Documente Academic
Documente Profesional
Documente Cultură
www.siteduzero.com
Sommaire
1/148
Sommaire
Sommaire ........................................................................................................................................... 1 Informations sur le tutoriel ................................................................................................................... 2 Les rseaux de zro ........................................................................................................................... 4
Informations sur le tutoriel ................................................................................................................................................. 4
www.siteduzero.com
2/148
48 48 48 50 51 51
Relation entre network ID et masques ...................................................................................................................................................................... Des rgles fondamentales connatre absolument .................................................................................................................................................. Introduction au subnetting ......................................................................................................................................................................................... Analyse des contraintes et plan d'adressage ............................................................................................................................................................ Analyse des contraintes ............................................................................................................................................................................................ L'organisation ............................................................................................................................................................................................................
www.siteduzero.com
3/148
121 122 123 123 124 125 126 127 127
Cheminement d'un courriel ..................................................................................................................................................................................... Commenons par le MUA ....................................................................................................................................................................................... C'est quoi ce MSA ? ................................................................................................................................................................................................ MTA, l'agent de Jack Bauer de transfert ................................................................................................................................................................. Pour terminer : Le grand MDA ................................................................................................................................................................................ Quand les protocoles s'emmlent... ........................................................................................................................................................................ IMAP vs POP : les protocoles de retrait de mails ................................................................................................................................................... Le bureau de poste version lectronique : prsentation ......................................................................................................................................... IMAP : un protocole qui a la tte dans les nuages ..................................................................................................................................................
www.siteduzero.com
4/148
Dans ce tuto, vous apprendrez des notions de base pour bien dbuter, puis vous tudierez l'adressage et le subnetting. On s'attaquera ensuite aux couches du modle OSI, puis... la suite n'est pas encore en ligne. Dans la partie scurit, dont le tout dbut est dj publi, vous pouvez avoir un aperu de ce qui est en prparation, histoire de vous faire saliver... N'hsitez pas lire les commentaires de chaque chapitre, certains sont trs pertinents et permettent d'approfondir le cours !
www.siteduzero.com
5/148
www.siteduzero.com
6/148
Une entit peut dsigner une "chose" parmi d'autres. Par exemple, une personne dans un groupe de personnes est une entit de ce groupe. Pour rester dans cet exemple, on parle de rseau quand deux ou plusieurs personnes parlent ensemble. C'est tout, un rseau c'est juste quand on parle ensemble ?
Oui, mais n'oubliez pas que "parlent ensemble" c'est aussi "s'changent des informations" ! Donc, en gros, un rseau consiste en l'change d'informations, et il existe (dans la vie courante) plusieurs moyens d'changes d'informations, sans faire intervenir la technologie (Internet, tlphone, etc.). Si on veut vous donner un livre, on prend le livre, et on vous tend la main, puis vous prenez le livre. Vous l'aurez compris, il existe plusieurs manires de partager des donnes entre les humains, sans les technologies. Ce qui est intressant, c'est que je peux envoyer (transmettre) un livre Andr, en passant par Pierre. Citation - Eh Pierre, si tu vois Andr, passe lui le livre, et qu'il te le remette quand il aura fini de le lire. Ce qui se passe dans ce cas est : Je donne le livre Pierre Pierre trouve Andr et le lui donne Andr a fini, il rend le livre Pierre Pierre vient me rendre le livre Nous allons supposer dans ce cas prsent que moi et Andr ne nous voyons pas, donc, Pierre est dans ce cas un intermdiaire. Justement, le principe d'intermdiaire est un des fondements des rseaux informatiques. Vous allez rapidement vous en rendre compte. Pour communiquer, les 2 entits doivent parler la mme langue. Ou alors, l'intermdiaire doit parler la langue de chacun de ses interlocuteurs. En rseau informatique, c'est pareil, sauf qu'on ne parle pas de langue mais de protocole.
Vous avez compris ce qu'est un rseau j'espre, avec notre exemple trs original ( Et, dans le principe, un rseau informatique n'est pas si diffrent que a.
www.siteduzero.com
7/148
Le rseau Internet
Le rseau Internet est le rseau permettant la communication entre diffrents ordinateurs connects Internet. Quand un ordinateur est connect ce rseau, on dit qu'il a accs Internet. On confond parfois ce rseau avec le World Wide Web, alors qu'il y a une grande diffrence entre ces deux notions.
Internet
Internet, par contre, c'est l'ensemble des nuds (connexions, cbles, etc.) entre les machines qui nous donnent accs au web. Internet est donc l'ensemble des rseaux qui nous permettent de partager des donnes sur la toile (entre autres, car il n'existe pas que le web sur Internet). Donc, quand une personne vous demande si vous avez Internet, elle veut savoir si votre ordinateur a accs Internet. Par ailleurs c'est encore un abus de langage que de dire que l'on a Internet : ce rseau gigantesque n'appartenant personne, on ne peut qu'avoir accs Internet.
Le rseau Tlcom
tymologiquement, le mot tlcommunication (abrg tlcom) signifie communication distance. Le rseau Tlcom a donc pour but d'assurer la communication distance, par la transmission lectrique de la voix. Ce rseau est similaire au rseau Internet en plusieurs points, comme l'identit unique, les "sous-rseaux" forms par les dlimitations territoriales... Nous ne pouvons pas expliquer a ds le dbut, mais soyez patient(e) : vous comprendrez l'analogie dans peu de temps.
www.siteduzero.com
8/148
liaisons et la configuration, on verra plus tard. Vous ne voulez quand mme pas que l'on monte un rseau d'entreprise ds le premier chapitre, si ? Concrtement, un rseau informatique, a sert quoi ?
Et bien, sans rseau informatique, vous ne seriez pas en train de lire ce tuto dj. De manire globale, un rseau informatique permet l'change d'informations distance. On peut trouver plein d'applications un rseau : discuter avec une personne, s'changer des documents, jouer en ligne... Retenez bien le terme d'application de rseau ! Une application est l'utilisation (voire l'exploitation) d'une ressource pour en faire quelque chose de concret. Ici, on exploite un rseau informatique pour discuter par exemple. En mcanique, on peut exploiter du matriel pour faire une voiture : c'est une application de la mcanique (le rdacteur ayant crit a n'y connait absolument rien en mcanique, si quelqu'un veut refaire l'exemple qu'il n'hsite pas ). On espre que ce chapitre ne vous a pas ennuy, car il est primordial si l'on veut avancer dans le cours. Nous avons abord le fonctionnement de la transmission des donnes, en nous inspirant de la vie courante. L'exemple n'tait certes pas original, mais il est tout de mme trs pratique pour comprendre les adresses, les protocoles, etc. Vous n'allez pas tarder vous en rendre compte ! Maintenant que nous avons dfini ce qu'est un rseau, nous allons pouvoir tudier de quoi c'est compos.
www.siteduzero.com
9/148
Ces appellations, comme on nous l'a fait remarquer, sont typiquement "microsoftiennes", cependant, le principe reste le mme.
www.siteduzero.com
10/148
Les cbles
Un des mdias d'accs le plus utilis est le cble. Les cbles sont des liaisons physiques entre ordinateurs. Mais il en existe diffrentes sortes, nous allons en voir 2 principales.
Cble Ethernet
Le cble Ethernet est srement le type de cble le plus utilis pour connecter des ordinateurs entre eux dans un rseau local. moins que votre rseau soit entirement sans-fil, vous en avez srement chez vous. Il relie gnralement un ordinateur personnel un routeur (ce que l'on appelle parfois une "box"). Le nom "scientifique" (si l'on peut appeler a comme a) du cble Ethernet est "cble UTP-CAT5 (Unshielded Twist Pair Category 5)" ou "cble UTP-CAT6 (Unshielded Twist Pair Category 6)". La diffrence entre les deux catgories ? Tout simplement le dbit : le CAT5 permet un dbit de 100 mgabits par seconde alors que le CAT6 supporte le gigabit par seconde. Il existe deux types de cble Ethernet : les cbles Ethernet droits et les cbles Ethernet croiss. Ces derniers permettent de relier directement entre eux deux ordinateurs alors que les cbles droits servent relier un ordinateur un autre appareil comme un hub ou un switch que nous allons vous prsenter dans ce chapitre. Comment faire pour reconnatre un cble droit d'un cble crois ?
Gnralement, c'est marqu sur l'emballage. Si vous n'avez plus l'emballage, il suffit de regarder les embouts des cbles :
(Cliquez pour agrandir) Sur cette photo, on voit que les couleurs des fils l'intrieur des embouts sont dans le mme ordre sur les deux connecteurs : c'est donc un cble droit. Si le premier fil en partant de la gauche est invers avec le 2me et que le 3me est invers avec le 6me, c'est un cble crois. Sinon, c'est un cble dit "btard", mais c'est rare. Ce type de cble est parfois appel "cble RJ-45" : c'est un abus de langage, RJ-45 est le nom de l'interface du cble (en gros, son embout).
Cble tlphonique
Le cble tlphonique est communment appel RJ11 (Registered Jack 11). Ici aussi c'est un abus de langage, RJ11 n'est pas le cble, mais bien l'interface. C'est ce que l'on peut utiliser pour le tlphone et le modem. Nanmoins, en France, ce type de cble est peu utilis : les prises en T sont trs courantes. Ce tutoriel n'ayant pas pour objectif d'aller dans les dtails techniques lectroniques qui constituent ces cbles et leurs spcificits, ces notions seront suffisantes pour le moment. Si vous voulez approfondir vos notions sur les cblages, nous vous conseillons Google et Wikipedia.
Le monde du sans-fil
L'air est aussi un mdia d'accs en rseau informatique. C'est un espace global qui englobe d'autres mdias d'accs, dont nous allons parler. On peut diffuser des ondes lectromagntiques dans l'air et dans l'espace : ce sont ces ondes qui permettent de transporter des informations.
Le Bluetooth
www.siteduzero.com
11/148
) est une technologie dveloppe par plusieurs entreprises (Agere,
IBM, Intel, Microsoft, Motorola, Nokia et Toshiba) permettant la communication en utilisant l'espace hertzien (qui permet la diffusion d'ondes radio) entre les quipements lectroniques, afin de minimiser l'utilisation des cbles entre les imprimantes, ordinateurs, scanners, PDA, tlphones, etc. Ce systme exploite donc les ondes radio. D'ailleurs, vous allez apprendre du vocabulaire aujourd'hui : quand plusieurs entits sont en communication par le biais du Bluetooth, ce rseau form est qualifi de piconet . Piconet vient de pico-network, en franais on peut traduire a par picorseau. Dans un picorseau, les appareils utilisent la relation matre-esclave : le matre donne des ordres, l'esclave obit. Quand plusieurs picorseaux sont relis, les esclaves peuvent avoir plusieurs matres, on parle alors de scatternet ou inter-rseau. Le mot "scatternet" signifie littralement "rseau dispers". En Bluetooth, un esclave ne peut communiquer qu'avec son ou ses matre(s). Il ne peut pas communiquer avec d'autres esclaves ou matres. Inversement, un matre ne peut communiquer qu'avec son ou ses esclave(s) (bien qu'un matre puisse tre lui-mme esclave d'un autre). D'ailleurs, un matre ne peut pas avoir plus de 7 esclaves.
Un piconet, ou picorseau
www.siteduzero.com
12/148
Pour la petite histoire, le nom Bluetooth vient d'un roi danois qui s'appellait Harald Ier, surnomm Harald Bltand, ce qui signifie "l'homme la dent bleue". Il existe 3 classes en Bluetooth : la classe 1, la 2 et la 3. Ce qui les diffrencie est juste la porte. Dans la classe 1, la porte peut aller jusqu' 100 mtres, dans la catgorie 2, elle est d'une dizaine de mtres, et dans la classe 3, elle est de quelques mtres seulement (moins de 10). C'est cette 3 me classe qui est utilise dans les tlphones portables.
L'infrarouge
L'infrarouge est un autre moyen de transmission des donnes sans fil, qui exploite la lumire. Il est moins pratique que le Bluetooth car il faut que les priphriques qui communiquent entre eux soient moins de 1,50m de distance. Ils doivent aussi tre aligns : la lumire ne se propage pas dans les environs comme les ondes radio. Autrefois, beaucoup de tlphones utilisaient l'infrarouge, mais il s'est rapidement fait remplacer par le Bluetooth, bien que certains appareils utilisent les deux. Il existe toujours actuellement des imprimantes, souris, claviers sans fil utilisant infrarouge.
Le Wi-Fi
Le Wi-Fi est certainement le moyen de transmission de donnes sans fil le plus utilis. Sa porte pouvant excder les 200 mtres en espace ouvert et sa vitesse de dbit thorique de plus de 100 mgabits par seconde (Mbps) ont permis une dmocratisation de cette technologie qui est aujourd'hui trs utilise dans les rseaux locaux pour accder Internet. Il est impressionnant de constater le nombre de points d'accs Wi-Fi scuriss ou non que l'on peut capter un peu partout. "Wi-Fi" peut tre considr comme le nom commercial de la norme IEEE 802.11, norme qui rgit cette technologie. Ces mthodes de transmission d'information ne serviraient rien si l'on n'avait pas de matriel pour les exploiter... Heureusement, il y en a, et pas qu'un peu !
www.siteduzero.com
13/148
Une carte rseau La carte rseau de la photo comporte un port femelle Ethernet : ce port peut accueillir un cble Ethernet mle (connecteur RJ45). Les cartes rseau internes sont souvent des cartes PCI, c'est dire qu'elles s'enfoncent dans un port PCI. Une cl Wi-Fi est aussi une carte rseau elle toute seule, sauf que contrairement une carte comme celle ci-dessus, elle se prsente sous forme de cl USB et se branche sur un port USB.
www.siteduzero.com
14/148
Concentrateur (hub)
Un hub est un dispositif en rseau qui permet de mettre plusieurs ordinateurs en contact. Dfinition pas trs prcise, puisque tout dispositif en rseau (ou presque) a le mme but. Bref, ce qu'il faut retenir est qu'un hub est trs bte, enfin, moins intelligent que les autres. Ce qu'il fait est tout simple : il reoit des donnes par un port, et envoie ce qu'il reoit aux autres. Il a une interface de rception (un port) et une interface de diffusion (plusieurs autres ports par o les autres ordinateurs sont connects). Attention, une interface permet la rception ET la diffusion. Comme vous pouvez le voir sur la photo ci-dessous, le hub n'a pas juste deux interfaces physiques, o on entre par la gauche et on ressort droite, non ! L'interface de rception est logique. Exemple : j'ai un hub 4 ports, avec 4 ordinateurs connects. J'ai le port 1, 2, 3, 4 (ici, interface = port). Si l'ordinateur 4 (au port 4) veut communiquer avec les autres, moi le hub, je reois les donnes au port 4 (c'est mon port de rception), je renvoie les donnes aux ports 1, 2, et 3 : ce sont les ports de diffusion. Je ne renvoie plus les donnes au port 4, car c'est mon port de rception.
Un hub, ou concentrateur Ce qu'on lui reproche est le manque de confidentialit, et oui, le hub ne garde pas de secret : tout ce qu'un ordinateur lui dit, il l'envoie aux autres. Heureusement, les autres vrifient bien si a leur est destin, et si a ne l'est pas, ils laissent tomber les donnes et ne les lisent pas. C'est toujours scurisant, non ?
Non, pas du tout, partir du moment o les donnes arrivent jusqu' la carte rseau, elles peuvent toujours tre lues (mais on est pas l pour un cours de scurit informatique).
www.siteduzero.com
15/148
Un commutateur ou switch
www.siteduzero.com
16/148
Rpteur
Un rpteur (repeater en anglais) agit un peu comme un hub, mais il a plus de ports que lui. D'ailleurs, en anglais, on l'appelle parfois Multiports Hub (concentrateur multiports). Son intrt est de renvoyer ce qu'il reoit par l'interface de rception sur l'interface d'mission, mais plus fort. En transmission sans fil (radio, tlphone) on parle aussi de relais. Un rpteur permet de couvrir des distances plus grandes que les distances maximales fixes par le matriel que l'on utilise : par exemple, dans un rseau sans fil (Wi-Fi), la porte maximale entre 2 appareils est d'environ 50 mtres en intrieur. En plaant un rpteur peu avant ces 50 mtres, vous pouvez connecter 2 appareils 100 mtres de distance. Le fait que les informations soient renvoyes "plus fort" peut dgrader la qualit du signal dans les rseaux sans fil. Pour prendre un exemple parlant, en radiophonie, si l'on se trouve trop loin d'un relais, la qualit du son que l'on entend est dgrade.
www.siteduzero.com
17/148
La passerelle (applicative)
Une passerelle est un systme dont la vocation est de joindre ou relier deux rseaux fondamentalement diffrents. Par exemple, pour relier deux rseaux bass sur des protocoles diffrents lun de lautre, il faudrait une passerelle. La passerelle est trs souvent un matriel destin accomplir cette fonction nativement , mais il est nanmoins possible de limplmenter sous forme de logiciel installable sur une machine ordinaire.
www.siteduzero.com
18/148
Concentrateur Le concentrateur permet de relier plusieurs ordinateurs entre eux, mais on lui reproche le manque de (hub) confidentialit. Commutateur (switch) Routeur Rpteur Passerelle Le commutateur fonctionne comme le concentrateur, sauf qu'il transmet des donnes aux destinataires en se basant sur leurs adresses MAC (adresses physiques). Chaque machine reoit seulement ce qui lui est adress . Le routeur permet d'assurer la communication entre diffrents rseaux pouvant tre fondamentalement diffrents (rseau local et Internet). Le rpteur reoit des donnes par une interface de rception et les renvoie plus fort par l'interface d'mission. On parle aussi de relais en tlphonie et radiophonie. La passerelle permet de relier deux rseaux dont l'architecture diffre.
Dans ce chapitre de culture informatique, nous avons examin diffrents composants que l'on peut utiliser en rseau. Il est vraiment important de comprendre leur fonctionnement pour pouvoir choisir ce qui sera utilis dans diffrents cas. Mais on en fait quoi de tout ce matriel ? Les cbles, on les branche o ? Quelles machines doivent tre relies entre elles ? Rendez-vous au prochain chapitre pour rpondre ces questions !
Les topologies
Dans ce chapitre nous allons tudier les topologies. Il s'agit des diffrentes formes que peuvent prendre des rseaux.
www.siteduzero.com
19/148
Avant tout...
Avant tout, il faut que vous connaissiez quelques types de rseaux, cela aidera comprendre pourquoi certaines topologies existent.
www.siteduzero.com
20/148
Topologie physique
Une topologie physique est en fait la structure physique de votre rseau. C'est donc la forme, l'apparence du rseau. Il existe plusieurs topologies physiques : le bus, l'toile (la plus utilise), le mesh (topologie maille), l'anneau, hybride, etc. Cependant nous n'allons parler que des plus utilises.
Topologie logique
Une topologie logique est la structure logique d'une topologie physique, c'est dire que la topologie logique dfinit comment se passe la communication dans la topologie physique. Attention avec ces deux notions ! L'une (topologie physique) dfinit la structure physique (l'apparence physique, la forme) de votre rseau, l'autre (topologie logique) dfinit comment la communication se passe dans cette forme physique. Retenez bien ces 2 notions, et ne les confondez pas, tant qu' faire.
www.siteduzero.com
21/148
Rseau en bus
Comme son nom l'indique, la topologie bus a les caractristiques d'un bus (pensez, une ligne droite). Dans cette topologie, tous les ordinateurs sont connects entre eux par le biais d'un seul cble rseau dbut et termin par des terminateurs. Les terminateurs ont pour but de maintenir les frames (signaux lectriques de donnes) dans le cble et d'empcher les "rebonds" des donnes le long du fil. Franchement, ce n'est pas pratique du tout, et ce pour 2 raisons majeures. La premire est que, parce que toutes les machines utilisent le mme cble, s'il vient ne plus fonctionner, alors le rseau n'existe plus. Il n'y a plus de communication possible tant donn que tous les htes partagent un cble commun. La seconde est que, puisque que le cble est commun, la vitesse de transmission est trs faible. Il y a d'autres raisons qui font que cette topologie est trs peu utilise. Dans cette topologie, tant donn que le cble de transmission est commun, il ne faut pas que 2 machines communiquent simultanment, sinon... Bam, a cr des collisions ! Pour viter ce problme, on utilise une mthode d'accs appele CSMA/CD. Avec cette mthode, une machine qui veut communiquer coute le rseau pour dterminer si une autre machine est en train d'mettre. Si c'est le cas, elle attend que l'mission soit termine pour commencer sa communication. Sinon, elle peut communiquer tout de suite. C'est un peu complexe, heureusement que d'autres topologies plus simples et plus pratiques existent !
www.siteduzero.com
22/148
La forme physique du rseau ressemble une toile N'importe quel appareil (routeur, commutateur, concentrateur, ...) peut tre au centre d'un rseau en toile. L'important, c'est que pour parler une autre entit on passe par le matriel central (qui peut tre le hub, le switch, etc.). En pratique, dans un rseau d'entreprise en toile, au centre on trouve un switch. Le principal dfaut de cette topologie, c'est que si l'lment central ne fonctionne plus, plus rien ne fonctionne : toute communication est impossible. Cependant, il n'y a pas de risque de collision de donnes.
www.siteduzero.com
23/148
Si on veut, mais il a une particularit : la topologie logique est le token ring. Anneau jeton ? On met un jeton dans la machine pour avoir un anneau ?
Pas du tout !
doivent pas changer des donnes en mme temps, sinon elles s'entrechoquent. Ce principe est repris dans le rseau en anneau. Sauf que l, le systme de token ring utilise la CSMA-CA, une mthode anti-collision diffrente. Le principe est assez simple : une machine connecte au rseau possde un jeton virtuel. Ce jeton, c'est une autorisation de communiquer. Une fois que la machine a transmis ce qu'elle voulait, elle passe le jeton la machine suivante, et ainsi de suite. Si le dtenteur du jeton n'a rien dire, il le passe au suivant. On va me dire que je radote, mais je le rpte quand mme : la topologie physique, ici le bus, dfinit la forme physique du rseau (bon ici le bus est un peu courb... ). La topologie logique, ici le token ring, dfinit la manire de communiquer dans un rseau. Si vous confondez, vous allez vous retrouver vouloir brancher un jeton de casino sur une machine pour qu'elle puisse communiquer... Voici une animation dcrivant de manire simplifie le fonctionement logique d'un rseau en anneau. Le jeton rouge se transmet de machine en machine.
www.siteduzero.com
24/148
Rseau en anneau. Des ordinateurs attendent le jeton (token) pour transmettre des donnes.
www.siteduzero.com
25/148
Topologie maille
La topologie maille est LA topologie que je vous souhaite de ne jamais utiliser ! Pourquoi ?
relier tous les ordinateurs entre eux (ou du moins, un maximum). Comme a, aucun risque de panne gnrale si une machine tombe en rade, mais si vous vous prenez les pieds dans des cbles, tant donn qu'il y en a partout, c'est la cata, vous fates tout tomber ! La formule pour connaitre le nombre de cbles est n(n-1)/ 2, avec n le nombre d'ordinateurs. Donc rien qu'avec 8 ordinateurs par exemple, a nous donnera 8(8-1)/ 2, soit 28 cbles ! Cette topologie reste peu utilise vu la difficult mettre en place une telle infrastructure. Histoire de vous faire halluciner, imaginez une cole, o il y a 500 ordinateurs, si on voulait les relier tous entre eux. a ferait... 500*(500-1)/2 = ... Fates le calcul vous-mme si vous ne me croyez pas, mais a fait bien 124.750 cbles ! Il ne vaut mieux mme pas penser au prix que peut coter une centaine de milliers de cbles. En plus, chaque cble doit tre reli 2 cartes rseau, a ferait 499 cartes rseau par machine, soit 249.500 cartes rseau en tout... Donc oui, ce n'est pas facile mettre en place, et c'est utilis sur de petits rseaux dans des cas bien prcis.
www.siteduzero.com
26/148
Topologie hybride
Une topologie hybride, c'est trs simple (enfin, dans le principe) : c'est juste le regroupement de plusieurs topologies diffrentes. Par exemple, Internet est une parfaite illustration d'un rseau hybride car il joint des rseaux en anneau avec des rseaux en bus, avec des rseaux en toile, ... Rien de spcial au final. Internet peut aussi tre vu comme un rseau maill, dans son sens logique. Rappelez-vous, dans un rseau maill, la multiplication de nombre de cbles permet plusieurs chemins de communication (dans le rseau Internet, toutes les machines ne sont pas toutes relies entre elles, c'est un mlange de regroupements de nuds et autres joyeusets). Comme il y a tout plein de cbles, il y a donc plusieurs chemins possibles pour parler son destinataire. On peut donc dcrire Internet comme un rseau maill (dans le sens logique), car on peut transmettre des donnes par plusieurs chemins. Il faut avouer que ce chapitre n'tait pas vraiment difficile. Ce qu'il faut comprendre et maitriser, c'est la diffrence entre une topologie physique et une topologie logique. Dans le monde professionnel, on utilise gnralement des topologies (physiques et logiques) de type toile. Mais dans tous ces ordinateurs en rseau, comment fait-on pour les distinguer les uns des autres ? C'est ce que nous allons voir dans le chapitre suivant.
www.siteduzero.com
27/148
IP vs MAC
Il est temps de parler de l'identification et de la communication dans un rseau. Nous allons aborder 2 notions : il s'agit des adresses IP et des adresses MAC. Nous allons les aborder une par une, et comprendre pourquoi il y a des adresses IP et des adresses MAC.
www.siteduzero.com
28/148
Parce que dans un grand rseau, comme un WAN, ou mme Internet, il n'y a pas d'lment central qui connait l'emplacement du destinataire et qui peut renvoyer les donnes en consquence. Par contre, le systme d'adresses IP permet, grce un processus appel routage, d'assurer que les donnes arrivent bien au destinataire. Le routage sera expliqu ds la prochaine partie.
En rsum...
La diffrence primordiale entre les adresses IP et les adresses MAC est que les adresses IP sont routables. Elles peuvent communiquer avec des machines au del d'un sous-rseau, contrairement aux adresses MAC. L'lment central (switch, ...) se base donc sur les adresses MAC pour assurer la communication entre plusieurs machines appartenant un mme sous-rseau, mais utilise les adresses IP pour faire communiquer des machines de sous-rseaux diffrents. On espre que vous avez compris.
www.siteduzero.com
29/148
Mais alors, comment faire pour que deux machines, appartenant des sous-rseaux diffrents, communiquent ?
C'est l qu'intervient...
...La passerelle
Celle-ci permet donc la communication entre deux sous-rseaux :
www.siteduzero.com
30/148
Une passerelle qui relie 2 sous-rseaux entre eux Une passerelle est un autre ordinateur qui a plusieurs cartes rseau (gnralement on utilise un routeur, souvenez-vous dans un chapitre prcdent, nous avions vu qu'un routeur est un ordinateur qui possde plusieurs cartes rseau). Cet ordinateur peut communiquer avec plusieurs sous-rseaux. On peut le comparer une personne situe un carrefour, c'est--dire un croisement de plusieurs rues. La passerelle sert ainsi de messager entre les habitants des diffrentes rues. Il faut un peu d'imagination pour comprendre... Ne confondez pas passerelle (le matriel) et passerelle logique (le service) ! Une passerelle est un matriel, c'est une notion physique. Elle permet de relier entre eux 2 rseaux fondamentalement diffrents. Une passerelle logique, auquel nous ferons rfrence par passerelle tout court est un service, fourni par un routeur par exemple. C'est une notion logique. Elle permet de faire communiquer 2 machines n'tant pas situes dans le mme sous-rseau par le biais d'un "lment central" comme un routeur.
www.siteduzero.com
31/148
Le client et le serveur
Client et serveur, voici 2 mots que vous pouvez rencontrer dans la vie courante. Dans un caf, par exemple. Un client est une personne qui demande quelque chose au serveur : le client demande un caf au serveur, qui lui apporte. En informatique, le principe est le mme : un client va demander quelque chose au serveur. Un exemple trs simple : quand vous allez sur le Site du Zro, vous tes un client qui demande au serveur du site une page. Dans la thorie, c'est aussi simple que a. Le mode de communication entre un client et un serveur est appell architecture client-serveur. Un autre exemple ? Les serveurs IRC. Pour ceux qui ne connaissent pas, un serveur IRC est un serveur (h oui ) sur lequel
des clients peuvent venir discuter ("chatter") sur des salons. Un des clients ayant rejoint un salon peut envoyer un message au serveur en lui demandant de le transmettre aux autres, ce qu'il s'empresse de faire comme le montre cette animation :
Des clients connects un serveur IRC, sur le mme salon, s'changent des messages.
Bien que cette architecture se retrouve dans beaucoup d'applications d'Internet (eh oui, il faut se remmorer le premier chapitre, dur ), il existe un autre mode de communication : le pair--pair (P2P). Il s'avre trs pratique dans certaines applications, comme le partage de fichiers notamment. Vous devriez ce stade comprendre l'identification dans un rseau. Mais n'allez pas vous imaginer que c'est si simple ! Vous aviez oubli le titre de cette premire partie ? C'est "Le concept et les bases", et ce chapitre n'tait qu'une prparation la partie suivante, dans laquelle nous allons vraiment dcortiquer tout cela ! Maintenant que vous connaissez la thorie ncessaire, nous allons pouvoir passer la seconde partie.
www.siteduzero.com
32/148
www.siteduzero.com
33/148
Pour voir votre adresse IP sous Windows : 1. 2. 3. 4. Cliquez sur Dmarrer ; Tous les programmes ; Accessoires ; Invite de commandes.
Vous allez voir une belle boite noire style DOS apparatre :
Vous pouvez galement ouvrir l'invite de commande en cliquant sur Dmarrer -> Excuter (ou avec le raccourci clavier Windows + R), tapez cmd et validez.
Elle sera votre meilleure amie dans le monde du rseau, et nous allons beaucoup l'utiliser dans la suite du cours. a fait peur hein ? Il n'y a pas de quoi pourtant, mme si a parait vieux, la console reste utile. Vous en aurez presque toujours besoin pour dtecter les problmes de rseau, vous vous en rendrez compte en temps voulu. Dans l'invite de commandes, tapez ipconfig . Vous obtenez alors un rsultat tel que celui-l : Code : Console Configuration IP de Windows Carte Ethernet Connexion au rseau local: Statut du mdia . . . . . . . . . : Mdia dconnect Carte Ethernet Connexion rseau sans fil: Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Adresse IP. . . . . . . Passerelle par dfaut . connexion . . . . . . . . . . . . . . . . . . . . : : : : : 192.168.1.17 255.255.255.0 fe80::218:deff:fe39:75c%5 192.168.1.1
Vous n'avez peut-tre pas les mmes rubriques : cela dpend de votre type de connexion (Wi-Fi, filaire...). Reprez la rubrique o vous avez des informations sur l'IP, le masque de sous-rseau, etc. Il est possible que, comme dans le rsultat ci-dessus, vous ayez deux adresses IP. Si c'est le cas, cela veut dire que votre systme d'exploitation supporte le protocole IPv6 : vous avez donc une adresse IPv4 et une IPv6. D'aprs les descriptions que nous vous avons donn dans la partie 1, vous devriez les
www.siteduzero.com
34/148
Bien videmment, vous verrez probablement une ou des adresse(s) IP diffrente(s), avec peut-tre un autre masque de sousrseau. Vous pourrez aussi avoir une passerelle par dfaut diffrente. Pour connatre votre adresse IP sous Linux, ouvrez votre terminal (xterm, Konsole, ...) et crivez ifconfig . Vous obtiendrez un rsultat similaire. Voil, vous savez donc quoi ressemble votre adresse IP. Mais, vous n'avez pas tous la mme, c'est un fait. Alors, comme nous ne sommes pas des sgrgationnistes en matire d'adresses IP, nous allons nous occuper de toutes les classes. Toutes les classes ? En rseau, les adresses sont fashion ?
Eh non, c'est bien un cours de rseau informatique, pas de mode. Une classe en rseau est, en fait, un ensemble d'adresses IP. Chaque adresse IP appartient une classe principale (on dit aussi une plage). Chaque classe a un masque de sous-rseau par dfaut. Que vous le vouliez ou non, ds que vous donnez votre carte rseau une adresse IP, votre systme d'exploitation lui assigne directement un masque de sous-rseau par dfaut selon la classe laquelle appartient votre adresse IP. Par convention, les crateurs du protocole IP disent qu'il existe 5 classes d'adresses IP. En d'autres termes, on peut choisir notre adresse IP dans ces cinq classes (thoriquement hein, parce que la pratique, c'est encore autre chose ). Ces classes sont : A, B, C, D et E. Actuellement, les classes sont obsoltes. On peut considrer qu'elles n'existent plus. Nanmoins, il peut tre utile de voir de quoi il s'agissait. Gardez l'esprit, lors de la lecture de la suite de ce chapitre, cette information. Voir les classes avant d'aller plus loin est un choix pdagogique. Ce n'est pas forcment le meilleur, mais c'est le ntre.
Maintenant que les prsentations sont faites, tudions-les un peu plus en dtail !
www.siteduzero.com
35/148
Classe A
Commenons par l'tude de la classe A.
Prsentation
Nous vous avons dit qu'une classe d'adresses IP est en fait un ensemble d'adresses. Dans le cas de la classe A, ces adresses IP se situent entre 1.0.0.0 et 127.255.255.255. Son masque de sous-rseau par dfaut est 255.0.0.0. En pratique, les adresses IP de la classe A se situent entre 1.0.0.0 (compris) et 126.255.255.255. Mais alors, quoi servent les adresses IP entre 127.0.0.0 et 127.255.255.255 ?
En fait, les adresses IP commenant par 127 sont utilises pour faire des tests particuliers. Faisons un test. Reprenez votre invite de commandes, ou terminal (on vous l'avait bien dit que vous alliez beaucoup l'utiliser ). Sous Windows, tapez : Code : Console ping 127.0.0.1
On verra plus tard ce qu'est ping en dtails. Pour faire court : c'est un outil de diagnostic.
Si le protocole TCP/IP est correctement implment, c'est dire si votre systme d'exploitation est capable de se connecter un rseau (on peut supposer que c'est le cas vu que vous tes en train de lire cette page ), vous aurez une suite de rponses de votre carte rseau, gnralement 4 lignes. Nous vous laissons lire et comprendre ces quelques lignes, vous en tes largement capables. Revenons l'tude de l'adresse 127.0.0.1. On l'appelle loopback address. D'accord, c'est de l'anglais... Cependant, dans le monde du rseau, c'est la langue principale, c'est donc important d'apprendre ce vocabulaire. On va traduire a ensemble. Le mot loopback signifie "boucle de retour". Donc, lorsque vous faites ping 127.0.0.1 , vous faites en ralit un ping vers... votre ordinateur ! En fait, votre systme d'exploitation cre automatiquement un rseau spcial compos uniquement de lui-mme. Sous Linux, ce rseau spcial est reprsent par l'interface lo. Quel intrt ?
Et bien, cela permet de tester des applications rseau sans tre connect rellement un rseau. Par exemple, vous voulez tester un script PHP (ce qui ncessite un logiciel serveur Apache, gnralement) mais vous n'tes pas connect Internet, vous ne pouvez pas l'envoyer sur un serveur pour le tester. Votre ordinateur peut faire office de serveur, grce WAMP ou un logiciel de ce genre. Pour tester votre script, votre ordinateur se connecte lui-mme et s'envoie lui-mme des requtes. a parait tordu comme a, mais en fait c'est logique. Notez que toute adresse de la forme 127.XXX.XXX.XXX marchera la place de 127.0.0.1. Si vous voulez, vous pouvez tester avec ping.
www.siteduzero.com
36/148
Revenons maintenant l'tude de la classe A. Ses adresses IP sont gnralement utilises dans de trs trs grandes entreprises et chez les FAI. Vous vous demandez pourquoi ? Pour rpondre, il va falloir nous intresser la structure d'une adresse IP.
Une adresse IP est donc constitue de 4 octets, ou 4 bytes soit 32 bits. Votre ordinateur, lui, il ne voit pas une adresse IP, comme vous et nous. Nous voyons des nombres dcimaux tandis qu'il "voit" des nombres binaires, une suite de 0 et de 1 ( supposer que les ordinateurs "voient" ). Rendez-vous en fin de chapitre pour en apprendre d'avantage sur le binaire ! (De toute manire, c'est un passage oblig, sinon, vous n'allez rien comprendre aux chapitres qui vont suivre. )
Dans notre exemple, c'est--dire dans le cas d'une adresse IP de la classe A, le premier octet est l'identit du rseau, soit en anglais network ID. Qu'est-ce que c'est ?
Cela indique simplement que l'adresse client 0.0.1 se trouve dans le rseau 110. Donc, ce niveau, vous avez d comprendre que la partie 0.0.1 est l'adresse de votre carte rseau. On l'appelle l'adresse client, ou, en anglais, host ID. Si vous avez une adresse IP de 110.0.0.1, vous pouvez communiquer avec tous les htes de votre rseau (qui auront donc pour adresse IP 110.XXX.XXX.XXX). Par contre, si vous voulez communiquer avec un hte dans le rseau 122, il vous faudra passer par... une passerelle (un routeur). Vous ne l'aviez pas oubli, si ?
Notons une rgle d'or : dans un rseau, deux clients (ordinateurs, imprimantes, etc.) ne peuvent pas utiliser une mme adresse IP, de mme que, dans un pays, 2 lignes tlphoniques ne peuvent pas avoir le mme numro attribu.
Bref, cela explique pourquoi ce sont les trs grandes grandes entreprises et les FAI qui utilisent ce type d'adresses. En effet,
www.siteduzero.com
37/148
grce la rpartition des octets entre network ID et host ID, vous pouvez avoir 16 777 214 adresses IP par rseau. De plus, vous pouvez avoir un total de 126 rseaux. Vous comprenez donc que a intresse les FAI qui doivent donner des adresses IP un trs grand nombre de personnes. Un sous-rseau en anglais se dit subnet qui est le diminutif de subnetwork.
A priori, vous ou nous n'aurons pas vraiment affaire cette classe, mme dans le monde professionnel sauf si, bien sr, vous travaillez pour des FAI. Dans ce cas, des formations telles que CISCO CCNA, CCNP, voire CCIE vous seront utiles.
www.siteduzero.com
38/148
Classe B et C
A prsent, intressons-nous aux classes B et C.
Classe B
Premirement, parlons de la classe B. Il n'y a pas grand chose dire, voil pourquoi elle vient en premier (et aussi parce que c'est l'ordre alphabtique ).
Prsentation
Les adresses IP de la classe B sont celles entre 128.0.0.0 et 191.255.255.255. Le masque de sous-rseau par dfaut de cette classe est 255.255.0.0. Seules des grandes ou moyennes entreprises vont utiliser ce type d'adresses IP pour raccorder plusieurs ordinateurs car dans la classe B, on a une possibilit de 65 534 ordinateurs par rseau. Comme pour la classe A, ce nombre vient de la structure des adresses IP de la classe B que nous allons tudier maintenant plus en dtails
C'est dj bien si vous vous tes pos cette question. Sinon, relisez ce chapitre : vous devez absolument bien comprendre les notions de bits, octets et bytes. Bref, c'est grce une question comme celle-l que l'on se rend compte de l'importance d'un masque de sous-rseau. En effet, celui-ci dfinit quelles parties des 4 de votre adresse IP (ou quels octets de votre adresse IP) correspondent l'identit rseau et quelles parties correspondent l'identit client. Quand on tait dans la classe A, on avait un masque de sous-rseau de 255.0.0.0. Or, dans une adresse IP de la classe A telle que 110.0.0.1, seul le premier octet (ici 110) correspond l'identit rseau. Maintenant, regardez son masque de sous-rseau, seul le premier octet est 255, les autres sont 0. Nous pensons que l vous avez tous compris comment a fonctionne. Reprenons notre adresse de la classe B. Comme dans notre masque de sous-rseau les deux premiers octets sont 255, dans notre adresse IP, les deux premiers octets correspondent l'identit rseau :
Classe C
Abordons maintenant la classe C. Nous allons en parler un peu plus longtemps.
www.siteduzero.com
39/148
Prsentation
Les adresses de la classe C sont entre 192.0.0.0 et 223.255.255.255. Le masque de sous-rseau par dfaut est 255.255.255.0. Cette classe est celle qui nous intresse le plus. En effet, la plupart de nos adresses IP que nous avons vues en dbut de chapitre sont dans cette classe. Aprs cela dpend aussi de votre FAI. Certains vous donneront des adresses prives et utiliseront des services comme NAT pour vous donner accs Internet. Vous aurez plus d'informations sur les classes prives dans une souspartie aprs. Dans cette classe on peut avoir 254 adresses IP par rseau, et 2 097 152 rseaux. Pourquoi seulement 254 adresses IP par rseau ? De 1 255, a en fait 255, non ?
Bonne remarque.
www.siteduzero.com
40/148
Classe D et E
Consacrons-nous prsent aux classes D et E qui sont, en fait, sans grand intrt pour nous. En effet, vous pouvez vous permettre d'ignorer ces deux classes. Mais bon, pour le principe, nous allons quand mme vous expliquer pourquoi on choisit de les ignorer et vous donner quelques informations. Pourquoi ignorer les classes D et E ?
Dans la pratique, vous n'utiliserez pas la classe D. Quant la classe E, vous ne pouvez pas l'utiliser : c'est une classe exprimentale. Seuls les dveloppeurs du protocole TCP/IP l'utilisent pour des expriences.
Quelques informations...
Pour la culture, nous allons vous donner quelques informations. Pour les classes D et E, le nombre de rseaux possibles et le nombre d'identits client ne sont pas connus : c'est non-assign. On pourrait supposer qu'on utilisera des adresses de ces deux classes dans les annes venir mais, en ralit, cela ne risque pas d'arriver. En effet, il y a dj une nouvelle version du protocole IP : IPv6. Il est donc logique que l'on migre vers le protocole IPv6. Voici les portes de ces deux classes : Classe D : de 224.0.0.0 239.255.255.255 ; Classe E : de 240.0.0.0 jusqu' 255.255.255.255. Vous pouvez vous amuser compter le nombre d'adresses IP possibles dans ces deux classes, cependant officiellement cela n'a pas t assign.
www.siteduzero.com
41/148
Pour le faire : 1. 2. 3. 4. Dmarrer Favoris rseau (ou Connexion, sous Vista) Cliquez sur Afficher les connexions rseau dans le menu de gauche (ou Ouvrir le Centre Rseau et partage) "Cliquez droit" sur le nom de votre connexion (ou cliquez sur "Voir le statut" dans le cadre de la carte rseau que vous souhaitez configurer) 5. Proprits 6. Cliquez sur TCP/IP (ou Protocole Internet version 4 (TCP/IPv4)), puis sur le bouton Proprits 7. Effacez les valeurs (en les retenant pour tout remettre en ordre aprs !) Retournez dans votre invite de commandes, et ressayons la fameuse commande de ipconfig . Et l, ipconfig affiche : Code : Console Adresse IP : 169.254.XXX.XXX
Votre adresse IP commence par 169.254 ! Nous avons remplac les valeurs de l'host ID par XXX.XXX car elles ne sont pas importantes. Ce qu'il faut noter c'est que votre adresse IP appartient la plage 169.254.0.0 - 169.254.255.255 et donc appartient la classe prive rserve par Microsoft.
Pourquoi ai-je une adresse IP de cette classe alors que j'ai effac toutes les informations concernant mon adresse ?
Microsoft a rserv cette classe pour l'assignation automatique des adresses IP lorsqu'aucune autre configuration manuelle ou dynamique n'a pas t faite. Cette porte d'adresse (ou classe prive) est trs importante dans le diagnostic des ordinateurs qui tournent sous Windows. Il y a aussi la porte des adresses IP de 192.168.0.0 - 192.168.255.255. Beaucoup d'entre vous ont une adresse IP commenant
www.siteduzero.com
42/148
Si vous avez une adresse IP d'une classe publique, vous n'avez ventuellement pas besoin d'une passerelle car vous avez accs au rseau public qu'est Internet. Mais un FAI "srieux" vous donnera une adresse IP prive mme si elle est dans la classe A, B, ou C. Oui, il y a aussi des classes prives dans les classes A et B. Dans la classe A les adresses IP allant de 10.0.0.0 10.255.255.255 sont des adresses prives, et dans la classe B, celles allant de 172.16.0.0 172.31.255.255 sont des adresses prives aussi.
www.siteduzero.com
43/148
Et bien, a va nous prparer faire des calculs plus intressants dans la suite de cette 2 me partie, notamment quand nous allons personnaliser les masques de sous-rseaux, en empruntant quelques bits de la partie client de notre adresse IP (ceci est un spoiler propos de ce qui va vous arriver ensuite ).
Systme dcimal
Le systme de numration dcimale est le plus connu aujourd'hui. Oui, il s'agit bien de la fameuse suite des chiffres : 0, 1, 2, 3, 4, 5, 6, 7, 8 et 9. Ce systme utilise la base 10. Bon, ne trouvant vraiment pas quoi dire de plus sur cette technique de numration, nous allons nous contenter de citer Wikipdia pour les avantages et inconvnients de ce systme (uniquement utile pour la culture hein, ce n'est pas apprendre par cur ): Citation : Wikipdia La base dix comporte quelques atouts : Le compte sur les dix doigts est trs intuitif Elle est construite sur un nombre pair, et la division par deux est la plus courante Son ordre de grandeur est satisfaisant, car il permet de rduire considrablement la longueur d'un grand nombre par rapport une base deux, tout en conservant des tableaux d'additions et de multiplications mmorisables Les normes internationales sont construites sur cette base Elle est la plus courante Cependant, la base dix n'est pas celle qui offre le meilleur bnfice, car elle ne s'appuie pas sur un nombre ayant des proprits avantageuses : Un nombre comportant beaucoup de diviseurs (ex. : 12 ou 60) aurait eu un aspect pratique, or 10 n'en a que deux (2 et 5), et la division par cinq n'est pas la plus courante Un nombre premier serait intressant pour les mathmatiques, car, dans une telle base, les nombres virgule s'criraient aisment sous forme de fraction irrductible, or dix n'est pas premier Une puissance de deux serait adapte l'informatique, or dix n'est pas puissance de deux
Systme binaire
Le systme binaire est un systme de numration, tout comme l'est le systme dcimal, sauf que le systme binaire utilise une base de 2. Il n'y a que deux chiffres : 0 et 1. Ces chiffres qui composent les nombres binaires sont appels bits (combinaison des deux mots anglais BInary et digiT). Si vous vous rappelez bien, quand on a huit bits, on a un octet. Le systme binaire est le systme de base des calculs informatiques : votre processeur travaille sur une suite de 0 et 1, par exemple pour faire des vrifications. Si telle partie a du courant le bit vaudra 1 sinon le bit vaudra 0. Donc, les adresses IP et les masques de sous-rseaux que nous avons vu jusqu'ici ne sont qu'une suite de 0 et 1. Et nous allons
www.siteduzero.com
44/148
dans ce chapitre apprendre faire la conversion d'une adresse IP crite en binaire une adresse IP crite en dcimal et vice versa. Le systme binaire est assez complexe quand il s'agit de reprsenter des chiffres ngatifs, mais c'est important quand on veut faire de la programmation de bas niveau avec un langage comme l'assembleur, vous pouvez donc lire l'article suivant : http://fr.wikipedia.org/wiki/Syst%C3%A8me_binaire. Prenez bien en compte que la lecture n'est pas obligatoire, ce que nous allons vous dire dans cette sous-partie suffira pour continuer la lecture de ce tutoriel.
Ainsi, dans un nombre en binaire, pour avoir sa correspondance en dcimal, il suffit de regarder quels bits sont allums (toujours de la droite vers la gauche), de noter leur correspondance en dcimal et de faire la somme des correspondances et hop, vous avez le nombre en dcimal ! Avouez que c'est moins compliqu que a en avait l'air tout l'heure. Pour passer d'un nombre dcimal son quivalent en binaire, il faut dcomposer le nombre dcimal en une somme faisant intervenir les nombres correspondants certains bits allums (en fonction des possibilits) et ensuite, d'allumer les bits dont les correspondances sont utilises.
www.siteduzero.com
45/148
On va tout de suite prendre un exemple avec notre conversion de 12.3.2.1 en binaire. Commenons par 12. Dcomposons le partir des correspondances donnes ci-dessus : 12 = 8 + 4. Il nous faut donc allumer le bit dont la correspondance vaut 8 et celui dont la correspondance vaut 4 soit le 3 me et le 4 me en allant de la droite vers la gauche. Ce qui nous donne : 0 0 0 0 1 1 0 0. Et voil, vous venez de reprsenter 12 en binaire. Faites pareil pour les 3 autres octets (ce n'est vraiment pas dur ). Ceci nous donne au final : 1 er octet : 00001100 2 me octet : 00000011 3 me octet : 00000010 4 me octet : 00000001
Connatre les puissances de deux vous facilitera vraiment la conversion. a deviendra automatique. Un petit mmo sera peut-tre rdig pour ceux qui ne savent pas s'y prendre. Pour l'instant, nous allons nous permettre d'inclure les puissances de deux dans le schma ci dessous.
Dans ce chapitre nous avons tudi en dtail ce qu'est une adresse IPv4, et comment celle-ci est intimement lie son masque de sous-rseau. C'est une autre vision des IP que nous avons prsent, n'est-ce pas ? Nous vous conseillons de lire et relire ce chapitre si vous n'avez rien compris. Vous pouvez aussi venir poser des questions sur le forum.
www.siteduzero.com
46/148
www.siteduzero.com
47/148
Quelques rappels
Avant d'aller plus loin, il vaut mieux rappeler ce qui a dj t vu. Un masque de sous-rseau dfinit quelle partie d'une adresse IP correspond l'identit du rseau, et quelle partie correspond l'identit de l'hte. Considrons l'adresse IP suivante : 84.54.213.20. Si vous avez bien suivi le chapitre prcdent, vous devez tre capable de dire que cette adresse appartenait la classe A (n'oubliez pas que cette notion est obsolte) et que son masque de sous-rseau par dfaut est 255.0.0.0. Dans cet exemple, on peut dire qu'il existe un hte 54.213.20 se trouvant dans le rseau 84. Le premier octet de l'adresse IP, soit le nombre 84, correspond l'identit du rseau et que les trois derniers octets, soit 54.213.20, correspondent l'identit de l'hte. De mme, considrons l'adresse IP 220.140.250.1. Elle appartenait la classe C. Son masque de sous-rseau par dfaut est 255.255.255.0. Cela veut dire que l'identit du rseau est 220.140.250 et l'identit de l'hte est 1. On dit que l'hte 1 est dans le rseau 220.140.250. Cela ne veut pas dire qu'il existe un hte 1 uniquement dans le rseau 220.140.250 ! Tous les rseaux ayant pour masque 255.255.255.0 peuvent possder un hte 1 indpendamment des autres. Cette formulation est correcte mais peut prter confusion lorsque l'on n'est pas habitu, d'o cet avertissement.
Maintenant que ces rappels ont t effectus, nous allons revenir sur son rle, qui est fondamental pour le fonctionnement d'un rseau informatique.
www.siteduzero.com
48/148
Non, aujourd'hui les classes d'adresses n'existent plus ! ventuellement, si les masques de sous-rseau se limitaient 4 octets valant 255 ou 0, a aurait pu tre le cas. Mais c'est plus complexe que a. Nous verrons que les masques peuvent prendre des valeurs diffrentes : ce n'est pas pour rien que nous parlons de masques par dfaut associs aux classes d'adresses IP ! Finies, les rvisions ! On passe des choses plus concrtes maintenant.
H oui, les octets du masque ayant pour valeur 255 sont les mmes que les octets de l'adresse IP dfinissant le network ID ! De mme, les octets du masque valant 0 correspondent aux octets de l'adresse IP dfinissant l'host ID. Cela est d'une importance capitale, et vous aurez l'occasion de vous en rendre compte quand nous verrons la personnalisation des masques. Avant d'introduire cette notion, voyons d'abord...
www.siteduzero.com
49/148
Introduction au subnetting
Le subnetting est une technique qui consiste diviser un rseau plus large en plusieurs sous-rseaux. Dcomposons ce mot : sub - net - ting sous - rseau - (suffixe d'action) Il n'existe apparemment pas d'quivalent franais. Si vous avez envie de dire "sous-rseautage", libre vous, mais on risque de vous regarder bizarrement... Vous l'aurez peut-tre devin, le subnetting est l'action de crer des sous-rseaux. Et pas n'importe comment : en personnalisant les masques. Par exemple, admettons un rseau de 1000 ordinateurs. La gestion d'un tel rseau ne doit pas tre vidente. Grce au subnetting, on peut par exemple diviser ce grand rseau en 10 rseaux de 100 ordinateurs chacun (en gros). Et cela procure des avantages, voyez par vous mme !
Dlgation de l'administration
Le subnetting permettant de diviser un grand rseau en plusieurs rseaux plus petits, il permet de dcentraliser l'administration, et ventuellement de dlguer la gestion de chaque sous-rseau une personne diffrente. Dans une entreprise possdant un rseau de 1000 machines, sa gestion sera simplifie.
La rduction du trafic
Si 2 ordinateurs se trouvant dans un mme sous-rseau communiquent, ils n'exploiteront que la bande passante alloue leur sous-rseau, et non celle du rseau entier. Considrons une entreprise possdant un rseau de 500 machines. Il est divis en 25 sous-rseaux de 20 machines. Ainsi, les machines appartenant un mme sous-rseau communiquant entre elles n'utilisent que la bande passante qui est alloue leur sous-rseau, ce qui permet de ne pas rduire le dbit des autres. Cela se remarque notamment lors du broadcast de donnes : elles ne sont transmises qu'aux ordinateurs du sous-rseau, et pas aux autres qui n'en ont probablement rien faire. Si vous avez oubli de quoi il s'agit, c'est que vous n'avez pas fait attention au passage sur les envois de donnes du chapitre prcdent ! Le broadcast est utilis notamment par le protocole ARP qui permet d'associer adresses MAC et adresses IP. Nous aurons peut-tre l'occasion de traiter ce sujet en annexes.
La facilit du diagnostic
Si par exemple un ordinateur consomme une quantit de bande passante inhabituelle, il est beaucoup plus ais d'analyser son comportement pour rgler le problme lorsqu'il se trouve dans un petit sous-rseau que lorsqu'il se trouve dans le mme rseau que 1000 autres machines. C'est encore un avantage.
L'conomie d'adresses
Prenons par exemple une adresse IP : 200.10.0.5. Le masque de sous rseau par dfaut est 255.255.255.0. Dans ce cas, on peut avoir jusqu' 254 terminaux (clients) dans ce mme rseau, donc 254 adresses IP. Ce qui veut dire que si vous avez un rseau de 10 ordinateurs, vous avez quand mme 254 adresses IP disponibles. Mais comme vous ne les utilisez pas, vous les gaspillez. Toutefois, le subnetting ne nous permet pas d'conomiser comme on le souhaite. Vous avez 254 adresses IP disponibles uniquement lorsque vous utilisez un masque de sous-rseau par dfaut.
Et a sert quoi d'conomiser des adresses IP ? a ne va pas coter plus cher de laisser 200 adresses IP vacantes, que d'en laisser 2... En effet. Mais cela peut tre utile pour des raisons de scurit, entre autres. Nous ne pouvons pas encore voir rellement l'intrt, vous vous en rendrez compte en temps voulu.
www.siteduzero.com
50/148
Donc le subnetting permet de diviser un rseau en plusieurs sous-rseaux, a a plein d'avantages, mais a se met en place comment, concrtement ? C'est le sujet du prochain chapitre ! H oui, "introduction au subnetting", a veut dire "dfinition et du blabla" ! Vous croyiez quoi ? Que vous alliez subnetter sans savoir quoi a sert, juste pour dire "je suis trop fort, j'ai subnett mon home network" ?
Avant de subnetter, voici des informations qui vous seront probablement utiles, notamment si vous dbutez en tant qu'administrateur rseau.
www.siteduzero.com
51/148
Le prix
Subnetter un rseau, c'est le subdiviser en plusieurs sous-rseaux. Ceci dit, il en rsulte explicitement que l'achat de matriel additionnel est obligatoire, car en effet il faudra un routeur pour que les sous-rseaux obtenus puissent communiquer. Qui dit nouveau matriel dit... cblage. Bref, il faut prendre en compte cette contrainte financire. Un client (ou votre patron) peut vous spcifier un budget pour l'infrastructure mettre en place et il faudra trouver un compromis pour allier meilleur prix et meilleure solution , ce n'est pas toujours vident, les boss sont trop exigeants. Parfois.
L'volution du rseau
Un bon administrateur n'est pas celui qui offre une solution idale court terme. Les rseaux sont un domaine de l'informatique qui volue trs vite. Il ne faut jamais penser une solution qui ne serait fonctionnelle que pendant 1 an. Il est prfrable se poser la question : dans 2-3 ans, quoi ressemblera mon rseau ? Sera-t-il facile d'voluer vers une nouvelle infrastructure si j'utilise telle infrastructure ? .
Le nombre d'adresses IP
Il faut dterminer le nombre d'adresses IP dont on aura besoin. Les administrateurs dbutants ont tendance choisir pile-poil un sous-rseau qui leur offre exactement le nombre d'adresses IP dont ils ont besoin (c'est rare mais c'est nanmoins possible). Or cette pratique est une erreur, ou du moins, elle est fortement dconseille. Si nous nous restreignons un sous-rseau qui nous permet d'avoir 17 adresses IP par exemple, et que dans un futur proche nous ajouterons 400 autres ordinateurs... Vous rendez-vous compte de l'ornire dans laquelle nous nous trouverons ? Il faudra re-subnetter correctement et redfinir les plages, et c'est... ennuyeux. Il est recommand de choisir un masque en se basant sur le maximum d'adresses IP qu'un rseau donn pourrait avoir, et non le minimum ou l'actuel. Par exemple, si vous avez besoin d'un sous-rseau de 10 adresses IP et qu'il peut y avoir agrandissement de rseau, que vous tes srs que a ne dpassera pas un maximum de 40 ordinateurs, il serait alors judicieux de commencer par choisir un masque qui vous donne d'ores et dj 40 adresses IP. Cela peut tre considr comme du gchis d'adresses mais c'est nanmoins pratique pour l'volution.
L'organisation
L'une des choses les plus importantes, hormis les contraintes voques ci-dessus, est l'organisation du plan d'adressage. Un plan d'adressage est un plan rsultant d'une analyse de contrainte, qui servira de modle pour grer l'adressage / l'assignation des adresses dans un rseau donn.
Comment allez-vous organiser vos sous-rseaux ? Telle est la question qu'il faut se poser, niveau organisation. Plusieurs mthodes d'organisation sont courantes :
www.siteduzero.com
52/148
Certaines entreprises ont une organisation par architecture (physique). Par exemple, elles peuvent avoir le btiment A, qui regroupe le staff se chargeant du service aprs-vente. Elles peuvent galement avoir le btiment C, qui regroupe le staff se chargeant du service des finances, etc. Vous pouvez par consquent tre amen subnetter et organiser les sous-rseaux par btiment : crer un sous-rseau pour le btiment A, un autre pour le btiment B, etc. Donc cette organisation consiste crer autant de sous-rseaux qu'il y a de btiments. Elle a ses avantages, car elle offre une facilit de diagnostic grce au reprage physique. Par exemple, on pourrait facilement dire que l'ordinateur D02 qui a des difficults communiquer est localis dans le btiment D. C'est donc une mthode d'isolation utile en cas de diagnostic. Dans ce genre d'organisation, les htes sont souvent nomms par un motif : nom du btiment + numro d'hte. Par exemple l'hte 2 dans le btiment H serait nomm H02 (non, ce n'est pas une molcule ).
Que nenni. Cette organisation peut tre trs pratique. Imaginez que vous ayez plusieurs techniciens en informatique industrielle, qui communiquent constamment avec un serveur d'applications dans leur domaine. Les logiciels hbergs par le serveur sont lourds, et lorsque tous les techniciens travaillent un rythme fou et multiplient les requtes vers le serveur, cela ralentit le rseau. Avec une organisation par fonctions, vous aurez un sous-rseau allou aux techniciens en informatique industrielle qui implmentera un dbit assez lev, uniquement pour assurer cette fonction. C'est pratique, on peut alors allouer une bande passante prcise par sous-rseau en fonctions des contraintes. Car, avouons le, a sert rien d'allouer 512 Mo/s de dbit aux secrtaires. (Ah, on nous dit dans l'oreillette qu'on va se faire taper par des secrtaires fches. On finit le chapitre et on met les voiles ! )
Le subnetting en pratique
Maintenant que vous savez ce qu'est le subnetting, nous allons voir comment cela se fait. Faites chauffer vos mninges, cela demande du calcul ! ... H ne partez pas ! C'est facile, vous allez voir ! Restez, voyons !
www.siteduzero.com
53/148
Comment ?
Maintenant que vous maitrisez les plages d'adresses IP, les classes, les conversions d'adresses IP du binaire au systme dcimal et vice versa, que vous connaissez les puissances de deux et que les yeux ferms vous pouvez dire que 2 3 = 8, que vous savez ce qu'est le subnetting, et que vous comprenez parfaitement cette notion d'conomie d'adresses, nous allons voir comment subnetter, comment avoir un masque de sous-rseau personnalis. Cette sous-partie n'est que thorique, elle consiste simplement vous dire comment on fait, et dans la suite de ce chapitre nous allons subnetter ensemble, pas pas.
Le comment du pourquoi
Pour personnaliser les masques de sous-rseau, il faut emprunter des bits de la partie host (client) de notre adresse IP. Revoyons d'abord en douceur ce que sont le host ID et le network ID. D'abord, host ID signifie identit de l'hte et network ID signifie identit du rseau. La rgle de base retenir est : plus on "monte" dans les masques (c'est dire qu'on passe de 255.0.0.0 255.255.0.0, de 255.255.0.0 255.255.255.0, ...), plus le network ID devient grand : il gagne un octet de plus chaque fois, et le host ID en perd un. En fait, le passage de la classe A la classe C est typiquement du subnetting. C'est--dire qu'avant, plus on montait dans les classes, moins on avait d'adresses IP par sous-rseau, et plus on avait de sous-rseaux. Euh... concrtement ?
Rappelez-vous du chapitre sur la structure des adresses IPv4. Nous avions remarqu qu'avec le masque 255.0.0.0, on a plus de 64 millions d'adresses IP disponibles. Avec le masque 255.255.0.0, on n'en a plus que 65 000 et quelques. Finalement avec 255.255.255.0, on en a plus que 254. Voyez-vous ? Le nombre d'adresses IP diminue, mais le nombre de sous-rseaux augmente. C'est cela faire du subnetting : subdiviser un rseau en plusieurs sous-rseaux, diminuer le nombre d'adresses IP par sous-rseaux. Avec le masque 255.0.0.0, le premier octet correspond l'identit du rseau. Avec 255.255.0.0, ce sont les deux premiers octets, et avec 255.255.255.0, les 3 premiers. C'est l'inverse pour l'identit de l'hte : Masque de sous-rseau Adresse IP 255.0.0.0 255.255.0.0 255.255.255.0 75.10.2.4 135.5.0.7 220.42.3.6
En rouge : network ID, en vert : host ID Donc, pour subnetter un rseau en plusieurs sous-rseaux, on se sert des bits disponibles du masque de sous-rseau, c'est--dire ceux qui valent 0. Il est possible de procder de plusieurs manires pour subnetter : En partant du nombre de sous-rseaux dsirs ; En partant du nombre d'adresses IP dsires par sous-rseau En combinant les deux, c'est--dire en prenant en compte le nombre de sous-rseaux dsirs et le nombre d'adresses IP dsires par sous-rseau Nous ne verrons pas tout de suite cette dernire possibilit, nous allons voir seulement les 2 premires. Ces mthodes sont valables pour toutes les adresses, nanmoins nous observerons quelques particularits relatives l'ancienne classe C qui existent toujours.
www.siteduzero.com
54/148
S = 2n - 1
Dans cette formule, S est le nombre de sous-rseaux dsirs. partir de S, vous devez dterminer n, qui est un nombre entier positif, et qui correspond au nombre de bits devant tre masqus. Masqus ? Comme au bal ?
Pas vraiment...
Masquer signifie, en gros, le mettre 1 pour les besoins du subnetting. Comme vous le savez normalement,
le subnetting consiste en l'emprunt des bits de la partie hte pour crer des sous-rseaux. Ce processus d'emprunt de bits est appel masquage. Masquer un bit, c'est donc l'emprunter, l'allumer. En fait, S ne pourra pas toujours tre gal au nombre de sous-rseaux dsirs, nous verrons dans les exemples comment nous allons faire dans ce cas trs courant. quoi sert le -1 dans la formule ?
Au vu de vos ttes sceptiques (enfin, on ne voit pas mais on devine la thorie, a ne semble pas digeste.
Exemple de subnetting
Passons tout de suite au plus intressant. Considrons le rseau 40.0.0.0. Nous voulons le diviser en 20 sous-rseaux. Dterminons le nombre de bits masquer pour obtenir un masque de sous-rseau personnalis, qui devra tre appliqu tous les htes. ...
Ah oui, on ne peut pas obtenir exactement 20 avec la formule 2 n - 1 ! Dans ce cas, nous allons prendre une valeur un peu suprieure pour avoir au moins 20 sous-rseaux. Allons-y doucement :
www.siteduzero.com
55/148
Quand vous avez trop d'adresses IP par sous-rseau, vous devriez empcher l'assignation des adresses inutilises. C'est une question de scurit, pour empcher qu'un intrus puisse s'octroyer une adresse IP libre. Nous n'entrerons pas dans les dtails ici.
On ne peut pas mlanger les 1 et les 0, tous les 1 doivent tre gauche, et les 0 droite. Cela veut dire le masquage se fait de la gauche vers la droite. Nous allons donc masquer 5 bits de cette manire. Nous avons les puissances suivantes (les 8 premires puissances de 2) : 2 7 = 128 2 6 = 64 2 5 = 32 2 4 = 16 23 = 8 22 = 4 21 = 2 20 = 1 Voil donc les 8 premires puissances de deux, par ordre dcroissant. Nous allons masquer les 5 bits qu'il nous faut pour obtenir 20. Donc, nous allons additionner les valeurs des 5 premires puissances ci-dessus. Cela nous donne donc : 2 7 + 2 6 + 2 5 + 2 4 + 2 3 = 248. Nous avons masqu 5 bits du 2 octet de notre masque de sous-rseau. Schmatiquement, a nous donne ceci : 255 248 0 0
ssssssss ssssshhh hhhhhhhh hhhhhhhh s = subnet ; h = host La valeur de notre nouveau masque de sous-rseau est prsent 255.248.0.0 Si vraiment vous n'avez pas compris comment le 248 a t obtenu : Secret (cliquez pour afficher) 2 7 = 128 2 6 = 64 2 5 = 32 2 4 = 16 23 = 8 128 + 64 = 192 192 + 32 = 224 224 + 16 = 240 240 + 8 = 248
Et voil, soyez trs heureux, nous avons russi personnaliser un masque de sous-rseau ! Maintenant il faudrait dfinir les limites de chaque sous-rseau, sinon a ne va pas tre trs utile. Dans le cas prsent, nous en
www.siteduzero.com
56/148
avons 31, on va vous donner les 5 premires plages et la dernire, vous allez faire le reste vous-mmes, il faut bien que vous fassiez quelque chose ! Comment calculer les plages ?
C'est relativement simple. Pour calculer les plages, il faut retrancher le nombre calcul du nouveau masque de sous-rseau 256. Ce nombre est 248, 256 - 248 = 8. Donc nos sous-rseaux seront spars par un intervalle de 8. Concrtement, reprenons le rseau que nous avions choisi la base : 40.0.0.0. Le premier sous-rseau est 40.0.0.0, le deuxime est 40.8.0.0, le troisime 40.16.0.0, le quatrime 40.24.0.0, etc. Pour calculer les plages, il faut savoir que la dernire adresse d'un sous-rseau donn est toujours gale l'adresse de l'identit du prochain sous-rseau moins 1. Un exemple concret ? Dans notre cas, notre premier sous-rseau est 40.0.0.0. La premire adresse IP adressable (pouvant tre donne un hte) est donc 40.0.0.1 et la dernire 40.7.255.254. N'oubliez pas que 40.7.255.255 servira au broadcasting, et n'est donc pas adressable ! Nous y reviendrons peu aprs. Donc nous avons : Ordinal Adresse du sous-rseau Premire adresse IP d'hte Dernire adresse IP d'hte 1er 2me 3me 4me 5me ... Dernier 40.0.0.0 40.8.0.0 40.16.0.0 40.24.0.0 40.32.0.0 ... 40.240.0.0 40.0.0.1 40.8.0.1 40.16.0.1 40.24.0.1 40.32.0.1 ... 40.240.0.1 40.7.255.254 40.15.255.254 40.23.255.254 40.31.255.254 40.39.255.254 ... 40.247.255.254
Remarquez que le 2me octet de la dernire adresse IP du dernier sous-rseau est infrieure la valeur du 2me octet du masque personnalis (248). Nous avons vu cela dans la partie thorique, mais vous aviez l'air de ne pas comprendre (c'est pas vident expliquer ).
Vous tes capables de faire le reste maintenant. Si vous pouvez encore suivre, nous allons voir comment subnetter partir du nombre d'adresses IP d'htes dsir. N'hsitez pas faire une pause si vous pensez en avoir dj beaucoup fait pour le moment.
www.siteduzero.com
57/148
S = 2n - 2
Cette fois, S correspond au nombre d'htes dsir par sous-rseau. La raison du changement dans la formule est simple : on retranche une premire unit pour l'identit du rseau car elle n'est pas assignable. Si l'adresse 40.16.0.0 identifie un rseau, elle ne peut pas identifier un hte ! Une autre unit est retranche car on ne peut pas non plus assigner l'adresse de broadcast. Il est thoriquement possible de supprimer le broadcast dans un rseau, mais dans des cas trs particuliers uniquement, que nous ne verrons pas ici. Il est indispensable dans la plupart des cas : par exemple, les requtes ARP permettant d'tablir des correspondances entre adresses IP et MAC sont envoyes en broadcast ! Si vous dcidiez de la supprimer et d'utiliser cette adresse pour un hte, la formule deviendrait 2 n - 1.
Ces explications sont facilement vrifiables lorsqu'on dtermine les plages d'un rseau subnett dans l'ancienne classe C, vous aurez l'occasion de le voir. Pour le moment, voyons une application de cette mthode avec un exemple.
Considrons que nous voulons 1800 htes par sous-rseau; Dterminons n : 2 10 - 2 = 1022 2 11 - 2 = 2046 n vaut donc 11. C'est l que a change : comme nous voulons un nombre prcis d'adresses par sous-rseaux, 11 bits doivent tre libres pour les htes ! Ce qui signifie que 11 bits doivent valoir 0. Il y a 32 bits par masque, pour connatre le nombre de bits devant valoir 1, on fait 32 - 11 = 21. Notre nouveau masque doit donc comporter 21 bits allums, crivons-le en binaire :
Ce qui nous donne en dcimal 255.255.248.0. L'intervalle entre chaque sous-rseau est de 256 - 248 = 8. Dressons maintenant le tableau des plages : Ordinal Adresse du sous-rseau Premire adresse IP d'hte Dernire adresse IP d'hte 1er 2me 3me ... 158.37.0.0 158.37.8.0 158.37.16.0 ... 158.37.0.1 158.37.8.1 158.37.16.1 ... 158.37.7.254 158.37.15.254 158.37.23.254 ...
www.siteduzero.com
58/148
Voil donc un certain nombre de sous-rseaux avec 2046 adresses d'htes dans chaque. On n'en voulait que 1800, mais ce n'tait pas possible de les avoir prcisment, donc on a pris la valeur possible immdiatement suprieure. Faisons maintenant un autre exemple, mais dans l'ancienne classe C, ce qui signifie qu'il doit y avoir moins de 254 htes par sous-rseau. La mthode reste la mme, mais nous allons voir quelques particularits, dont une qui permet de vrifier facilement la formule de dpart.
Attention tout de mme quand a tombe juste comme a... Si par malheur vous deviez rajouter un hte dans un sousrseau, vous seriez dans la m bien embt car vous devrez reconfigurer toutes les machines du rseau !
On a donc n = 4, il nous faut 4 bits valant zro. Comme ici on ne va modifier que le dernier octet, on peut faire directement 8 4 = 4 pour connatre sa nouvelle valeur. 11110000 (2) = 240 (10), notre nouveau masque est donc 255.255.255.240. L'intervalle est de 256 - 240 = 16, on dtermine les plages : Ordinal Adresse du sous-rseau Premire adresse IP d'hte Dernire adresse IP d'hte Adresse de broadcast 1er 2me 3me ... Dernier 203.68.5.0 203.68.5.16 203.68.5.32 ... 203.68.5.224 203.68.5.1 203.68.5.17 203.68.5.33 ... 203.68.5.225 203.68.5.14 203.68.5.30 203.68.5.46 ... 203.68.5.238 203.68.5.15 203.68.5.31 203.68.5.47 ... 203.68.5.239
Vous remarquez probablement une diffrence : la dernire adresse IP d'hte de chaque sous-rseau ne se termine pas par 254 ! De plus, vous voyez bien maintenant l'intrt du -2 de la formule : l'adresse du rseau et celle de broadcast sont bien visibles ici. Remarquez que le masque de sous-rseau ne peut tre 255.255.255.255. En effet, dans ce cas, il n'y a que l'adresse mme du sous-rseau dans chaque sous-rseau, donc aucune adresse disponible pour les htes ! D'ailleurs, si on prend comme masque 255.255.255.254, il n'y a qu'une adresse disponible par sous-rseau, on est donc oblig de supprimer le broadcast (ce qui n'est pas grave vu qu'il n'y a qu'un hte). Allez, vous avez bien travaill, vous avez droit... la suite !
www.siteduzero.com
59/148
La notation du masque
Cette sous-partie ne comportera rien de fameux, nous allons juste vous fournir quelques explications sur les ventuelles notations que vous rencontrerez probablement dans le monde du rseau.
La notation "classique"
Cette notation dite "classique" est la notation "normale" d'une adresse IP. C'est en fait une notation qui couple l'adresse IP et son masque de sous-rseau associ. Par exemple, vous pourrez rencontrer une expression telle que 192.168.1.45/255.255.255.0. C'est assez vident comprendre, n'est-ce pas ? Cela veut simplement dire qu' l'adresse IP 192.168.1.45 est attribu un masque 255.255.255.0. C'est une notation que nous pourrons qualifier de "obsolte" car elle a laiss sa place ...
Voila, vous savez tout sur les notations que vous pouvez rencontrer. Il va sans dire que vous prfrerez srement utiliser la notation avec un slash. C'est plus pratique : on peut se contenter d'crire 130.14.56.3/16 par exemple au lieu de 130.14.56.2/255.255.0.0. Reposez-vous avant de passer au chapitre suivant. Car vous allez encore faire des calculs, d'un autre genre cette fois !
www.siteduzero.com
60/148
A ce stade du cours, vous ne devriez plus avoir besoin d'analogie ! Dans un rseau comprenant plusieurs routeurs, la passerelle par dfaut (default gateway, en anglais) est l'interface du routeur vers laquelle sont dirigs tous les paquets dont on ne connait pas la route emprunter pour atteindre le rseau dans lequel se trouve le destinataire. Chaque routeur a une table de routage. Pour faire simple, les paquets reprsentent des parties de vos donnes. En fait, lorsque vous envoyez des donnes sur un rseau, celles-ci sont dcoupes en plusieurs portions et chaque portion est appele un paquet. Quant la table de routage, il s'agit d'une liste des diffrentes "routes" (chemins) vers d'autres sous-rseaux. Ces dfinitions sont trs simplifies pour vous permettre de comprendre le principe, nous reviendrons dessus plus tard. Cest un peu brutal de vous le dire ainsi, car vous ne connaissez pas grand-chose au routage, ce stade. Nanmoins, il est important de garder cela lesprit pour ne pas confondre plus tard. Aprs avoir tudi le fonctionnement de la couche rseau du modle OSI dans la partie III du cours, nous allons revoir le routage dans les dtails, examiner ce que sont ces tables de routage, montrer comment afficher une table de routage, comment ajouter et modifier des routes, etc. Bref, beaucoup de pratique et de configuration. Pour l'instant, soyez patients.
Cest bien beau tout a, mais comment fonctionne cette fameuse passerelle ? La rponse vous attend sagement dans la souspartie suivante.
www.siteduzero.com
61/148
Mode de fonctionnement
Prenons un exemple concret pour illustrer le mode de fonctionnement dune passerelle. Voici 2 ordinateurs : Azur-PC et Safran-PC (on se demande bien d'o ces noms sont inspirs ). Leurs cartes rseau sont configures ainsi : Nom Azur-PC Adresse IP Masque de sous-rseau 192.0.1.5 255.255.255.0 255.0.0.0
Safran-PC 72.40.2.1
Ils n'appartiennent pas au mme sous-rseau et ne peuvent donc pas communiquer : il leur faut une passerelle. Voyons comment elle fonctionne.
Le fonctionnement
Azur-PC a recours un processus nomm ANDing, que nous allons voir juste aprs, pour dterminer si Safran-PC, avec qui il veut communiquer, est dans le mme sous-rseau que lui. Il ralise que ce n'est pas le cas, il va donc transfrer son message la passerelle en lui indiquant l'adresse du destinataire. Supposons que ce soit un routeur qui offre ce service. Il a 2 interfaces. Pour que la communication puisse avoir lieu, une de ses interfaces doit tre dans le mme sous-rseau que Azur-PC et l'autre dans le mme que Safran-PC. Voici une configuration possible pour ce routeur : Interface Adresse IP Masque de sous-rseau A B 192.0.1.6 72.40.1.1 255.255.255.0 255.0.0.0
Avec une telle configuration, Azur-PC et Safran-PC peuvent prsent communiquer. Quand Azur-PC voudra parler SafranPC, il vrifiera grce au ANDing si le destinataire est dans le mme sous-rseau. Si oui, il enverra son message directement son adresse IP, sinon, il l'envoie la passerelle en lui demandant de transmettre bon port. La passerelle tant entre les 2, cela ne pose pas de problme. Voici un schma rcapitulatif :
www.siteduzero.com
62/148
Il est maintenant temps de voir ce qu'est le ANDing dont on a parl sans expliquer ce que c'tait.
www.siteduzero.com
63/148
Dterminer si l'adresse IP du destinataire est dans le mme sous-rseau que celle de l'metteur est assez simple. La carte rseau de l'metteur connat son adresse IP, son masque de sous-rseau et l'adresse IP du destinataire. On va alors faire un ET logique (AND) entre l'adresse IP de l'metteur et son masque de sous-rseau pour trouver son network ID. Ensuite, on va faire un ET logique entre l'adresse IP du destinataire et le masque de sous-rseau de l'metteur et comparer le rsultat avec le network ID obtenu prcdemment. Si les deux valeurs sont identiques, alors l'metteur et le destinataire sont dans le mme sous-rseau. Sinon, ils sont dans des sous-rseaux diffrents. Pas de panique, un exemple vaut mieux que tout ce pav.
www.siteduzero.com
64/148
Nous allons prsent faire un AND entre ces deux groupes de nombres binaires en appliquant les rgles prcdentes :
Le masque de sous-rseau de Paul-PC ayant dj t converti en binaire, il ne nous reste plus qu' faire un ET logique :
Nous n'obtenons pas les mmes valeurs. Par consquent, ces deux adresses IP (142.20.1.15 et 92.40.1.14) ne sont pas dans le mme sous-rseau. Toujours titre d'exemple, nous allons cette fois-ci choisir l'adresse IP du destinataire dans le mme sous-rseau que celle de l'metteur pour prouver que cette technique fonctionne bel et bien. Si l'adresse IP d'ric-PC est 142.20.20.10, sa notation en binaire sera 10001110.00010100.00010100.00001010. Nous avons dj converti le masque de sous-rseau de l'metteur en binaire donc nous pouvons passer directement au ET logique :
www.siteduzero.com
65/148
Faisons une comparaison entre ce rsultat et celui obtenu l'tape 1 : Code : Autre metteur : Destinataire: 10001110.00010100.00000000.00000000 10001110.00010100.00000000.00000000
Comme vous pouvez le constater, le rsultat est bien le mme, donc ces deux adresses IP (142.20.1.15 et 142.20.20.10) sont dans le mme sous-rseau. Voil, vous comprenez maintenant comment a se passe. Chaque fois que vous communiquez, ce calcul logique est effectu. Si le destinataire est dans le mme sous-rseau, l'hte lui transmet directement les paquets, sinon, il les envoie au routeur (la passerelle) qui se charge de les router au destinataire.
Un raccourci
La conversion du masque et de ladresse IP en binaire nest pas obligatoire, nous vous l'avons fait faire exprs pour vous faire pratiquer. En fait, il est tout fait possible de faire un ET logique directement en dcimal. Lastuce cest de se servir d'une analogie : une adresse IP reprsente de leau qui coule en direction du masque de sous-rseau. Chaque 255 du masque reprsente une membrane permable qui laisse couler l'eau et chaque 0 reprsente un barrage qui bloque leau. Ainsi seuls les octets dune adresse IP au-dessus dun 255 se retrouveront dans le rsultat du ANDing. Ce raccourci ne marche que si on utilise les masques de sous-rseaux par dfaut (ce qui est le cas dans notre exemple). Mais, si vous devez faire un ET logique qui implique des masques de sous-rseau personnaliss, souvent reprsents par une notation CIDR, cette technique ne marchera pas.
Un schma tant plus parlant qu'un discours, voici une illustration d'un ET logique entre l'adresse 192.168.30.4 et le masque 255.255.255.0 en utilisant le raccourci voqu :
Remarquez que chaque octet de l'adresse IP au-dessus d'un 255 "coule", c'est--dire se retrouve dans le rsultat de la conjonction logique. Par contre, l'octet qui se trouve au-dessus d'un zro est bloqu. Dans ce chapitre, nous avons fait un zoom sur la passerelle par dfaut : nous avons tudi comment elle fonctionne, vu a quoi a sert, et nous avons mme tudi les oprations logiques qui s'effectuent au niveau de vote carte rseau. Tout ceci va vous servir de base pour l'tude de la fonction principale de la passerelle par dfaut : le routage, que nous allons tudier dans le chapitre suivant !
66/148
Dans le chapitre prcdent, nous vous avons prsent les bases du routage en examinant le fonctionnement d'une passerelle et le calcul logique effectu par un hte pour dterminer si le destinataire et lmetteur sont bel et bien dans un mme sousrseau. Qu'est-ce que le routage ? Nous allons dmystifier ce mot puis nous verrons que c'est un principe fondamental pour un rseau comme Internet. Enfin, nous suivrons des donnes effectuant un processus de routage pour que vous voyiez qu'on ne vous raconte pas des btises. Rassurez-vous, nous n'allons pas les suivre physiquement hein ! Ce serait gnial pour dcouvrir des pays, mais vous prfrerez srement rester devant votre cran. Comment a, vous adoreriez partir l'autre bout du monde ?
Ce chapitre est le second que nous consacrons au routage. Un troisime est en prparation. Dans celui-ci, les explications sont trs simplifies pour que tout le monde puisse comprendre, car en effet le but est de vous faire apprhender le routage uniquement par l'exemple comme le laisse entendre le titre de ce chapitre. En attendant la suite qui sera plus technique (plus de dtails, exploration des protocoles de routages et leurs comparaisons, etc.), vous pouvez lire cet article de FrameIP. Il peut tre difficile apprhender mais est beaucoup plus complet et prcis que ce chapitre.
www.siteduzero.com
67/148
www.siteduzero.com
68/148
l'chelle plantaire
Le routage est intressant tudier quand on a de grands rseaux. Ben oui, quel intrt de parler de routage sur un rseau 192.168.0.0 comprenant juste un routeur l'adresse 192.168.0.1 et un client 192.168.0.2 et ayant pour masque 255.255.255.0 ? Il est beaucoup plus instructif de parler de routage sur des rseaux de grande envergure. Et quoi de mieux qu'Internet pour tudier un rseau gant ? Pour que la communication entre 2 machines 2 endroits de la plante diffrents puisse avoir lieu, elles doivent tre relies entre elles. Mais il est impensable de relier toutes les machines du monde entre elles. Les donnes sont donc relayes par des routeurs. Ce sont en quelque sorte des "super-routeurs", puisqu'ils relaient une quantit de donnes norme la vitesse de l'clair. Il y en a une quantit phnomnale dans chaque pays. Avant de passer l'chelle plantaire, voyons une carte factice (pour faciliter la comprhension, et surtout parce qu'on ne connat pas l'emplacement de chaque "super-routeur" ) de la France o sont positionns plusieurs de ces machines.
Une carte de France avec des villes positionnes Supposons qu'il y ait un super-routeur Lille, un Rouen, un Brest, un Paris, un Strasbourg, un Bordeaux et un Marseille. Maintenant, relions-en quelques-uns entre eux.
www.siteduzero.com
69/148
Une carte de France avec positions de super-routeurs dont certains sont relis entre eux a commence se complexifier. Certains routeurs sont relis entre eux, mais pas tous. Paris est reli la plupart des autres villes, mais Lille n'est reli qu' Rouen et Paris, Bordeaux est reli Marseille, Brest et Paris, mais Marseille n'est reli qu' Bordeaux et Strasbourg... Si le super-routeur de Marseille veut communiquer avec celui de Lille, comment fait-il, vu qu'il n'y est pas reli directement ? Et bien il va demander un des routeurs auxquels il est reli de transmettre le message jusqu' Lille. Par exemple, il va transmettre le message Bordeaux. Ce dernier n'tant pas connect non plus Lille, il va le renvoyer Paris qui transmettra finalement le message son destinataire. Il ne le transmet pas Brest parce que a serait plus long : il faudrait encore passer par Rouen pour atteindre Lille. C'est un processus de routage. Euh attendez... Comment Bordeaux sait que c'est plus court par Paris ?
C'est parce que, l'chelle nationale, les super-routeurs connaissent tous les emplacements des autres. Ils sont capables de se transmettre en temps rel qui est reli avec qui. Une animation pour illustrer tout cela :
www.siteduzero.com
70/148
Animation illustrant le routage de donnes Bien sr, tout cela se passe extrmement vite et reste trs schmatique. J'habite dans un petit village de Bretagne. Je suis directement reli Brest ?
Non. Aux super-routeurs nationaux ne sont connects que des super-routeurs locaux. Ce ne sont pas leurs vrais noms, c'est juste pour faciliter la comprhension. Les "super-routeurs locaux" se trouvent dans les villages, et les routeurs des particuliers (comme nous) y sont relis via la ligne tlphonique gnralement. Ces super-routeurs locaux se contentent la plupart du temps de transmettre des donnes aux super-routeurs nationaux. Les routeurs que l'on trouve chez les particuliers ne connaissent pas les emplacements des super-routeurs nationaux et encore moins des autres particuliers ! Quand ils reoivent des donnes destination d'une adresse qu'ils ne connaissent pas, ils les font transiter par une route par dfaut. Supposons un routeur ayant pour adresses IP 192.168.1.1 pour l'interface du rseau local et 74.56.9.10 pour l'interface connecte Internet. Il reoit de 192.168.1.7 un paquet de donnes transmettre 94.57.6.39. Comme il ne connat pas cette dernire adresse, il va faire passer au prochain routeur par l'interface connecte Internet les donnes, en lui demandant de faire passer. Puis, si ce prochain routeur ne connat pas l'adresse en question, il va faire passer au prochain routeur jusqu' ce qu'il y en ait un qui dise qu'il sait o transmettre les paquets. Notons qu'il est possible de localiser une adresse IP quelques dizaines de kilomtres prs : c'est pour cela que le super-routeur de Brest, par exemple, sait que 94.57.6.39 se trouve prs de Lille (c'est un exemple factice) et va donc transmettre au super-routeur de Lille les paquets.
Et l'chelle plantaire ? Supposons que j'habite un petit village en Bretagne (je n'ai pas dmnag depuis la dernire question ), et que je veuille envoyer un paquet en Allemagne, Berlin. Comment le routage va-t-il s'effectuer ?
www.siteduzero.com
71/148
a fonctionne de la mme manire ! Le super-routeur national de Brest saura que celui de Strasbourg est reli une ville allemande qui est relie (directement ou indirectement) Berlin. Et si jamais le super-routeur de Strasbourg ne fonctionne plus ce moment-l, les paquets passeront, par exemple, par Lille, puis par Bruxelles, puis arriveront en Allemagne.
www.siteduzero.com
72/148
Vous pouvez bien videmment remplacer siteduzero.com par le nom de domaine que vous voulez.
*
Dans la plupart des distributions Linux, la commande traceroute est incluse, ce qui n'est pas le cas pour tracert. Il est nanmoins possible d'installer cette dernire via
Cette commande peut prendre un certain temps pour aboutir. Suivant votre localisation, elle peut prendre 10 secondes comme 1 minute. Par ailleurs, personne n'obtiendra exactement les mmes retours pour des raisons videntes si vous avez bien suivi.
Et devant vos yeux bahis dfilent des lignes qui semblent venir tout droit d'une autre plante ! Dchiffrons ces informations, qui, contrairement aux apparences, ne signifient pas que notre plante va tre colonise par d'tranges monstres de Saturne. Prenons par exemple : Code : Console 9 35 ms 35 ms 36 ms 2.nerim.net [194.79.128.66] te2-4-80-nb-stdenis-
La premire colonne indique le numro du saut (passage d'un routeur un autre) effectu. Ici, c'tait le 9me saut. La 2me, 3me et 4 colonnes indiquent une dure en millisecondes (ms) : il s'agit du temps moyen ncessaire pour tablir une communication avec le routeur. La 5me colonne indique le nom de domaine associ l'adresse IP de la 6 colonne, nous allons regarder cela de plus prs. Un nom de domaine, parfois abrg en NDD, est une adresse pouvant tre compose de lettres, de chiffres, de points, et ventuellement d'autres symboles (nous verrons cela en dtail dans la troisime partie du cours). Par exemple, siteduzero.com est un nom de domaine. un NDD correspond une adresse IP. Cela est trs utile sur le web, car il est beaucoup plus facile de retenir "siteduzero.com" que 80.248.219.123. a l'est beaucoup moins pour les routeurs, mais nous allons voir que a a quand mme une utilit dans ce cas.
Pour localiser les super-routeurs, il y a 2 possibilits. Soit l'emplacement est dj mentionn dans le nom de domaine. Par exemple : Code : Console
www.siteduzero.com
73/148
On voit bien que ce routeur se situe Marseille Paris, rien qu'en voyant le NDD. Mais parfois, ce n'est pas indiqu. En voyant V3798.nts1-co-2.gaoland.net [84.96.251.137] on ne devine pas que ce routeur se situe dans la rgion parisienne. Pour le savoir, on peut utiliser un outil de golocalisation IP. Ainsi, on peut savoir de manire assez prcise par o transitent les paquets ! Pourquoi certaines lignes conscutives se ressemblent autant ? J'ai par exemple ceci : Code : Console 12 37 ms 35 ms 36 8.br1.tcg.cbv.fr.sivit.net 13 35 ms 35 ms 36 1.ar1.cgt.lgc.fr.sivit.net ms ge-1[80.248.223.5] ms fe-0[80.248.223.62]
Comme prcis au dbut du chapitre, c'tait la face "simple" du tuto ! Nous rpondrons dans un prochain chapitre cette question, qui ncessite d'approfondir ce que nous avons vu. Pourquoi obtient-on des lignes si similaires ? Est-il possible d'intercepter des donnes entre 2 super-routeurs ? Tant de questions sans rponses ! Le suspense est son comble ! La suite dans un prochain chapitre... Alors, ce n'tait pas si compliqu que a, avouez ! Ah... Vous tes jaloux de vos donnes et aimeriez pouvoir faire Paris Tokyo la vitesse de la lumire ? Et vous demanderiez votre chemin aux grands routeurs nationaux ? C'est beau de rver.
L'adressage CIDR
Nous vous avons dit en parlant des classes, que ces dernires taient devenues obsoltes parce qu'elles ont presque compltement disparu. Aujourd'hui on nutilise (presque) plus les classes, car ces dernires ont t remplaces par un systme d'adressage plus fiable et plus performant, savoir l'adressage CIDR qui est l'objet de ce chapitre. tant donn que c'est le systme d'adressage qui s'utilise actuellement, vous ferez mieux d'tre plus concentr que lorsque nous traitions les classes, qui aujourd'hui ont presque disparu. C'est parti.
www.siteduzero.com
74/148
Quoi de plus pratique qu'une analogie ? Plongeons-y corps et me (sauf si vous avez peur de mouiller votre me
).
Par dfinition, un systme est un ensemble d'lments interagissant entre eux selon un certain nombre de principes ou rgles. L'adressage par contre, c'est l'action de distribuer des adresses ou encore la procdure de computation des adresses pour utiliser des termes un peu techniques (juste pour la forme ). Concrtement, un systme d'adressage est un ensemble d'lments travaillant en cohsion dans le but de grer les adresses assignables de faon pratique et simple. Si les deux systmes d'adressage font la mme chose, quel est l'intrt ?
Intressante question ! En effet, on se demande bien pourquoi avoir cr un nouveau systme d'adressage. En fait, le but est bel et bien de grer les adresses IP et c'est exactement ce que les deux systmes font, cependant la diffrence se situe au niveau de la mthodologie. Grossirement, c'est comme si pour aller sur le Site du Zro vous ouvriez votre navigateur web et tapiez www.google.com, et qu'une fois sur la page du moteur, vous tapiez ensuite www.siteduzero.com et cliquiez sur le lien que Google vous affiche dans la liste des rsultats. Cette faon d'accder au Site du Zro est lourde, pas pratique et idiote (et le pire, c'est que plein de gens font comme a... ). Par exemple, si le moteur de recherche Google n'existe plus, il faut taper l'adresse d'un autre moteur, ce qui modifie une tape importante de votre systme d'accs au Site du Zro. Alors, vous vous dcidez de changer votre systme d'accs au site du zro en tapant directement www.siteduzero.com dans la barre d'adresse du navigateur. C'est beaucoup plus simple et intelligent. Dans cet exemple, la premire mthode d'accs au site du zro, c'est comme l'adressage par classes : c'est un systme qui, jusqu' un certain moment, rpond nos attentes. La seconde mthode quant elle reprsente ici l'adressage sans classes (CIDR) : un systme plus pratique. Ne dduisez rien d'un point de vue technique quant au fonctionnement des deux systmes d'adressage. N'allez pas conclure que l'adressage par classes passe par un moteur de recherche ou encore que les systmes d'adressage utilisent un navigateur web.
Nous esprons que cet exemple vous donne une ide de pourquoi nous avons deux systmes d'adressage. Les deux servent, certes, faire la mme chose, cependant la mthode change et, vous vous en doutez certainement, la seconde mthode (adressage CIDR) est la plus utilise aujourd'hui, et surtout la plus apprcie et la plus pratique.
www.siteduzero.com
75/148
L'adressage par classes est un systme utilisant une architecture rseau appele en anglais classful network, c'est--dire rseau dans les classes. Cette expression exprime le fait que le principe de fonctionnement de ce systme d'adressage est de rpartir les adresses IP par classes. C'est mme cela le principe majeur, sinon l'unique. Le rseau ayant pour but de permettre la communication entre machines, les crateurs du protocole TCP/IP se sont inspirs du monde rel pour crer un systme de communication informatique. Dans la socit, des individus vivent dans des maisons (en gnral ), parlent une langue, ont un nom unique, vivent dans des villes, occupent des fonctions dans la socit, ont des responsabilits et des droits. Un systme de communication informatique reprend plus ou moins ces principes : il y a des individus (htes) qui parlent des langues (protocoles), ont des noms uniques (adresses IP), vivent dans des maisons (sous-rseau/rseau, c'est selon ), occupent des fonctions (clients, serveurs, passerelles, routeurs etc.), ont des responsabilits (transmettre des donnes la demande du client, distribuer automatiquement des adresses IP pour le cas d'un serveur DHCP), des droits (rclamer un renouvellement d'adresse IP par exemple, demander l'identit d'un autre hte, exiger un mot de passe, etc.). C'est impressionnant comme la technologie s'inspire du monde rel. Ainsi, pour rendre oprationnel ce tout nouveau systme de communication, il y avait une espce de sac plein de noms (adresses IP). Alors, on assignait un nom (une adresse IP) chaque individu (hte). Pour grer cette distribution d'adresses, on a cr l'adressage par classes. A titre d'analogie, c'est comme si vous aviez 10 000 prnoms distribuer des nouveau-ns. Pour mieux grer votre distribution de prnoms, vous les aviez classs par ordre alphabtique : tous les prnoms commenant par A dans un dossier prnoms A , etc. Alors, si une dame vient vous demander 10 prnoms pour ses futurs dix enfants, vous n'avez qu' lui demander les contraintes des prnoms : - Je veux des prnoms qui commencent par A et constitus de 5 lettres dirait-elle par exemple. Avouez que c'est simple de regarder votre dossier prnom A et d'en sortir les prnoms. Mais que se passe-t-il si, aprs avoir reu les 10 prnoms, la dame ne met au monde qu'un enfant (exemple trs original Quid des 9 autres prnoms ? a serait du gaspillage ! Par analogie c'est exactement le principe du systme d'adressage par classes. Les adresses IP ont t ranges par classes et dans chacune des classes il y a des plages. Ainsi quand une entreprise demandait des adresses pour 100 ordinateurs, on regardait la classe lui offrant ce nombre d'adresses et on lui offrait des adresses IP de cette classe. Le problme avec ce systme d'adressage, c'est qu'on enregistrait un pourcentage assez lev de pertes d'adresses. Nous avons vu que toutes les adresses IP de la classe A par exemple nous donnaient la possibilit d'avoir environ 16 777 214 adresses IP par rseau en utilisant les masques par dfaut. Ceci dit, l'entreprise qui voulait une adresse IP pour un rseau de 10 000 htes aurait quand mme 16 767 214 d'adresses en surplus, quelle perte ! Si l'adressage par classes n'avait pas t remplac depuis les annes 1990, c'est sr qu'aujourd'hui nous serions en train d'utiliser les adresses IPv6, car nous aurions trs vite connu une pnurie d'adresses. Dans le souci d'avoir une meilleure organisation, un meilleur systme d'adressage en minimisant au maximum le gaspillage d'adresses IP et en facilitant considrablement le routage, un nouveau systme d'adressage a t mis en place et c'est ce que nous allons voir dans la prochaine sous-partie. )?
www.siteduzero.com
76/148
CIDR et le supernetting
La comprhension de cette sous-partie demande beaucoup de concentration. Vous tes pris de rester concentrs le long de votre lecture. Prenez une feuille et un crayon pour faire les calculs au mme moment que nous. Si vous vous contentez de le lire comme on lirait un roman, vous allez le trouver trs difficile. Nous ne nous attendons pas non plus ce que vous matrisiez le supernetting d'un seul coup, plusieurs tudiants d'ailleurs ont eu du mal assimiler cette notion d'un coup.
L'adressage sans classes ou l'adressage CIDR est le systme de gestion et d'allocation d'adresses IP le plus utilis aujourd'hui. Ce systme, qui est rgi par les RFC 1518 et 1519, a t conu pour remplacer l'adressage par classes, pour les raisons que nous avons voques dans les chapitres prcdents. Le but de ce nouveau systme se rsume en deux points : conomiser les adresses IP Faciliter le routage
On parle de rseau et non pas de boissons... CIDR est un acronyme qui signifie Classless Inter Domain Routing. a donne ceci en franais : routage sans classes entre domaines . Plutt bizarre non ? En bref, CIDR signifie Routage effectu entre domaines qui n'utilisent pas les classes . Par cette explication, on comprend que le rseau Internet est bas sur ce systme d'adressage. C'est logique quand on y pense, sinon comment on aurait fait pour supporter plus de 2 milliards d'internautes en restant fig sur l'adressage par classes ? Depuis les annes 90, nous n'aurions plus d'adresses IP disponibles. En anglais, les adresses IP utilisant l'adressage CIDR se disent classless adresses par opposition classful adresses qui dsigne celles qui utilisent l'adressage par classes. Habituez-vous ce vocabulaire qui est trs prsent dans les documentations en anglais.
Quand nous parlons d'assignation d'adresses IP, en tant qu'administrateur d'un rseau, nous devons examiner deux choses : Les contraintes administratives pour obtenir et allouer les adresses ; L'aspect technique que cela implique. Dans l'aspect technique, il s'agit trs souvent du routage. CIDR rpond mieux aux contraintes techniques !
www.siteduzero.com
77/148
Voyez-vous ? Nous avons la possibilit d'utiliser un seul rseau qui fusionne plusieurs sous-rseaux. Cette fusion de sous-rseaux, aussi appele supernetting, est l'essence mme de CIDR. C'est une technique aussi appele rsum de routes ou route summarization en anglais. Cette pratique viole les rgles d'or du subnetting. Vous vous en souvenez ? La rgle des 0 (network ID) et 1 (broadcast address). Justement, quand on viole cette rgle, on fait du supernetting. Tous les routeurs qui supportent ce type d'adressage ignoreront galement la rgle.
Pour implmenter un rseau bas sur l'adressage CIDR, il faut utiliser un protocole qui peut le supporter. Il y en a plusieurs, tels que BGP et OSPF. Si le protocole ne supporte pas ce type d'adressage, le routage va chouer dans ce rseau. En gnral, les petits LAN et les rseaux maison n'implmenteront pas l'adressage CIDR.
Nous remarquons que ces trois subnets ont bien le mme prfixe /24. Nous pouvons donc les fusionner sous un seul prfixe. On peut donc obtenir la route suivante : 192.168.0.0/22 soit 11000000.10101000.00000000.00000000/22 . Comment avez-vous obtenu le /22 alors qu'on avait /24 au dpart ?
Trs belle question ! Nous avons simplement appliqu la technique d'agrgation de routes. Supernetter c'est la mme chose qu'agrger des routes, d'o le rsultat obtenu est appel route agrge ou route rsume. Pour obtenir le /22, nous avons suivi 4 tapes bien prcises que vous devez suivre galement.
www.siteduzero.com
78/148
Etape 3 et 4 : dtecter les motifs entre les sous-rseaux en binaire (tape 3) et les compter (tape 4)
Ne paniquez pas, ce n'est pas difficile. Quand nous avons converti les 4 sous-rseaux en binaire, qu'avons-nous obtenu ? Citation Subnet 1 : 11000000. 10101000. 00000000. 00000000 Subnet 2 : 11000000. 10101000. 00000001. 00000000 Subnet 3 : 11000000. 10101000. 00000010. 00000000 Subnet 4 : 11000000. 10101000. 00000011. 00000000
Y a-t-il quelque chose de commun entre ces 4 sous-rseaux ? Rien ? Vous en tes sur ? Nous allons vous faciliter la tche. Secret (cliquez pour afficher) Citation Subnet 1 : 11000000.10101000.00000000.00000000 Subnet 2 : 11000000.10101000.00000001.00000000 Subnet 3 : 11000000.10101000.00000010.00000000 Subnet 4 : 11000000.10101000.00000011.00000000
Et maintenant ? Tous ces sous-rseaux ont 11000000.10101000.000000 en commun. Nous allons compter le nombre de bits qu'ils ont en commun. a fait bien 22, n'est-ce pas ? 22 sera donc notre nouveau prfixe. Le network ID sera la plus petite adresse IP parmi les 4, donc 192.168.0.0. Enfin, la nouvelle route, la route rsume ou agrge sera donc 192.168.0.0 /22 Voil, vous savez tout sur le supernetting et le subnetting maintenant. Nous y reviendrons certainement, une fois que vous aurez matris le routage pour que nous puissions comparer combien c'est efficace de rsumer les routes pour ne pas alourdir la table de routage.
Exercice 1 : supernetting
Votre premier exercice est relativement simple. Plus haut, nous avons pris le cas d'un rseau 192.168.10.0/23 et nous avons voqu l'quation suivante : Citation 192.168.10.0/23 (adressage CIDR) = 192.168.10.0/24 (ou 255.255.255.0) + 192.168.11.0/24 (ou 255.255.255.0) Prouvez que 192.168.10.0/23 est bel et bien une fusion (une route agrge) de 192.168.10.0/24 et 192.168.11.0/24 . C'est trs simple, il suffit de respecter les tapes que nous avons dfinies plus haut.
www.siteduzero.com
79/148
L'entreprise a 47 programmeurs. srvcomp est le serveur des comptables. Il hberge galement un nombre important d'applications de comptabilit. L'entreprise a 76 comptables. srvprint est le serveur d'impression des secrtaires de l'entreprise. Les secrtaires, qui sont au nombre de 33, effectuent un nombre considrable d'impressions par jour, ce qui alourdit le rseau et empche aux autres services de communiquer plus rapidement avec leurs serveurs respectifs. srvboss_backup est le serveur sur lequel sont sauvegards tous les fichiers des chefs de division. Le systme de backup de l'entreprise est automatique, chaque fois qu'un fichier est modifi et sauvegard, une copie est sauvegarde aussitt sur ce serveur. Les chefs de division, tasse de caf la main chaque matin, modifient plusieurs fichiers. Ils sont au nombre de 36 (les chefs, pas les fichiers !).
Votre chef se plaint de la congestion du rseau. Il vous demande de mettre en place un plan d'adressage pour minimiser le trafic du rseau. Vous devez donc partir de l'adresse rseau 120.12.0.0/18 aboutir une solution satisfaisante. Pour ce cas prcis, il vous est demand de subnetter ce rseau en 4 : 1 rseau netprog pour tous les dveloppeurs de l'entreprise et leur serveur. 1 rseau netcomp pour tous les comptables et leur serveur. 1 rseau netsecr pour tous les secrtaires et leur serveur de fichiers. 1 rseau netbackup pour tous les chefs de divisions et leur serveur backup.
Pour cet exercice, nous allons supposer que les sous-rseaux ne communiquent pas entre eux, donc le trafic reste interne, par consquent nous n'avons pas besoin de routeurs et de calculer les plages pour leurs interfaces. Dans un vritable scnario c'est obligatoire, mais pour cet exercice, ignorez cette tape, vous le ferez dans la prochaine souspartie.
partir de l'nonc ci-dessus, votre mission est triple : Dterminez le network ID de chaque subnet et leur masque ; Dterminez les plages d'adresses de chaque subnet en incluant leur broadcast address ; Appliquez la technique du supernetting pour avoir une route rsume des subnets que vous aurez obtenus.
Les sous-rseaux n'ont pas le mme nombre d'htes, ainsi pour dterminer combien de bits il faut masquer, vous devez vous focaliser sur le plus grand sous-rseau. Dans notre scnario, il s'agit du sous-rseau netcomp (76 htes pour les comptables). Ainsi, trouvez un masque qui vous permet d'avoir au moins 76 htes par sous-rseau. Nous aurons une perte d'adresses, certes, mais votre niveau vous ne savez pas encore comment implmenter des masques longueur variable, rendez-vous la prochaine sous-partie.
www.siteduzero.com
80/148
VLSM, pour Variable Length Subnet Mask (soit masque de sous-rseaux longueur variable) est une technique utilise dans le but de mieux grer les adresses IPs, tout comme le CIDR. En fait, VLSM est une extension de CIDR. La diffrence est que le CIDR est plus utilis au niveau internet et le VLSM est plus utilis dans un rseau local, mais les deux permettent de minimiser la perte dadresses Pour mettre en place un rseau aux masques longueurs variables, il faudrait tre sr que les routeurs supportent les protocoles compatibles au VLSM. Quelques-uns de ces protocoles sont OSPF, EIGRP, RIPv2. IS-IS. Vous navez pas besoin de connatre ce quils sont et ce quils font, nous tudierons quelques-uns dentre eux en temps voulu
Son utilit ?
Pour comprendre quoi a sert dimplmenter des masques de sous-rseaux variables, nous allons considrer un scnario. Vous avez un rseau de 250 htes. Vous voulez rduire la congestion de ce dernier et vous dcidez de le subnetter en plusieurs sous-rseaux. Grce aux techniques du subnetting et aux rgles que vous avez apprises, vous dcidez de le subnetter en 5 rseaux de 50 htes chacun. Ce nest pas possible dobtenir 5 rseaux de 50 htes pile chacun (dailleurs, cest une mauvaise pratique de choisir un masque qui nous donne exactement le nombre dhtes dont nous avons besoin). la rigueur, nous pourrons obtenir 5 rseaux pouvant contenir au moins 50 htes. Dans ce cas, le rseau pourrait contenir un maximum de 62 htes si on masque 6 bits.
Vous obtenez alors vos 5 sous-rseaux et vous tes contents, le but est atteint. Maintenant, imaginez que vous tes un administrateur rseau employ dans une entreprise. Vous avez un sous-rseau 192.168.100.0/24. Votre patron vous dit quil veut une segmentation par fonctions, comme nous lavons tudi dans l'analyse des contraintes et plan d'adressage. Il vous donne les spcifications suivantes : 1 sous-rseau de 50 htes, uniquement pour les secrtaires de lentreprise 2 sous-rseaux de 12 htes chacun, pour les techniciens et les comptables 1 sous-rseau de 27 htes pour les dveloppeurs dapplications
Pour une meilleure comprhension de ce qui nous est demand, considrons le schma ci-dessous auquel vous devez vous rfrer.
www.siteduzero.com
81/148
Les cercles en rouges reprsentent les sous-rseaux que nous voulons obtenir. Nous avons au total, 5 routeurs : routeur_AE qui relie le rseau A et E routeur_link qui relie les rseaux F, G et H au rseau E etc
NB : les rseaux F, G, H sont en orange pour une raison prcise. Il s'agit en fait des interfaces de liaisons Comment allez-vous mettre cela en place en subnettant ? Ce nest pas possible, car le subnetting nous permet davoir plusieurs sous-rseaux ayant un mme nombre dhtes et un mme masque, mais ayant des portes dadresses diffrentes pour marquer la fin et le dbut dun sous-rseau. Or dans notre tude de cas, le patron (le boss quoi ) nous demande de crer des sousrseaux aux masques longueurs variables. En fait, si on analyse bien la situation, il nous faut crer des sous-rseaux diffrents dans des sous-rseaux, cest ce quon appelle subnetter un subnet (sous-rseauter un sous-rseau ). Il faudra donc, partir dun Network ID, obtenir un masque diffrent pour chaque sous-rseau. Si nous tions encore dans ladressage par classes, a serait impossible car il faut un mme masque pour chaque sous-rseau, ainsi un rseau tel que 192.168.187.0 naurait quun seul masque, soit 255.255.255.0.
www.siteduzero.com
82/148
Pour russir ce challenge pos par votre patron, il vous faudra suivre des tapes de planification dadresses. Cest parti !
On y va avec les puissances de deux et notre formule 2 n -2. Citation 2 1 -2 = 0 ; 2 2 -2 = 2 ; 2 6 -2 = 62. Stop ! Nous allons donc devoir garder 6 bits de la partie host de notre masque.
En binaire, nous obtenons donc : 11000000 . 10101000 . 11001000 . nnhhhhhh avec n les bits disponibles pour le rseau, et h les bits quon ne doit pas masquer pour obtenir au moins 50 htes.
En remplaant le h (pour hte) par 0 (puisque nous ne les masquons pas), on obtient le network ID pour chaque sous-rseau, soit les suivants : Citation 00000000 = .0 01000000 = .64 10000000 = .128 11000000 = .192
N'ayant que 2 bits masqus pour le sous-rseau, on peut donc utiliser un masque de /26 ou 255.255.255.192 pour chacun de ses sous-rseaux obtenus, juste comme on ferait dans un rseau utilisant ladressage par classe.
www.siteduzero.com
83/148
Voil. Nous avons 4 network ID, vous pouvez choisir nimporte lequel pour le sous-rseau A. Dans ce TD, nous choisissons au hasard .64, soit la notation 192.168.100.64/26 (Network ID/masque) ; Les autres sous-rseaux devront se contenter des trois sous-rseaux restants. Do vient le /26 ?
Vous tes cens connatre comment on a obtenu le /26. Nous avons gard 6 bits pour les htes, or une
Nest-ce pas ? Alors, nous pouvons faire toutes les combinaisons possibles avec les trois bits pour n, nest-ce pas ? FAUX ! Faux ? Nous navons besoin que de 5 bits, donc oui cest logique, nous avons trois consacrs au sous-rseau non ? Oui, mais non ! Si vous le faites ainsi, vous tes en train de subnetter le network ID originel soit le 192.168.100.0, alors
que cest ce que nous avons dj fait dans ltape 1, en masquant 2 bits pour le rseau. Mais ici, nous voulons subnetter un subnet. Cest totalement diffrent, nous allons donc prendre un sous-rseau dj obtenu dans ltape 1 et le re-subnetter nouveau. Avouez que a devient complexe. Dans ltape 1, nous avions obtenu 4 combinaisons, soit 4 network ID. Nous avons slectionn le 255.255.255.192 soit le /26 pour le sous-rseau A. Il nous reste donc trois network ID disponibles, soit : Citation 00000000 = .0/26 01000000 = .64/26 // sous-rseau A 10000000 = .128/26 11000000 = .192/26
Choisissons, le .128 dont le network ID sera 192.168.100.128/26, ce qui donne en binaire (focus sur le 4 octet) : 10 000000. Or nous navons besoin que de 5 bits de libres pour les htes, alors quici nous en avons 6. Nous allons donc supprimer un bit pour les htes et lallouer au sous-rseau. Citation 10n00000.
Voil ! Nous avons donc 3 bits pour le sous-rseau et 5 pour les htes. Maintenant, nous pouvons donc crer deux sousrseaux partir du sous-rseau original. Cest cela lintrt du VLSM, on subdivise encore un sous-rseau. Nous avons donc : Citation
www.siteduzero.com
84/148
1) Nous avions un Network ID de 192.168.100.0/24 au dpart. 2) Nous lavons subdivis pour obtenir un sous-rseau ayant un masque de 192.168.100.64/26 pouvant contenir au moins 50 htes. 3) Nous avons pris le sous-rseau obtenu dans ltape 2 et nous lavons re-subnett en deux sous-rseaux (.128 et .160) qui auront un masque de... /27.
Dans les deux sous-rseaux que nous avons obtenus, nous avions 3 bits pour les sous-rseaux
et 5 pour les htes. Nous avons donc laiss 5 bits non masqus pour obtenir au moins 27 htes (2 5 -2 = 30). Une adresse IP valant 32 bits, 32 5 = 27. Do les rseaux .128 et .160 ont tous les deux un mme prfixe : /27. Ici galement, nous pouvons choisir n'importe quel network ID: choisissons le premier, soit .128/27. Le sous-rseau restant (.160/27) pourrait tre utilis dans le futur, s'il y a agrandissement du sous-rseau. Voici la liste des networks ID que nous avons obtenus depuis ltape 1 : Citation 00000000 = .0/26 | libre pour tre re-subnett 01000000 = .64/26 | sous-rseau A 10000000 = .128/26 | Nous ne pouvons plus lutiliser, il a t re-subnett 10000000 = .128/27 | Nous prenons celui-ci pour le sous-rseau B 10100000 = .160/27 | nous gardons celui-ci pour le futur
Cest faire preuve de concentration que de poser cette question ! La rponse est simple, nous avions 128/26 au dpart, mais comme nous lavons re-subnett, nous avons donc chang de masque, en gardant le network ID originel, do nous avons le 2e 128, mais avec un masque de /27.
www.siteduzero.com
85/148
Nous avons 5 bits libres pour les htes, ce qui tait suffisant pour le rseau B qui ncessitait 27 htes. Mais pour le rseau C ou D, nous aurons une perte de 27-12 = 15 htes et cest ce que nous voulons viter. Donc nous allons enlever un bit de la partie hte et lallouer la partie rseau de notre masque de manire avoir 4 bits pour les htes et 4 pour la partie rseau car 2 4 -2 = 14, ce qui nous convient Nous avons donc : Citation 101n0000
10 ici reprsente les deux bits que nous avons consacrs au rseau au dpart dans ltape 1. Cest notre motif de base, nous ne devons pas le changer, le reste de nos subnets en binaire doivent commencer par 00 . 1 reprsente le bit sur lequel nous nous sommes concentrs dans ltape 3. n est le bit de plus que nous allons ajouter la partie rseau du masque de manire ne rester quavec 4 bits pour les htes.
Grace ce bit de plus que nous avons, nous pouvons donc avoir deux combinaisons (soit le laisser 0 ou le masquer 1), ce qui nous donne la possibilit dobtenir deux autres sous-rseaux partir du sous-rseau de base, ce qui nous donne (avec le focus sur le 4 octet toujours) : Citation 10100000 = .160 10110000 = .176
Il ne nous reste plus qu trouver le nouveau masque pour ces deux nouveaux sous-rseaux, ce qui est simple, nous navons qu compter le nombre de bit masqus. Soit 11111111.11111111.11111111.11110000, puisque nous navons que 4 bits pour les htes, le reste des bits sont donc masqus pour la partie rseau. Nous aurons donc un masque de 255.255.255.240 ou /28 pour la notation CIDR. Rsumons donc tous les subnets obtenus depuis ltape 1 afin de choisir un network ID pour les rseaux C et D . Citation 00000000 = .0/26 | subnet libre pour tre re-subnett 01000000 = .64/26 | dj utilis par le sous-rseau A 10000000 = .128/26 | Nous ne pouvons plus utiliser celui-ci, car nous lavons re-subnett 11000000 = .192/26 | subnet pour un futur agrandissement 10000000 = .128/27 | dj utilis pour le sous-rseau B 10100000 = .160/27 | nous ne pouvons plus lutiliser, car nous lavons re-subnett 10100000 = .160/28 | Prenons celui-ci pour le sous-rseau C 10110000 = .176/28 | Prenons celui-ci pour le sous-rseau D
Remarque 1 : nous nous retrouvons avec deux 160 : un avec /26 et un autre avec /28 pour les mmes raisons que nous avions deux 128. Nous avons expliqu cela. Remarque 2 : nous ne pouvons plus utiliser un sous-rseau dj subnett
www.siteduzero.com
86/148
NB : Chacun de ces sous-rseaux nous donnera deux htes de disponibles, donc vous pouvez choisir 4 sous-rseaux parmi ces 16 pour les interfaces de liaisons. Cest--dire, pour les adresses IP de chaque interface du routeur. Nous allons choisir les 4 premiers, soit de .0/30 -.12/30 Tenez, si on vous demandait dagrger tous les 12 sous-rseaux restants (soit partir de .16/30) routes en utilisant la technique du supernetting pour obtenir une seule route, laquelle obtiendrez-vous ?
Indice
Suivez les tapes expliques dans la sous-partie prcdente Ne regardez la rponse quaprs avoir vraiment vraiment vraiment essay de trouver, a ne vous aide pas si vous ne faites pas un effort de pratiquer. Secret (cliquez pour afficher)
www.siteduzero.com
87/148
Rsumons chaque sous-rseau que nous avons trouv depuis ltape 1 : Citation 00000000 = .0/26 | nous ne pouvons plus utiliser celui-ci, nous lavons re-subnett 00000000 = .0/30 | utilisons celui-ci pour le sous-rseau E 00000100 = .4/30 | sous-rseau F 00001000 = .8/30 | sous-rseau G 00001100 = .12/30 | sous-rseau H 01000000 = .64/26 | sous-rseau A 10000000 = .128/26 | Nous ne pouvons plus utiliser celui-ci, car nous lavons re-subnett 11000000 = .192/26 | subnet pour un futur agrandissement 10000000 = .128/27 | sous-rseau B 10100000 = .160/27 | nous ne pouvons plus lutiliser, car nous lavons re-subnett 10100000 = .160/28 | sous-rseau C 10110000 = .176/28 | sous-rseau D
Conclusion et exercices
Ce TD vous vous a certainement aid mieux assimiler le principe du VLSM et du Supernetting. Nous avons revu pas mal de notions au passage. En effet, nous avons pratiqu les calculs des puissances de 2, la conversion des masques du dcimal au binaire et vice versa, le subnetting dun rseau, linterconnexion de deux sous-rseaux diffrents par le biais dun routeur etc. Plusieurs autres cas de pratique viendront avec le temps pour vous faire pratiquer tout ce que nous avons appris depuis la partie I du cours : design de linfrastructure dun rseau, lanalyse des contraintes et la mise en place de la meilleure infrastructure rpondant au mieux aux besoins, la segmentation des rseaux selon des exigences, la planification dun plan dadressage, le diagnostic et bien dautres joyeusets qui vous donneront indubitablement un savoir-faire dans le domaine, savoir-faire assez solide pour tre admis en stage dentreprise dans le domaine du rseau. Pour terminer, nous vous donnons quelques exercices, pas difficiles du tout. Dans ce TD, nous navons fait que trouver les networks IDs de chaque subnet qui rpondaient aux consignes de notre patron, ce qui, mine de rien, reprsente plus de 50% du travail. Votre travail consistera la dtermination des plages dadresses pour chaque sous-rseau. En rsum voici ce que vous devez faire : Pour chaque sous-rseau (A, B, C, D, E, F, G) dterminez les plages dadresses. Dans ces plages, dterminez celles que vous allez assigner aux htes. Par exemple pour le rseau C, nous aurons 14 adresses utilisables, mais seulement 12 assignables car notre rseau ne comprend que 12 htes, les deux autres seront une perte, certes, mais rduite au maximum. Choisissez la premire adresse IP de chaque plage pour le routeur ditez le schma que vous avez utilis pour ce TD et inscrivez les adresses IP de chaque interface de chaque routeur ainsi que leurs masques respectifs (notation avec un / exige), pour avoir quelque chose de similaire au schma Figure 1.0 (les adresses IP sont fictives et nous avons omis les masques). Si vous ne pouvez pas l'diter, contentez-vous de rsumer cela dans un tableau. Ajoutez trois htes dans le rseau A, B, C et D. Et inscrivez ct de chacun deux, leurs adresses IP et masques respectifs. Votre schma doit ressembler au schma Figure 1.1. (ici galement les adresses IP sont fictives et nous nous limitons un hte par rseau pour gagner le temps ). Finalement, faites communiquer les htes de chaque rseau entre eux. Cest--dire, un hte A1 du rseau A doit communiquer avec un hte du rseau B, un autre du rseau C et un autre du rseau D. Vous navez pas besoin dun logiciel de simulation pour le faire. Mettez juste des flches pour illustrer le cheminement du message envoy, ensuite dterminez les routes (ou les adresses IP des interfaces) par lesquelles ce message passera pour arriver son destinataire. Votre schma doit ressembler au schma figure 1.2 (Ici galement les adresses sont fictives et nous
www.siteduzero.com
88/148
navons pas mis les masques de chaque adresse). Vous pouvez, bien entendu, rsumer cela dans un tableau dfaut du schma
www.siteduzero.com
89/148
www.siteduzero.com
90/148
Voil ! Quand vous aurez fini, venez poster vos solutions dans le topic du tutoriel et nous les corrigerons l-bas. Il est vraiment important de russir ces exercices tout seul.
Nous esprons que vous avez compris tout lintrt de ladressage CIDR. Nous croyons que cela vous parat trs vident maintenant que vous avez de vous-mme vu la diffrence entre ladressage par classe et ladressage CIDR. Nous arrivons (enfin) la fin de cette deuxime longue et intressante partie du tutoriel. Nous avons appris plusieurs notions intressantes. Nous avons commenc par dcortiquer les adresses IP dans leur architecture et nous les avons ranges par classes selon le systme dadressage par classes qui a t remplac par ladressage CIDR que nous avons examin la fin de cette partie. Nous avons galement fait un peu de pratique des techniques du subnetting, supernetting et VLSM. ce stade du tutoriel, vous tes (presque) des grands en rseaux. La partie III qui sera consacre aux protocoles et au modle OSI sera plus enrichissante que les deux premires et plus technique car nous examinerons en dtail le processus de communication entre les machines dans un rseau et comment sont encapsules les units de donnes dans les couches du modle OSI. Aprs avoir examin la couche rseau de ce modle, nous reviendrons sur le routage que nous ne pouvions pas vous prsenter en dtail sans avoir abord le modle OSI. Nous esprons que cette partie vous a plu.
www.siteduzero.com
91/148
www.siteduzero.com
92/148
www.siteduzero.com
93/148
L'hte Pierre, l'adresse IP 124.23.42.13, souhaite communiquer avec l'hte Jean l'adresse IP 124.23.12.13. Il lui enverra un paquet de demande d'initialisation de session (il compose son numro et attend que Jean dcroche et dise All ). ce stade, il peut se passer quatre choses dans le contexte naturel : 1. Le numro est incorrect 2. Le numro est correct mais indisponible 3. Le numro est correct et Jean dcroche en disant All 4. Le numro est correct, disponible, mais Jean ne dcroche pas (c'est donc un peu comme le cas 2
tudions ces cas : Cas 1 : Pierre aura un message vocal disant Le numro que vous avez compos n'existe pas . En rseau ce sera un ICMP packet (Internet Control Message Protocol) qui enverra une erreur de type 3 (destination unreachable, destination inaccessible) et de code 7 (Destination host unknown, destinataire inconnu).
ICMP est un protocole dans la suite protocolaire TCP-IP utilis pour envoyer des messages d'erreurs dans un rseau. Il travaille en partenariat avec le protocole IP. Nous allons le voir en dtail, voir les diffrents types d'erreurs, leurs codes, leurs significations et les scnarios dans lesquels elles se manifestent.
Cas 2 : Ici, un message vocal dira Pierre L'abonn que vous souhaitez appeler est injoignable pour l'instant, veuillez rappeler dans quelques instants . En rseau, il s'agira galement d'une erreur de type 3. Cas 3 : Si le numro est correct et que Jean dcroche en disant All , c'est le dbut de la conversation. En rseau on dira donc qu'une session a t initialise. Cas 4 : Ici, classiquement, ce sera le rpondeur de Jean qui dira Je ne suis pas disponible pour l'instant, laissez-moi un message, je vous rappellerai ds que possible . En rseau, c'est un peu diffrent. L'hte Pierre va recevoir une
www.siteduzero.com
94/148
erreur ICMP de type 3 (destination inaccessible) et de code 1 (destinataire inaccessible). En gros, c'est pour dire qu'on n'arrive pas atteindre le destinataire. En fait, si un numro de tlphone est disponible, sonne, mais que personne ne rpond, a veut dire qu'on n'a pas atteint le destinataire final en fait. Donc c'est un peu pareil que le cas 2.
Continuons l'analyse de notre analogie. Citation C'tait juste pour te dire que demain y'a une fte chez Anne-Sophie, qui habite au numro 10 de la rue Lzard . Jean peut ventuellement demander Pierre de rpter, pour tre sr d'avoir bien saisi son message Chez qui ? Anne qui ? . Alors Pierre rptera cette partie pour que Jean comprenne.
Si Jean demande Pierre de rpter quelque chose, de faon radicale on peut conclure qu'il n'a pas reu ce que Pierre a dit (si l'on considre que recevoir un message = comprendre le message). En rseau, l'hte Jean va envoyer un paquet Pierre disant je n'ai pas reu le dernier paquet, renvoie-le stp . Pierre va alors renvoyer le dernier paquet. En fait, c'est un peu plus prcis que a. Suivant le protocole que vous utilisez (UDP ou TCP, nous allons les comparer dans les prochains chapitres), Pierre peut demander la fin de chaque phrase si Jean a compris. En rseau, l'hte Pierre pourrait donc demander un message d'accus de rception chaque envoi de paquet, et l'hte Jean devra rpondre oui j'ai reu, envoie le prochain tout le long de la communication si l'on utilise le protocole TCP qui est dit connection-oriented (orient connexion) par opposition au protocole UDP qui est dit connectionless-oriented. Tenez-vous tranquille, avec TCP on peut faire encore plus fort que a. Qu'est-ce qui se passe, si Pierre se met raconter sa vie raconter une histoire Jean et que ce dernier dpose le combin et s'en va faire un tour aux toilettes sans prvenir ? Pierre aurait perdu son temps en parlant pour rien ! Pour prvenir ce genre de chose, Pierre peut vrifier la prsence de Jean en demandant toutes les x minutes Tu me suis ? Tu es l ? . En rseau, avec TCP il s'agit d'une vrification priodique de l'tat de la session de communication. Ceci dit, l'hte Pierre enverra un paquet de vrification de session pour savoir si l'hte Jean est toujours connect. Si Jean ne rpond pas aprs un certain laps de temps, la communication est termine (la session se termine l). Ici, nous sommes dans l'explication de ce que fait le protocole TCP. Vous n'tiez pas cens le savoir, c'tait juste pour vous illustrer le fonctionnement des protocoles sans vous dire duquel il s'agissait. Mais nous avons prfr vous le dire, car nous faisons allusion des paquets ici, mais en fait il s'agit des valeurs prcises qui se trouvent dans l'en-tte des paquets TCP.
Citation Finalement, la conversation termine, il faut se sparer en douceur. cts avant qu'ils ne raccrochent leurs combins. Un classique salut ou au revoir des deux
www.siteduzero.com
95/148
www.siteduzero.com
96/148
Mais non !
Les fonctions cites ne peuvent pas tre ralises par un seul protocole. Il s'agit d'une suite protocolaire, une
suite de protocoles. Il y a des protocoles qui s'occupent de la transmission, d'autres du routage, etc. Une suite de protocoles est un ensemble de protocoles fonctionnant en harmonie et cohsion pour le bon droulement de la communication. Vous avez dj entendu l'expression protocole TCP/IP ? En fait, ce n'est pas un protocole. TCP en est un, IP en est un autre. Mais TCP/IP, a fait deux. C'est une suite (une pile pour tre prcis) de protocoles en fait, protocol stack en anglais. Voil, les bases sont poses ! Rendez-vous au prochain chapitre pour une introduction au modle OSI ! Voil, vous savez ce qu'est un protocole maintenant. Dans les chapitres qui suivent, nous allons parler des protocoles les plus courants et importants. Mais avant cela, nous allons survoler un peu le modle OSI.
www.siteduzero.com
97/148
Ainsi le modle OSI permet de comprendre de faon dtaille comment s'effectue la communication entre un ordinateur A et un ordinateur B. En effet, il y'a beaucoup de choses qui se passent dans les coulisses entre l'instant T o vous avez envoy un mail (par exemple) et l'instant T1 o le destinataire le reoit. Le modle OSI a segment la communication en 7 couches : Application ou couche applicative Prsentation Session Transport Rseau Liaison de donnes Physique
Une faon efficace de connaitre ces couches par cur, de haut en bas, en anglais serait de mmoriser la phrase suivante : All People Seem To Need Data Processing, ce qui signifie tout le monde a besoin du traitement de donnes Chaque majuscule reprsente la premire lettre d'une couche. A pour Application, P pour Prsentation, S pour Session, T pour Transport, N pour Rseau (Network en anglais ) , D pour Data Link(Liaison de donnes) et finalement le dernier P (de Processing) pour Physique. De bas en haut, le mnmonique anglais utilis est Please Do Not Throw Sausage Pizza Away. En franais a veut dire Sil vous plait ne jetez pas les saucisses de pizza. Ces sacrs anglophones ont des inspirations hilarantes Un gentil zro du nom de castor01 a propos un mnmonique en franais pour retenir ces couches de bas en haut : Partout Le
www.siteduzero.com
98/148
www.siteduzero.com
99/148
Dans le schma ci-dessus, chaque pice de la maison est une couche. Pierre doit quitter la couche la plus leve pour se diriger vers la plus basse(le portail). Une fois la lettre remise au facteur, ce dernier devra faire l'inverse, c'est dire, quitter la couche la plus basse et se diriger vers la couche la plus leve (le bureau de Jacques) Chaque pice de la maison offre des services prcis. Gnralement on va au bureau pour travailler. Le bureau nous offre donc des services qui nous aident pour travailler. Le salon c'est pour discuter, suivre la tlvision, ainsi le salon nous offre des services pour la distraction. Le jardin c'est pour la beaut de la cour et nous offre plein de services (esthtisme, air, etc). Et finalement le portail c'est la porte principale. Nous allons faire intervenir un personnage "Eric" dans notre histoire. Eric ne connait absolument rien au sujet du processus de transfert de lettres. Alors, quand Pierre lui dit : "J'ai crit une lettre Jacques", tout ce qu'Eric comprend c'est :
www.siteduzero.com
100/148
. Tout ce que vous saviez c'est que vous envoyiez un mail (par exemple), et
Mr le destinataire le reoit. Maintenant vous venez de comprendre que la lettre est passe par plusieurs couches avant d'arriver au destinataire C'est peut tre un exemple aberrant, mais nous pensons qu'il a aid plusieurs mieux concevoir le principe du modle OSI. Nous n'avons reprsent que quelques couches du modle OSI pour la clart et la simplification de la comprhension
Ici nous faisons intervenir un facteur uniquement pour illustrer le processus. N'en dduisiez pas quoi que ce soit
www.siteduzero.com
101/148
Comment a fonctionne ?
Lorsque vous voulez envoyer un mail l'quipe des rdacteurs de ce tutoriel (comment a, a ne vous tente pas? plusieurs choses se passent en coulisse: ),
Couche applicative
Vous avez besoin d'accder aux services rseaux. C'est la couche applicative qui fait office d'interface pour vous donner accs ces services. Ces services vous permettent par exemple de transfrer des fichiers, de faire un mail, d'tablir une session distance, de visualiser une page web, etc. Plusieurs protocoles assurent ces services. On peut par exemple citer FTP (pour le transfert des fichiers), Telnet (pour l'tablissement des sessions distance), SMTP (pour l'envoi d'un mail), le HTML (pour le rendu d'une page web), etc.
Couche de Prsentation
Il vous faut formater votre mail pour une bonne prsentation. C'est dans la couche de prsentation que cela se passe. Elle s'occupe de la smantique, de la syntaxe, de l'encryption/decryption. Enfin, de tout aspect "visuel" de l'information. Un exemple d'un service de cette couche serait la conversion d'un fichier cod en EBCDIC (Extended Binary Coded Decimal Interchange Code) vers un fichier cod en ASCII (American Standard Code for Information Interchange). L'encryption n'est pas oblig de se faire au niveau de la couche de prsentation. En effet, elle peut mme s'effectuer au niveau de l'application, du transport, de la session, et mme du rseau. Chaque niveau d'encryption a ses avantages.
Certains protocoles tels que le HTTP rend la distinction entre la couche applicative et la couche de prsentation ambige. En effet, le HTTP, quoiqu'tant un protocole de la couche applicative a les fonctionnalits de prsentation (dtection du type de codage de caractre utilis, par exemple).
Couche de Session
Une fois que vous tes prt envoyer le mail, il faut tablir une session entre les applications qui vont communiquer La couche de session du modle OSI vous permet d'ouvrir une session, de la grer, et la fermer. Ce sont ses 3 fonctions principales. La demande d'ouverture d'une session peut chouer par exemple. Si la session est termine, c'est au niveau de cette couche que ce passera la "reconnexion" .
Couche de transport
La session tant tablie, il faut envoyer le mail. C'est la couche de transport qui se charge de prparer le mail l'envoi. Le nom de cette couche semble porter confusion, car elle n'est pas responsable du transport des donnes proprement dit, mais elle contribue. En fait, ce sont les 4 dernires couches (Transport, Rseau, Liaison de donnes et Physique) qui toutes ensemble ralisent le transport des donnes, cependant chaque couche se spcialise . La couche de transport segmente les donnes en plusieurs "segments ou sequences" et les rassemble au niveau de la couche "Transport" de l'hte rcepteur (nous y reviendrons ) . Cette couche permet de choisir, bas sur les contraintes de communication, quel est la meilleure faon d'envoyer cette information. "Devrais-je m'assurer que la transmission a russie, ou devrais-je juste l'envoyer et esprer que tout se passe bien? Quel port devrais-je utiliser?" La couche de transport modifie galement l'entte des donnes. L'entte comportera au niveau de cette couche plusieurs choses parmi lesquelles le numro de port de la source et de la destination. C'est le protocole TCP (Transmission Control Protocol) qui est le plus utilis au niveau de cette couche.
Couche Rseau
www.siteduzero.com
102/148
Maintenant que nous savons quel numro de port utiliser, il faut aussi prciser l'adresse IP du rcepteur. C'est la couche Rseau qui se charge du "routage" ou "relayage" des donnes du point A au point B et de ladressage. Ici aussi il y'a une modification de l'entte. Elle comprendra dsormais l'entte ajout par la couche de transport, plus l'adresse IP source, et l'adresse IP du destinataire. Ici aussi s'effectue le choix du mode de transport : mode connect ou mode non-connect (nous y reviendrons ). Le protocole le plus utilis ce niveau est bien sr le protocole IP.
La couche de liaison
Prsentation effectue? Ok! Session tablie? Ok! Transport en cours? Ok! Adresses IP prciss? Ok! Maintenant tablissons une liaison "physique" entre les deux htes. L o la couche rseau effectue un genre de liaison logique, la couche de liaison effectue une liaison de donnes physique. En fait elle transforme la couche physique en une liaison, en assurant (dans certains cas) la correction d'erreurs qui peuvent survenir au niveau de la couche physique . Elle s'occupe de la fragmentation des donnes en plusieurs trames, et ces trames sont envoyes une par une dans un rseau local par consquent elle doit grer l'acquittement des trames(nous y reviendrons ;). Quelques exemples de protocoles de cette couche sont : Ethernet, PPP (Point to Point Protocol), HDLC(High Level Data Link Control), etc. La couche 2 soccupe de la livraison des trames dans un rseau local. Ceci dit, elle utilise des adresses physique, donc la transmission des donnes au-del du rseau local ne peut pas tre gre ce niveau, cest logique quand on y pense : cest le rle de la couche 3. Ce ne sont pas tous les protocoles de cette couche qui ont la gestion de lacquittement des trames comme feature. Certains ne lont pas, dans ce cas, cest fait dans une couche suprieure.
Rsum
Nous avons abord avec quelques lgers dtails, chacune des couches du modle OSI, voici un tableau rcapitulatif. Position dans le modle OSI 7 6 5 4
Rle de la couche
Prsentation Elle s'occupe de tout aspect prsentatif des donnes: format, encryption, encodage, etc. Session Transport Responsable d'initialisation de la session, sa gestion et sa fermeture Choix du protocole de transmission et prparation de l'envoi des donnes. Elle spcifie le numro de port utilis par l'application mettrice ainsi que le numro de port de l'application rceptrice. Elle fragmente les donnes en plusieurs squences ou segments. Connexion logique entre les htes. Elle traite de tout ce qui concerne l'identification et le routage dans le rseau. Etablissement d'une liaison physique entre les htes. Elle s'occupe de la fragmentation des donnes en plusieurs trames. Conversion des trames en bits, et transmission physique des donnes sur le mdia
3 2 1
www.siteduzero.com
103/148
Processus de transmission/rception
Quand un hte A envoi un "message" un hte B. Le processus d'envoi va de la couche 7 (Application) la couche 1 (Physique). En revanche, quand il s'agit de recevoir, c'est logiquement l'inverse : on part de la couche 1 (physique) la couche 7 (Application). Souvenez-vous de l'exemple de "Pierre, Jacques et le facteur" : Pierre, pour "envoyer" quittait le salon pour le portail alors que dans la procdure de rception, le facteur quittait le portail pour le bureau de jacques
www.siteduzero.com
104/148
Il ya une gnration
Le modle TCP-IP est un modle qui fut cr dans les annes 70 par le dpartement de la dfense des tats unis dAmrique, plus prcisment par lagence DARPA (Defense Advanced Research Projects Agency). Cest pour cette raison dailleurs que vous le trouverez aussi sous lappellation DoD model pour Department of Defense Model (modle du dpartement de la dfense). Quant au modle OSI, cest en 1978 que lOrganisation Internationale pour la Standardisation (ISO, pour International Standardization Orgazanition) le cre. Cest un certain Charles Bachman qui proposa le concept de segmenter la communication dans un rseau en 7 couches distinctes. Le but de ces deux modles nest pas le mme. En effet, le modle OSI a t dvelopp vocation normative, cest--dire dans le but de servir de rfrence universelle dictant le droulement de la communication entre deux htes. Alors que le modle TCP-IP a t cr vocation descriptive, cest--dire dans le but de dcrire comment se passe la communication entre deux htes. En dautres termes, si vous voulez comprendre comment se droule la communication sur le terrain , regardez au modle TCP-IP. Par contre, si vous voulez comprendre la suite logique, la procdure selon la norme, regardez au modle OSI . Ceci dit, cest le modle OSI qui vous servira de carte ou de plan si vous voulez crer un protocole ou un matriel en rseau. Etant donn que le modle OSI est un modle de rfrence, vous le trouverez souvent sous lappellation OSI Reference model (Modle de rfrence OSI) ou OSI-RM. Il se peut que vous lisiez Internet Reference Model pour faire rfrence au modle TCP-IP. Cette appellation nest pas fausse mais plutt inexacte car la suite protocolaire TCP-IP ne sert pas de rfrence mais plutt de description
www.siteduzero.com
105/148
Comme vous le voyez sur limage, le modle TCP-IP nest constitu que de 4 couches. Ce sont des couches dabstraction, cest--dire, ce sont des couches qui cachent les dtails dimplmentation de la communication et leurs noms ne veulent pas forcment dire ce quelles font mot pour mot. Le modle OSI quant lui est firement constitu de 7 couches distinctes. Les trois premires couches du modle OSI correspondent la couche applicative du modle TCP-IP. Cette correspondance ne veut pas dire que la couche applicative du modle OSI fusionne les trois couches. Non ! Elle ne remplit que les rles des couches Application et Prsentation du modle OSI, comme le spcifie la RFC 1122
Le formatage des donnes dans le modle TCP-IP peuvent galement se faire via des librairies
Tous les deux modles ont une couche de transport. La couche rseau du modle OSI cest la couche Internet(work) du modle TCP-IP. Les couches liaisons de donnes et physique du modle OSI forment une seule couche pour le modle TCP-IP : Interface rseau. Les couches Application, Prsentation, Session et Transport sont dites couches htes (Host layers en anglais) . En dautres termes se sont des couches qui concernent les htes directement. Tandis que les couches Rseau, Liaison et Physique sont des couches de mdias (Media layers) : elles sont plus lies au mdia qu lhte directement. Voici un schma illustrant cette correspondance :
www.siteduzero.com
106/148
Prenons un exemple : votre pre, vous lappelez papa la maison. Au travail, on lappelle Mr X ; chez son frre, ses neveux lappellent tonton , etc. Cest la mme personne mais sous plusieurs appellation selon le milieu. Ainsi, les donnes que vous transmettez sont appeles (unit de) donnes tout simplement (data unit en anglais). Parfois on les appelle PDU pour Protocol Data Unit (Unit de donnes de protocole) prcd du nom de leur couche. Par exemple dans la couche applicative, elles prennent le nom de APDU (Application Protocol Data Unit, Unit de donnes de protocole dapplication). Dans la couche de session, elles sappelleront donc...SPDU(Session Protocol Data Unit, Unit de donnes de Protocole de session). Mme principe pour la couche de prsentation. Une fois dans la couche de transport, ces donnes se nomment segments , car cest ce niveau quelles sont segmentes en plusieurs morceaux que nous avons appels squences dans le chapitre prcdent. Lappellation TPDU (Transport Protocol Data Unit) est galement correcte, en ce qui concerne la couche de transport
Dans la couche rseau du modle OSI, ces donnes prennent le nom de paquet . Dans les couches Liaison et physique, elles prennent le nom de frame(trame) et bit respectivement. Voici une image rsumant cela, pour votre plus grand plaisir parce que cest plus court plus haut . Les acronymes dans limage ci-dessous sont en anglais
. Vous ne devrez pas avoir de difficult les comprendre, leurs quivalents franais sont juste
Vous pouvez remarquer la prsence de datagram dans le schma. Datagram (datagramme) est le nom donn un PDU transmis par un service non fiable (UDP par exemple). Faites-nous confiance, ne demandez pas des dtails pour linstant.
Le long du tutoriel, nous ne ferons pas forcement usage du nom appropri pour une couche donne. Nous utiliserons souvent les mots donnes et paquets pour faire rfrence toute information qui se transmet. Lutilisation du
www.siteduzero.com
107/148
La Technologie
Par technologie, on parle de degr de complexit. Le modle OSI est plus complexe que le modle TCP-IP. En effet, quand on compare 7 couches contre 4, ya pas match . Cette complexit laisse douter de lutilit de certaines couches. Par exemple les couches Prsentation et Session sont assez rarement utilises, cest pour cela que lorsque lISO a voulu neutraliser la normalisation/standardisation du modle OSI, les british nont pas hsit demander la suppression de ces couches-l. La complexit de ce modle rduit lefficacit de la communication. Comme nous lavons vu en survolant les couches de ce modle, il ya certaines fonctions qui peuvent se faire plusieurs niveau. Cette rcurrence de fonctions participe la rduction de lefficacit dune communication base sur ce modle.
Limplmentation
A cause de la complexit de ce modle, ses premires implmentation ont t trs difficiles, lourdes et surtout lentes.
La dure et linvestissement
En technologie, il faut sortir le bon produit au bon moment, nest-ce pas ? OSI na pas respect cette rgle. En effet, la sortie normalise de ce modle est venu un peu en retard.on utilisait dj le modle TCP-IP. Lenvie de lISO sortir un modle rigoureusement normalis a fait que la recherche a pris plus de temps et la sortie de ce modle sest faite un peu en retard. Etant donn que le modle TCP-IP tait dj sorti, lISO a galr pour trouver un investissement, le monde ntant pas tellement intress investir pour une deuxime suite de protocoles.
www.siteduzero.com
108/148
TCP-IP est sorti avant le modle OSI, il tait donc largement utilis avant la sortie du modle OSI. De cette massive utilisation de TCP-IP, il en rsulte que la migration vers un autre modle est complexe. Cest justement cette complexit qui freine la migration vers un autre modle et maintient le succs actuel de TCP-IP. Mme si je suis pro-OSI, cela ne veut pas dire que ce dernier remportera le clash . Vu le train des vnements,
TCP-IP va rgner pendant encore trs longtemps. Mais sait-t-on ? Il se pourrait mme quun autre modle meilleur que les deux voient le jour
Je ne comprends pas langlais, mais je veux lire le rapport de lanalyse. Une solution ?
www.siteduzero.com
109/148
Principe d'encapsulation
Chaque couche du modle OSI a une fonction dtermine. Nous avons vu que la couche en cours utilise les services de la couche en dessous delle et son tour en offre pour la couche au dessous delle. Cette corrlation indique bien que certaines informations dune couche peuvent se retrouver dans une autre. Cela nest possible que par le principe dencapsulation. Lencapsulation consiste encapsuler. De faon directe et simple, lencapsulation consiste envelopper les donnes chaque couche du modle OSI. Quand vous crivez une lettre (pas un e-mail), vous devez lenvelopper dans une enveloppe. Cest relativement le mme principe dans le modle OSI. Les donnes sont enveloppes chaque couche, et le nom de lunit de donne est en fait le nom de lenveloppe. Nous avons vu dans la sous-partie prcdente quau niveau de la couche applicative, lunit de donne tait lAPDU ou le PDU tout simplement. Ensuite, nous avons vu que plus bas dans la couche rseau, lunit de donnes tait le paquet. Ces PDUs sont en fait une enveloppe qui contient deux choses : la donne en elle-mme et len-tte spcifique cette couche. La partie donne de ce paquet est compose de la donne initiale mais aussi des en-ttes des couches qui la prcdent. Il existe une toute petite formule mathmatique dfinissant la relation entre les couches. Ce nest pas difficile ce nest pas la peine de fuir Considrons limage ci-dessous :
Soit C une couche du modle OSI. La couche C+1 utilise les services de la couche C. Cest facile nest-ce pas ? La couche Session utilise les services de la couche Transport, par exemple. La donne que la couche C+1 transmet la couche C est appele SDU (Service Data Unit, Unit de donnes de service) tant quelle na pas encore t encapsule par cette dernire. Si par contre la couche C encapsule ce SDU, on lappelle dsormais.PDU Cest quoi donc la relation entre le PDU et le SDU
Dans une couche C, le PDU est le SDU de la couche C+1 plus son en-tte (couche C). Quand ce SDU devient un PDU, cest aprs lencapsulation. La couche C ajoute des informations dans len-tte (header) ou le pied (trailer), voire les deux, au SDU afin de le transformer en un PDU. Ce PDU sera alors le SDU de la couche C-1. Donc le PDU est un SDU encapsul avec un entte. Voici la constitution d'un PDU:
Comprendre la relation entre un SDU et un PDU peut tre complexe. Pour vous faciliter cela, nous allons considrer un exemple inspir du monde rel et ensuite vous aurez droit un schma.
www.siteduzero.com
110/148
Nous classons lexemple ci-dessous entre un peu difficile et difficile . Il est important de ne pas admirer les mouches qui voltigent dans votre chambre en ce moment. Soyez concentrs.
Quand vous crivez une lettre manuscrite, cette lettre est un SDU. Vous la mettez dans une enveloppe sur laquelle est crite une adresse. Cette lettre qui ntait quun SDU devient un PDU du fait quelle a t enveloppe (encapsule). Votre lettre arrive la poste. Loffice de poste regarde le code postal du destinataire et placera la lettre dans un sac par exemple. Mais on ne voit plus la lettre puisquelle est dans un sac. A ce niveau-l, la lettre, lenveloppe, le sac, tous forment un SDU. Loffice de poste va alors inscrire le code postal du destinataire sur le sac en question, ce qui devient donc un PDU. Si il ya dautres lettres partant dans la mme ville, elles seront alors toute mises dans une caisse : cest un SDU. Tout comme on a ajout des informations sur lenveloppe, sur le sac, il faudrait galement mettre un code postal sur la caisse. Cet ajout fait de cette caisse un PDU. Voil, a cest la procdure de transmission. Mais dans la rception, lorsque cette caisse atteint sa destination, les sacs lintrieur de la caisse (des SDUs) sont enlevs. Mais attention, cest ici que vous devez tre trs attentif . Si un individu prend un sac et lit le code postal marqu pour pouvoir lacheminer son destinataire final, ce sac nest plus considr comme SDU, mais un PDU. Ctait un SDU au moment de sa sortie de la caisse. Mais tant donn quil ya des informations de plus sur le sac, cest un PDU pour celui qui lit ces informations. Lorsque le destinataire final recevra la lettre, il ny aura plus tout ce qui tait ajout dans lintermdiaire (sac, caisse) mais il ny aura quune enveloppe contenant la lettre originale : un SDU Tenez, un schma illustrant l'encapsulation des SDUs dans le modle OSI
Dans le schma ci-dessus, nous avons mis DF pour Data link Footer. Ce nest pas le terme exacte, mais nous lutilisons pour vous faciliter la comprhension. Le vrai terme franais qui quivaut au mot Trailer cest remorque . Une remorque est un genre de vhicule que lon attle un autre vhicule. Ce qui fait donc que la remorque est en quelque sorte la queue ou le footer du vhicule principal . Cest pour cela que nous prfrons utiliser le mot footer que trailer, le mot pied plutt que remorque, cest plus facile.
Tous ce qui est encadr par un cadre en or forment un SDU comme le stipule la lgende.
www.siteduzero.com
111/148
Comme vous le voyez, au dbut nous navons que les donnes initiales, que lon pourrait galement appeler donnes dapplication . La donne initiale ce niveau est un SDU. Une fois dans la couche applicative, un en-tte AH (Application Header, en-tte dapplication) est ajout cette donne initiale. La donne au niveau de la couche applicative est un APDU. La couche applicative transmet cela la couche de prsentation en dessous. Cette donne transmise est un SDU. Par lencapsulation, cette couche ajoute un en-tte PH au SDU de la couche applicative. La couche de prsentation envoie ce nouveau message la couche de session et cette dernire encapsule son header avec le SDU obtenu de la couche Prsentation pour former son SPDU. La mme chose se produit jusqu la couche liaison qui a la particularit dajouter galement un trailer. Finalement toutes ces donnes sont converties en une srie de bit et mises sur le mdia pour la transmission. Une couche ne doit pas connaitre (ne connait pas) lexistence de len-tte ajout par la couche au-dessus delle (la couche C+1). En fait, cet en-tte, par lencapsulation apparat comme tant partie intgrale de la donne initiale, ce qui fait que la couche ne sait pas que cest un en-tte, mais le considre comme membre des donnes transmettre.
Vous pouvez galement constater que toutes les informations ajoutes dans la couche suprieure se retrouvent dans la couche inferieure. Ainsi dans la couche rseau par exemple, on retrouve la donne initiale + len-tte dapplication (AH) + PH + SH + TH. Toutes ces informations pour la couche de rseau seront considres comme tant la donne initiale. Ainsi la couche rseau (dans cet exemple) ne soccupe que de son en-tte elle. Si chaque couche, len-tte est ajout la donne initiale, ne serait-ce pas compromettre lintgralit du message ?
en-tte, ce qui fait quau niveau de la couche de liaison, nous nous retrouvons avec tous les en-ttes runis. Lorsque ces informations seront converties en une suite de bits, le rcepteur devrait recevoir des donnes errones puisque la donne initiale navait pas tous ces en-ttes, nest-ce pas ? En principe oui, mais le modle OSI ou TCP-IP est assez intelligent. En effet, dans la procdure de rception, chaque en-tte est enlev lorsque le message grimpe les couches, tel quillustr par le schma ci-dessous. Cette suppression den-tte cest la dcapsulation !
Comme vous le voyez sur le schma, dans la procdure de rception, chaque couche supprime son en-tte correspondant aprs lavoir lu. Len-tte NH (rseau) par exemple est supprim dans la couche rseau de lhte rcepteur, aprs que ce dernier lait lu Maintenant que vous savez quoi a sert, nous allons pniblement ( oui nous l'avons la rdaction est pnible ) dcortiquer
ces couches (voir ce qu'elles sont dans "les coulisses") dans les prochains chapitres. Bon apptit Bonne lecture pour la suite !
www.siteduzero.com
112/148
De l'Application la Session
Dans ce chapitre, nous allons tudier les 3 dernires couches du modle OSI, savoir de haut en bas la couche applicative (7), la couche de prsentation (6) et la couche de session (5).
www.siteduzero.com
113/148
Couche 7 : Application
votre grand surprise, cette couche na pas de rle dfini. En fait, cest juste une couche-interface. Par le terme "interface", comme nous lavons vu, la pense exprime est que cette couche sert de point de contact ou dinteraction entre lutilisateur que vous tes et les services en rseaux. Par exemple, votre navigateur web est une application qui vous permet dtre en contact avec un service offert par le protocole HTTP (HypertText Transfert Protocol) . Quand vous utilisez votre messagerie, vous tes en interaction avec la couche applicative. La couche applicative hberge principalement trois catgories de choses : Les APIs : une API, pour Application Programming Interface (Interface de Programmation dApplication), est grossirement une collection de fonctions permettant un programme externe dinteragir avec un programme interne pour ne pas exposer le code source. Vous n'tes pas obligs de savoir ce quest une API, mais notez juste que les APIs offrant des fonctions de rseaux se trouvent dans la couche Application. Services : Plusieurs services en rseaux tels que la navigation internet, la messagerie, la rsolution de noms de domaines, se trouvent au niveau de cette couche. Utilits rseaux : Vous vous souvenez de la commande ping que nous avons utilise dans la premire partie du cours ? Vous vous souvenez de la commande traceroute ou tracert ? Les commandes que nous utilisons en rseaux sont des commandes de la couche applicative. Il y en a dautres telles que ARP, netstat, etc. Le fameux service WHOIS que nous trouvons sur Internet serait donc bas sur la couche applicative. Au niveau de cette couche, nous trouvons des protocoles tels que : FTP HTTP TFTP Telnet SMTP
Nous nallons pas tudier tous les protocoles de cette couche (il y en a tellement.), cependant nous allons en examiner quelques-uns qui sont plutt intressants et simples comprendre.
La couche 6 : Prsentation
Le nom de cette couche est assez explicite. La couche 6 soccupe de tout ce qui est prsentation. Cest--dire, elle offre des services permettant de convertir des donnes dun systme dencodage un autre, de compresser des fichiers, de les crypter, etc. Quand vous utilisez Winzip par exemple, qui est un logiciel de compression, vous utilisez un service de la couche 6 du modle OSI . Cest dans cette couche que nous trouvons des protocoles tels que LPP (Lightweight Presentation Protocol), NDR (Network Data Reprsentation), NCP (NetWare Core Protocol). Toutefois, nous nallons pas tudier les protocoles de la couche de prsentation. Retenez simplement que les services offerts par cette couche permettent de soccuper du formatage des donnes, de leur compression, cryptage et conversion dans un autre systme dencodage (par exemple la conversion d'un fichier utilisant le systme dencodage EBCDIC en un fichier code en ASCII ). Un dtail souvent omis lorsquon traite cette couche est quelle se subdivise en deux (sous-)couches. Ce nest pas vraiment important puisque cest lunion de ces deux sous-couches qui forment la couche en elle-mme . Cependant dans le but denrichir vos connaissances, voici un schma illustrant les deux couches qui composent la couche Prsentation du modle OSI.
www.siteduzero.com
114/148
Comme vous pouvez le voir, deux autres couches CASE et SASE composent la couche de Prsentation. CASE, pour Common Application Service Element (lment de service pour les applications courantes), est la sous-couche qui se charge doffrir des services pour... les applications courantes . Enfin, en gros, cette sous-couche offre des services que plusieurs applications utilisent, tandis que SASE (Specific Application Service Element, lment de service pour une application spcifique), comme son acronyme lindique, offre des services pour des applications prcises. Si cest ambigu, ce nest pas grave. Dailleurs, faites comme si vous navez rien lu, ce nest pas utile pour la suite du tutoriel.
www.siteduzero.com
115/148
Full Duplex(FDX) : cest exactement le contraire du HDX. A et B peuvent communiquer simultanment, cest--dire au mme moment sans que cela ne pose problme. Voici deux schmas illustrant ces deux systmes de communication.
Half Duplex
Full Duplex
Il existe un autre systme de communication appel Simplex, mais nous avons prfr lomettre. Ce nest pas utile pour la suite du tuto.
www.siteduzero.com
116/148
La naissance de BitTorrent
Cr par Bram Cohen, BitTorrent est un protocole permettant le partage des fichiers de taille importante. BitTorrent est sans conteste le protocole de partage le plus utilis sur Internet, il ne vous est certainement pas inconnu. Cr en 2001, son dveloppement continu est assur par une entreprise nomme BitTorrent Inc. Avec BitTorrent, l'change ou le partage des fichiers se fait dans une infrastructure P2P (Peer2Peer, Pair--Pair). Par opposition une architecture centralise, le pair pair relie les htes entre eux directement, c'est une forme de topologie maille si vous voulez. Pourquoi avoir cr BitTorrent ?
Le succs de BitTorrent est sans doute sa minimisation de surcharge du rseau de partage. Imaginez un serveur qui hberge 10 000 vidos. Que se passerait-t-il si 1 million d'utilisateurs tlchargeaient une mme vido sur ce serveur, tous simultanment ? Le serveur aurait rpondre un million de requtes au mme moment, ce qui va en toute logique ralentir significativement le rseau de partage. Plus un fichier est demand, c'est--dire plus les internautes essaient d'accder au mme fichier au mme moment, plus ce dernier devient difficilement accessible cause de la congestion du rseau. C'est ce constat qui a donn naissance au protocole BitTorrent.
Le fonctionnement de BitTorrent
Et si chaque client devenait la fois client et serveur ? Telle est la question que le crateur de BitTorrent a d se poser. Avec BitTorrent, c'est ce qui se passe. Si un utilisateur X tlcharge un film Y d'un serveur Z, les autres utilisateurs pourront tlcharger le mme film travers X pour ne pas alourdir le serveur de base Z. Pour mieux comprendre cela, voici une animation illustrant un rseau utilisant un protocole de partage classique (clientserveur).
www.siteduzero.com
117/148
Comme vous pouvez le voir dans cette animation, le serveur envoie 4 copies de ladite vido aux 4 clients. prsent, voici une animation illustrant un partage via BitTorrent.
www.siteduzero.com
118/148
Comme vous pouvez le constater, BitTorrent minimise la congestion du rseau en segmentant le fichier en plusieurs portions. Il envoie une portion chaque client, et ces derniers font office de serveurs les uns pour les autres, jusqu' ce qu'ils se retrouvent tous avec toutes les portions du fichier. Certes, la rception se fera en dsordre, mais BitTorrent est assez intelligent pour rassembler les portions dans l'ordre de dpart. C'est ce qu'on appelle le contrle de squence (a vous dit quelque chose ? ). BitTorrent est donc un protocole trs pratique et conome. Ce n'est pas tonnant que Facebook ou Twitter l'utilise pour la distribution des mises jour sur leurs serveurs.
La terminologie de BitTorrent
En rseaux, le vocabulaire est trs important. Nous allons donc parcourir quelques termes propres au protocole que nous tudions. Les termes de BitTorrent sont vraiment interdpendants. Soyez concentrs pour ne pas vous embrouiller. Car en effet, pour dfinir un terme, il faut parfois faire rfrence un autre, et cet autre peut son tour faire rfrence un autre, etc.
www.siteduzero.com
119/148
semences, en d'autres termes, distribue ou rpartie les semences sur la surface de la terre. Un seeder distribue un seed dans le rseau.
Les essaims
Avez-vous dj entendu l'expression essaim d'abeilles ? Un essaim est un groupement important d'insectes d'une mme famille. Par exemple, les zros sont un essaim : groupement important des insectes d'un mme site. Avec BitTorrent, un essaim (swarm en anglais) est form par les peers partageant un mme torrent. Si nous avons par exemple 7 seeders et 7 autres peers qui ont tous un torrent en commun, ils forment un essaim de 14 units.
Oh que oui ! Une sangsue (leech en anglais) est un insecte qui suce, suce, suce et ne vit que de a. Dans un rseau de partage, on qualifie de sangsue tout client qui tlcharge plus qu'il ne partage. On parle galement de lurker. Lurker vient certainement du verbe anglais to lurk qui signifie se cacher ou se dissimiler . En gros, c'est un lche. Dans un rseau de partage, on utilise le terme lurker pour faire rfrence un client qui tlcharge sans ajouter du contenu nouveau dans le rseau. La diffrence entre un lurker et un leech(er) est assez mince. En fait, un leech parfois dcide volontairement de ne plus semer aprs avoir tlcharg, alors que le lurker, bien que n'uploadant aucune nouveaut, a la bonne pratique de partager ce qu'il tlcharge.
www.siteduzero.com
120/148
Vous avez envoy la lettre la poste. La poste l'a envoye au destinataire final. Pour vous et la poste, il s'agit d'une transmission. Pour votre ami, il s'agit d'une rception. Donc la rception n'est en fait qu'une autre transmission. Ainsi, les serveurs de messagerie utilisent SMTP pour faire les deux, cependant, les clients de messagerie utilisent SMTP pour l'envoi et un autre protocole (POP ou IMAP) pour la rception. Nous allons tudier ces protocoles de retrait dans la sous-partie suivante. SMTP sert donc transmettre un mail, ok, mais n'a-t-il pas besoin d'utiliser un protocole de transmission ?
La probabilit que vous vous soyez pos cette question est proche de 0. Mais bon... SMTP est un protocole de transfert. Or pour transfrer il faut un autre protocole de transmission. Ben oui, nous ne sommes que dans la couche applicative. Le rle de cette couche n'a rien voir avec la transmission, n'est-ce pas ? Quelle couche du modle OSI ou du modle TCP-IP a pour rle d'assurer la transmission ? La couche transport ! Le protocole SMTP va utiliser un protocole de la couche transport. Cette couche utilise deux protocoles principaux : UDP et TCP. Nous allons justement dans le chapitre suivant les tudier et les comparer. SMTP utilise le protocole TCP via le numro de port 25. On verra ce que a veut dire au prochain chapitre. Un protocole peut en utiliser un autre ? Comment a, a vous surprend ? Les protocoles qui assurent la transmission se trouvent dans la couche transport. Donc, un protocole de la couche application doit tre coupl un protocole de la couche transport. Un protocole utilise un autre protocole, SMTP utilise un protocole de transport (UDP ou TCP).
www.siteduzero.com
121/148
Si vous avez dcroch pour les protocoles de transmission, ce n'est pas grave, on verra a de manire plus claire dans le prochain chapitre. Mais il faut raccrocher au protocole SMTP, maintenant !
scnario, la procdure de transmission/rception de la lettre se fera ainsi : Pierre crit la lettre Le facteur vient chercher la lettre La lettre arrive la poste locale La poste envoie la lettre dans la ville de Lyon La lettre arrive la poste locale de Lyon Un facteur est charg de la transporter au domicile d'Andr Andr reoit la lettre
Hormis l'tape 1 (criture de la lettre) et l'tape 7 (rception), la lettre est passe par le facteur, la poste locale, la poste distante (celle de la ville de Lyon) et un autre facteur. Soit 4 tapes. Vous pouvez constater qu'il y a deux facteurs dans notre exemple. Nous pouvons qualifier le premier de facteur de transmission car il est impliqu dans l'tape de transmission de notre lettre. Le second facteur peut tre appel facteur de rception car il est impliqu dans la transmission-rception de notre lettre.
www.siteduzero.com
122/148
Le protocole SMTP suivra exactement le mme principe. C'est--dire que lors de la rdaction d'un courriel, votre mail passera par 4 tapes distinctes : le facteur, la poste locale, la poste distante, et un autre facteur. Quoi, y a des bureaux de postes dans les rseaux ?
Mais bien sr. C'est d'ailleurs pour cela qu'il existe un protocole POP qui signifie Post Office Protocole, soit Protocole de Bureau de Poste. En utilisant le protocole SMTP, votre mail passera par les 4 tapes mentionnes ci-dessus, tel que l'illustre le schma suivant.
D'abord vous nous dtes que notre courriel passera par le facteur, la poste locale, etc. Mais maintenant vous nous parlez de MUA, MTA... Et alors ? Remplacez X par sa valeur. Le facteur de transmission est reprsent par le MSA sur le schma. Les deux bureaux de postes sont des MTA, et finalement le facteur de rception est un MDA. Ok, maintenant voulez-vous bien nous expliquer tout a? Et le MUA c'est quoi ?
Pas de panique !
www.siteduzero.com
123/148
MUA, signifie Mail User Agent, soit client de messagerie en franais. Un client de messagerie est une application qui vous permet de retirer des mails de votre boite de rception et d'en crire (Outlook ou Thunderbird par exemple). Je n'utilise aucun logiciel pour le retrait de mes mails, je le fais directement sur Hotmail / Yahoo / Gmail / autre. Alors qu'en est-t-il ? Hotmail & co. sont galement des MUA, plus prcisment des webmails. Ce sont des applications auxquelles on accde par un navigateur. a revient donc au mme. Alors dans notre schma, Pierre utilise Outlook / Yahoo! Mail / autre pour crire un courriel et clique sur... Envoyer ! Direction : le MSA !
www.siteduzero.com
124/148
Par contre, si Pierre a une adresse pierre@gmail.com et qu'Andr a une adresse andre@hotmail.com, la lettre devra passer par un deuxime MTA (celui de Hotmail). Ainsi, via le MUA, Pierre crira son mail ; ce dernier passera par un MSA qui va le soumettre au MTA de Gmail. Le MTA de Gmail va regarder la partie qui vient aprs le caractre "@" dans l'adresse du destinataire, afin de vrifier s'il s'agit d'un transfert de mail un client du mme domaine, c'est dire un client de Gmail (en l'occurrence). Il va donc se rendre compte que "hotmail.com" (la partie droite de l'arobase dans l'adresse andre@hotmail.com) est diffrente de son domaine (gmail.com). Il va donc relayer la lettre au MTA du domaine de Hotmail. Voici prsent un autre schma illustrant le transfert d'un mail entre deux clients dans des domaines diffrents.
Nous allons couvrir le principe des noms de domaines dans une autre partie de ce cours. En attendant, vous pouvez lire le tutoriel de M@teo21 sur la gestion du nom de domaine, qui est un tutoriel trs complet.
www.siteduzero.com
125/148
... Un livreur de pizza, c'est quelqu'un qui livre des pizzas. Quelle est la diffrence entre le facteur de transmission et le facteur de rception dans notre schma ?
Voil une question srieuse ! Les deux sont des facteurs, les deux livrent des pizzas du courrier. La diffrence est que le premier (facteur de transmission) c'est vous qui l'envoyez livrer le courrier. Le second (facteur de rception), ce n'est pas vous qui l'envoyez, mais c'est le bureau de poste. Vous commandez une pizza, la demande est traite et on vous envoie un livreur, n'est-ce pas ? Mais ce n'est pas vous qui avez donn l'ordre directement au livreur de vous apporter la pizza. Voil pourquoi nous faisons une nette distinction entre les deux facteurs. L'un s'appelle MSA et l'autre MDA pour les raisons voques ci-dessus. C'est nous qui disons au MSA coute, va transmettre ce mail X . Mais pour le MDA, c'est le MTA qui lui dit Tiens, X a reu un mail, viens le chercher et le stocker . Tout est clair ? On pourrait aussi considrer le MDA comme tant la boite aux lettres (dans la vraie vie, IRL) l o les courriers sont stocks en attendant que le destinataire final vienne les chercher. Cependant dans notre exemple et en vertu du scnario tabli, le MDA sera considr comme tant le facteur de rception qui vient dposer le courrier dans votre boite aux lettres.
www.siteduzero.com
126/148
Vous pouvez galement vous rendre compte que les MTA utilisent SMTP pour la transmission et la rception comme nous l'avons indiqu un peu plus haut. Suivez-nous dans la prochaine sous-partie pour une exploration de ces protocoles de retrait de mail !
www.siteduzero.com
127/148
La question peut paratre idiote, mais quand on sait qu'en France, La Poste est oprateur de tlphonie mobile... Cependant, nous n'allons retenir que les services qui concernent directement notre tude. Le bureau de poste a pour fonction principale de traiter les courriers. Il reoit les courriers et les distribue leurs destinataires respectifs. Il est galement en contact avec les autres bureaux de poste distants. En rseau, en ce qui concerne la messagerie lectronique, le protocole POP fait plus ou moins la mme chose. Il gre les courriers et les distribue. La diffrence ici est que La Poste, elle, peut galement envoyer un courrier au bureau de poste d'une autre ville par exemple, alors que le protocole POP ne peut pas faire cela. C'est un protocole de retrait. Par consquent, POP permet d'aller chercher un mail se situant sur un serveur de messagerie, mais pas d'en envoyer : l'envoi est assur par le protocole SMTP. Il existe trois versions de ce protocole : POP1, POP2 et POP3. La toute premire version de ce protocole est spcifie par la RFC 918. POP2 est spcifi par la RFC 937 et vous pouvez retrouver les spcifications de POP3 dans la RFC 1081. La spcification actuelle de ce protocole se trouve dans la RFC 1939, qui n'est en fait que la RFC 1081 avec un mcanisme de gestion d'extension et un autre s'occupant de l'authentification. La RFC 2595 scurise le protocole POP en l'utilisant de paire avec le protocole SSL (Secure Socket Layer) : on parle donc aussi de POP3S, avec un S pour SSL. Le protocole SSL a t renomm TLS (Transport Layer Security), mais c'est la mme chose. Nous n'allons pas tudier en dtails le protocole POP : il existe dj un tutoriel ce sujet que nous vous invitons lire. Le protocole POP permet bien sr de rcuprer son courrier, mais aussi d'en laisser une copie sur le serveur ! Cela est particulirement utile si l'on ne peut plus accder aux e-mails tlchargs pour une raison quelconque (panne...) : on peut toujours les tlcharger nouveau ! Nanmoins, il n'a pas vraiment t conu pour cela, contrairement IMAP.
www.siteduzero.com
128/148
Introduction la scurit
Commenons cette partie par une introduction aux principes de scurit. Nous allons d'abord voir ce quest la scurit et les diffrentes faons de scuriser un rseau. Ce chapitre servira de base aux autres. Dans ceux-ci, nous entrerons un peu plus dans les dtails des principales attaques en rseau et nous verrons comment les prvenir.
www.siteduzero.com
129/148
Dans un rseau, une ressource est toute forme de donnes ou d'applications que lon peut utiliser pour accomplir une tche prcise. Par exemple, dans le cas d'une imprimante, les ressources dont elle a besoin pour accomplir sa fonction (imprimer) sont majoritairement le papier et lencre. Dans une entreprise, le rseau a principalement pour but lchange de ces ressources desquelles dpendent les activits commerciales de l'entreprise. tant donn que ces ressources sont cruciales son bon fonctionnement, il est important, voire obligatoire, de veiller leur scurit. Pourquoi protger les ressources ?
En ce qui concerne limprimante, nous savons tous que son travail consiste imprimer des donnes numriques sur support physique. Que se passerait-il alors si quelquun volait tous les papiers de limprimante ? Elle a beau avoir lencre, sans papier elle ne peut pas remplir sa fonction. On peut ainsi parler du niveau de dpendance ou degr de dpendance de limprimante. Non seulement elle a besoin dencre, mais aussi de papier. Il est donc important de veiller ce que personne nenlve lencre ou le papier de limprimante, car ces deux ressources lui sont lies. Cest logique vous nous direz, mais nous sommes en train de poser des bases trs importantes en rseaux. Vous devez saisir cette notion de dpendance. Vous aurez beau protger une ressource importante, si une autre ressource qui est lie cette dernire est expose, cela demeure une faille quun intrus peut exploiter. La scurit consiste veiller lintgralit des ressources dun rseau, ainsi qu' leur disponibilit.
Cette information est trs importante, cest une rgle que vous devez retenir. Plus des nuds dun rseau dpendent dune ressource, plus cette ressource sera la cible principale dune attaque. Plus le degr de dpendance est lev, plus il faut songer scuriser ladite ressource.
Elles sont nombreuses, mais voici les principales : Les tutoriels Les news
Les membres du site peuvent tre considrs comme tant des ressources, mais nous allons plutt les considrer comme tant les nuds qui forment le rseau du site du zro. Les tutoriels sont, sans lombre dun doute, les ressources les plus importantes. Ce sont ces ressources qui gnrent majoritairement tout le trafic du site. Et si tous les tutoriels taient supprims ?
www.siteduzero.com
130/148
Le site du zro gardera encore longtemps ses membres, mais le trafic va considrablement diminuer ou stagner. Grce la communaut, il y aura toujours des membres qui viendront pour discuter sur les forums. Mais, la principale ressource attrayante ntant plus disponible, le site du zro commencera entrer dans une priode de dclin. Une fois quun "attaquant" (hacker si vous voulez) localise la ressource dont le rseau dpend considrablement, cette dernire deviendra sa cible principale (on parle aussi de cible d'valuation). Cest alors que nous rptons notre rgle dor : Plus des nuds dun rseau dpendent dune ressource, plus cette ressource sera la cible principale dune attaque. Plus le degr de dpendance est lev, plus il faut songer scuriser ladite ressource.
Vous devez noter que nuire aux tutoriels implique lexploitation dune faille quelconque. Nous allons parler de lexploitation dans les sous-parties suivantes.
Tout au long de cette partie, nous allons vous apprendre les bonnes pratiques mettre en place pour maximiser la scurit des ressources dans un rseau. A ce stade, vous tes trs riches en connaissances. Nous allons donc entrer dans des dtails techniques (surtout dans le langage). Nous allons vous considrer comme tant des professionnels travaillant en tant quadministrateurs rseaux. Ainsi, vous aurez votre disposition de nombreux conseils en scurit, et surtout beaucoup de techniques de prvention et de protection contre les attaques.
www.siteduzero.com
131/148
Comprendre la terminologie
Nous allons, dans cette sous-partie, aborder la terminologie en scurit. Oui, a ne parait pas extra-ordinaire, mais ce premier chapitre n'est qu'une introduction au concept.
Une menace
De langlais threat, une menace est une situation qui pourrait potentiellement conduire un vnement dramatique. Quand vous recevez des appels anonymes dune personne menaant de vous tuer, ceux-ci constituent une situation qui pourrait conduire un vnement dangereux, votre mort en loccurrence. Dans la vie courante, lorsque vous recevez des menaces, vous prenez des mesures en consquence, par exemple informer la police. Dans un rseau, le principe reste le mme. Une menace est une situation qui pourrait conduire une potentielle rupture de la scurit de votre rseau. Ds que vous localisez une menace, si innocente paraisse-t-elle, si vous tes un employ, informez immdiatement votre administrateur de scurit. Si cest vous ladministrateur, commencez mettre en place toute solution pouvant neutraliser cette menace.
La vulnrabilit
galement appele faille, la vulnrabilit est une faiblesse quelconque dans votre rseau quun hacker peut exploiter au travers dun logiciel quon appelle exploiteur . Ces logiciels sont des morceaux de code qui profitent de la prsence des bugs dans un systme ou des failles dans un rseau pour avoir accs illgalement des ressources, voire augmenter les privilges dun compte utilisateur afin de mieux exploiter les ressources et ouvrir une porte pour un autre hacker. La majorit des failles sont des choses que lon nglige, telle que la complexit dun mot de passe. En tant quadministrateur en scurit rseaux, il est important d'informer rgulirement les employs de votre socit sur les polices de scurit, cest-dire les bonnes pratiques. Parmi ces bonnes pratiques figurent la complexification dun mot de passe. Si un employ junior0 a pour compte utilisateur junior0 et mot de passe junior0 , cette faiblesse est une faille quun hacker peut exploiter pour avoir accs aux ressources sous le pseudo de junior0. Une fois quil a accs ce compte, il peut ventuellement augmenter ses privilges, par exemple passer dun compte utilisateur simple un compte administrateur et avoir les mmes privilges que vous ladministrateur lgitime. Il existe principalement deux types dexploitation : locale : une exploitation est dite locale lorsquelle mane de lintrieur du rseau. Comme nous lavons dit plus haut, si un hacker se sert du compte utilisateur dun nud lgitime de votre rseau pour augmenter ses privilges, toute attaque partir de ce compte sera locale. distante : une attaque distante, contrairement une attaque locale, ne vient pas du rseau en tant que tel. Cest un hacker qui se trouve dans un rseau distant qui essaie dexploiter une faille " distance" sans avoir accs un compte local votre rseau.
Que cela vous surprenne ou non, la majorit des attaques sont locales et non distantes.
www.siteduzero.com
132/148
Le schma est trs vocateur, mais nous allons quand mme le survoler un peu. Ltape 1 consiste trouver une faille. Gnralement on utilise des logiciels de scannage (de port par exemple). Il est important de commencer par trouver la cible dvaluation. Il faut une stratgie pour remporter une guerre. La cible dvaluation est explique plus bas. Ltape 2 consiste, bien sr, exploiter cette faille, cest--dire, profiter de cette ouverture pour aboutir quelque chose A ltape 3, on sassure que cette faille restera toujours ouverte afin de pouvoir lutiliser chaque fois. Eh oui, cest comme lopen source. Cest mieux de rutiliser un code que de tout coder soi-mme. Si une faille est dj existante, autant la maintenir plutt que d'en chercher une autre. Cela se fait souvent par linstallation dune porte (backdoor). Ltape 4, cest faire quelque chose de cette faille. Par exemple, prendre possession dun compte (to take ownership en anglais) et augmenter les privilges de ce compte. Ainsi, si ctait un compte utilisateur simple, il s'agit d'acqurir les privilges dun compte administrateur. Ltape 5 consiste exploiter localement les ressources. tant donn que vous possdez un compte interne au rseau, vous passez pour une personne lgitime. Cest le principe de lexploitation interne ou locale. Finalement, la plus subtile des tapes, cest, bien sr, effacer ses traces. En terme dinvestigation, cest ce quon appelle commettre le crime parfait . Nous verrons comment effacer les traces dans un rseau et aussi quelques techniques dvasion (fuite) en cas de dtection.
Nous avons volontairement dissqu les tapes dexploitation, mais sachez que ces 6 tapes peuvent tre classes en 3 catgories. Ltape 1 cest ce quon appelle la phase de test de pntration ou papier-crayon . C'est une phase dans laquelle on se documente au maximum et on planifie notre attaque en cherchant dcouvrir les caractristiques (topologie, plan dadressage, etc) du rseau que lon cible afin de trouver une faille. Les tapes 2 5 peuvent tre groupes dans une catgorie exploitation . En effet lexploitation dune faille couvre tous les aspects mentionns dans ces tapes. La dernire tape peut tre classe dans la catgorie vasion . Effacer ses traces , cest une forme de fuite subtile .
Cible dvaluation
Le terme cible dvaluation vient de lexpression anglaise Target Of Evaluation (TOE) . Cette expression est plus propre la certification CEH (que nous allons vous prsenter) qu la scurit de faon gnrale. Mais, le principe est universel. Une cible dvaluation est la ressource la plus importante, celle dont dpendent les nuds de votre rseau. Pour le site du zro nous avons vu quil sagissait des tutoriels. Ils sont, en terme de scurit, une cible dvaluation pour le hacker. Pour les banques, la cible dvaluation pourrait tre, par exemple, les numros de comptes des clients.
www.siteduzero.com
133/148
On appelle attaque, toute tentative maligne de pntrer un rseau illgalement, par le biais de lexploitation dune vulnrabilit (ou faille). La majorit des attaques en rseau sont dues aux failles, et pour cela, le coupable numro 1 cest vousmme. Imaginez que vous avez dans votre compte bancaire 300 000 euros. Pour ne pas oublier votre mot de passe, vous avez crit sur un petit morceau de papier mot de passe de mon compte : 4590 . Un jour vous oubliez ce morceau de papier sur votre bureau au travail avec votre portefeuille. Un collgue sen rend compte, prend votre carte, va dans un guichet retirer une grosse somme et retourne au bureau dposer votre portefeuille. Le fait davoir crit ce mot de passe tait une faille de scurit. Avoir oubli le portefeuille tait une erreur dattention. Le retrait illgal de largent tait une attaque. Qui est le premier coupable ? Celui qui a vol largent ou vous-mme ? En scurit, la plupart des attaques sont dues ce couple faille-erreur . Une faille est une ouverture et lattaquant profite de votre erreur pour exploiter la faille.
En resum, lorsque Mr Pierre insre la carte, le systme du guichet identifie par le numero de la carte que cest Mr Pierre qui essaie de faire une transaction. Le numro de la carte permet de lidentifier. Mais quest ce qui nous prouve que cest bien Mr Pierre ? Il faut lui demander le code de scurit, car cest personnel, et lui seul doit le detenir. Ainsi nous lui disons Prouve moi que tu es bien Mr Pierre. Prouve moi que tu es celui que tu dis etre en me donnant le code de scurit . Pierre entre aors le code 0978, le guichet lauthentifie, atteste que la personne essayant de faire la transaction est authentique, cest bel et bien Mr Pierre. Par la suite, il peut effectuer les transactions de son choix, car il a dsormais lautorisation. Maintenant un jour, il envoit son fils Matthieu. Ce dernier va retirer de l argent tant en possession de la carte de son pre et du code de scurit. Le guichet lui donnera galement accs, lui autorisera faire la transaction, sans ncessairement identifier quici Il sagit de Matthieu et non de Pierre. Voyez-vous ? Si ce nest pas toujours clair, soyez tranquille, nous avons plusieurs autres exemples. Commencons dabord par dfinir ces termes un un avec un exemple a lappui. Identifier Cest laction devaluer lidentifier dune personne. Quand ce verbe est pronominal (sidentifier), cest laction de dcliner son identit. Par exemple, si vous allez un jour au bureau de Simple IT rencontrer la secrtaire, vous allez vous prsenter Bonjour, je mappelle Pierre . Vous vous identifiez. Si je veux rencontrer une personne que je nai jamais vue, je peux lui expliquer comment midentifier, par mon habillement par exemple. Je serais vtu dun jean noir et une chemise blanche avec un chapeau de cowboy. Lensemble de ces descriptions servira mon identification. Authentifier C'est lexigence dune preuve irrfutable quune personne est bel et bien celle quelle dit tre. Pour reprendre lexemple dune visite a Simple IT, si la secrtaire vous demandait de prouver que vous etes bel et bien Pierre, vous montrerez votre carte didentite par exemple. La carte constitue donc une "vidence, une preuve que vous etes celui que vous reclamez etre. Dans une rencontre face face , lidentification et lauthentification se fait trs souvent au meme moment, cependant dans des systmes distants ( ou nous navons pas dinteraction face face), ces deux "tapes sont separes Autoriser Lautorisation consiste verifier quune personne identifie a le droit de faire telle ou telle chose. Par exemple quand vous
www.siteduzero.com
134/148
avez 18 ans, vous avez le droit de voter, lautorisation de voter. Lautorisation est la derniere etape dans un systme de contrle daccess. Vous vous identifiez premirement, vous donnez une preuve permettant de vous authentifier, et lorsque le systme value cela, il vous donne accs, autorisation. Si Pierre veut se connecter dans le reseau local de lentreprise dans laquelle il travaille, il donnera son nom dutilisateur (pour son identification), il donnera son mot de passe (pour son authentification), mais il faudra que le systme dtermine ses droits daccs. A votre avis, pourquoi lorsque vous vous connectez sur le sdz, vous navez pas accs linterface de modration par exemple ? Parce que le systme de scurit vrifie vos privilges dans le domaine, et vous autorise en fonctions des droits que vous avez. Si vous etes administrateur, vous avez le droit dun membre, dun newser, dun moderateur, dun validateur et dun admin. Si vous netes quun membre, vos actions (transactions) sur le site seront limitees en vertue de vos droits. Cest a que sert ltape dautorisation, limitez les possibilits de vos actions selon les privlieges que vous dtenez. Voil , de manire simple comment comprendre ces 3 notions fondamentales.
www.siteduzero.com
135/148
La scurit physique
La scurit physique est obligatoire. Cest dailleurs la premire des choses laquelle vous devez penser avant tout ce qui est high-tech. Parfois on se laisse tellement emporter par le prestige de la technologie quon oublie la base des bases. A quoi a vous servira de mettre un scanner rtinien devant la porte de la salle de serveurs dans votre entreprise si cette dernire nest mme pas clture . La rgle retenir est la suivante : La scurit technologique dpend de la scurit physique
Un scanner rtinien cest bien beau. Pour avoir accs votre salle de serveur, il faudrait que le scanner reconnaisse la personne en scannant sa rtine. Mais si ce dernier peut arriver jusqu votre salle de serveur par manque de scurit physique, rien ne lempche de faire sauter la porte hein. Ainsi, commencez toujours par penser physique avant de penser techno . Les moyens de scurit physiques sont polymorphes.
Les fils de fers barbels sont un moyen efficace de protger votre rseau. Souvenez-vous un rseau est constitu de nuds interconnects. Mais ces nuds sont bel et bien dans une cours, une parcelle. La plus basique mesure de scurit cest dempcher au maximum aux intrus de sinfiltrer dans la parcelle mme de lentreprise. Les fils de fer barbels sont un bon moyen de le faire, parce que a blesse et cest bien.
Les gardiens
Mettez les zones les plus importantes de votre rseau sous surveillance. Un moyen de le faire cest davoir des gardiens. Mettez des gardiens devant des zones cruciales, par exemple devant le btiment dans lequel se trouve la salle des serveurs. On vous le rpte, mme si vous avez un scanner rtinien ou un lecteur dempreinte digitale pour ouvrir la porte de la salle de serveurs, sil ny a pas de scurit physique, a ne sert rien.
www.siteduzero.com
136/148
Un systme de vidosurveillance
Un systme de vidosurveillance est un rseau de camera disposes dans une place publique ou prive dans le but de surveiller les activits qui se produisent dans ces zones. Les camras de surveillance sont donc un trs bon moyen technologique de scurit. Vous pouvez par exemple mettre des camras de surveillance dans les couloirs conduisant aux salles des serveurs. Ainsi, si un intrus peut outrepasser un moyen de scurit physique (par exemple en soudoyant un gardien ) vous pouvez , grce votre camra de surveillance le filmer et donner la vido une autorit locale pour un systme de reconnaissance faciale.
Un systme dalarme
Un systme dalarme est parfois trs important. L o les camras de surveillance se contentent denregistrer les mouvements, un systme dalarme, comme lindique son nom, dclenchera une alarme sonore lorsquil dtectera la prsence dune personne non autorise une heure donne. Vous pouvez grce un systme de surveillance intelligent, verrouiller toutes les portes de sorties lorsque lalarme est dclenche. Ainsi, si un intrus sinfiltre dans un btiment et que lalarme sonne, il se bloque lintrieur.
vous enchante, mettez galement des mines devant les portes des salles des serveurs mais tant pis si cest vous qui les pitinez. Avant de terminer, accordons un peu dattention aux mots de passe.
www.siteduzero.com
137/148
Un conseil des administrateurs est de commencer par un mot de passe de base simple, ensuite le complexifier par une procdure que nous allons vous dtailler. Par exemple, si un employ du nom de Jacques Lebrun veut choisir un mot de passe pour son compte, daprs la police de scurit de son entreprise, habituellement son nom dutilisateur sera jlebrun (premire lettre du prnom (j) + le nom (Lebrun). Les motifs (patterns) de nom dutilisateurs ne sont pas les mmes. A chaque entreprise sa philosophie. Une entreprise pourrait choisir la dernire lettre du nom + le prnom, alors quune autre pourrait prendre la premire et dernire lettre du nom + les 4 dernires lettres du prnom, etc.
Nous allons aider Jacques Lebrun choisir un mot de passe. Pour commencer, il faut que ce soit quelque chose de facile retenir, mais il est prfrable que a nait rien voir avec : Son nom, prnom ou nom dun membre de sa famille ; Date de naissance ; Numro de scurit sociale ; Son adresse physique ; Le nom de son chien ou de son chat ; Son passe-temps favori.
Proposons-lui un mot de passe simple quand mme, ce nest quun newbie le pauvre. On lui propose : Jacque1980 parce quil sappelle Jacques et est n en 1980. Maintenant, on va complexifier un peu le mot de passe en remplaant les a par des @, les e par des 3, les 1 par des !, les s par des $ et les 0 par des o (et inversement). Ca nous donne donc : J@cque$!98o . Maintenant, faisant une alternance des caractres minuscules/majuscules. a nous donne : j@CqU3$!98o . Pour que ce mot de passe soit (encore plus) complexe, nous allons nous amuser ajouter un underscore ( _ ) tous les trois caractres. a nous donne j@C_qU3_$!9_8o . Tadam ! Nous sommes partis dun simple mot de passe Jacque1980 un mot de passe complexe j@C_qU3_$!9_8o . Il y a plusieurs mthodes de complexification de mot de passe. Mais il est vraiment recommand de partir dune chose facile se souvenir et de la complexifier ensuite. a serait dommage doublier son mot de passe aprs.
Contrairement aux mots de passe, une phrase de passe (passphrase en anglais) est une phrase (eh oui
nous servir de mot de passe . Par exemple, au lieu de nous identifier en utilisant un mot du genre Jacques , nous pouvons utiliser une phrase Bonjour, cest moi Jacques, donnez-moi accs au rseau . Les phrases sont plus difficiles deviner que les mots, aussi on vous conseille dutiliser plus de phrases de passe que de mots de passe. Tout comme pour les mots de passe, il est possible de les complexifier, mais il faut commencer par quelque chose dont on peut se souvenir. Reprenons notre exemple de Jacques Lebrun. Il est n en 1980 et occupe le poste de dveloppeur web. Nous allons lui
www.siteduzero.com
138/148
proposer une phrase de passe telle que Cest moi Jacques, je suis dveloppeur web, 1980 . Nous avons dj complexifi le prnom Jacques et le nombre 1980 . Maintenant, servons-nous des mmes motifs pour complexifier la phrase, c'est-dire que nous allons remplacer les a par des @ , etc. a nous donne C3$t m0i J@cqu3$, j3 $ui$ d3v3l0pp3ur w3b, !98o Voil, cette phrase de passe est dj assez complexe, inutile de la complexifier davantage en remplaant chaque lettre par un symbole et en rajoutant des underscores. Vous pouvez le faire si vous tes sr de facilement vous en souvenir. La mthode de complexification que nous vous montrons ici nest pas forcment la meilleure. Mais pour un dbut cest dj bien.
Il est recommand en entreprise de changer de mot de passe la fin de chaque mois ou tous les 3 mois. En tant quadministrateur vous pouvez obliger les employs changer leur mot de passe mensuellement.
Par IP
www.siteduzero.com
139/148
Oui ! Et nous aimons cette philosophie. En fait, pour tre un bon professeur de rseau, il faut, au pralable, avoir travaill en tant quadministrateur rseau dans une entreprise, nest-ce pas ? Cest le principe de cette certification. Pour tre un bon administrateur en scurit rseau, dont la vocation est de protger les ressources du rseau contre toute attaque, vous devez au pralable savoir comment attaquer un rseau. Que cela vous tonne ou pas, sachez que celui qui se dfendra le mieux dun cambrioleur, cest celui qui tait autre fois cambrioleur. Pourquoi ? Parce quil connait toutes les combines. Il sait comment exploiter une faille de scurit dans une maison, il sait comment utiliser une porte non verrouille pour sen servir dans lavenir etc. tant donn quil connait les techniques du cambriolage, il pense donc comme un cambrioleur, ce qui lui donnera un savoir-faire exceptionnel en dfense. Ainsi, un administrateur en scurit doit savoir comment pntrer un rseau, exploiter les failles, outrepasser les technologies mises en place, crer des backdoors, etc. Savoir comment hacker lui permettra de savoir comment se protger. Cest selon la mme philosophie que sera rdig lensemble de cette partie du cours. Nous allons vous apprendre hacker (en thorie hein, sinon les validateurs vont taper ) et ensuite, nous vous montrerons comment se protger de ces attaques. Vous allez voir, vous deviendrez un trs bon administrateur en scurit rseau si vous savez attaquer. 50% du contenu de ce tutoriel sera bas sur les objectifs officiels de la certification CEH. Ceci dit, si vous tes attentif durant cette partie et que vous comprenez tout ce que nous allons vous apprendre, en ajoutant un peu de recherche personnelle, vous pourrez passer la certification CEH. La formation officielle de cette certification est compose des chapitres suivants : Introduction lthique du hack : dans ce chapitre, on vous apprend le principe et lthique du hack en vous expliquant les phases quun hacker suit pour hacker un systme ou un rseau. Rassembler les informations sur une cible dvaluation : nous vous avons parl des cibles dvaluation (ou Target of Evaluation). Ce chapitre vous enseigne comment collectionner les informations sur une cible dvaluation afin de planifier une attaque. Collectionner les informations sur le rseau et les htes (nuds) : dans ce chapitre vous apprenez les mthodes de scannage et utiliser quelques commandes de linvite de commande. Cracker les mots de passe et augmenter les privilges dun compte : a donne envie hein ? Ici, vous apprenez hacker un systme pour lancer une attaque locale, cest--dire commencer par sacqurir un compte utilisateur interne au rseau-cible en craquant un mot de passe et en augmentant ses privilges. On vous apprend aussi utiliser des technologies despionnage (spyware). Les malwares : rien dexceptionnel. Vous apprenez comprendre le fonctionnement des chevaux de Troie, des portes arrires (backdoors), des virus et des vers (worms). On vous enseigne galement des mthodes de dtection de virus dans un rseau. Rassembler des donnes dun rseau : ici, grce aux techniques de sniffing, vous apprendrez collectionner des informations sur un rseau, notamment outrepasser les limites des commutateurs (switchs) grce lexploitation des failles du protocole ARP (Address Resolution Protocol). Lexploitation du protocole ARP sert notamment pratiquer lattaque de lhomme du milieu que nous allons aborder. Attaque DoS (dni de service, Denial Of Service) : vous apprenez comprendre le fonctionnement des attaques DoS et prvenir les sessions de highjacking. Web Hacking : comme lindique son nom, vous apprenez hacker des sites web en exploitant les failles des serveurs web et en craquant les mots de passe sur Internet. Vous y apprenez galement des mthodes dauthentification. Lattaque des applications : on vous apprend attaquer des applications grce aux injections SQL et aux buffers
www.siteduzero.com
140/148
overflows. Bien entendu, il vous est galement enseign comment prvenir cela. Hacker un rseau wifi : dans ce chapitre, vous apprenez hacker les rseaux sans fils grce au spoofing des adresses MAC. Vous apprenez galement utiliser des sniffers pour localiser des SSIDs (nous y reviendrons). La scurit physique : comme nous vous lavons expliqu, la scurit physique est trs importante. Aussi ce chapitre vous enseignera les bonnes pratiques afin dimplmenter une bonne scurit physique. Hacker des systmes Linux : on vous a dit que Linux tait invincible ? Ce chapitre vous dmontre le contraire. Outrepasser la scurit dun rseau : quand un rseau est bien scuris, comment faire pour contourner ces barrires ? Ce chapitre vous enseigne galement des techniques dvasion (comment fuir si vous tes dtect par un systme de dtection dintrusion par exemple ). Cryptographie : ce chapitre vous enseigne les diffrents algorithmes de cryptographie, ainsi que la notion des cls prives et cls publiques. Vous y apprenez galement quelques attaques de cryptographie. Pratiquer un test de pntration : on vous enseigne la mthodologie suivre pour planifier la pntration dun systme ou d'un rseau. De ltape papier-crayon ltape implmentation , vous apprendrez pntrer un rseau, surtout planifier cette pntration.
Nous allons vous enseigner (plus ou moins) plusieurs de ces chapitres la sauce du site du zro, en tenant compte de ce que vous aurez appris tout au long de ce tutoriel. Ne vous attendez pas ce que nous vous apprenions mettre en pratique plusieurs techniques, nous navons pas le droit de vous enseigner des choses si mesquines. Mais, nous vous enseignerons la thorie de la plupart des attaques. Maintenant vous savez en quoi consiste la scurit. Vous savez galement comment coupler moyens technologiques et moyens physiques pour implmenter une police de scurit fonctionnelle. Nous pouvons donc continuer notre exploration en abordant des notions riches telles que lingnierie sociale, les attaques par injection SQL, etc. a vous fait baver ?
www.siteduzero.com
141/148
Les espions : la curiosit est un vilain dfaut, mais qui peut rapporter gros
Les spywares, ou logiciels espions, sont des programmes qui espionnent la machine. Ils peuvent espionner votre historique de navigation, vos fichiers personnels, drober vos mots de passe, etc. On peut les contrer avec des anti-spywares (anti-espions) comme Spybot.
www.siteduzero.com
142/148
Ils n'ont pas vol leurs rpliques : les virus et les vers
Voyons des programmes qui se rpliquent : les virus et les vers. Ils sont caractriss par leurs faons de se dupliquer et ne sont pas par dfinition malveillants. Voyons leurs diffrences !
Un virus, contrairement un ver, n'est pas un fichier excutable mais un morceau de code destin tre excut et se rpliquer. Le virus va infecter un fichier qui peut tre de n'importe quelle nature (image, son, ...) en se copiant dans ce fichier. Il faut que le programme avec lequel le fichier infect va tre ouvert possde une faille pour que le virus puisse s'excuter et se rpliquer dans d'autres fichiers. a vous parat abstrait ? Alors voici un exemple. Paul reoit par e-mail une photo au format jpg. Jusqu'ici, rien d'anormal. Sauf que Paul n'a pas mis jour son systme depuis un certain temps, son logiciel pour regarder des images possde une faille ! Il ouvre la photo qui (malheur) contient un virus capable d'exploiter cette faille ! Le logiciel de visionnage d'images excute alors le virus contenu dans l'image, qui se rplique alors dans d'autres fichiers sur son disque dur, sur le rseau, ... La plupart des virus sont malveillants, comme les vers. Les virus sont capables de se modifier tous seuls en se rpliquant pour tre plus discrets. Nous n'allons pas rentrer dans les dtails et expliquer le polymorphisme et autres joyeusets, ce chapitre est juste l pour dfinir des termes que l'on rutilisera plus tard. Il existe un autre type de programme, trs difficile dloger et qui est potentiellement encore plus dangereux que les autres : le rootkit.
www.siteduzero.com
143/148
www.siteduzero.com
144/148
Le protocole ARP ?
Tout change de donnes se fait suivant un protocole, c'est--dire un ensemble de rgles permettant d'assurer la communication entre 2 machines. Le protocole ARP, pour Address Resolution Protocol (protocole de rsolution d'adresse), est utilis pour tablir une correspondance entre adresses IPv4 et adresses MAC. Les cartes rseau raisonnent par adresses MAC, et donc il faut leur dire quelle adresse MAC correspond telle IP : c'est l qu'intervient l'ARP. Admettons un rseau en toile dont les machines sont caractrises par leur nom, leur adresse IP, leur adresse MAC : Routeur, 192.168.1.1, 00:99:99:99:99:99 Ordinateur 1, 192.168.1.51, 00:11:11:11:11:11 Ordinateur 2, 192.168.1.52, 00:22:22:22:22:22 Ces adresses MAC sont fictives et servent juste d'illustration.
Ordinateur 1 veut communiquer avec Routeur. Il connat son adresse IP, mais la carte rseau a besoin de son adresse MAC pour lui transmettre le message. Il envoie donc une requte ARP. Mais pas n'importe comment ! Il va envoyer sa requte en broadcast. Si vous ne comprenez pas ce terme, vous devriez peut-tre relire le paragraphe "Les envois de donnes" du chapitre sur l'adresse IPv4. Toutes les machines du rseau vont donc recevoir ce message disant "Qui est 192.168.1.1 ? Rpondez-moi 192.168.1.51 svp !" (suivant le protocole ARP, bien entendu). Et normalement, le routeur doit lui rpondre "C'est moi, mon adresse MAC est 00:99:99:99:99:99". Ordinateur 1 va alors stocker cette information dans une table de correspondance, la table ARP, au cas o il en aurait nouveau besoin plus tard. On peut visualiser le contenu de cette table en rentrant la commande arp -a dans une console, sous Linux comme sous Windows. Ordinateur 1 peut maintenant communiquer avec Routeur, puisqu'il connat son adresse IP et son adresse MAC. Mais...
www.siteduzero.com
145/148
La faiblesse de ce protocole
Il est ais pour une machine d'envoyer une requte ARP, aussi bien pour demander une adresse que pour rpondre, pour en fournir une. Normalement, seule la machine dont l'adresse est demande doit rpondre une requte. Mais en pratique, n'importe quelle machine peut le faire. Tout l'heure, le routeur aurait pu rpondre que son adresse MAC tait 00:33:33:33:33:33, Ordinateur 1 l'aurait pris en compte sans sourciller. Simplement, quand il aurait voulu communiquer, cela n'aurait pas abouti. Pire encore ! Les ordinateurs acceptent gnralement toutes les requtes ARP leur parvenant. Ainsi, si Routeur dit Ordinateur 1 que l'adresse MAC de Ordinateur 2 est 00:55:55:55:55:55, il va prendre en compte cette information. Cela pose un problme : un attaquant peut manipuler les tables ARP des machines prsentes sur le rseau et ainsi dtourner le trafic : c'est l'attaque de l'homme du milieu.
www.siteduzero.com
146/148
Plus prcisment, il faut envoyer ces requtes ARP intervalles rguliers, car les tables peuvent se mettre jour rgulirement. Si Ordinateur 1 et Routeur russissent se communiquer leurs vraies adresses MAC, le trafic reprendra normalement, et ne passera plus par Ordinateur 2.
On n'a pas le droit de vous expliquer comment mettre en uvre cette attaque sur le Site du Zro. Nanmoins, on peut toujours vous fournir quelques noms de logiciels : nemesis, sous Linux, permet de forger des requtes ARP, entre autres ; scapy, sous Linux galement, est un outil trs pratique en rseau, il permet de faire beaucoup de choses comme forger des requtes ou faire de l'analyse rseau par exemple ; Wireshark, sous Linux et Windows, permet d'analyser les requtes qui passent par votre carte rseau ; Cain&Abel, pour Windows, est un outil trs puissant et potentiellement trs dangereux, car il permet en quelques clics de notamment casser des mots de passe, de cracker des rseaux Wi-Fi et (c'est ce qui nous intresse ici) de mettre en uvre une attaque MITM trs facilement ! Ce logiciel est gnial car il est redoutable et facile d'utilisation, mais il peut tre dtect comme dangereux par les antivirus. Et pour cause ! Il permet mme de prendre discrtement le contrle d'une machine distance !
Le fait d'altrer volontairement les tables ARP s'appelle ARP cache poisonning (empoisonnement du cache ARP). Vous pouvez rencontrer cette expression dans le logiciel Cain&Abel. On parle de MITM uniquement quand quelqu'un s'intercale entre 2 machines pour intercepter, contrler des donnes.
Rappelons que l'intrusion et l'altration de donnes sans autorisation du propritaire du rseau ou des donnes est illgal dans la plupart des pays et peut tre passible de peine de prison et de lourde amende.
www.siteduzero.com
147/148
Malgr ce risque d'tre condamn, il y a toujours des gens qui se livrent l'espionnage et au piratage de donnes. Il vaut mieux s'en protger.
www.siteduzero.com
148/148
Peut-on se dfendre ?
Malheureusement, cette faiblesse du protocole ARP est difficile combler. On peut utiliser des tables ARP statiques, mais ce n'est pas pratique et lourd mettre en place. Sous Windows par exemple, il faut utiliser la commande arp s adresse_IP adresse_MAC pour chaque adresse fixer. Pour garantir l'intgrit des donnes que vous changez, le plus sr est d'utiliser des connexions scurises quand c'est possible, en utilisant le HTTPS ds qu'un site le permet (il existe d'ailleurs une extension Firefox nomme HTTPS Everywhere qui passe automatiquement vos requtes vers certains sites clbres en HTTPS), en configurant votre client e-mail pour qu'il envoie ses requtes over SSL , c'est--dire travers un protocole crypt, ... Il existe mme des protocoles de messagerie instantane comme Jabber qui permettent d'activer le cryptage d'un simple clic ! Il ne faut pas accepter n'importe qui sur son rseau : il convient de scuriser son rseau Wi-Fi autant que possible (malheureusement, tous les systmes de protection du Wi-Fi sont faillibles, mme le WPA). Et mme si vous utilisez un rseau cbl, si une machine du rseau est infecte par un malware, ce dernier pourra utiliser une attaque MITM pour espionner ce qu'il se passe sur les autres ordinateurs... C'est pas pour vous faire devenir paranoaque, mais c'est important de faire attention ce qu'il se passe sur son rseau ! La faiblesse tudie est donc difficile combler. Vous ne devriez pas laisser n'importe qui se connecter sur votre rseau. Par ailleurs, dans un rseau o les machines sont connectes en Wi-Fi, le simple fait d'tre connect au rseau permet de voir tout ce qui s'y passe : il suffit de configurer sa carte rseau en mode promiscuous, et on reoit tous les paquets, mme ceux qui ne nous sont destins. Mme pas besoin de trafiquer les tables ARP. Cette partie est en pleine rdaction. Voici un brouillon du plan qui illustre plus ou moins quoi elle ressemblera une fois termine : Introduction la scurit ; Exploration des technologies de scurit ; La cybercriminalit ; Introduction lingnierie sociale ; Les techniques lies aux payloads ; Le dni de service avec lattaque DoS ; Les attaques par injection SQL ; La cryptographie ; L'attaque de l'homme du milieu (MITM Attack) ; Comment outrepasser la scurit dun rseau ; Scuriser un rseau wifi ; Introduction aux tests de pntration.
Vos suggestions, conseils, critiques et remarques sont les bienvenus. Ce tutoriel est en cours de rdaction et est trs loin d'tre termin ! N'hsitez pas passer voir rgulirement s'il y a du nouveau. Vous voulez savoir quand sortiront de nouveaux chapitres, ou vous voulez discuter avec les lecteurs et nous-mmes ? Retrouvez-nous sur Twitter*, sur Facebook* ou encore sur le topic spcialement ddi au tuto ! Il y a mme un flux RSS qui se met jour chaque nouveaut, si c'est pas gnial a... * Vous n'avez pas besoin d'tre inscrit sur le Site du Zro pour communiquer avec nous sur ces rseaux sociaux !
www.siteduzero.com