plus est demande, la procdure dsigne le MC (celui dun terminal, ou le
MCU sil existe) qui sera responsable de la grer.
Canal de contrle
H.245
Voici le MC qui gre la confrence
Dsigne un MC pour une confrence
Capacits supportes : Codec G.711,
H.261 CIF, etc.
terminalCapabilitySet
masterSlaveDetermination
statusDeterminationNumber
OK : je rponds sur le port RTP x2 et le port RTCP y2
OpenLogicalChannel Ouverture du canal audio sur le port RTP x1 avec le port RTCP y1
OpenLogicalChannelAck
Ouverture des sessions RTP/RTCP
et change des paquets voix

Le canal de contrle H.245 vhicule ensuite les commandes permettant :
douvrir et de fermer les canaux audio et vido, cest--dire les sessions RTP (Real-time Transport Proto-
col) ;
de grer les entres et les sorties dans les confrences ;
de grer la qualit de service, grce aux informations donnes par RTCP (RTP Control Protocol) et en
faisant appel aux services de RSVP (Resource Reservation Protocol) pour rserver la bande passante
ncessaire sur le rseau IP.

OK
Rapport IGMP envoy au routeur
Ouverture dun canal logique pour
transporter un flux multimdia
OpenLogicalChannel
IGMP Report
OpenLogicalChannelAck
Voici la QoS dont jai besoin (bande passante, dlai de transit, etc.)
RSVP Path Voici les caractristiques du flux que je vais envoyer
RSVP Resv
Ouverture des sessions RTP/RTCP et change des paquets
Routeur

Si ncessaire, un terminal peut demander au gatekeeper lautorisation de changer de bande passante en lui
envoyant un message Bandwidth Change Request . Sil obtient laccord, le canal de contrle H.245 est
ferm entre les deux terminaux, puis un nouveau est ouvert accompagn dune nouvelle demande RSVP.
CHAPITRE 16

425
10.0.0.1
S0
10.12.0.1
PVC Frame-Relay S0
172.16.0.1 172.16.0.2
Londres
Paris
gkparis gklondon
10.0.0.11 10.12.0.11
gatekeeper
zone prefix gklondon 44.
gw-type-prefix 1#
Enregistrement : Nom = Kevin
N de tlphone = 0553
1
2 4 3
440553

Sur chaque site, les terminaux senregistrent auprs de leur gatekeeper local (Paris et Lon-
dres dans notre cas). Lors dun appel, le gatekeeper de Paris autorise louverture directe du
canal de signalisation dappel entre le terminal et son correspondant, tandis que le gatekee-
per de Londres impose que ce canal passe par lui.

Figure 16-6.
Gestion des appels
via des gatekeepers.

Le gatekeeper de Paris peut trouver les informations du correspondant concernant un termi-
nal auprs dun autre gatekeeper en utilisant le message Resource Locator . Le gatekee-
per de Londres lui renvoie alors son adresse ainsi que le port TCP sur lequel il rpond. Sil
avait dcid que la communication pouvait tre directe, il aurait envoy ladresse IP du ter-
minal.
Lappel accept, les deux entits peuvent ouvrir le canal de contrle H.245 dans le but de
ngocier les paramtres du flux multimdia.
La voie vers le tout IP
Nous venons de mettre en place un systme qui permet nos terminaux IP (PC, tlphones
IP) de communiquer entre eux (voix et image). Nous utilisons des gatekeepers pour assurer
la conversion dadresses et le routage des appels. Des passerelles sont galement mises en
place afin dinterconnecter notre rseau au monde tlphonique classique (PABX, RTC,
RNIS, DECT, etc.).
Setup
Alerting
Call proceeding
Connect
Setup
Call proceeding
Admissions Request
Admissions Confirm
Admissions Request
Admissions Confirm
Alerting
Connect
Gatekeeper de Paris Gatekeeper de Londres
RAS
Q.931
Q.931
RAS
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

426
Mais, par rapport la tlphonie classique, il nous manque toute la gamme de services enri-
chis quun PABX peut offrir : plan de numrotation, messagerie vocale, transfert, filtrage,
restriction et interception dappels, etc.
Laboutissement dun rseau VoIP est donc la mise en place dun PABX IP. Deux types
doffres sont proposes sur le march : celles des constructeurs informatiques (Cisco, Lu-
cent, etc.) et celles des constructeurs de PABX (Alcatel, Matra, Nortel, etc.). Les premiers
ont lavantage de bien connatre le monde IP ; les derniers offrent celui dune plate-forme
existante quil suffit de porter sur IP. Cest le cas de Matra qui a port sous Windows sa
gamme 6500 fonctionnant lorigine sous un Unix propritaire. Le rsultat est le produit
Succession qui offre le mme niveau de fonctionnalit quun PABX traditionnel.

Paris Londres
10.0.1.100
10.0.0.1
10.12.0.1
PABX (Call Server)
Passerelle H.323
(Media Gateway)
SMG
PC quip de Netmeeting, ou
de Matra-Nortel Softphone, etc.
Fonctions de :
- Gatekeeper
- Serveur de terminaux IP Matra-Nortel i2004
- Gestion des appels (annuaire, services enrichis, routage, etc.)
Terminal IP i2004
Terminal H.323
10.0.1.121
PABX_PAR01
PABX classique
Terminal IP i2004
RTC, RNIS
Adresse IP affecte dynamiquement.
Le PABX lassocie au numro de
tlphone lors de lenregistrement du
terminal.
Terminal H.323

Le PABX peut tre situ nimporte o sur le rseau. Les sites importants en sont quips,
tandis que les petits sites nen ont pas besoin, les terminaux dialoguant alors avec le PABX
du site principal.
De son ct, la passerelle accueille les terminaux non IP : PABX classiques, tlphones ana-
logiques et numriques Matra, bornes DECT, etc. Laccs au monde extrieur (RTC, RNIS)
est ralis soit via le PABX traditionnel, soit directement par la passerelle. Cette dernire
peut galement accueillir les terminaux IP et peut, de ce fait, coupler le terminal VoIP un
poste DECT.
Le PABX accueille les terminaux H.323 natifs ainsi que ceux de Matra via un protocole
propritaire. Ces derniers se comportent comme des terminaux passifs qui ne font
quafficher les informations envoyes par le PABX (fonction quivalente celle dun ser-
veur de terminaux, tel que MetaFrame).
CHAPITRE 16

427
Configurer le PABX et la passerelle VoIP
Pour configurer tous ces lments, nous nous retrouvons dans un environnement familier
dune interface graphique sous Windows. Dsormais, ces systmes sont, en effet, considrs
comme des services part entire au mme titre que les bases de donnes, les serveurs de fi-
chiers, la messagerie, etc.
Lcran principal du gestionnaire fourni par Matra prsente les lments de notre rseau
VoIP : commutateurs du rseau local (ici un BayStack 450), passerelles (la Media Gateway
de Nortel) et PABX (le Call Server de Nortel).

Le PABX est un lment du
rseau comme un autre.
Paramtres de la
ligne dabonn
Gestion de lannuaire
Gestion du routage des
appels (Least Cost Routing)
Gestion des services enrichis
et des droits daccs
Gestion des alarmes sur le PABX

H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

428
Dclarer les terminaux tlphoniques
Ensuite, il convient de dclarer les terminaux rattachs notre PABX : il peut sagir de tl-
phones VoIP Matra (i2004), de PC quips de Netmeeting ou encore de tlphones classi-
ques raccords une passerelle.
Nous entrons alors dans le monde des tlphonistes : il faut crer un abonn auquel on as-
socie une entre dans lannuaire ainsi quune fiche technique qui dcrit les caractristiques
du poste et les services auxquels lutilisateur a droit.

Numro de
tlphone
Fiche technique dcrivant les
caractristiques du terminal
La messagerie vocale est gre par
la passerelle ou un serveur ddi.
Sur une passerelle, le terminal
peut tre IP ou non IP.
Sur le PABX, le terminal IP peut
tre de type Matra-Nortel ou H.323.
Le terminal peut tre rattach
une passerelle ou au PABX
ainsi que les services
enrichis auxquels il a droit.

Sous larborescence Subscription (abonnement), nous avons cr labonn Montagnier, puis
nous lui avons affect un numro de tlphone (le 5090) et spcifi le type de terminal quil
utilise : dans son cas, il sagit dun tlphone IP (IP subscriber Etherset). Nous lui avons
ensuite associ une fiche technique dcrivant les caractristiques du terminal (ici, IP subs-
CHAPITRE 16

429
criber H323) et les services auxquels il a droit, par exemple une messagerie vocale (Voice
mailbox).

Restrictions dappel
Droits daccs de
nuit et de jour.
Activation des services enrichis
(prs de 400 fonctions)

Parmi les services enrichis que le PABX peut grer pour le terminal on trouve :
lidentification de lappelant ;
la restriction dappel (local, province, tranger, etc.), restrictions horaires ;
le renvoi, transfert, filtrage ;
le rappel sur occupation ;
les numros programms (urgence, SVP) ;
la gestion du second appel : parcage, confrence, va-et-vient ;
la messagerie vocale ;
etc.
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

430
Assurer la qualit de service
Nous devons galement penser grer la qualit de service sur lensemble de nos routeurs,
en activant, par exemple, RSVP et les files dattente appropries.

La rservation de la bande passante doit tre effectue la source des flux VoIP, cest--dire
au niveau des passerelles :

req-qos guaranteed-delay

Ensuite, RSVP doit tre activ sur toutes les interfaces de nos routeurs (comme indiqu au
chapitre 14) :

fair-queue 64 256 3

Les dbits rserver dpendent des codec choisis pour coder la voix (voir chapitre 13). Ce-
lui en question est le g729 qui ncessite 8 Kbit/s de bande passante.
Rappelons que les commutateurs sur nos LAN et les files dattente WFQ sur les routeurs
prennent en compte la priorit des paquets IP. Il est donc intressant daffecter une valeur au
champ IP precedence , ce qui doit tre fait la source des flux VoIP, cest--dire au ni-
veau des passerelles :

#gwpar1
ip precedence 5

Par ailleurs, nos commutateurs doivent assurer la correspondance entre la priorit du paquet
IP et celle affecte la trame Ethernet, ce qui est ralis comme suit :

set qos acl ip politique_voip trust-ipprec
set qos ipprec-dscp-map 0 8 16 24 32 40 48 56
set qos dscp-cos-map 40:6

3 files dattentes pour RSVP pour 3
communications simultanes
45 Kbit/s ddis RSVP, dont 15 Kbit/s par flux
(8 Kbit/s pour le codec + overhead + signalisation)
Priorit 5 = Critical (voir chapitre 14).
Demande une garantie sur la bande
passante et sur le dlai de transit
CHAPITRE 16

431
Transporter les flux multimdias
Un terminal H.323 utilise les services de la couche dadaptation H.225 pour envoyer et re-
cevoir des messages. En plus des signalisations Q.931 et RAS, cette couche ralise
linterface entre la gestion des canaux logiques par le terminal et la gestion des paquets sur
un rseau IP. En fonction de leur nature, H.225 slectionne ainsi le type de paquet dans le-
quel envoyer les donnes : TCP, UDP, RTP ou RTCP.

Canal logique Protocole de transport / Numro de port
Canal RAS : dcouverte dun gatekeeper UDP 1718
ou adresse multicast 224.0.1.41
Canal RAS : enregistrement auprs dun gatekeeper UDP 1719
Canal de signalisation Q.931 TCP 1720
Canal de contrle H.245 Port TCP allou dynamiquement par Q.931 (messages
Connect, Alerting et Call proceeding)
Sessions RTP/RTCP Port UDP allou dynamiquement par H.245 (message Open
Logical Channel)
T.120 TCP 1503

Figure 16-7.
Interaction
des protocoles H.323.

Le transport des flux multimdias est donc assur par H.225 qui reprend les spcifications
des RFC suivantes.

RFC Sujet trait
1889 Spcifications de RTP et de RTCP
1890 Dfinition des profils pour les confrences audio et vido
2032 Transport des codec vido H.261
2198 Transport des codec audio
H.225 : Canal RAS
H.225 : Canal de signalisation Q.931
UDP 1719
Enregistrement auprs du gatekeeper,
gestion des services enrichis
Appel dun correspondant
(numrotation, sonnerie)
H.225 : Canal RAS
UDP 1718 ou adresse 224.0.1.41
Dcouverte dun gatekeeper
UDP 1720
Canal de contrle H.245
TCP (port allou par un msg Q.931)
Ngociation des capacits et des
paramtres (quel codec utiliser, etc.)
Canaux RTP/RTCP
UDP (ports allous par un msg H.245)
Transport des codec
dans des paquets IP
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

432
Le transport des flux audio et vido via RTP et RTCP
Une conversation tlphonique gnre un flux audio qui est dcoup en tranches reprsen-
tant quelques millisecondes dun son. De mme, une image vido est dcoupe en tranches
reprsentant un groupe de pixels. Une tranche correspond ainsi un chantillonnage (sam-
pling) dun son ou dune image vido numriss et donc reprsents par des octets (voir cha-
pitre 13).
Ces octets sont placs dans des paquets RTP (Real-time Transport Protocol). Ce standard
ne dcrit aucun mcanisme de contrle ni de rcupration derreur : il se contente de dfinir
le format des paquets et des donnes transports. Ces paquets RTP sont ensuite encapsuls
dans des paquets UDP, eux-mmes transports dans des paquets IP.
RTP est associ RTCP (RTP Control Protocol), galement transport dans des paquets
UDP, qui renvoie lmetteur un retour sur la qualit de service perue par les rcepteurs
dun flux.
Deux couples de ports UDP (source et destination) sont allous pour un flux audio ou vi-
do : lun pour RTP, lautre pour RTCP. Le protocole UDP tant orient sans connexion, les
sessions sont gres par H.245 qui fait lassociation avec ses numros de canaux logiques.

Figure 16-8.
Rles de RTP et de RTCP.

Un flux ne transporte jamais de donnes mixtes audio et vido. Par exemple, pour une visio-
confrence, les paquets audio et vido sont transports dans deux sessions RTP diffrentes,
chacune tant associe une session RTCP.
Le codage peut tre modifi au cours dune session pour sadapter un changement de la
qualit de transmission (dbit, erreurs, etc.). Lmetteur peut galement modifier la nature
du flux au cours dune session et basculer, par exemple, de la vido laudio.

Groupe
224.10.1.1
1
2
R2 R1
R3 R4
R5
Groupe
224.10.1.1
Le flux audio est transport
dans des paquets RTP.
2
Les paquets RTP sont
horodats et numrots.
Un feedback sur la QoS
constate est rgulirement
retourn lmetteur.
Le feedback indique le % de
paquets perdus, la gigue
constate et lhorodatage du
rcepteur.
CHAPITRE 16

433

LE POINT SUR RTP (RFC 1889 ET 1890)
Le protocole RTP (Real-time Transport Protocol) dcrit le format des paquets transportant des flux audio ou
vido.
Utilisant les services de la couche UDP, RTP nassure pas pour autant un quelconque contrle de flux, de
reprise sur erreur ou mme de contrle dintgrit du paquet. Son but est simplement de transporter quel-
ques millisecondes de voix ou une portion dimage en y incluant des informations relatives au temps (syn-
chronisation) et permettant didentifier les metteurs qui gnrent le signal audio ou vido.
Options
V = 11 Version 2
P = 1 prsence doctets de bourrage en fin de paquet
X = 1 lentte comporte une extension
CSRC = 1111 nombre de CSRC (de 1 15)
Type de donnes Numro de squence
Horodatage RTP (timestamp) : tick horloge dpendant du codec transport
SSRC (numro identifiant la source de synchronisation)
CSRC (numro identifiant une source de contribution)
CSRC (15 au maximum)
1
er
bit M (marker) : signification dpend du type de donnes
7 bits suivants bits PT (Payload Type) : type de donnes transportes (G.711, H.261, etc.)
Donnes issues dun codec audio ou vido

Le numro de port UDP affect RTP est allou alatoirement par lapplication. Il doit simplement tre pair.
Le numro suivant (forcment impair) est alors affect la session RTCP associe (voir lencart suivant).
Lhorodatage, qui dpend de lhorloge de lmetteur, reprsente linstant o le premier octet des donnes
transportes a t chantillonn.
Le champ SSRC (Synchronization Source) est un numro unique, gnr de manire alatoire, qui identifie
lmetteur du flux. Un mcanisme permet de grer les problmes de collision (deux SSRC identiques).
La RFC prvoit lutilisation de mixers dont le rle est de mlanger les flux pour nen faire quun qui sera
redistribu aux participants dune confrence audio, par exemple. Il synchronise les flux combins issus des
diffrentes sources nutilisant pas le mme codage et ne disposant pas de la mme source dhorloge ni de
la mme frquence dchantillonnage. Le paquet RTP rsultant contient la liste des SSRC qui ont contribu
la formation du flux mlang (champs CSRC, Contributing Source), par exemple, la liste de ceux qui ont
parl en mme temps.
Le mixer sapparente aux fonctions du MCU H.323, mais au niveau RTP, alors que ce dernier assure des
fonctions plus volues lies la signalisation. En pratique, un serveur de confrence implmente les fonc-
tions de MCU et de mixer.
La RFC prvoit galement lutilisation de translators dont le rle est de convertir des flux sans les mlan-
ger.
Ce logiciel peut :
convertir un codec en un autre ;
convertir un flux multicast en un flux unicast ;
convertir les ports UDP alatoires en ports UDP fixes pouvant tre filtrs par un firewall ;
crer un tunnel scuris en chiffrant les donnes.
Dans ces deux derniers cas, un translator sutilise par paire.
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

434

LE POINT SUR RTCP (RFC 1889 ET 1890)
RTCP (RTP Control Protocol) dcrit le format des informations remontes par le ou les rcepteurs dun flux.
Il est utilis concurremment avec RTP pour remplir trois fonctions :
fournir un retour sur la qualit de service perue par les rcepteurs ;
permettre didentifier tous les participants la confrence par un nom unique (un nom DNS, tel que ma-
chine.laposte.fr). Cela permet de retrouver le participant si le SSRC change en cours de session (suite
une rinitialisation, ou la dtection dun conflit dattribution de SSRC) ;
permettre chaque participant dvaluer le nombre total de participants et dadapter les flux en cons-
quence (frquence dmission des paquets).
Le paquet RTCP contient ainsi des informations relatives lhorodatage des paquets reus, la gigue (jitter)
constate par les rcepteurs, le nombre de paquets perdus par priode et en cumul. Les informations
recueillies par les metteurs et les rcepteurs permettent de vrifier que la qualit de service correspond
celle demande via RSVP.
Il existe plusieurs types de paquets RTCP : rapport de rcepteur (type RR Receiver Report), rapport
dmetteur (type SR Sender Report) si le rcepteur est galement un metteur, description de la source
(type SDES Source Description), fin dune participation (BYE) et fonctions spcifiques une application
(type APP), par exemple audio, vido, etc.
Ainsi, les rapports RR (PT = 201) et SR (PT = 200) prennent la forme suivante :

Options PT (Payload Type) Taille du paquet complet
SSRC de lmetteur qui envoie ce rapport
Horodatage NTP au format NTP (Network Time Protocol) : date et heure dmission du
paquet exprim en nombre de secondes coules depuis le 1
er
janvier 1900.
Rapport concernant un SSRC avec lequel lmetteur de ce paquet est en relation.
Il contient : le pourcentage et nombre de paquets RTP perdus, la gigue constate, etc.
Nombre de paquets RTP envoys depuis le dbut de la session
Horodatage RTP (par exemple un n qui sincrmente chaque chantillon transport)
Rapport concernant un autre SSRC (24 octets par rapport)

V = 11 Version 2
P = 1 prsence doctets de bourrage en fin de paquet
RC = 11111 nombre de rapports dans le paquet

Le rapport SEDS contient, quant lui, toutes les informations concernant lmetteur : nom, adresse e-mail,
numro de tlphone, localisation gographique, nom du logiciel utilis, etc.
Pour consommer le moins de bande passante possible :
Les diffrents types de paquets RTCP sont regroups dans un seul paquet UDP.
La priodicit dmission des paquets RTCP est alatoire (entre 2 et 5 minutes).
Lenvoi des paquets RTCP par tous les participants doit tre espac de 2 7 secondes afin dviter les
bursts.
Le flux RTCP ne doit pas dpasser 5 % de la bande passante utilise par RTP.
Un participant ne doit pas gnrer plus de 20 % du total des flux RTCP.

CHAPITRE 16

435
Optimiser les flux multimdias
Un paquet RTP transporte 2 30 ms de voix, ce qui reprsente 20 150 octets selon le co-
dec utilis. La RFC 2298 montre lexemple dun paquet RTP transportant 20 ms de voix
chantillonne 8 KHz et dont les donnes utiles ne reprsentent que 98 octets.

Codec Donnes numriques
G.722 1 ms par trame
G.723.1 30 ms par trame
G.728 2,5 ms par trame
G.729 10 ms par trame

Afin de rduire limpact de loverhead, on pourrait augmenter la taille des donnes transpor-
tes en envoyant plusieurs trames dans un seul paquet. Linconvnient de cette approche est
quelle engendre un dlai de transit supplmentaire dans une passerelle ou au dpart du PC
metteur. Par exemple, au lieu dattendre 30 ms pour envoyer une trame G.723, on attendra
60 ms pour envoyer deux trames. Rsultat : le dlai dattente de la premire trame du paquet
est allong de 30 ms, et ce pour une trame sur deux dans le flux.
Les techniques suivantes sont pour cela privilgies.

Compression des en-ttes
La taille minimale dun paquet RTP (sans la liste des contributeurs) est de 12 oc-
tets, auxquels il faut ajouter 8 octets pour UDP et 20 pour IP, soit 40 octets en tout.
Afin de diminuer cet overhead, les routeurs permettent de compresser ces en-ttes en rdui-
sant leur taille cumule 2 ou 5 octets sur les interfaces WAN. Par exemple, les commandes
suivantes permettent de compresser les en-ttes de 16 sessions RTP simultanes :

int s 0
encapsulation ppp
ip rtp header-compression
ip rtp compression connections 16

Le principe repose sur le fait que len-tte varie trs peu dun paquet lautre : seuls les nu-
mros de squence et de contrle derreur changent. Lactivation de la compression consiste
alors nenvoyer que les donnes qui ont chang dun en-tte lautre (RTP/UDP/IP), ce
qui reprsente entre 2 et 5 octets la plupart du temps. Cette fonction est surtout efficace pour
les liaisons infrieures 2 Mbit/s.
H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

436
Utilisation des mixers
Le son peru par un participant est la rsultante des voix et des bruits mis par les autres.
Pourtant, celui-ci reoit N flux audio, provenant des N autres participants. Son PC se
contente de restituer un son composite.
Afin de diminuer le dbit gnr par ces flux sur notre rseau, et surtout sur les liaisons
WAN limites en bande passante, il serait intressant de crer un son composite en amont.
Le mixer RTP rpond ce besoin puisquil permet de fusionner les diffrents flux audio en
un seul. Rappelons, par ailleurs, quun mixer permet galement de convertir les codec audio
entre participants ne disposant pas des mmes quipements.
Dans notre rseau, linstallation dun mixer de chaque ct de la liaison WAN permet de
diminuer considrablement les flux gnrs par une confrence audio. De plus, alors que les
participants peuvent envoyer leur flux dans des paquets unicasts, le flux envoy par le mixer
pourra utiliser des paquets multicasts afin de rduire encore davantage la charge globale du
rseau.

Figure 16-9.
Utilisation dun mixer
pour optimiser les flux.

Lintranet est connect Internet par une liaison (spcialise, Frame Relay ou autre) dont le
dbit est souvent limit. Si plusieurs participants une mme confrence sont rpartis entre
notre intranet et Internet, l encore, lutilisation dun mixer permet de rduire la charge de la
liaison WAN.

Figure 16-10.
Intgration d'un mixer
et d'un translator
dans un firewall.

1
2
R2 R1
R3 R4
R5
3
R7
Un seul flux mix passe par
la liaison WAN au lieu des 3
flux audio des participants.
Chaque participant parle
ou fait du bruit en mme
temps.
De mme, un mixer serait
utile pour mlanger les
flux mis de ce ct-ci.
Mixer RTP
R2 R1
R3 R4
R5
R7
Passerelle incluant la fonction
de Mixer et de Translator RTP
Internet
Mixer RTP
Le firewall assure la scurit
en filtrant les flux RTP.
Les mixer et les translator
peuvent tre cascads.
Un seul flux sur la
liaison WAN
CHAPITRE 16

437
changer des donnes multimdias
Les participants une visioconfrence peuvent vouloir recevoir un document que leur remet
lanimateur, par exemple. Le standard T.120 de lITU-T offre ces participants la possibili-
t dutiliser quatre applications :
transfert de fichiers multipoint ;
partage dun presse-papiers commun ;
partage dun tableau blanc virtuel (whiteboard sharing) qui permet chaque participant
de dessiner sur le mme schma ;
dport cran/clavier pour une prise de contrle distance et une dmonstration tous
les participants.

On retrouve ici des applications classiques, mais sous la forme du partage par plusieurs utili-
sateurs.

Tout ce qui est affich ici lest galement sur
lcran des autres participants la confrence.
Dessin vectoriel : seules les
coordonnes des figures sont
transmises sur le rseau.

H.323, Q.931, H.225, H.245, RTP/RTCP, T.120

438

LES DONNES AU SEIN DUNE CONFRENCE MULTIMDIA (ITU-T T.120)
La norme T.120 dcrit un cadre fonctionnel gnral permettant des utilisateurs de partager des donnes
au sein dune confrence via des sessions TCP gres par H.245.

T.121 GAT (Generic Application template)
T.127 (Transfert
de fichiers)
T.124 GCC (Generic Conference Control)
T.122 (API) / T.125 (Protocole)
MCS (Multipoint Communication Services)
T.123 NSTP (Network Specific Transport Protocol)
T.126 (Tableau
blanc partag)
T.128 (Programmes
partags)

Les protocoles utiliss sont les suivants :
GAT (Generic Application Template), norme T.121. Dfinit les interfaces daccs (API) pour des applica-
tions T.120 : entres et sorties des confrences, ngociations des fonctionnalits, etc.
MCS (Multipoint Communication Service), normes T.122 pour linterface daccs et T.125 pour le proto-
cole. Assure la diffusion des donnes au sein dune confrence selon trois topologies : en toile autour
dun gestionnaire central (top provider), en cascade autour de plusieurs gestionnaires et dun top provi-
der, ou chanage (daisy chain).
NSTP (Network Specific Transport Protocol), norme T.123. Assure linterface entre les applications T.120
et le rseau. Il ralise ladaptation diffrents supports, tels que RNIS et TCP/IP, tout en grant les er-
reurs de transmission.
GCC (Generic Conference Control), norme T.124. Il sagit du logiciel qui organise la confrence. Il gre la
liste des participants, les accepte ou les refuse selon les mots de passe et les droits daccs, dcide qui
passer la main, assure la cohrence des informations changes (mise jour en temps rel et simulta-
nment pour tous les participants) et surveille les ressources utilises par le MCS.

CINQUIME PARTIE

La scurisation
des rseaux IP
17
Protger son rseau
et ses donnes
Ds lors quil permet des centaines, voire des milliers dutilisateurs de communiquer et
dchanger des informations, le rseau pose invitablement le problme de la scurit : les
informations quil vhicule possdent de la valeur et ne doivent pas tre accessibles tout le
monde.
La scurit est un vaste sujet, qui dpasse le cadre du rseau tant sur les plans technique que
mthodologique. Ainsi, ce chapitre ne traite pas des tapes essentielles que sont lanalyse de
la valeur (quest-ce quon protge) et lanalyse de risque (contre quoi lon se protge). Il ne
traite pas, non plus, des protections appliques aux postes de travail (anti-virus, par exem-
ple) et aux applications (messagerie, serveurs Web, etc.).
Ce chapitre ne sattache qu une petite partie de la scurit, celle lie la protection du r-
seau IP que nous venons de construire. Dans ce chapitre, vous apprendrez ainsi connatre :
les vulnrabilits des protocoles de la famille IP ;
les diffrents types dattaques ;
les techniques de filtrage utilises par les firewalls ;
les architectures contrle de flux ;
les principes des algorithmes de chiffrement ;
les mcanismes de chiffrement, de contrle dintgrit, dauthentification et de signa-
ture ;
les protocoles SSL et IPsec.

Vulnrabilits, attaques, firewalls, NAT, chiffrement, SSL, IPsec, authentification

442
Limportance dune politique de scurit
Plus que partout ailleurs, dfinir une politique de scurit dans le domaine des rseaux est
avant tout un gage de cohrence et donc, dune relle protection. Sans cela, le dveloppe-
ment anarchique des moyens de scurit, ajouts comme des surcouches au-dessus des r-
seaux, peut conduire une complexit telle, quelle entrave la circulation de linformation.
Sur un petit rseau, couvrant un ou quelques sites, la complexit peut encore tre matrise,
mais dans les grandes entreprises, le rseau permet lchange de donnes de natures trs di-
verses entre des populations aussi diverses que gographiquement disperses. Dans tous les
cas, la problmatique reste la mme ainsi que les moyens mis en uvre pour la rsoudre.
Trop souvent, les responsables scurit imposent sans discernement des contraintes drasti-
ques : un firewall par-ci, un autre point de coupure par-l, parce que tel type dattaque est
toujours possible. Et, ne sait-on jamais, tel autre cas de figure peut toujours se produire : il
faut donc ajouter un autre mcanisme de protection.
Ces rflexes scuritaires proviennent la fois dune responsabilisation excessive des per-
sonnes en charge de la scurit et dune mconnaissance technique des rseaux quont ces
mmes personnes. Le rseau est alors peru comme un organisme tentaculaire chappant
tout contrle. Il est le vecteur de tous les maux rels ou imaginaires.
Ne connaissant pas ou pire, croyant savoir, ces responsables brandissent des menaces qui
conduisent une surenchre permanente, attise en cela par les socits de conseil et les di-
teurs qui vivent de ce commerce. Ne voulant prendre aucun risque, ils entretiennent la
culture du secret et empilent des barricades.
Afin dviter ce cauchemar, il convient donc de ne pas faire de la scurit pour la scurit,
mais de connatre la valeur de ce que lon protge et contre quoi lon se protge. la suite
de quoi, une rflexion technique permet de mettre en place les moyens de protection appro-
pris. En fin de compte, cest le bon sens qui nous amne ne pas utiliser le mme type de
cl pour la porte de son coffre-fort, pour la porte dentre de sa maison et pour celles des au-
tres pices.
La dfinition dune politique de scurit passe donc par :
une analyse de la valeur des informations protger et une analyse des menaces ;
lapplication de rgles et de procdures par les utilisateurs internes lentreprise ;
la mise jour permanente des logiciels de protection (firewalls, anti-virus...) et des cor-
rectifs pour les systmes dexploitation et les applications tels que les navigateurs
Web ;
la surveillance du rseau (enregistrement des vnements, audits, outils de dtection) ;
la dfinition dune architecture permettant de limiter les possibilits dattaques et la
porte dventuels dgts causs par les pirates.
Les sections qui suivent traitent de ce dernier point en commenant par exposer les vulnra-
bilits, puis en prsentant les diffrents types dattaques.
Protger son rseau
CHAPITRE 17

443
443
Les vulnrabilits des protocoles IP
La famille des protocoles IP prsente des failles de scurit intrinsques, car ils nont pas t
conus dans une optique de scurit, mais plutt dans une optique de rsilience et de per-
formance.
Il ny a notamment :
aucun chiffrement des donnes (les donnes et souvent les mots de passe circulent en
clair) ;
aucun contrle dintgrit (les donnes peuvent tre modifies par un tiers) ;
aucune authentification de lmetteur (nimporte qui peut mettre des donnes en se
faisant passer pour un autre).
Les sections suivantes dcrivent quelques-uns des protocoles les plus courants qui cumulent
ces lacunes.
Telnet
Lidentifiant et le mot de passe Telnet circulant en clair sur le rseau, il faut demander aux
utilisateurs demployer des mots de passe diffrents de ceux utiliss pour se connecter des
applications utilisant des protocoles mieux scuriss. Intercepts, lidentifiant et le mot de
passe pourront, en effet, tre utiliss par un intrus pour se connecter des applications dont
les mots de passe sont, en ce qui les concerne, chiffrs.
De plus, les donnes sont vhicules sous une forme non structure, tche qui est laisse
linitiative de lapplication. Il est donc trs facile de transfrer toutes sortes de donnes en
profitant dune session Telnet.

Client Serveur
>1023 23
>1023 23
TCP

Ces deux caractristiques font de Telnet un protocole trs dangereux utiliser entre une en-
treprise et Internet. Il doit donc tre interdit. Sur le plan interne, son usage peut tre autoris,
rglement ou interdit, selon larchitecture de votre rseau, les mcanismes de scurit mis
en uvre et la valeur des informations protger.
FTP
Lidentifiant et le mot de passe circulant en clair, les recommandations nonces pour Tel-
net sappliquent galement FTP.

444

ok
Client Serveur
x>1023 21
x>1023 21
FTP Mode normal
port=y
ok
y>1023 20
y>1023 20
ok
Client Serveur
x>1023 21
x>1023 21
FTP Mode passif
PASV
ok sur S
y>1023 S>1023
y>1023 S>1023
Canal de
contrle
Canal de
donnes

Le mode passif est beaucoup plus sr que le mode normal, car il vite dautoriser les
connexions entrantes. Cependant, toutes les implmentations ne sont pas compatibles avec
ce mode. Si tous vos clients et serveurs FTP supportent le mode PASV, il est recommand
dinterdire le mode normal.
DNS
La recherche de noms et le transfert de zone (cf. chapitre 7) utilisent gnralement les ports
UDP (5353), mais si ces requtes chouent, elles sont relances via TCP (>102353).
Certaines implmentations, ce qui est le cas avec les machines AIX, utilisent exclusivement
TCP.

Client Serveur
>1023 53
>1023 53
Requtes DNS client serveur
Secondaire Primaire
53 53
53 53
Requtes DNS entre serveurs
TCP/UDP
TCP/UDP
ack
UDP
UDP
>1023 53
>1023 53
TCP
TCP
Requte (ex : SOA)
Transfert de zone ou
requte (ex : SOA)
ack

Aucun mot de passe nest requis pour ces changes, effectus automatiquement entre ma-
chines et ce, de manire transparente pour lutilisateur. Par ailleurs, la commande nslookup
(cf. chapitre 7) permet tout utilisateur de consulter la base de donnes.
La base de donnes du DNS est particulirement sensible, car elle contient lensemble des
adresses IP de vos serveurs et quipements rseau, voire plus si vous utilisez Active Directo-
ry de Microsoft. Elle doit donc tre protge et en particulier tre inaccessible depuis
lextrieur.
Protger son rseau
CHAPITRE 17

445
445
HTTP
Les serveurs Web peuvent rpondre sur des ports spcifiques, autres que 80, tels les 8000,
8080, 8010 ou encore 81, pour ne citer que les plus courants. Ces ports non-standards ne
prsentent aucun intrt en termes de scurit, car les scanners permettent de les trouver ra-
pidement.

TCP
TCP
Client Serveur
>1023 80
>1023 80
HTTP sur port normal
TCP
TCP
Client Serveur
>1023 >1023
>1023 >1023
HTTP sur port spcifique

En revanche, il est recommand de sparer les donnes accessibles en FTP et en HTTP, soit
sur deux serveurs diffrents, soit sur deux rpertoires diffrents. Il est en effet facile de d-
poser un cheval de Troie sur un rpertoire FTP, puis de le faire excuter par le serveur
HTTP. Sous Unix, il est en plus recommand dutiliser la fonction chroot.
Netbios
Le protocole Netbios (Network Basic Input Output System) est difficile contrler, car il
transporte de nombreux protocoles propres Microsoft : il sagit de SMB (Server Message
Block), de NCB (Network Control Bloc) et de toute une srie de RPC (Remote Procedure
Calls), qui sont utiliss par les environnements Windows.

TCP
TCP
Client Serveur
>1023 137
>1023 137
Name Service Protocol
UDP
UDP
Client Serveur
>1023 139
>1023 139
Session Service Protocol
UDP
UDP
Client Serveur
>1023 138
>1023 138
Datagram Service Protocol

Par exemple, les relations entre contrleurs de domaines et entre clients et serveurs WINS
emploient des relations complexes quil est difficile de filtrer. Pour ces raisons, lutilisation
de Netbios doit tre interdite entre lentreprise et Internet.
SNMP
Pour les requtes get et set (cf. chapitre 6), le client est la plate-forme
dadministration tandis que pour les messages traps , le client est le matriel (rseau, ser-
veur, etc.). Il est donc recommand de cantonner ce protocole entre les stations
dadministration et les quipements surveiller :
La plupart des implmentations utilisent UDP, et il faut lautoriser dans les deux sens.
Les noms de communaut circulent en clair.

446
Les possibilits daction offertes sont importantes (la commande get permet de faire
un dump complet dune configuration et la commande set permet de modifier la
configuration).

Client Serveur
>1023 161
>1023 161
Get / Set

UDP / TCP
Client Serveur
>1023 162
>1023 162
Trap

UDP / TCP

On peut donc envisager de laisser passer les messages SNMP en filtrant les adresses source
et destination. La politique de filtrage peut cependant tre plus souple au sein dun mme
domaine de confiance ou dans le cas de rseaux entirement commuts reposant sur des
VLAN. Pour ce qui concerne Internet, le protocole SNMP doit tre interdit.
RPC (Remote Procedure Calls)
De nombreuses applications, comme les logiciels de sauvegarde, utilisent les services du
Portmapper qui rpond sur les ports UDP et TCP 111 et qui renvoie au client un numro de
port alatoire indiquant que le service est disponible sur sa machine.

Client Portmapper
>1023 111
>1023 111
Recherche du service

UDP/TCP
Client Serveur
>1023 X
Accs au service RPC

UDP/TCP
Service disponible sur le
port TCP/UDP X

Ce protocole ne peut pas tre efficacement filtr, car de nombreux ports doivent tre laisss
ouverts de par la nature alatoire de lallocation. De plus, les firewalls gnrent de nom-
breux dysfonctionnements pour les applications qui utilisent les RPC. Les RPC doivent donc
tre interdits pour Internet.
NFS
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094 indique que ce nest
pas une obligation. Certaines implmentations utilisent en fait le Portmapper.
Un problme de scurit important pos par NFS est celui li au numro de handle :
Il est prdictible, car reposant sur la date cration du systme de fichier.
Il est valable mme lorsque le systme de fichiers est dmont.
Il est utilisable par quiconque layant obtenu (par coute rseau ou par calcul).
Protger son rseau
CHAPITRE 17

447
447
NFS est galement vulnrable la dissimulation dadresse (spoofing), car le serveur se fie
ladresse IP pour authentifier la machine cliente. Par ailleurs, les mcanismes setuid et no-
body positionns par ladministrateur du serveur demeurent des failles de scurit, sils sont
mal configurs.
ICMP
De nombreux services ICMP (cf. chapitre 6) peuvent renseigner un intrus, comme par
exemple destination unreachable , qui comporte des informations indiquant la cause du
problme ou encore echo request et echo reply , qui indiquent si un nud est actif.
Les seuls paquets ICMP, quil est envisageable de laisser passer vers un autre domaine de
confiance, sont les suivants :
type 4 source quench , qui permet de contrler le flux entre un client et un serveur ;
type 11 time to live exceeded , qui vite le bouclage des paquets IP ;
type 12 parameter problem , qui indique une erreur dans un en-tte ;
type 8 echo request et type 0 echo reply , utiliss pour vrifier lactivit des
nuds pour des oprations de supervision et de diagnostic.
Vis--vis dInternet, tous les services ICMP doivent tre interdits : ils ne sont pas ncessai-
res et peuvent donner trop dinformations aux intrus.
Les diffrents types dattaques
En plus de leur vulnrabilit, la famille des protocoles IP bnficie dune grande accessibili-
t : leurs spcifications sont rendues publiques avec les RFC, et Internet est un rseau ouvert
tous, aux particuliers comme aux professionnels. Les comptences techniques sont donc
trs rpandues, et tout le monde est susceptible de trouver des failles et de lancer des atta-
ques aussi bien sur le rseau public que sur notre rseau interne. Il est noter que, selon la
plupart des statistiques, environ 70 % des problmes de scurit ont des origines internes
lentreprise.
Les attaques de type refus de service (denial of service)
Ce terme dsigne un groupe dattaques destin bloquer le service offert par un serveur
(Web ou autre), un routeur ou un firewall. Le principe consiste inonder de requtes la ma-
chine cible de manire ce quelle soit de plus en plus sollicite, et ce, jusqu ce quelle ne
puisse plus traiter les vraies requtes des utilisateurs. Le pirate espre, de plus, quun dbor-
dement (saturation des capacits du logiciel) conduira larrt brutal de la machine, profi-
tant ainsi dune situation limite, non prvue par le programmeur (bogue).
Les parades consistent, la plupart du temps, appliquer des correctifs (patches) qui permet-
tent de traiter les cas de figure limites.

448
Quelques exemples dattaques par refus de service
Lattaque la plus classique, le ping de la mort (ping of death), consiste bombarder la ma-
chine cible de paquets ICMP de type echo_request .
Une variante, appele teardrop, consiste envoyer des paquets ICMP de taille importante
(plusieurs dizaines de Ko) de manire activer les mcanismes de fragmentation IP. La plu-
part des machines sarrtent de fonctionner lorsquelles rencontrent ce cas de figure (frag-
mentation de paquets ICMP), moins dtre quipes du correctif adquat.
Lattaque land (littralement atterrissage), consiste gnrer un paquet ayant la mme
adresse IP source et destination que celle de la machine vise, et avec des ports (TCP ou
UDP) source et destination identiques. La machine vise est de prfrence un routeur, qui
route le paquet indfiniment pour lui-mme. La parade consiste, l encore, appliquer un
correctif qui traite ce cas limite.
Les attaques par inondation SYN (syn flooding)
Ds quun client envoie une demande douverture de connexion TCP un serveur,
lchange normal est le suivant (cf. chapitre 5) :
ACK, SYN Client Serveur
SYN
ACK

Si le serveur ne reoit pas le paquet ACK du client, il reste en attente de la rponse jusqu
lexpiration dun timeout.
Lattaque consiste donc, pour le pirate, crire dabord un logiciel qui nenvoie jamais de
paquets ACK en rception dun paquet SYN du serveur, puis inonder le serveur de de-
mandes de connexions de ce type. Ceci entrane le serveur allouer de plus en plus de res-
sources pour les demandes de connexions TCP qui restent en attente, jusqu dpassement
de ses capacits.
Le firewall protge contre ce type dattaque en dtectant puis en bloquant la requte aprs N
paquets SYN conscutifs issus du mme client ou destination du mme serveur.
La dissimulation dadresses (spoofing)
Cette technique consiste, pour le pirate, utiliser une adresse IP interne, cest--dire celle
dun rseau de lentreprise protg par le firewall. Le but est de faire croire aux machines
(serveurs, firewalls) quil sagit dun paquet issu du rseau interne, de manire bnficier
des mmes droits daccs que nos utilisateurs comme, par exemple, lquivalence de droits
pour les remote commands Unix ou les rgles de filtrages du firewall bases sur ladresse
source.
Protger son rseau
CHAPITRE 17

449
449
Les routeurs ne se soucient pas de savoir par quelle interface proviennent les adresses sour-
ces, car les algorithmes de routage doivent prendre en compte le cas de routes multiples et
de secours.
En revanche, si le rseau interne est connect Internet, aucun paquet, ayant comme adresse
source celle dun rseau interne, ne doit en provenir. Le mcanisme dantispoofing, utilis
par les firewalls, consiste donc contrler lorigine des paquets sur la base du couple in-
terface rseau physique / adresse IP source .
Il est noter que le mme principe sutilise avec les noms DNS et SMTP ou encore les mots
de passe des procdures dauthentification.
Les attaques par tunnel
Le principe consiste utiliser un port TCP ou UDP ddi un service (Telnet, par exemple),
pour faire passer des flux autres que ceux prvus.
Le cas le plus classique est celui du serveur SMTP qui permet de se connecter en Telnet,
non pas sur le port 23 ddi habituellement aux serveurs Telnet mais sur le port 25 ddi aux
serveurs SMTP. Lutilisateur peut ainsi dialoguer manuellement avec le serveur via les
commandes SMTP.
Pour les cas de figure les plus volus, les pirates dveloppent des logiciels spcifiques ca-
pables de dialoguer avec un protocole donn sur nimporte quel port TCP ou UDP.
Le vol de session (session stealing, splicing ou hijacking)
Cette technique consiste reprer une session TCP ouverte depuis lintrieur sur un serveur
situ sur Internet, puis se substituer ce serveur. La session ouverte par lutilisateur in-
terne devient ainsi un tunnel permettant doprer en toute quitude.
Cette technique est trs sophistique puisquelle ncessite de sonder le rseau Internet ou in-
terne des endroits bien prcis, trouver les numros alatoires qui identifient les paquets
TCP au sein dune session, puis se substituer au serveur.
La seule parade rellement efficace consiste chiffrer les donnes et contrler lintgrit
des paquets IP laide du protocole IPsec.
Le rebond
Cette technique est la plus simple puisquelle consiste profiter dune faille de scurit pour
investir un serveur, puis, partir de l, se connecter dautres machines en utilisant les
droits accords ce serveur.
La protection contre ce type dattaque relve de la scurisation des serveurs (mots de passe
et correctifs) et de larchitecture (voir plus loin). En positionnant les serveurs les plus expo-
ss sur un segment ddi, diffrent de celui hbergeant les machines les plus sensibles, un fi-
rewall peut contrler les flux.

450
Les chevaux de Troie
Un cheval de Troie est un programme, import sur une machine linsu de ses utilisateurs,
qui se substitue un programme normal, par exemple, au client FTP. Quand lutilisateur
lancera la commande FTP, au lieu dutiliser son programme habituel, il lancera le faux FTP,
dont linterface utilisateur ressemble au vrai programme, la diffrence quil ouvrira une
session parallle sur un serveur appartenant au pirate.
Limportation de tels programmes sopre via la messagerie, une connexion directe un
serveur en profitant de ses failles de scurit (mot de passe ou bogue), via la technique du
tunnel ou, plus simplement, en installant le logiciel avec les droits daccs de
ladministrateur.
La premire parade consiste raliser un contrle dintgrit sur les programmes binaires et
les scripts, puis vrifier quil ny a pas eu de changement dans leur taille, leur date, etc. La
seconde parade consiste reprer en temps rel lintroduction dun tel cheval de Troie en
lidentifiant par sa signature (une srie de codes binaires caractrisant les instructions qui le
composent). Encore faut-il que ce cette signature soit connue et quelle ait t intgre dans
lanti-virus charg de cette dtection, do limportance des mises jour frquentes (heb-
domadaires, voire journalires).
Les vers
Ce type de programme utilise le rseau pour se propager : install sur une machine, non seu-
lement il linfecte, mais il cherche galement dautres machines sur le rseau pour essayer
de sy installer. Le ver dsigne donc un mode de propagation qui peut intgrer les fonctions
de virus, de scanner et de cheval de Troie.
lheure actuelle, tous ces programmes ne peuvent se propager quentre machines du
mme type, par exemple, entre PC Windows, entre Macintosh ou entre machines Unix. Sil
sagit dun excutable, les processeurs doivent, de plus, tre de la mme famille (pentium,
power PC, etc.). Sil sagit dun script, le programme peut sexcuter sur diffrents types de
machines disposant du mme systme dexploitation. L encore, cette restriction est suscep-
tible dtre leve dans le futur.
Le contrle de flux
Les parades ces vulnrabilits et ces attaques sont de deux ordres : le contrle de flux
(qui accde quoi et comment) et la confidentialit des donnes. Commenons par la pre-
mire.
Le contrle de flux consiste filtrer les paquets IP selon les adresses source et destination,
les ports TCP et UDP, les types de protocoles (ICMP, OSPF, TCP, UDP, etc.), et ventuel-
lement, selon des informations issues des couches applicatives. Il peut tre ralis par les
routeurs ou par des quipements ddis appels firewalls (pare-feu en franais).
Protger son rseau
CHAPITRE 17

451
451
Les technologies utilises par les firewalls
Quatre technologies sont utilises pour contrler les flux :
le filtrage de paquet (packet filtering) ;
le filtrage par tat des sessions (stateful inspection) ;
le relais applicatif (application gateway), encore appel mandataire, ou, abusivement,
application proxy, proxy gateway ou proxy tout court ;
le relais de circuit (circuit relay ou circuit-level gateway).
La confusion quant lemploi du terme de proxy est historique : le NCSA (National
Computer Security Association) a, le premier, utilis le terme de proxy service fonction-
nant sur un firewall appel application gateway . Les journalistes ont ensuite cd la
facilit en prenant pour raccourci le mot proxy pour dsigner ce type de firewall. Par
amalgame, les termes application proxy et proxy gateway ont ensuite t abusive-
ment employs pour dsigner le firewall alors quil dsigne en ralit le processus. Le vrai
terme pour dsigner ce type de firewall est donc relais applicatif (application gateway
dans la littrature anglo-saxonne).
Un proxy, ou serveur proxy, dsigne en ralit un serveur cache, cest--dire une machine
qui hberge les URL les plus rcemment demandes dans le but dconomiser de la bande
passante sur la connexion Internet (64 Kbit/s 2 Mbit/s). Le navigateur Web est configur
de manire interroger le serveur cache. Si lURL demande nest pas dans le cache, le ser-
veur relaie la requte vers le serveur cible. En toute rigueur, le proxy relaie la requte de la
mme manire quun firewall de type relais applicatif, mais on ne peut pas le considrer
comme un firewall part entire, car il ne dispose pas des mcanismes de protection utiliss
par cette classe de produit.
Pour ajouter la confusion, le paramtre proxy , qui est dfini au niveau des navigateurs,
indique ces derniers de rediriger les requtes Web destination de lextrieur vers un ser-
veur spcialis ( la manire du paramtre default gateway qui indique au protocole IP
de rediriger les paquets destination de lextrieur vers un routeur). lorigine, ce serveur
tait bien un serveur proxy (un cache), mais par la suite, lutilisation de cette fonction a t
tendue pour dsigner les firewalls qui contrlent les droits daccs Internet.
Il est noter qu cette fonction de cache, vient sajouter celle dj gre au niveau de cha-
que navigateur Web.
Le filtrage de paquet
Le filtrage de paquet est historiquement parlant la premire technique, encore largement uti-
lise par les routeurs. Elle consiste filtrer chaque paquet individuellement au niveau de la
couche rseau en fonction des adresses source et destination, du port TCP ou UDP, du type
de protocole (ICMP, RIP, etc.), et du sens du flux. Trs peu dinformations (alertes, statisti-
ques) sont par ailleurs enregistres et aucun mcanisme de protection nest implment
contre les attaques.

452
Le stateful inspection
La technologie stateful inspection reprend les principes du filtrage de paquet mais conserve
un tat (historique) de toutes les sessions. Les paquets ne sont plus filtrs individuellement,
mais en fonction des prcdents qui appartiennent un mme change.
Pour ce faire, le firewall examine les donnes du paquet et remonte jusqu la couche trans-
port, voire applicative. Le filtrage est bien ralis au niveau 3 (couche rseau), mais en fonc-
tion dinformations issues des couches suprieures. De ce fait, il est galement possible de
filtrer au niveau applicatif (commandes FTP, SMTP, DNS, etc.).
Pour sadapter aux protocoles qui utilisent des ports alatoires (les ports client pour tous les
protocoles et les RPC), les rgles sont gnres dynamiquement pour le temps de la session
partir des rgles de base dfinies par ladministrateur.
En outre, seul le premier paquet dune session est compar aux rgles de filtrage, les sui-
vants tant seulement compars ltat de la session, do des gains de performance par
rapport aux routeurs filtrants. Cest la technologie la plus rapide.
Le relais applicatif
Cette technologie repose sur le principe du mandat : le firewall intercepte la requte du
client et se substitue ce dernier. En ralit, cest donc le firewall qui envoie une requte au
serveur. Il le fait de la part du client. Ce dernier croit dialoguer directement avec le serveur,
alors que le serveur dialogue en fait avec un client qui est le firewall (le relais).
Cette technique implique de dvelopper un client spcifique pour chaque application sup-
porte (Telnet, FTP, HTTP, etc.), ce qui en fait la technologie la moins volutive. Le support
dune application dpend des capacits de lditeur du produit.
La scurit repose sur le fait quaucune connexion directe nest ralise entre le client et le
serveur et que le client du firewall (le relais) est une version spciale sans bogue, ne com-
portant aucune faille de scurit, et susceptible dintercepter les attaques.
Le relais de circuit
Le relais de circuit reprend la technologie de relayage sans permettre de filtrage au niveau
applicatif et, surtout, sans tenir compte des spcificits lies chaque protocole (changes
entre le client et le serveur, connexions ouvertes au sein dune mme session, etc.). Les pa-
quets sont relays individuellement. Cette technique offre donc un moins bon niveau de pro-
tection que le relayage applicatif.
Le premier produit avoir introduit cette technologie est le freeware Socks. La mise en
place dun firewall Socks (on parle souvent de serveur Socks) requiert lutilisation de clients
(FTP, HTTP, etc.) spcifiques. Le client met une requte au serveur Socks qui comprend
ladresse du serveur cible, le type de service demand (port TCP ou port UDP) et le nom de
lutilisateur. Le serveur authentifie lutilisateur, puis ouvre une connexion vers le serveur ci-
ble. Les flux de donnes sont ensuite relays sans aucun contrle particulier.
Protger son rseau
CHAPITRE 17

453
453
Cette technique est souvent utilise en complment des relais applicatifs, plus particulire-
ment pour les protocoles non supports par les relais, mais nest jamais employe seule.
Comparaison des technologies
Les techniques de filtrage de paquet et de relais de circuit sont aujourdhui obsoltes. Avec
les techniques de piratage actuelles, il nest pas envisageable de les utiliser sur un firewall.
Les technologies stateful inspection et relais applicatif dominent actuellement le march des
firewalls et sont, de plus en plus souvent, combines. Cest, par exemple, le cas de Netwall,
de Cyberguard, de Watchguard et, dans une moindre mesure, de Firewall-1.

Stateful Inspection Relais applicatif
volutivit + Supporte tous les protocoles. - Ncessite de dvelopper un client pour
tout nouveau protocole, moins dutiliser
un relais de circuit (relais gnrique).
Performances + Filtrage optimis et opr au niveau du
driver.
- Un processus par session.Les paquets
sont traits par le relais et deux fois par
lOS.
Impact sur le systme dexploitation + Aucun, puisque lOS est court-circuit - LOS doit tre scuris puisquil traite les
paquets.
Niveau de scurit + Ltat des sessions est conserv et les
paquets (en-tte et donnes) analyss.
Le filtrage applicatif limine les comman-
des dangereuses.
+ Limite les possibilits de vol de ses-
sion.
- Les attaques par tunneling restent pos-
sibles.
+ Le relayage vite les attaques directes, et
le filtrage applicatif limine les commandes
dangereuses.
- Le relayage doit tre associ un filtrage
(ports et adresses).
- Les attaques par vol de session restent
possibles.

La puissance de traitement des processeurs actuels permet de masquer les diffrences de
performances entre les deux technologies pour des dbits rseau compris entre 64 Kbit/s et
2 Mbit/s. La diffrence devient significative dans un rseau dentreprise o le firewall doit
supporter plusieurs interfaces Ethernet et de nombreuses rgles de filtrage.
Choix dun firewall
Il est recommand dutiliser deux firewalls de marque diffrente, un pour les connexions ex-
ternes, dont Internet, et un autre pour le contrle des flux internes :
Si un pirate connat bien un produit (et donc ses faiblesses), les chances quil en
connaisse galement un autre sont moindres.
Un bogue prsent sur un firewall a peu de chance de se retrouver galement sur un au-
tre.


454
Il est conseill dutiliser un firewall franais pour les accs Internet :
Leur origine offre plus de garanties quun produit tranger. Un firewall peut, en effet,
comporter des trappes logicielles, sorte de portes drobes (back-doors), qui contourne
tous les mcanismes de protection du firewall, gnralement au profit dun service de
renseignement. Cest tellement simple raliser et cela peut rapporter gros.

Ils offrent les mmes qualits que leurs homologues trangers.

Ils sont moins connus des pirates.

Un firewall plus rpandu peut, en revanche, tre utilis pour la scurisation du rseau in-
terne. Sa fonction est en effet plus lie au partitionnement du rseau.

Firewall-1
de Check Point
Cyberguard
de Cyberguard Corp
Netwall
de Bull
Remarques
gnrales
Le plus rpandu
Facile paramtrer
Un des meilleurs rsister
aux attaques
Dveloppements franais
Plate-forme Unix, NT Unix Unix
Technologie Filtrage tat de lien Filtrage tat de lien
et relais applicatif
Filtrage tat de lien et
relais applicatif
Authentification
supporte
Radius, Secure ID Radius, Secure ID, SSL CP8, Radius
Partage de charge
et redondance
Oui Oui Oui
Translation dadresse Oui Oui Oui
Protections contre
les attaques
Oui Oui Oui
Risque de trappe
logicielle
Oui Oui Oui, mais franais !
Gnration de filtres
pour dautres rou-
teurs
Cisco, Nortel Non Non
Filtrage des com-
mandes FTP
Oui Oui Oui
Filtrage des com-
mandes SMTP
Non Oui Oui

Protger son rseau
CHAPITRE 17

455
455
Comparaison entre les routeurs et les firewalls
On peut se poser la question de lintrt dun firewall par rapport un routeur. Rappelons
cependant les avantages du premier sur le deuxime :
meilleure protection aux attaques par refus de service et par dissimulation dadresse ;
analyse de ltat des connexions TCP et UDP pour chaque session ( la place d'un sim-
ple filtrage paquet par paquet ne tenant pas compte des sessions) ;
plus grande richesse de filtrage ;
visualisation en temps rel des sessions ouvertes ;
journalisation des tentatives dintrusion et remonte dalerte ;
ergonomie de linterface dadministration.
Les routeurs sont bien dvolus lacheminement des paquets selon des contraintes autres
que scuritaires : calcul des routes, reroutage en cas de panne dun lien, gestion de la qualit
de service, diffusion multicast, ou gestion des interfaces et protocoles WAN.
Les firewalls sont, quant eux, dvolus au filtrage des sessions et des applications selon des
rgles complexes. Alors que les routeurs agissent entre les couches 2 et 3 (liaisons et IP), les
firewalls agissent partir de la couche 3.
Sous la pression du march, ces diffrences tendent cependant sestomper, et les routeurs
embarquent dsormais des firewalls. Cette intgration prsente lavantage de rduire les
cots et denlever un tage de complexit la chane de liaison LAN - routeur - firewall -
LAN - routeur - WAN.
Dfinition dune architecture contrle de flux
Un firewall seul ne permet pas dinterconnecter des rseaux de manire sre. Il ne suffit pas
dinstaller un firewall et de programmer quelques rgles de filtrage. Cette approche vous
procure plus un sentiment de scurit quune relle scurit. Il convient plutt de dterminer
une architecture globale dont le firewall nest quun des composants.
Les principes de base devant prsider la politique de filtrage sont les suivants :
Les filtres sont positionns sur les firewalls.
Tout ce qui nest pas expressment permis est interdit.
Toute demande de connexion depuis Internet est interdite.
Les paquets TCP entrants doivent tous avoir le bit ACK positionn 1 et le bit
SYN 0 (rponse un paquet issu de lextrieur).
En outre, plus le rseau de lentreprise est grand, plus il peut tre ncessaire de le partition-
ner et dappliquer le concept de dfense en profondeur. Ce principe consiste dfinir plu-
sieurs niveaux de protection de manire ce que si le premier est pntr (le firewall
Internet, par exemple), les autres protgent des zones plus sensibles. Les dgts causs par
un pirate, un virus ou un ver, sont ainsi limits la zone initiale dattaque.

456
Ce principe, que nous retenons pour notre rseau, nous amne dfinir la notion de do-
maine de confiance.
Une approche macroscopique permet de distinguer globalement deux domaines de
confiance : le rseau interne couvrant les sites de notre entreprise et les rseaux externes re-
groupant les partenaires et sous-traitants. Une analyse plus dtaille montre que notre rseau
se compose de trois grands ensembles :
les sites parisiens formant notre rseau interne ;
le reste du Groupe et ses filiales formant le rseau de notre entreprise ;
les utilisateurs en accs distant.

Lobjet de ltude est donc de dcrire larchitecture mettre en place sur notre rseau pari-
sien. La scurit est aborde du point de vue de notre rseau : ce sont les ressources situes
sur notre rseau quil faut protger.
Il est noter que le choix du firewall est indpendant de larchitecture et relve dune autre
tude.
Acteurs et matrice de confiance
Un certain nombre dacteurs et de ressources auxquels il nous faut accder ont t identifis
et classs en fonction de critres propres notre site parisien et faisant suite une tude
danalyse de la valeur et danalyse de risque. Ainsi, les niveaux de protection et de
confiance indiqus ci-dessous sont ceux vus de notre site parisien, site sur lequel le firewall
est mis en place. Le point de vue dautres sites, mettant en place leur propre firewall, serait
sans doute diffrent. Il sagit ici de dterminer les protections mettre en place sur le fire-
wall de Paris.
Les valeurs des niveaux de confiance ont les significations suivantes :
0 Aucune confiance nest faite cet acteur (domaine de non-confiance).
1 Il est fait moyennement confiance cet acteur, par exemple, parce quil fait partie de la
mme organisation, ou parce quil sengage sur des niveaux de protection.
2 Pleine confiance est faite cet acteur, car nous matrisons son rseau et ses ressources.

Les valeurs des niveaux de protection ont les significations suivantes :
0 Larchitecture firewall na pas de ressources protger.
1 Larchitecture firewall offre un premier niveau de protection, notamment par rapport
des acteurs externes lentreprise.
2 Larchitecture firewall doit protger absolument les ressources ; cest ce pourquoi elle
est mise en place.
La matrice de confiance est labore selon des critres qui dpendent amplement de consi-
drations organisationnelles et techniques propres chaque entreprise.
Protger son rseau
CHAPITRE 17

457
457
Acteurs Niveau de
confiance
Ressources de lacteur Niveau de
protection
Site parisien 2 Sites intranet, fichiers, SGBD, bureautique 2
Groupe / Filiales 1 Sites intranet, SGBD, bureautique 1
Partenaire / Sous-traitants 0 Sites intranet, fichiers 0
Acteurs en accs distants 0 0

On peut donc dresser une cible de confiance, le centre tant le domaine scuriser, et les
domaines devenant de moins en moins srs au fur et mesure que lon sen loigne. Les
pointills indiquent des limites non matrises par notre entreprise et donc, un domaine de
non-confiance.

Paris
Groupe
Partenaires
Accs distant
et sous-traitants
Internet
et filiales

Matrice de communication
Le tableau suivant prcise quel acteur doit accder aux ressources dtenues par tel autre ac-
teur.

Lacteur X
accde aux ressources
de lacteur Y
Paris

Groupe
/ Filiales
Partenaires
/ Sous-traitants
Accs
distants
Paris --- Oui Oui ---
Groupe / Filiales Oui --- Oui ---
Partenaires / Sous-traitants Oui Non --- ---
Accs distants Oui Oui Non ---

458
En gris, apparaissent les acteurs ayant un niveau de confiance infrieur ceux dtenant des
ressources cibles. Il nous faut donc mettre en place des ressources partages et augmenter la
scurit en isolant lacteur ou la ressource sur un rseau ddi.
Le cas de lacteur Accs distants est particulier, car il doit accder directement aux res-
sources de notre entreprise, alors quil est situ dans un domaine de non-confiance. Ce qui
signifie quil faut mettre en place des mcanismes de scurit supplmentaires permettant de
renforcer la scurit.
On peut, ds lors, identifier trois segments ddis hbergeant des ressources partages :
un segment Accs distants hbergeant des ressources ddies aux accs distants ;
un segment Partenaires partag par les partenaires et notre site parisien ;
un segment Groupe partag par le Groupe et notre site parisien.
Les segments, communment appels DMZ (DeMilitarized Zones), permettent ainsi dviter
tout flux direct entre acteurs ayant des niveaux de confiance diffrents. De la mme ma-
nire, les acteurs de niveaux de confiance diffrents seront placs sur des rseaux distincts,
cest--dire connects diffrentes interfaces du firewall.

Rseau Partenaires
Rseau Paris
Segment
Groupe
Partenaires et
sous-traitants
Segment Partenaires
Firewall
Rseau Accs distants
Rseau
Groupe / filiales
Segment
Accs distants

Mcanismes de scurit supplmentaires
Les protections contre les attaques et le contrle de flux offerts par un firewall ne suffisant
pas se protger des domaines de non-confiance, les mcanismes suivants permettent
dajouter un niveau supplmentaire de scurit vis--vis des rseaux externes tels ceux des
partenaires :
masquage des adresses internes par translation ;
coupure des flux avec des relais applicatifs, de prfrence intgrs au firewall ;
interdiction des sessions Netbios et RPC, qui ne sont pas matrisables par les firewalls ;
scurisation des serveurs situs sur les segments ddis par durcissement du systme
dexploitation, restriction des droits daccs et dsactivation des services systme et r-
seau non utiliss.
Protger son rseau
CHAPITRE 17

459
459

LES TRANSLATIONS DADRESSES ET DE PORTS (RFC 3022)
La translation dadresse, appele NAT (Network Address Translation) consiste changer ladresse source
et/ou destination des paquets IP traversant un routeur ou un firewall. Ce type de mcanisme peut tre utili-
s plusieurs desseins :
masquage du plan dadressage interne vis--vis de rseaux externes tels quInternet pour des questions
de scurit ;
rsolution des conflits dadresses : lorsque deux socits fusionnent, la probabilit est non ngligeable
que leurs plans dadressage soient identiques, surtout si elles respectent la RFC 1918 (cf. chapitre 5).
Pour Internet, la translation dadresse a t la solution privilgie pour palier la pnurie dadresses publi-
ques, puisqu lorigine toutes les entreprises voulant se raccorder Internet demandaient ce type
dadresses. Depuis, les entreprises optent majoritairement pour un plan dadressage RFC 1918 ou priv
hors RFC 1918 (cest--dire des adresses non rserves auprs des organismes dInternet), avec une
translation dadresse vis--vis de lInternet et de leurs partenaires externes.
Il existe trois types de translations dadresses :
Dynamique N pour 1 : N adresses sources sont translates en 1 adresse source. Vis--vis de
lextrieur, les paquets sont donc tous issus de la mme source. Afin de distinguer les destinataires des
paquets reus en retour, le port TCP ou UDP source des paquets mis est galement modifi et associ
ladresse IP source originelle. Pour des protocoles comme ICMP, le discriminant est gnralement un
numro de requte ou de session contenu dans le segment de donnes transport dans IP.

source
@ IP PC @ IP serveur @ IP routeur @ IP serveur
@ IP PC
@ IP PC @ IP serveur @ IP routeur @ IP serveur
source destination destination

port 1025 port 53 port 10000 port 53
source destination source destination
port 1025 Rseau interne Rseau externe

Dynamique N pour M (avec M N), qui est une variante du prcdent type. Si M est infrieur N, le
mcanisme de discriminant prcdemment dcrit est utilis.
Statique 1 pour 1 : chaque adresse est translate en une autre adresse. Ce mode est surtout utilis
pour les adresses de destination correspondant des serveurs atteindre.

source
@ IP PC @ IP NAT @ IP PC @ IP serveur
@ IP NAT
@ IP PC @ IP NAT @ IP NAT @ IP serveur
source destination destination

source destination source destination
@ IP serveur Rseau externe Rseau interne

La translation de port PAT (Port Address Translation) consiste modifier les ports destination dans le but
dajouter un niveau de scurit supplmentaire en conjonction avec un relais applicatif (cf. section traitant
des firewalls).

460
Le firewall traitera des translations dadresses pour masquer les adresses internes vis--vis
des rseaux des partenaires. Cette traduction doit tre statique pour les machines cibles aux-
quelles accdent les partenaires et sous-traitants. Les clients sortants feront quant eux
lobjet dune translation dynamique N pour 1.
Quant aux utilisateurs en accs distant, qui doivent nanmoins accder aux ressources de no-
tre rseau, il est difficile de les orienter vers des ressources partages sur un segment ddi,
car les mcanismes de rplication avec les serveurs internes seraient trop complexes, voire
impossibles mettre en uvre. De ce fait, les mcanismes devant renforcer la scurit doi-
vent avoir trait la confidentialit :
authentification forte permettant de sassurer de lidentit de lutilisateur ;
chiffrement des donnes afin dassurer la confidentialit face aux rseaux externes tra-
verss (rseau tlphonique, ADSL, etc.) ;
contrle dintgrit permettant de sassurer que les paquets IP (en-tte et donnes) ne
sont pas modifis.
Cas du DNS
Les partenaires disposent de leur propre DNS, quils renseignent avec les adresses que nous
leur donnons et auxquelles ils associent les noms souhaits. De cette manire, aucun
change nest ncessaire entre leur DNS et le ntre.
Quant nos utilisateurs en accs distant qui peuvent tre localiss nimporte o dans le
monde, il est prfrable de leur ddier un DNS qui contient des informations partielles.
Nous devons, en consquence, considrer deux serveurs DNS :
un vrai serveur DNS sur le rseau parisien usage exclusif de nos utilisateurs ;
un serveur DNS contenant des informations partielles lusage de nos utilisateurs en
accs distant.
Chacun de ces serveurs rside sur son rseau ou segment respectif et appartient un systme
DNS distinct, cest--dire disposant de sa propre racine sans aucun change avec lautre.

Rseau Partenaires
Rseau Paris
Segment
Groupe
Partenaires et
sous-traitants
Segment Partenaires
Firewall
Rseau
Groupe / filiales
DNS
Rseau Accs distants
Segment
Accs distants
DNS

Protger son rseau
CHAPITRE 17

461
461
Le DNS du rseau parisien fournit les informations aux clients du rseau parisien :
Il gre le SOA siege.societe contenant les ressources situes sur notre rseau interne.
Il gre le SOA partenaires.societe contenant les ressources des partenaires auxquelles
nos utilisateurs doivent accder. Ce SOA contient les adresses qui nous sont prsentes
par les partenaires et les noms connus par nos utilisateurs. Cette configuration prsente
lavantage dviter tous flux DNS entre les rseaux Partenaires et notre rseau, ce qui
renforce la scurit. On suppose ici que le nombre de machines est raisonnablement li-
mit de manire ne pas compliquer les tches dexploitation.
Il gre le SOA part-ext.siege.societe contenant les ressources situes sur le segment
Partenaires. Ce SOA nest connu que de nos utilisateurs.
Les requtes concernant dautres SOA sont rediriges vers les serveurs comptents du
Groupe via le serveur racine, utilisant en cela les mcanismes classiques du DNS.

Le DNS du segment Accs distants fournit les informations nos utilisateurs en accs dis-
tant. Il gre une copie partielle du SOA siege.societe, qui contient uniquement les adresses
et les noms des machines situes sur notre rseau interne et qui doivent tre accessibles de-
puis lextrieur. Ces adresses doivent tre les mmes que celles configures dans les rgles
de filtrage du firewall.
Cas de Netbios
La rsolution des noms Netbios utilise les serveurs WINS (Windows Internet Name Service)
de Microsoft. Pour les mmes raisons que DNS, le segment Accs distants doit disposer de
son propre serveur, quil est prfrable de paramtrer avec des adresses statiques. De cette
manire, seules les machines explicitement autorises seront visibles par les utilisateurs en
accs distant, et le protocole WINS sera bloqu.
Un serveur WINS exporte ses ressources vers un autre serveur WINS en mode push via
le protocole Nameserver sur le port TCP 42. Le montage de ressources disques et la messa-
gerie Outlook utilisent, quant elles, le protocole Netbios sur TCP 139, que nous devons
laisser passer.
Les utilisateurs en accs distant doivent disposer de leur propre domaine de compte leur
permettant daccder, par le biais des relations de confiance (au sens Windows du terme), au
domaine de ressources du sige. Un PDC (Primary Domain Controler) doit donc tre instal-
l sur le segment Accs distants.
Il est toutefois possible de contourner les mcanismes de relations de confiance en utilisant
la procdure connect as . Il faut donc filtrer les messages SMB correspondants. En revan-
che, les connexions entre les domaines Paris et Groupe utiliseront la procdure connect
as afin dviter de diffuser tous les comptes (plusieurs milliers).


462
Services IP et matrice de flux
Chacune des ressources est accessible par un protocole et un numro de port UDP ou TCP
bien identifis, qui vont servir de base au filtrage appliquer sur le firewall. La matrice de
flux ci-dessous prsente les sens de connexion, ce qui ninterdit pas les changes dans les
deux sens. Ainsi, les connexions ne peuvent tre inities qu partir dun rseau situ dans
un domaine de confiance suprieur un autre (exception faite de nos utilisateurs en accs
distant), et aucune connexion ne peut tre initie depuis un segment.

Vers
De
Rseau
Paris
Rseau
Groupe
Rseau
Partenaires
Rseau
Accs distants
Segment
Partenai-
res
Segment
Groupe
Rseau
Paris
--- DNS HTTP, FTP HTTP, FTP HTTP, SQL,
Netbios
Rseau Groupe DNS --- HTTP, FTP HTTP, SQL,
Netbios
Rseau
Partenaires
--- HTTP, FTP
Rseaux Accs
distants
Telnet
(1)
, HTTP,
SQL, DNS, Netbios
HTTP, SQL, DNS,
Netbios
---
Segment
Public

---
Segment
Groupe
---
Case vide = aucun service accessible.
(1)
Pour la population des exploitants uniquement.

Il est dsormais possible de prciser larchitecture mettre en place, de dterminer le plan
dadressage et les mcanismes de translation dadresses.

Rseau Partenaires
Rseau Paris
Segment Groupe
Partenaires et
sous-traitants
Segment Partenaires
Rseau
Groupe / filiales
DNS
DNS
Serveur
HTTP, FTP
Serveur
HTTP
Serveur
Windows
SGBD
SQL
10.0.8.147/28
10.0.8.149/28
10.0.0.0/22
10.0.8.145/28
10.0.8.146/28
10.0.8.148/28
NAT
n1
Firewall
Rseau Accs distants
Segment
Accs distants
WINS
10.0.8.144/28
PDC

Protger son rseau
CHAPITRE 17

463
463
Dans la mesure du possible, les serveurs utilisant des protocoles diffrents doivent tre iso-
ls sur des segments distincts, ce qui est le cas de Netbios, protocole difficilement matrisa-
ble. Cela permet dappliquer une politique de filtrage plus restrictive, par adresse plutt que
par subnet. Si lacteur Groupe avait eu un niveau de confiance gal zro, les serveurs ac-
cessibles via Netbios auraient mme d tre installs sur des segments ddis, de manire
viter les rebonds entre serveurs Web et Windows. Mme si les serveurs ne sont pas acces-
sibles via ces deux protocoles, un cheval de Troie peut toujours lutiliser.
Conformment notre plan dadressage dfini au chapitre 5, les rseaux et segments ddis
autour du firewall partagent un rseau de classe C subnet sur 28 bits, 10.0.8.144/28, dans le
but dconomiser des adresses. On obtient ainsi 16 sous-rseaux de 14 adresses chacun.
Cinq sous-rseaux, un par interface du firewall hors notre rseau interne, sont ici utiliss.
Le firewall ne fonctionne avec aucun protocole de routage dynamique tels quOSPF ou RIP,
l encore pour des questions de scurit. Le routage est donc statique entre les routeurs et le
firewall.
La mise en place de relais ne se justifie pas sur un rseau interne, car dune part nous exer-
ons un contrle sur les acteurs avec qui nous sommes en relation (nos utilisateurs, les par-
tenaires, le reste du Groupe), et dautre part la diversit et la complexit des protocoles
filtrer ne permettent pas aux relais de fournir un niveau de scurit supplmentaire. Le rai-
sonnement vis--vis dInternet serait, en revanche, diffrent, puisque nous aurions affaire
un rseau public, donc par dfinition non matris, et parce que le nombre de protocoles, n-
cessairement restreints, (HTTP, SMTP, etc.) seraient, de plus, facilement filtrables par des
relais.
Matrice de filtrage
La matrice de flux permet dlaborer la matrice de filtrage, cest--dire les rgles impl-
menter sur le firewall. Celle-ci doit tre construite sur le principe de louverture de flux mi-
nimale : dans la mesure du possible, les flux doivent tre ouverts entre couples dadresses
plutt quentre couples de subnets. Ainsi :
Les flux impliquant un serveur doivent tre ouverts sur la base de ladresse du serveur.
Les flux impliquant des utilisateurs authentifis doivent tre ouverts sur la base des
noms des utilisateurs (qui seront associs une adresse lorsquils seront authentifis).
Les flux impliquant des utilisateurs non authentifis doivent tre ouverts sur la base de
leur subnet. Il est envisageable dappliquer une politique de filtrage plus restrictive vis-
-vis des partenaires et de filtrer par couple dadresses.

Une fois tablie, la matrice doit pouvoir tre directement transpose dans les rgles de fil-
trage du firewall.


464
Rle et fonctionnement des firewalls
Lobjet de cette section est de montrer, avec lexemple de Netwall, le fonctionnement dun
firewall et les fonctions quil remplit :
protection active contre les attaques ;
dtection dintrusion ;
filtrage des paquets IP sur la base des adresses et des ports source et destination ;
translation dadresses IP (NAT) et des ports TCP/UDP (PAT) ;
filtrage des commandes applicatives (HTTP, FTP, DNS, etc.) ;
authentification des utilisateurs, permettant ainsi de filtrer les sessions par utilisateur et
non plus sur la base des adresses IP sources ;
chiffrement et intgrit des donnes laide du protocole IPsec ;
dcontamination anti-virus, le plus souvent en liaison avec un serveur ddi cette t-
che ;
filtrage des URL, soit directement, soit en liaison avec un serveur ddi ;
filtrage des composants actifs (ActiveX, applet Java, Java scripts, etc.).
Il appartient ltude darchitecture de dterminer si toutes ces fonctions doivent tre ou
non remplies par un seul quipement et quel endroit du rseau.
Architecture
Netwall fonctionne sur un serveur Estrella ou Escala avec le systme dexploitation AIX de
Bull ou avec un AIX scuris, appel BEST-X, qui est certifi F-B1/E3 par le CERT. Une
version sous Windows reprend linterface graphique, le module de filtrage IP et uniquement
le relais SMTP. Netwall utilise simultanment deux technologies : le firewall est compos
dun module de filtrage IP, qui repose sur le principe de stateful inspection et de plusieurs
relais applicatifs.

Module de filtrage IP
Relais HTTP
TCP/IP
Interface graphique
Bases de
donnes
Noyau AIX
tat / log / alertes
Staful Inspection
Authentification
Relais Telnet
Driver de linterface
Relais gnrique
Relayage
Authentification
tat / log / alertes
Access Control List

Le module de filtrage IP, qui rside au niveau du noyau Unix, est intercal entre le driver de
la carte et les couches IP. Tous les paquets entrants et sortants passent obligatoirement par le
Protger son rseau
CHAPITRE 17

465
465
module de filtrage IP et, en fonction du protocole, sont ensuite transmis au relais applicatif
correspondant.
La partie relayage applicatif de Netwall est constitue de plusieurs relais (dmon Unix ou
service NT), un par type dapplication relayer (Telnet, SMTP, etc.) drivs des sources du
kit TIS (Trusted Information Systems) et de Netscape Proxy Server pour le relais HTTP.
Les relais sont lancs dans un environnement restreint (chroot) et sans les privilges super-
viseur (root). Ils ne reoivent jamais les flux directement.
Fonctionnement
Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont obligatoirement traits
par le relais applicatif correspondant. Si un relais sarrte de fonctionner (arrt manuel, dis-
que plein ou bogue), le module de filtrage IP bloque le service associ.
Le module de filtrage IP offre toutes les caractristiques prsentes par la technologie state-
ful inspection :
Il garde une trace de toutes les sessions (TCP, UDP, RPC, etc.).
Il gnre dynamiquement les rgles de filtrage.
Il analyse au niveau applicatif (FTP, RPC, etc.).
Il gre la fragmentation IP.
Les rgles sont dfinies dans une base appele ACL (Acces Control List). Pour chacune
dentre elles, on dfinit laction entreprendre (accepter, rejeter, authentifier), le niveau
dinformation enregistrer pour les vnements (normal, dtaill, debug) et la manire de
remonter une alerte (trap SNMP, e-mail, pager ou dclenchement dun script personnalis).
Les rgles peuvent tre actives pendant des priodes donnes (heure, jour de la semaine).
Les protections contre le spoofing, les attaques par inondation syn, les ping of death, etc.,
sont actives au niveau du module de filtrage IP, entre le driver rseau et la couche IP.
La configuration des interfaces est particulire. Trois types dinterfaces sont prdfinis la
base : interne, externe et DMZ (DeMilitarized Zone). Lorsque le firewall est configur avec
plus de trois interfaces, ladministrateur doit dfinir des domaines de scurit bass sur les
rseaux IP puis affecter les interfaces un domaine. La dfinition des rgles est ensuite r-
alise partir de ces domaines.
Relais applicatif
Les applications relayes sont HTTP, FTP, SMTP et Telnet. Chaque relais gre le contrle
de flux, le filtrage des commandes (HTTP, FTP, SMTP), lauthentification, lenregistrement
des vnements et la connexion vers la machine cible.
Deux processus SMTP spars fonctionnent, un pour les connexions avec Internet et lautre
pour les connexions internes. Le relais SMTP empche toute connexion directe partir dun
client Telnet sur port 25.

466
Les autres protocoles peuvent tre traits par un relais gnrique fonctionnant sur le mode
relais de circuit : la demande de connexion est intercepte pour authentifier la session, puis
la connexion est autorise vers le serveur cible. Les flux sont ensuite relays sans contrle
particulier, autre que celui ralis par le module de filtrage IP.
Le relais HTTP offre les fonctions suivantes :
gestion des changements de mots de passe utilisateur depuis un navigateur ;
filtrage des URL ;
filtrage des applets Java et des scripts Java.
Les composants ActiveX peuvent galement tre filtrs.
Cas des protocoles non relays
Tous les protocoles, quils soient relays ou non, sont traits par le module de filtrage IP sur
le mode stateful inspection. Les protocoles non relays sont donc traits au niveau du noyau.
Les paquets peuvent tre filtrs en fonction du protocole (UDP, TCP, ICMP), des adresses
source et destination, du port (UDP ou TCP) ou sur le champ option situ dans len-tte
du paquet IP.
Authentification
Lauthentification est gre individuellement par chaque relais applicatif et globalement par
le module de filtrage IP. Les niveaux de fonctionnalits sont cependant diffrents.
Tous les protocoles peuvent tre authentifis par le module de filtrage IP via la carte puce
CP8 de Bull. Cette solution ncessite un lecteur de carte sur le poste de lutilisateur et un
serveur CP8LAN. Lauthentification est transparente pour lutilisateur : le firewall inter-
cepte une demande de connexion et demande lautorisation au serveur CP8LAN qui inter-
roge la carte de lutilisateur. Dans le cas dune rponse positive, le firewall permet aux
paquets de passer. Si la carte CP8 est retire de son lecteur, le serveur CP8LAN la dtecte et
en informe le firewall qui ferme toutes les sessions de lutilisateur en question. Les commu-
nications entre les clients, le firewall et le serveur CP8LAN sont chiffres via DES.
Les proxy FTP et Telnet supportent, en plus, les authentifications via S/Key, SecurID, les
mots de passe Unix classiques et galement ISM/Access Master. En revanche, le relais
HTTP supporte uniquement le mode classique (mot de passe non chiffr) et la variante chif-
fre via SSL.
Deux procdures de connexion sont proposes aux utilisateurs :
mode non transparent : lutilisateur se connecte dabord sur le firewall pour
sauthentifier, puis ouvre une session sur la machine cible et, ventuellement,
sauthentifie nouveau ;
mode transparent : lutilisateur se connecte directement sur la machine cible, mais cette
demande est intercepte par le firewall, qui demande une authentification pralable. La
session est alors relaye normalement par le relais.
Protger son rseau
CHAPITRE 17

467
467
Translation dadresses
Deux modes de translation sont proposs :
Le mode statique offre une gestion au niveau du module de filtrage IP : chaque adresse
est translate en une adresse (mode 11) qui sera seule visible de lextrieur (par rap-
port linterface do elle provient).
Le mode dynamique offre une gestion au niveau des relais applicatifs : les adresses
dun rseau ou dun sous-rseau sont translates en une seule (mode n1 dit de mas-
quage).
Netwall prend en compte les protocoles DNS et Netbios, qui prsentent la particularit de
transporter les adresses IP dans la partie donnes des paquets.
Redondance
Un module complmentaire, appel SafeNetwall, permet doffrir le partage de charge et la
redondance entre deux firewalls. Les deux machines dialoguent via une interface Ethernet
de prfrence ddie pour des questions de scurit. Les sessions en cours ne sont pas cou-
pes.
Administration
Ladministration du firewall peut tre ralise de diffrentes manires :
partir dune interface graphique X/Windows ;
partir dun navigateur Web via HTTP ;
via des menus en mode texte (interface SMIT fournie en standard avec AIX).
Si la station est dporte, les sessions avec Netwall sont authentifies via DES et lintgrit
des donnes est contrle par une signature DES. Les paquets en eux-mmes ne sont pas
chiffrs. Les accs au firewall peuvent tre contrls via les mcanismes propres
ISM/Access Master.
Les statistiques affiches en temps rel comprennent le nombre de paquets traits et rejets
ainsi que les ressources systme utilises. Ladministrateur peut, travers linterface graphi-
que, modifier des paramtres systme tels que la taille des caches, les files dattente et les
tampons utiliss pour la fragmentation.
Un produit distinct, appel Netwall Partitioner, permet de gnrer des rgles de filtrage pour
diffrentes plates-formes : les routeurs Cisco et NCS ainsi que les firewalls Netwall et PIX
(Cisco).
Log et audit
Comme pour les autres fonctionnalits, les vnements sont gnrs deux niveaux : relais
applicatifs et module de filtrage IP. Ils sont enregistrs dans deux types de fichiers : audit et
alertes.

468
Le module de filtrage IP enregistre dans le fichier daudit les adresses IP source et destina-
tion, les ports, len-tte du paquet (mode dtaill), le contenu du paquet (mode trace) et la
date de linterception. Le fichier des alertes contient les adresses IP source et destination, les
ports, les protocoles et la date de lvnement.
Les relais enregistrent des informations propres leur application (FTP, Telnet, HTPP,
etc.) : heure de dbut et dure de la session, nombre doctets changs, adresses source et
destination, nom de lutilisateur et informations sur les sessions dauthentification. En mode
trace, le contenu du paquet est galement enregistr.
Les alertes peuvent tre dclenches partir dun vnement simple (rejet dun paquet, refus
dauthentification) ou sur des conditions spcifiques fondes sur le nombre doccurrences
dun vnement ou sa frquence (nombre doccurrences de lvnement pendant une p-
riode donne).
Mcanismes de protection
La fragmentation des paquets est gre de la manire suivante : lorsquun fragment arrive et
quil nest pas le premier dune srie, il est mmoris jusqu la rception du premier frag-
ment qui contient toutes les informations. Cette approche est double tranchant : elle offre
plus de scurit puisque tous les fragments sont lus avant le traitement complet du paquet,
mais elle est potentiellement vulnrable aux attaques de type teardrop, puisquil faut allouer
de la mmoire pour stocker les fragments.
Intgrit
Le module de filtrage IP bloque par dfaut tout le trafic et contrle lactivit des autres pro-
cessus. Si lun deux sarrte, le module de filtrage IP bloque le trafic correspondant. Les
fonctionnalits lies la TCB (Trusted Computing Base) peuvent tre tendues Netwall et
vrifier lintgrit des fichiers (checksum sur le contenu, date de modification, propritaire).
Chiffrement des donnes
Le firewall est compatible avec les VPN (Virtual Private Network) IPsec. Pour des dbits
suprieurs quelques Mbit/s, mieux vaut utiliser un botier ddi appel SecureWare.
Remarques sur ladministration des firewalls
Il faut souligner que, dans tous les cas de figure, la scurit rclame une administration
continue. Une quipe dexploitation doit tre forme spcifiquement aux techniques lies
la scurisation des rseaux IP et au firewall lui-mme. Les tches sont notamment les sui-
vantes :
positionnement des rgles de filtrage ;
analyse de toutes les rgles de filtrage (une rgle peut en effet mettre en dfaut toutes
les autres) ;
gestion des autorisations daccs ;
analyse et purge des log.
Protger son rseau
CHAPITRE 17

469
469
La confidentialit
La scurit, exprime en termes de confidentialit, recouvre plusieurs fonctionnalits :
le chiffrement des donnes ;
lintgrit des donnes, qui consiste vrifier que les donnes reues sont bien celles
qui ont t originellement mises ;
la signature, qui consiste sassurer quun objet a bien t mis par celui qui prtend
lavoir fait ;
le certificat, qui consiste sassurer que la cl publique du destinataire est bien la
sienne.
Les mcanismes mis en uvre pour ces fonctionnalits reposent sur les algorithmes de chif-
frement. Des protocoles intgrent ensuite ces algorithmes dans des applications telles que les
changes rseau au sens large, les cartes bancaires, le paiement lectronique, etc.
Les algorithmes de chiffrement
Il existe trois catgories dalgorithmes de chiffrement :
les algorithmes cl secrte, dits symtriques : lmetteur doit partager une cl secrte
avec chacun des destinataires ;
les algorithmes cl publique, dits asymtriques : deux cls (une prive et une publi-
que) peuvent chiffrer et dchiffrer un message ;
Les algorithmes cl secrte non rversibles.
Les algorithmes symtriques ncessitent qumetteur et destinataire se soient, pralable-
ment tout change, mis daccord sur un mot de passe connu deux seuls. Chaque metteur
doit donc grer autant de cls quil a de correspondants. Les algorithmes de ce type les plus
rpandus sont DES (Data Encryption Standard), une version amliore appele Triple DES,
RC4, RC5, RC6, IDEA (International Data Encryption Algorithm) et AES (Advanced En-
cryption System), le successeur dsign de DES.
Le principe des algorithmes asymtriques est le suivant :
La cl publique de B est diffuse auprs de tous ses correspondants.
Une personne A, dsirant envoyer un message B, chiffre le message avec la cl pu-
blique de B.
B est le seul pouvoir dchiffrer le message avec sa cl prive.
Il est noter que les cls sont commutatives :
Il est possible de chiffrer avec la cl publique et de dchiffrer avec la cl prive.
Il est possible de chiffrer avec la cl prive et de dchiffrer avec la cl publique.
Cette proprit est utilise pour la signature numrique (voir plus loin).
Lavantage dun algorithme asymtrique est quun destinataire B na besoin que dune cl
pour tous ses correspondants. Avec un algorithme symtrique, il faut en effet une cl secrte

470
partager avec chaque correspondant ( moins quon accepte lide que chaque correspon-
dant puisse dchiffrer les communications entre B et quiconque partageant la mme cl).
Les algorithmes cl publique les plus en pointe actuellement sont RSA (Rivest, Shamir et
Adleman), et ECC (Elliptic Curve Cryptosystem).
Les algorithmes non rversibles consistent transformer un message en un mot de 128 bits
ou plus. Lalgorithme de hachage utilis doit tre collision presque nulle, cest--dire que
la probabilit que deux messages diffrents produisent le mme mot de 128 bits, doit tre la
plus faible possible. Les algorithmes de ce type les plus rpandus sont MD5 (Message Di-
gest RFC 1319 et 1321) et SHA (Secure Hash Algorithm).

Algorithme Norme ou proprit Type Longueur de la cl
ECC Libre Asymtrique 128 bits
RSA Proprit RSA Asymtrique 40, 56, 128 ou 1024 bits
IDEA Proprit MediaCrypt Symtrique 128 bits
CAST RFC 2144 et 2612 Symtrique 128 ou 256 bits
AES FIPS 197 Symtrique 128, 256 bits ou plus
DES FIPS 42-2 Symtrique 40 ou 56 bits
Triple DES FIPS 42-3 Symtrique 3 fois 40 bits
RC4 Proprit RSA Non rversible 40 bits
RC5 Proprit RSA Non rversible 40, 56 ou 1024 bits
SHA FIPS 180-1 Non rversible 160 bits
FIPS = Federal Information Processing Standard : normes dictes par le NIST.

Protger son rseau
CHAPITRE 17

471
471
Efficacit des algorithmes de chiffrement
La performance dun algorithme cl (secrte ou publique) se caractrise par son inviolabi-
lit qui repose sur deux facteurs :
un problme mathmatique, rput insoluble (un hard problem ), souvent bas sur la
factorisation des grands nombres premiers en utilisant des modulos dans des groupes
gnrateurs Zp ;
la longueur de la cl : 40, 56, 128 et 1024 tant des valeurs courantes.
Le tableau suivant prsente le temps mis pour trouver une cl DES. Il est extrait dun rap-
port rdig en 1996 par sept spcialistes parmi lesquels Rivest (de RSA), Diffie (de Diffie-
Hellman) et Wiener (auteur dune mthode permettant de casser lalgorithme DES).

Budget en $ Matriel utilis Temps mis pour trouver la cl DES
40 bits 56 bits
Presque rien Ordinateurs 1 semaine infaisable
400 $ Ship programmable 5 heures 38 ans
10 000 $ Ship ou ASIC 12 minutes 556 jours
300 000 $ ASIC 18 secondes 3 heures
10 M$ ASIC 0,005 secondes 6 minutes

Depuis, les choses ont bien volu : un tudiant de lcole polytechnique a russi casser la
cl 40 bits de lalgorithme RC4 en 3 jours, rien quen utilisant les temps CPU libres de su-
per-calculateurs. Le record est dtenu par des tudiants de luniversit de Berkeley qui, en
fvrier 1997, ont cass la cl en 3 heures 30 laide de 250 stations de travail en rseau.
La socit RSA, qui commercialise lalgorithme du mme nom, a organis un concours dont
le but tait de casser la cl 56 bits de lalgorithme DES, preuve remporte par un consultant
indpendant.
Linfaisabilit de la proprit mathmatique utilise par lalgorithme est galement un cri-
tre important : par exemple, ECC 128 bits est aussi sr que RSA 1024 bits, et RSA 40
bits est aussi sr que DES 56 bits.
Tout organisme priv ou public peut investir dans la production dun ASIC spcialis. La
hauteur de son investissement dpend simplement du gain quil peut en tirer, do lintrt
de bien valuer la valeur commerciale de linformation protger.
En conclusion, les cls 40 bits sont aujourdhui considres comme non sres et
lalgorithme DES comme obsolte.

472

LE POINT SUR SSL / TLS (RFC 2246 ET 3546)
Le protocole TLS 1.0 (Transport Layer Security) est la version standardise du plus connu SSL 3.0 (Se-
cure Socket Layer). Il permet dauthentifier le serveur et, ventuellement, le client, ainsi que de chiffrer et
de contrler lintgrit des donnes de bout en bout entre un PC et un serveur. Le principe repose sur
lutilisation de cls publiques diffuses sous forme de certificats X.509, cest--dire signes par une auto-
rit de certification. Dans le cas du paiement lectronique, cest le serveur, sur lequel est effectu le
paiement, qui envoie son certificat, mais certaines applications peuvent requrir un certificat de la part du
client afin dauthentifier ce dernier.

Client Hello
Server Hello
Options de chiffrement
N alatoire
Session ID
N alatoire
Server Key Exchange
Certificat : cl publique
signe par une Autorit
de certification
Server Hello Done Ngociation des options
de chiffrement OK
Client Key Exchange Cl de session chiffre
avec la cl publique du
certificat
Change Cipher Spec
Change Cipher Spec
Finished
Finished
Confirmation des options
de chiffrement utilises
Gnre une cl de
session partir des n
alatoires changs
Si lautorit de certification nest pas
dans la liste du navigateur, le certificat
doit tre accept manuellement

La cl publique (1024 bits ou plus) sert chiffrer la cl de session laide dun algorithme asymtrique tel
que RSA. La cl de session (128 bits au minimum, 40 bits tant courant mais pas suffisant) est utilise
pour chiffrer les donnes avec un algorithme symtrique tel que 3DES ou IDEA (RC4 et DES tant cou-
rants mais trop faibles). Un algorithme non rversible, tel que MD5 ou, mieux, SHA, est utilis pour contr-
ler lintgrit des donnes changes.
De nombreux protocoles reposant sur TCP (pas UDP) existent en une version SSL :
Protocole Port TCP Protocole Port TCP Protocole Port TCP
SMTPS 465 FTPS 989/990 HTTPS 443
IMAPS 993 Telnets 992
POP3S 995 LDAPS 636
Le chiffrement est trs consommateur de ressources CPU, dautant quune page Web comportant 4 ima-
ges ncessite la cration de 5 sessions SSL (une pour chaque requte GET), ce qui signifie 5 ngociations
spares. Des botiers ddis sont donc souvent positionns devant les serveurs devant traiter plusieurs
sessions SSL en parallle. Enfin, bien que la plupart des navigateurs supportent SSL 2.0 et 3.0, il est for-
tement recommand de ne pas utiliser la version 2.0, qui comporte des failles de scurit connues.
Protger son rseau
CHAPITRE 17

473
473
Les protocoles de scurit
Lintgration des algorithmes des produits commerciaux est rendue possible grce aux
protocoles de scurit. Ceux-ci comprennent, au minimum, le chiffrement, mais peuvent
galement prendre en compte lintgrit des donnes, la signature, ou encore la gestion des
certificats.

Protocole Origine / Norme Algorithmes utiliss
IPsec RFC 2401 2406 DES, Triple DES, MD5, etc.
SSL
(Secure Socket Layer)
Netscape
RFC 2246 et 3546
Authentification et chiffrement RC4 40
ou 128 bits
PGP
(Pretty Good Privacy)
RFC 1991 Signature MD5, SHA
Chiffrement IDEA, CAST et RSA
jusqu 2048 bits
S-HTTP
(Secure HTTP)
Enterprise Integration Technologies RC4 40 ou 128 bits
Certificat X.509
S/Mime
(Secure Multi Purpose Mail Extensions)
Draft IETF conforme PKCS DES ou RC2 40 bits et RSA 40 bits
PGP/Mime RFC 2015 Idem PGP appliqu Mime
PEM
(Privacy Enhanced Mail)
RFC 1421 et 1424 Intgrit
Authentification
Chiffrement
PKCS
(Public Key Cryptography Standards)
RSA Chiffrement DES et RSA
Signature MD5 et RSA
change de cl Diffie-Hellman

Ces protocoles dfinissent les changes, le format des donnes, les interfaces de program-
mation et lintgration dans un produit. Par exemple, SSL (Secure Socket Layer) et SHTTP
sont destins aux navigateurs Web alors que S/Mime et PGP/mime sintgrent la message-
rie Internet.
Lintgration de ces algorithmes est dcrite par le standard PKCS sous la forme de profils
dcrits dans le tableau suivant.


474
Profil PKCS #
Standards 1 3 5 6 7 8 9 10 Autres standards lis
Syntaxe indpendante des algorithmes
Signature numrique des messages x x
Enveloppe numrique des messages x
Demande de certificat x x
Certificats X.509, RFC 1422
Certificats tendus x x
Liste de certificats rvoqus
Chiffrement par cl prive x x
change de cls
Syntaxe dpendant des algorithmes
RSA cl publique x
RSA cl prive x
Algorithmes
Message digest : MD2, MD5 RFC 1319, 1321
Chiffrement cl prive DES RFC 1423
Chiffrement cl publique RSA x
Signature: MD2, MD4, MD5 w/RSA x
Chiffrement des mots de passe x
change de cls Diffie-Hellman x

Ainsi, S/MIME repose sur les standards PKCS #1, #3, #7 et #10. De mme, le GIE Master-
card/Visa utilise PKCS #7 comme base des spcifications SET (Secure Electronic Transac-
tion). Les algorithmes retenus sont RSA 1024 bits pour la signature et lenveloppe, DES 56
bits pour le chiffrement (uniquement pour des faibles montants) et Triple DES.
Les protocoles dchange de cls
Le problme des algorithmes symtriques rside en la diffusion pralable de la cl entre les
deux parties dsirant changer des messages : le destinataire doit connatre la cl utilise par
lmetteur, la cl devant demeurer secrte. Le moyen le plus simple est lchange direct ou
via un support autre quinformatique. Outre les problmes de confidentialit, des problmes
pratiques peuvent survenir, surtout sil faut changer souvent de cl.
Afin dviter cela, dautres algorithmes ont t dvelopps. Il sagit de :
Diffie-Hellman ;
SKIP de SUN ;
PSKMP (Photuris Secret Key Management Protocol) ;
Protger son rseau
CHAPITRE 17

475
475
ECSVAP1 et ECSVAP2 (Elliptic Curve Shared Value Agreement Protocol) ;
ISAKMP (Internet Security Association and Key Management Protocol), Oakley et
Skeme ;
IKE (Internet Key Exchange) utilis par IPsec.
Lalgorithme de Diffie-Hellman est le plus connu. Son principe est le suivant :
Soit un gnrateur g du groupe Zp o p est un grand nombre premier.
A choisit une cl a, calcule g
a
et lenvoie B.
A choisit une cl b, calcule g
b
et lenvoie A.
A calcule (g
b
)
a
et B calcule (g
a
)
b
.
On obtient la cl secrte (g
b
)
a
= (g
a
)
b
.
Les valeurs a et b ne sont connues que de A et de B respectivement et ne circulent pas sur le
rseau. Mme si lchange est intercept, il sera trs difficile de calculer (g
a
)
b
partir de g
b

ou de g
a
. Lavantage est que cette opration peut se rpter automatiquement et plusieurs
fois au cours dun change, de manire changer de cl avant quelle ne soit ventuellement
casse.
Les autres algorithmes sont moins rpandus, soit parce quils sont moins efficaces (exemple
de SKIP), soit parce quils sont encore trop complexes mettre en uvre ou encore parce
que trop rcents, ce qui est le cas de ECSVAP1.
La gestion des certificats
Les algorithmes symtriques posent le problme de lchange pralable des cls secrtes.
Les algorithmes asymtriques nont pas ce type de problme, car la cl publique est connue
de tous. Cela soulve cependant un autre point : est-on certain que la cl publique est bien
celle de la personne qui lon veut envoyer un message ?
Les cls publiques sont, en effet, hberges sur des serveurs, qui sont donc susceptibles
dtre pirats. Pour contourner lobstacle, le destinataire peut communiquer sa cl publique
qui la demande, mais on retombe dans les difficults lies la diffusion des cls symtri-
ques.
Lautre solution consiste certifier la cl auprs dune autorit au-dessus de tout soupon,
appele CA (Certificate Authority). Lmetteur A dsirant envoyer un message B demande
au serveur de certificats de confirmer que la cl publique dont il dispose, est bien celle de
B :
A demande un certificat pour la cl publique de B.
Le CA utilise sa cl prive pour signer la cl publique de B : cette signature constitue le
certificat.
A vrifie la signature avec la cl publique du CA.
Mais comment tre certain que la cl publique du CA est bien la sienne ? Le problme sub-
siste en effet. On peut alors dsigner une autorit qui certifierait les CA, un gouvernement

476
ou un organisme indpendant, par exemple. Aux tats-Unis, les CA habilits mettre des
certificats sont VeriSign, Entrust, RSA. En France, la DCSSI (Direction centrale de la scu-
rit des systmes dinformation) a habilit des socits telles que CertPlus, CertEurope ou
Certinomis ainsi que des filiales spcialises cres par des banques franaises (cf.
http://www.minefi.gouv.fr/dematerialisation_icp/dematerialisation_declar.htm).
Le standard en matire de certificats est X.509 de lISO repris dans le RFC 1422. Il est utili-
s par les navigateurs Web via SSL, les annuaires LDAP (Lightweight Directory Access
Protocol) ou encore par le SET (Secure Electronic Transaction) pour le paiement lectroni-
que.
Les serveurs qui grent, distribuent et valident les certificats sont appels PKI (Public Key
Infrastructure). Pour plus de dtails, le lecteur pourra se rfrer au site www.pki-page.org.
La signature numrique
La signature numrique permet de prouver que lmetteur du message est bien celui quil
prtend tre. Une fonction de hachage est opre sur le message, et la valeur obtenue (le di-
gest) est chiffre avec la cl prive de lmetteur. Tous les destinataires peuvent vrifier que
lmetteur est bien celui quil prtend tre en dchiffrant la valeur de hachage avec la cl
publique de lmetteur et en la comparant avec la valeur calcule sur le message reu,
laide de la mme fonction de hachage.

metteur A Destinataire B
1. Applique MD5 au message et obtient la signature 4. Dcrypte avec cl publique de A et obtient
2. Chiffre avec sa cl prive et obtient 5. Applique MD5 au message dchiffr et obtient X
3. Envoie et le message chiffr 6. si X=, alors le message est bien issu de A

Pour ce type dalgorithme, on trouve :
DSA (Digital Signature Algorithm) qui repose sur le standard DSS (Digital Signature
Standard) du NIST (National Institute of Standard and Technologies), et utilise une cl
prive 1024 bits et un algorithme bas sur le log de Zp analogue Diffie-Hellman.
ECDSA (Elliptic Curve de DSA) qui est analogue DSA mais se base sur un algo-
rithme ECC.
Rabin Digital Signature qui repose sur la racine carre des nombres modulo Zn o n est
le produit de 2 grands nombres premiers : la racine carre de Zn est difficile trouver
(la racine carre de X modulo Zn est trs difficile trouver quand on ne connat pas n).
Protger son rseau
CHAPITRE 17

477
477
Lenveloppe numrique
Lenveloppe numrique est une technique de plus en plus utilise. On la trouve dans PGP,
Mime, PEM (Privacy Enhanced Mail). Le principe est le suivant :
Le message est chiffr laide dun algorithme cl secrte tel IDEA ou CAST.
La cl secrte est son tour chiffre laide dun algorithme cl publique tel RSA.
Les destinataires dchiffrent la cl secrte laide de leur cl prive.
La cl secrte ainsi dchiffre est utilise pour dchiffrer le message.
Par exemple, PGP peut utiliser IDEA 128 bits pour chiffrer le message et RSA, 1 024 bits
pour chiffrer la cl IDEA.
Les algorithmes cl publique sont plus puissants que les algorithmes cl symtrique : ils
sont, de ce fait, plus lents et soumis de plus grandes restrictions dutilisation et
dexportation. Lintrt de la technique de lenveloppe est quelle permet de protger la cl
de chiffrement avec un algorithme rput inviolable, et dutiliser un algorithme moins puis-
sant mais plus rapide pour chiffrer le message.
Les contraintes lgislatives
En France, la DCSSI (Direction centrale de la scurit des systmes dinformation) autorise
une utilisation libre de tous les algorithmes dauthentification, de signature et de contrle
dintgrit, quelle que soit la longueur de leur cl.
En ce qui concerne le chiffrement, lutilisation est libre ds lors que la longueur de cl
nexcde pas 128 bits, et que le logiciel ait t dclar la DCSSI par le fournisseur. Au-
del de cette longueur, le chiffrement est soumis autorisation, moins que la cl soit gre
par un tiers de confiance agr par la DCSSI et susceptible de remettre les cls aux autorits
judiciaires et de scurit, leur demande.
Toute exportation dun moyen de chiffrement doit faire lobjet dune dclaration la
DCSSI. Le site www.ssi.gouv.fr permet de consulter les textes les plus jour.
Le chiffrement des donnes
Les VPN IPsec (Virtual Private Network IP security), cits au chapitre 10, consistent
crer un tunnel IP chiffr entre un PC isol et un site (mode Client-to-LAN) ou entre deux si-
tes (mode LAN-to-LAN). Le terme de VPN est donc (un peu) usurp, car le rseau priv vir-
tuel ne repose pas sur un partitionnement logique du rseau dun oprateur, mais sur le
chiffrement des donnes. Il est dailleurs possible dutiliser IPsec au-dessus dun VPN de
niveau 2 ou de niveau 3 (cf. chapitre 10) et de toute liaison WAN ou LAN en gnral. La
notion de VPN applique IPsec ne vient quavec le chiffrement des donnes ; il est donc
possible de crer un rseau priv au-dessus dInternet, qui est un rseau public rsultant de
la concatnation de rseaux oprateur (cf. annexes).

478
Dune manire gnrale, le chiffrement permet de renforcer la scurit pour les donnes
sensibles circulant dans un domaine de non-confiance. Si le niveau de scurit lexige, il
peut sappliquer :
aux accs distants qui empruntent le rseau tlphonique dun oprateur (mode PC-to-
LAN) ;
Rseau interne
Segment Accs distants
Chiffrement / dchiffrement oprs
par le botier et le logiciel sur le PC
RTC
VPN IPsec
Botier VPN
Serveur daccs
distants
Firewall

ou entre deux sites interconnects par un rseau oprateur, que ce soit une LS, un VPN
de niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN) ;
Site du sous-traitant
VPN IPSEC
Botier VPN
Site de Paris
Botier VPN
Chiffrement / dchiffrement
oprs par les botiers
Les PC et serveurs nont pas
se proccuper du chiffrement

et, ventuellement, entre deux PC ou serveurs de notre rseau, quil soit de type LAN,
MAN, WAN ou WLAN.
La fonction VPN peut tre intgre ou non dans le firewall.
Protger son rseau
CHAPITRE 17

479
479

LE POINT SUR IPSEC (RFC 2401, 2402, 2406)
Le protocole IPsec permet de chiffrer et de contrler lintgrit des donnes, soit de bout en bout (mode
transport), soit sur une portion du rseau (mode tunnel), ainsi que dauthentifier lmetteur. Pour ce faire,
le paquet IP est encapsul dans un paquet ESP (Encapsulation Security Payload RFC 2406).

Entte IP Entte ESP Entte TCP Donnes Fin ESP ICV
Portion chiffre
Portion authentifie
Mode tunnel
Entte IP Entte TCP Donnes Fin ESP ICV
Portion chiffre
Portion authentifie
Nouvel
entte IP
Entte ESP
Mode transport
SPI N squence Bourrage Longueur Protocole
32 bits 32 bits 8 bits 8 bits 0-255 octets
Protocole=50
SPI (Security Parameters Index) :
n incrmental qui, en combinaison
de ladresse IP destination, identifie
de manire unique la session.
N squence du paquet au sein de
la session.
Bourrage : permet daligner le
champ ICV sur un mot de 4 octets.
Peut galement tre requis par
lalgorithme de chiffrement.
Longueur : nombre doctets du
bourrage.
Protocole : protocole originellement
encapsul dans IP (tcp, udp).
ICV (Integrity Check Value) : valeur
permettant de contrler lintgrit
des donnes. La longueur de ce
champ dpend de lalgorithme
retenu lors de la ngociation.

Le mode transport est utilis entre un client et un serveur pour protger les donnes transportes dans le
paquet IP originel, mais pas lentte IP lui-mme. Le mode tunnel est, quant lui, utilis si lune des deux
extrmits au moins est un firewall ou un botier IPsec : il permet de chiffrer entirement le paquet IP origi-
nel, lentte et ses donnes. Il est noter quil est possible dencapsuler le mode transport dans le mode
tunnel afin, par exemple, de chiffrer entirement et de bout en bout le paquet IP original, tout en traversant
des firewalls. Linverse est galement possible afin, par exemple, de masquer un rseau tiers tel
quInternet le plan dadressage interne lentreprise.
Un autre type dencapsulation, appel AH (Authentication Header - RFC 2402), offre les mmes fonction-
nalits hormis le chiffrement des donnes. Il est trs peu utilis.
La taille maximale des donnes transportes dans un paquet IP est dfinie par le MTU (Maximum Transfer
Unit) de la couche sous-jacente (par exemple, 1 500 octets pour Ethernet). Si le paquet IP est dj au
maximum de son MTU, loverhead ajout par IPsec provoque systmatiquement lactivation du mcanisme
de fragmentation IP (cf. chapitre 5).
Les sessions IPsec, appeles security associations, sont inities et gres laide du protocole IKE (In-
ternet Key Exchange RFC 2409), qui sappuie sur les procdures ISAKMP (Internet Security Association
and Key Management Protocol RFC 2408), Oakley et Skeme. Les algorithmes dauthentification, de chif-
frement et de contrle dintgrit, ainsi que les longueurs de cls, sont cette occasion ngocis. Selon le
slecteur retenu, deux nuds peuvent tablir une session IPsec, soit pour lensemble de leurs changes,
soit pour chaque couple dadresses IP et/ou de port TCP/UDP.


480
Lauthentification
Lauthentification apporte une protection supplmentaire par rapport la connexion par mot
de passe classique, car celui-ci, mme sil est chiffr, circule entre le client et le serveur. In-
tercept et dchiffr, il peut donc tre rutilis par un ventuel pirate. De plus, comme il ne
change pas dune session lautre, la session intercepte peut tre rejoue sans avoir besoin
de dchiffrer le mot de passe.
Lauthentification consiste donc sassurer que lmetteur est bien celui quil prtend tre.
Ce type de protection peut aussi bien sappliquer des utilisateurs qu des protocoles r-
seau tels quOSPF, afin de sassurer que seuls les routeurs dment identifis soient habilits
changer des informations de routage.
Les mcanismes dauthentification
La connexion dun utilisateur sur un ordinateur implique la saisie dun nom de compte et
dun mot de passe. Deux mcanismes de protection sont mis en uvre cette occasion :
le chiffrement du mot de passe laide dun algorithme quelconque ;
la gnration dun mot de passe diffrent chaque tentative de connexion.
Le premier mcanisme utilise les algorithmes classiques symtriques et asymtriques. Le
deuxime mcanisme, appel One Time Password, peut tre ralis de deux manires :
par dfi/rponse (challenge/response) ;
par mot de passe variant dans le temps laide de calculettes appeles token cards.
Il existe beaucoup de produits qui utilisent des variantes. Parmi les plus reprsentatifs, on
trouve :
CHAP (Challenge Handshake Authentication Protocol RFC 1994), mcanisme logi-
ciel ;
S/Key (RFC 1938), mcanisme logiciel ;
Secure ID (Security Dynamics), calculette ;
ActivCard (socit franaise), calculette, cl USB ou logiciel ;
Access Master de Bull, carte puce CP8.
Le protocole CHAP (Challenge Handshake Authentication Protocol) est utilis en conjonc-
tion avec PPP (cf. chapitre 9) pour les accs distants. Cest un mcanisme dauthentification
qui offre un premier niveau de scurit :
Le serveur envoie un challenge alatoire.
Le client rpond avec un hachage MD5 opr sur la combinaison dun identifiant de
session, dun secret et dun challenge.
Le secret est un mot de passe connu du logiciel client et du serveur.
Protger son rseau
CHAPITRE 17

481
481
Lauthentification de CHAP repose donc sur une cl secrte et un algorithme de hachage. Le
mot de passe ne circule pas sur le rseau mais doit tre cod en dur sur le logiciel client et le
serveur. Sur un serveur Radius, ce mot de passe peut mme tre inscrit en clair dans la base
de donnes.
Le mcanisme S/Key de Bellcore repose galement sur lalgorithme de hachage MD5 ap-
pliqu une liste de mots de passe valables pour une seule tentative de connexion :
La liste des cls est gnre partir dune cl initiale : la cl N sobtient en appliquant
MD5 la cl N-1 et ainsi de suite.
Le serveur qui connat la cl N+1 demande la cl N (code partir de la cl initiale).
Soit lutilisateur possde la liste des cls codes, soit il utilise un programme qui la g-
nre la demande partir de la cl initiale.
Le serveur applique MD5 n et le rsultat est compar avec la cl N+1.
Le serveur enregistre la cl n et demandera la prochaine fois la cl N-1.
Arriv la cl 1, il faudra rgnrer une nouvelle liste.

Le problme de S/Key est la gestion de cette liste. De plus, il est relativement facile de se
faire passer pour le serveur (technique du spoofing) :
Le vrai serveur demande la cl N lutilisateur.
Le faux serveur dtourne la communication et demande la cl N-10 lutilisateur.
Lutilisateur consulte sa liste (ou gnre la cl) et renvoie la rponse au faux serveur.
Disposant de la cl N-10, il suffit alors dappliquer MD5 N-10 pour obtenir la cl N-
9, et ainsi de suite.
Il suffit alors de lancer MD5 de 2 10 fois sur cette cl pour obtenir les rponses pour
les cls N-1 N-10 que le vrai serveur demandera aux prochaines demandes de
connexion.

La calculette SecureID repose cette fois sur un microprocesseur qui gnre un mot de passe
temporel toutes les 60 secondes. Celui-ci drive de lhorloge et dune cl secrte partage
par la carte et le serveur :
Lutilisateur saisit son PIN (Personnal Identification Number) sur sa carte.
La carte gnre un mot de passe en fonction du temps et de la cl secrte (seed) conte-
nue dans la carte.
Lutilisateur envoie au serveur le mot de passe affich par la carte.
Le serveur gnre en principe le mme mot de passe et compare la rponse avec son
propre calcul.

Le serveur doit cependant tenir compte du dcalage de son horloge avec celle de la carte.

482
Fonctionnement dune calculette dauthentification
La cl 3DES utilise par la calculette ActiveCard est une combinaison de plusieurs cls :
une cl secrte organisation , commune plusieurs utilisateurs ;
une cl secrte ressource propre une application, une machine sur laquelle on
veut se connecter, une utilisation particulire de la calculette ;
une cl utilisateur qui est le nom de lutilisateur, le nom dun compte, ou un identi-
fiant quelconque propre au propritaire de la calculette.
La cl ressource dsigne une machine cible sur laquelle on veut se connecter ou toute autre
application (par exemple, Accs distants ). Dix ressources sont ainsi programmables sur
la calculette, ce qui veut dire que lon peut utiliser la carte pour se connecter dix machines
diffrentes. Pour la version logicielle, ce nombre est illimit.
La calculette gnre des cls sur la base dinformations prdfinies (les trois cls prc-
demment cites, lidentifiant de lutilisateur et le numro de srie de la calculette), et sur la
base dune information variable qui est un compteur. Les informations statiques sont stoc-
kes dans la calculette et dans la base de donnes du serveur.
chaque connexion, le compteur du serveur dauthentification sincrmente de N. De
mme, chaque fois que lutilisateur appuie sur la touche de fonction ressource, la calcu-
lette incrmente son compteur interne de N. Les deux compteurs, ceux de la calculette et du
serveur, doivent tre synchroniss. Si lutilisateur appuie trop de fois sur la touche de fonc-
tion par inadvertance, les deux compteurs peuvent tre dsynchroniss, ce qui empche
lutilisateur de sauthentifier.
Ds quil reoit le mot de passe, le serveur procde au mme calcul et compare les rsultats.
Sils sont identiques, il renvoie une autorisation. Afin de prendre en compte les ventuels
carts avec le compteur de la calculette, il procde ce calcul avec les N/2 prochaines va-
leurs de son compteur et avec les N/2 prcdentes.
Ce principe de fonctionnement est le mme que celui utilis par les commandes douverture
distance des portes de voiture.
Les serveurs dauthentification
Pour scuriser la connexion un ordinateur, il existe, on vient de le voir, une multitude de
techniques et de produits diffrents. Ces produits ne sont pas disponibles sur toutes les pla-
tes-formes, car le travail dintgration est important.
Afin de pallier cette difficult, il est possible dajouter une couche supplmentaire en in-
tercalant un serveur entre le client et la machine cible. Les diteurs de systmes
dauthentification nont alors plus qu dvelopper une seule interface avec le serveur de s-
curit, et les machines cibles nont qu supporter un seul protocole dauthentification avec
le serveur dauthentification.
Il existe trois grands standards sur le march.
Protger son rseau
CHAPITRE 17

483
483
Produit Protocoles et produits supports
Radius (RFC 2138 et 2139) SecureID, CHAP (qui utilise MD5)
Tacacs (RFC 1492) et Tacacs+ SecureID, CHAP, MD5
Kerberos (RFC 1510) DES

Radius est le plus utilis. Kerberos a t le premier standard en la matire, mais sa mise en
uvre trop complexe a frein son utilisation. Le support de Kerberos par Windows 2000
pourrait annoncer cependant la rsurgence de ce standard qui na jamais rellement perc.
Tacacs est plus simple mais prsente trop de lacunes. Tacacs+ a t dvelopp par Cisco
mais nest pas rellement un standard.
Exemple dauthentification forte pour les accs distants
Les accs des utilisateurs depuis lextrieur de lentreprise, quils soient nomades ou sden-
taires, sont particulirement dangereux, car ce type de besoin ncessite laccs aux ressour-
ces de lentreprise depuis un domaine de non-confiance. En plus du contrle de flux ralis
par un firewall, il est ncessaire dauthentifier les utilisateurs, un peu la manire dune
banque avec les cartes puce.
Une premire amlioration a t apporte par le systme dauthentification CHAP lors de la
connexion PPP entre le client et le serveur daccs distants. Ce mcanisme ne suffit cepen-
dant pas, car il repose sur le partage dun secret entre lutilisateur et le serveur. Il est prf-
rable dutiliser un mcanisme dauthentification fort fond sur des calculettes. Chaque
calculette appartient son dtenteur, et tout comme une carte bancaire, son utilisation peut
tre associe la saisie dun code personnel.
Ce type de systme repose sur un serveur Radius et, au choix, de calculettes hardwares et
logicielles installes sur les postes de travail. Ce serveur est situ sur le rseau interne ou sur
un segment ddi, et dialogue avec le firewall ou le serveur daccs distants, install sur un
autre segment ddi. Il est galement utilis comme station dadministration permettant de
configurer et dactiver les calculettes.

Rseau interne
PC client
Authentification CHAP
(mot de passe du client)
Serveur dauthentification
Radius
1
2
Authentification par
calculette
Segment Accs distants
Serveur daccs
distants
Firewall


484
La solution mise en uvre est indpendante du serveur daccs distants et du mcanisme
dauthentification. Il y a en fait deux niveaux dauthentification :
1. Au niveau PPP, entre le PC client et le serveur daccs distants (via CHAP), permettant
davoir accs au service rseau. Cette tape est transparente pour lutilisateur partir du
moment o le mot de passe est stock dans le poste de travail client.
2. Au niveau du firewall, entre le PC client et le serveur dauthentification ( laide des cal-
culettes), permettant daccder notre rseau intranet. Cette tape ncessite que lutilisateur
saisisse le mot de passe affich sur la calculette.
La procdure de connexion qui en rsulte est la suivante :
Lors de la connexion, le PC envoie le mot de passe au serveur daccs distants via le
protocole CHAP. Vous utilisez le mme mcanisme pour vous connecter Internet
avec votre modem RTC ou ADSL.
Le firewall intercepte le premier paquet issu du PC. Il demande alors le nom de
lutilisateur. Celui-ci le saisit.
Le firewall demande ensuite le mot de passe. Lutilisateur doit alors saisir son code
didentification sur la calculette ou sur son PC, sil sagit dune cl USB ou dune carte
puce connecte au PC via un lecteur.
La calculette affiche alors un code constitu de chiffres et de lettres, que lutilisateur
saisit tel quel comme mot de passe. Sil sagit dune cl USB ou dune carte puce,
lutilisateur na rien faire.
Le firewall transmet les informations (nom de lutilisateur et mot de passe) au serveur
dauthentification via le protocole Radius.
Le serveur dauthentification vrifie les informations par rapport sa base de donnes
et donne ou non lautorisation au firewall (toujours via Radius).
Le mot de passe a t transmis du PC client au serveur dauthentification. Mais cela nest
pas grave puisquil nest pas rejouable : celui qui lintercepterait ne pourrait pas le rutiliser,
car il nest valable quune fois.
Lintrt doprer lauthentification au niveau du firewall plutt quau niveau du serveur
daccs distants est multiple :
Lauthentification permet de crer des rgles de filtrage par nom utilisateur, indpen-
damment de leurs adresses IP.
Le firewall enregistre dans son journal toutes les sessions des utilisateurs identifis par
leur nom.
La politique de scurit est implmente et exploite en un point unique, partir de la
console dadministration du firewall.
Avec ce principe, le serveur daccs distants gre les connexions et les modems RTC ou
ADSL, tandis que le firewall implmente la politique de scurit de notre entreprise.
La gestion des calculettes (configuration, gnration des codes secrets, etc.) est ralise
partir dune station dadministration, qui hberge galement le serveur dauthentification
Radius.

Annexes
Normes et standards
Le cblage
Normes CEN relatives au cblage
Rfrence Objet
EN 55022 Compatibilit lectromagntique pour les quipements informatiques
EN 55024 Protection contre les champs lectromagntiques (driv de IEC 801)
EN 50081-1
EN 50082-1
Compatibilit lectromagntique des composants lectroniques et des cbles
EN 50167
EN 50168
EN 50169
Caractristiques et performances des cbles FTP
EN 50173 Spcifications des performances des systmes de cblage (driv de lISO/IEC DIS 11801)
EN 186000-1 Spcifications gnriques pour les cbles et connecteurs fibres optiques
EN187000 Spcifications gnrales des cbles fibres optiques
EN 188000 Spcifications gnrales des fibres optiques

Normes EIA/TIA relatives au cblage
Rfrence Objet
EIA/TIA-569 Spcifications gnrales des infrastructures dimmeuble (espace allou, chemins de cbles...)
EIA/TIA-568 Spcifications gnrales des systmes de cblage
EIA/TIA-586 Dfinition des 5 catgories de cbles UTP (Unshielded Twisted Pair)
EIA/TIA TSB 36 Spcifications des cbles de catgorie 5
EIA/TIA TSB 40 Spcifications des connecteurs de catgorie 5
EIA-455-48 Spcifications du cur des fibres optiques 62.5/125
EIA-455-27
EIA-455-48
Spcifications des caractristiques mcaniques du revtement des fibres optiques 62.5/125
EIA-455-57 Spcifications de louverture numrique des fibres optiques 62.5/125

Normes ITU-T relatives au cblage
Rfrence Objet
ITU-T G651 Caractristiques des cbles fibres optiques gradient dindice 50/125m
ITU-T G652 Caractristiques des cbles monomode
Annexes

488
Les interfaces physiques
Avis de lITU-T relatifs aux interfaces physiques
Avis Contenu de la spcification
V.6 Standardisation des vitesses de transmission synchrone sur les lignes spcialises
V.11 Caractristiques lectriques des circuits dchange double courant symtrique jusqu 10 Mbit/s
V.24 Dfinition des changes entre ETTD et ETCD et du format de la prise
V.28 Caractristiques lectriques pour les circuits dchange double courant asymtrique
V.33 Modem 14,4 Kbit/s full duplex sur 4 fils
V.34 Modem 33,6 Kbit/s full duplex (V.FAST)
V.42 Correction derreurs LAPM (Link Access Procedure for Modem)
V.42 bis Compressions de donnes
V.54 quipement de test de modem en boucle
V.90 Modem 56,4 Kbit/s

Normes EIA/TIA relatives aux interfaces physiques
Rfrence Objet
EIA/TIA-232 Spcifications de linterface RS-232 proches de celles de la norme V.24. Dbit maximal de 64 Kbit/s.
EIA/TIA-449 Spcifications de linterface RS-449. Amlioration de la norme RS-232. Dbit maximal de 2 Mbit/s.
EIA-530 Spcifications de deux implmentations dchange de la norme
EIA-TIA-449 : mode balanc (RS-422) et mode non balanc (RS-423).

Avis de lITU-T relatifs aux changes ETTD-ETCD
X.20 Interface entre un ETTD et un ETCD pour les services de transmission asynchrone
X.21 Interface entre un ETTD et un ETCD pour fonctionnement synchrone
X.24 Dfinitions des circuits dchanges entre un ETTD et un ETCD

Normes et standards

489
Les rseaux locaux
Normes IEEE relatives aux rseaux locaux
Rfrence Dsignation Objet
802.1 High Level Interface Traite des architectures (802.1 a), des ponts et du spanning tree (802.1d)
et du System Load Protocol (802.1 e).
802.1p Traffic Class Expediting and Dyna-
mic Multicast Filtering
Gestion du flux et des priorits sur Ethernet
802.1q VLAN
Virtual Bridged Local Area Networks
Ajoute un entte de 4 octets (une tiquette ou encore tag) aux trames
Ethernet dfinissant le numro de rseau virtuel
802.2 LLC
Logical Link Control
Spcifications de la sous-couche LLC du niveau 2 du modle OSI (802.2c,
f et h)
802.3 Ethernet CSMA/CD Spcifications des rseaux Ethernet
802.3u Ethernet 100bT Spcifications du Fast Ethernet. Couche MII (Media Independant Interface),
100bTX, 100bT4...
802.3x Full Duplex
et contrle de flux
Signal intercommuteurs mis pour arrter le trafic lorsque la mmoire est
sature
802.3ab Ethernet 1000bT Spcifications du Gigabit Ethernet sur cuivre en paires torsades
802.3af DTE power via MDI Alimentation 48v via les cbles en paires torsades pour les postes de
tlphonie sur IP connects au rseau local Ethernet
802.3ah EFM (Ethernet in the First Mile) Rseau Ethernet entre les points daccs oprateurs et les particuliers ou
les entreprises (livraison dune prise Ethernet domicile)
802.3z Ethernet 1000bX Spcifications du Gigabit Ethernet sur fibre optique
802.4 Rseaux Token-Bus Spcifications des rseaux Token-Bus
802.5 Rseaux Token-Ring Spcifications des rseaux Token-Ring
802.6 Rseaux MAN DQDB Spcifications des rseaux mtropolitains
802.7 Rseaux large bande

Groupe de travail BBTAG (Broadband Technical Advisory Group). Norme
Slotted Ring.
802.8 Rseaux fibre optique Groupe de travail FOTAG (Fibre Optics Technical Advisory Group)
802.9 Rseaux voix/donnes IS LAN (Integrated Services LAN)
Ethernet Isochrone - IsoEnet
802.10 Scurit des rseaux Mthodes daccs entre les couches MAC et LLC (niveau 2) ainsi que pour
la couche application (niveau 7) pour les donnes confidentielles
802.11 WLAN (Wireless LAN) Rseaux locaux sans fil
Annexes

490
Rfrence Dsignation Objet
802.12 100bVG-AnyLAN Spcifications des rseaux locaux 100 Mbit/s
avec DPMA (Demand-Priority Access Method)
802.14 CATV (Cable-TV) Rseaux sur les cbles tlvision CATV
802.15 WPAN
Wireless Personnal Area Network
Spcifications des Rseaux personnels sans fils tels que Bluetooth
802.16 WMAN (Wireless MAN) Spcifications des boucles locales radios
802.17 RPR (Resilient Packet Ring) Boucles optiques adapte au transport des paquets

Normes et standards

491
La famille des protocoles TCP/IP
RFC relatives aux protocoles TCP/IP
Rfrence Objet
791 Spcifications de IP (Internet Protocol) - MIL-STD-1777
792 Spcifications de ICMP (Internet Control Message Protocol)
793, 761, 675 Spcifications de TCP (Transmission Control Protocol) - MIL-STD-1778
768 Spcifications de UDP (User Datagramm Protocol)
813 Algorithmes dacquittement de TCP
815 Algorithmes de rassemblage des paquets TCP/IP
816 Mcanisme de dead gateway
919, 922 Diffusion des datagrammes Internet (broadcast)
917, 932, 936, 950 Spcifications et description du subnetting des adresses IP
1219 Subnetting variable
826 ARP (Address Resolution Protocol) sur Ethernet
903 RARP (Reverse Address Resolution Protocol)
1293 Inverse ARP
1027 Proxy ARP (pour les stations ne supportant pas les subnets)
1011 Description officielle des protocoles Internet
1108 Spcifications de IPSO (IP Security Option)
894 Encapsulation de IP dans une trame Ethernet V2
1042 Encapsulation de IP dans une trame Ethernet 802.3
1078 Multiplexage des ports des services TCP
1144 Compression des en-ttes TCP
1505 En-tte des messages Internet
1918 Subnets IP rservs ladressage priv
1001 1002 Netbios sur TCP/IP : concepts et spcifications
1356 Encapsulation dans X25
1434 DLSw - Encapsulation des trames SNA dans des paquets TCP/IP
3168 ECN (Explicit Congestion Notification) pour IP

Annexes

492
Standards originaux du DOD (Department Of Defense)
Rfrence Objet
MIL-STD-1777 Spcifications de IP (Internet Protocol)
MIL-STD-1778 Spcifications de TCP (Transport Control Protocol)
MIL-STD-1780 Spcifications de FTP (File Transfer Protocol)
MIL-STD-1781 Spcifications de SMTP (Simple Mail Transfer Protocol)
MIL-STD-1782 Spcifications de Telnet

RFC relatives aux protocoles de routage IP
Rfrence Objet
1256 Messages ICMP de dcouverte de routes
2328 OSPF (Open Shortest Path First) version 2
1245, 1246 Analyse du fonctionnement de OSPF
1771, 1772 BGP (Border Gateway Protocol)
827, 904, 911 EGP (Exterior Gateway Protocol)
1058, 1723 RIP (Routing Information Protocol)
950 Procdures de subnetting

RFC relatives aux applications utilisant TCP/IP
Rfrence Objet
821, 822, 974 Spcifications de SMTP (Simple Mail Transfer Protocol)
1869 Extended SMTP
1777, 1778 Spcifications de LDAP v3 (Lightweight Directory Access Protocol)
1344, 1437 Spcifications de Mime (Multipurpose Internet Mail Extensions)
2045, 2046 Structure des messages Mime et des formats supports
1939 Spcifications de POP 3 (Post Office Protocol)
2060 Spcifications de IMAP 4 (Internet Message Access Protocol)
854 Spcifications de Telnet
1205 Spcifications de lmulation 5250 sur Telnet
1184, 1091, 1372 Spcifications de diverses options Telnet
1282 Spcifications de Rlogin (remote login)
959 Spcifications de FTP (File Transfert Protocol)
1350 Spcifications de TFTP (Trivial File Transfer Protocol)
1094, 1813 Spcifications de NFS (Network File System)
Normes et standards

493
Rfrence Objet
1945 Spcifications de HTTP 1.0 (Hyper Text Transfert Protocol)
2068, 2069, 2109, 2145 Spcifications de HTTP 1.1 (Hyper Text Transfert Protocol)
1630, 1738 Spcifications des URL (Uniform Resource Locators)
1034, 1035 Concept, spcifications et implmentation du DNS (Domain Name System)
1982, 1995, 1996, 2136,
2137, 2181, 2308
Mises jour de DNS
1183, 1706, 1712, 2052,
2230
Extensions DNS exprimentales
2535 Extensions DNS scuris
1591, 1912 Implmentations et bonnes pratiques du DNS
906, 951, 1542 Spcifications de BootP (Bootstrap Protocol)
1534 Interoprabilit entre DHCP et BootP
2131 Spcifications de DHCP (Dynamic Host Configuration Protocol)
2132, 2224 Options DHCP

RFC relatives IP sur Frame-Relay
Rfrence Objet
2427 Transport de IP dans Frame-Relay (NLPID (Network Level Protocol ID) / SNAP (Sub Network Access Proto-
col)

RFC relatives IP sur ATM
Rfrence Objet
1332 Base de travail pour IP sur ATM (Asynchronous Transfert Mode)
1483 Utilisation de la couche AAL-5 pour lencapsulation des protocoles IP dans un rseau ATM. Spcifications
DXI (Data eXchange Interface)
2225 Spcifications du routage IP et de la rsolution dadresse ARP sur les rseaux ATM (Classical IP)
1626 Taille des paquets IP pour ATM AAL-5
1629 Guide pour lallocation des adresses NSAP (Network Service Access Point) au sein de lInternet
1680 Support des Services ATM pour IPv6
1755 Signalisation pour IP sur ATM
2022 Multicast sur UNI 3.0/3.1
2149 Spcifications de MARS (Multicast Server Architectures for MARS-based ATM multicasting)

Annexes

494
RFC relatives PPP
Rfrence Objet
1661, 1662, 1663 Spcifications du protocole PPP
1332 Spcifications de la couche IPCP (IP Control Protocol)
1552 Spcifications de la couche IPXCP (IPX Control Protocol)
1570 Spcifications de la couche LCP (Link Control Protocol)
1989 Spcifications de la couche LQM (Link Quality Monitoring)
1990 Spcifications de PPP MP (PPP Multilink Protocol)
1321 Spcifications de lalgorithme MD5 (Message Digest 5)
1993 Algorithme de compression FZA pour PPP
1994 Spcifications des protocoles CHAP (Challenge-Handshake Authentication Protocol)

RFC relatives SNMP
Rfrence Objet
1089, 1157 Spcifications de SNMP (Simple Network Management Protocol)
1303 Description conventionnelle des agents SNMP
1352 Protocoles de scurit SNMP
2571 Architecture de ladministration avec SNMP
2572 Traitement des messages SNMP
1418, 1419, 1420 SNMP sur OSI, AppleTalk et IPX
1115 Structure de la MIB pour les protocoles TCP/IP
1212 Spcifications gnriques de la MIB (Management Information Base)
1213 Spcifications de la MIB-II pour TCP/IP
2863 Le groupe Interface de la MIB
2011, 2012, 2013 MIB-II pour SNMP V2 (mises jour du RFC 1213)
1231 Spcifications de la MIB Token Ring
1381 Spcifications de la MIB X25
1382 Spcifications de la MIB HDLC LAP-B
1398 Spcifications de la MIB Ethernet
1512, 1285 Spcifications de la MIB FDDI
1513, 1271 Spcifications de la MIB RMON (Remote Monitoring)
1559 Dfinition de la MIB Decnet Phase IV

Normes et standards

495
Normes ISO et quivalents ITU-T relatifs la syntaxe ASN.1
Rfrence ISO Rfrence
ITU-T
Objet
8824 X.208 Spcifications du langage ASN.1 (Abstract Syntax Notation 1)
8825 X.209 Spcifications des rgles de codage BER (Basic Encoding Rules)

RFC relatives IPv6
Rfrence Objet
2460 et 2675 Spcifications de IPv6 (Ipng - IP Next Generation)
1924, 2462, 2471, 2373,
1881
Adressage IPv6 (configuration, allocations)
2374, 1887 Format des adresses unicast
1809 Utilisation du champ de contrle de flux
2461 Protocole de dcouverte des nuds IPv6
2472 IPv6 sur PPP
2464 IPv6 sur Ethernet
2463 ICMPv6 (Internet Control Message Protocol)
1886, 2874, 3152 Extension du DNS pour le support de IPv6
2740 OSPF pour IPv6
2080, 2081 RIPng (Routing Information Protocol next generation) pour IPv6
2553 Extension des sockets pour IPv6
1888 NSAP OSI pour IPv6
2893 Transition de IPv4 vers IPv6
de 1667 1688, 1550,
1705, etc.
Discussions sur IPng (Internet Protocol next generation)

Annexes

496
Le multimdia sur IP
RFC relatives la voix sur IP
Rfrence Objet
2543 SIP (Session Initiation Protocol)
2976 Extension de SIP : mthode INFO
1889 RTP (Real-time Transport Protocol) et RTCP (Real-time Transport Control Protocol)
1890 Dfinition des profils pour les confrences audio et vido
2198 Transport des codec audio

Avis de lITU-T relatifs la voix sur IP
Rfrence Objet
H.323 Systmes de communications Multimedia bas sur des paquets
H.323 Annexe A Messages H.245 utiliss par H.323
H.323 Annexe B Procdures pour les codec vido
H.323 Annexe C H.323 sur ATM AAL5
H.323 Annexe D Fax temps rel sur H.323
H.323 Annexe E Transport de la signalisation dappel
H.323 Annexe G Spcifications des terminaux H.323
H.323 Annexe H Mobilit
H.323 Annexe I Opration sur des rseaux avec une basse qualit de service
H.323 Annexe J Terminaux scuriss
H.323 Annexe K Interface avec http
H.323 Annexe L Gestion des communications un serveur (feature server)
H.323 Annexe M Tunneling Q.SIG
H.323 Annexe N Qualit de service
H.225 Protocole de signalisation dappel (RAS et Q.931)
H.235 Scurit
H.245 Protocole de contrle pour les communications multimdias
Q.931 UNI niveau 3 pour le contrle dappel
H.450 Protocole gnrique pour les services complmentaires
H.261 Codec vido aux dbits multiples de 64Kbit/s
H.263 Codec vido aux dbits infrieurs 64Kbit/s
Normes et standards

497
Rfrence Objet
G.711, G722, G.723 Codec audio
G.728, G.729 Codec audio
T.120 Protocole de donnes pour les confrences multimdias

RFC relatives la qualit de service
Rfrence Objet
791, 1349 Champs TOS (Type Of Service) et Precedence du paquet IP
2474, 2475, 3260 DiffServ (Differentiated Service)
2873 Compatibilit du champ TOS avec le Code Point de DiffServ
1633 IntServ (Integrated Service)
2205 RSVP (Resource reSerVation Protocol)
2206-2209 Extensions MIB et IP-SEC et mise en uvre
2210 Utilisation de RSVP dans IntServ
2211 IntServ Classe de service par contrle de charge
2212 IntServ Classe de service par garantie de service
2213 IntServ MIB de lintgration de service
2214 IntServ MIB de lintgration de service - Extension la garantie de service
2215 IntServ Dfinition des paramtres permettant de calculer une QoS
2216 IntServ Dfinitions de la QoS pour les lments du rseau (dfinit un cadre gnral sur lequel sappuient
les RFC 2211 et 2212)

RFC relatives au routage multicast
Rfrence Objet
1112 Support multicast par les piles TCP/IP
2236 IGMP (Internet Group Membership Protocol)
1075 DVMRP (Distance Vector Multicast Routing Protocol)
1584 MOSPF (Multicast Open Shortest Path First)
2362 PIM-SM (Protocol Independent Multicast)

Annexes

498
Les rseaux RNIS
Organisation et nomenclature des normes

Srie I.100
Concepts gnraux du RNIS
Structure des recommandations, terminologie, mthodes gnrales
Srie I.200
Services assurs par le RNIS
Srie I.300
Aspects rseaux du RNIS
Srie I.400
Interfaces usager-rseau
Srie I.500
Interfaces dinterconnexion
Srie I.600
Principes dadministration du RNIS

Le terme RNIS (rseau numrique intgration de services) ou ISDN (Integrated Services
Digital Network) dsigne le rseau connu des utilisateurs (cest--dire laccs de base T0 et
laccs primaire T2) et, plus gnralement, lensemble des rseaux numriques comme
lATM, le relais de trames, SDH, etc. Tous ces protocoles sont fdrs par un ensemble de
normes communes. LATM est ainsi rfrenc sous le nom de RNIS large bande (Broad-
band ISDN).

Couche
1
RNIS ATM Relais de Trames
I.450 - Q.930
I.451 - Q.931
I.452 - Q.932
I.440 - Q.920
I.441 - Q.921
I.432 I.420, I.430
I.421, I.431
I.430
I.431
Q.921, Q.922
I.370
Q.933 -
Q.2931
I.362, I.363
I.361
I.371
Q.933 -
Q.2931
Couche
2
Couche
3
Accs de base
Accs primaire
UNI
Lap-D
UNI
Signalisation
Procdures
PHY
AAL
ATM
Congestion
UNI
Accs de base
Accs primaire
Couche liaison
Congestion
UNI

Normes et standards

499
Srie I.100 : Concepts gnraux du RNIS
Avis Contenu des spcifications
I.110 Structure gnrale des recommandations de la srie I
I.111 Relations avec les autres recommandations
I.112 Vocabulaire RNIS (Rseau Numrique Intgration de service)
I.120 Description du RNIS (ISDN - Integrated Services Digital Network)
I.130 et I.140 Services du RNIS et fonctionnalits du rseau (mthode et technique)

Srie I.200 : Services assurs par le RNIS
Avis Contenu des spcifications
I.200 Description de la srie I.200
I.210 Gnralits sur les services offerts par le RNIS
I.211 Dfinition des services rseaux (au niveau du SSTM)
I.212 Description des tlservices
I.220 Description dynamique commune des services de tlcommunications
I.221 Caractristiques des services spcifiques courants
I.230 Dfinition des catgories des services support
I.231 Description des catgories des services support en mode circuit
I.232 Description des catgories des services support en mode paquet
I.240 et I.241 Dfinition et description des tlservices offerts par le RNIS
I.250 Dfinition des complments de service
I.251 I.257 Description des complments de service (identification de lappelant, confrence, facturation, transfert
dappel...)

Srie I.300 : Aspects rseaux du RNIS
I.310 Principes fonctionnels du rseau
I.320 Modle de rfrence des protocoles
I.324 Architecture du RNIS
I.325 Configurations de rfrence pour les types de connexion du RNIS
I.326 Configurations de rfrence pour les besoins de ressources
I.330 Principes de la numrotation et de ladressage
I.331 Plan de numrotation E.164
I.332 Principes dadressage pour linterconnexion de plusieurs RNIS
Annexes

500
I.333 Slection du terminal dans le RNIS
I.334 Principes dadressage et de sous-adressage par rapport au modle OSI
I.335 Principes de routage
I.340 Interconnexion des RNIS (attributs et topologies)
I.350 Objectifs de performance pour le rseau tlphonique et le RNIS
I.351 Objectifs de performance au point de rfrence T
I.352 Objectifs de performance en termes de dlais de connexion

Srie I.400 - Interfaces usager-rseau
I.410 Gnralits et principes de la UNI (User Network Interface) :
indique les types dinterfaces, le paramtrage (dbit, codage...), la vrification de compatibilits entre termi-
naux, etc.
I.411 Configurations de rfrence : dfinitions de la TNR, TNA, etc.
Couche physique du RNIS (couche 1)
I.412 Structure dinterface et possibilits daccs
Dfinitions des types de canaux : 2B+D
Canal H0 384 Kbits/s
Canal H11 1 536 Kbits/s (1 544 Kbits/s en accs primaire)
Canal H12 1 920 Kbits/s (2 040 Kbits/s en accs primaire)
I.420 Structure des canaux et interface daccs de base
I.421 Structure des canaux et interface daccs primaire
I.430 Spcifications de la couche physique de laccs de base.
Interface usager-rseau. Points de rfrence S et T
I.431 Spcifications de la couche physique de laccs primaire
Couche liaison du RNIS (couche 2)
I.440 - Q.920 Gnralits sur la signalisation UNI (User Network Interface)
I.441 - Q.921 Spcifications de la couche 2 : LAP-D, signalisation DASS (Digital Access Signaling System)
Couche rseau du RNIS (niveau 3)
I.450 - Q.930 Gnralits sur la signalisation UNI
I.451 - Q.931 Spcifications de la couche rseau signalisation des services
I.452 - Q.932 Procdures pour le contrle des services complmentaires
Support dautres interfaces par le RNIS
I.460 Adaptation de dbit au multiplexage et support des interfaces existantes
I.461 - X.30 Support des interfaces X21, X21 bis et X20 bis
Normes et standards

501
I.462 - X.31 Support des terminaux en mode paquet
I.463 - V.110 Support des ETTD srie V
I.464 Multiplexage, adaptation de dbit et support des interfaces existantes pour des possibilits rduites de trans-
fert 64 Kbit/s
I.465 - V.120 Support des ETTD dots dinterfaces de la srie V et multiplexage statistique
I.470 Relations avec les fonctions du terminal RNIS

Srie I.500 : Interfaces dinterconnexion du RNIS
I.500 Structure gnrale de linterconnexion de rseaux RNIS
I.510 Dfinition et principes gnraux de linterconnexion
I.511 Interface physique de linterconnexion
I.515 changes de paramtres
I.520 Spcifications gnrales de linterconnexion des rseaux RNIS
I.530 Interconnexion avec un rseau public
I.540 - X.321 Spcifications gnrales pour linterconnexion avec un rseau public commutation de circuits
I.550 - X.325 Spcifications gnrales pour linterconnexion avec un rseau public commutation de paquets
I.560 - U.202 Support du service tlex par le RNIS

Srie I.600 : Administration du RNIS
I.601 Principes gnraux de ladministration
I.602 Application des principes linstallation dun abonn
I.603 Application des principes laccs de base
I.604 Application des principes laccs primaire
I.605 Application des principes aux accs multiplexs

Annexes

502
Avis de lITU-T relatifs aux rseaux ATM
Rfrence Objet
I.113 Vocabulaire relatif au B-ISDN
(Broadband-Integrated Services Digital Network)
I.121 Gnralits sur les aspects large bande du B-ISDN
I.150 et I.351 Caractristiques fonctionnelles ATM du B-ISDN
I.211 Prsentation gnrale des services du B-ISDN
I.311 - I.312 Prsentation gnrale du rseau B-ISDN
I.321 Modle de rfrence du protocole B-ISDN et ses applications
I.327 Architecture fonctionnelle du B-ISDN
I.353 Dfinition des vnements et paramtres permettant de mesurer les performances de la commutation de
cellules
I.356 Performances de la commutation de cellules
I.361 Spcifications de la couche ATM : format des cellules
I.362 Description fonctionnelle de la couche AAL (ATM Adaptation Layer)
I.363 Spcifications de la couche AAL
I.371 Contrle de flux et gestion des congestions
I.413 Spcifications de lUNI (User Network Interface)
I.432 Spcifications de la couche physique (niveau 1) de lUNI,
de len-tte HEC et du mcanisme cell delineation
I.600 Application des principes de gestion des abonns B-ISDN
I.610 Principes des gestion du B-ISDN (couche OAM - Operations, Administration and Maintenance)
Q.93B - G.771 Spcifications du contrle des services et des appels (UNI drive de la norme Q.931).
Q.2931 - Q.933 Couche 3 UNI (version 3.0) de lATM Forum

Avis de lITU-T et quivalents ANSI relatifs au Frame Relay
Rfrence ITU-T Rfrence ANSI Objet
I.233 T1.606 Description des services du Frame relay
I.370 T1.606 Gestion des congestions
I.372 Besoins pour les interfaces NNI
I.555 Frame relay sur ATM
Q.921 Description de la couche liaison pour la signalisation
Q.922 T1.618 Principes du protocole, spcifications de la couche liaison
Q.933 T1.617 Spcifications de la signalisation UNI de niveau 3

Normes et standards

503
Avis de lITU-T relatifs aux systmes de transmission numrique MIC
Rfrence Objet
G.703 Caractristiques physiques et lectriques des interfaces
G.704 Caractristiques fonctionnelles des jonctions
G.711 Modulation par impulsions codes (MIC) des frquences vocales
G.721 ADPCM (Activity Detection Pulse Code Modulation) : codage MIC diffrentiel adaptatif (MIC-DA) 32 Kbit/s
G.722 Codage des frquences audio 7 KHz sur 64 Kbit/s
G.725 Aspects relatifs lutilisation du codage audio 7KHz sur 64 Kbit/s
G.726 ADPCM avec compression 16k, 24k ou 32k
G.728 LDCELP : compression de la voix 16k
G.729 CS-ACELP : compression de la voix de 4,8k 16k
G.732 Caractristiques des quipements de multiplexage MIC primaires 2 048 Kbit/s.

Avis de lITU-T relatifs aux rseaux SDH
Rfrence Objet
G.702 Spcifications des dbits de la hirarchie numrique
G.703 Caractristiques physiques et lectriques des interfaces MIC
G.704 Structure des trames des niveaux primaires et secondaires
G.706 Spcifications du CRC (Cyclic Redundancy Check) et de lalignement des trames
G.707 Spcifications des dbits de la hirarchie numrique synchrone
G.708 Spcifications des interfaces des nuds du rseau
G.709 Structure de multiplexage synchrone
G.733 Caractristiques physiques et lectriques des interfaces PCM (D2)
G.771 - Q.93B Spcifications du contrle des services et des appels (UNI)
G.774 Modle dadministration pour les lments du rseau
G.781 Aspects gnraux des systmes de transmission (multiplexeurs)
G.782 Caractristiques gnrales des quipements de multiplexage
G.783 Caractristiques gnrales des blocs fonctionnels des multiplexeurs
G.784 Aspects gnraux des quipements dadministration
G.804 Format dencodage des cellules ATM sur le support physique
G.821 Performance pour un rseau international
G.826 Paramtres et objectifs de performance pour les classes de trafic constant

Organisation de lInternet
LInternet est la concatnation de diffrents rseaux appartenant des oprateurs privs ou
publics (par exemple, France Tlcom en France). La plupart des oprateurs ne disposent
pas de leur propre infrastructure (les cbles) ; ils louent tout ou partie des liaisons et y
connectent leurs quipements (la plupart du temps de marque Cisco et Nortel).
Les rseaux des oprateurs se superposent, se ddoublent et se rejoignent par moments au
niveau de points de concentration.

Figure A-1.
LInternet.
Zurich
Paris
Londres
Stockholm
Rome Monaco
Bruxelles
Boston
Denver
San Francisco
Seattle
Los Angeles
Dallas
San Jose
Chicago
New York
Washington DC
Atlanta
T3 (45 Mbps)
T3 (45 Mbps)
OC3
(155 Mbps)
T3 (45 Mbps)
T3 (45 Mbps) T3 (45 Mbps)
(MAE East)
(MAE West)
Madrid
T3 (45 Mbps)
OC3
(155 Mbps)
Amsterdam
Cologne
Milan
E1 (2 Mbps)
E1 (2 Mbps)
Vers Singapour
NAP
PPP
PPP
PPP
PPP

Les points de concentration reposent sur des rseaux hauts dbits (ATM, FDDI, voire
Ethernet commut) qui utilisent la fibre optique, parcourant une ville importante. Il en existe
de trois types :
Les MAE (Metropolitain Area Exchange) qui sont dtenus par Worldcom (via sa filiale
MFS). Il en existe sept aux tats-Unis (dont les plus gros sont situs San Jose, dans la
Silicon Valey, et Washington) et un Paris.
Les NAP (Network Access Point) qui sont dtenus par le NSF (National Science
Foundation) et grs par des oprateurs privs. Il en existe actuellement quatre aux
tats-Unis (un San Francisco gr par Pacific Bell, un Chicago gr par Bellcore, un
Washington DC gr par Ameritech, et un quatrime prs de New York gr par
Sprint).
Les PPP (Private Peering Point) qui sont grs directement par des ISP qui se sont
associs afin de contourner les MAE et les NAP.
Les ISP (Internet Service Provider) connectent leurs routeurs aux MAE, NAP et PPP
(moyennant une redevance) interconnectant ainsi leurs rseaux. Lensemble de ces intercon-
nexions forme lInternet.
Annexes

506
Les liaisons entre les villes sont constitues de cbles en fibre optique ou en cuivre au bout
desquels on retrouve les routeurs, quipements rseau de base qui permettent dacheminer
toutes les communications sur lInternet. Les routeurs utilisent les protocoles Frame Relay
et, de plus en plus, ATM.
Les routeurs des ISP ainsi que les commutateurs des MAE, NAP et PPP sont installs dans
des locaux techniques, sans doute dans un immeuble devant lequel vous passez tous les
jours sans vous en rendre compte. Certains NAP sont mme perdus au fond dun parking
souterrain
LInternet, cest donc cela : une collection de rseaux dtenus et grs par des oprateurs
privs ou gouvernementaux (essentiellement le NSF) autour desquels gravitent les ISP qui
revendent leurs services aux consommateurs que nous sommes.
La consquence de cette situation est quil ny a aucune garantie de service : les temps de
rponse dpendent de la charge rseau, et les pannes sur lInternet ne sont pas des lgendes,
certaines sont mmes clbres :
En 1996, une erreur de configuration sur un routeur a cr une nouvelle route
redirigeant ainsi 25 % du trafic Internet sur une seule liaison 1,5 Mbit/s.
Lengorgement rsultant a provoqu un arrt quasi total de lInternet pendant deux
heures.
En 1997, la panne dun serveur a abm un fichier DNS contenant prs dun million de
noms. Le technicien a ignor lalarme (normal, un bip de plus ou de moins) et le
fichier sest rpliqu sur dautres serveurs DNS. Le temps de tout remettre en ordre, des
dizaines de milliers de sites web nont plus t accessibles pendant plusieurs heures.
Le 13 avril 1998, le backbone Frame Relay dATT sest compltement arrt suite
une erreur de configuration sur un commutateur double dun bogue dudit quipement.
Celui-ci a gnr des messages dalerte vers les autres commutateurs qui se sont
engorgs et qui ont eux mmes gnr dautres messages dalerte, et ainsi de suite. En
moins dune demi-heure, le rseau tait par terre. Limpact sur lInternet a t faible, car
il existait des routes de secours (celles dautres oprateurs !), mais les clients dATT ont
t privs de rseau pendant 12 24 heures.
Cependant, depuis 1985, lInternet na cess dvoluer afin de faire face laugmentation
constante du nombre dutilisateurs, et lon peut esprer que, tant que les oprateurs gagne-
ront de largent, ils assureront un minimum de qualit de service afin dviter de perdre
leurs clients.
Quelques chiffres
LInternet est en perptuelle volution, ce qui fait que les statistiques sont difficiles obte-
nir. Les chiffres diffrent selon les sources ; de plus, ils ne sappuient pas toujours sur les
mmes critres. Mme le NIC (Network Information Center), qui gre le plan dadressage et
de nommage, publie des informations provenant de socits prives qui scrutent lInternet
(dans le but de vendre leurs tudes de marchs). Il est vrai qu sa dcharge, le NIC a un
fonctionnement trs dcentralis.

507
On ne peut donc que se fonder sur une photographie prise un instant donn, et encore, as-
sez floue. Dbut 1999, il y aurait ainsi eu :
plus dun million de domaines DNS dont 75 % dans .com ;
plus dun million et demi de serveurs web (nomms www) dont 44 % de marque
Apache (un freeware) et 20 % de marque IIS (Internet Information Server, de
Microsoft) ;
plus de 160 000 rseaux de classe C et prs de 10 000 rseaux de classe B ;
plus de 40 millions dordinateurs connects ;
et prs de 100 millions dinternautes (dont 50 aux tats-Unis, 11 au Japon, 7 en
Allemagne et 2 en France).
Pour vous donner une ide de la croissance phnomnale de lInternet, il y aurait eu, dbut
2000, 80 millions dordinateurs connects dont 6 millions dinternautes en France
Vous pouvez prendre connaissance des statistiques les plus rcentes en consultant, par
exemple, le site http://www.isc.org/ds.
La gestion de lInternet
LInternet, cest dabord un rseau. Cest aussi un ensemble de protocoles (plusieurs centai-
nes) couramment appels protocoles Internet ou protocoles TCP/IP. Ils couvrent aussi bien
les couches rseaux que les applications, telles que la messagerie ou le web. Tous ces proto-
coles respectent des standards dfinis dans des documents techniques appels RFC (Request
For Comments).
LInternet, cest galement une communaut regroupant des organismes de recherche, des
universits, des constructeurs de matriels, des diteurs de logiciels, des oprateurs et, de
plus en plus, des socits qui veulent simplement gagner de largent.
Pour organiser tout cela, lInternet est structur en plusieurs organisations, chacune ayant un
rle bien dfini.

ISOC
(Internet Society)
IAB
(Internet Architecture Board)
IETF
(Internet Engineering Task Force)
IRTF
(Internet Research Task Force)

Figure A-2.
Les organismes chargs de dvelopper
les protocoles Internet..
Annexes

508
LISOC (Internet Society) est une association ayant pour but de promouvoir lInternet et
den financer le dveloppement. Son rle est donc de coordonner et de financer les organis-
mes qui rgulent lInternet, tels que lIETF. LISOC entretient galement des relations avec
lITU (International Telecommunication Union, organisation dpendant de lONU), les ac-
teurs de lindustrie (constructeurs et diteurs de matriels et de logiciels rseaux) et les gou-
vernements, afin dofficialiser les relations et de collecter des fonds.
Le rsultat concret de ces changes est lapparition des RFC dans les recommandations de
lITU-T (ITU, secteur des tlcommunications) et une plus grande diffusion des protocoles
dicts par cet organisme, dont les documents sont longtemps rests inaccessibles au public.
LIAB (Internet Architecture Board) est un comit de quelques personnes qui dcide des
volutions de lInternet, telles que ladressage, la mise en chantier dIPv6, lvolution de
larchitecture du rseau et du DNS ou encore la scurit. Parmi la quinzaine de membres
que compte ce comit on trouve des reprsentant de Cisco, 3com, Microsoft, Netscape, Sun,
MCI, ATT, IBM, plus quelques autres reprsentants duniversits amricaines. La plupart
dentre eux viennent de lIETF, les autres de lIESG, du IANA et de lIRTF.
LIETF (Internet Engineering Task Force) regroupe des ingnieurs de divers horizons (ins-
tituts de recherche, universits, constructeurs et diteurs, etc.) qui travaillent llaboration
des protocoles utiliss sur lInternet. Les rsultats de ses travaux aboutissent la rdaction
des RFC (Request For Comments) approuvs par lIESG, puis valids par lIAB, et enfin
estampills et diffuss par lISOC. LIESG (Internet Engineering Steering Group) est le
comit de validation technique de lIETF.
LIRTF (Internet Research Task Force) est structur en groupes de recherche dont les ob-
jectifs sont de travailler aux protocoles de demain. LIRTF ralise des travaux analogues
lIETF mais sur le long terme. Le RFC 2014 dcrit le fonctionnement de cette organisation.
LIRSG (Internet Research Steering Group) est le comit de validation technique de lIRTF.

DNSO
(Domain Name Supporting
Organization)
ASO
(Address Supporting
Organization)
ICANN
(Internet Corporation for
Assigned Names and Numbers)
PSO
(Protocol Supporting
Organization)

LICANN (Internet Corporation for Assigned Names and Numbers) a en charge la gestion
des adresses IP et des noms DNS (et des serveurs racines) ainsi que laffectation des para-
mtres aux protocoles IP. Cet organisme est pour cela structur en trois SO (Supporting Or-
ganization) : lASO, le DNSO et le PSO.
LASO (Address Supporting Organization) est charg de grer le plan dadressage de
lInternet. Il affecte ce titre les adresses IP et sappuie sur des dlgations rgionales.
Figure A-3.
Les organismes chargs
de rguler lInternet.

509
ARIN
(American Registry for
Internet Numbers)
RIPE
( Rseau IP Europen)
APNIC
(Asia Pacific Network
Information Center)
ASO
(Address Supporting Organization)

Le DNSO (Domain Name Supporting Organization) est charg de grer le plan de nom-
mage de lInternet. Il accrdite les socits auprs desquelles vous pouvez demander
lenregistrement dun nom de domaine et celles qui peuvent grer des serveurs de noms.
Les domaines de plus haut niveau sont appels Top Level Domains (TLD). Parmi eux, on
distingue les gTLD (general TLD) qui regroupent .com , .edu , etc., et les ccTLD
(country-code TLD) qui dsignent chacun un pays, par exemple .fr , .uk , etc.

Ladministration
fdrale
amricaine
(commercial)
IATA = International Air
Transport Association
(education) (government)
Toutes les socits
caractre
commercial
(network)
Les oprateurs
rseaux de
lInternet
coles et
universits
amricaines
(organization) (France)
Les codes IATA
des pays
(Suisse)
Organisations
but non lucratif
(military)
Les militaires
amricains
(danger !)
com edu gov mil net org fr ch
.
int
Organisations rgies par des traits
internationaux (gnralement affilis lONU)
(International)

Par exemple, lAFNIC, financ par lINRIA et les ISP oprant en France, gre les serveurs
DNS du domaine fr et enregistre les noms de domaines demands par les socits (dlai
moyen : 48 heures). La liste de ces domaines est disponible ladresse :
ftp://ftp.nic.fr/pub/annuaire/Liste-Des-Domaines-Franais.
Le PSO (Protocol Supporting Organization) soccupe denregistrer toutes sortes de valeurs
utilises par les protocoles Internet. Cela concerne, entre autres :
les numros des ports TCP et UDP (les Well Known Port Numbers) ;
les numros des protocoles utilisant IP (TCP=6, UDP=17, etc.) ;
tous les codes utiliss par tous les protocoles (par exemple, les types de messages DNS,
OSPF et PPP, la signification de tel octet t de tel bit, etc.) ;
les variables des MIB ;
les codes vendeurs des adresses MAC (repris de lIEEE) ;
etc.
Dans les faits, le IANA (Internet Assigned Numbers Authority) est actuellement le seul PSO.
La liste actualise de toutes les valeurs peut tre consulte sur le site web de lIANA,
www.iana.org.
Figure A-4.
La gestion des adresses
IP sur lInternet.
Figure A-5.
Les noms de domaines DNS
sur l'Internet.
Annexes

510
Quelques autres organismes dintrt gnral
LIEPG (Internet Engineering Planning Group) a pour objectif de coordonner les activits
des oprateurs dont les rseaux constituent lInternet. La charte de lIEPG fait lobjet du
RFC 1690. Au sein de ce groupe, les oprateurs dcident de la manire dont ils interconnec-
tent leurs rseaux, diffusent leurs tables de routage, etc.
Dans le domaine de la scurit, le CERT/CC (Computer Emergency Response
Teams/Coordination Center) coordonne lactivit dune dizaine de groupes de surveillance
travers le monde. Il diffuse en permanence des informations ou des bulletins dalerte relatifs
des problmes de scurit (virus, bogues logiciels, attaques rpertories, statistiques, etc.).
Le FIRST (Forum of Incident Response and Security Teams) regroupe galement divers
groupes de surveillance, dont le CERT/CC, lis des organismes gouvernementaux (NASA,
NIH), des universits (Oxford, Israeli Academic Network) ou des socits prives.
Les anciens organismes de rgulation
La rorganisation de 1999 rsulte de la volont du gouvernement amricain de privatiser la
gestion de lInternet auparavant exerce par des organismes quil subventionnait.
Le NSF (National Science Foundation), lquivalent amricain du CNRS, a cr le premier
backbone de lInternet dans les annes 80 (il nexiste plus et a t remplac par ceux des
oprateurs). Jusqu fin 98, le NSF conservait la matrise de lexploitation de la partie com-
mune de lInternet, cest--dire ladressage IP et le nommage DNS.
Le NIC (Network Information Center) tait financirement soutenu par le NSF. Cet orga-
nisme tait charg de grer le plan dadressage de lInternet, ainsi que les domaines com,
edu, net et org. Les ccTLD taient grs par les dlgations nationales du NIC, par exemple,
lINRIA, en France. Les domaines gov et mil sont toujours grs par leurs organismes res-
pectifs.
O les contacter

Organisme Site web
Internet Society www.isoc.org
IAB www.iab.org
IETF www.ietf.org
IRTF www.irtf.org
diteur des RFC www.rfc-editor.org
ICANN, ASO, DNSO et PSO www.icann.org
IANA www.iana.org

511
Organisme Site web
NIC
en France
chez les militaires amricains
zone Asie-Pacifique
rs.internic.net
www.nic.fr ou afnic.asso.fr
www.nic.mil
www.apnic.net
ARIN www.arin.net
RIPE NCC www.ripe.net
IEPG www.iepg.org
FIRST www.first.org
CERT www.cert.org

Glossaire

A
ACR (Attenuation Crosstalk Ratio) : mesure, exprime en dcibels, du rapport signal/bruit
dun cble.
ADSL (Asymmetric Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (de 1,5 8 Mbit/s dans un sens et 16 640 Kbit/s dans lautre) sur une porte de 3,7
5,4 km. Permet de connecter les particuliers lInternet de faon permanente et haut d-
bit.
AMRC (Accs multiples rpartition en code) : dsigne les techniques de multiplexage par
attribution dun code didentification. Utilis dans les rseaux cellulaires UMTS.
AMRF (Accs multiples rpartition de frquence) : dsigne les techniques de multi-
plexage frquentiel. Utilis dans les rseaux cellulaires analogiques.
AMRT (Accs multiples rpartition dans le temps) : dsigne les techniques de multi-
plexage temporel. Utilis dans les rseaux cellulaires numriques de type GSM.
APPN (Advanced Peer to Peer Network) : volution des rseaux SNA vers un rseau non
hirarchique.
Arcnet (Attached Ressource Computer Network) : rseau local de type bus jeton sur cble
coaxial en toile. Le dbit est de 2,5 Mbit/s.
ARP (Address Resolution Protocol) : protocole bas sur un broadcast permettant dobtenir
ladresse MAC (niveau 2) partir dune adresse rseau (niveau 3).
Arpanet (Advanced Research Projects Agency Network) : historiquement le premier rseau
de type TCP/IP dvelopp pour le DoD (Department Of Defense) amricain.
ART (Autorit de rgulation des tlcommunications) : organisme de rgulation dans le
domaine des tlcommunications en France (tarifs, concurrence, obligations des oprateurs,
etc.).
ASIC (Application-Specific Integrated Circuit) : circuit intgr dvelopp spcifiquement
pour une application donne et la demande. Il est constitu dune matrice de transistors qui
forment des circuits logiques (AND, OR, XOR...) agissant sur des signaux en entre et gn-
rant des signaux en sortie.
ASCII (American Standard Code for Information Interchange) : code sur 7 ou 8 bits, utilis
dans linformatique pour reprsenter un caractre alphanumrique (128 ou 256 combinai-
sons sont possibles). Ce code est galement normalis ITU-T n 5.
Annexes

514
ASN.1 (Abstract Syntax Notation 1) : langage normalis ISO permettant de dcrire diverses
structures comme les bases de donnes et les paquets des protocoles.
ATM (Asynchronous Transfert Mode) : protocole haut dbit reposant sur la commutation de
cellules de 53 octets.
AUI (Attachment Unit Interface) : type de connecteur 15 broches utilis pour les matriels
Ethernet.
Autocom (abrviation de autocommutateur) : dsigne un ordinateur spcialis dans la
commutation de circuits. tablit automatiquement une communication tlphonique en
fonction dun numro de tlphone.
B
Backbone (pine dorsale) : dsigne un rseau fdrateur hauts dbits permettant
dinterconnecter des rseaux secondaires.
Balun (Balanced Unbalanced) : connecteur permettant dadapter limpdance entre deux
cbles de nature diffrente.
Baud (du nom de mile Baudot, inventeur du code tlgraphique) : unit exprimant le nom-
bre de modulations par seconde. Elle quivaut au bit par seconde si un signal reprsente une
valeur binaire.
Bluetooth (du nom dun roi norvgien) : technologie de rseau sans fil sur courte de distan-
ces dans le but connecter des priphriques un ordinateur.
BBS (Bulletin Board Systems) : messagerie pour les PC permettant de tlcharger des fi-
chiers.
BERT (Bit Error Rate Tester) : test de la qualit dune ligne consistant gnrer des trames
et mesurer le taux derreur.
BISDN (Broadband Integrated Services Digital Network) : dsigne le rseau numrique
haut dbit reposant sur ATM et un support de transmission SDH (ou Sonet).
Bit (BInary digiT) : reprsente le plus petit lment dinformation. Il prend les valeurs binai-
res 1 et 0 .
BNC (Basic Network Connector) : connecteur propre aux cbles coaxiaux utiliss par les r-
seaux Ethernet.
BOC (Bell Operating Company) : compagnies de tlphone amricaines rgionales au nom-
bre de sept issues du dmantlement dATT (American Telephone and Telecommunication).
Bit/s (bits par seconde) : nombre de bits transmis par seconde.
BRI (Basic Rate Interface) : dsigne laccs de base RNIS (2B+D).
Glossaire

515
BSC (Binary Synchronous Communications) : protocole synchrone utilis par certains qui-
pements dIBM.
BUS (Broadcast and unknown Server) : couche logicielle permettant de grer les broadcasts
mis par les rseaux locaux sur des chemins virtuels ATM.
C
CAP (Carrierless Amplitude Phase) : mthode de codage en ligne utilise pour les rseaux
hauts dbits, les liaisons xDSL. Bas sur une quadruple modulation damplitude (QAM).
Moins performant que DMT, mais moins cher.
CATV (Cable Antenna TV) : dsigne la tlvision par cble et tous les dispositifs sy ratta-
chant (cble, modulateur...).
CBDS (Connectionless Broadband Data Service) : transmission de donnes pour les r-
seaux de tlcommunications hauts dbits tels que ATM.
CDDI (Copper Distributed Data Interface) : version de FDDI sur des cbles cuivre paires
torsades de catgorie 5.
CDMA (Code Division Multiple Access) : dsigne les techniques de multiplexage par attri-
bution dun code didentification. Utilis dans les rseaux cellulaires UMTS. (cf. AMRC)
CELP (Code-Excited Linear Predictive) : algorithme de codage dun signal audio consistant
synthtiser des approximation du signal venir en fonction des signaux prcdents.
CICS (Customer Information Control System) : moniteur transactionnel dIBM.
CISC (Complex Instruction Set Component) : type de microprocesseur offrant un grand
nombre dinstructions (par opposition RISC).
CMOS (Complementary Metal Oxyde Semiconductor) : technologie de fabrication de puces
lectroniques base de silicium.
CPU (Central Processor Unit) : unit centrale excutant les instructions dun programme.
CRC (Cyclic Redundancy Check) : mcanisme de contrle derreurs bas sur le calcul dun
polynme gnrateur. Permet de contrler que les donnes dun paquet, dune trame ou
dune cellule nont pas t endommages lors de la transmission sur le rseau.
CSU (Channel Service Unit) : dsigne un modem numrique raccordant lquipement ter-
minal (un routeur par exemple) un nud du rseau, comme un commutateur ATM (voir
galement DSU).
CSMA-CD (Carrier Sense Multiple Access - Collision Detection) : mthode daccs au
support physique par coute du rseau et propre au rseau Ethernet.
CSMA-CR (CSMA - Contention Resolution) : mthode daccs au support physique par
gestion de priorit et propre laccs de base du RNIS.
Annexes

516
CT2 (Cordless Telephone 2nd generation) : norme de radiotlphones numriques sans fil.
Exemple du Bi-Bop en France.
CV (Circuit Virtuel) : dsigne un lien tabli lors dune procdure de connexion travers
plusieurs commutateurs dun rseau. Les CVC (circuits virtuels commuts) sont tablis la
demande. Les CVP (circuits virtuels permanents) sont tablis une fois pour toutes lors de
linitialisation des quipements dextrmit.
CWDM (Coarse Wavelength Division Multiplexing) : version conomique du WDM qui
multiplexe jusqu 16 longueurs donde.
D
DECT (Digital European Cordless Telecommunication) : norme europenne de radiotl-
phones numriques sans fil.
DES (Data Encryption Standard) : norme de cryptage spcifie par lANSI (American Na-
tional Standards Institute) et par le NIST (National Institute of Standards and Technology).
DHCP (Dynamic Host Configuration Protocol) : permet, partir dun serveur, de tlchar-
ger la configuration rseau vers un ordinateur (adresse IP, paramtres TCP/IP, etc.).
DNS (Domain Name System) : service de noms reposant sur des serveurs. Permet de conver-
tir un nom en une adresse IP.
DLSw (Data-Link Switching) : dsigne une mthode dencapsulation des trames SNA dans
des paquets TCP/IP (RFC 1434). Les acquittements des trames sont locaux.
DMT (Discrete MultiTone) : mthode de codage en ligne utilise pour les rseaux hauts d-
bits, les liaisons spcialises et lADSL. Bas sur une quadruple modulation damplitude
(QAM). Plus performant que CAP.
DMTF (Desktop Management Task Force) : groupe de travail ayant dfini la norme du
mme nom qui a pour objet de dcrire les protocoles et bases de donnes dans le domaine de
ladministration bureautique.
DNA (Digital Network Architecture) : spcification des rseaux de la socit DEC (Digital
Equipment Corporation).
DQDB (Distributed Queue Dual Bus) : dsigne la norme IEEE 802.6 pour les rseaux MAN
(Metropolitan Area Network).
DSA (Distributed System Architecture) : modle darchitecture rseau de la socit Bull.
DSL (Digital Subscriber Line) : ensemble de technologies de transmission numrique haut
dbit (quelques Mbit/s) fonctionnant sur des paires de cuivre comme celles du tlphone.
DSU (Data Service Unit) : dsigne un adaptateur entre linterface physique dun ETTD et
un support de transmission numrique tel quune LS (voir galement CSU). Le protocole
Glossaire

517
dchange entre les deux est rfrenc sous le nom de DXI (Data eXchange Interface, RFC
1483).
DTMF (Dual Tone MultiFrequency) : systme de signalisation utilis pour la numrotation
sur les rseaux tlphoniques analogiques.
DVD (Digital Versatile Disk) : disque optique numrique permettant de stocker des films au
format MPEG-2 (133 minutes) ou des donnes informatiques (4,7 Giga octets). Les donnes
peuvent tre stockes sur deux couches, doublant ainsi la capacit.
DWDM (Dense Wavelength Division Multiplexing) : version trs haut dbit du WDM qui
combine jusqu 64 longueurs donde (> 100 Gbit/s).
E
EBCDIC (Extended Binary Coded Decimal Interchange Code) : code sur 8 bits permettant
de coder les caractres alphanumriques.
Edge device (quipement de bordure) : commutateur rseau local (Ethernet ou Token-Ring)
disposant dune interface ATM. Selon les cas, supporte les protocoles LANE, MPOA et
PNNI. Dans certains cas, galement appel commutateur multiniveau.
ECMA (European Computer Manufacturer Association) : organisme de normalisation agis-
sant dans les domaines des ordinateurs et des rseaux locaux.
EDI (Electronic Data Interchange ou change de Donnes Informatises) : procdure
dchange de documents sous forme lectronique. Spcifie la structure des donnes informa-
tiques.
ELAN (Emulated Local Area Network) : rseau virtuel sur ATM.
EMC (Electromagnetic Compatibility) : mesure qui caractrise laptitude des diffrents
composants informatiques, dont les cbles, ne pas perturber dautres composants.
ETEBAC (changes tlmatiques entre les banques et leurs clients) : ensemble de protoco-
les spcifis par les organismes bancaires franais pour lchange de donnes informatiques.
ETSI (European Telecommunication Standards Institute) : organisme de normalisation par-
ticipant aux travaux de lITU-T.
F
FAX (Fac-simil) : document tlcopi.
FAI (Fournisseur daccs Internet) : dsigne un oprateur rseau qui permet aux entrepri-
ses et aux particuliers de se connecter lInternet (voir ISP).
Annexes

518
FCC (Federal Communications Commission) : organisme de rgulation dans le domaine des
tlcommunications. quivalent de lART en France.
FCS (Frame Check Sequence) : code de contrle derreur quivalent au CRC.
FDDI (Fiber Distributed Data Interface) : rseau local haut dbit (100 Mbit/s) en anneau
jeton spcifi par lANSI. FDDI-II est une version amliore offrant le support de la voix et
de la vido.
FEXT (Far End Cross Talk) : mesure, exprime en dcibels, du taux de rflexion dans un
cble. galement appel tldiaphonie.
FIFO (First In, First Out) : mode dempilement de donnes dans une pile ou une file
dattente, dans laquelle la premire donne entre est la premire ressortir. Voir galement
LIFO.
Frame Relay (Relais de trames) : protocole couvrant les couches 2 et 3 du modle OSI uti-
lis sur les liaisons longues distances. Considr comme un protocole X25 allg.
G
Gbit/s (Gigabits par seconde) : nombre de milliards de bits transmis par seconde.
GFA (Groupe ferm dabonns) : ensemble de nuds interconnects formant virtuellement
un seul rseau inaccessible de lextrieur bien que partageant la mme infrastructure que
dautres clients au sein du rseau dun oprateur.
Go (gigaoctet) : quivalent 1 073 741 824 octets (1 024
3
).
GPRS (General Packet Radio Service) : volution de la norme GSM permettant la transmis-
sion de donnes rapide.
GSM (Global System for Mobile) : norme europenne dfinissant les rseaux tlphoniques
numriques sans fil (rseaux cellulaires).
H
H.323 (Protocole 323, Srie H de lITU-T) : architecture et protocole permettant dtablir
des conversations tlphoniques sur un rseau IP (cf. VoIP et SIP).
HDB3 (High-Density Bi-polar modulus 3) : mthode de codage utilise dans les liaisons
MIC (avis ITU-T G703).
HDLC (High-level Data Link Control) : dsigne une mthode dencapsulation des donnes
sur un support de transmission synchrone comme une ligne spcialise.
Glossaire

519
HDSL (High-bit-rate Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (1,544 et 2,048 Mbit/s sur une porte de 4,6 km) en full duplex la diffrence de
lADSL.
HDTV (High Definition Television) : standard de la tlvision numrique 16/9 offrant deux
rsolutions, 1280x720 et 1920x1080, et code avec MPEG-2.
Hz (Hertz) : unit de frquence correspondant un cycle par seconde.
HPPI (High Performance Parallel Interface) : norme dinterface parallle fonctionnant
800 Mbit/s en transmettant 32 bits en parallle ou fonctionnant 2,6 Gbit/s sur 64 bits.
HTML (HyperText Markup Language) : langage de description dune page web. La naviga-
teur (browser web) excute ces commandes pour afficher la page.
HTTP (HyperText Transfer Protocol) : protocole permettant denvoyer une page web dun
serveur web vers un ordinateur quip dun navigateur. Protocole la base du web.
I
IEEE (Institute of Electrical and Electronics Engineers) : organisme de standardisation des
rseaux LAN et MAN, essentiellement de la famille Ethernet.
IETF (Internet Engineering Task Force) : organisme de standardisation des protocoles
TCP/IP regroupant les constructeurs et oprateurs rseaux. met les RFC (Request for
Comments).
INRIA (Institut national de la recherche en informatique et en automatique) : organisme
franais notamment en charge de la gestion de lInternet en France.
Internet (Inter Network) : interconnexion de rseaux IP formant le plus grand rseau public
commutation de paquets du monde.
Intranet (Intra Network) : version prive de lInternet dans une entreprise.
IP (Internet Protocol) : protocole de niveau 3 (couche rseau) commutation de paquet.
Protocole la base de lInternet.
IPX (Internetwork Packet Exchange) : protocole rseau utilis par les serveurs Netware.
IPX/SPX est lquivalent de TCP/IP.
IPNS (ISDN PABX Networking Specification) : norme spcifiant la signalisation entre auto-
commutateurs privs. Permet dinterconnecter des PABX de marques diffrentes.
ISDN (Integrated Services Digital Network) : dsigne le rseau tlphonique numrique
(voir RNIS).
IPsec (IP Security) : protocole IP scurit. Les paquets sont crypts et authentifis. Standard
la base des VPN-IP.
Annexes

520
ISP (Internet Service Provider) : dsigne un oprateur rseau qui permet aux entreprises et
aux particuliers de se connecter lInternet (cf. FAI).
ITSP (Internet Telephony Service Provider) : oprateur proposant des services VoIP (voix
sur IP) sur Internet.
ITU-T (International Telecommunication Union Telecommunication standardization sec-
tor) : organisme affili lONU qui dfinit les normes et la rglementation en matire de r-
seaux de tlcommunications.
J
Jitter (gigue) : dsigne le dphasage des signaux dhorloge d la distorsion des signaux
sur la ligne.
JPEG (Joint Photographic Experts Group) : groupe de travail et normes relatives la com-
pression dimages fixes.
K
Kbit/s (Kilobits par seconde) : nombre de milliers de bits transmis par seconde.
Ko (Kilo-octet) : quivalent 1 024 octets.
KHz (Kilohertz) : dsigne le nombre de milliers de cycles par seconde (frquence) dune
onde ou dune horloge.
L
L2TP (Layer Two Tunneling Protocol) : protocole permettant dtendre une session PPP au-
del du point de terminaison, au dessus dun rseau Frame-Relay, ATM ou IP.
LAN (Local Area Network) : dsigne les techniques de rseau local.
LANE (LAN Emulation Protocol) : protocole permettant dmuler un rseau local sur ATM.
Utilise les composants LEC, LECS, LES et BUS.
LAT (Local Area Transport) : protocole, dvelopp par Digital Equipement, permettant de
relier des terminaux et imprimantes aux serveurs VAX en environnement Decnet.
LDAP (Lightweight Directory Access Protocol) : version allge de lannuaire X.500 et
adapte aux rseaux intranet et Internet.
LEC (Lan Emulation Client) : couche logicielle permettant dadapter les protocoles de r-
seaux locaux sur ATM.
Glossaire

521
LECS (Lan Emulation Configuration Server) : couche logicielle contrlant les ELAN. Gre
les LES et indique aux edge device et stations ATM de quel LES ils dpendent en fonction
de leur ELAN.
LES (Lan Emulation Server) : couche logicielle contrlant un ELAN. Gre tous les edge
device ou stations ATM appartenant son ELAN ainsi que toutes les adresses MAC qui y
sont rattaches ct rseau local.
LIFO (Last In, First Out) : mode dempilement de donnes dans une pile ou une file
dattente, dans laquelle, la dernire donne entre est la premire ressortir. Voir galement
FIFO.
LLC (Logical Link Control) : couche logicielle qui a pour objet dassurer le transport des
trames entre deux stations. Elle se situe au niveau 2 du modle OSI et est fonctionnellement
proche du protocole HDLC.
LS (ligne spcialise) : ensemble de liaisons permanentes et vues du client comme tant
point point.
LU (Logical Unit) : dans les rseaux SNA, dsigne une entit dfinissant des droits daccs
et des rgles de communication avec dautres entits. La LU 6.2 dcrit par exemple les fonc-
tions de communication entre les programmes.
M
MAC (Medium Access Control) : couche logicielle qui a pour rle de structurer les bits
dinformation en trames adaptes au support physique et de grer les adresses physiques des
cartes rseaux (on parle dadresse MAC).
MAN (Metropolitain Area Network) : dsigne un rseau tendu, gnralement en fibre opti-
que, lchelle dun campus ou dune ville.
MAP (Manufacturing Automation Protocol) : rseau local spcifi par General Motors pour
les environnements industriels. La mthode daccs est celle du jeton sur un cble CATV.
Proche de la norme IEEE 802.4.
Mbit/s (Mgabits par seconde) : nombre de millions de bits transmis par seconde.
MHS (Message Handling System) : sous-ensemble de la norme X400 spcifiant les mca-
nismes de gestion des messages.
MHz (Mgahertz) : dsigne le nombre de millions de cycles par seconde (frquence) dune
onde ou dune horloge.
MIC (Modulation par impulsions codes) : technique de transmission utilise pour vhicu-
ler des signaux analogiques sous forme numrique par chantillonnage des signaux. Par ex-
tension, dsigne ce type de ligne utilis en France et comportant 32 canaux de 64 Kbit/s.
MIB (Management Information Base) : base de donnes structure selon la syntaxe ASN.1
dcrivant les objets dun quipement rseau.
Annexes

522
MIPS (millions dinstructions par secondes) : nombre dinstructions quun microprocesseur
peut excuter en une seconde. Les instructions sont excutes en un ou plusieurs cycle hor-
loge. Le nombre de cycles par seconde est gal linverse de la frquence du processeur ex-
prime en MHz.
Modem (modulateur-dmodulateur) : appareil transmettant des signaux analogiques sur le
rseau tlphonique. Offre les fonctions de numrotation, de connexion, et ventuellement
de compression et de correction derreur.
Mo (Mgaoctet) : quivalent 1 048 576 octets (1 024
2
).
MPEG (Moving Pictures Expert Group) : groupe de travail et normes relatives la com-
pression dimages animes.
MTA (Message Transfer Agent) : lment logiciel qui achemine les messages entre les dif-
frents nuds dun systme de messagerie.
MTBF (Mean Time Between Failure) : mesure statistique, exprime en nombre dheures, du
temps de fonctionnement dun quipement avant une panne.
MTS (Message Transfer System) : dsigne dans la norme X400 lensemble des MTA dun
mme domaine.
MTTR (Mean Time To Repair) : exprime le temps de rtablissement suite une panne.
MTU (Maximum Transmission Unit) : longueur (ou taille) maximale dune trame ou dun
paquet dun protocole rseau.
N
NDIS (Network Driver Interface Specification) : spcification par Microsoft dune interface
logicielle universelle daccs aux cartes rseau (NIC) dun PC. Permet au logiciel situ au
niveau de la couche 2 du modle OSI dutiliser nimporte quelle carte rseau (voir ODI).
Netbios (Network Basic Input/Output System) : protocole de niveau session permettant de
partager des ressources entre postes de travail et serveurs en environnement Windows (95,
98 ou NT).
NEXT (Near-End Cross(X) Talk) : mesure de la paradiaphonie dun cble cuivre (aptitude
dun cble ne pas tre perturb par les parasites).
NFS (Network File System) : systme de gestion de fichiers rseau sur TCP/IP. Permet de
partager des fichiers en donnant lutilisateur limpression quils sont locaux.
NIC (Network Interface Card) : dsigne une carte rseau dans un ordinateur.
NOS (Network Operating System) : dsigne les systmes dexploitation des serveurs de fi-
chiers tels que Netware ou Windows NT.
NRZ (Non Return to Zero) : mthode de codage des signaux numriques.
Glossaire

523
NTI (Nud de Transit International) : commutateur assurant linterconnexion des rseaux
X25 entre les diffrents pays.
O
ODI (Open Data-link Interface) : spcification par Novell dune interface logicielle univer-
selle daccs aux cartes rseau (NIC) dun PC. Permet au logiciel situ au niveau de la cou-
che 2 du modle OSI dutiliser nimporte quelle carte rseau (voir NDIS).
OEM (Original Equipement Manufacturer) : contrat de fabrication sous licence.
OLE (Object Linking and Embedding) : protocole dorigine Microsoft pour la communica-
tion des applications rparties.
OLTP (On Line Transaction Processing) : dsigne un moniteur transactionnel en ligne.
OSPF (Open Shortest Path First) : protocole de routage TCP/IP.
P
PABX (Private Automatic Branch eXchange) : appel autocommutateur ou autocom, il as-
sure la concentration des postes tlphoniques et la commutation des circuits.
PAD (Paquet Assembler / Desassembler) : quipement permettant aux terminaux asynchro-
nes (travaillant caractre par caractre) daccder un rseau de paquets X25.
PAV (Point daccs Vidotex) : variante du PAD pour laccs aux services Minitel reposant
sur le rseau X25 de Transpac.
PC (Personal Computer) : micro-ordinateur. Dsigne un ordinateur compatible avec les
spcifications des socits IBM et Intel en matire dordinateur personnel.
PCM (Pulse Code Modulation) : quivalent amricain du MIC (Modulations par Impulsions
Codes) comportant 24 canaux 64 Kbit/s.
PESIT (Protocole dchange pour le Systme Interbancaire de Tlcompensation) : en-
semble de procdures spcifies par les banques franaises pour les changes de donnes
lectroniques entre les banques.
Ping (Packet Internet Groper) : petit logiciel permettant de mesurer les temps de rponse
entre deux nuds rseau. Le programme attend un paquet en cho de chacun qu'il a envoy.
Pixel (Picture Element) : dsigne un point lmentaire dans une image.
PNNI (Private to Private Network) : protocole de routage ATM. Permet aux commutateurs
ATM de dterminer les meilleurs chemins virtuels.
POP (Point Of Presence) : salle informatique dans laquelle un oprateur hberge les qui-
pements tlcom lui permettant de connecter ses clients son rseau.
Annexes

524
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilis sur les lignes srie t-
lphoniques ou spcialises.
PRI (Primary Rate Interface) : dsigne laccs primaire RNIS.
PSDN (Packet Switching Data Network) : dsigne un rseau commutation de paquets.
PSTN (Public Switched Telephone Network) : dsigne le rseau tlphonique. quivalent au
RTC franais (rseau tlphonique commut).
Q
Q-SIG (Q signalisation) : norme base sur la signalisation CITT Q.931 dfinissant les
changes entre les systmes de signalisation publics et privs (PABX).
R
RADSL (Rate-adaptive Asymmetric Digital Subscriber Line) : technique de transmission
haut dbit analogue ADSL mais avec modification du dbit en fonction de la qualit de la
ligne.
RARP (Reverse Address Resolution Protocol) : protocole bas sur un broadcast permettant
dobtenir ladresse rseau (niveau 3) partir dune adresse MAC (niveau 2).
RFC (Request For Comments) : documents issus de lIETF (Internet Engineering Task
Force) spcifiant tous les standards en matire de protocoles Internet.
RISC (Reduced Instruction Set Components) : type de microprocesseur caractris par un
jeu dinstructions rduit au minimum (oppos CISC).
RIP (Routing Information Protocol) : protocole de routage TCP/IP et IPX/SPX.
RNIS (rseau numrique intgration de services) : dsigne le rseau tlphonique num-
rique cens remplacer le RTC petit petit (cf. ISDN).
RPIS (rseau priv intgration de services) : interconnexion de PABX et de lignes pour
former un rseau RNIS priv.
RPV (rseau priv virtuel) : voir VPN.
RSA (Rivest Shamir et Adelman) : initiales des inventeurs de lalgorithme de chiffrement du
mme nom.
RSVP (Resource Reservation Protocol) : protocole de signalisation permettant de garantir
une qualit de service sur les rseaux TCP/IP pour les applications temps rel comme le
transport de la voix.
RTC (rseau tlphonique commut) : dsigne le rseau tlphonique analogique classique.
Glossaire

525
RVA (rseau valeur ajoute) : dsigne un rseau associ des services tels que la conver-
sion de protocoles, la facturation, laccs des bases de donnes, etc.
S
SAP (Service Access Point) : mcanisme logiciel de pointeurs permettant un logiciel r-
seau dutiliser les services dune couche infrieure. Le SAP est un numro unique permet-
tant didentifier le logiciel qui a envoy une trame ou un paquet.
SAN (Storage Area Network) : rseau haut dbit sur fibre optique, reposant sur la technolo-
gie Fibre Channel, et ddi aux sauvegarde des donnes.
SDH (Synchronous Digital Hierarchy) : mode de transmission numrique pour les rseaux
de tlcommunications hauts dbits.
SDSL (Single-line Digital Subscriber Line) : technique de transmission haut dbit sur cui-
vre (1,544 et 2,048 Mbit/s sur une porte de 3 km) similaire HDSL.
SIP (Session Initiation Protocol) : architecture et protocole de lIETF permettant dtablir
des conversations tlphoniques sur un rseau IP (cf. VoIP et H.323).
SIT (Systme Interbancaire de Tlcompensation) : rseau dchange de donnes entre les
banques franaises.
SMDS (Switched Multimegabit Data Service) : rseau commutation de paquets hauts
dbits pour des liaisons longues distances.
SMTP (Simple Mail Transfert Protocol) : protocole utilis par les systmes de messagerie
dans le monde TCP/IP.
SNA (Systems Network Architecture) : spcifications des rseaux de la socit IBM (Inter-
national Business Machine).
SNMP (Simple Network Management Protocol) : protocole de la famille TCP/IP utilis
pour administrer distance les quipements rseaux partir dune station dadministration.
SPX (Sequenced Packet Exchange) : protocole rseau utilis par les serveurs Netware.
IPX/SPX est lquivalent de TCP/IP.
STP (Shielded Twisted Pair) : dsigne un cble blind compos de 2 ou 4 paires en cuivre
(voir UTP).
T
TASI (Time Assignment Speech Interpolation) : technique de multiplexage temporel statis-
tique adapte la transmission de la voix numrise et utilise dans les satellites et les c-
bles sous-marins.
Annexes

526
TAXI (Transparent Asynchronous Transmitter/Receiver Interface) : spcification dune in-
terface fibre optique 100 Mbit/s pour FDDI et ATM. Utilise le codage 4B/5B.
TCP/IP (Transport Control Protocol / Internetwork Protocol) : protocole de transport des
donnes sous forme de paquets, universellement utilis sur les rseaux LAN et WAN. Dsi-
gne galement toute une famille de protocoles de niveau session ou application (HTTP,
FTP, SMTP, SNMP, etc.).
TDM (Time Division Multiplexing) : technique de multiplexage dans le temps (voir
AMRT).
TIC (Token-Ring Interface Coupler) : dnomination dun mode dattachement des contr-
leurs IBM SNA 3174, 3745, etc. Dsigne une connexion SNA sur rseau local.
TNR (Terminaison Numrique de Rseau) : coffret marquant la sparation entre le rseau
RNIS public et la partie prive chez lutilisateur. Correspond la prise tlphonique.
TOP (Technical Office Protocol) : ensemble de protocoles dvelopps par la socit Boeing
pour la CAO (conception assiste par ordinateur). TOP respecte entirement la normalisa-
tion OSI.
TTL (Time To Live) : compteur permettant de dterminer le temps de validit restant pour
une donne ou un paquet rseau.
U
UA (User Agent) : partie cliente des systmes de messagerie.
UHF (Ultra High Frequency) : bande de frquence, situe entre 30 MHz et 300 MHz, utili-
se pour transmettre des missions de tlvision analogiques.
UDP (Network Interface Card) : quivalent de TCP mais en mode non connect, sans les
mcanismes de contrle de flux, de reprise sur erreur et autres options.
UTP (Unshielded Twisted Pair) : dsigne un cble non blind compos de 4 paires en cui-
vre. La norme EIA-TIA 586 dfinit 5 catgories de cbles de ce type (voir STP).
V
VCC (Virtual Channel Connection) : chemins virtuels ATM prdfinis ou affects dynami-
quement pour les besoins des protocoles LANE et MPOA. Un VCC hberge une encapsula-
tion LLC telle que dfinie par la RFC 1483.
VDSL (Very-high-bit Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (de 13 52 Mbit/s sur une porte de 300 1 300 mtres) similaire ADSL.
Glossaire

527
VHF (Very High Frequency) : bande de frquence, situe entre 300 MHz et 3 GHz, utilis
pour transmettre des missions de tlvision analogiques.
VLAN (Virtual Local Area Network) : dsigne les rseaux locaux virtuels. Lextension des
VLAN sur ATM passe par les ELAN.
VoIP (Voice Over IP) : dsigne les technologies permettant de transmettre des conversa-
tions tlphoniques (et des visioconfrences) sur un rseau IP. Repose sur les protocoles
H.323 et SIP.
VPN (Virtual Private Network) : dsigne un rseau WAN (reposant sur ATM, Frame-Relay
ou MPLS) ddi une entreprise mais reposant sur un backbone haut dbit que loprateur
partage avec dautres clients. Loprateur garantit que les donnes ne sont pas mlanges
avec celles dun autre client.
VPN-IP (Virtual Private Network Internet Protocol) : liaison IP protge par authentifica-
tion et cryptage des donnes et reposant sur le protocole IPsec et/ou L2TP.
VSAT (Very Small Aperture Terminals) : protocole de transmission satellite utilisant des pa-
raboles de faibles diamtres (infrieurs 3,7 m).
W
WAN (Wide Area Network) : dsigne un rseau longue distance (rseau tendu) reposant sur
les technologies de transmissions de donnes en srie et des protocoles tel que le Frame Re-
lay et ATM.
WDM (Wavelength Division Multiplexing) : mode de transmission numrique sur fibre op-
tique multiplexant diffrentes longueurs donde et autorisant de trs hauts dbits (> 100
Gbit/s).
Web (la toile) : dsigne lensemble des serveurs de page web de lInternet.
WLAN (Wireless LAN) : rseau local sans fil 11 Mbit/s, compatible Ethernet, et normalis
IEEE 802.11.
WML (Wireless Markup Language) : protocole de description dune page web (version
simplifie de HTML et de HTTP) et adapt aux faibles dbits des tlphones GSM.
WWW (World Wide Web) : dsigne lensemble des serveurs web de lInternet. Nom DNS
gnralement donn aux serveurs web.
X
X25 (norme X.25 de lITU-T) : protocole de niveau 3 spcifiant linterface daccs un r-
seau commutation de paquets.
Annexes

528
X400 (norme X.400 de lITU-T) : systmes de messagerie OSI (dfinit les protocoles et les
logiciels MTA, UA)
X500 (norme X.500 de lITU-T) : annuaire de messagerie OSI.
XNS (Xerox Network System) : lun des tous premiers protocoles LAN de la socit Xerox,
quivalent de TCP/IP et IPX/SPX.
xDSL (x Digital Subscriber Line) : regroupe les techniques de transmission ADSL, RADSL,
HDSL, SDSL et VDSL.

Bibliographie
T. ANTTALAINEN, Introduction to Telecommunications, Artech House, 2002.
R. BATES, Broadband Telecommunications Handbook, Mc Graw Hill, 2002.
U. BLACK, Advanced Internet Technologies, Prentice Hall, 2000.
U. BLACK, MPLS and Label Switching Networks, Prentice Hall, 2002.
U. BLACK, Voice Over IP, Prentice Hall, 2002.
JA. CANAVAN, Fundamentals of network security, Artech House, 2000.
D. COMER, Internetworking with TCP/IP, Prentice Hall, 2000.
B. FOROUZAN, Local Area Networks, Mc Graw Hill, 2002.
M.S. GAST, 802.11 Wireless Networks The Definitive Guide, OReilly, 2002.
B. GI LEE, W-J KIM, Integrated Broadband Networks, Artech House, 2002.
O. HERSENT, DAVID GURLE, J-P PETIT, IP Telephony, Addison Wesley, 2000.
S. JHA, M. HASSAN, Engineering Internet QoS, Artech House, 2002.
J-P. LAUDE, DWDM Fundamentals, Components, and Applications, Artech House, 2002.
B. KHASNABISH, Implementing voice over IP, Wiley Interscience, 2003.
D. MCDYSAN, D. PAW, ATM Theory & Application, Mc Graw Hill, 2002.
D. MINOLI, Voice over MPLS, Mc Graw Hill, 2002.
D. MINOLI, P JOHNSON, SONET-based Metro Area Network, Mc Graw Hill, 2002.
J-L. MONTAGNIER, Pratique des rseaux dentreprise, Eyrolles, 1999.
G. PUJOLLE, Les Rseaux, Eyrolles, 2002.
W. STALLINGS, Local and Metropolitan Area Networks, Prentice Hall, 2000.
A. TANENBAUM, Computer networks, Pearson, 2002.
Sites web
Accs aux RFC
www.rfc-editor.org/rfcsearch.html
Recherche dans la base de donnes des RFC
www.ietf.org/rfc Tlchargement rapide des RFC
www.iana.org/numbers.html Recherche des valeurs rserves par les pro-
tocoles
Cblage
www.eia.org Electronic Industries Alliance
www.tiaonline.org Telecommunications Industry Association
www.broadband-guide.com
www.scope.com/standards Testeurs de cblage Wirescope
www.cablingstandards.com
www.necanet.org National Electrical Contractors Association
www.nema.org National Electrical Manufacturers Associa-
tion
www.rs232.net Portail spcialis sur le cblage
Internet
www.afnic.asso.fr Association franaise pour le nommage Inter-
net encoopration
www.apnic.net Asia Pacific Network Information Center
www.arin.net American Registry for Internet Numbers
www.darpa.mil Defence Advanced Research Projects Agency
www.iab.org Internet Architecture Board
www.iana.org Internet Assigned Numbers Authority
www.icann.org Internet Corporation for Assigned Names and
Numbers
www.ietf.org Internet Engineering Task Force
Annexes

532
www.isoc.org Internet Society : portail daccs tous les
organismes
rgulant lInternet
www.internic.net Enregistrement des noms de domaines
www.register.com
www.ripe.net Rseau IP europen
www.rfc-editor.org Accs toutes les RFC (Request for Com-
ments)
www.6bone.net Rseau Internet IPv6
www.mbone.com Rseau Internet multicast
www.renater.fr Rseau national de la recherche
www.internet2.edu LInternet ddi aux universits
www.ucaid.edu/abilene Abilene : lInternet ddi aux universits
www.cybergeography.org/mapping.html
Cartographie de lInternet
www.isc.org/ds Internet Survey
Modem-cble
www.opencable.com
www.ietf.org/html.charters/ipcdn-charter.html
IP over Cable Data Network
www.cabledatacomnews.com Portail ddi aux modems cble
Organismes de normalisation
web.ansi.org American National Standards Institute
www.etsi.org European Telecommunications Standards Ins-
titute
www.ema.org Electronic Messaging Association
www.iso.ch International Standard Organization
www.itu.ch International Telecommunications Union
www.ietf.org Internet Engineering Task Force
www.ietf.org/html.charters/wg-dir.html
Sites web

533
Portail daccs tous les groupes de travail
produisant les RFC
www.regulate.org World Regulatory Telecommunications
standards.ieee.org Institute of Electrical and Electronics Engi-
neers
www.w3.org WWW Consortium
Organismes de rgulation
www.art-telecom.fr Autorit de Rgulation des Tlcommunica-
tions
www.fcc.gov Federal Communication Commission
www.oftel.gov.uk Office of Telecommunications
irgis.icp.pt IRG Independent Regulators Group
Protocoles
www.protocols.com Description de tous les protocoles
www.atmforum.com ATM Forum
www.frforum.com Frame-Relay Forum
www.gigabit-ethernet.org Gigabit Ethernet Alliance
www.fibrechannel.com Fibre Channel Forum
www.t1.org Committee T1
www.adsl.com ADSL Forum
www.dslforum.org Forum des technologies DSL
www.nmf.org Network Management Forum
www.mplsworld.com Le monde MPLS
www.mplssrc.com MPLS Resource Center
Qualit de service
www.itmcenter.com Internet Traffic management ressource Center
diffserv.lcs.mit.edu Portail daccs aux informations sur Diffserv
www.cis.ohio-state.edu/~jain/refs/ipqs_ref.htm
Liens vers dautres sites
Annexes

534
www.qosforum.com Quality Of Service Forum
www.ietf.org/html.charters/diffserv-charter.html
Le groupe de travail DiffServ
Rseaux sans fils
www.mobinet.com LInternet mobile
www.ieee.org/wireless Les standards WLAN de lIEEE
www.wi-fi.org Le site de la WECA
www.wlana.com Wireless LAN Alliance
www.bluetooth.org Le site du consortium Bluetooth
www.bluetooth.com Portail spcialis sur Bluetooth
www.irda.org Consortium des liaison infrarouges
www.homerf.org Consortium du HomeRF
www.dectweb.com Wireless Telecommunications Internet Servi-
ces
www.dect.ch DECT Forum
www.umts-forum.org UMTS Forum
Revues de presse
www.reseaux-telecoms.fr
www.01-informatique.com
www.lmi.fr Le Monde informatique
www.data.com Data Communications
www.networkcomputing.com
www.telecoms-mag.com
www.cmpnet.com Portail daccs de nombreuses revues sp-
cialises
www.zdnet.com Toute lactualit informatique
www.techguide.com Portail daccs aux technologies
www.techweb.com Portail daccs aux technologies
www.entmag.com Windows NT & 2000 News
www.lantimes.com LAN times
Sites web

535
www.samag.com SysAdmin : le journal des administrateurs
Unix
Scurit
www.2600.com The Hacker Quarterly
www.cert.org Computer Emergency Response Team
www.ciac.org Computer Incident Advisory Capability
www.cerias.purdue.edu/coast Computer Operations, Audit, and Security
Technology
www.pki-page.org Portail PKI (Public Key Infrastructure)
www.ssi.gouv.fr Direction Centrale de la Scurit des Syst-
mes dInformation
VoIP
www.ectf.org Enterprise Computer Telephony Forum
www.imtc.org International Multimedia Telecommunica-
tions Consortium
itel.mit.edu Internet & Telecoms Convergence Consor-
tium
standard.pictel.com Picturetel : accs aux standards H.323
www.telephonyworld.com/iptelep/iptelep.htm
Portail VoIP
www.theipsite.com
www.von.com Voice On The Net
www.gvcnet.com Portail spcialis sur la vidoconfrence
www.openh323.org Informations sur les protocoles H.323
www.mpeg.org Moving Picture Experts Group

Index
1
1000bSX, 305
10bT, 100bT, 48, 59, 301
2
2B1Q (codage), 240, 245
8
802.11, 84, 86, 87, 91
802.11i, 104
802.15, 83
802.1d, 72, 303
802.1p, 303, 361
802.1q, 302, 307, 361, 364
802.1s, 304
802.1w, 75
802.3, 49, 70, 123, 303, 361
802.3ab, 52
802.3ad, 56
802.3u, 52
802.3z, 52
A
AAL (ATM Adaptation Layer), 283, 287, 288, 335,
411
Accs de base/primaire, 228
Accs distants, 478, 483
Adaptative (switch), 54
Administration rseau, 142
Adressage, 124
ATM, 284, 290, 295
Frame Relay, 277, 296
IP, 17, 112, 127, 220, 380
IPv4/IPv6, 187
IPv6, 188, 194
MAC, 49, 62, 70, 75, 112, 127, 152, 194, 276,
382
plan, 112, 151
public/priv, 115, 120
unicast/multicast, 17, 380
ADSL, 211, 244, 247
AES (Advanced Encryption System), 469
Affaiblissement/Attnuation, 27, 30, 33, 35, 43, 55,
210
Agent SNMP, 142, 144
Agrgation de canaux B, 227
Agrgation de liens Ethernet, 56, 65, 67, 304
Aire OSPF, 311, 395
A-law, -law, 330, 415
Alias DNS, 175
AMI (codage), 240
Analogique, 210
Analyseur rseau, 140
Anneau (topologie), 4
Annuaire, 256
Anycast, 189
ARP, 129, 224, 225, 276
ART (Autorit de Rgulation des
Tlcommunications), 78, 87
ASN.1, 147
Asynchrone, 222
ATM, 48, 59, 122, 211, 245, 262, 281, 298, 321,
411
Attaques IP, 447
AUI, 8, 50
Authentification, 466, 480
mcanismes, 480
calculette, 482
serveur, 482
Autorit de certification (scurit), 472, 475
Autosense, 48, 55
AWG, 30, 245
B
Backbone, 59
Baie (cblage), 36
BECN (Backward Explicit Congestion
Notification), 278
BERT (Bit Error Tests), 264
Best effort, 283, 346, 353, 354, 357
Annexes

538
BGP, 312, 317, 319, 323, 395
BLR (boucle locale radio), 106
Bluetooth, 83, 85
BNC, 7, 36
Bootp, 151, 154, 157
Boucle locale, 235, 236, 242, 246
BPDU, 72
brassage, 9
Brassage, 26, 37, 57, 217
Bridge, 217
Broadcast, 17, 154
IP, 112, 276, 380
MAC, 52, 127, 156, 211, 224, 300, 303
Browser de MIB, 148
Burst, 266
Bus (topologie), 4
C
Cblage (infrastructure), 24
Cble blind/crant, 28
Cble cuivre, 6
Cache
ARP, 129
DNS, 165, 168, 170
navigateur, 257
Cahier des charges (cblage), 38
Canal B (RNIS), 228
CAP (codage), 246
Carte rseau, 7, 13, 49, 56, 126, 149, 152, 220, 361
Catgorie 5, 6, 7, 29, 31
CCTP, 22, 38
CDMA, 82
Cellule ATM, 245, 287, 288
CELP (codage), 329
CEM, 33
Certificat (scurit), 472, 474, 475
Challenge-response (scurit), 480
CHAP (Challenge Handshake Authentication
Protocol), 222, 231, 480
Cheval de Troie (attaque), 450
Chiffrement
algorithmes, 469
IPsec, 477
performances, 471
SSL, 472
CIDR (Classless Inter-Domain Routing), 114, 187,
319
CIF (Common Intermediate Format), 337
CIR Frame Relay, 266, 278
Circuit virtuel, 235
Frame Relay, 272
ATM, 286, 287
MPLS, 322
Classe D, E, F, 29, 31
Classe de service, 357, 361, 366, 374
Classical IP, 123, 263, 296, 299
Classificateur, 357, 368
Classification, 363
Cl de chiffrement, 469, 474, 477
CLLM (Consolidated Link Layer Management),
269, 278
Coaxial (cble), 28, 34
Codage, 82, 93, 240, 245, 328, 432
Codec, 330
audio, 331, 340, 411
vido, 334, 411
Collapse backbone, 60, 298
Collision, 11, 49, 52, 54, 55
Commutateur
niveau 2, 52, 54, 62, 68, 72
niveau 2/3, 300
niveau 3, 114, 300, 303, 308
Commutation
de cellule, 284, 410
de circuit, 295, 339, 341, 410
de paquet, 341, 410
Ethernet, 68
Frame Relay, 274
IP/MPLS, 320
matrice, 56, 62, 68
Compilation de MIB, 146
Compression, 328, 335
Frame Relay, 281
TCP/IP, 226
RTP, 435
Concentrateur, 4, 10, 52, 53, 68
Conditionneur, 357
Conflit dadresses, 459
Congestion, 269, 345, 346, 348
Contrle dadmission, 368
Contrle derreur
ATM, 288
Frame Relay, 269
TCP, 132
Contrle dintgrit, 468
Contrle de flux
Frame Relay, 269
Gigabit, 304
HDLC, 228
Index

539
LAP-F, 274
TCP, 132
UDP, 131
COPS, 376
CoS (Class of Service), 360, 377
Couches rseaux, 68, 122
CPE, 236, 242
CR-LDP (Constraint-Based LDP), 324
CSMA/CA, 87, 90, 91
CSMA/CD, 49, 55
CSMA/CR, 228
CSU/DSU, 211, 241, 264, 281, 285, 286
Cuivre/fibre optique (choix), 27, 63, 66, 301
Cut-through (switch), 54
D
DB9/DB25, 219
DCE/DTE, 211, 219
DCT (codage), 336
Dead gateway, 308
Dbit, 48, 61, 213, 258, 266
Dbordement RNIS, 232
DECT, 23, 33, 426
Default gateway, 223, 307
Dlai de propagation, 210
Dlai de transit, 269, 273, 283, 293, 338, 374, 435
DES (Data Encryption Standard), 469
DHCP, 149, 157, 226
Diffie-Hellmann (scurit), 475
Diffserv, 351, 377
DLCI Frame Relay, 268, 276
DMT (codage), 246
DMZ (DeMilitarized Zone), 458, 465
DNS (Domain Name System), 162, 168, 420
base de donnes, 170
client, 180
filtrage, 460
serveur, 168
vulnrabilit, 444
Domaine de broadcast, 187, 189
Domaine de confiance (scurit), 456
Driver, 14, 16
DS0 (canal 64 Kbit/s), 240, 328
DSA (Digital Signature Algorithm), 476
DSCP, 362, 364
DSL (Digital Subscriber Line), 211, 242, 246
DSP (Digital Signaling Processing), 330
DSS1, 270
DSSS, 82
DTMF, 339
DVMRP, 386, 401
DWDM (Dense Wavelength Division
Multiplexing), 250
DWMT (codage), 246
DXI (Data eXchange Interface), 286
E
E.164, 273, 296, 417
E1/T1, 240, 330
EAP (Extensible Authentication Protocol), 104
ECC (Elliptic Curve Cryptosystem), 470
chantillonnage, 328, 432
Echo, 338
ECN (Explicit Congestion Notification), 348
EGP, 312
EIA/TIA, 30, 31
EIGRP, 312
ELMI (Enhanced LMI), 273, 278
EMC, 33
EN50173, 31
Encapsulation, 122, 340
ATM, 286, 287
Ethernet, 129
Frame Relay, 272
IP, 127
Netbios, 131
Enveloppe numrique, 477
Erlang, 341
Espace dadressage, 124
Ethernet, 4, 27, 48, 56, 68, 122, 210
Ethernet v2/802.3, 123
Ethertype, 125
toile (topologie), 4, 6
F
FDDI, 59
FDMA, 81
Fdrateur (rseau), 59, 305
FHSS, 82
Fibre optique, 27, 32, 43, 52, 67, 245, 305
tests optiques, 43
Fichier DNS
cache, 171
initialisation, 179
Fichier MIB, 145
Annexes

540
FIFO (First In, First Out), 346
File dattente, 344, 350
Filtrage (firewall), 455
Filtrage de paquet, 451
Firewall, 118, 450, 453, 464, 478, 484
Flux
client-serveur, 254
conversationnel, 252
transactionnel, 253
FRAD (Frame Relay Access Device), 265, 271
Fragmentation, 128, 191
Frame Relay, 211, 262, 265, 321
FTP, 9, 178, 270, 344
vulnrabilit, 443
FTP (cble), 30, 33
FTPS, 472
Full duplex (Ethernet), 55
G
G.709, 249
G.711, 415
G.711, G.722, G.723, etc., 331, 333, 340, 411
GARP, 76
Gatekeeper, 412, 420, 424, 425
Gnrateur de trafic, 141
Gigabit, 29, 32, 52, 59, 263, 304, 305
Gigue, 293, 339, 340, 357, 376
GMII, 50
GMRP, 76, 408
Groupe multicast, 194, 204, 382
GSM, 33
GTB (gestion technique du btiment), 23
GVRP, 76, 303
H
H.245, 414, 424, 431
H.261, H.263, 335, 337
H.323, 34, 411
HDLC, 221, 228
HDSL, 240, 243
Hiperlan / Hiperman, 85
Home RF, 83, 85
Hop limit IPv6, 191, 201
Hosts (fichier), 162
Hot-spot, 96
HSRP (Hot Standby Router Protocol), 308
HTTP, 126, 354
vulnrabilit, 445
HTTPS, 472
Hub, 4, 10, 52, 53, 68
I
IANA (Internet Assigned Numbers Authority), 131,
150, 194, 380
ICMP, 136, 137
vulnrabilit, 447
ICMPv6, 196
IDEA (International Data Encryption Algorithm),
469, 472
IDSL, 242
IETF (Internet Engineering Task Force), 191, 324,
377
IGMP (Internet Group Membership Protocol),
187, 204, 382, 387, 392, 397
IGMP snooping, 408
IGP, 312
IKE (Internet Key Exchange), 475, 479
ILMI (Integrated Local Management Interface),
291
IMAPS, 472
Impdance, 9, 28, 30
Intgrit (contrle), 450, 468, 472, 479
Interface routeur, 114, 216, 220, 230, 265, 276,
280
Interface srie, 220, 221, 270
Interframe/Intraframe (compression vido), 335
Intersite (rseau), 209, 234, 251, 264, 265, 405
Intranet, 175
Intserv, 351, 367, 377
Inverse ARP, 276, 287, 296
IP, 128
IP precedence, 352, 363, 430
Ipconfig, 158
IPsec, 238, 473, 477
IPv4/IPv6, 187
IPv6, 170, 178
ISAKMP (Internet Security Association and Key
Management), 479
ITU (International Telecommunication Union),
234
Index

541
J
Jitter, 293, 338, 434
JPEG, 335
K
Karn (algorithme), 132
Kbit/s, 210
Kerberos, 483
L
Label, 322
LAN, 4, 117, 234, 310, 365
LANE (LAN Emulation), 263, 284, 291, 299
LAP-D, 228
LAP-F, 272
LDAPS, 472
LDP (Label Distribution Protocol), 323
Leaky-bucket, 293, 347
Lgislation chiffrement, 477
Lien virtuel OSPF, 315
LIFO (Last In, First Out), 323
LLC, 76
LLC (Logical Link Control), 123, 125, 287
LMDS (Local Multipoint Distribution Service),
106
LMI (Local Management Interface), 272, 278
Local technique, 25
Longueur donde, 35, 43, 250
Loopback, 113, 188
LS (ligne spcialise), 210, 227, 235, 262, 264
LTE (locaux techniques dtage), 24, 27, 34, 36,
218
M
MAC, 49, 62, 68, 74, 87, 154, 224, 308
MAN, 305
Manchester (codage), 8, 52
Marquage, 361
Masquage dadresses, 459
Matrice de flux (firewall), 462, 463
MAU (Medium Attach Unit), 4
MBONE, 402, 408
MCU H.323, 412
MD5 (Message Digest), 480
Messagerie, 174
Mthode daccs, 5
MIB (Management Information Base), 147, 291
MIC (modulation par impulsions codes), 330
Micro-ondes, 107
Microsegmentation, 62
MII, 50
Mixer RTP, 433, 436
M-JPEG (Motion JPEG), 335
MLQ (codage), 329
MMDS (Multichannel Multipoint Distribution
Service), 106
Modulation du signal, 80
MOS (Mean Option Score), 333
MOSPF, 391, 401
MP3, 336
MPEG, 335
MPLS, 320, 377
MPOA (Multi Protocol Over ATM), 299
MSTP (Multiple Spanning Tree Protocol), 304
MTA (Message Transfer Agent), 174
MTU (Maximum Transfer Unit), 123, 128, 191,
201, 204, 374
Multicast
IP, 112, 369, 380, 405
IPv6, 190, 194, 204
MAC, 211, 303
Multimdia, 328, 431, 437
Multimode/monomode, 32
Multipaire (cble), 28
Multiplexage de frquence, 81
Multiplexage de circuits virtuels ATM, 286, 287
Multiplexage des protocoles, 125
Multiplexage temporel, 245
Multiplexeur, 235, 240, 241
MX (enregistrement DNS), 174
N
Nagle (algorithme), 133, 253
NAT (Network Address Translation), 459
Navigateur, 354
NDIS (interface), 14
Netbios, 14, 131, 150
vulnrabilit, 445
Netstat, 159
NEXT (cblage), 30
Annexes

542
NFS (Network File System), 446
NLPID (IP dans Frame-Relay), 263, 272, 296
NNI (Network to Network Interface), 270
Nom DNS complet/relatif, 181
Nommage, 162
NSAP, 284, 291
Nslookup, 179, 181
Numrique, 210
Numrisation, 328
O
ODI (interface), 14
OFDM, 82, 106
Ohm, 9, 28
Oprateur, 25, 212, 235, 265, 271
Ordonnanceur, 368
OSPF, 114, 311, 314, 391, 395
OTP (One Time Password), 480
OUI, 70
Outsourcing, 239
Overhead, 211, 259, 263, 435
P
PABX, 23, 28, 271, 416, 418
PABX IP, 426
Paire torsade, 6, 30, 34
PAM (codage), 246
Paquet
IP, 125, 126, 212, 352
TCP, 125, 132, 133, 253
UDP, 131
Paradiaphonie, 29, 30, 43
Pas de torsade, 30
Passerelle H.323, 412, 416, 425
PAT (Port Address Translation), 459
PCM (Pulse Code Modulation), 330
PGP (Pretty Good Privacy), 473, 477
PIM, 396, 401
Ping, 136, 226
PKCS (Public Key Cryptography Standard), 474
Plan dadressage, 112
Plan de nommage, 162
Plate-forme dadministration, 142
Plsiochrone, 241
Policing, 354, 355, 362
Pont, 96, 217, 224, 272
POP (oprateur), 236, 265, 271
POP3S, 472
Port (tcp/udp), 125, 130, 132, 363
POTS (Plain Old Telephone Service), 417
Powersum Next (cblage), 30, 31
PPP, 122, 211, 221, 231
Prfixe IPv6, 188, 194
Priorit, 344
Promiscus, 140
Proxy
ARP, 155, 225
cache, 451
firewall, 451
signalisation ATM, 284
PVC
ATM, 284, 290
Frame Relay, 268, 273, 275
Q
Q.922, 269
Q.931, 414, 431
QAM (codage), 246
QCIF, 337
QoS (Quality of Service), 343, 369
Qualit de service, 239, 278, 282, 292, 341, 351,
374, 424, 430
Quantification, 328, 329, 336
R
Radius, 481, 483, 484
RADSL, 244
Rapport signal/bruit, 30, 31
RARP, 129, 276
RAS (signalisation), 414, 422, 431
Rebond (attaque), 449
Recette (cblage), 22, 40
RED, 347, 349
Redirection IP, 202
Redondance, 65, 227, 308, 313
Rflectomtrie, 41
Refus de service, 447
Registry Windows
dead gateway, 308
default gateway, 154
DHCP, 149
DNS, 169, 179
Index

543
encapsulation IP dans Ethernet, 126
TTL, 136
Relais applicatif (firewall), 452, 465
Relais de circuit (firewall), 452, 466
Relais DHCP, 155, 156
Requte SNMP, 144
Rsolution dadresse, 129, 198
Rsolution dadresse inverse, 199, 276, 287, 296
Rsolution DNS inverse, 178
Resolver DNS, 162, 180
RFC 1918, 115, 120
RIP, 312, 386
RJ45, 6, 9, 27, 28, 36, 57, 217, 219
RLE (compression), 335
RNIS, 210, 217, 242, 411
accs de base, 228
secours, 227
Roaming, 96
Routage, 68, 69, 128, 191, 221, 300, 307, 311
Route (commande windows), 159
Routeur, 114, 156, 212, 216, 220, 234, 270, 276,
300, 308, 383
Routeur (configuration), 219
Routeur vs firewall, 455
RPC (Remote Procedure Calls), 446
RS-232, 219
RSA (Rivest Shamir et Adleman), 470, 472
RSTP (Rapid Spanning Tree Protocol), 75
RSVP, 323, 367, 375, 377, 424, 434
RTC, 122, 210, 235, 339, 411
RTP/RTCP, 424, 431, 432
S
S/Mime (Secure Multi Purpose Mail Extensions),
473
SAAL, 284
Salle informatique, 25
SAP, 14, 76, 123
SC (connecteur), 27, 32, 36
SDH (Synchronous Digital Hierarchy), 211, 241,
245, 247
SDLC, 125
SDSL/SHDSL, 244
Secours RNIS, 227
Scurit (politique), 442
Segment Ethernet, 62, 217
Segmentation, 12, 53
Srialisation, 339
Srie (cble/port), 217, 219
Srie (interface), 218, 265, 281, 286
Serveur DNS
cache, 177
primaire, 172
racine, 175
secondaire, 177
Service oprateur, 215, 236
SET (Secure Electronic Transaction), 476
SFTP, 9
SHA (Secure Hash Algorithm), 470, 472
Shannon, 328
Signal radio, 79
Signalisation, 228, 240, 270, 367, 411
Signalisation
ATM, 284, 291
Frame Relay, 273
H.245, 424
Q.931, 414
RAS, 422
Signature numrique, 476
SIP, 409
SLA (Service Level Agreement), 239
SLC (codage), 246
SMTP, 174
SMTPS, 472
SNA, 125
SNAP, 123, 125, 263, 272, 287
SNMP, 11, 56, 121, 142, 144, 291
vulnrabilit, 445
Socket, 130
SONET (Synchronous Optical Network), 241, 247
Source quench, 138, 346, 349
Spanning tree, 67, 68, 71, 303
Spcificateur, 367
Spoofing (attaque), 448, 465
SSL (Secure Socket Layer), 472
Stackable, 12, 50
Stateful inspection (firewall), 452, 465
Station dadministration, 142
STM, 245
Store-and-forward (switch), 54
STP, 9
STP (cble), 29, 30
Stub area, 314
STUN, 125
Subnet, 115, 117, 120, 121, 219, 221, 225, 307
Support de transmission, 214
SVC, 272
ATM, 284, 290
Frame Relay, 268, 273, 277
Switch Ethernet, 52, 54, 62, 72
Annexes

544
SYN flooding (attaque), 448
Synchrone, 222, 241, 247
Systme autonome (OSPF), 312, 317
T
T.120, 411, 431, 438
T1/E1, 240, 328
Tableau virtuel, 437
TCP, 130, 132, 349
TCP/IP, 13, 222, 270
TCP/IP (configuration), 149, 157, 223
TDM, 245
TDMA, 81
Teardrop (attaque), 448
Telnet, 126, 127, 130, 213, 252, 344, 372
vulnrabilit, 443
telnetS, 472
Temps de rponse, 53, 59, 63, 132, 136, 137, 140,
213, 226, 253, 260, 268, 344, 346, 351, 372
TFTP, 157
TKIP (Temporal Key Integrity Protocol), 104
TLS (Transport Layer Security), 472
TMS (Traffic Management Specification), 282
TNR (Terminaison numrique de rseau), 230
Token-bucket, 375
Token-Ring, 4, 48
Topologie, 4, 5
TOS (Type of Service), 352, 363, 392
Traceroute, 137
Traduction dadresses, 115
Traffic shaping, 278, 282, 348
Trame, 8
Ethernet, 123, 125
Transceiver, 8, 50, 65
Translation dadresses, 459, 467
Trap SNMP, 144
Trunk (Ethernet), 65, 304
TTL
ARP, 129
DNS, 170, 177
Hop limit IPv6, 191, 201
IP, 128, 136, 137, 150, 407
Tunneling (attaque), 449
U
UDP, 130, 131
UNI (User Network Interface), 269, 270, 284
Unicast, 127, 130, 188, 369, 380
Uplink (port/lien), 11, 55, 56, 57, 61, 301
UTP (cble), 9
V
V.24, 218
V.35, 218, 264, 286
VDSL, 245
Ver (attaque), 450
Vido, 34, 328
VLAN, 56, 226, 299, 302, 324
VoIP, 411, 417, 426
VoIP, VoFR, VoATM, 341
Vol de session (attaque), 449
Volumtrie, 255
VPI/VCI ATM, 284
VPN (Virtual Private Network), 238, 477
VPN-IP, 235
VPN-MPLS, 320
VRRP (Virtual Router Redundancy Protocol), 309
Vulnrabilits IP, 443
W
WAN, 120, 210, 234, 310, 365, 416
WDM (Wavelength Division Multiplexing), 250
Web, 210, 213
WEP, 87, 103
WFQ (Weighted Fair Queueing), 346, 352, 368,
372, 430
Wi-Fi, 84, 85, 86
Winipcfg, 157
WINS, 131, 150, 383
filtrage, 461
Winsock, 130, 370, 383
WLAN (Wireless Local Area Network), 84, 85, 91,
93
WMAN (Wireless Metropolitan Area Network),
84, 85, 106
WPA (Wi-Fi Protected Access), 104
WPAN (Wireless Personnnal Area Network), 84,
85
WRED, 348, 352, 368, 372
www, 167, 175, 181
Index

545
X
X.121, 273, 296
X.509, 472, 474, 476
X21/V11, 218, 242, 264
Z
Zigbee, 84

Table des encarts
quoi sert ladressage ? 17
Adressage IPv6 (RFC 2373, 2374, 2450) 188
Adressage IP v4 (RFC 791) 113
Adressage multicast IPv6 (RFC 2373 et 2375) 194
Adresses MAC (802.3) 70
Analyseur rseau 140
ARP (RFC 826) 129
ATM (I.361) 288
BGP (RFC 1171 1174) 319
Cbles cuivre en paires torsades 9
Canal de contrle H.245 424
Champ TOS (RFC 791, 1349) 353
Chantier de cblage 41
Circuit virtuel 235
Codec audio 329
Comment fonctionne un commutateur ? 62
Commutateurs Ethernet 300
Commutation Frame Relay 274
Compatibilit lectromagntique 33
Composants dun systme de cblage 26
DHCP (RFC 2131) 154
Diffserv (RFC 2474, 2475) 357
DNS (base de donnes) 170
DNS (RFC 1034, 1995, 2181) 165
Drivers, NDIS, ODI 14
DVMRP (RFC 1075) 389
Encapsulation dans ATM (RFC 1483) 287
Encapsulation dans Frame-Relay 272
Encapsulation IP dans Ethernet 123
Ethernet (802.3) 49
Ethernet et Token-Ring 5
Ethernet full duplex (802.3x) 55
Ethernet sans fil (802.11) 87
Fibre optique 35
Files dattente (FIFO, WFQ, RED) 347
Files dattente (rle) 345
Frame Relay (Q.922) 269
GARP (802 .1d) 76
ICMP (RFC 792, 950, 1256) 138
ICMPv6 (RFC 2463 et 3122) 196
IGMP (RFC 1112 et 2236) 384
Infrastructure dun systme de cblage 24
Interface DXI (ATM Forum) 286
IntServ (RFC 1633) 368
Inverse ARP (RFC 1293) 276
IPsec (RFC 2401, 2402, 2406) 479
IPv4 (RFC 791) 128
IPv6 (RFC 2460) 191
Locaux techniques 25
MIB (RFC 1212, 1213, 1155 et 2863) 147
MOSPF (RFC 1584) 393
MPEG (ISO CD 11172-2) 336
MPLS (RFC 3031 et 3032) 322
Notification de congestion (RFC 3168) 349
Options DHCP (RFC 2132) 150
OSPF (RFC 2328) 314
Paire torsade 30
Partage de donnes (T.120) 438
PIM-SM (RFC 2362) 400
Pourquoi un plan dadressage ? 112
PPP (RFC 1661, 1662) 222
Proxy ARP (RFC 1027) 225
Quest ce quun commutateur ? 54
Quest ce quun routeur ? 114
Quest ce quun segment ? 11
Quest ce que la signalisation ? 270
Quest ce que le spanning tree ? 69
Quest ce que SNMP ? 11
Quest-ce quun pont ? 217
Quest-ce quun protocole de routage ? 312
Quest-ce quun rseau local ? 4
Quest-ce quune carte Ethernet ? 8
Qualit de service Ethernet (802.1p) 361
Quels cordons de brassage ? 57
Rseaux Ethernet (802.3) 52
Rseaux locaux, tendus et intersites 234
Rseaux sans fil 85
RNIS (ITU srie I) 228
RSVP (RFC 2205 2210) 373
RTCP (RFC 1889 et 1890) 434
RTP (RFC 1889 et 1890) 433
SDH (G.709) 249
Signalisation ATM (ATM Forum) 284
Signalisation dappel (Q.931) 414
Signalisation Frame Relay (Q.933) 273
Signalisation ILMI 4.0 (ATM Forum) 291
Signalisation RAS (H.225) 422
SNMP v1 (RFC 1157, 2571, 2572) 144
Spanning tree (802.1d) 72
SSL/TLS (RFC 2246, 3546) 472
TCP (RFC 793) 132
Translations dadresses et de ports 459
UDP (RFC 768) 131
VLAN (802 .1q) 303
Annexes

548
VRRP (RFC 2338) 309 WLAN (802.11) 91

Reseau D'entreprise

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Reseau D'entreprise

Încărcat de

Drepturi de autor:

Formate disponibile

J EAN- L UC MONTAGNI ER

Ethernet 802.3, commutateurs, couche MAC, spanning tree, GARP

Les serveurs accds uniquement par les utilisateurs

Ce LER crera galement une table

ECT / CE ECT ECT / CE

RED dtecte que la file dattente dpasse

WFQ, RED, Precedence, ECN, Diffserv, 802.1p, Intserv, RSVP, COPS

IGMP, DVMRP, MOSPF, PIM

Le routage des flux multimdias

IGMP, DVMRP, MOSPF, PIM

Le routage des flux multimdias

Adresse de la source 1 lague (Prune)

2me adresse multicast de groupe

S-ar putea să vă placă și