Service Routage et accès distantS'applique à: Windows Server 2008 R2

Le service Routage et accès distant (RRAS : Routing and Remote Access Service) prend en charge le routage réseau IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la connectivité d’utilisateurs distants ou site à site en utilisant des connexions de réseau privé virtuel (VPN) ou d’accès à distance.

Accès à distance

La fonctionnalité d’accès à distance procure des services VPN permettant aux utilisateurs d’accéder en toute sécurité à des réseaux d’entreprise par le biais d’Internet comme s’ils étaient connectés directement. Elle permet également aux travailleurs mobiles ou distants qui utilisent des liaisons de communication d’accès à distance d’accéder aux réseaux d’entreprise.

Routage

RRAS est un routeur logiciel et une plateforme ouverte pour le routage et la mise en réseau. Il fournit des services de routage pouvant être utilisés par les entreprises dans des environnements de réseau local (LAN) et de réseau étendu (WAN) ou sur Internet au moyen de connexions VPN sécurisées. Le routage est utilisé pour les services de routage multi protocole de réseau local à réseau local, réseau local à réseau étendu, VPN, et traduction d’adresses réseau.

1

Vue d’ensemble de RRASLe service Routage et accès distant (RRAS) tire son nom des deux principaux services réseau qu’il fournit.

Routage

Un routeur est un périphérique qui gère le flux de données entre des segments réseau, ou sous-réseaux. Un routeur dirige les paquets entrants et sortants en fonction des informations sur l’état de ses propres interfaces réseau et d’une liste de sources et destinations possibles pour le trafic réseau. En projetant le trafic réseau et les besoins en routage sur la base du nombre et du type de périphériques réseau et d’applications utilisés dans votre environnement, vous êtes à même de prendre des décisions mieux informées concernant l’utilisation éventuelle d’un routeur matériel dédié, d’un routeur logiciel ou d’une combinaison de ces deux solutions. En général, les routeurs matériels dédiés gèrent mieux les exigences de routage plus fortes et les routeurs logiciels (moins coûteux) gèrent des charges de routage plus légères.

Une solution de routage logicielle telle que RRAS dans cette version de Windows peut être idéale sur un petit réseau segmenté avec un trafic relativement faible entre les sous-réseaux. Les environnements réseau d’entreprise qui ont un grand nombre de segments réseau et une large gamme d’impératifs de performances peuvent nécessiter divers routeurs matériels afin de remplir différents rôles sur l’ensemble du réseau.

Accès à distance

En configurant RRAS de façon à agir comme serveur d’accès à distance, vous pouvez connecter des travailleurs distants ou mobiles aux réseaux de votre entreprise. Les utilisateurs distants peuvent travailler comme si leur ordinateur était connecté directement au réseau.

Tous les services généralement accessibles à un utilisateur directement connecté (y compris le partage de fichiers et d’imprimantes, l’accès aux serveurs Web et la messagerie) sont activés au moyen de la connexion d’accès à distance. Par exemple, sur un serveur RRAS, les clients peuvent utiliser l’Explorateur Windows pour établir des connexions à des imprimantes et entre des lecteurs. Les lettres de lecteurs et les noms UNC (Universal Naming Convention) étant totalement pris en charge par l’accès à distance, la plupart des applications commerciales et personnalisées fonctionnent sans modification.

Un serveur RRAS propose deux différents types de connectivité d’accès à distance :

Réseau privé virtuel. Un réseau privé virtuel (VPN) est une connexion point à point sécurisée sur un réseau public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spéciaux, appelés protocoles de tunnel, pour établir une connexion à un port sur un serveur VPN distant. Le serveur VPN accepte la connexion, authentifie l’utilisateur et l’ordinateur se connectant, puis transfère les données entre le client VPN et le réseau de l’entreprise. Comme les données transitent sur un réseau public, vous devez chiffrer les données envoyées sur la connexion pour garantir la confidentialité.

2

Accès réseau à distance. Dans l’accès réseau à distance, un client d’accès à distance établir une connexion téléphonique d’accès à distance à un port physique sur un serveur d’accès à distance au moyen du service d’un fournisseur de télécommunications, tel qu’un téléphone analogique ou RNIS. L’accès réseau à distance sur un téléphone analogique ou RNIS est une connexion physique directe entre le client d’accès réseau à distance et le serveur d’accès réseau à distance. Vous pouvez chiffrer les données envoyées sur la connexion, mais cela n’est pas obligatoire car la ligne téléphonique est généralement considérée comme étant sécurisée.

Références supplémentaires

Scénarios d’accès à distance courants

Scénarios de routage courants Réseau privé virtuel Accès réseau à distance Autorisations pour les utilisateurs de l’accès à distance Attribution d’adresses IP Protocoles d’authentification de l’accès à distance Routage Stratégies réseau

Scénarios d’accès à distance courantsLorsque vous exécutez l’Assistant Installation de RRAS, celui-ci vous invite à choisir le chemin de configuration qui ressemble le plus à la solution d’accès à distance que vous

3

souhaitez déployer. Si aucun des chemins de configuration de l’Assistant ne répond exactement à vos besoins, vous pouvez choisir l’option Configuration personnalisée. Cependant, si vous choisissez cette option, vous devez configurer manuellement tous les éléments de RRAS. Les solutions d’accès à distance les plus courantes incluent les connexions de réseau privé virtuel (VPN, Virtual Private Network), les connexions d’accès à distance et les connexions sécurisées entre deux réseaux privés.

Accès à distance

Lorsque l’accès à distance est activé, RRAS autorise le trafic réseau entrant des clients VPN provenant d’Internet ou des modems connectés au système téléphonique. Le trafic entrant est routé vers le réseau privé. Vous pouvez configurer séparément les types VPN pris en charge, le mode d’authentification des utilisateurs, comment ils sont autorisés à accéder aux serveurs d’accès à distance, et quelle configuration IP reçoit l’ordinateur distant lorsqu’il se connecte.

Traduction d’adresses réseau

4

Lorsque la traduction d’adresses réseau (NAT) est activée, RRAS autorise le trafic réseau sortant provenant des ordinateurs sur le réseau privé. Elle partage la connexion Internet et son adresse IP publique avec les ordinateurs sur le réseau privé par une traduction entre l’adresse publique et les adresses IP et ports utilisés sur le réseau privé.

VPN et NAT

Dans ce scénario, RRAS assure la traduction d’adresses réseau pour le réseau privé et accepte des connexions VPN des clients distants.

Connexion sécurisée entre deux réseaux privés

5

Un serveur RRAS sur le périmètre d’un réseau privé peut se connecter à un serveur distant au moyen d’un tunnel VPN. Les ordinateurs connectés aux réseaux privés derrière les deux serveurs peuvent échanger des données de façon sécurisée sur Internet. La connexion entre les deux serveurs peut être permanente (toujours activée) ou sur demande (connexion à la demande).

6

Scénarios de routage courantsVous pouvez utiliser les routeurs du logiciel RRAS dans de nombreuses topologies et configurations réseau différentes. Cette rubrique décrit trois scénarios de routage typiques.

1) Scénario de routage simple

L’illustration suivante montre une configuration réseau simple avec un serveur RRAS qui connecte deux segments de réseau local (réseaux A et B). Dans cette configuration, aucun protocole de routage n’est nécessaire car le routeur est connecté à tous les réseaux vers lesquels il doit router des paquets. Les routeurs configurent automatiquement les itinéraires vers les réseaux auxquels ils sont directement connectés.

7

2) Scénario à routeurs multiples

L’illustration suivante montre une configuration de routeur plus complexe. Dans cette configuration, on distingue trois réseaux (réseaux A, B et C) et deux routeurs (routeurs 1 et 2). Le routeur 1 se trouve sur les réseaux A et B, et le routeur 2 sur les réseaux B et C. Le routeur 1 doit avertir le routeur 2 que le réseau A est accessible à travers le routeur 1, et le routeur 2 doit avertir le routeur 1 que le réseau C est accessible à travers le routeur 2. Ces informations sont communiquées en utilisant un protocole de routage, telles que le protocole RIP (Routing Information Protocol) utilisé pour IPv4.

Lorsqu’un utilisateur sur le réseau A souhaite communiquer avec un utilisateur sur le réseau C, l’ordinateur de l’utilisateur sur le réseau A transfère le paquet au routeur 1. Le routeur 1 transfère ensuite le paquet au routeur 2. Le routeur 2 transfère ensuite le paquet à l’ordinateur de l’utilisateur sur le réseau C.

Sans protocole de routage, un administrateur de réseau doit entrer des itinéraires statiques dans les tables de routage du routeur 1 et du routeur 2. Les itinéraires statiques ne se redimensionnent pas bien dans de plus grands réseaux ou ne s’adaptent pas à des modifications dans la topologie du réseau.

Remarques Cette version de Windows prend uniquement en charge le routage statique pour IPv6 (Internet Protocol version 6).

3) Scénario de routage avec connexion à la demande

8

L’illustration suivante montre une configuration de routeur qui utilise la connexion à la demande. Les réseaux A et B sont séparés géographiquement et, pour la quantité de trafic transféré entre eux, une liaison étendue louée (WAN) n’est pas économique. Le routeur 1 et le routeur 2 peuvent se connecter sur une ligne téléphonique analogique au moyen de modems (ou autre type de connectivité, tel que RNIS) aux deux extrémités. Lorsqu’un ordinateur sur le réseau A initie une communication avec un ordinateur sur le réseau B, le routeur 1 établit une connexion avec le routeur 2. La connexion est maintenue tant que des paquets sont échangés. Lorsque la connexion est inactive, le routeur 1 se déconnecte pour réduire les frais de connexion.

Réseau privé virtuel

9

Un réseau privé virtuel (VPN) est une connexion point à point sur un réseau privé ou public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spéciaux qualifiés de protocoles de tunnel qui établissent un canal sécurisé entre deux ordinateurs par lequel ils peuvent envoyer des données. Pour les deux ordinateurs participants, il existe une liaison point à point dédiée entre eux, alors qu’en réalité les données sont routées par Internet comme tout autre paquet. Dans un déploiement VPN classique, un client initie une connexion point à point à un serveur d’accès à distance par le biais d’Internet. Le serveur d’accès à distance répond à l’appel, authentifie l’appelant et transfère les données entre le client VPN et le réseau privé de l’organisation.

Pour émuler une liaison point à point, les données sont encapsulées avec un en-tête. L’en-tête fournit des informations de routage qui permettent aux données de traverser le réseau partagé ou public afin d’atteindre leur point de terminaison. Pour émuler une liaison privée, les données envoyées sont chiffrées par souci de confidentialité. Pour plus d’informations sur les protocoles de tunnel pris en charge dans cette version de Windows, voir pages 15/18

Pour les conditions d’installation, voir pages 13/14

Connexion VPN

Il existe deux types de connexions VPN :

10

VPN d’accès à distance

Une connexion d’accès à distance VPN permet à un utilisateur travaillant à domicile ou en déplacement d’accéder à un serveur sur un réseau privé à l’aide de l’infrastructure fournie par un réseau public, tel qu’Internet. Du point de vue de l’utilisateur, le VPN est une connexion point à point entre l’ordinateur client et le serveur d’une organisation. L’infrastructure du réseau partagé ou public n’a aucune importance car elle apparaît logiquement comme si les données étaient envoyées sur une liaison dédiée privée.

VPN de site à site

Une connexion VPN de site à site (souvent qualifiée de connexion VPN de routeur à routeur) permet à une organisation d’avoir des connexions routées entre différentes succursales ou avec d’autres organisations sur un réseau public tout en aidant à maintenir la sécurité des communications. Lorsque des réseaux sont connectés par le biais d’Internet, comme illustré sur la figure suivante, un routeur VPN transfère des paquets à un autre routeur VPN par le biais d’une connexion VPN. Pour les routeurs, la connexion VPN apparaît logiquement comme une liaison de couche dédiée de liaison de données.

Une connexion VPN de site à site connecte deux réseaux privés. Le serveur VPN fournit une connexion routée au réseau auquel il est connecté. Le routeur appelant s’authentifie auprès du routeur répondant et, pour l’authentification mutuelle, le routeur répondant s’authentifie auprès du routeur appelant. Dans une connexion VPN de site à site, les paquets envoyés de l’un ou l’autre routeur par le biais d’une connexion VPN ne proviennent généralement pas des routeurs.

VPN reliant deux sites distants par le biais d’Internet

Propriétés des connexions VPN

Encapsulation. Les données privées sont encapsulées avec un en-tête qui contient des informations de routage permettant aux données de traverser le réseau de transit. Authentification. L’authentification des connexions VPN prend trois formes différentes :

1. Authentification de niveau utilisateur au moyen de l’authentification PPP (Point-to-Point Protocol). Pour établir la connexion VPN, le serveur VPN authentifie le client VPN qui tente d’établir la connexion à l’aide d’une méthode d’authentification de niveau utilisateur PPP et vérifie que le client

11

VPN dispose de l’autorisation appropriée. Si l’authentification mutuelle est utilisée, le client VPN authentifie également le serveur VPN, ce qui procure une protection contre les ordinateurs se faisant passer pour des serveurs VPN.

2. Authentification de niveau ordinateur à l’aide du protocole IKE (Internet Key Exchange). Pour établir une association de sécurité (SA) IPsec (Internet Protocol security), le client VPN et le serveur VPN utilisent le protocole IKE pour échanger des certificats d’ordinateurs ou une clé prépartagée. Dans les deux cas, le client et le serveur VPN s’authentifient l’un l’autre au niveau ordinateur. L’authentification par certificat d’ordinateur est une authentification beaucoup plus forte et est donc vivement recommandée. L’authentification de niveau ordinateur est utilisé par des connexions L2TP (Layer Two Tunneling Protocol)/IPsec ou IKE version 2.

3. Authentification de l’origine des données et intégrité des données. Pour vérifier que les données envoyées sur la connexion VPN proviennent bien de l’autre extrémité de la connexion et n’ont pas été modifiées en transit, les données contiennent une somme de contrôle de chiffrement basée sur une clé de chiffrement connue uniquement de l’expéditeur et du destinataire. L’authentification de l’origine des données et l’intégrité des données sont disponibles pour les connexions L2TP/IPsec et IKE version 2.

Chiffrement des données. Pour assurer la confidentialité des données lorsqu’elles traversent le réseau partagé ou public de transit, les données sont chiffrées par l’expéditeur et déchiffrées par le destinataire. Le processus de chiffrement et de déchiffrement dépend de l’utilisation d’une clé de chiffrement commune par l’expéditeur et le destinataire.

Les paquets interceptés envoyés sur la connexion VPN sur le réseau de transit sont incompréhensibles à quiconque ne possède pas la clé de chiffrement commune. La longue de la clé de chiffrement est un paramètre de sécurité important. Vous pouvez utiliser des techniques de calcul pour déterminer la clé de chiffrement. Toutefois, de telles techniques requièrent davantage de puissance de traitement et de temps de calcul à mesure que les clés de chiffrement augmentent en taille. Il est par conséquent important d’utiliser la taille de clé la plus élevée possible afin de garantir la confidentialité des données.

Conditions d’installation de RRAS en tant que serveur VPNVous devez effectuer les interventions suivantes avant de configurer un serveur RRAS devant agir comme serveur VPN d’accès à distance.

12

Identifiez l’interface réseau qui assure la connexion Internet et celle qui assure la connexion au réseau privé.

Durant la configuration, vous serez invité à déterminer l’interface réseau qui établit la connexion Internet. Si vous spécifiez une interface incorrecte, le serveur VPN d’accès à distance ne fonctionnera pas correctement.

Déterminez si les clients distants recevront leurs adresses IP d’un serveur DHCP du réseau privé ou directement du serveur VPN d’accès à distance que vous configurez.

Si votre réseau privé comporte un serveur DHCP, le serveur VPN d’accès à distance peut prendre en bail 10 adresses à la fois à partir du serveur DHCP et affecter ces adresses à des clients distants. Si vous ne disposez pas d’un serveur DHCP sur le réseau privé, le serveur VPN d’accès à distance peut affecter des adresses IP à des clients distants à partir d’un pool d’adresses prédéfinies. Vous devez configurer cette plage en fonction de votre infrastructure réseau. Pour plus d’informations, voir RRAS et DHCP (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140605).

Si vous utilisez DHCP, déterminez si des clients VPN peuvent envoyer des messages DHCP au serveur DHCP sur votre réseau privé.

Si un serveur DHCP se trouve sur le même sous-réseau que le serveur VPN d’accès à distance, les messages DHCP de clients VPN pourront atteindre le serveur DHCP une fois la connexion VPN établie. Si un serveur DHCP se trouve sur un autre sous-réseau que le serveur VPN d’accès à distance, assurez-vous que le routeur situé entre ces deux sous-réseaux est en mesure de relayer les messages DHCP entre les clients et le serveur.

Déterminez si les demandes de connexion émises par les clients VPN seront authentifiées par un serveur RADIUS (Remote Authentication Dial-In User Service) ou par le serveur VPN d’accès à distance que vous configurez.

L’ajout d’un serveur RADIUS se révèle utile si vous envisagez d’installer plusieurs serveurs VPN d’accès à distance, points d’accès sans fil ou autres clients RADIUS dans votre réseau privé. Pour plus d’informations, voir Serveur NPS (Network Policy Server) (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=139764).

Vérifiez que tous les utilisateurs disposent d’un compte d’utilisateur configuré pour permettre l’accès à distance.

Pour qu’un utilisateur puisse se connecter au réseau, il doit posséder un compte d’utilisateur sur le serveur VPN d’accès à distance ou dans Active Directory® Domain Services. Chaque compte d’utilisateur présent sur un serveur autonome ou sur un contrôleur de domaine comporte des propriétés qui déterminent si cet utilisateur peut se connecter. Sur un serveur autonome, vous pouvez définir ces propriétés en cliquant avec le bouton droit sur le compte d’utilisateur dans Utilisateurs et groupes locaux puis en cliquant sur Propriétés. Sur un contrôleur de domaine, cliquez avec le bouton droit sur le compte d’utilisateur dans la console Utilisateurs et ordinateurs Active Directory, puis cliquez sur Propriétés.

13

Protocoles de tunneling VPNLe tunneling autorise l’encapsulation d’un paquet d’un type de protocole dans le datagramme d’un protocole différent. Par exemple, VPN utilise le protocole PPTP pour encapsuler les paquets IP sur un réseau public tel qu’Internet. Une solution VPN basée sur le protocole PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol ou SSTP (Secure Socket Tunneling Protocol) peut être configurée.

14

Les protocoles PPTP, L2TP et SSTP dépendent en grande partie des fonctionnalités spécifiées à l’origine pour le protocole PPP (Point-to-Point Protocol). Ce dernier a été conçu pour envoyer des données sur des connexions d’accès à distance ou des connexions point à point dédiées. Pour le protocole IP, le protocole PPP encapsule les paquets IP dans des trames PPP, puis transmet les paquets PPP encapsulés sur une liaison point à point. Le protocole PPP a été défini à l’origine comme protocole à utiliser entre un client d’accès à distance et un serveur d’accès à distance.

PPTP

Le protocole PPP autorise le chiffrement du trafic multi protocole, puis son encapsulation dans un en-tête IP devant être envoyé sur un réseau IP ou un réseau public IP tel qu’Internet. Le protocole PPTP peut être utilisé pour les connexions d’accès à distance et VPN de site à site. Lors de l’utilisation d’Internet en tant que réseau public pour VPN, le serveur PPTP est un serveur VPN compatible PPTP avec une interface sur Internet et une autre interface sur l’intranet.

Encapsulation

Le protocole PPTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le réseau. Il utilise une connexion TCP pour la gestion de tunnel et une version modifiée de GRE (Generic Routing Encapsulation) pour encapsuler les trames PPP pour les données tunnelées. Les charges utiles des trames PPP encapsulées peuvent être chiffrées, compressées ou les deux. La figure suivante illustre la structure d’un paquet PPTP contenant un datagramme IP.

Structure d’un paquet PPTP contenant un datagramme IP

Chiffrement

La trame PPP est chiffrée avec MPPE (Microsoft Point-to-Point Encryption) au moyen de clés de chiffrement générées à partir du processus d’authentification MS-CHAP v2 ou EAP-TLS. Les clients de réseau privé virtuel doivent utiliser le protocole d’authentification MS-CHAP v2 ou EAP-TLS pour que les charges utiles des trames PPP soient chiffrées. Le protocole PPTP tire parti du chiffrement PPP sous-jacent et encapsule une trame PPP précédemment chiffrée.

L2TP

Le protocole L2TP autorise le chiffrement du trafic multiprotocole, puis son envoi sur tout support prenant en charge la remise de datagramme point à point, tel qu’IP ou ATM (Asynchronous Transfer Mode). Le protocole L2TP est une combinaison de PPTP et de L2F

15

(Layer 2 Forwarding), une technologie développée par Cisco Systems, Inc. L2TP représente les meilleures fonctionnalités de PPTP et L2F.

Contrairement à PPTP, l’implémentation Microsoft de L2TP n’utilise pas MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP repose sur la sécurité IPsec (Internet Protocol security) en mode Transport pour les services de chiffrement. La combinaison de L2TP et IPsec porte le nom de L2TP/IPsec.

L2TP et IPsec doivent tous deux être pris en charge par le client VPN et le serveur VPN. La prise en charge des clients pour L2TP est intégrée aux clients d’accès à distance Windows Vista® et Windows XP et la prise en charge de serveur VPN pour L2TP est intégrée aux membres de la famille Windows Server® 2008 et Windows Server 2003.

L2TP est installé avec le protocole TCP/IP.

Encapsulation

L’encapsulation des paquets L2TP/IPsec est constituée de deux couches :

Première couche : encapsulation L2TP

Une trame PPP (un datagramme IP) est enveloppée dans un en-tête L2TP et un en-tête UDP.

Structure d’un paquet L2TP contenant un datagramme IP

Deuxième couche : encapsulation IPsec

Le message L2TP résultant est ensuite enveloppé avec un en-tête et un code de fin ESP (Encapsulating Security Payload) IPsec, un code de fin d’authentification IPsec qui fournit l’intégrité de message et l’authentification, et un en-tête IP final. Dans l’en-tête IP se trouvent les adresses IP source et de destination qui correspondent au client VPN et au serveur VPN.

Chiffrement du trafic L2TP avec ESP IPsec

16

Chiffrement

Le message L2TP est chiffré avec DES (Data Encryption Standard) ou 3DES (Triple DES) au moyen de clés de chiffrement générées à partir du processus de négociation IKE (Internet Key Exchange).

SSTP

SSTP (Secure Socket Tunneling Protocol) est un nouveau protocole de tunneling qui utilise le protocole HTTPS sur le port TCP 443 pour faire passer le trafic à travers les pare-feu et les proxys Web qui peuvent bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP fournit un mécanisme permettant d’encapsuler le trafic PPP sur le canal SSL du protocole HTTPS. L’utilisation de PPP permet la prise en charge de méthodes d’authentification fermes, telles qu’EAP-TLS. Le protocole SSL procure une sécurité de niveau transport avec une négociation de clés, un chiffrement et une vérification de l’intégrité améliorés.

Lorsqu’un client tente d’établir une connexion VPN SSTP, le protocole SSTP établit d’abord une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets de protocole transitent en tant que charge utile de données.

Encapsulation

Le protocole SSTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le réseau. SSTP utilise une connexion TCP (sur le port 443) pour la gestion de tunnel, ainsi que des trames de données PPP.

Chiffrement

Le message SSTP est chiffré avec le canal SSL du protocole HTTPS.

Choix parmi les protocoles de tunneling

Lorsque vous choisissez parmi des solutions VPN d’accès à distance PPTP, L2TP/IPsec et SSTP, considérez les points suivants :

Le protocole PPTP peut être utilisé avec une large gamme de clients Microsoft, y compris Microsoft Windows 2000, Windows XP, Windows Vista et Windows

17

Server 2008. Contrairement à L2TP/IPsec, PPTP ne nécessite pas l’utilisation d’une infrastructure à clé publique (PKI). Grâce au chiffrement, les connexions VPN PPTP assure la confidentialité des données (les paquets capturés ne peuvent pas être interprétés sans la clé de chiffrement). Les connexions VPN PPTP, en revanche, n’assurent pas l’intégrité des données (preuve que les données n’ont pas été modifiées en transit), ni l’authentification de l’origine des données (preuve que les données ont été envoyées par l’utilisateur autorisé).

Le protocole L2TP peut être utilisé uniquement avec les ordinateurs Windows 2000, Windows XP ou Windows Vista. L2TP prend en charge les certificats d’ordinateurs ou une clé prépartagée en guise de méthode d’authentification pour IPsec. L’authentification de certificat d’ordinateur, la méthode d’authentification recommandée, requiert une infrastructure PKI afin de délivrer des certificats à l’ordinateur serveur VPN et à tous les ordinateurs clients VPN. Grâce à IPsec, les connexions VPN L2TP/IPsec assurent la confidentialité, l’intégrité et l’authentification des données.

Contrairement à PPTP et SSTP, L2TP/IPsec autorise l’authentification d’ordinateur au niveau de la couche IPsec et l’authentification utilisateur au niveau de la couche PPP.

Le protocole SSTP peut être utilisé uniquement avec les ordinateurs clients exécutant Windows Vista Service Pack 1 (SP1) ou Windows Server 2008. Grâce à SSL, les connexions VPN SSTP assurent la confidentialité, l’intégrité et l’authentification des données.

Les trois types de tunnels transportent les trames PPP par-dessus la pile de protocoles réseau. Par conséquent, les fonctionnalités communes de PPP, telles que les modèles d’authentification, la négociation IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la protection d’accès réseau (NAP) demeurent identiques pour les trois types de tunnels.

Accès réseau à distance

18

L’accès réseau à distance est une technologie d’accès à distance disponible dans le cadre du service Routage et accès distant (RRAS).

L’accès à distance fournit une solution simple pour les entreprises qui souhaitent permettre aux employés d’accéder à distance à leurs comptes de messagerie électronique d’entreprise et de partager des fichiers depuis leur domicile ou autres emplacements en dehors du réseau d’entreprise. Avec l’accès à distance, un client d’accès à distance peut utiliser l’infrastructure de réseau étendu (WAN) pour se connecter à un serveur d’accès à distance. Un client d’accès à distance utilise le système téléphonique pour créer un circuit physique temporaire ou un circuit virtuel à un port sur un serveur d’accès à distance. Une fois le circuit physique ou virtuel créé, le reste des paramètres de connexion peut être négocié. L’accès réseau à distance prend en charge le routage de connexion à la demande pour favoriser la réduction des coûts téléphoniques.

Composants d’une connexion d’accès réseau à distance

Une connexion d’accès réseau à distance est constituée des composants suivants :

Client d’accès à distance

Les clients d’accès à distance utilisant Windows, UNIX et Macintosh peuvent se connecter à un serveur d’accès à distance RRAS.

Serveur d’accès à distance

Le serveur d’accès à distance RRAS accepte les connexions d’accès réseau à distance et transfère les paquets entre les clients d’accès à distance et le réseau auquel le serveur RRAS est connecté.

Équipement d’accès réseau à distance et infrastructure de réseau étendu

La connexion physique ou logique entre le serveur d’accès à distance et le client d’accès à distance est facilitée par l’équipement d’accès réseau à distance installé sur le client d’accès à distance, le serveur d’accès à distance et l’infrastructure de réseau étendu. La nature de l’équipement d’accès réseau à distance et de l’infrastructure de réseau étendu varie selon le type de connexion. Les sections suivantes décrivent les méthodes les plus courantes d’accès réseau à distance :

19

Réseau téléphonique public commuté (PSTN)

Le système Réseau téléphonique public commuté, également appelé POTS (Plain Old Telephone Service) ou PSTN (Public Switched Telephone Network) est le système téléphonique analogique conçu pour transporter les fréquences minimales requises pour distinguer les voix humaines.

L’équipement d’accès réseau à distance est composé d’un modem analogique sur le client d’accès à distance et d’au moins un modem analogique sur le serveur d’accès à distance. Pour les grandes organisations, le serveur d’accès à distance est attaché à une banque de modems contenant jusqu’à plusieurs centaines de modems. Le système PSTN n’ayant pas été conçu pour la transmission de données, sa vitesse de transmission est limitée par rapport à d’autres méthodes de connexion.

Connexion PSTN standard

Liaisons numériques V.90

La vitesse de transmisson maximale du système PSTN dépend de la plage de fréquences passées par les commutateurs PSTN et du rapport signal-bruit de la connexion. Le système téléphonique analogique utilisé de nos jours est analogique uniquement sur la boucle locale, l’ensemble de câbles qui connectent le client au commutateur PSTN central. Après avoir atteint le commutateur PSTN, le signal analogique est converti en un signal numérique.

Lorsqu’un serveur RRAS est connecté à un central par le biais d’un commutateur numérique basé sur T-Carrier ou RNIS plutôt qu’un commutateur PSTN analogique, le rapport signal/bruit est plus élevé en raison du plus faible nombre de conversions numériques à analogiques et, par conséquent, d’un taux d’échantillonnage plus élevé.

Avec cette technologique, nommée V.90, les clients d’accès à distance peuvent envoyer des données à 33,6 kilobits par seconde (Kbits/s) et recevoir des données à 56 Kbits/s. Aux États-Unis, la vitesse de transmission maximale en réception est de 53 Kbps à cause des réglementations relatives à la puissance imposées par la FCC (Federal Communications Commission).

Pour obtenir des vitesses V.90 :

Le client d’accès à distance doit utiliser un modem V.90.

20

Le serveur d’accès à distance doit utiliser un commutateur numérique V.90 et doit être connecté au réseau PSTN au moyen d’une liaison numérique, telle que T-Carrier ou RNIS.

Il ne peut pas y avoir de conversions analogiques/numériques dans le chemin entre le serveur d’accès à distance et le client d’accès à distance.

Connexion PSTN avec V.90

21

Autorisations pour les utilisateurs de l’accès à distanceAprès l’installation du service Routage et accès distant (RRAS), vous devez spécifier les utilisateurs qui sont autorisés à se connecter au serveur RRAS. L’autorisation RRAS est déterminée par les propriétés d’accès distant sur le compte d’utilisateur, les stratégies réseau, ou les deux.

Il n’est pas nécessaire de créer de comptes d’utilisateurs simplement pour les utilisateurs d’accès à distance. Les serveurs RRAS peuvent utiliser des comptes d’utilisateurs existants dans les bases de données de comptes d’utilisateurs. Dans Utilisateurs et groupes locaux et Utilisateurs et ordinateurs Active Directory, les comptes d’utilisateurs comportent un onglet Appel entrant dans lequel vous pouvez configurer les autorisations d’accès distant. Pour un grand nombre d’utilisateurs, nous vous recommandons de configurer les stratégies réseau sur un serveur exécutant NPS (Network Policy Server).

Sécurité avant la connexion

Les étapes suivantes décrivent ce qui se produit lors d’une tentative de connexion d’un client d’accès à distance à un serveur RRAS configuré pour utiliser l’authentification Windows :

1. Un client d’accès à distance tente de se connecter à un serveur RRAS.

2. Le serveur envoie un défi au client.3. Le client envoie au serveur une réponse chiffrée composée d’un nom d’utilisateur,

d’un nom de domaine et d’un mot de passe.4. Le serveur compare la réponse au contenu de la base de données de comptes

d’utilisateurs.5. Si le compte est valide et que les informations d’authentification sont correctes, le

serveur utilise les propriétés d’appel entrant du compte d’utilisateur et les stratégies réseau pour autoriser la connexion.

S’il s’agit d’une connexion d’accès à distance et si le rappel est activé, le serveur rompt la connexion, rappelle le client et continue le processus de négociation de connexion.

Remarques Les étapes 2 et 3 supposent que le client d’accès à distance et le serveur RRAS utilisent le protocole d’authentification MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) ou CHAP (Challenge Handshake Authentication Protocol). L’envoi d’informations d’identification du client varie pour d’autres protocoles d’authentification. Si le serveur RRAS est membre d’un domaine et que la réponse de l’utilisateur ne contient pas de nom de domaine, le nom de domaine du serveur RRAS est utilisé par défaut. Si vous souhaitez utiliser un nom de domaine différent de celui du serveur RRAS, sur le client d’accès à distance, affectez à la valeur de Registre suivante le nom du domaine que vous souhaitez utiliser : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain

22

Attention Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, il est conseillé de sauvegarder toutes les données importantes stockées sur l’ordinateur.

Sécurité après la connexion

Les informations d’identification utilisées pour l’accès à distance ne font que procurer un canal de communication vers le réseau cible. Le client ne se connecte pas au réseau suite à l’établissement d’une connexion d’accès à distance. Chaque fois que le client tente d’accéder à une ressource réseau, il lui est demandé de fournir des informations d’identification. S’il ne répond pas au défi avec de bonnes informations d’identification, la tentative d’accès échoue. Windows ajoute une fonctionnalité afin de simplifier l’accès à distance. Après une connexion réussie, les clients d’accès à distance qui exécutent Windows Vista®, Windows® 7, Windows Server® 2008 et Windows Server® 2008 R2 mettent en cache ces informations d’identification en tant qu’informations d’identification par défaut pour toute la durée de la connexion d’accès à distance. Lorsqu’une ressource réseau envoie un défi au client d’accès à distance, celui-ci fournit les informations d’identification mises en cache sans qu’il soit nécessaire à l’utilisateur de les entrer de nouveau.

23

Attribution d’adresses IPLorsqu’un client d’accès à distance initie une connexion au serveur RRAS, il crée une interface logique temporaire (également appelée interface virtuelle ou carte réseau virtuelle) et demande que le serveur RRAS affecte une adresse IP à cette interface logique. Les adresses IPV6 (Internet Protocol version 6) et IPv4 (Internet Protocol version 4) sont prises en charge. Pour plus d’informations, voir Adressage IPv6 (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140606) et Adressage IPv4 (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140607).

L’affectation d’adresses IP peut avoir lieu d’une des manières suivantes :

À partir d’un serveur DHCP

Le serveur RRAS obtient les adresses IP à affecter à un client distant à partir d’un serveur DHCP sur l’intranet. Il s’agit de la méthode préférée pour l’affectation d’adresses IP. Le serveur RRAS se comporte comme un client DHCP pour le serveur DHCP et obtient 10 adresses IP à la fois. À mesure que les clients d’accès à distance se connectent au serveur RRAS, les adresses IP sont affectées aux clients à l’aide du protocole IPCP (Internet Protocol Control Protocol). IPCP a le même rôle sur une liaison PPP que le protocole DHCP sur un réseaux Ethernet.

DHCP peut être utilisé pour affecter des adresses IPv6 et IPv4.

Si un serveur DHCP ne peut pas être contacté, le serveur RRAS affecte automatiquement des adresses IPv4 à partir de la plage APIPA (Automatic Private Internet Protocol Addressing) 168.254.0.1 à 169.254.255.254. Si un serveur DHCP ne peut pas être contacté pour des adresses IPv6, l’affectation de préfixes IPv6 configurée sur le serveur RRAS est utilisée par le client avec un ID d’interface généré localement pour créer une adresse IPv6 routable.

À partir d’une plage d’adresses configurée par un serveur

Le serveur RRAS obtient l’adresse IPv4 à partir d’un pool statique d’adresses configuré sur le serveur RRAS. Si vous configurez un pool d’adresses statiques, n’utilisez pas d’adresses IP qui sont déjà affectées à des ordinateurs ou qui sont dans une plage que votre serveur DHCP pourrait affecter à un autre ordinateur. Le pool peut être composé de plages d’adresses qui constituent un sous-ensemble d’adresses du réseau IP auquel le serveur est connecté ou un sous-ensemble distinct. Si les plages d’adresses du pool d’adresses IP statiques représentent un sous-ensemble différent, assurez-vous qu’il existe des itinéraires vers les plages d’adresses sur les routeurs de votre intranet, de sorte que le trafic vers l’interface logique d’un client distant soit transféré vers le serveur d’accès à distance.

Pour IPv6, seul le préfixe est affecté. L’ID d’interface est généré automatiquement par le client, qui utilise ensuite la découverte du voisinage IPv6 pour garantir l’unicité.

24

À partir d’une adresse statique spécifiée dans le compte d’utilisateur

Vous pouvez configurer une adresse IP statique pour un client sélectionné sous l’onglet Appel entrant du compte d’utilisateur pour le client distant ou dans une stratégie réseau. Lorsqu’un client distant initie une connexion, crée une interface logique temporaire et demande à ce que le serveur d’accès à distance affecte une adresse IP à cette interface logique, le serveur d’accès à distance affecte les adresses IPv4 et IPv6 spécifiées dans le compte d’utilisateur du client distant. Cette méthode est idéale pour un petit nombre d’utilisateurs distants.

25

Protocoles d’authentification de l’accès à distanceL’accès à distance dans cette version de Windows prend en charge les protocoles d’authentification d’accès à distance répertoriés dans le tableau suivant. Ils sont répertoriés dans un ordre de sécurité décroissant. Nous vous recommandons d’utiliser les protocoles EAPO (Extensible Authentication Protocol) et MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2), et d’éviter l’utilisation des protocoles CHAP (Challenge Handshake Authentication Protocol) et PAP (Password Authentication Protocol).

 Protocole Description Niveau de sécurité

EAP

Autorise l’authentification arbitraire d’une connexion d’accès à distance grâce à l’utilisation de modèles d’authentification appelés types EAP.

EAP procure la sécurité la plus élevée grâce à la plus grande flexibilité dans les variantes d’authentification. Pour plus d’informations, voir EAP (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Prend en charge l’authentification mutuelle bidirectionnelle. Le client d’accès à distance reçoit une vérification indiquant que le serveur d’accès à distance qu’il appelle a accès au mot de passe de l’utilisateur.

MS-CHAP v2 fournit une sécurité plus forte que CHAP. Pour plus d’informations, voir MS-CHAP v2 (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Utilise le schéma de hachage MD5 (Message Digest 5) pour chiffrer la réponse.

CHAP est une amélioration par rapport au protocole PAP, dans la mesure où le mot de passe n’est pas envoyé sur la liaison PPP. CHAP requiert une version en texte clair du mot de passe afin de valider la réponse à la stimulation. CHAP n’assure aucune protection contre l’emprunt d’identité de serveur distant. Pour plus d’informations, voir CHAP (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140610).

PAP Utilise des mots de passe en texte clair. Généralement utilisé si le client d’accès à distance et le serveur

PAP est le protocole d’authentification le moins sûr. Il n’assure aucune protection contre les attaques par relecture, l’emprunt d’identité de client distant ou l’emprunt d’identité de serveur distant. Pour plus d’informations, voir PAP (éventuellement en anglais)

26

d’accès à distance ne peuvent pas négocier de forme de validation plus sécurisée.

(http://go.microsoft.com/fwlink/?linkid=140611).

Accès non authentifié

RRAS prend également en charge l’accès non authentifié, ce qui signifie qu’aucune information d’identification utilisateur (nom d’utilisateur et mot de passe) n’est requise. Il existe des situations dans lesquelles l’accès non authentifié est utile. Pour plus d’informations, voir Accès non authentifié (éventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=73649).

Sécurité Remarques Lorsque vous activez l’accès non authentifié, les utilisateurs d’accès à distance sont connectés sans envoyer aucune information d’identification. Un client d’accès à distance non authentifié ne négocie pas l’utilisation d’un protocole d’authentification commun durant le processus d’établissement de connexion et n’envoie pas de nom d’utilisateur ou de mot de passe. L’accès non authentifié avec les clients d’accès à distance peut avoir lieu lorsque les protocoles d’authentification configurés par le client d’accès à distance ne correspondent pas à ceux configurés sur le serveur d’accès à distance. Dans ce cas, l’utilisation d’un protocole d’authentification commun n’est pas négociée et le client d’accès à distance n’envoie ni nom d’utilisateur ni mot de passe.

27

RoutageLe routage est le processus de réception d’un paquet réseau du réseau connecté à une interface et son transfert au réseau connecté à une autre interface.

1. Routage IPv4 (éventuellement en anglais) pages 28 à 43 (http://go.microsoft.com/fwlink/?linkid=140614)

2. Routage IPv6 (éventuellement en anglais) pages 44 à 45 (http://go.microsoft.com/fwlink/?linkid=140615)

3. Routage statique (éventuellement en anglais) pages 46 à 47 (http://go.microsoft.com/fwlink/?linkid=140617)

4. Traduction d’adresses réseau (éventuellement en anglais) pages 48 à 55 (http://go.microsoft.com/fwlink/?linkid=140619)

5. Routage de connexion à la demande (éventuellement en anglais) pages 56 à 63 (http://go.microsoft.com/fwlink/?linkid=140603)

Qu’est-ce que le routage de monodiffusion IPv4 ?Le routage de monodiffusion consiste à transférer le trafic destiné à un emplacement unique sur un réseau à partir d’un hôte source vers un hôte de destination au moyen de routeurs.

Aujourd’hui, la plupart du trafic réseau mondial s’effectue par le biais du protocole IPv4 (Internet Protocol version 4) et la plupart du trafic initié par les utilisateurs sur les réseaux IPv4 est un trafic de monodiffusion. Le routage IP de monodiffusion a lieu sur tous les réseaux IP connectés par des routeurs, y compris :

Un intranet IP non connecté à Internet

Internet Les intranets connectés à Internet ou à d’autres intranets par le biais d’Internet

Les systèmes d’exploitation les plus répandus pour lesquels TCP/IP est le protocole réseau principal sont Windows et UNIX.

Tout réseau Windows prend en charge le routage IP de monodiffusion. Cela comprend les réseaux qui utilisent uniquement des routeurs matériels, les réseaux qui utilisent des routeurs logiciels tels que le service Routage et accès à distance inclus dans Windows Server® 2008 ou les réseaux qui utilisent une combinaison de routeurs matériels et logiciels.

28

Fonctionnement du routage de monodiffusion IPv4

Composants réseau du routage IPv4 de monodiffusion

Le routage IP de monodiffusion est le processus de transfert de données sous la forme de paquets IP de monodiffusion sur un réseau IP à partir d’un nœud source unique (ordinateur ou autre périphérique réseau) vers un nœud de destination unique. Un routeur IP est un nœud qui transfère des paquets IP entre des interfaces (qui peuvent être des cartes réseau physiques ou des interfaces logiques telles que des tunnels) en fonction des informations stockées dans une base de données appelée table de routage.

La figure suivante illustre un réseau IP simple dans lequel a lieu le routage IP de monodiffusion.

Le tableau suivant décrit chacun des composants de routage, tels que définis par l’International Organization for Standardization (ISO), illustrés sur la figure.

 Composant

réseau Description

Système final

Périphérique réseau qui ne peut pas transférer de paquets IP. Les systèmes finaux sont également appelés hôtes. Un ordinateur qui ne joue pas le rôle de routeur est un exemple de système final. (Collectivement, les hôtes et les routeurs portent le nom de nœuds.)

Système intermédiaire

Périphérique réseau qui peut transférer des paquets IP qui ne lui sont pas adressés. Les ponts, les commutateurs et les routeurs sont des exemples de systèmes intermédiaires.

RouteurSystème intermédiaire utilisé pour se connecter à des segments réseau (sous-réseaux) en fonction d’un protocole de couche réseau commun tel qu’IP. Sur la figure précédente, le système intermédiaire est un routeur. Les routeurs incluent les catégories suivantes :

Routeurs matériels. Périphérique qui assure le routage en tant que fonction dédiée et conçu et optimisé spécifiquement pour le routage. Par exemple, les routeurs fabriqués par Cisco Systems, Inc. sont

29

largement déployés dans les réseaux IP.

Routeurs logiciels. Ordinateur sur lequel le routage ne constitue que l’un des nombreux processus exécutés. Par exemple, un ordinateur exécutant Windows Server® 2008 avec le service Routage et accès à distance activé est un routeur logiciel.

Un routeur peut être configuré de façon à effectuer uniquement le routage statique, uniquement le routage dynamique ou, plus généralement, principalement le routage dynamique complété par certains itinéraires statiques configurés manuellement.

Réseau

Partie de l’infrastructure réseau (répéteurs, concentrateurs, ponts ou commutateurs de couche 2) adjacente à un système intermédiaire et dont les ordinateurs et autres périphériques réseau partagent une adresse réseau commune appelée ID réseau. Également appelé segment réseau ou sous-réseau.

Lorsqu’un nœud sur un réseau IP envoie un paquet IP de monodiffusion à un nœud sur un autre réseau, il transfère en général d’abord le paquet à un routeur. Celui-ci examine le paquet et utilise l’adresse réseau de destination contenue dans l’en-tête de paquet pour déterminer laquelle des interfaces du routeur utiliser pour transférer le paquet jusqu’à sa destination.

L’en-tête de couche réseau de tout paquet IPv4 envoyé à partir d’un nœud source vers un nœud de destination sur un réseau IPv4 inclut les éléments suivants :

Une adresse IPv4 source, qui contient un ID réseau source et un ID d’hôte source.

Une adresse IPv4 de destination, qui contient un ID réseau de destination et un ID d’hôte de destination.

Une valeur TTL (Time-To-Live), utilisée pour empêcher le paquet de circuler indéfiniment sur le réseau. Le paramètre TTL commence à une valeur maximale et décrémente de un pour chaque liaison traversée ; si zéro est atteint le paquet est rejeté et un message est renvoyé au nœud expéditeur d’où provenait le paquet.

Remarque Le nombre de liaisons TTL (nombre de liaisons de couche interface réseau traversées pour atteindre une destination donnée) est différent du nombre de sauts (nombre de routeurs traversés pour atteindre une destination). Le nombre de liaisons, qui correspond au nombre de segments réseau, est égal au nombre de sauts plus un. Par exemple, si deux nœuds sont séparés par cinq routeurs, le nombre de sauts est cinq mais le nombre de liaisons TTL est 6.

Fonctionnement de la table de routage IPv4

Sur un réseau IPv4, le protocole IP prend des décisions de routage en consultant une base de données d’itinéraires appelée table de routage IP. Chaque nœud IP utilise sa propre table de routage pour stocker des informations relatives aux itinéraires utilisables pour le transfert des

30

paquets IP de monodiffusion vers tout emplacement accessible. Un nœud exécutant Windows Server 2008 (ou Windows Vista®) crée sa table de routage automatiquement en fonction de sa configuration TCP/IP actuelle, de ses entrées de table de routage statique, des informations fournies par les protocoles de routage dynamique et des messages ICMP Redirection.

Table de routage IPv4

Chaque entrée de la table de routage correspond à un itinéraire. Lorsqu’un nœud IP doit transférer un paquet IP, le protocole IP recherche dans la table de routage sur le nœud un itinéraire qui correspond le plus à l’adresse IP de destination mentionnée dans le paquet. En règle générale, le processus est le suivant :

Pour un hôte IP. Un hôte peut envoyer un paquet directement à sa destination ou lui faire suivre un itinéraire par défaut {ID réseau : 0.0.0.0, Masque de sous-réseau : 0.0.0.0} pointant vers sa passerelle par défaut. Une passerelle par défaut est un routeur qui connecte des segments réseau IP distincts.

Pour un routeur IP. Un routeur transfère un paquet en utilisant un itinéraire statique explicite pour un segment réseau spécifique, un itinéraire résumé, un itinéraire d’hôte ou un itinéraire par défaut.

Exemple de table de routage

Un administrateur ou un utilisateur peut afficher l’état actuel de la table de routage IP sur un nœud IP à tout moment. Par exemple, considérez un nœud configuré comme suit :

Adresse IP : 157.54.27.90

Masque de sous-réseau : 255.255.240.0 Passerelle par défaut : 157.54.16.1

Avec la notation de préfixe réseau, la paire adresse IP/masque de sous-réseau {157.54.27.90, 255.255.240.0} pour ce nœud est exprimée sous la forme 157.54.27.90/20. Le fait de taper route point à une invite de commandes sur ce nœud génère la sortie indiquée dans la table suivante.

Exemple de table de routage

Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 0.0.0.0 0.0.0.0 157.54.16.1 157.54.27.90 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 157.54.16.0 255.255.240.0 157.54.27.90 157.54.27.90 20 157.54.27.90 255.255.255.255 127.0.0.1 127.0.0.1 20 157.54.255.255 255.255.255.255 157.54.27.90 157.54.27.90 20 224.0.0.0 240.0.0.0 157.54.27.90 157.54.27.90 20255.255.255.255 255.255.255.255 157.54.27.90 157.54.27.90 1

Dans la sortie précédente, la métrique de routage définie à 20 pour plusieurs lignes est la métrique que le protocole TCP/IP Windows Server 2008 ou Windows Vista utilise pour une interface Ethernet 100-Mbps, pour une carte 802.11g ou pour une carte 802.11a. Le tableau

31

suivant répertorie les critères utilisés par Windows Server 2008 ou Windows Vista pour affecter des métriques à des itinéraires liés à des interfaces réseau de différentes vitesses.

Métriques affectées par la fonctionnalité de métrique automatiqueVitesse de liaisons Métrique

Supérieure à 200 Mbps 10

Supérieure à 20 Mbps et inférieure ou égale à 200 Mbps 20

Supérieure à 4 Mbps et inférieure ou égale à 20 Mbps 30

Supérieure à 500 Kbps et inférieure ou égale à 4 Mbps 40

Inférieure ou égale à 500 Kbps 50

La fonctionnalité de métrique automatique est activée par défaut par le biais de la case à cocher Métrique automatique sous l’onglet Paramètres IP sous les Paramètres TCP/IP avancés du protocole TCP/IP. Pour les passerelles par défaut affectées par DHCP, vous pouvez outrepasser le comportement par défaut qui consiste à calculer automatiquement une métrique pour l’itinéraire par défaut en fonction de la vitesse de la carte en utilisant l’option DHCP spécifique à Microsoft nommée Base métrique du routeur par défaut.

Comparaison table de routage/table de transfert

De nombreuses implémentations de routeur, y compris le service Routage et accès à distance dans Windows Server 2008, utilisent à la fois une table de routage et une table de transfert :

Table de routage. Stocke tous les itinéraires depuis toutes les sources possibles. La commande netsh ro ip sh rtmr (autrement dit, netsh routing ip show rtmroutes) affiche la table de routage.

Table de transfert. Utilisée par le protocole IP pour transférer les paquets. Les commandes route print et netsh ro ip sh rtmd (autrement dit, netsh routing ip show rtmdestinations) affichent la table de transfert IP.

Le service Routage et accès à distance sur un routeur Windows Server 2008 assure la maintenance de la table de routage IP au moyen d’un outil appelé Gestionnaire de table de routage (abrégé en rtm dans rtmroutes et rtmdestinations dans les commandes ci-dessus). Le Gestionnaire de table de routage met à jour la table de transfert IP (contenue dans le protocole TCP/IP) en fonction des informations d’itinéraire entrant de plusieurs sources.

Le contenu de la table de routage ne correspond pas nécessairement au contenu de la table de transfert.

32

Structure de la table de routage IPv4

Types d’itinéraires

Le tableau suivant décrit les types d’itinéraires stockés dans une table de routage IP. Pour une description de chaque itinéraire dans une table de routage réelle, voir la table « Itinéraires dans une table de routage IP » plus loin dans cette rubrique.

Types d’itinéraires stockés dans une table de routage IPType d’itinéraire Description Itinéraire réseau local

(Itinéraire réseau connecté directement)

Itinéraire vers un ID réseau local spécifique. Cet itinéraire identifie un segment réseau directement connecté au nœud.

Pour un itinéraire réseau local, la colonne Passerelle (parfois nommée Saut suivant) peut être vide ou peut contenir l’adresse IP de l’interface sur ce segment réseau.

Itinéraire réseau distant

Itinéraire vers un ID réseau distant spécifique. Cet itinéraire identifie un segment réseau qui n’est pas directement connecté au nœud mais qui est accessible par le biais d’un ou plusieurs routeurs.

Pour un itinéraire réseau distant, la colonne Passerelle (Saut suivant) contient l’adresse IP d’un routeur local situé entre le nœud et le réseau distant.

Itinéraire hôte

Itinéraire vers une adresse IP (ID réseau + ID d’hôte) sur le réseau. Au lieu d’être basée simplement sur l’ID réseau, comme c’est le cas pour un itinéraire réseau local ou distant, la décision de routage pour un itinéraire hôte est basée sur la combinaison d’ID réseau et d’ID d’hôte. Pour un itinéraire hôte, la colonne Destination réseau contient l’adresse IP de l’hôte spécifié et la colonne Masque réseau est 255.255.255.255.

En général, un itinéraire hôte est utilisé pour créer un itinéraire personnalisé afin de contrôler ou d’optimiser des types de trafics réseau spécifiques.

Itinéraire par défaut

Itinéraire utilisé lorsqu’il n’existe aucun meilleur itinéraire pour la destination dans la table de routage. L’inclusion d’un itinéraire par défaut dans la table de routage signifie qu’il n’est pas nécessaire que celle-ci contienne des itinéraires pour chaque ID réseau sur le réseau. L’utilisation d’un itinéraire par défaut simplifie par conséquent la configuration des hôtes ou des routeurs.

Passerelles par défaut et itinéraires par défaut

La configuration d’une passerelle par défaut crée un itinéraire par défaut dans la table de routage IP. Pour les nœuds IP, la passerelle par défaut (également appelée routeur par défaut) est un routeur IP voisin qui transfère le trafic IP de monodiffusion pour le nœud en fournissant une adresse IP de saut suivant (la colonne Passerelle dans la table de routage) et une interface (la colonne Interface dans la table de routage) pour toutes les destinations qui ne

33

se trouvent pas sur le sous-réseau local. L’adresse de passerelle par défaut est l’adresse IP d’un routeur IP accessible directement.

La passerelle par défaut sur un ordinateur exécutant Windows Server 2008 ou Windows Vista est configurée au moyen d’une des méthodes suivantes :

Onglet Général des propriétés TCP/IP. Si vous souhaitez que le nœud obtienne sa configuration d’adresse IP par le biais d’une configuration manuelle, la passerelle par défaut est l’adresse IP contenue dans le champ Passerelle par défaut sous l’onglet Général de la page de propriétés TCP/IP. Vous pouvez configurer plusieurs passerelles par défaut en les ajoutant sous l’onglet Paramètres IP de la page Paramètres TCP/IP avancés des propriétés TCP/IP.

Onglet Configuration alternative des propriétés TCP/IP. Si vous souhaitez que le nœud obtienne sa configuration d’adresse IP par le biais d’une option de configuration alternative configurée par l’utilisateur, la passerelle par défaut est l’adresse IP contenue dans le champ Passerelle par défaut sous l’onglet Configuration alternative de la page de propriétés TCP/IP. Vous ne pouvez spécifier qu’une seule passerelle par défaut. La fonctionnalité de configuration alternative TCP/IP permet à l’ordinateur de fonctionner sur deux réseaux, voire davantage (un configuré avec des adresses IP statiques et un autre configuré avec DHCP) sans reconfiguration des paramètres de carte réseau. Lorsque aucun serveur DHCP n’est disponible, la connexion utilise la configuration spécifiée sous l’onglet Configuration alternative.

DHCP. Si vous souhaitez que le nœud obtienne sa configuration d’adresse IP par le biais du protocole DHCP, la passerelle par défaut est la valeur de la première adresse IP dans l’option DHCP Routeur. L’option DHCP Routeur spécifie une liste ordonnée d’une ou plusieurs passerelles par défaut. Si vous utilisez un serveur DHCP basé sur Windows Server 2008, l’option Routeur se trouve dans le volet Détails dans l’arborescence de la console du composant logiciel enfichable DHCP sous Nom_Serveur\Nom_Étendue\Scope Options.

Découverte de routeur ICMP. Si vous souhaitez que le nœud découvre automatiquement le meilleur routeur passerelle par défaut disponible sur un sous-réseau, vous pouvez configurer les nœuds de ce sous-réseau pour qu’ils utilisent la découverte de routeur ICMP. Les messages Sollicitation de routeur ICMP et les messages Publication de routage échangés entre les routeurs et les hôtes permettent aux hôtes de découvrir de manière dynamique les routeurs locaux qui sont disponibles, ceux qui sont désactivés et celui qui constitue actuellement la meilleure passerelle par défaut à utiliser sur un sous-réseau. Grâce à l’utilisation de la découverte de routeur ICMP, un hôte peut basculer automatiquement vers une autre passerelle par défaut si sa passerelle par défaut actuelle devient indisponible.

Champs et enregistrements dans la base de données de table de routage IP

Comme avec toute base de données, la compréhension de la table de routage implique de bien comprendre la relation entre les enregistrements (lignes) et les champs (colonnes) qui composent la table de routage IP. On saisira mieux cette relation au moyen d’un exemple. Le tableau suivant contient les mêmes informations que celles affichées dans l’« Exemple de

34

table de routage » plus haut dans cette rubrique. Chaque ligne est libellée avec le type d’itinéraire pour cette entrée.

Exemple d’informations stockées dans une table de routage IP

Type Destination

réseau Masque réseau Passerelle Interface Métrique

Itinéraire par défaut 0.0.0.0 0.0.0.0 157.54.16.1 157.54.27.90 20

Itinéraire réseau de bouclage

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

Itinéraire réseau local

(Itinéraire réseau connecté directement)

157.54.16.0 255.255.240.0 157.54.27.90 157.54.27.90 20

Itinéraire hôte local

(Itinéraire d’adresse IP locale)

157.54.27.90 255.255.255.255 127.0.0.1 127.0.0.1 20

Itinéraire de diffusion réseau

(Itinéraire de diffusion dirigé vers tous les sous-réseaux)

157.54.255.255 255.255.255.255 157.54.27.90 157.54.27.90 20

Itinéraire d’adresse de multidiffusion

224.0.0.0 240.0.0.0 157.54.27.90 157.54.27.90 20

Itinéraire de diffusion limitée

255.255.255.255 255.255.255.255 157.54.27.90 157.54.27.90 1

Colonnes de la table de routage

Le tableau suivant décrit chaque champ, ou colonne, de la table de routage IP.

Colonnes pour chaque entrée de la table de routageColonne Description

Destination réseau

Contient l’un des éléments suivants :

Adresse IP. Une adresse IP pour un itinéraire hôte.

ID réseau. Un ID réseau basé sur la classe, de sous-réseau ou résumé.

Masque réseau Contient le masque de sous-réseau que le protocole IP applique à l’adresse IP

35

(Masque de sous-réseau)

de destination. Si la destination et le masque de sous-réseau correspondent à la destination réseau, l’itinéraire constitue une correspondance pour la destination. Le processus est le suivant :

1. Le protocole IP effectue une opération binaire AND logique entre l’adresse IP de destination du paquet et la valeur contenue dans la colonne Masque réseau.

2. Le résultat est comparé à la valeur inscrite dans la colonne Destination réseau.

3. Lorsque le protocole IP compare chaque bit de l’adresse IP de destination au bit correspondant dans le masque de sous-réseau, l’opération AND binaire fonctionne comme suit :

o Si les deux bits sont 1, le bit résultant est 1.o Si les deux bits ne sont pas 1, le bit résultant est 0.

Exemples :

Itinéraire par défaut. Le masque réseau de l’itinéraire par défaut est 0.0.0.0, ce qui se traduit par la valeur binaire 00000000 00000000 00000000 00000000. Lorsque le protocole IP effectue l’opération AND entre une adresse IP de destination et ce masque de sous-réseau, le résultat est constitué entièrement de zéros. Par conséquent, aucun bit n’a besoin de correspondre et toute destination correspond à l’itinéraire par défaut.

Itinéraire hôte. Le masque réseau d’un itinéraire hôte (un itinéraire qui correspond à une adresse IP spécifique) est 255.255.255.255, ce qui se traduit par la valeur binaire 11111111 11111111 11111111 11111111. Lorsque le protocole IP effectue l’opération AND entre l’itinéraire hôte et ce masque de sous-réseau, seule une adresse IP de destination égale à l’adresse IP de l’itinéraire hôte correspond à cet itinéraire.

Paquet avec l’adresse IP 157.54.16.48. Lorsque le protocole IP effectue l’opération AND entre 157.54.16.48 et le masque réseau pour l’itinéraire réseau connecté directement (dans cet exemple, 55.255.240.0), le résultat est 157.54.16.0. Le masque de sous-réseau 255.255.240.0 requiert que tous les huit bits des deux premiers octets et les premiers quatre bits du troisième octet correspondent (240=11110000). Par conséquent, la correspondance la plus proche pour ce paquet est le réseau connecté directement (157.54.16.0/20).

Passerelle

(Saut suivant ou Adresse de transfert)

Contient soit l’adresse IP d’une carte réseau local pour les remises directes, soit l’adresse IP d’un routeur IP (tel qu’un routeur passerelle par défaut) sur le segment réseau local pour les remises indirectes. Il s’agit de l’adresse IP utilisée par le nœud local pour transférer le paquet IP.

InterfaceIndique l’interface réseau (carte réseau physique ou interface logique) qui sera utilisée pour transférer un paquet IP.

36

Métrique

Indique le coût relatif des itinéraires, de sorte que le meilleur itinéraire parmi plusieurs itinéraires possibles avec la meilleure correspondance vers la même destination puisse être sélectionné. S’il existe plusieurs itinéraires vers la même destination avec des métriques différentes, l’itinéraire ayant la métrique la plus faible est sélectionné.

Les métriques peuvent exprimer la préférence d’itinéraire de plusieurs manières :

Nombre de sauts. Indique le nombre de routeurs à traverser pour atteindre un réseau de destination. Un ordinateur sur le sous-réseau local est un saut et chaque routeur traversé après cela représente un saut supplémentaire.

Délai. Indique la durée nécessaire au paquet pour atteindre le réseau de destination. Le délai fait référence à la vitesse (les liaisons LAN ont un délai plus court ; les liaisons WAN ont un délai plus long) ou au niveau d’encombrement du chemin d’accès.

Débit. Indique la quantité de données pouvant être envoyées sur le chemin d’accès par seconde. Le débit n’indique pas nécessairement la vitesse de transmission de la liaison car une liaison Ethernet très chargée peut avoir un débit inférieure à celui d’une liaison WAN de 64 kilobits par seconde (Kbps) inutilisée.

Fiabilité. Indique une mesure de la constance du chemin d’accès. Certains types de liaisons sont plus susceptibles aux défaillances. Par exemple, les liaisons WAN à ligne allouée sont plus fiables que les lignes d’accès à distance.

RIP utilise une métrique de nombre de sauts.

Lignes de la table de routage

Le tableau suivant décrit chaque enregistrement, ou ligne, de la table de routage IP. Chaque ligne représente un itinéraire. Dans la colonne Description, toutes les références renvoient à l’« Exemple de table de routage » fourni plus haut.

Itinéraires dans une table de routage IP

Itinéraire Destination/Masque réseau (Notation de

préfixe réseau) Description

Itinéraire par défaut

0.0.0.0/0.0.0.0

(0.0.0.0/0, parfois écrit 0/0)

Itinéraire utilisé s’il n’existe aucun autre itinéraire avec une meilleure correspondance pour l’adresse de destination mentionnée dans le paquet IP. Dans l’exemple, le paquet IP est transféré à 157.54.16.1 (la passerelle par défaut) au moyen de l’interface 157.54.27.90 (l’adresse IP du nœud).

37

Itinéraire réseau de bouclage

127.0.0.0/255.0.0.0

(127.0.0.0/8)

Itinéraire utilisé pour toute adresse IP de la forme 127.x.y.z (127.0.0.0 jusqu’à 127.255.255.255). Dans cet exemple, comme pour toute adresse IP comprise dans cette plage, le paquet IP est transféré à l’adresse IP de bouclage spéciale 127.0.0.1 au moyen de l’interface de bouclage.

Itinéraire réseau connecté directement (itinéraire réseau local)

varie/varie

Itinéraire utilisé pour une adresse IP sur le sous-réseau connecté localement. Le paquet IP est transféré directement à l’adresse IP de destination (et non à un routeur intermédiaire). Dans l’exemple, le paquet IP est transféré à sa destination au moyen de l’interface affectée à 15754.27.90 ; autrement dit, les colonnes Passerelle et Interface contiennent une adresse IP du nœud, indiquant que le paquet sera envoyé directement à sa destination à partir d’une carte réseau à laquelle est affectée une adresse IP sur ce nœud.

Itinéraire hôte local

(Itinéraire d’adresse IP locale)

varie/255.255.255.255

(varie/32)

Itinéraire utilisé si l’adresse IP mentionnée dans le paquet est identique à celle de l’hôte local. Le masque de sous-réseau 255.255.255.255 indique qu’il s’agit d’un itinéraire hôte. Dans cet exemple, comme pour toute adresse IP qui correspond à l’hôte local, le paquet IP est transféré à l’adresse IP de bouclage 127.0.0.1 au moyen de l’interface de bouclage.

Itinéraire de diffusion réseau

(Itinéraire de diffusion dirigé vers tous les sous-réseaux)

varie/255.255.255.255

(varie/32)

Itinéraire utilisé pour une adresse IP qui correspond à l’adresse de diffusion dirigée vers tous les sous-réseaux. Le masque de sous-réseau 255.255.255.255 indique qu’il s’agit d’un itinéraire hôte. Le paquet IP est transféré en tant que diffusion de niveau MAC vers les hôtes sur tous les sous-réseaux d’un ID réseau à sous-réseaux au moyen d’une interface à laquelle est affectée une adresse IP sur le nœud local.

Un itinéraire de diffusion réseau existe uniquement si l’ID réseau local est obtenu à partir d’un ID réseau basé sur des classes.

Itinéraire d’adresse de multidiffusion

224.0.0.0/240.0.0.0

(224.0.0.0/4)Itinéraire utilisé pour toutes les adresses IP de classe D réservées pour le trafic de multidiffusion. Le paquet de multidiffusion IP est transféré en tant que multidiffusion de

38

niveau MAC au groupe de multidiffusion au moyen d’une interface à laquelle est affectée une adresse IP sur le réseau local.

Itinéraire de diffusion limitée

255.255.255.255/

255.255.255.255

(255.255.255.255/32)

Itinéraire utilisé pour une adresse IP qui correspond à l’adresse de diffusion limitée. Le masque de sous-réseau 255.255.255.255 indique qu’il s’agit d’un itinéraire hôte. Le paquet IP est transféré en tant que diffusion de niveau MAC vers tous les hôtes sur le même segment réseau au moyen d’une interface à laquelle est affectée une adresse IP sur le nœud local.

L’itinéraire de diffusion limitée est utilisé durant le processus de configuration DHCP, par exemple lorsqu’un client DHCP utilise l’adresse de diffusion limitée pour envoyer tout le trafic pendant qu’il attend que le serveur DHCP reconnaisse son bail d’une adresse IP.

Consultation de la table de routage par le protocole IP

Lorsqu’un routeur ou un hôte IP doit transférer un paquet à sa destination, le protocole IP consulte la table de routage sur ce nœud afin de déterminer l’itinéraire du paquet. Cette section résume la manière dont le protocole IP consulte chaque ligne et colonne, puis fournit une description détaillée du processus de détermination de l’itinéraire.

Synopsis de la manière dont le protocole IP consulte la table de routage

Le tableau suivant résume la manière dont le protocole IP utilise la table de routage IP.

Présentation de l’utilisation des lignes et colonnes de la table de routage par le protocole IP

Action Synthèse des étapes

Le protocole IP recherche sur chaque ligne

Le protocole vérifie chaque itinéraire dans la table afin de trouver celui ayant la meilleure correspondance. Les itinéraires correspondant à la destination varient du type d’itinéraire le plus spécifique au moins spécifique. Les itinéraires ayant la correspondance la plus étroite respectent l’ordre suivant :

1. Itinéraire hôte.

2. Itinéraire représentant l’ID réseau d’un sous-réseau local ou distant.

3. Itinéraire représentant un ID réseau résumé.

4. Itinéraire par défaut.

39

Simultanément, le protocole IP utilise chaque colonne pour évaluer chaque ligne

Le protocole IP utilise chaque colonne sur chaque ligne de la façon suivante :

1. Destination réseau et Masque réseau. Utilisées conjointement pour déterminer si l’adresse de destination dans le paquet IP correspond à l’itinéraire.

2. Métrique. Utilisée pour déterminer l’entrée correspondante à sélectionner si plusieurs itinéraires correspondants sont détectés.

3. Passerelle et Interface. Utilisées conjointement pour déterminer l’adresse de saut suivant à laquelle envoyer le paquet et l’interface de saut suivant par le biais de laquelle transférer le paquet.

Résultat

Trois décisions de routage sont possibles :

Passer le paquet à l’interface de bouclage (si la destination du paquet est cet ordinateur ou est de la forme 124.x.y.z).

Transférer le paquet au moyen d’une des cartes réseau connectées localement (si un itinéraire à correspondance étroite a été trouvé).

Rejeter le paquet (si aucun itinéraire correspondant n’a été trouvé), puis (sur un hôte) envoyer un message d’erreur en interne ou (sur un routeur) envoyer un message d’erreur à l’hôte source.

La section suivante décrit en détail le processus par lequel le protocole IP détermine la décision de routage à prendre.

Détails de la prise de décision relative au routage

Le protocole IP détermine le meilleur itinéraire vers une destination en comparant l’adresse IP de destination mentionnée dans le paquet à chaque itinéraire actuellement présent dans la table de routage. Le processus détaillé est le suivant :

1. Déterminer si l’adresse IP de destination du paquet correspond à un ou plusieurs itinéraires. Pour chaque entrée de la table de routage, le protocole IP sur le nœud effectue une opération AND binaire logique entre l’adresse IP de destination du paquet et le masque de sous-réseau répertorié dans la colonne Masque réseau. Il compare la valeur obtenue à la valeur inscrite dans la colonne Destination réseau :

o Correspondance. Si un ou plusieurs itinéraires correspondants sont trouvés, le protocole IP compile une liste des itinéraires correspondants. Le protocole IP détermine si un itinéraire produit une correspondance de la manière suivante :

40

Itinéraire hôte. Tous les 32 bits correspondent à l’adresse IP de destination. L’itinéraire mène à une seule adresse de destination.

Itinéraire représentant l’ID réseau d’un sous-réseau local ou distant. Tous les bits de l’ID réseau correspondent à l’adresse IP de destination. Cet itinéraire est soit un itinéraire vers une destination sur le sous-réseau local, soit un itinéraire vers une destination sur un réseau non local par le biais d’un routeur.

Itinéraire représentant un ID réseau résumé. Tous les bits de l’ID réseau résumé correspondent à l’adresse IP de destination. L’itinéraire mène à une destination sur l’ensemble de sous-réseaux résumé par cet itinéraire résumé.

Itinéraire par défaut. Tous les adresses IP de destination correspondent à l’itinéraire par défaut. Il s’agit de l’itinéraire utilisé lorsqu’il n’existe aucune correspondance plus spécifique.

o Aucune correspondance. Si aucun itinéraire n’est trouvé (y compris aucun itinéraire par défaut), le protocole IP indique une condition d’erreur. Une condition « aucune correspondance » ne peut pas se produire s’il existe un itinéraire par défaut. Si le nœud est sur un hôte, une erreur de routage IP est envoyée en interne à un protocole de couche supérieure (tel que TCP, UDP ou ICMP). Si le nœud est un routeur, un message ICMP de destination inaccessible-hôte inaccessible est envoyé à l’hôte source.

Pour plus d’exemples illustrant l’opération AND entre une adresse IP de destination et la valeur mentionnée dans la colonne Masque réseau, voir la ligne Masque réseau dans le tableau « Colonnes pour chaque entrée de la table de routage » dans « Structure de la table de routage IPv4 » plus haut dans cette rubrique.

2. Déterminer l’itinéraire unique à utiliser pour envoyer ou transférer le paquet. Le résultat du processus de détermination de l’itinéraire est le choix d’un itinéraire unique dans la table de routage :

o Si un seul itinéraire a la correspondance la plus longue (la correspondance la plus longue est l’itinéraire ayant le nombre le plus élevé de bits définis à 1 dans la colonne Masque réseau [le préfixe le plus long]), cet itinéraire est sélectionné.

o Si plusieurs itinéraires avec la correspondance la plus longue sont trouvés (par exemple plusieurs itinéraires vers le même ID réseau), le protocole IP sélectionne l’itinéraire ayant la métrique la moins élevée.

o S’il existe plusieurs itinéraires avec la correspondance la plus longue avec la même métrique la plus faible, le protocole IP sélectionne l’itinéraire associé à l’interface située en premier dans l’ordre de liaison.

Remarque Si un ordinateur possède plusieurs interfaces (cartes réseau), l’ordre de liaison est l’ordre dans lequel les services réseau accèdent aux interfaces. Cet ordre reflète celui dans lequel le protocole TCP/IP est lié à chacune des interfaces. Pour modifier l’ordre de liaison relatif des interfaces sur un ordinateur exécutant Windows Server 2008 ou Windows Vista, ouvrez Connexions réseau, sélectionnez le menu Avancé, sélectionnez Paramètres avancés, cliquez sur l’interface dont vous souhaitez modifier l’ordre de

41

liaison, puis cliquez sur la flèche Haut ou Bas selon les besoins. 3. Déterminer l’interface et l’adresse de saut suivant. Une fois qu’un itinéraire a été

sélectionné, le protocole IP détermine à partir de l’entrée de table de routage l’adresse IP de saut suivant et l’interface (carte réseau physique ou port logique) à utiliser pour transférer le paquet :

o Remise directe (vers le nœud de destination). Si la destination est sur un sous-réseau directement connecté à l’hôte ou au routeur, le protocole IP remet le paquet au nœud de destination. Dans ce cas, l’adresse mentionnée dans la colonne Passerelle est identique à celle de la colonne Interface (ou la colonne Passerelle est vide) et l’adresse IP de saut suivant est définie à l’adresse IP de destination mentionnée dans le paquet IP. L’interface utilisée est celle spécifiée dans la colonne Interface de l’itinéraire sélectionné.

Là encore, si l’on prend l’« Exemple de table de routage » fourni plus haut, si le trafic est envoyé à 157.54.16.48, l’itinéraire le plus spécifique est celui du réseau directement connecté (157.54.16.0/20). L’adresse IP de saut suivant est définie à l’adresse IP de destination (157.54.16.48) et l’interface utilisée est la carte à laquelle l’adresse IP 157.54.27.90 a été affectée (l’interface sur le nœud local).

o Remise indirecte (au routeur suivant). Si la destination n’est pas sur un sous-réseau directement connecté au nœud, le protocole IP remet le paquet à un routeur voisin sur un sous-réseau directement connecté, pour la suite du routage. Dans ce cas, l’adresse mentionnée dans la colonne Passerelle est différente de celle de la colonne Interface et l’adresse IP de saut suivant est définie à l’adresse mentionnée dans la colonne Passerelle. L’interface utilisée est celle spécifiée dans la colonne Interface de l’itinéraire sélectionné.

Par exemple, si le trafic est envoyé à 157.60.0.79, l’itinéraire le plus spécifique est l’itinéraire par défaut (0.0.0.0/0). L’adresse IP de saut suivant est définie à l’adresse passerelle (157.54.16.1) et l’interface utilisée est, là encore, la carte à laquelle l’adresse IP 157.54.27.90 a été affectée (l’interface sur le nœud local).

4. Remise du paquet à ARP. Le protocole IP remet le paquet, l’adresse IP de saut suivant et l’interface de saut suivant à ARP. ARP résout l’adresse IP de saut suivant à son adresse MAC et transfère le paquet, le cas échéant, au saut suivant, qui est soit la destination, soit le routeur qui le transfèrera à sa destination.

Gérer la table de routage IPv4Sur un ordinateur exécutant le service Routage et accès à distance sur Windows Server® 2008, il existe plusieurs méthodes pour gérer la table de routage IP :

L’utilitaire de ligne de commande route, conçu spécifiquement pour afficher et gérer la table de routage IP.

Le contexte IP de routage Netsh, qui inclut plusieurs commandes pour la gestion des itinéraires IP.

Le composant logiciel enfichable Routage et accès à distance, qui affiche la table de routage avec une colonne supplémentaire répertoriant la source à partir de laquelle l’itinéraire a été obtenu. Affichez la table de routage en cliquant avec le bouton droit

42

sur Routage IP/Itinéraires statiques dans l’arborescence de la console, puis en sélectionnant Afficher la table de routage IP.

Outre la commande route print qui permet d’afficher la table de routage, vous pouvez également utiliser route pour ajouter, modifier ou supprimer des itinéraires. La table de routage IP étant stockée dans la RAM et recréée à chaque redémarrage d’un ordinateur, on utilise couramment route add avec l’option -p pour ajouter un itinéraire statique permanent, autrement dit un itinéraire conservé même après le redémarrage de l’ordinateur. Les itinéraires permanents sont stockés dans le Registre.

La table de routage IP affichée dans le composant logiciel enfichable Routage et accès à distance inclut une colonne supplémentaire non affichée par la commande route print. Il s’agit de la colonne Protocole, qui identifie la façon dont le routeur a appris chaque itinéraire. Par exemple, Local identifie un itinéraire sur le nœud local ; Statique identifie un itinéraire statique que l’administrateur a configuré manuellement ; RIP identifie les itinéraires dynamiques appris d’autres routeurs configurés pour utiliser ce protocole de routage.

La figure suivante illustre la table de routage IP sur un routeur Routage et accès à distance Windows Server 2008.

IPv6 Routing

43

Routing is the process of forwarding packets between connected network segments. For Internet Protocol version 6 (IPv6)-based networks, routing provides forwarding capabilities between hosts that are located on separate segments within a larger IPv6-based network.

An IPv6 packet contains both the source address of the sending host and the destination address of the receiving host. Unlike link-layer (layer 2) addresses, IPv6 addresses in the IPv6 header typically remain the same as the packet travels across an IPv6 network.

Routing is the primary function of IPv6. IPv6 packets are exchanged and processed on each host by using IPv6 at the Internet layer.

Above the IPv6 layer, transport services on the source host pass data in the form of TCP segments or UDP messages down to the IPv6 layer. The IPv6 layer creates IPv6 packets with source and destination address information that is used to route the data through the network. The IPv6 layer then passes packets down to the link layer, where IPv6 packets are converted into frames for transmission over network-specific media on a physical network. This process occurs in reverse order on the destination host.

IPv6 layer services on each sending host examine the destination address of each packet, compare this address to a locally maintained routing table, and then determine what additional forwarding is required. IPv6 routers are attached to two or more IPv6 network segments that are enabled to forward packets between them.

IPv6 routers

IPv6 network segments, also known as links or subnets, are connected by IPv6 routers, which are devices that pass IPv6 packets from one link to another. A simple IPv6 network consisting of three links connected by routers is shown in the following figure.

IPv6 routers provide the primary means for joining together two or more physically separated IPv6 links. All IPv6 routers have the following characteristics:

IPv6 routers are physically multihomed hosts. A physically multihomed host is a network host that has two or more network adapters to connect to each physically separated link.

44

IPv6 routers provide packet forwarding for other IPv6 hosts. IPv6 routers are distinct from other hosts that use multihoming. An IPv6 router must be able to forward IPv6-based communication between networks for other IPv6 network hosts.

You can implement IPv6 routers by using a variety of hardware and software products, including a computer running Windows Server 2008 R2 with the IPv6 protocol. Routers that are dedicated hardware devices running specialized software are common. Regardless of the type of IPv6 routers that you use, all IPv6 routing relies on a routing table to communicate between network segments.

IPv6 routing table

Every computer that runs IPv6 determines how to forward packets based on the contents of the IPv6 routing table. To display the IPv6 routing table, at the command prompt, type netsh interface ipv6 show route.

Entries in the IPv6 routing table include:

An address prefix.

The interface over which packets matching the address prefix are sent. A forwarding or next-hop address. A preference value used to select between multiple routes with the same prefix. The lifetime of the route. The specification of whether the route is published (advertised in a Routing

Advertisement). The specification of how the route is aged. The route type.

The IPv6 routing table is built automatically, based on the current IPv6 configuration of your computer. When forwarding IPv6 packets, the routing table is searched by your computer for an entry that is the most specific match to the destination IPv6 address. A route for the link-local prefix (FE80::/64) is not displayed.

The default route (a route with a prefix of ::/0) is typically used to forward an IPv6 packet to a default router on the local link. Because the router that corresponds to the default router contains information about the network prefixes of the other IPv6 subnets within the larger IPv6 network, it forwards the packet to other routers until it is eventually delivered to the destination.

IPv4 - Itinéraires statiques

45

Un réseau IP à routage statique n’utilise pas de protocoles de routage tels que RIP pour IP afin de communiquer les informations de routage entre les routeurs. Toutes les informations de routage sont stockées dans une table de routage statique sur chaque routeur. Vous devez vous assurer que chaque routeur dispose des itinéraires appropriés dans sa table de routage de sorte que le trafic puisse être échangé entre deux points de terminaison quelconques sur le réseau IP.

L’environnement à routage statique

Un environnement IP à routage statique convient à un petit réseau IP statique à chemin unique :

Un petit réseau comporte entre 2 et 10 réseaux.

Chemin unique signifie qu’il n’y a qu’un seul chemin d’accès pour le transport des paquets entre deux points de terminaison quelconques sur le réseau.

Statique signifie que la topologie du réseau ne change pas au fil du temps.

Les inconvénients du routage statique sont les suivants :

Aucune tolérance de pannes

Si un routeur ou une liaison est défectueux, les routeurs statiques ne détectent pas la panne et n’en informent pas les autres routeurs. Bien que cela soit problématique sur les gros réseaux d’entreprise, un petit bureau (avec deux routeurs et trois réseaux basés sur des liaisons LAN) ne tombe pas assez souvent en panne pour justifier le déploiement d’une topologie multichemin et d’un protocole de routage.

Charges administratives

Si un nouveau réseau est ajouté ou supprimé du réseau, des itinéraires vers ce nouveau réseau doivent être ajoutés ou supprimés manuellement. Si un nouveau routeur est ajouté, il doit être configuré correctement pour les itinéraires du réseau.

Déploiement du routage statique

46

Si le routage statique convient à votre réseau IP, vous pouvez effectuer les étapes suivantes pour le déployer :

1. Dessinez un plan de la topologie de votre réseau IP montrant les différents réseaux et le positionnement des routeurs et des hôtes (ordinateurs non-routeurs qui exécutent le protocole TCP/IP).

2. Pour chaque réseau IP (un système de câblage limité par un ou plusieurs routeurs), affectez un ID réseau IP unique (également appelé adresse réseau IP).

3. Affectez des adresses IP à chaque interface de routeur. Il est courant d’affecter les premières adresses IP d’un réseau IP donné aux interfaces de routeurs. Par exemple, pour un IP réseau de 192.168.100.0 avec un masque de sous-réseau de 255.255.255.0, l’adresse IP 192.168.100.1 est affectée à l’interface de routeur.

4. Pour les routeurs périphériques, configurez un itinéraire par défaut sur l’interface qui possède un routeur voisin. L’utilisation d’itinéraires par défaut sur les routeurs périphériques est facultative.

5. Pour chaque routeur non périphérique, compilez une liste d’itinéraires qui doivent être ajoutés comme itinéraires statiques à la table de routage de chaque routeur. Chaque itinéraire est composé d’un ID réseau de destination, d’un masque de sous-réseau, d’une adresse IP de passerelle (ou de transfert), d’une métrique (nombre de sauts de routeur pour atteindre le réseau) et de l’interface utilisée pour atteindre le réseau.

6. Pour les réseaux non périphériques, ajoutez les itinéraires statiques compilés à l’étape 5 à chaque routeur. Vous pouvez ajouter des itinéraires statiques au moyen de Routage et accès à distance.

7. Une fois votre configuration terminée, utilisez les commandes ping et tracert pour tester la connectivité entre les ordinateurs hôtes afin de vérifier tous les itinéraires de routage.

Traduction d’adresses réseau Activer NAT

47

Qu’est-ce que la traduction d’adresses réseau (NAT)   ? Exemple de traduction d’adresses réseau Adresses privées Internet Utilisation de NAT et VPN Différences entre la traduction d’adresses réseau et le partage de connexion Internet

Activer NATPour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs local ou à un groupe équivalent.

Pour activer l’adressage de traduction d’adresses réseau

1. Ouvrez Routage et accès à distance.2. Dans l’arborescence de la console, cliquez sur NAT.

Où ?

o Routage et accès à distance/nom_serveur/[IPv4 ou IPv6]/NAT

3. Cliquez avec le bouton droit sur NAT, puis cliquez sur Propriétés.

4. Sous l’onglet Attribution d’adresses, activez la case à cocher Attribuer les adresses IP automatiquement avec l’allocateur DHCP.

5. (Facultatif) Pour allouer à des clients DHCP sur le réseau privé, dans Adresse IP et masque, configurez la plage d’adresses IP.

6. (Facultatif) Pour exclure des adresses de l’allocation aux clients DHCP sur le réseau privé, cliquez sur Exclure, sur Ajouter, puis configurez les adresses.

Qu’est-ce que la traduction d’adresses réseau (NAT) ?

48

La traduction d’adresses réseau (NAT, Network Address Translation) permet de traduire les adresses IPv4 (Internet Protocol version 4) des ordinateurs d’un réseau en adresses IPv4 des ordinateurs d’un autre réseau. Un routeur IP compatible NAT déployé à l’endroit où un réseau privé (tel qu’un réseau d’entreprise) rencontre un réseau public (tel qu’Internet) permet aux ordinateurs du réseau privé d’accéder à des ordinateurs du réseau public grâce à ce service de traduction.

La technologie NAT a été développée afin de fournir une solution temporaire au problème d’épuisement des adresses IPv4. Le nombre d’adresses IPv4 globalement uniques (publiques) disponibles est beaucoup trop faible pour satisfaire la quantité sans cesse croissante d’ordinateurs nécessitant un accès à Internet. Bien qu’il existe une solution à long terme (le développement des adresses IPv6 [Internet Protocol version 6]), celle-ci n’a pas encore été adoptée à grande échelle. La technologie NAT permet aux ordinateurs d’un réseau d’utiliser des adresses privées réutilisables pour se connecter à des ordinateurs avec des adresses publiques globalement uniques sur Internet.

Dans Windows Server® 2008, le service Routage et accès à distance prend en charge une solution NAT en autorisant la configuration facultative d’un composant de protocole de routage qui fournit la traduction d’adresses réseau. Les ordinateurs d’un réseau privé peuvent accéder à un réseau public par le biais d’un routeur compatible NAT qui exécute le service Routage et accès à distance. Tout le trafic qui quitte ou pénètre sur le réseau privé doit transiter par un routeur compatible NAT.

La traduction d’adresses réseau est constituée des composants suivants :

 Composant Description

TraductionLe serveur exécutant le service Routage et accès à distance sur lequel la traduction NAT est activée traduit les adresses IP et les numéros de ports TCP/UDP des paquets qui sont transférés entre le réseau privé et Internet.

Adressage

L’ordinateur de traduction d’adresses réseau fournit des informations de configuration d’adresses IP aux autres ordinateurs du réseau domestique. Le composant d’adressage est un serveur DHCP simplifié qui alloue une adresse IP, un masque de sous-réseau, une passerelle par défaut et l’adresse IP d’un serveur DNS. Vous devez configurer des ordinateurs du réseau domestique en tant que clients DHCP afin de recevoir la configuration IP automatiquement.

Résolution de noms

L’ordinateur de traduction d’adresses réseau devient le serveur DNS pour les autres ordinateurs du réseau domestique. Lorsque l’ordinateur de traduction d’adresses réseau reçoit des demandes de résolution de noms, il les transfère au serveur DNS basé sur Internet pour lequel il est configuré et renvoie les réponses à l’ordinateur du réseau domestique.

49

Considérations supplémentaires

La traduction NAT incluant des composants d’adressage et de résolution de noms qui procurent des services DHCP et DNS pour des hôtes du réseau privé, vous ne pouvez pas exécuter :

Le service DHCP sur l’agent de relais DHCP si l’adressage NAT est activé.

Le service DNS si la résolution de noms de mise en réseau TCP/IP NAT est activée.

Exemple de traduction d’adresses réseauSi une petite entreprise utilise l’ID réseau 192.168.0.0 pour son intranet et que l’adresse publique w1.x1.y1.z1 lui a été accordée par son Fournisseur de services Internet (FAI), le service de traduction d’adresses réseau mappe toutes les adresses privées sur 192.168.0.0 à l’adresse IP w1.x1.y1.z1. Si plusieurs adresses privées sont mappées à une seule adresse publique, le service NAT utilise des ports UDP et TCP choisis de manière dynamique pour distinguer un emplacement intranet d’un autre.

Remarque L’utilisation de w1.x1.y1.z1 et de w2.x2.y2.z2 a pour but de représenter les adresses IP publiques valides allouées par l’IANA (Internet Assigned Numbers Authority) ou un FAI.

L’illustration suivante constitue un exemple de l’utilisation de la traduction d’adresses réseau pour connecter de façon transparente un intranet à Internet.

50

Si un utilisateur privé à 192.168.0.10 utilise un navigateur Web pour se connecter au serveur Web à w2.x2.y2.z2, l’ordinateur de l’utilisateur crée un paquet IP avec les informations suivantes :

Adresse IP de destination : w2.x2.y2.z2

Adresse IP source : 192.168.0.10 Port de destination : Port TCP 80 Port source : Port TCP 1025

Ce paquet IP est ensuite transféré au protocole NAT, qui traduit les adresses du paquet sortant comme suit :

Adresse IP de destination : w2.x2.y2.z2

Adresse IP source : w1.x1.y1.z1 Port de destination : Port TCP 80 Port source : Port TCP 5000

Le protocole NAT conserve le mappage de {192.168.0.10, TCP 5000} à {w1.x1.y1.z1, TCP 1025} dans une table.

Le paquet IP traduit est envoyé sur Internet. La réponse est renvoyée et reçue par le protocole NAT. À réception, le paquet contient les informations d’adresses publique suivantes :

Adresse IP de destination : w1.x1.y1.z1

Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 1025 Port source : Port TCP 80

Le protocole NAT vérifie sa table de traduction et mappe les adresses publiques à des adresses privées et transfère le paquet à l’ordinateur à 192.168.0.10. Le paquet transféré contient les informations d’adresses suivantes :

Adresse IP de destination : 192.168.0.10

Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 5000 Port source : Port TCP 80

Pour les paquets sortants du protocole NAT, l’adresse IP source (une adresse privée) est mappée à l’adresse allouée par le FAI (une adresse publique) et les numéros de ports TCP/UDP sont mappés à un numéro de port TCP/UDP différent.

Pour les paquets entrants vers le protocole NAT, l’adresse IP de destination (une adresse publique) est mappée à l’adresse intranet d’origine (une adresse privée) et les numéros de ports TCP/UDP sont remappés à leurs numéros de ports TCP/UDP d’origine.

Remarque

51

Les paquets qui contiennent l’adresse IP uniquement dans l’en-tête IP sont correctement traduits par le service NAT. Les paquets qui contiennent l’adresse IP dans la charge utile IP peuvent ne pas être traduits correctement par le service NAT.

Adresses privées InternetPour communiquer sur Internet, vous devez utiliser des adresses qui ont été allouées par l’IANA (Internet Assigned Numbers Authority). Les adresses allouées par l’IANA peuvent recevoir du trafic en provenance d’emplacements Internet et portent le nom d’adresses publiques. Une PME reçoit en général une ou plusieurs adresses publiques délivrées par son Fournisseur de services Internet (FAI), auquel a été attribuée une plage d’adresses publiques.

Pour permettre à plusieurs ordinateurs de la PME de communiquer sur Internet, chaque ordinateur doit avoir sa propre adresse publique. Cet impératif crée une forte demande en adresses publiques, dont la quantité est limitée.

Pour répondre à cette demande, l’IANA a établit un modèle de réutilisation d’adresse en réservant des ID réseau pour les réseaux privés. Les ID de réseaux privés incluent :

10.0.0.0 avec le masque de sous-réseau 255.0.0.0

172.16.0.0 avec le masque de sous-réseau 255.240.0.0 192.168.0.0 avec le masque de sous-réseau 255.255.0.0

Pour plus d’informations sur les parties de l’espace d’adresse IP réservées aux intranets privés, voir la RFC 1918, « Address Allocation for Private Internets » (éventuellement en anglais). Toutes les adresses de cette plage portent le nom d’adresses privées.

Les adresses privées ne peuvent pas recevoir de trafic provenant d’emplacements Internet. Par conséquent, si un intranet utilise des adresses privées et communique avec des emplacements Internet, l’adresse privée doit être traduire en adresse publique. Un traducteur d’adresses réseau est placé entre un intranet qui utilise des adresses privées et Internet, qui utilise des adresses publiques. Les adresses privées des paquets sortants de l’intranet sont traduites en adresses publiques par le service de traductions d’adresses réseau (NAT, Network Address Translation). Les adresses publiques des paquets entrants en provenance d’Internet sont traduites en adresses privées par le service NAT.

Utilisation de NAT et VPNUne option de déploiement courante consiste à utiliser la traduction d’adresses réseau (NAT) sur l’un ou les deux côtés d’une connexion qui relie des bureaux situés à différents

52

emplacements géographiques. Le service Routage et accès à distance dans Windows Server® 2008 fournit deux types de connexions site à site VPN. Le tableau suivant décrit les circonstances dans lesquelles vous pouvez utiliser la traduction d’adresses réseau avec une connexion VPN.

 Type de

connexion site à site

VPN

Possible d’utiliser la traduction NAT ?

Description

VPN PPTP Oui

Dans la plupart des cas, vous pouvez localiser les routeurs appelant PPTP derrière un routeur compatible NAT (ou configurer un ordinateur à la fois comme routeur appelant et comme routeur compatible NAT) afin de permettre aux ordinateurs ayant des adresses privées sur un réseau domestique ou un réseau de petite entreprise de partager une même connexion Internet. Avec une connexion VPN, la connexion de site à site de la succursale au siège social est « tunnelée » par le biais d’Internet. La traduction d’adresses réseau dans le service Routage et accès à distance dans Windows Server 2008 inclut un éditeur NAT capable de traduire de manière précise les données tunnelées PPTP.

VPN L2TP/IPsec

Oui, mais uniquement si vous utilisez la fonctionnalité de parcours NAT (NAT Traversal, ou NAT-T) IPsec.

Avec les routeurs appelants ou répondants Windows Server 2008, vous pouvez utiliser la fonctionnalité IPsec (Internet Protocol security) nommée NAT-T pour créer des connexions L2TP/IPsec sur des serveurs NAT. L’utilisation de NAT-T nécessite l’exécution de Windows Server 2008 sur le routeur appelant et sur le routeur répondant (ou des routeurs Cisco configurés de manière appropriée). Avec NAT-T, les ordinateurs ayant des adresses privées cachés derrière un serveur NAT peuvent utiliser IPsec pour se connecter à un site distant si la mise à jour NAT-T est installée sur ces ordinateurs (pour les ordinateurs exécutant Windows Vista® ou Windows XP Professionnel Service Pack 1). Il n’existe aucun éditeur NAT pour L2TP/IPsec ; la seule manière d’utiliser la traduction NAT consiste à implémenter la fonctionnalité NAT-T IPsec.

SSTP OuiLes clients VPN et les serveurs VPN SSTP peuvent se trouver derrière un routeur compatible NAT.

53

Différences entre la traduction d’adresses réseau et le partage de connexion InternetLe partage de connexion Internet (ICS, Internet Connection Sharing) procure une capacité de traduction réseau qui constitue une alternative à celle fournie par la traduction d’adresses réseau (NAT, Network Address Translation) dans Routage et accès à distance. Le partage de connexion Internet s’utilise en général sur les réseaux comptant entre deux et dix ordinateurs. Le partage de connexion Internet et la traduction d’adresses réseau de Routage et accès à distance partageant des pilotes communs, ils ne peuvent pas coexister sur le même réseau.

Pour connecter un réseau de petite entreprise ou un réseau domestique (SOHO) à Internet, vous pouvez appliquer l’une des deux méthodes suivantes :

1. Connexion routée

Pour une connexion routée, le serveur exécutant Routage et accès à distance assume la fonction de routeur IP qui transfère les paquets entre les hôtes SOHO et les hôtes Internet. Bien que conceptuellement simple, une connexion routée requiert une bonne connaissance de la configuration de routage et d’adresses IP pour les hôtes SOHO et le serveur exécutant Routage et accès à distance. Cependant, les connexions routées autorisent tout le trafic IP entre les hôtes SOHO et les hôtes Internet.

2. Connexion traduite

Pour une connexion traduite, le serveur exécutant Routage et accès à distance assume la fonction de traducteur d’adresses réseau : un routeur IP qui traduit les adresses pour les paquets transférés entre les hôtes SOHO et les hôtes Internet. On appelle cela la traduction d’adresses réseau (NAT). Les connexions traduites qui utilisent un serveur exécutant Routage et accès à distance nécessitent moins de connaissances du routage et de l’adressage IP et une configuration simplifiée des hôtes SOHO. Cependant, les connexions traduites peuvent ne pas autoriser tout le trafic IP entre les hôtes SOHO et les hôtes Internet.

Vous pouvez configurer une connexion traduite à Internet en appliquant une des méthodes suivantes.

Vous pouvez utiliser la fonctionnalité Partage de connexion Internet de Connexions réseau.

Vous pouvez utiliser le protocole de routage NAT fourni par le composant logiciel enfichable Routage et accès à distance sur les serveurs exécutant Windows Server® 2008 et Routage et accès à distance.

Les fonctionnalités Partage de connexion Internet et NAT procurent toutes deux des services de traduction, d’adressage et de résolution de noms aux hôtes SOHO.

Le partage de connexion Internet est conçu pour fournir une étape simple de configuration (une seule case à cocher) afin de fournir une connexion traduite à Internet pour tous les

54

ordinateurs du réseau SOHO. Toutefois, lorsqu’il est activé, le partage de connexion Internet n’autorise pas la configuration au-delà de celle des services et ports sur le réseau SOHO. Par exemple, le partage de connexion Internet est conçu pour une adresse IP unique obtenue par le biais d’un Fournisseur de services Internet (FAI) et ne vous permet pas de modifier la plage d’adresses IP allouées aux hôtes SOHO.

Le composant de protocole de routage NAT est conçu pour fournir une flexibilité maximale dans la configuration du serveur exécutant Routage et accès à distance afin de fournir une connexion traduite à Internet. Le composant de protocole de routage NAT requiert davantage d’étapes de configuration, mais chaque étape peut être personnalisée. La plus grande partie de la configuration peut s’effectuer à l’aide de l’Assistant Installation d'un serveur de routage et d’accès à distance. Le composant de protocole de routage NAT permet de spécifier des plages d’adresses fournies par un FAI et de configurer la plage d’adresses IP allouée aux hôtes SOHO.

Le tableau suivant résume les fonctionnalités et capacités du partage de connexion Internet et du composant de protocole de routage NAT.

 Partage de connexion Internet Traduction d’adresses réseau

Configuration par case à cocher unique Configuration manuelle

Adresse IP publique unique Adresses IP publiques multiples

Plage d’adresses fixe pour les hôtes SOHOPlage d’adresses configurable pour les hôtes SOHO

Interface SOHO unique Interfaces SOHO multiplesRemarque Le partage de connexion Internet est une fonctionnalité conçue pour connecter des réseaux SOHO à Internet. Le composant de protocole de routage NAT est conçu pour connecter de petits ou moyens réseaux d’entreprise à Internet. Ni l’un ni l’autre n’est conçu pour :

la connexion directe entre réseaux SOHO ;

la connexion de réseaux au sein d’un intranet ; la connexion directe de réseaux de succursales à un réseau d’entreprise ; la connexion de réseaux de succursales à un réseau d’entreprise par le biais d’Internet.

55

Routage de connexion à la demande Ajouter une interface de connexion à la demande

Qu’est-ce que le routage de connexion à la demande   ? Exemple de routage de connexion à la demande Processus de connexion à la demande

Ajouter une interface de connexion à la demandeLes interfaces de connexion à la demande connectent des routeurs sur des réseaux publics ou privés. Une interface de connexion à la demande peut être soit sur demande (activée uniquement en cas de besoin), soit permanente (toujours connectée), et initier des connexions unidirectionnelles ou bidirectionnelles.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs local ou à un groupe équivalent.).

Pour ajouter une interface de connexion à la demande

1. Ouvrez Routage et accès à distance.2. Dans l’arborescence de la console, cliquez sur Interfaces réseau.

Où ?

o Routage et accès à distance/nom_serveur/Interfaces réseau

3. Cliquez avec le bouton droit sur Interfaces réseau, puis cliquez sur Nouvelle interface de connexion à la demande.

4. Suivez les instructions qui s’affichent dans l’Assistant Interface de connexion à la demande.

56

Qu’est-ce que le routage de connexion à la demande ?Le routage à la demande est le transfert de paquets entre des réseaux et sur des liaisons PPP (Point-to-Point Protocol), telles que des lignes téléphoniques analogiques et RNIS (Réseau Numérique à Intégration de Services).

Comparaison routage à la demande/accès à distance

Le routage à la demande est différent de l’accès à distance. L’accès à distance établit une connexion entre un utilisateur unique et un réseau. Le routage à la demande établit une connexion entre des réseaux. Toutefois, l’accès à distance et le routage à la demande utilisent tous deux le protocole PPP pour négocier et authentifier la connexion et encapsuler les données envoyées sur la connexion. Telles qu’implémentées dans Routage et accès à distance pour Windows Server® 2008, les connexions d’accès à distance et à la demande peuvent être activées séparément mais partagent les éléments suivants :

Comportement des propriétés d’appel entrant des comptes d’utilisateurs.

Sécurité, y compris le chiffrement et les protocoles d’authentification. Utilisation des stratégies réseau. Utilisation de Windows ou du service RADIUS (Remote Authentication Dial-In User

Service) comme fournisseur d’authentification. Configuration de l’allocation des adresses IP. Utilisation de fonctionnalités PPP, telles que Microsoft Point-to-Point Compression

(MPPC), Multilink Protocol (MP) et Bandwidth Allocation Protocol (BAP). Fonctionnalités de dépannage, y compris l’enregistrement des événements,

l’authentification Windows ou RADIUS et la gestion de comptes, l’enregistrement et le traçage.

Routeurs et clients d’accès à distance

Étant donné que le service de routage et l’accès à distance coexistent sur un serveur exécutant Routage et accès à distance, les routeurs et les clients d’accès à distance peuvent appeler le même numéro de téléphone. Le serveur exécutant Routage et accès à distance qui répond à l’appel doit être capable de distinguer un client d’accès à distance d’un routeur qui appelle en vue de créer une connexion à la demande. Pour que la distinction entre un client d’accès à distance et un routeur de connexion à la demande soit possible, le nom d’utilisateur fourni dans les informations d’authentification envoyées par le routeur appelant doit correspondre exactement au nom d’une interface de connexion à la demande sur le routeur qui répond. Autrement, la connexion entrante est supposée être une connexion d’accès à distance.

57

Composants d’une connexion à la demande

Une connexion à la demande est constituée des composants suivants :

Routeur appelant, qui initie la connexion à la demande.

Routeur répondant, qui accepte la connexion à la demande initiée par le routeur appelant.

Support de connexion, soit un support physique, soit un support tunnel. Pour plus d’informations sur les supports de connexion, voir « Support de connexion » plus loin dans cette rubrique.

Composants d’une connexion à la demande

Composants communs pour les routeurs

Les composants suivants sont communs au routeur appelant et au routeur répondant :

Routage et accès à distance

Port

Routage et accès à distance

Le service Routage et accès à distance sur le routeur appelant doit être configuré en tant que routeur de réseau local (LAN) et de réseau étendu (WAN) et configuré pour l’allocation d’adresses IP et les méthodes d’authentification. Les adresses IP peuvent être allouées au moyen du protocole DHCP (Dynamic Host Configuration Protocol) ou d’un pool d’adresses statiques.

Port

Un port est un canal de communication physique ou logique qui prend en charge une connexion PPP unique. Les ports physiques sont basés sur un équipement installé dans le routeur appelant. Les ports VPN sont des ports logiques.

58

Composants du routeur appelant

Outre le service Routage et accès à distance et un port, le routeur appelant est constitué des composants suivants :

Interface de connexion à la demande

Itinéraire

Interface de connexion à la demande

Une interface de connexion à la demande configurée sur le routeur appelant représente la connexion PPP et contient des informations de configuration, telles que le port à utiliser, l’adressage utilisé pour créer la connexion (tel que le numéro de téléphone), les méthodes d’authentification et de chiffrement, ainsi que les informations d’authentification.

Itinéraire

Un itinéraire IP dans les tables de routage du routeur appelant est configuré de façon à utiliser une interface de connexion à la demande pour transférer le trafic.

Composants du routeur répondant

Outre le service Routage et accès à distance et un port, le routeur répondant est constitué des composants suivants :

Compte d’utilisateur

Interface de connexion à la demande Itinéraire

Remarque Les connexions bidirectionnelles et unidirectionnelles requièrent différentes configurations pour le routeur répondant. Pour plus d’informations sur les connexions bidirectionnelles et unidirectionnelles, voir « Types de connexions à la demande » plus loin dans cette rubrique.

Compte d’utilisateur

Pour authentifier le routeur appelant, les informations d’identification du routeur appelant doivent être vérifiées par les propriétés d’un compte d’utilisateur correspondant. Un compte d’utilisateur pour le routeur appelant doit être localement présent ou disponible par le biais de la sécurité Windows Server 2008. Si le routeur répondant est configuré pour l’authentification RADIUS, le serveur RADIUS doit avoir accès au compte d’utilisateur du routeur appelant.

59

Le compte d’utilisateur doit avoir les paramètres suivants :

Sous l’onglet Appel entrant, l’autorisation d’accès réseau est définie à Autoriser l’accès ou Contrôler l’accès via la Stratégie d’accès à distance.

Sous l’onglet Général ou Compte, l’option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session est désactivée et l’option Le mot de passe n’expire jamais est activée.

Pour une connexion unidirectionnelle, configurez les itinéraires IP statiques qui sont ajoutés à la table de routage du routeur répondant lorsque la connexion à la demande est établie.

Interface de connexion à la demande

Pour les connexions bidirectionnelles, une interface de connexion à la demande configurée sur le routeur répondant représente la connexion PPP au routeur appelant. Pour une connexion unidirectionnelle utilisant des itinéraires statiques sur le compte d’utilisateur du routeur appelant, une interface de connexion à la demande sur le routeur répondant n’a pas besoin d’être configurée.

Itinéraire

Pour les connexions bidirectionnelles, un itinéraire IP dans les tables de routage du routeur appelant est configuré de façon à utiliser une interface de connexion à la demande pour transférer le trafic.

Pour les connexions unidirectionnelles, vous pouvez configurer le compte d’utilisateur du routeur appelant avec des itinéraires IP statiques.

Support de connexion

La liaison PPP est établie sur un support tunnel ou un support physique. Les supports physiques incluent RTC et RNIS. Les supports tunnels incluent PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol).

PPPoE

PPPoE est une méthode d’encapsulation de trames PPP de sorte qu’elles puissent être envoyées sur un réseau Ethernet. En utilisant le protocole PPPoE et un modem haut débit, les clients de réseau local peuvent obtenir un accès individuel et authentifié à des réseaux de données à haut débit.

60

Types de connexions à la demande

Les connexions à la demande peuvent être permanentes ou sur demande, et unidirectionnelles ou bidirectionnelles.

Ces caractéristiques déterminent la configuration de l’interface de connexion à la demande.

Connexions sur demande et permanentes

Les connexions à la demande sont soit sur demande, soit permanentes.

Connexions sur demande

Les connexions sur demande sont utilisées lorsque le coût lié à l’utilisation de la liaison de communication est sensible au temps. Par exemple, les frais d’appels téléphoniques analogiques longue distance sont calculés à la minute près. Les connexions sur demande établissent la connexion lorsque le trafic est transféré et l’interrompent après une durée d’inactivité configurée.

Le comportement de déconnexion après inactivité est configuré sur le routeur appelant et sur le routeur répondant.

Sur le routeur appelant, la durée de connexion après inactivité est définie sous l’onglet Général des propriétés de l’interface de connexion à la demande.

Sur le routeur répondant, la durée de connexion après inactivité est définie dans la stratégie réseau utilisée par la connexion à la demande sur le serveur qui exécute Network Policy Server (NPS).

Connexions permanentes

Les connexions permanentes utilisent une technologie de réseau étendu d’accès à distance lorsque le coût de la liaison est fixe et que la connexion peut être active 24 heures sur 24. Parmi les exemples de technologies de réseau étendu pour les connexions à la demande permanentes, on peut citer les appels locaux qui utilisent des lignes téléphoniques analogiques, les lignes analogiques louées et les lignes RNIS à taux fixe. Si une connexion permanente est perdue, le routeur appelant tente immédiatement de rétablir la connexion.

Le comportement de connexion permanente doit être configuré sur le routeur appelant et sur le routeur répondant.

Connexions unidirectionnelles et bidirectionnelles

Les connexions à la demande sont soit unidirectionnelles, soit bidirectionnelles.

Connexions bidirectionnelles

Avec les connexions bidirectionnelles, l’un ou l’autre routeur peut être le routeur répondant ou le routeur appelant, selon le routeur qui initie la connexion. Les deux routeurs doivent être

61

configurés pour initier et accepter une connexion à la demande. Vous utilisez des connexions bidirectionnelles lorsque le trafic provenant d’un routeur ou l’autre peut créer la connexion à la demande. Les connexions à la demande bidirectionnelles présentent les impératifs suivants :

Les deux routeurs doivent être configurés comme routeurs de réseau local et de réseau étendu.

Des comptes d’utilisateurs doivent être ajoutés pour les deux routeurs de sorte que les informations d’authentification du routeur appelant soit accédées et validées par le routeur répondant.

Les interfaces de connexion à la demande doivent être entièrement configurées sur les deux routeurs et inclure le numéro de téléphone du routeur répondant et les informations d’identification de compte d’utilisateur pour authentifier le routeur appelant.

Des itinéraires statiques doivent être configurés sur les deux routeurs.

Pour que le routage à la demande bidirectionnel fonctionne correctement, les noms des comptes d’utilisateurs des routeurs appelants des deux côtés doivent correspondre au nom d’une interface de connexion à la demande. Le tableau suivant montre un exemple de cette configuration.

Exemple de configuration bidirectionnelle

 

Routeur Nom du compte

d’utilisateur Nom de l’interface de connexion à la

demande

Routeur de siège social

CorpHub NewYorkRouter

Routeur de succursale

NewYorkRouter CorpHub

Pour une description du processus de connexion bidirectionnelle, voir Processus de connexion à la demande.

Connexions unidirectionnelles

Avec les connexions unidirectionnelles, un routeur est toujours le routeur répondant et l’autre routeur est toujours le routeur appelant. La configuration de routage est simplifiée car il n’est pas nécessaire de configurer totalement les comptes d’utilisateurs, les interfaces de connexion à la demande et les itinéraires IP statiques des deux côtés de la connexion. Au lieu de configurer une interface de connexion à la demande sur le routeur répondant, des itinéraires statiques sont ajoutés aux propriétés d’appel entrant du compte d’utilisateur du routeur appelant.

62

Si votre routeur répondant est dans un domaine mixte Windows Server 2008 ou Windows Server 2003, les itinéraires statiques sur le compte d’utilisateur ne sont pas disponibles. Dans ce cas, les connexions unidirectionnelles présentent les impératifs suivants :

Les deux routeurs doivent être configurés comme routeurs de réseau local et de réseau étendu.

Un compte d’utilisateur doit être ajouté pour les informations d’authentification du routeur appelant.

Une interface de connexion à la demande doit être configurée sur le routeur appelant avec les informations d’identification utilisateur du compte d’utilisateur. Une interface de connexion à la demande doit être configurée sur le routeur répondant avec le même nom que le compte d’utilisateur utilisé par le routeur appelant. L’interface de connexion à la demande du routeur répondant n’étant pas utilisée pour effectuer des appels sortants, elle n’est pas configurée avec le numéro de téléphone du routeur appelant ni avec des informations d’identification utilisateur valides.

63