CCNA Exploration - Commutation de réseau local et … · Ce chapitre décrit le mode de...

Chapitre 6 - Services de Télétravail sur 22

CCNA 4 Version 4.0 By NSK

CCNA Exploration - Commutation de réseau local et sans fil

Chapitre 6 – Services de Télétravail

6.0-Présentation du Chapitre

Le télétravail consiste à travailler loin de son poste habituel, généralement à domicile. Le choix du télétravail est motivé de maintes façons.

Il peut s’agir de raisons dictées par un besoin de confort personnel ou de situations où des salariés blessés ou confinés à leur domicile

souhaitent poursuivre leur activité professionnelle pendant leur convalescence.

Le télétravail est un terme au sens large qui fait référence à une activité professionnelle menée à distance en se connectant au lieu de

travail au moyen des télécommunications. Le télétravail est performant grâce aux connexions Internet à haut débit et à large bande, aux

réseaux privés virtuels et aux technologies plus avancées, telles que la voix sur IP (VoIP) et la vidéoconférence. Le télétravail est

économique car il vous permet de réduire les frais de déplacement, d’infrastructure et d’équipement.

Les entreprises modernes emploient des individus qui ne peuvent pas se rendre au bureau tous les jours ou pour lesquels travailler à

domicile est plus pratique. On appelle ces personnes des télétravailleurs. Ils doivent se connecter au réseau de leur entreprise pour pouvoir

travailler à domicile.

Ce chapitre explique comment les organisations peuvent mettre en place des connexions réseau à distance fiables, rapides et sécurisées

pour leurs télétravailleurs.



6.1-Contraintes professionnelles des services de Télétravail

6.1.1- Contraintes professionnelles des services de Télétravail

Employer des télétravailleurs est une approche commerciale que de plus en plus de sociétés considèrent avantageuse. Grâce aux progrès

des technologies sans fil, à haut débit et à large bande, travailler en dehors du bureau ne présente plus les mêmes difficultés qu’autrefois.

Les salariés peuvent travailler à distance comme s’ils se trouvaient dans un bureau à proximité. Les organisations peuvent distribuer des

données, des communications vidéo et vocales et des applications en temps réel de manière rentable sur une connexion réseau commune

à tout le personnel, quel que soit son éloignement géographique.

Les avantages du télétravail vont au-delà des bénéfices récoltés par les entreprises. Le télétravail affecte la structure sociale, avec des

incidences favorables sur l’environnement.

Il est essentiel de garantir une continuité des opérations commerciales au jour le jour en cas d’intempéries, de routes encombrées, de

désastres naturels ou d’autres événements imprévisibles susceptibles d’empêcher les travailleurs de se rendre sur leur lieu de travail. À

une plus grande échelle, les télétravailleurs permettent à leur entreprise d’offrir plus de services sur des fuseaux horaires et des zones

géographiques internationales plus étendus. L’implémentation et la gestion des solutions contractuelles et sous-traitées sont plus faciles.

D’un point de vue social, le télétravail augmente les

opportunités d’emploi pour divers groupes sociaux,

notamment les parents avec des enfants en bas âge, les

personnes handicapées et les personnes résidant dans

des endroits éloignés. Les télétravailleurs bénéficient

d’une meilleure qualité de vie en passant plus de temps

en famille et en souffrant moins du stress lié aux

déplacements professionnels. En règle générale, ils sont

plus productifs, fidèles à leur employeur et satisfaits de

leur emploi. À l’heure des transformations climatiques,

le télétravail est un nouveau moyen de réduire les

émissions de dioxyde de carbone.

Lors de l’élaboration des architectures réseau chargées

de prendre en charge le télétravail, les concepteurs

doivent faire la part des choses entre les exigences

organisationnelles de sécurité, de gestion des infrastructures, d’évolutivité et d’accessibilité financière, et les besoins pratiques des

télétravailleurs en termes de facilité d’utilisation, de vitesse de connexion et de fiabilité du service.

Les entreprises et les télétravailleurs peuvent coopérer efficacement à condition de sélectionner les technologies appropriées et de

concevoir avec soin les services de télétravail.

6.1.2-La solution du Télétravailleur

Page 1 :

Les organisations doivent être équipées de réseaux rentables,

fiables et sécurisés pour connecter le siège social, les agences et

les fournisseurs. Face à l’essor des télétravailleurs, les

entreprises doivent de plus en plus identifier des moyens

rentables, fiables et sécurisés pour connecter les particuliers

travaillant dans un petit bureau ou dans un bureau à domicile

(Small Office / Home Office ou SOHO), à d’autres sites distants,

avec un accès aux ressources situées sur les sites de l’entreprise.

La figure illustre les topologies de connexion à distance

qu’utilisent les réseaux modernes pour connecter des sites

distants. Dans certains cas, les sites distants sont uniquement

connectés au siège, alors que dans d’autres cas, ils sont connectés à divers sites. Dans cette figure, vous constatez que l’agence est

connectée au siège et aux sites de partenaires, alors que le télétravailleur dispose d’une connexion unique au siège.



Cliquez sur le bouton Options dans la figure.

La figure illustre les trois technologies de connexion à distance

dont disposent les organisations pour prendre en charge les

services des télétravailleurs :

• Les technologies privées et traditionnelles de réseau

étendu (WAN) de couche 2, telles que Frame Relay, le

mode ATM et les lignes louées, fournissent de

nombreuses solutions de connexion à distance. La

sécurité de ces connexions dépend du fournisseur de

services.

• Les réseaux privés virtuels (VPN) IPsec garantissent une

connectivité évolutive et souple.

• Les connexions de site à site peuvent assurer une

connexion à distance fiable, rapide et sécurisée pour les

télétravailleurs. Cette option est la plus courante, associée à un accès à distance à large bande, pour établir un réseau privé

virtuel sécurisé sur le réseau Internet public. (Une connexion commutée sur Internet est moins fiable.)

Le terme « large bande » concerne des systèmes de communication avancés capables de fournir une transmission à haut débit de services,

tels que des données, des communications vocales et des vidéos, sur Internet et d’autres réseaux. La transmission est garantie par un large

éventail de technologies, dont la ligne d’abonné numérique (DSL), le câble à fibre optique, le câble coaxial, la technologie sans fil et le

satellite. En règle générale, les vitesses de transmission de données à large bande dépassent 200 kilobits par seconde (Kbits/s), ou 200 000

bits par seconde, dans une direction au minimum : en aval (d’Internet vers l’ordinateur de l’utilisateur) ou en amont (de l’ordinateur de

l’utilisateur vers Internet).

Ce chapitre décrit le mode de fonctionnement de ces technologies et explique les étapes requises pour sécuriser les connexions des

télétravailleurs.

Page 2 :

Pour garantir une connexion efficace aux réseaux de leur

entreprise, les télétravailleurs ont besoin des deux ensembles de

composants suivants : composants du bureau à domicile et

composants du siège. L’ajout de composants de téléphonie IP se

popularise car les fournisseurs élargissent la portée de leurs

services à large bande. Les composants de voix sur IP (VoIP) et de

vidéoconférence feront bientôt partie de la boîte à outils des

télétravailleurs.

Comme l’illustre cette figure, le télétravail nécessite les

composants suivants :

• Composants du bureau à domicile - Incluent un

ordinateur portable ou un ordinateur de bureau, un

accès à large bande (câble ou DSL) et un routeur de réseau privé virtuel ou un logiciel client de réseau privé virtuel installé sur

l’ordinateur. Un point d’accès sans fil peut également faire œuvre de composant supplémentaire. Lors de leurs déplacements, les

télétravailleurs ont besoin d’une connexion Internet et d’un client de réseau privé virtuel pour se connecter au réseau du siège

par le biais d’une connexion commutée, réseau ou à large bande.

• Composants du siège - Incluent des routeurs compatibles avec les réseaux privés virtuels, des concentrateurs de réseaux privés

virtuels, des applications de sécurité multifonctions, l’authentification ainsi que des périphériques de gestion centrale pour le

regroupement résilient et la fermeture des connexions de réseaux privés virtuels.

En règle générale, il est nécessaire de mettre à niveau ces composants pour assurer des services d’assistance relatifs à la voix sur IP et à la

vidéoconférence. Les routeurs exigent la fonctionnalité de qualité de service (QoS). QoS indique si un réseau est capable de fournir de

meilleurs services au trafic réseau sélectionné, comme l’exigent les applications vocales et vidéo. L’étude approfondie de QoS n’est pas au

programme de ce cours.



Cette figure illustre un tunnel de réseau privé virtuel (VPN) chiffré permettant de connecter le télétravailleur au réseau du siège. Il s’agit du

pilier des connexions fiables et sécurisées pour les télétravailleurs. Un réseau privé virtuel représente un réseau de données privé

sollicitant l’infrastructure publique de télécommunication. La sécurité d’un réseau privé virtuel permet de protéger la confidentialité des

données à l’aide d’une transmission tunnel et de procédures de sécurité.

Ce cours présente le protocole IPsec (sécurité IP) comme le premier choix dans la sécurisation des tunnels de réseau privé virtuel.

Contrairement aux stratégies de sécurité précédentes, qui consistaient à sécuriser la couche application du modèle OSI, IPsec opère au

niveau du traitement des paquets ou du réseau.

6.2-Services à large Bande

6.2.1-Connexion des Télétravailleurs au Réseaux étendu

En règle générale, les télétravailleurs utilisent plusieurs

applications (exemple : courriel, applications Web,

applications d’importance vitale, collaboration en temps réel,

voix, vidéo et vidéoconférence), qui nécessitent une

connexion à large bande passante. Le choix judicieux d’une

technologie réseau d’accès et d’une bande passante est un

souci primordial pour connecter correctement les

télétravailleurs.

Le câble résidentiel, la ligne DSL et l’accès à large bande sans

fil constituent trois options pour équiper les télétravailleurs

d’une connexion à large bande passante. En règle générale, la

faible bande passante que fournit une connexion commutée

par modem n’est pas suffisante. Ceci dit, elle reste utile pour

les accès mobiles lors de déplacements. Pensez à une

connexion commutée par modem lorsqu’aucune autre option

n’est disponible.

Les télétravailleurs nécessitent une connexion à un fournisseur de services Internet pour accéder à Internet. Ces fournisseurs proposent

plusieurs options de connexion. Les particuliers et les petites entreprises ont principalement recours aux choix suivants :

• Accès par ligne téléphonique - Option peu onéreuse nécessitant une ligne de téléphone et un modem. Pour se connecter au FAI,

un utilisateur appelle son numéro de téléphone d’accès. Cette connexion est la plus lente. Elle est généralement utilisée par les

travailleurs mobiles dans des zones géographiques où une connexion à plus grande vitesse n’existe pas.

• Ligne DSL - Option plus chère que la connexion commutée mais plus rapide aussi. La ligne DSL utilise également le téléphone.

Néanmoins, contrairement à l’accès commuté, elle garantit une connexion continue à Internet. La ligne DSL utilise un modem

spécial à haut débit, qui distingue le signal DSL du signal téléphonique et fournit une connexion Ethernet à un ordinateur hôte ou

à un réseau local.

• Modem câble - Option offerte par les fournisseurs de services de télévision câblée. Le signal Internet se situe sur le même câble

coaxial qui fournit la télévision câblée. Un modem câble spécial distingue le signal Internet des autres signaux se situant sur le

câble et fournit une connexion Ethernet à un ordinateur hôte ou à un réseau local.

• Satellite - Option offerte par les fournisseurs de services par satellite. L’ordinateur est connecté par Ethernet à un modem

satellite qui transmet des signaux radio au point de présence le plus proche (POP) sur le réseau satellite.

Dans cette section, vous apprendrez comment les services à large bande, tels que la ligne DSL, le câble et les accès à large bande sans fil,

élargissent les réseaux des entreprises pour permettre aux télétravailleurs d’y accéder.



6.2.2-Câbles

Page 1 :

Les télétravailleurs accèdent souvent à Internet via un réseau câblé pour se connecter au réseau de leur entreprise. Le système de câblage

utilise un câble coaxial qui transmet des signaux de radiofréquence (RF) sur le réseau. Le câble coaxial est le principal outil pour créer des

systèmes de télévision câblée.

Les origines de la télévision câblée remontent à 1948 en

Pennsylvanie. John Walson, propriétaire d’un magasin

d’appareils électroménagers dans une petite ville des

montagnes, devait résoudre les problèmes de réception

médiocre en liaison radio des signaux télévisés de

Philadelphie auxquels étaient confrontés ses clients. Walson

fixa une antenne sur un poteau d’électricité en haut d’une

montagne. Ce positionnement lui permit de recevoir sur ses

postes en magasin des signaux de diffusion puissants,

capables de capter les trois stations de Philadelphie. Il

connecta l’antenne à son magasin par le biais d’un câble et

de préamplificateurs de signaux modifiés. Il connecta

ensuite plusieurs clients résidant à proximité du passage du

câble. C’est ainsi qu’est né le premier système d’antenne de

télévision commune (CATV) aux États-Unis.

La société de Walson a grandi depuis. Walson est aujourd’hui reconnu comme le fondateur de l’industrie de la télévision câblée. Il a

également été le premier câblo-opérateur à utiliser les micro-ondes pour capter des stations de télévision éloignées, à utiliser le câble

coaxial pour améliorer la qualité de l’image et à distribuer la programmation télévisée facturée.

La plupart des câblo-opérateurs utilisent des antennes paraboliques pour capter les signaux de télévision. Les anciens systèmes reposaient

sur des échanges en une étape, avec des amplificateurs en cascade placés en série sur le réseau pour compenser la perte de signaux. Ces

systèmes avaient recours à des prises pour associer les signaux vidéo provenant de lignes de jonction principales vers les abonnées via des

câbles de branchement.

Les systèmes de câblage modernes assurent une communication bidirectionnelle entre les abonnés et le câblo-opérateur. De nos jours, les

câblo-opérateurs fournissent à leurs clients des services de télécommunications avancés, notamment l’accès Internet à haut débit, la

télévision câblée numérique et des services téléphoniques résidentiels. En règle générale, les câblo-opérateurs déploient des réseaux

hybrides fibres et coaxiaux (HFC) pour une transmission à haut débit des données jusqu’aux modems situés chez les particuliers et dans les

petites entreprises.

La figure illustre les composants d’un système de câblage moderne type.

Placez votre pointeur sur tous les composants dans cette figure pour afficher une description de leur fonctionnement.

Page 2 :

Le spectre électro-magnétique englobe une vaste gamme de fréquences.

La fréquence est la vitesse à laquelle se produisent les cycles (ou la tension) de courant, estimée en nombre d’ondes par seconde. La

longueur d’ondes est la vitesse de propagation des signaux électromagnétiques divisée par sa fréquence en cycles par seconde.

Les ondes radioélectriques, appelées RF, représentent une partie du spectre électromagnétique entre 1 kilohertz (kHz) à 1 térahertz

environ. Lors de la mise au point d’une radio ou d’un poste de télévision pour trouver diverses stations ou canaux, les utilisateurs

effectuent un réglage sur diverses fréquences électromagnétiques de ce spectre RF. Le même principe s’applique au système de câblage.

L’industrie de la télévision câblée utilise une portion du spectre électromagnétique RF. Plusieurs fréquences prennent en charge les canaux

et les données télévisés dans le câble. Du côté de l’abonné, les équipements tels que les télévisions, les magnétoscopes et les boîtiers

décodeurs de télévision haute définition sont réglés sur certaines fréquences, qui permettent aux utilisateurs de regarder le canal ou, à

l’aide d’un modem câble, de bénéficier d’un accès Internet haut débit.



Un réseau câblé permet de transmettre des signaux sur le câble dans toutes les directions et au même moment. On utilise les fréquences

suivantes :

• En aval - Direction d’une transmission de signaux RF

(canaux et données télévisés) de la source (tête de

réseau) vers la destination (abonnés). La transmission

de la source à la destination est appelée voie

descendante. Les fréquences en aval s’échelonnent

entre 50 et 860 mégahertz (MHz).

• En amont - Direction d’une transmission de signaux RF

des abonnés à la tête de réseau, aussi appelée voie de

retour ou inverse. Les fréquences en amont

s’échelonnent entre 5 et 42 mégahertz (MHz).

Page 3 :

La spécification DOCSIS (Data-over-Cable Service Interface

Specification) est une norme internationale élaborée par CableLabs,

consortium de développement et de recherche à but non lucratif pour

les technologies de câblage. CableLabs teste et certifie les

périphériques des fournisseurs en équipements câblés, tels que les

modems câble et les systèmes CMTS, et octroie le statut certifié

DOCSIS ou le statut qualifié.

DOCSIS définit les exigences en termes d’interface de support

opérationnel et de communications pour un système de données sur

câble. Il autorise le transfert haut débit de données vers un système

CATV existant. Les câblo-opérateurs ont recours à DOCSIS pour fournir un accès Internet sur leur infrastructure existante de réseaux

hybrides fibres et coaxiaux (HFC).

DOCSIS spécifie les exigences de couches 1 et 2 du modèle OSI :

• Couche physique - Pour les signaux de données utilisables par le câblo-opérateur, DOCSIS spécifie les largeurs de canaux (bandes

passantes de chaque canal) 200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz et 6,4 MHz. DOCSIS spécifie également les techniques

de modulation (mode d’utilisation du signal RF pour transporter les données numériques).

• Couche MAC - Définit une méthode d’accès déterministe, un accès multiple par répartition dans le temps (TDMA) ou un mode

d’accès multiple par répartition de code synchrone (S-CDMA).

Pour comprendre les caractéristiques requises par DOCSIS pour la couche MAC, il est utile de savoir comment les diverses technologies de

communication répartissent l’accès aux canaux. L’accès multiple par répartition dans le temps (TDMA) répartit l’accès dans le temps.

L’accès multiple par répartition de fréquence (FDMA) répartit l’accès par fréquence. L’accès multiple par répartition de code (CDMA) utilise

la technologie de modulation d’étalement du spectre et un système de codage spécial, dans lequel un code spécifique est affecté à chaque

émetteur.

Pour illustrer ces concepts, imaginons une pièce représentant un canal. La pièce est pleine de personnes devant parler les unes aux autres.

En d’autres termes, ces personnes ont besoin d’accéder à un canal. Une solution consisterait pour ces personnes à parler à tour de rôle

(répartition dans le temps). Autre solution : chaque personne parle avec des intonations différentes (répartition de fréquence). En CDMA,

ces personnes parleraient des langues différentes. Les personnes parlant la même langue se comprennent, mais pas les autres. À la radio,

le CDMA est utilisé par de nombreux réseaux de téléphones portables nord-américains, chaque groupe d’utilisateurs disposant d’un code

partagé. De nombreux codes figurent sur le même canal. Seuls les utilisateurs associés à un code donné peuvent se comprendre. S-CDMA

est une version propriétaire de CDMA élaborée par Terayon Corporation et destinée à la transmission de données sur des réseaux de

câbles coaxiaux. S-CDMA disperse les données numériques sur une large bande de fréquences et permet aux nombreux abonnés connectés

au réseau de transmettre et de recevoir des données simultanément. S-CDMA est sécurisé et résiste au bruit à la perfection.



Les projets portant sur les bandes de répartition de fréquence varient selon que les systèmes de câblage se situent en Amérique du Nord

ou en Europe. La spécification Euro-DOCSIS est adaptée au marché européen. Les principales divergences entre DOCSIS et Euro-DOCSIS

concernent les bandes passantes des canaux. Les normes techniques télévisées varient selon les pays du monde. Cette situation influe sur

le développement des variantes DOCSIS. Les normes télévisées internationales incluent la norme NTSC en Amérique du Nord et certaines

régions du Japon, la norme PAL dans la plupart des pays européens, d’Asie, d’Australie, du Brésil et de l’Argentine, et la norme SECAM en

France et dans certains pays d’Europe de l’Est.

Page 4 :

Si vous souhaitez fournir des services sur un réseau câblé, plusieurs fréquences radio sont nécessaires. Les fréquences en aval

s’échelonnent entre 50 et 860 mégahertz (MHz), alors que les fréquences en amont s’échelonnent entre 5 et 42 mégahertz (MHz).

Deux types d’équipement sont nécessaires pour l’envoi de signaux modem numériques en aval et en amont sur un système de câblage :

• Système de terminaison du modem câble, ou CMTS, à la tête de réseau du câblo-opérateur ;

• Modem câble, ou CM, du côté des abonnés.

Placez le pointeur sur les composants dans cette figure et observez leur rôle respectif.

Un CMTS de tête de réseau communique avec les modems

câble situés au domicile des abonnés. En fait, la tête de

réseau est un routeur avec des bases de données, qui fournit

des services Internet aux abonnés par câble. Son

architecture est relativement simple, avec un réseau optique

et coaxial dans lequel la fibre optique remplace le réseau

coaxial à bande passante inférieure.

Un réseau de câbles verticaux en fibre optique connecte la

tête de réseau aux nœuds, où les signaux optiques sont

convertis en signaux RF. La fibre transporte le même

contenu à large bande pour les connexions Internet, les

services téléphoniques et la lecture vidéo en continu que le

câble coaxial. Les câbles coaxiaux proviennent du nœud et

transportent les signaux RF vers les abonnés.

En règle générale, dans un réseau moderne hybride fibre et coaxial, 500 à 2 000 abonnés actifs sont connectés à un segment de réseau

câblé ; ils partagent tous la bande passante en aval et en amont. La bande passante réelle pour les services Internet sur une ligne CATV

peut atteindre 27 Mbits/s en téléchargement vers l’abonné et près de 2,5 Mbits/s en chargement. Un abonné peut bénéficier d’une vitesse

d’accès de 256 Kbits/s à 6 Mbits/s, en fonction de l’architecture du réseau câblé, des pratiques d’approvisionnement de chaque câblo-

opérateur et de la charge du trafic.

En cas d’encombrement suite à une utilisation élevée, le câblo-opérateur peut ajouter de la bande passante supplémentaire pour les

services d’accès aux données. Pour ce faire, il octroie un canal télévisé supplémentaire pour les données haut débit. En pratique, un tel

ajout peut doubler la bande passante en aval disponible aux abonnés. Les opérateurs peuvent également réduire le nombre d’abonnés

desservis par chaque segment réseau. Pour réduire le nombre d’abonnés, les opérateurs peuvent encore sous-diviser le réseau en

rapprochant et en approfondissant les connexions à fibre optique dans le voisinage.



6.2.3-Ligne ADSL

Page 1 :

La ligne DSL permet d’effectuer des connexions haut débit sur des fils de cuivre installés. Dans cette section, nous étudierons la ligne DSL

comme l’une des solutions clés pour les télétravailleurs.

Il y a plusieurs années, Bell Labs a identifié qu’une conversation vocale type sur une boucle locale ne nécessitait qu’une bande passante

entre 300 Hz et 3 kHz. Pendant de nombreuses années, les réseaux téléphoniques n’utilisaient pas de bande passante supérieure à 3 kHz.

Depuis, les progrès technologiques ont permis à la ligne DSL d’utiliser une bande passante élargie de 3 kHz à 1 MHz pour fournir des

services d’accès aux données en haut débit sur des lignes en cuivre ordinaires.

Par exemple, la ligne numérique à paire asymétrique (ADSL) utilise une plage de fréquences entre 20 kHz et 1 MHz environ. Heureusement,

des modifications relativement minimes doivent être apportées à l’infrastructure des compagnies de téléphone existantes pour fournir des

vitesses de données haut débit aux abonnés. Cette figure représente une allocation de bande passante sur un fil en cuivre pour la ligne

ADSL. La zone bleue identifie la plage de fréquences utilisée par le services téléphonique à fréquences vocales, souvent appelé réseau

téléphonique analogique (POTS). Les autres zones en couleur

représentent l’espace de fréquences utilisé par les signaux

DSL en aval et en amont.

Les deux types de technologie DSL de base sont la ligne

numérique à paire asymétrique (ADSL) et la ligne numérique à

paire symétrique (SDSL). Toutes les formes de services DSL

entrent dans les catégories ADSL ou SDSL et il existe plusieurs

variétés de chaque type. Le service ADSL offre à l’utilisateur

une bande passante pour le téléchargement vers l’utilisateur

supérieure à celle du transfert d’informations dans la

direction opposée. Le service SDSL fournit la même capacité

dans les deux sens.

Les différentes variétés de DSL fournissent des bandes

passantes différentes, avec des capacités supérieures à celles d’une ligne louée T1 ou E1. Les vitesses de transfert dépendent de la

longueur effective de la boucle locale, ainsi que du type et de l’état de ses câbles. Pour fournir un service satisfaisant, la boucle doit être

inférieure à 5,5 kilomètres.

Page 2 :

Les fournisseurs de services déploient des connexions DSL au

cours de la dernière étape d’un réseau téléphonique local,

appelée boucle locale. La connexion est configurée entre deux

modems à chaque extrémité d’un fil de cuivre, qui s’étend

entre l’équipement placé chez le client (équipement d’abonné)

et le multiplexeur d’accès DSL (DSLAM). Un multiplexeur

DSLAM est un périphérique situé au central téléphonique du

fournisseur ; il concentre les connexions de plusieurs abonnés

DSL.

Cliquez sur le bouton Connexions DSL dans la figure.

La figure illustre l’équipement nécessaire à une connexion DSL

chez un particulier et dans un petit bureau. Les deux

composants clés sont l’émetteur-récepteur DSL et le multiplexeur DSLAM :

• Émetteur-récepteur : permet de connecter l’ordinateur du télétravailleur à la ligne DSL. En règle générale, l’émetteur-récepteur

est un modem DSL connecté à l’ordinateur équipé d’un câble USB ou Ethernet. Les derniers émetteurs-récepteurs DSL peuvent

être intégrés aux routeurs de petite taille avec plusieurs ports de commutation 10/100 adaptés aux bureaux à domicile.

• Multiplexeur DSLAM : situé au central téléphonique du fournisseur, le multiplexeur DSLAM associe les connexions DSL des

utilisateurs en une liaison haut débit à un FAI, et par conséquent à Internet.



Cliquez sur le bouton Routeur DSL et DSLAM dans la figure.

Comparée à la technologie câblée, la ligne DSL est plus avantageuse dans

la mesure où elle n’est pas un support partagé. Chaque utilisateur

bénéficie d’une connexion directe et distincte au multiplexeur DSLAM.

L’ajout de nouveaux utilisateurs n’entrave aucunement les

performances, à moins que la connexion Internet du multiplexeur DSLAM

au FAI, ou Internet, soit saturée.

Page 3 :

Le principal avantage de la ligne ADSL concerne ses services

d’accès aux données avec les services vocaux POTS.

Lorsque le fournisseur de services positionne la ligne ADSL et les

signaux vocaux analogiques sur le même fil, il sépare le canal

POTS du modem ADSL grâce aux filtres ou répartiteurs. Cette

configuration garantit un service téléphonique ordinaire

ininterrompu même si la ligne ADSL tombe en panne. Grâce aux

filtres ou aux répartiteurs existants, l’utilisateur peut utiliser

simultanément la ligne téléphonique et la connexion ADSL sans

effet néfaste sur leurs services respectifs.

Les signaux ADSL déforment la transmission vocale ; ils sont

séparés ou filtrés sur les sites des clients. Vous pouvez séparer

les signaux ADSL des signaux vocaux sur les sites des clients des deux manières suivantes : en utilisant un microfiltre ou un répartiteur.

Un microfiltre est un filtre passe-bas passif avec deux extrémités. La première extrémité se connecte au téléphone, alors que la deuxième

se connecte à la prise murale du téléphone. Cette solution évite à un technicien de se déplacer sur les lieux et permet à l’utilisateur

d’utiliser toute prise dans la maison pour bénéficier des services ADSL ou vocaux.

Les répartiteurs POTS séparent le trafic DSL du trafic POTS. Le répartiteur POTS est un périphérique passif. En cas de panne de courant, le

trafic vocal accède tout de même au commutateur vocal du central téléphonique du fournisseur. Les répartiteurs se trouvent au central

téléphonique, et dans certains déploiements, sur les sites des clients. Au central téléphonique, le répartiteur POTS sépare le trafic vocal

destiné aux connexions POTS du trafic de données destiné au multiplexeur DSLAM.

Cette figure illustre la boucle locale se terminant sur le site du client au point de démarcation. Le périphérique réel est celui de l’interface

réseau. C’est en ce point que la ligne de téléphone pénètre généralement le site du client. C’est là qu’un répartiteur peut être attaché à la

ligne téléphonique. Le répartiteur divise la ligne téléphonique. Une branche alimente la maison en fils téléphoniques alors que l’autre

branche se connecte au modem ADSL. Il agit tel un filtre passe-bas, autorisant uniquement le passage de fréquences entre 0 et 4 kHz à

destination ou en provenance du téléphone. L’installation du répartiteur POTS sur le périphérique de l’interface réseau suppose qu’un

technicien se déplace sur le site du client.

Du fait de ces coûts supplémentaires en main d’œuvre et en assistance technique, la plupart des habitations utilisent aujourd’hui des

microfiltres, comme l’illustre cette figure. Les microfiltres ont également pour avantage de fournir une connectivité plus large dans la

résidence. Dans la mesure où le répartiteur POTS sépare les signaux ADSL des signaux vocaux sur le périphérique de l’interface réseau, une

seule prise murale ADSL suffit dans les habitations.



Cliquez sur le bouton Microfiltre dans la figure.

Cette figure illustre une disposition DSL type chez les particuliers

et dans les petits bureaux lorsque des microfiltres sont utilisés.

Dans cette solution, l’utilisateur peut installer des microfiltres en

ligne sur chaque téléphone, ou des microfiltres muraux à la place

des prises ordinaires. Si vous placez votre pointeur sur les

microfiltres du graphique, des photos de produits Cisco

s’affichent.

Cliquez sur le bouton Répartiteur dans cette figure.

Si le fournisseur de services installe un répartiteur, il le place

entre le périphérique de l’interface réseau et le système de

distribution téléphonique interne. Un fil accède directement au

modem DSL, alors que l’autre transporte le signal DSL aux

téléphones. Si vous placez votre pointeur sur le boîtier du

répartiteur dans le graphique, un modèle de câblage type

s’affiche.

6.2.4-Accès à large bande sans fil

Page 1 :

L’accès à large bande sans fil par ligne ADSL ou câble offre aux télétravailleurs une

connexion plus rapide que l’accès commuté. Cependant, les ordinateurs des particuliers

et petits bureaux devaient encore jusqu’à récemment se connecter à un modem ou un

routeur via un câble Cat 5 (Ethernet). Le réseau sans fil, aussi connu sous le nom de Wi-

Fi (Wireless Fidelity), a marqué un progrès non seulement pour les particuliers et les

petits bureaux mais aussi pour les campus d’entreprise.

Conformément aux normes de réseau 802.11, les données sont transférées sur les

ondes radioélectriques. Le réseau 802.11 est relativement facile à déployer dans la

mesure où il utilise le spectre des radiofréquences sans licence pour envoyer et recevoir

des données. La plupart des transmissions télévisées et radio sont réglementées par

l’État et nécessitent une licence.

Depuis 2007, les fabricants d’ordinateurs produisent des adaptateurs réseau sans fil

pour les intégrer à la plupart des ordinateurs portables. Face à la baisse constante du prix des jeux de composants pour Wi-Fi, cette option

est aussi de plus en plus économique pour les ordinateurs de bureau.

Les avantages du Wi-Fi ne se limitent pas à l’absence d’utilisation ou d’installation de connexions réseau filaires. Le réseau sans fil vous

permet d’être mobile. Les connexions sans fil permettent aux télétravailleurs d’augmenter leur flexibilité et leur productivité.



Page 2 :

Jusqu’à récemment, l’accès sans fil nécessitait de se trouver à

proximité (moins de 30 mètres) d’un routeur sans fil ou d’un

point d’accès sans fil avec une connexion filaire à Internet. Une

fois que le travailleur quittait son bureau ou son domicile,

l’accès sans fil n’était pas accessible facilement.

Cependant, les progrès technologiques ont permis aux

connexions sans fil de s’étendre. Les points d’accès sans fil ont

multiplié les accès aux connexions sans fil dans le monde entier.

Un point d’accès sans fil est la zone couverte par un ou

plusieurs points d’accès interconnectés. Des endroits publics de

rencontres, tels que des cafés, des parcs et des bibliothèques,

ont créé des points d’accès Wi-Fi, espérant ainsi développer

leurs affaires. Grâce au chevauchement des points d’accès, les

points d’accès sans fil peuvent couvrir plusieurs kilomètres

carrés.

Grâce aux progrès de la technologique sans fil à large bande passante, la disponibilité des supports sans fil ne cesse d’augmenter. On

compte notamment les exemples suivants :

• Wi-Fi municipal

• WiMAX

• Internet par satellite

Les municipalités ont rejoint les rangs de la révolution Wi-Fi.

Les villes déploient des réseaux sans fil municipaux en

coopérant souvent avec les fournisseurs de services. Certains

réseaux offrent un accès Internet haut débit, gratuitement ou à

un prix nettement inférieur à celui des autres services à large

bande. D’autres villes réservent les réseaux Wi-Fi à des fins

officielles, octroyant à la police, aux pompiers et aux salariés

municipaux un accès distant à Internet et aux réseaux

municipaux.

Cliquez sur le bouton Routeur unique dans la figure.

Cette figure illustre un exemple type de déploiement à domicile

avec un routeur sans fil unique. Ce déploiement utilise le

modèle Hub and Spoke. Si le routeur sans fil unique tombe en

panne, toute connectivité est perdue. Placez votre pointeur sur

la zone de texte.

Cliquez sur le bouton Maillage dans la figure.

La plupart des réseaux sans fil municipaux utilisent une

topologie maillée plutôt qu’un modèle Hub and Spoke. Un

maillage est une série de points d’accès (émetteurs radio),

comme l’illustre la figure. Chaque point d’accès est sur le même

canal et peut communiquer avec au moins deux autres points

d’accès. Le maillage recouvre sa zone de signaux radio. Les

signaux passent d’un point d’accès à l’autre à travers ce nuage.

Un réseau maillé présente plusieurs avantages par rapport aux

points d’accès sans fil d’un routeur unique. Son installation est

plus facile et moins chère du fait du nombre inférieur de fils. Le



déploiement sur une grande zone urbaine est plus rapide. Il est plus fiable d’un point de vue opérationnel. Si un nœud tombe en panne, les

autres compensent dans le maillage.

Cliquez sur le bouton WiMAX dans la figure.

WiMAX (Worldwide Interoperability for Microwave Access) est

une technologie de télécommunication dont l’objectif consiste

à fournir des données sans fil sur de longues distances de

diverses manières, des liaisons point à point à l’accès mobile

complet. WiMAX fonctionne à des vitesses supérieures, sur des

distances plus importantes et pour un nombre supérieur

d’utilisateurs que le Wi-Fi. Du fait de sa vitesse supérieure

(large bande) et de la baisse des prix de ses composants, on

estime que des déploiements sans fil WiMAX remplaceront

bientôt les réseaux maillés municipaux.

Un réseau WiMAX est constitué de deux composants

principaux :

• Une tour, dont le concept ressemble à une tour de téléphonie mobile. Une seule tour WiMAX peut couvrir une zone de 7 500

kilomètres carrés environ.

• Un récepteur WiMAX, dont la taille et la forme ressemblent à une carte PCMCIA, intégré à un ordinateur portable ou à un autre

périphérique sans fil.

Une station de la tour WiMAX peut se connecter directement à Internet à l’aide d’une connexion à large bande passante (exemple : ligne

T3). Une tour peut également se connecter à d’autres tours WiMAX grâce aux liaisons micro-ondes en visibilité directe. C’est ainsi que

WiMAX peut couvrir les zones rurales, hors de portée de la boucle locale et des technologies DSL.

Cliquez sur le bouton Satellite dans la figure.

Le recours aux services Internet par satellite s’effectue dans les

zones où l’accès Internet au sol n’est pas disponible, ou pour

les installations provisoires en déplacement constant. L’accès

Internet par satellite est disponible de manière internationale,

notamment pour les vaisseaux en mer, les avions en vol et les

véhicules sur les routes.

Il existe trois manières de se connecter à Internet par satellite :

multidiffusion unidirectionnelle, retour terrestre

unidirectionnel et bidirectionnel.

• Les systèmes Internet par satellite de multidiffusion

unidirectionnelle sont utilisés pour la distribution

vidéo, audio et la distribution de données à

multidiffusion IP. Bien que la plupart des protocoles IP exigent une communication bidirectionnelle pour le contenu Internet,

notamment les pages Web, les services Internet par satellite unidirectionnels peuvent être des pages « poussées » vers une zone

de stockage locale sur les sites des utilisateurs finaux par Internet satellite. Une interactivité complète est impossible.

• Les systèmes Internet par satellite de retour terrestre unidirectionnels utilisent un accès commuté conventionnel pour envoyer

des données sortantes via un modem et pour recevoir des téléchargements par satellite.

• Les systèmes Internet par satellite bidirectionnels envoient des données de sites distants par satellite vers un concentrateur, qui

à son tour envoie les données à Internet. L’antenne parabolique doit être positionnée avec précision sur chaque site pour éviter

toute interférence avec d’autres satellites.

La figure illustre un système Internet par satellite bidirectionnel. Les vitesses d’envoi représentent environ 1/10ème des vitesses de

téléchargement, situées dans une plage de 500 Kbit/s.



La principale exigence d’installation consiste à positionner l’antenne clairement vers l’Équateur, où sont stationnés la plupart des satellites

en orbite. Les arbres et de fortes pluies risquent d’affecter la réception des signaux.

Le système Internet par satellite bidirectionnel se base sur la technologie de multidiffusion IP, qui permet à un satellite de desservir

simultanément jusqu’à 5 000 canaux de communication. La multidiffusion IP envoie simultanément des données d’un point vers de

nombreux autres en envoyant des données compressées. La compression réduit la taille des données et de la bande passante.

Page 3 :

Le réseau sans fil respecte certaines normes que les routeurs et destinataires utilisent pour communiquer les uns avec les autres. Les

normes les plus courantes sont comprises dans la norme du réseau local sans fil (WLAN) IEEE 802.11, qui concerne les bandes publiques de

spectre (sans licence) 5 GHz et 2,4 GHz.

Les termes 802.11 et Wi-Fi sont souvent utilisés de façon

interchangeable, mais c’est incorrect. Wi-Fi est une certification

d’interopérabilité basée sur un sous-réseau de 802.11. La

spécification Wi-Fi est apparue car la demande du marché incita

l’organisme Wi-Fi Alliance à certifier les produits avant que les

modifications de la norme 802.11 aient pu être finalisées. La

norme 802.11 a depuis rattrapé son retard sur le Wi-Fi et l’a

dépassé.

Les protocoles IEEE 802.11b et IEEE 802.11g définissent les

méthodes d’accès à la connectivité les plus populaires parmi les

télétravailleurs. Dans un premier temps, la sécurité de ces

protocoles était faible du fait des exigences restrictives à

l’export de divers gouvernements. La dernière norme, 802.11n,

est une proposition d’amendement qui repose sur les normes 802.11 précédentes en ajoutant la technologie MIMO (entrée multiple,

sortie multiple).

La norme 802.16 (ou WiMAX) permet des transmissions allant jusqu’à 70 Mbits/s, et dont la portée atteint 50 kilomètres. Elle peut

fonctionner sur des bandes avec ou sans licence du spectre allant de 2 à 6 GHz.

6.3-Technologie de réseau privé virtuel

6.3.1-Réseaux privés virtuels et leurs Avantages

Page 1 :

Internet est un réseau IP publiquement accessible dans le

monde entier. Sa prolifération globale à grande échelle en fait

un mode d’interconnexion intéressant pour les sites distants.

Cependant, dans la mesure où il s’agit d’une infrastructure

publique, les entreprises et leurs réseaux internes sont sujets à

des risques de sécurité importants. Heureusement, la

technologie des réseaux privés virtuels permet aux entreprises

de créer des réseaux privés sur l’infrastructure publique

d’Internet tout en garantissant confidentialité et sécurité.

Les entreprises ont recours aux réseaux privés virtuels pour

fournir une infrastructure virtuelle de réseau étendu pour

connecter les bureaux de leurs agences, les bureaux à domicile,

les sites de leurs partenaires commerciaux et les télétravailleurs distants à une partie ou à tout leur réseau. Le trafic est chiffré pour

conserver son caractère privé. Plutôt que d’utiliser une connexion dédiée de couche 2, comme une ligne louée, un réseau privé virtuel

utilise des connexions virtuelles routées via Internet.

Dans une section antérieure de ce cours, nous avons fait référence à des tickets VIP pour assister à un spectacle dans un stade. Reprenons

cette idée pour expliquer le fonctionnement d’un réseau privé virtuel. Pensez à un stade comme à un lieu public comparable à celui



représenté par Internet. À la fin du spectacle, le public quitte les lieux par des ailes et des passages, se frayant un chemin en se bousculant

les uns les autres. Dans de telles circonstances, les vols sont de mise.

Imaginons la sortie des artistes. Leur entourage se tient par les mains pour former un cordon, protégeant ainsi les artistes de la cohue. Ces

cordons forment des tunnels, en quelque sorte. Les artistes se précipitent dans leurs limousines, qui les abritent et les mènent à leur

destination. Dans cette section, vous comprendrez que les réseaux privés virtuels fonctionnent de la même façon. En effet, ils regroupent

des données avant de les déplacer en toute sécurité sur Internet en empruntant des tunnels protégés. La compréhension de cette

technologie des réseaux privés virtuels est essentielle pour implémenter des services sécurisés aux télétravailleurs sur les réseaux des

entreprises.

Analogie : chaque réseau local est un îlot

Nous utiliserons une autre analogie pour illustrer les réseaux privés virtuels sous un autre angle. Imaginons que vous habitez sur un îlot au

milieu d’un immense océan. Des milliers d’autres îlots vous entourent ; certains à proximité, d’autres bien plus éloignés. Le bateau est le

moyen de transport utilisé pour passer d’un îlot à l’autre. Une traversée en bateau signifie que vous ne voyagez jamais seul. Tous vos faits

et gestes sont observés par les autres passagers.

Supposons que chaque îlot représente un réseau privé virtuel, tandis que l’océan représente Internet. Votre voyage en bateau s’assimile à

une connexion au serveur Web ou à tout autre périphérique sur Internet. Vous n’avez aucun contrôle sur les fils et les routeurs constituant

Internet, de même pour les passagers qui vous accompagnent sur le bateau. C’est pourquoi, votre sécurité est compromise si vous essayez

de vous connecter entre deux réseaux privés à l’aide d’une ressource publique.

Un pont doit être construit entre votre îlot et un autre. Cette connexion rendra le passage d’un endroit à l’autre plus facile, sécurisé et

direct. La construction et l’entretien du pont sont des opérations coûteuses, même si les deux îlots se trouvent à proximité. Vous passez

outre ce facteur pécuniaire car un chemin d’accès fiable et sécurisé est indispensable. Vous souhaiteriez que votre îlot soit également

connecté à un autre bien plus éloigné, mais cette initiative serait trop chère.

Cette situation est comparable à une ligne louée. Les ponts (lignes louées) sont séparés de l’océan (Internet). Malgré tout, ils peuvent se

connecter aux îlots (réseaux locaux). De nombreuses entreprises ont choisi cette route dans un souci de sécurité et de fiabilité pour

connecter leurs bureaux à distance. Cependant, si les bureaux sont très éloignés, le coût de connexion devient exorbitant au même titre

que le serait la construction d’un pont sur une longue distance.

Alors, où placer des réseaux privés virtuels dans cette analogie ? Nous pourrions fournir à tous les habitants insulaires leur propre sous-

marin avec les attributs suivants :

• Rapide

• Facile à prendre avec vous, où que vous alliez

• Capable de vous cacher entièrement de tout autre bateau ou sous-marin

• Fiable

• Coût raisonnable d’addition de nouveaux sous-marins à votre flotte existante, après le premier achat

Bien que les habitants circulent sur l’océan parallèlement à d’autres, ils peuvent le faire en toute confidentialité et sécurité. Vous

connaissez désormais les grandes lignes du fonctionnement d’un réseau privé virtuel. C’est ainsi que chaque membre distant sur votre

réseau peut communiquer en toute sécurité et fiabilité avec Internet, comme moyen de connexion au réseau local privé. Un réseau privé

virtuel peut être agrandi pour intégrer un plus grand nombre d’utilisateurs et de sites. C’est bien plus facile que pour une ligne louée. En

réalité, l’évolutivité est le principal avantage qu’offrent les réseaux privés virtuels par rapport aux lignes louées standard. Contrairement

aux lignes louées, où les coûts augmentent proportionnellement aux distances concernées, les zones géographiques de chaque bureau

importent peu lors de la création d’un réseau privé virtuel.

Page 2 :

Grâce aux réseaux privés virtuels, les entreprises bénéficient d’une meilleure souplesse et d’une productivité accrue. Les sites distants et

les télétravailleurs peuvent se connecter de manière sécurisée au réseau d’entreprise, quel que soit leur emplacement. Les données

circulant sur un réseau privé virtuel sont chiffrées, elles ne sont déchiffrables que par les personnes y étant habilitées. Les réseaux privés

virtuels englobent les hôtes distants dans le pare-feu, leur donnant des niveaux d’accès aux périphériques réseau quasiment identiques,

comme s’ils se trouvaient à la direction générale de l’entreprise.



Dans cette figure, les lignes louées sont illustrées en rouge. Les

lignes en bleu représentent les connexions basées sur le réseau

privé virtuel. Les réseaux privés virtuels offrent les avantages

suivants :

• Économies - Les organisations peuvent utiliser un

transport Internet tiers et rentable pour connecter les

bureaux et les particuliers à distance au siège. Ce choix

supprime les liaisons dédiées de réseau étendu et les

banques de modems. Grâce à la large bande, les réseaux

privés virtuels réduisent les coûts de connectivité en

augmentant la bande passante de connexion distante.

• Sécurité - Les protocoles de chiffrement et

d’authentification avancés protègent les données contre

tout accès non autorisé.

• Évolutivité - Les réseaux privés virtuels utilisent

l’infrastructure Internet dans les FAI et les opérateurs, facilitant l’ajout de nouveaux utilisateurs pour les entreprises. Ces

dernières, quelle que soit leur taille, peuvent augmenter leurs capacités sans élargir sensiblement leur infrastructure.

6.3.2-Type de Réseau Privé Virtuel

Page 1 :

Les entreprises utilisent les réseaux privés virtuels de site à

site pour connecter des sites éloignés de la même façon qu’on

utilise une ligne louée ou une connexion Frame Relay. Sachant

que la plupart des organisations peuvent accéder à Internet

de nos jours, il est normal de vouloir bénéficier des réseaux

privés virtuels de site à site. Comme l’illustre cette figure, les

réseaux privés virtuels de site à site prennent également en

charge les réseaux Intranet des entreprises et les réseaux

Extranet de leurs partenaires.

Un réseau privé virtuel de site à site est en fait une extension

du réseau étendu classique. Il permet de connecter des

réseaux les uns aux autres. Il peut, par exemple, connecter le

réseau d’une agence au réseau d’un siège.

Dans un réseau privé virtuel de site à site, les hôtes envoient et reçoivent le trafic TCP/IP via une passerelle de réseau privé virtuel, à savoir

un routeur, un dispositif de pare-feu PIX ou un appareil de sécurité adaptatif (ASA). La passerelle du réseau privé virtuel est chargée

d’encapsuler et de chiffrer le trafic sortant pour tout trafic provenant d’un site donné. Elle est également chargée de l’envoyer via un

tunnel du réseau privé virtuel sur Internet à une passerelle

homologue sur le site cible. À la réception, la passerelle du

réseau privé virtuel supprime les en-têtes, chiffre le contenu et

transfère le paquet vers l’hôte cible sur son réseau privé.

Page 2 :

Les utilisateurs mobiles et les télétravailleurs utilisent

régulièrement les réseaux privés virtuels d’accès distant.

Autrefois, les entreprises utilisaient des réseaux commutés pour

connecter leurs utilisateurs distants. Cette approche impliquait

des appels interurbains facturés et des frais pour les appels

longue distance afin d’accéder à l’entreprise.

Aujourd’hui, la plupart des télétravailleurs accèdent à Internet

depuis leur domicile et peuvent établir des réseaux privés



virtuels distants en utilisant des connexions à large bande. De même, un travailleur mobile peut effectuer un appel local à un FAI local pour

accéder à l’entreprise via Internet. C’est un grand progrès dans le monde des réseaux commutés. Les réseaux privés virtuels distants

peuvent prendre en charge les besoins des télétravailleurs, des utilisateurs mobiles et des consommateurs sur le réseau Extranet.

Dans un réseau privé virtuel d’accès distant, chaque hôte dispose généralement d’un logiciel client associé. À chaque tentative d’envoi de

trafic par l’hôte, le logiciel client du réseau privé virtuel encapsule et chiffre le trafic avant de l’envoyer sur Internet à la passerelle du

réseau privé virtuel à la périphérie du réseau cible. À réception, la passerelle du réseau privé virtuel gère les données comme elle le ferait

depuis un réseau privé virtuel de site à site.

6.3.3-Composants du Réseau privé virtuel

Un réseau privé virtuel crée un réseau privé sur une

infrastructure de réseau public tout en garantissant

confidentialité et sécurité. Les réseaux privés virtuels

utilisent des transmissions tunnel cryptographiques pour

une protection contre l’analyse des paquets, pour

l’authentification de l’expéditeur et pour l’intégrité des

messages.

Cette figure illustre une topologie de réseau privé virtuel

type. Pour établir ce réseau privé virtuel, les composants

obligatoires sont les suivants :

• un réseau existant avec des serveurs et des

stations de travail ;

• une connexion à Internet ;

• des passerelles de réseau privé virtuel, telles

que des routeurs, des pare-feu, des concentrateurs de réseau privé virtuel et des ASA, qui agissent en tant que points d’extrémité

pour établir, gérer et contrôler les connexions du réseau privé virtuel ;

• un logiciel adapté pour créer et gérer les tunnels du réseau privé virtuel.

Les performances du réseau privé virtuel reposent principalement sur la sécurité. Les réseaux privés virtuels sécurisent les données en les

encapsulant et en les chiffrant. La plupart des réseaux privés virtuels procèdent à ces deux opérations.

• L’encapsulation est également appelée transmission tunnel. En effet, elle transmet des données en toute transparence d’un

réseau à un autre via une infrastructure réseau partagée.

• Le chiffrement applique des codes aux données dans un autre format à l’aide d’une clé secrète. Le déchiffrement décode les

données chiffrées au format non chiffré original.

L’encapsulation et le chiffrement sont des sujets abordés plus en détail dans un cours ultérieur.

6.3.4-Caractéristiques des Réseaux privés virtuels sécurisés

Les réseaux privés virtuels ont recours à des techniques de chiffrement

avancées et à la transmission tunnel pour que les entreprises puissent

établir des connexions réseau privées sécurisées de bout en bout sur

Internet.

Un réseau privé virtuel sécurisé repose sur le principe fondamental de

la confidentialité des données, de l’intégrité des données et de

l’authentification.

• Confidentialité des données - Protéger les données contre

l’écoute électronique est un souci de sécurité courant. La

confidentialité des données est une fonction conceptuelle qui

vise à protéger le contenu des messages contre toute interception par des sources non authentifiées ou non autorisées. La

confidentialité est garantie grâce à l’encapsulation et au chiffrement effectués sur les réseaux privés virtuels.



• Intégrité des données - Les destinataires n’ont aucun contrôle sur le parcours emprunté par les données. C’est pourquoi ils ne

savent pas si elles ont été consultées ou manipulées lors de leur passage sur Internet. L’éventuelle modification des données ne

peut pas être exclue. L’intégrité des données garantit qu’aucune altération ou modification n’a été apportée aux données lors de

leur parcours entre la source et la destination. En règle générale, les réseaux privés virtuels utilisent des hachages pour garantir

l’intégrité des données. Un hachage ressemble à une somme de contrôle ou à un sceau garantissant que personne n’a lu le

contenu, tout en étant plus robuste. Les hachages sont décrits dans la rubrique suivante.

• Authentification - L’authentification garantit qu’un message provient d’une source authentique et accède à une destination

authentique. Une identification assure à l’utilisateur que la personne avec qui il établit une communication est effectivement le

destinataire escompté. Les réseaux privés virtuels peuvent utiliser des mots de passe, des certificats numériques, des cartes à

puce et la biométrique pour vérifier l’identité des parties à l’autre extrémité du réseau.

6.3.5- Transmission tunnel des Réseaux privés virtuels

L’intégration des fonctions de confidentialité de données appropriées dans un

réseau privé virtuel garantit que seules les sources et les destinations escomptées

peuvent interpréter le contenu des messages originaux.

La transmission tunnel permet le recours aux réseaux publics, comme Internet,

pour transférer des données, comme si les utilisateurs avaient accès à un réseau

privé. La transmission tunnel encapsule tout un paquet dans un autre et envoie le

nouveau paquet composé sur un réseau. Cette figure répertorie les trois classes de

protocoles utilisées par la transmission tunnel.

Pour illustrer le concept et les classes de la transmission tunnel, pensons à l’envoi d’une carte postale par la poste. La carte postale

comporte un message. La carte est le protocole passager. L’expéditeur insère la carte dans une enveloppe (protocole d’encapsulation) et y

inscrit l’adresse requise. Il la poste ensuite dans une boîte aux lettres. Le système postal (protocole de l’opérateur) récupère et livre

l’enveloppe dans la boîte aux lettres du destinataire. Les deux points d’extrémité du système de l’opérateur représentent les interfaces du

tunnel. Le destinataire sort la carte postale (il extrait le protocole passager) et lit le message.

Cliquez sur le bouton Encapsulation dans cette figure pour voir le processus d’encapsulation.

Cette figure illustre un message électronique traversant Internet sur

une connexion de réseau privé virtuel. Le protocole PPP transporte le

message vers le périphérique du réseau privé virtuel. Le message y est

encapsulé dans un paquet GRE (encapsulation GRE). GRE est une

transmission tunnel élaborée par Cisco Systems. Elle peut encapsuler

une grande variété de types de paquet de protocole dans des tunnels

IP, créant ainsi une liaison virtuelle point à point aux routeurs Cisco à

distance dans un interréseau IP. Dans cette figure, l’adressage des

paquets externes à la source et à la destination est affecté aux

interfaces du tunnel et son routage est activé sur le réseau. Quand un

paquet composé accède à l’interface du tunnel de destination, le

paquet interne est extrait.



6.3.6-Intégrité des données du Réseau Privé Virtuel

Page 1 :

Si du texte en clair est transporté sur le réseau public Internet, il

peut être intercepté et lu. Pour conserver le caractère privé des

données, chiffrez-les. Le chiffrement du réseau privé virtuel

chiffre les données et les rend illisibles aux destinataires non

autorisés.

Pour que le chiffrement réussisse, l’expéditeur et le destinataire

doivent connaître les règles en vigueur pour transformer le

message original en format chiffré. Les règles de chiffrement du

réseau privé virtuel comprennent un algorithme et une clé. Un

algorithme est une fonction mathématique qui associe un

message, du texte, des chiffres ou les trois à la fois à une clé. En

résulte une chaîne chiffrée illisible. Le déchiffrement est

extrêmement difficile, voire impossible, si vous ne disposez pas

de la bonne clé.

Dans cet exemple, Gail souhaite envoyer un document financier à Jeremy via Internet. Gail et Jeremy ont convenu d’une clé partagée

secrète au préalable. Sur le poste de Gail, le logiciel client du réseau privé virtuel associe le document à la clé partagée secrète et le

transmet à un algorithme de chiffrement. Résultat : du texte chiffré illisible. Le texte chiffré est envoyé par un tunnel de réseau privé virtuel

sur Internet. À l’autre extrémité, le texte est réassocié à la même clé partagée secrète et traité par le même algorithme de chiffrement. Le

résultat correspond au document financier original que Jeremy peut désormais lire.

Page 2 :

Le degré de sécurité offert par un algorithme de

chiffrement varie en fonction de la longueur de la clé.

Pour toute longueur de clé donnée, la durée de

traitement de toutes les probabilités de déchiffrement

du texte dépend de la puissance informatique de votre

ordinateur. Ainsi, plus la clé est courte, plus elle est facile

à trouver. Ceci dit, plus elle est courte, plus la

transmission du message est rapide.

Vous trouverez ci-dessous une liste des algorithmes de

chiffrement et des longueurs de clés courants :

• Algorithme Data Encryption Standard (norme de chiffrement DES) - Développée par IBM, la norme de chiffrement DES utilise

une clé de 56 bits. Elle garantit un chiffrement haute performance. DES est un système de chiffrement à clé symétrique. Les clés

symétriques et asymétriques sont expliquées ci-dessous.

• Algorithme DES triple (3DES) - Variante récente de DES pour chiffrer avec une première clé, déchiffrer avec une deuxième clé,

puis chiffrer en définitive avec une troisième clé. 3DES renforce le processus de chiffrement.

• Advanced Encryption Standard (AES) - L’Institut NIST (National Institute of Standards and Technology) a adopté la norme AES

pour remplacer le chiffrement DES existant dans les périphériques cryptographiques. La norme AES renforce la sécurité par

rapport à la norme DES. Elle est plus efficace du point de vue du traitement que 3DES. La norme AES offre trois longueurs de clé :

128, 192 et 256 bits.

• Rivest, Shamir et Adleman (RSA) - Système de chiffrement à clé asymétrique. La longueur des clés utilisées est 512, 768,

1024 bits ou plus.



Chiffrement symétrique

Les algorithmes de chiffrement, tels que DES et 3DES, nécessitent une clé partagée secrète pour procéder aux chiffrements et

déchiffrements. Les deux ordinateurs doivent connaître la clé pour décoder les informations. Dans le cas du chiffrement à clé symétrique,

aussi appelé chiffrement à clé secrète, chaque ordinateur chiffre les informations avant de les envoyer à l’autre ordinateur sur le réseau.

Pour réussir un chiffrement à clé symétrique, il est essentiel de savoir quels ordinateurs communiqueront l’un avec l’autre pour configurer

la même clé sur chacun d’eux.

Par exemple, un expéditeur crée un message codé où chaque lettre est décalée de deux lettres dans l’alphabet. Ainsi, A devient C, B

devient D, et ainsi de suite. Dans cet exemple, le mot SECRET devient UGETGV. L’expéditeur a indiqué au destinataire que la clé secrète est

« décaler de 2 ». À réception du message UGETGV, l’ordinateur du destinataire décode le message en décalant vers l’arrière chaque lettre

de deux rangs, ce qui donne SECRET. Toute autre personne qui voit le message ne voit que le message chiffré, qui ressemble à du charabia

à moins d’en connaître la clé secrète.

La question qui se pose est la suivante : comment les périphériques de chiffrement et de déchiffrement disposent-ils de la même clé

secrète partagée ? Vous pouvez envoyer un courriel, un courrier ou organiser une livraison express en 24 heures pour envoyer des clés

secrètes partagées aux administrateurs des périphériques. Le chiffrement asymétrique est une autre méthode plus facile et sécurisée.

Chiffrement asymétrique

Le chiffrement asymétrique utilise plusieurs clés pour procéder au chiffrement et au déchiffrement. Même si un pirate informatique

connaît une clé, cela n’est pas suffisant pour en déduire la deuxième et ainsi décoder les informations. Une clé chiffre le message alors que

la deuxième le déchiffre. Vous ne pouvez pas procéder au chiffrement et au déchiffrement en utilisant la même clé.

Le chiffrement à clé publique est une variante du chiffrement asymétrique qui associe une clé privée à une clé publique. Le destinataire

distribue une clé publique à tout expéditeur avec lequel s’effectueront les échanges. L’expéditeur utilise une clé privée associée à la clé

publique du destinataire pour chiffrer le message. Ainsi, l’expéditeur doit partager sa clé publique avec le destinataire. Pour déchiffrer un

message, le destinataire utilise la clé publique de l’expéditeur avec sa propre clé privée.

Page 3 :

Les hachages contribuent à l’intégrité des données et à

l’authentification dans la mesure où les personnes non

autorisées ne pourront pas altérer les messages transmis. Un

hachage, également appelé un message digest, est un nombre

généré à partir d’une chaîne de texte. Il est plus petit que le

texte lui-même. Il est généré selon une formule qui ne

permettra sans doute pas à un autre texte de reproduire la

même valeur de hachage.

L’expéditeur d’origine génère un hachage du message et

l’envoie avec le message. Le destinataire déchiffre le message

et le hachage, il produit un autre hachage à partir du message

reçu, et compare les deux hachages. Si les deux sont

identiques, le destinataire peut être certain que l’intégrité du

message n’a pas été affectée.

Dans cette figure, quelqu’un tente d’envoyer à Jeremy un chèque de 100 USD. À l’extrémité distante, Alex Jones (sans doute un criminel)

tente d’encaisser le chèque pour un montant de 1000 USD. Au cours de son parcours sur Internet, le chèque a été altéré. Le destinataire et

le montant en dollars ont été modifiés. Dans ce cas, si un algorithme d’intégrité des données avait été utilisé, les hachages ne

correspondraient pas et la transaction ne serait plus valide.

Les données du réseau privé virtuel sont transportées sur le réseau Internet public. Comme l’illustre cette figure, ces données risquent

d’être interceptées et modifiées. Pour se prémunir contre cette menace, les hôtes peuvent ajouter un hachage au message. Si le hachage

transmis correspond au hachage reçu, l’intégrité du message a été préservée. En revanche, en cas de non-correspondance, le message a

été altéré.



Les réseaux privés virtuels utilisent un code d’authentification des messages pour vérifier l’intégrité et l’authenticité d’un message, sans

avoir recours à des mécanismes supplémentaires. Un code d’authentification des messages avec hachages et clés (HMAC) est un

algorithme d’intégrité des données garantissant l’intégrité du message.

Un code HMAC comprend les deux paramètres suivants : une entrée de message et une clé secrète que seuls l’expéditeur du message et

les destinataires sélectionnés connaissent. L’expéditeur du message utilise une fonction HMAC pour produire une valeur (code

d’authentification du message), créée en condensant la clé secrète et le texte du message. Le code d’authentification du message est

envoyé avec le message. Le destinataire calcule le code d’authentification du message sur le message reçu à l’aide de la même clé et de la

fonction HMAC utilisées par l’expéditeur. Il compare le résultat obtenu avec le code d’authentification du message reçu. Si les deux valeurs

correspondent, le message a été reçu correctement et le destinataire est certain que l’expéditeur est un membre de la communauté

d’utilisateurs autorisés à partager la clé. La puissance cryptographique de la fonction HMAC dépend de la puissance cryptographique de la

fonction de hachage sous-jacente, de la taille et de la qualité de la clé, ainsi que de la taille de la longueur de sortie du hachage en bits.

Il existe deux algorithmes HMAC :

• Message Digest 5 (MD5) - Il utilise une clé secrète partagée de 128 bits. Le message à longueur variable et la clé secrète partagée

de 128 bits sont associés et exécutés par le biais de l’algorithme de hachage HMAC-MD5. La sortie est un hachage de 128 bits. Le

hachage est ajouté au message original et transféré à l’extrémité distante.

• Secure Hash Algorithm 1 (SHA-1) - Il utilise une clé secrète de 160 bits. Le message à longueur variable et la clé secrète partagée

de 160 bits sont associés et exécutés par le biais de l’algorithme de hachage HMAC-SHA-1. La sortie est un hachage de 160 bits.

Le hachage est ajouté au message original et transféré à l’extrémité distante.

Cliquez sur le bouton Authentification VPN dans la figure.

Lorsque vous traitez avec des partenaires commerciaux à longue distance, il est crucial de connaître leur identité, que vous communiquiez

par téléphone, courriel ou télécopie. Il en est de même pour les réseaux privés virtuels. Vous devez authentifier le périphérique à l’autre

extrémité du tunnel du réseau privé virtuel avant de conclure que le chemin de communication est sécurisé. Il existe deux méthodes

d’authentification des homologues :

• Clé pré-partagée (PSK) - Il s’agit d’une clé secrète

partagée entre deux parties à l’aide d’un canal sécurisé.

Les clés PSK utilisent des algorithmes cryptographiques à

clé symétrique. Une clé PSK est entrée manuellement

dans tous les homologues et sert à les authentifier. À

chaque extrémité, la clé PSK est associée à d’autres

informations pour constituer la clé d’authentification.

• Signature RSA - Elle utilise l’échange de certificats

numériques pour authentifier les homologues. Le

périphérique local calcule un hachage et le chiffre avec sa

clé privée. Le hachage chiffré (signature numérique) est

joint au message et transféré à l’extrémité distante. À

l’extrémité distante, le hachage chiffré est déchiffré à

l’aide de la clé publique du périphérique local. Si le

hachage déchiffré correspond au hachage recalculé, la

signature est authentique.

Regardez une démonstration de RSA pour voir un exemple de chiffrement RSA.



6.3.7-Protocole de Sécurité IPsec

IPsec est un ensemble de protocoles pour sécuriser les communications IP et

garantir le chiffrement, l’intégrité et l’authentification. IPsec spécifie les

messages nécessaires pour sécuriser les communications du réseau privé

virtuel tout en se basant sur les algorithmes existants.

Il existe deux protocoles IPsec principaux.

• Authentication Header (AH) - À utiliser si la confidentialité n’est pas

requise ou autorisée. AH assure l’authentification et l’intégrité des

données pour les paquets IP circulant entre deux systèmes. Il vérifie

qu’aucun message transmis du routeur R1 au routeur R2 n’a été

modifié lors du transit. Il vérifie également que les données

proviennent effectivement de R1 ou R2. AH ne garantit pas la

confidentialité (le chiffrement) des données dans les paquets. Si le

protocole AH est utilisé seul, sa protection est faible. C’est pourquoi

il est utilisé avec le protocole ESP pour permettre aux données d’être

chiffrées et pour les sécuriser contre toute altération.

• Encapsulating Security Payload (ESP) - Il assure la confidentialité et l’authentification grâce au chiffrement du paquet IP. Le

chiffrement des paquets IP masque les données et l’identité de leur source et de leur destination. ESP authentifie le paquet IP

interne et l’en-tête ESP. L’authentification permet d’identifier la source des données et de garantir leur intégrité. Bien que les

fonctions de chiffrement et d’authentification soient facultatives dans ESP, vous devez en choisir au moins une.

Cliquez sur le bouton Cadre IPsec dans la figure.

IPsec utilise des algorithmes existants pour implémenter le chiffrement,

l’authentification et les échanges de clés. Vous trouverez ci-dessous la liste des

algorithmes standard qu’utilise IPsec :

• DES - Permet de chiffrer et de déchiffrer les données du paquet.

• 3DES - Offre une puissance de chiffrement importante par rapport au DES

de 56 bits.

• AES - Offre un chiffrement plus puissant, en fonction de la longueur de clé

utilisée, ainsi qu’un débit accéléré.

• MD5 - Permet d’authentifier les données du paquet à l’aide d’une clé

secrète partagée de 128 bits.

• SHA-1 - Permet d’authentifier les données du paquet à l’aide d’une clé

secrète partagée de 160 bits.

• DH - Permet à deux parties d’établir une clé secrète partagée pour le chiffrement et les algorithmes de hachage, par exemple,

DES et MD5, sur un canal de communication non sécurisé.

Cette figure illustre la configuration d’IPsec. IPsec fournit le cadre et l’administrateur choisit les algorithmes pour l’implémentation des

services de sécurité dans ce cadre. Vous devez remplir quatre zones du cadre IPsec.

• Lorsque vous configurez une passerelle IPsec pour mettre en place des services de sécurité, choisissez d’abord un protocole

IPsec. Vous pouvez choisir entre ESP ou ESP avec AH.

• La deuxième zone est un algorithme de chiffrement si IPsec est implémenté avec ESP. Choisissez l’algorithme de chiffrement

adapté au niveau de sécurité souhaité : DES, 3DES ou AES.

• La troisième zone est réservée à l’authentification. Choisissez un algorithme d’authentification pour assurer l’intégrité des

données : MD5 ou SHA.

• La dernière zone est le groupe d’algorithmes DH (Diffie-Hellman). Elle définit le partage des informations sur les clés entre les

homologues. Choisissez le groupe à utiliser : DH1 ou DH2.



6.4-Résumé

Dans ce chapitre, vous avez cerné le rôle croissant des télétravailleurs. Vous pouvez désormais décrire les besoins d’une entreprise pour

fournir les services adaptés aux télétravailleurs. Vous savez quels sont les besoins des télétravailleurs et ce que les entreprises doivent

mettre à leur disposition : une connectivité rentable et fiable. Parmi les diverses méthodes de connexion des télétravailleurs, vous pouvez

désormais décrire comment utiliser les services à large bande, tels que la ligne DSL, le câble et la technologie sans fil. En outre, vous savez

comment optimiser la technologie du réseau privé virtuel pour sécuriser les services des télétravailleurs dans les entreprises. Vous

connaissez notamment l’importance, les avantages, le rôle et l’impact de la technologie du réseau privé virtuel, ainsi que les divers types

d’accès, les composants, la transmission tunnel et le chiffrement.

CCNA Exploration - Commutation de réseau local et … · Ce chapitre décrit le mode de...

Documents

Transcript of CCNA Exploration - Commutation de réseau local et … · Ce chapitre décrit le mode de...