🔍
Résultats de recherche
Aucun résultat trouvé. Essayez un autre terme.
🔷
Modèle OSI — 7 Couches
Open Systems Interconnection · Standard ISO/IEC 7498
C'est quoi le modèle OSI ?
Le modèle OSI est un cadre conceptuel en 7 couches qui décrit comment les données circulent dans un réseau, de l'application jusqu'au câble physique. Chaque couche a un rôle précis et communique uniquement avec les couches adjacentes. En bas = physique, en haut = logiciel.
Moyen mnémotechnique (de bas en haut 1→7)
Pourquoi De Nombreux Techniciens Réseau Apprécient Apprendre — Physique, Données, Réseau, Transport, Session, Présentation, Application
7
Application
Interface directe avec l'utilisateur
Fournit les services réseau aux applications (navigateur, client mail…)
HTTP · HTTPS · FTP · SFTP · SMTP · POP3 · IMAP · DNS · DHCP · SSH · Telnet · SNMP · NTP
6
Présentation
Encodage, chiffrement, compression
Traduit les données entre formats (ASCII, EBCDIC) et gère le chiffrement TLS/SSL
SSL · TLS · JPEG · MPEG · ASCII · Unicode · Base64
5
Session
Gestion des sessions de communication
Ouvre, maintient et ferme les sessions entre applications. Gère la synchronisation et la reprise.
NetBIOS · RPC · SQL (sessions) · NFS · PAP
4
Transport
Fiabilité, segmentation, ports
Segmente les données, gère le contrôle de flux, la détection d'erreurs et la retransmission (TCP). Identifie les applications par ports.
TCP (fiable, connexion) · UDP (rapide, sans connexion) · SCTP
3
Réseau
Adressage logique et routage
Détermine le meilleur chemin pour acheminer les paquets entre réseaux différents via les adresses IP
IPv4 · IPv6 · ICMP · OSPF · BGP · EIGRP · RIPv2 · ARP
2
Liaison
Trames, adresses MAC, détection d'erreurs
Gère la communication entre deux nœuds directement connectés. Adresses MAC sur 48 bits. FCS pour contrôle d'erreur.
Ethernet · Wi-Fi (802.11) · ARP · PPP · STP · VLAN 802.1Q
1
Physique
Bits, câbles, signaux
Transmet les bits bruts sur le support physique (électrique, optique, radio). Définit les connecteurs, tensions, débits.
RJ45 · Fibre optique · USB · 802.3 (Ethernet) · Bluetooth · Wi-Fi physique
📦
Encapsulation des données
Comment les données changent de forme selon la couche
| Couche | Unité (PDU) | En-tête ajouté | Explication |
|---|---|---|---|
| Application (7) | Données | En-tête applicatif | Les données brutes de l'application (ex: requête HTTP) |
| Transport (4) | Segment (TCP) / Datagramme (UDP) | Port src, port dst, numéro séquence | Découpe en segments, ajoute les ports pour identifier l'application |
| Réseau (3) | Paquet | IP src, IP dst, TTL | Ajoute les adresses IP pour le routage entre réseaux |
| Liaison (2) | Trame | MAC src, MAC dst, FCS | Ajoute les adresses MAC pour la livraison locale |
| Physique (1) | Bits | Signal électrique/optique/radio | Conversion en bits sur le support physique |
🌐
Modèle TCP/IP
Suite de protocoles d'Internet · 4 couches
Différence OSI vs TCP/IP
OSI = modèle théorique en 7 couches (référence universelle). TCP/IP = modèle pratique en 4 couches, utilisé sur Internet. En pratique, c'est TCP/IP qui gouverne les réseaux, mais on parle en termes OSI pour l'analyse.
| Couche TCP/IP | Correspondance OSI | Protocoles clés | Rôle |
|---|---|---|---|
| Application | Couches 5-6-7 | HTTP, HTTPS, FTP, SMTP, DNS, DHCP, SSH, Telnet, SNMP, NTP | Interface avec les applications utilisateur |
| Transport | Couche 4 | TCP, UDP, SCTP | Segmentation, ports, fiabilité ou rapidité |
| Internet (Réseau) | Couche 3 | IPv4, IPv6, ICMP, ARP, OSPF, BGP, RIPv2, EIGRP | Adressage IP et routage entre réseaux |
| Accès réseau | Couches 1-2 | Ethernet, Wi-Fi, PPP, MPLS, Frame Relay | Transmission physique sur le support local |
⚔️
TCP vs UDP — En détail
Le choix entre fiabilité et performance
Quand choisir TCP ou UDP ?
TCP pour tout ce qui nécessite une livraison garantie (fichiers, pages web, emails). UDP pour tout ce qui doit être rapide et peut tolérer des pertes (VoIP, streaming vidéo, jeux en ligne, DNS).
| Critère | TCP | UDP |
|---|---|---|
| Connexion | Orienté connexion (handshake) | Sans connexion (connectionless) |
| Fiabilité | ✅ Accusés de réception (ACK), retransmission | ❌ Best-effort, pertes possibles |
| Ordre | ✅ Réordonnancement des segments | ❌ Ordre non garanti |
| Contrôle de flux | ✅ Fenêtre glissante | ❌ Aucun |
| Vitesse | Plus lent (overhead du handshake) | ✅ Très rapide |
| Handshake | 3-way : SYN → SYN-ACK → ACK | Aucun |
| Usages | HTTP/S, FTP, SSH, SMTP, Telnet, RDP | DNS, DHCP, VoIP, streaming, jeux, SNMP |
Le 3-way Handshake TCP expliqué
1. Client envoie SYN (je veux me connecter) → 2. Serveur répond SYN-ACK (d'accord, je suis là) → 3. Client envoie ACK (reçu, connexion établie). La connexion est fermée avec FIN-ACK.
🔢
Numéros de ports TCP/UDP
Organisation des ports
| Plage | Nom | Description |
|---|---|---|
| 0 – 1023 | Well-Known Ports | Ports réservés aux services système (HTTP 80, SSH 22, DNS 53…). Nécessitent des droits root pour écouter. |
| 1024 – 49151 | Registered Ports | Ports enregistrés par l'IANA pour des applications spécifiques (RDP 3389, MySQL 3306…) |
| 49152 – 65535 | Dynamic / Ephemeral | Ports temporaires utilisés par les clients pour initier des connexions. Choisis aléatoirement par l'OS. |
📍
Adressage IP (IPv4 & IPv6)
Adresses, masques, CIDR, VLSM, NAT
Adresse IPL3
Identifiant logique unique sur 32 bits (IPv4) ou 128 bits (IPv6) permettant d'identifier un hôte ou une interface réseau sur un réseau. Contrairement à l'adresse MAC (physique, permanente), l'adresse IP est logique et peut changer.
IPv4 = 4 octets en décimal pointé (ex: 192.168.1.1). IPv6 = 8 groupes de 4 hex séparés par ':' (ex: 2001:0db8::1)
Masque de sous-réseauIPv4
Valeur 32 bits qui sépare la partie réseau (bits à 1) de la partie hôte (bits à 0). Un AND logique entre l'adresse IP et le masque donne l'adresse réseau.
Ex: IP 192.168.1.50 AND masque 255.255.255.0 → réseau 192.168.1.0
Notation CIDRIPv4
Classless Inter-Domain Routing — notation compacte indiquant le nombre de bits à 1 du masque. Remplace les notations de classe (A/B/C) obsolètes. Permet un découpage flexible des réseaux.
/24 = 256 adresses, 254 hôtes. /30 = 4 adresses, 2 hôtes (liaisons point-à-point)
VLSMDesign
Variable Length Subnet Masking — technique de découpage de sous-réseaux utilisant des masques de longueurs différentes pour optimiser l'utilisation de l'espace d'adressage. Permet d'allouer exactement le nombre d'adresses nécessaires.
Ex: /30 pour les liaisons WAN (2 hôtes), /24 pour les LANs (254 hôtes)
NAT — Network Address TranslationIPv4
Traduction d'adresses IP privées en adresses publiques et inversement. Permet à tout un réseau local de partager une ou plusieurs adresses publiques pour accéder à Internet. Fonctionne en modifiant l'en-tête IP des paquets.
NAT Statique: 1 privée ↔ 1 publique fixe. NAT Dynamique: pool public. PAT/overload: 1 publique + ports
PAT — Port Address TranslationIPv4
Variante du NAT permettant de faire correspondre plusieurs adresses privées à une seule adresse publique en différenciant les sessions par le numéro de port source. Aussi appelé NAT overload. Utilisé par quasiment tous les routeurs domestiques.
Jusqu'à ~65 000 sessions simultanées sur 1 seule IP publique
🏷️
Classes IPv4 & Plages importantes
| Classe | 1er octet | Masque défaut | Réseaux / Hôtes | Usage |
|---|---|---|---|---|
| A | 1 – 126 | /8 (255.0.0.0) | 126 réseaux / 16 millions hôtes | Très grandes organisations |
| B | 128 – 191 | /16 (255.255.0.0) | 16 384 réseaux / 65 534 hôtes | Moyennes organisations |
| C | 192 – 223 | /24 (255.255.255.0) | 2 millions réseaux / 254 hôtes | Petits réseaux |
| D | 224 – 239 | — | Multicast uniquement | Streaming, routage (OSPF, RIP) |
| E | 240 – 255 | — | Réservé expérimental | Recherche (non routé) |
| Plage / Adresse | Type | Utilisation |
|---|---|---|
| 10.0.0.0/8 | Privée classe A | LAN grandes entreprises — 16M d'adresses |
| 172.16.0.0/12 | Privée classe B | 172.16.x.x à 172.31.x.x — 1M d'adresses |
| 192.168.0.0/16 | Privée classe C | LAN domestique et PME — 65 536 adresses |
| 127.0.0.0/8 | Loopback | Tests locaux — 127.0.0.1 = localhost, reste la machine elle-même |
| 169.254.0.0/16 | APIPA | Auto-configuration si DHCP indisponible — adresse de secours Windows |
| 0.0.0.0/0 | Route défaut | Représente toutes les destinations (route de dernier recours) |
| 255.255.255.255 | Broadcast limité | Broadcast réseau local uniquement (non routé) |
| 224.0.0.0/4 | Multicast | 224.0.0.5=OSPF, 224.0.0.9=RIPv2, 224.0.0.18=VRRP |
🔢
Calcul rapide CIDR
| CIDR | Masque | Nb adresses | Nb hôtes utiles | Usage typique |
|---|---|---|---|---|
| /30 | 255.255.255.252 | 4 | 2 | Liaisons point-à-point WAN |
| /29 | 255.255.255.248 | 8 | 6 | Petit segment DMZ |
| /28 | 255.255.255.240 | 16 | 14 | Petite salle serveurs |
| /27 | 255.255.255.224 | 32 | 30 | Petit département |
| /26 | 255.255.255.192 | 64 | 62 | Moyen département |
| /25 | 255.255.255.128 | 128 | 126 | Grand département |
| /24 | 255.255.255.0 | 256 | 254 | LAN standard |
| /23 | 255.255.254.0 | 512 | 510 | Campus moyen |
| /16 | 255.255.0.0 | 65 536 | 65 534 | Grande entreprise |
📡
Protocoles réseau essentiels
Ports, rôles et explications détaillées
Comment retenir les protocoles ?
Associe chaque protocole à son usage concret : HTTP = naviguer, SMTP = envoyer un mail, SSH = terminal distant sécurisé, DNS = annuaire Internet. Les ports sont à mémoriser absolument pour l'examen.
| Protocole | Port | Transport | Description complète |
|---|---|---|---|
| HTTP | 80 | TCP | HyperText Transfer Protocol — Protocole de base du web. Transfert de pages HTML, non chiffré. Toutes les données transitent en clair (à éviter pour données sensibles). |
| HTTPS | 443 | TCP | HTTP Secure — HTTP encapsulé dans TLS/SSL. Chiffrement asymétrique lors de l'échange de clé, puis symétrique (AES) pour les données. Certificat X.509 requis côté serveur. |
| FTP | 20-21 | TCP | File Transfer Protocol — Transfert de fichiers. Port 21 = contrôle des commandes, port 20 = transfert des données. Non chiffré. Modes actif et passif. |
| SFTP | 22 | TCP | SSH File Transfer Protocol — FTP sécurisé via un tunnel SSH. Entièrement chiffré. À ne pas confondre avec FTPS (FTP + SSL). |
| FTPS | 990/21 | TCP | FTP over SSL/TLS — FTP chiffré avec TLS. Port 990 = mode implicite, port 21 = STARTTLS explicite. Différent de SFTP (pas de SSH). |
| SSH | 22 | TCP | Secure Shell — Accès distant sécurisé à un terminal, transfert de fichiers (SFTP/SCP), tunneling. Remplace Telnet. Authentification par mot de passe ou clé publique/privée. Chiffrement fort. |
| Telnet | 23 | TCP | Teletype Network — Accès distant en clair, tout le trafic non chiffré (visible avec Wireshark). OBSOLÈTE, remplacé par SSH. À bloquer absolument sur les firewalls. |
| SMTP | 25 | TCP | Simple Mail Transfer Protocol — Envoi d'emails entre serveurs de messagerie. Le port 25 est souvent bloqué par les FAI pour éviter le spam. |
| SMTPS | 465 / 587 | TCP | SMTP Sécurisé — Port 465 = SSL implicite, port 587 = STARTTLS explicite. Utilisé pour l'envoi des clients de messagerie vers le serveur. |
| POP3 | 110 | TCP | Post Office Protocol v3 — Réception d'emails : télécharge les messages et les supprime du serveur par défaut. Simple, adapté aux accès offline. POP3S = port 995. |
| IMAP | 143 | TCP | Internet Message Access Protocol — Lecture des emails en laissant les messages sur le serveur. Synchronisation multi-appareils. Supporte les dossiers, flags, recherche côté serveur. IMAPS = port 993. |
| DNS | 53 | UDP + TCP | Domain Name System — Traduit les noms de domaine en adresses IP (résolution directe) et inversement (reverse DNS). UDP pour les requêtes courtes, TCP pour les transferts de zone et réponses larges. |
| DHCP | 67-68 | UDP | Dynamic Host Configuration Protocol — Attribution automatique d'IP, masque, passerelle, DNS aux hôtes. Serveur écoute sur 67, client envoie depuis 68. Processus DORA. |
| SNMP | 161-162 | UDP | Simple Network Management Protocol — Supervision des équipements réseau. v1/v2c = communautés en clair, v3 = authentification + chiffrement. Port 161 = requêtes, 162 = traps (alertes). |
| NTP | 123 | UDP | Network Time Protocol — Synchronisation de l'horloge des serveurs et équipements réseau. Critique pour les logs, certificats, Kerberos (AD). Stratum 0 = source atomique, Stratum 1 = serveur principal. |
| TFTP | 69 | UDP | Trivial FTP — Transfert simple sans authentification. Utilisé pour le boot PXE, mise à jour de firmwares Cisco, configurations réseau. Pas de gestion de répertoire ni de sécurité. |
| LDAP | 389 | TCP | Lightweight Directory Access Protocol — Accès aux annuaires (Active Directory, OpenLDAP). Permet l'authentification centralisée. LDAPS = port 636 (chiffré TLS). |
| RDP | 3389 | TCP | Remote Desktop Protocol — Protocole Microsoft de bureau à distance graphique. Permet le contrôle complet d'un PC Windows. Cible fréquente d'attaques (brute-force, exploits). |
| RADIUS | 1812-1813 | UDP | Remote Authentication Dial-In User Service — Protocole AAA (Authentication, Authorization, Accounting). Utilisé pour 802.1X, VPN, Wi-Fi entreprise. Port 1812 = auth, 1813 = accounting. |
| TACACS+ | 49 | TCP | Terminal Access Controller Access-Control System+ — Protocole AAA Cisco (propriétaire). Chiffre l'intégralité du paquet (vs RADIUS qui ne chiffre que le mot de passe). TCP = plus fiable. |
| Syslog | 514 | UDP | System Logging Protocol — Envoi centralisé de logs réseau vers un serveur. 8 niveaux de sévérité : 0=Emergency, 1=Alert, 2=Critical, 3=Error, 4=Warning, 5=Notice, 6=Info, 7=Debug. |
| BGP | 179 | TCP | Border Gateway Protocol — Protocole de routage de l'Internet (EGP). Route entre Autonomous Systems (AS). Basé sur des politiques (attributs). Convergence lente mais très flexible. |
| OSPF | — | IP proto 89 | Open Shortest Path First — IGP à état de lien (link-state). Algorithme de Dijkstra (SPF). Métrique = coût (basé sur bande passante). Zones pour scalabilité, Area 0 = backbone obligatoire. |
| RIPv2 | 520 | UDP | Routing Information Protocol v2 — IGP vecteur-distance. Maximum 15 sauts (16=inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF. |
| EIGRP | — | IP proto 88 | Enhanced Interior Gateway Routing Protocol — Protocole hybride Cisco (propriétaire). Combine vecteur-distance et link-state. Métrique composée (bande passante + délai). Convergence rapide via DUAL. |
| SIP | 5060-5061 | UDP/TCP | Session Initiation Protocol — Établissement et gestion des sessions VoIP (appels). Port 5060 = non chiffré, 5061 = TLS. Protocole de signalisation (la voix passe par RTP/UDP). |
| VRRP | — | IP proto 112 | Virtual Router Redundancy Protocol — Haute disponibilité de passerelle. Partage une IP virtuelle entre plusieurs routeurs. Standard IEEE (contrairement à HSRP qui est Cisco). |
| SMB/CIFS | 445 | TCP | Server Message Block — Partage de fichiers, imprimantes et accès aux ressources Windows. Cible de nombreuses attaques (EternalBlue, WannaCry). Port 139 = ancienne version via NetBIOS. |
🖥️
Équipements réseau
Matériels, rôles et positionnement dans l'architecture
Hub (Concentrateur)Couche 1
Équipement basique qui répète le signal électrique sur tous les ports simultanément. Tous les hôtes partagent le même domaine de collision. Une seule transmission possible à la fois (half-duplex). Aujourd'hui totalement obsolète.
Remplacé par le switch. Jamais utilisé dans un réseau moderne.
Switch (Commutateur)Couche 2
Équipement central du LAN qui commute les trames Ethernet entre ports en utilisant les adresses MAC. Maintient une table MAC (table CAM) pour apprendre les adresses. Chaque port = son propre domaine de collision. Supporte le full-duplex.
Switch manageable = configuration VLAN, QoS, STP, port security, SNMP. Switch L3 = routage entre VLANs.
RouteurCouche 3
Équipement qui route les paquets IP entre réseaux différents. Maintient une table de routage et choisit le meilleur chemin. Chaque interface est dans un réseau différent. Sépare les domaines de broadcast.
Un routeur ne fait jamais suivre les broadcasts — c'est ce qui délimite les réseaux.
Pare-feu (Firewall)L3/L4/L7
Équipement de sécurité qui filtre le trafic réseau selon des règles. Peut être stateless (filtre sur IP/port), stateful (suit l'état des connexions) ou applicatif (inspecte le contenu L7). Protège les frontières réseau.
pfSense, Fortigate, Cisco ASA, iptables (Linux), Windows Defender Firewall.
Point d'accès Wi-Fi (AP)Couche 2
Équipement permettant la connexion sans fil des clients (smartphones, laptops) au réseau filaire. Diffuse un ou plusieurs SSID. Standards Wi-Fi : 802.11a/b/g/n/ac/ax (Wi-Fi 6).
WLC (Wireless LAN Controller) = gestion centralisée de plusieurs AP. Mode léger vs autonome.
ProxyCouche 7
Intermédiaire entre clients et serveurs. Filtrage de contenu web, mise en cache (accélération), anonymisation, authentification des accès Internet. Proxy transparent = invisible au client (pas de configuration requise).
Squid = proxy Linux. Proxy inverse (reverse proxy) = protège les serveurs (ex: Nginx).
IDS / IPSSécurité
Intrusion Detection/Prevention System. IDS = analyse le trafic et génère des alertes (passif). IPS = bloque activement les attaques détectées (inline dans le flux). Détection par signatures ou comportement.
Snort, Suricata = IDS/IPS open-source. Zeek = analyse comportementale réseau.
Load BalancerCouche 4/7
Répartit les requêtes entrantes entre plusieurs serveurs pour équilibrer la charge et assurer la haute disponibilité. Algorithmes : Round Robin, Least Connections, IP Hash. Peut faire de la terminaison SSL.
HAProxy, Nginx, F5 BIG-IP, AWS ELB. Indispensable pour les architectures web scalables.
NIC — Carte réseauCouche 1-2
Network Interface Card — Interface matérielle entre l'ordinateur et le réseau. Chaque NIC possède une adresse MAC unique sur 48 bits gravée par le fabricant (OUI + numéro unique). Peut être filaire (Ethernet) ou sans fil (Wi-Fi).
L'adresse MAC peut être usurpée (MAC spoofing) logiciellement.
ModemCouche 1
MOdulateur/DEModulateur — Convertit le signal numérique en signal analogique pour la transmission sur ligne téléphonique (ADSL) ou câble, et inversement. Pour la fibre, on parle d'ONT (Optical Network Terminal).
En pratique, la box FAI intègre modem + routeur + switch + AP Wi-Fi.
🔀
VLAN & Commutation
Segmentation logique, trunk 802.1Q, STP, EtherChannel
VLAN — Virtual LAN802.1Q
Segmentation logique d'un réseau physique en plusieurs réseaux virtuels isolés. Chaque VLAN = domaine de broadcast séparé. Les hôtes de VLANs différents ne peuvent pas communiquer directement sans routeur. Un VLAN ID sur 12 bits = 4094 VLANs possibles (1 à 4094).
VLAN 1 = VLAN natif par défaut (à changer). VLAN 1002-1005 = réservés Token Ring/FDDI.
Tag 802.1QStandard
Champ de 4 octets inséré dans la trame Ethernet pour identifier le VLAN. Composé de : TPID (0x8100 = identifiant VLAN), TCI (Priority + DEI + VLAN ID 12 bits). Permet de transporter plusieurs VLANs sur un même lien physique (trunk).
La trame taguée augmente la taille maximale de 1500 à 1522 octets (baby giant frame).
Port AccessSwitch
Port switch appartenant à un seul VLAN. Les trames ne sont pas taguées (le tag est retiré à la sortie). Connecté aux équipements finaux (PC, serveur, imprimante). L'équipement final ne sait pas qu'il est dans un VLAN.
Port TrunkSwitch
Port switch transportant plusieurs VLANs simultanément grâce aux tags 802.1Q. Utilisé pour les liaisons entre switches et entre switch et routeur. Le VLAN natif circule sans tag sur le trunk.
DTP (Dynamic Trunking Protocol) = négociation automatique du mode trunk (Cisco). À désactiver pour la sécurité.
Inter-VLAN RoutingL3
Communication entre VLANs nécessite un équipement de couche 3. Deux approches : Router-on-a-Stick (routeur avec sous-interfaces taguées sur un trunk) ou Switch L3 (SVI = Switch Virtual Interface par VLAN).
Router-on-a-Stick = goulot d'étranglement. Switch L3 = plus performant mais plus coûteux.
STP — Spanning Tree Protocol802.1D
Protocole qui évite les boucles L2 dans les réseaux avec liens redondants. Élit un Root Bridge (priorité + MAC la plus basse). Chaque switch calcule le chemin le plus court vers le Root Bridge. Bloque les ports redondants.
RSTP (802.1w) = convergence rapide (secondes vs 30-50s). MSTP (802.1s) = un STP par groupe de VLANs.
États des ports STP802.1D
Chaque port passe par des états : Blocking (ne fait rien), Listening (écoute les BPDU), Learning (apprend les MAC), Forwarding (actif), Disabled (désactivé admin). RSTP simplifie : Discarding, Learning, Forwarding.
EtherChannel / LACP802.3ad
Agrégation de plusieurs liens physiques en un lien logique unique (LAG = Link Aggregation Group). Augmente la bande passante et offre la redondance. LACP (802.3ad) = standard ouvert. PAgP = propriétaire Cisco.
STP voit l'EtherChannel comme un seul lien → pas de blocage sur les liens agrégés.
Port Mirroring (SPAN)Switch
Switched Port Analyzer — Copie le trafic d'un ou plusieurs ports source vers un port destination. Permet l'analyse avec Wireshark ou un IDS sans interrompre le trafic. RSPAN = mirroring vers un switch distant.
🗺️
Routage
Statique, dynamique, OSPF, BGP, métriques, distance administrative
Routage statiqueL3
Route configurée manuellement par l'administrateur. Aucune mise à jour automatique en cas de panne. Simple, prévisible, sans overhead. Utilisé sur petits réseaux, liaisons WAN point-à-point ou route par défaut.
Distance Administrative = 1 (plus prioritaire que tout protocole dynamique). Commande: ip route [réseau] [masque] [nexthop]
Routage dynamiqueL3
Le routeur échange des informations avec ses voisins pour construire et mettre à jour automatiquement sa table de routage. S'adapte aux pannes (convergence). Plus complexe à configurer mais plus résilient.
Distance Administrative (AD)Cisco
Valeur indiquant la fiabilité relative d'une source de routage. En cas de routes identiques apprises par plusieurs protocoles, l'AD la plus basse est préférée. Configurable manuellement.
Connecté=0, Statique=1, eBGP=20, EIGRP=90, OSPF=110, IS-IS=115, RIP=120, iBGP=200
Métrique de routageAlgo
Valeur calculée pour choisir la meilleure route quand plusieurs chemins vers la même destination existent (via le même protocole). Différente selon le protocole : RIP = nombre de sauts, OSPF = coût (inversement proportionnel à la bande passante), EIGRP = bande passante + délai.
OSPF — Open Shortest Path FirstIGP
Protocole IGP à état de lien. Chaque routeur construit une carte complète du réseau (LSDB) en échangeant des LSA (Link State Advertisements). Utilise l'algorithme SPF (Dijkstra) pour calculer les meilleures routes. Très scalable grâce aux Areas.
Area 0 = backbone obligatoire. DR/BDR élus sur les réseaux broadcast. Coût = 10^8 / bande passante.
BGP — Border Gateway ProtocolEGP
Protocole de routage de l'Internet. Fonctionne entre Autonomous Systems (AS) différents. Basé sur des politiques (attributs : AS-PATH, MED, LOCAL_PREF…). Convergence lente mais extrêmement flexible. eBGP = entre AS, iBGP = au sein d'un AS.
Chaque opérateur internet est un AS. BGP gère les 900 000+ routes d'Internet (table de routage globale).
RIPv2IGP
Protocole IGP à vecteur-distance. Échange les tables de routage complètes toutes les 30 secondes. Maximum 15 sauts (16 = inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF.
Route par défaut (default route)L3
Route 0.0.0.0/0 — correspond à toutes les destinations non connues dans la table de routage. Route de "dernier recours" dirigeant le trafic vers Internet ou vers un routeur de sortie. Le masque le plus court possible (plus long = plus spécifique = prioritaire).
| Protocole | Type | Algorithme | Métrique | Convergence | Limite |
|---|---|---|---|---|---|
| RIPv2 | IGP, Vecteur-distance | Bellman-Ford | Nombre de sauts | Lente (90s+) | 15 sauts max |
| OSPF | IGP, État de lien | Dijkstra (SPF) | Coût (BW) | Rapide (secondes) | Areas pour scalabilité |
| EIGRP | IGP, Hybride (Cisco) | DUAL | BW + délai | Très rapide | Propriétaire Cisco |
| BGP | EGP, Path vector | Politiques | Attributs | Lente (minutes) | Complexité config |
🔐
Sécurité réseau
ACL, VPN, IPsec, 802.1X, attaques et contre-mesures
ACL — Access Control ListFiltrage
Liste de règles permit/deny appliquée sur une interface routeur pour filtrer le trafic. Standard (filtrage sur IP source uniquement, numéros 1-99). Extended (IP src + IP dst + protocole + port, numéros 100-199).
Règle implicite "deny all" à la fin. ACL standard = proche destination. ACL étendue = proche source. Traitement séquentiel, première règle correspondante appliquée.
Firewall StatefulSécurité
Maintient une table d'états des connexions actives. Autorise automatiquement le trafic de retour d'une session établie (ACK d'un TCP initié depuis l'intérieur). Plus intelligent qu'un simple filtrage de paquets (stateless).
Un paquet SYN entrant non sollicité = bloqué. Un ACK en réponse à un SYN sortant = autorisé.
DMZ — Demilitarized ZoneArchitecture
Zone réseau intermédiaire entre Internet et le LAN interne. Héberge les serveurs accessibles publiquement (web, mail, FTP). Isolée par deux firewalls ou par une interface dédiée du firewall principal.
Règle fondamentale : DMZ vers LAN interne doit être bloqué par défaut.
VPN — Virtual Private NetworkTunnel
Tunnel chiffré sur un réseau public (Internet). Protège la confidentialité et l'intégrité des données en transit. Types : IPsec Site-to-Site, SSL/TLS (client distant), OpenVPN, WireGuard.
Split tunneling = seul le trafic entreprise passe par le VPN. Full tunnel = tout le trafic.
IPsecProtocole
Suite de protocoles sécurisant IP. AH (Authentication Header) = intégrité + authentification. ESP (Encapsulating Security Payload) = intégrité + authentification + chiffrement. Modes : Transport (hôte à hôte, protège payload) et Tunnel (réseau à réseau, protège tout le paquet).
IKE (Internet Key Exchange) = échange des clés de chiffrement en deux phases.
802.1X — Authentification port-basedStandard
Authentification réseau par port switch ou AP Wi-Fi. Trois rôles : Supplicant (client cherchant l'accès), Authenticator (switch/AP), Authentication Server (RADIUS). Protocole EAP pour l'échange d'authentification.
Avant authentification : seul le trafic EAPOL est autorisé. Après : port débloqué.
ARP SpoofingAttaque
L'attaquant envoie de fausses réponses ARP pour associer son adresse MAC à l'IP de la passerelle (ou d'un autre hôte). Résultat : le trafic est redirigé vers l'attaquant (attaque Man-in-the-Middle).
Contre-mesures : DAI (Dynamic ARP Inspection) sur le switch, DHCP Snooping, chiffrement du trafic.
DHCP SnoopingSécurité L2
Protection contre les serveurs DHCP non autorisés. Ports "trusted" (vrais serveurs DHCP) vs "untrusted" (clients). Les messages DHCP OFFER/ACK venant d'un port untrusted sont bloqués. Construit une base d'associations IP-MAC-port utilisée par DAI et IP Source Guard.
VLAN HoppingAttaque
Attaque permettant d'accéder à un VLAN non autorisé. Deux méthodes : Switch Spoofing (l'attaquant prétend être un switch et négocie un trunk) ou Double Tagging (trame avec double tag 802.1Q pour traverser les switches).
Contre-mesures : désactiver DTP (switchport nonegotiate), changer le VLAN natif (≠ VLAN 1), désactiver les ports inutilisés.
Port SecuritySwitch
Fonctionnalité Cisco limitant les adresses MAC autorisées sur un port. Protège contre le MAC flooding (saturation de la table CAM). Actions en cas de violation : restrict (log), protect (drop), shutdown (port en err-disable).
TLS — Transport Layer SecurityChiffrement
Protocole de chiffrement des communications sur Internet (remplace SSL). Utilisé par HTTPS, SMTPS, IMAPS, LDAPS. Handshake : échange de certificats, négociation d'algorithmes, établissement clé de session symétrique (AES).
TLS 1.3 = le plus récent et sécurisé. TLS 1.0/1.1 = obsolètes, à désactiver. SSL = vulnérable (POODLE, BEAST).
PKI — Public Key InfrastructureCertificats
Infrastructure de gestion des certificats numériques X.509. Composants : CA (Autorité de Certification), RA (Autorité d'Enregistrement), CRL (liste de révocation), OCSP (vérification en temps réel). La CA signe les certificats avec sa clé privée.
🌍
Technologies WAN
Liaisons longue distance, opérateurs, MPLS, SD-WAN
| Technologie | Support | Débit typique | Symétrique | Caractéristiques |
|---|---|---|---|---|
| ADSL | Paire de cuivre | Montant ~1Mb / Descendant ~20Mb | ❌ | Asymétrique, distance limite ~5km du DSLAM |
| VDSL2 | Paire de cuivre | Jusqu'à 200Mb/100Mb | Partielle | Fibre + cuivre (FTTN/FTTB), distance ~500m |
| FTTH (Fibre) | Fibre optique | 100Mb à 10Gb | ✅ | GPON/XGS-PON, ONT chez l'abonné, très faible latence |
| MPLS | Réseau opérateur | Variable (2Mb à nGb) | ✅ | Labels, QoS garanti, VPN L2/L3, SLA, coûteux |
| SD-WAN | Tout lien IP | Dépend des liens | — | Gestion centralisée, multi-liens (MPLS+Internet+4G), moins cher que MPLS |
| 4G LTE | Radio cellulaire | Jusqu'à 150Mb | Partielle | Nomadisme, secours WAN, latence ~30-50ms |
| 5G | Radio cellulaire | >1Gb (théorique) | Partielle | Très faible latence (<10ms), eMBB/URLLC/mMTC |
| Leased Line | Fibre dédiée | Variable | ✅ | Dédiée, très fiable, très coûteuse, SLA strict |
| PPPoE | Ethernet | Dépend du lien | — | Encapsulation PPP sur Ethernet, auth CHAP/PAP, utilisé par FAI |
MPLS — Multiprotocol Label SwitchingWAN
Technologie réseau opérateur utilisant des étiquettes (labels) pour acheminer les paquets sans examiner l'en-tête IP à chaque saut. LSR (Label Switch Router) commute sur le label. Permet la QoS, les VPN, et est très rapide.
Labels ajoutées entre couche 2 et couche 3 (shim header). Ingress LSR = ajoute le label, Egress LSR = retire le label.
SD-WAN — Software Defined WANWAN
Gestion logicielle du WAN permettant d'utiliser plusieurs types de liens (MPLS, Internet, 4G) de façon coordonnée. Le contrôleur centralisé distribue les politiques. Réduit les coûts MPLS en ajoutant de l'Internet. Priorité intelligente du trafic.
QoS — Quality of ServicePriorisation
Mécanisme de priorisation du trafic réseau. Assure que les applications critiques (VoIP, vidéo) obtiennent la bande passante et la latence nécessaires. Techniques : DSCP (marquage), files d'attente (FIFO, WFQ, CBWFQ), shaping, policing.
Priorité recommandée : VoIP (EF) > Vidéo (AF41) > Business critical > Best effort
📊
Supervision & Outils réseau
SNMP, Syslog, NetFlow, analyse de paquets
SNMP v1/v2c/v3Supervision
Simple Network Management Protocol — Protocole standard de supervision des équipements réseau (CPU, RAM, interfaces, bande passante, erreurs). Fonctionnement : NMS (gestionnaire) interroge les agents SNMP. Traps = alertes envoyées spontanément par l'agent.
v1/v2c = communautés en clair (insécure). v3 = auth (MD5/SHA) + chiffrement (DES/AES) obligatoire en prod. Port 161 (requêtes) / 162 (traps).
MIB & OIDSNMP
Management Information Base — Base de données hiérarchique (arbre) décrivant tous les objets supervisables d'un équipement. Chaque objet est identifié par un OID (Object Identifier) sous forme de nombres pointés (ex: 1.3.6.1.2.1.1.1 = sysDescr).
SyslogLogs
Protocole d'envoi centralisé de messages de log vers un serveur Syslog (ex: Graylog, Splunk, ELK). Utilisé par routeurs, switches, firewalls, serveurs Linux. 8 niveaux de sévérité (0=Emergency critique → 7=Debug verbeux).
Port 514/UDP (non fiable). Syslog over TLS = port 6514/TCP (sécurisé). Parseurs : rsyslog, syslog-ng.
NetFlow / IPFIX / sFlowAnalyse flux
Analyse des flux réseau (qui parle à qui, combien de données, quand). NetFlow = Cisco propriétaire (v5/v9). IPFIX = standard IETF basé sur NetFlow v9. sFlow = sampling (1 paquet sur N analysé, moins d'impact CPU).
Indispensable pour la détection d'anomalies, la facturation, la sécurité (détection DDoS, exfiltration).
ICMP — Ping & TracerouteDiagnostic
Internet Control Message Protocol — Protocole de diagnostic réseau L3. Ping = echo request/reply pour tester la connectivité et mesurer la latence (RTT). Traceroute = exploite le champ TTL pour cartographier le chemin des paquets et identifier les sauts.
TTL décrémenté à chaque saut. Quand TTL=0, le routeur renvoie ICMP "Time Exceeded" → Traceroute capture cela pour chaque saut.
WiresharkAnalyse
Analyseur de paquets (sniffer) graphique et multiplateforme. Capture et analyse le trafic réseau en temps réel ou depuis des fichiers .pcap. Filtres BPF (capture) et filtres d'affichage. Indispensable pour le dépannage et la sécurité.
Filtres utiles : tcp.port==80 (HTTP), ip.addr==192.168.1.1, http.request, dns. tcpdump = version CLI Linux.
NmapAudit
Network Mapper — Scanner réseau de référence. Découverte d'hôtes actifs, scan de ports ouverts, détection de services et versions, fingerprinting OS. Scripts NSE pour des tests avancés.
-sS = SYN scan (furtif), -sV = versions, -O = OS, -A = agressif. Toujours utiliser avec autorisation !
Centreon / Nagios / ZabbixNMS
Solutions de supervision infrastructure. Nagios = moteur open-source historique. Centreon = surcouche Nagios avec interface moderne. Zabbix = supervision complète (agents, SNMP, JMX, traces). Alertes email/SMS, graphiques de performance.
NRPE (Nagios) / Zabbix Agent = exécution de checks sur les hôtes distants. SNMP = pour les équipements réseau.
📋
DNS & DHCP en détail
Résolution de noms, enregistrements, attribution dynamique
DNS — Le "annuaire" d'Internet
Le DNS (Domain Name System) traduit les noms humains (google.com) en adresses IP (142.250.74.46). Sans DNS, il faudrait connaître par cœur l'adresse IP de chaque site. La résolution est hiérarchique et mise en cache.
| Enregistrement | Signification | Exemple | Usage |
|---|---|---|---|
| A | Address | monsite.com → 93.184.216.34 | Résolution nom vers IPv4 |
| AAAA | IPv6 Address | monsite.com → 2606:2800:220:1:: | Résolution nom vers IPv6 |
| CNAME | Canonical Name | www.monsite.com → monsite.com | Alias pointant vers un autre nom |
| MX | Mail Exchanger | monsite.com → mail.monsite.com (prio 10) | Serveur de messagerie du domaine |
| PTR | Pointer | 34.216.184.93.in-addr.arpa → monsite.com | Reverse DNS (IP → nom) |
| NS | Name Server | monsite.com → ns1.hebergeur.com | Serveurs DNS autoritaires du domaine |
| SOA | Start of Authority | Serial, Refresh, Retry, Expire, TTL | Infos administratives de la zone DNS |
| TXT | Text | v=spf1 include:... → SPF record | SPF, DKIM, DMARC, vérification domaine |
| SRV | Service | _sip._tcp.monsite.com → sipserver:5060 | Localisation de services (SIP, LDAP, XMPP) |
Processus de résolution DNS
1. Cache local (fichier hosts, cache OS) → 2. Serveur DNS récursif (fourni par DHCP/FAI) → 3. Serveur Root (.) → 4. Serveur TLD (.com, .fr) → 5. Serveur autoritaire du domaine → Réponse mise en cache selon TTL.
DNS Récursif vs AutoritaireDNS
Résolveur récursif = interroge d'autres serveurs DNS pour le compte du client (ex: 8.8.8.8 Google, 1.1.1.1 Cloudflare). Serveur autoritaire = détient la réponse finale pour sa zone (ex: le serveur DNS de votre hébergeur).
TTL (DNS)Cache
Time To Live — Durée en secondes pendant laquelle un enregistrement DNS est mis en cache. TTL court (300s) = propagation rapide des changements. TTL long (86400s) = moins de requêtes mais changements lents à propager.
🔄
DHCP — Processus DORA
Dynamic Host Configuration Protocol
DORA — 4 étapes d'attribution IP
D = Discover (broadcast, le client cherche un serveur DHCP) → O = Offer (le serveur propose une IP) → R = Request (le client accepte l'offre) → A = Acknowledge (le serveur confirme et attribue l'IP, masque, GW, DNS, durée du bail)
| Étape DORA | Type message | Src → Dst | Description |
|---|---|---|---|
| Discover | DHCPDISCOVER | 0.0.0.0 → 255.255.255.255 (broadcast) | Le client broadcast pour trouver un serveur DHCP |
| Offer | DHCPOFFER | Serveur → broadcast | Le serveur propose une IP disponible + paramètres |
| Request | DHCPREQUEST | 0.0.0.0 → 255.255.255.255 | Le client accepte l'offre et le fait savoir (en broadcast pour informer les autres serveurs) |
| Acknowledge | DHCPACK | Serveur → client | Confirmation définitive — le bail commence |
Bail DHCP (Lease)DHCP
Durée de validité d'une adresse IP attribuée par DHCP. À 50% du bail, le client tente de renouveler (DHCPREQUEST unicast). À 87.5%, il re-broadcast. Si pas de renouvellement → libération de l'IP.
DHCP Relay (ip helper-address)DHCP
Permet au serveur DHCP de fonctionner sur un sous-réseau différent des clients. Le routeur intercepte les broadcasts DHCP et les relaie en unicast vers le serveur distant.
Cisco : ip helper-address [IP serveur DHCP] sur l'interface cliente du routeur.
🔌
Câblage & Normes physiques
Catégories Ethernet, fibre, connecteurs, PoE
| Catégorie | Débit max | Distance max | Fréquence | Notes |
|---|---|---|---|---|
| Cat 5e | 1 Gb/s | 100 m | 100 MHz | Standard LAN courant, très répandu |
| Cat 6 | 10 Gb/s | 55 m (10G) / 100m (1G) | 250 MHz | 10G sur courte distance, blindage partiel |
| Cat 6A | 10 Gb/s | 100 m | 500 MHz | 10G sur 100m, blindage amélioré (STP), plus rigide |
| Cat 7 | 10 Gb/s | 100 m | 600 MHz | Blindage total (S/FTP), connecteur GG45 ou TERA |
| Cat 8 | 25-40 Gb/s | 30 m | 2000 MHz | Datacenters, liaisons serveur-switch courtes |
T568A / T568B — Brochage RJ45Norme
Normes de brochage des 8 fils dans un connecteur RJ45. T568B = standard le plus utilisé en Europe et Amérique (blanc-orange, orange, blanc-vert, bleu, blanc-bleu, vert, blanc-marron, marron). Câble croisé = T568A d'un côté, T568B de l'autre (obsolète grâce à l'Auto-MDIX).
Fibre monomode (SMF)Optique
Une seule trajectoire de lumière (cœur très fin ~9µm). Longues distances (plusieurs dizaines de km). Émetteurs laser. Câble jaune généralement. Utilisé pour les liaisons inter-sites, métro, WAN.
Fibre multimode (MMF)Optique
Plusieurs trajectoires lumineuses (cœur ~50 ou 62.5µm). Courtes distances (<2km). Émetteurs LED ou VCSEL. Câble orange (OM1/OM2) ou aqua (OM3/OM4). Utilisé dans les datacenters et bâtiments.
SFP / SFP+ / QSFPModule
Small Form-factor Pluggable — Modules enfichables permettant d'adapter le type de liaison (cuivre ou fibre, différentes distances) sur un switch ou routeur. Échangeables à chaud.
SFP = 1 Gb/s. SFP+ = 10 Gb/s. SFP28 = 25 Gb/s. QSFP+ = 40 Gb/s. QSFP28 = 100 Gb/s.
PoE — Power over EthernetAlimentation
Alimentation électrique via le câble Ethernet — permet d'alimenter des équipements (AP Wi-Fi, téléphones IP, caméras IP) sans câble d'alimentation séparé. Le switch PoE fournit le courant.
PoE (802.3af) = 15.4W. PoE+ (802.3at) = 30W. PoE++ (802.3bt) = 60-100W. Budget total = somme de tous les ports PoE.
Auto-MDIXEthernet
Fonctionnalité des équipements modernes détectant automatiquement le type de câble (droit ou croisé) et s'adaptant. Élimine le besoin de câbles croisés entre équipements de même type (switch-switch, PC-PC).
🛡️
Haute Disponibilité & Redondance
VRRP, HSRP, failover, QoS, agrégation de liens
VRRP — Virtual Router Redundancy ProtocolStandard
Protocole standard (RFC 5798) de redondance de passerelle. Plusieurs routeurs partagent une adresse IP virtuelle. Un routeur est "Master" (actif), les autres sont "Backup". Si le Master tombe, un Backup prend le relais en secondes.
Priorité 100 par défaut. Priorité la plus haute = Master. IP virtuelle = adresse de passerelle des hôtes.
HSRP — Hot Standby Router ProtocolCisco
Équivalent Cisco propriétaire de VRRP. Actif/Standby. Le routeur Actif répond à l'IP virtuelle. Le Standby prend le relais si l'Actif ne répond plus aux hello. Possibilité de configurer plusieurs groupes HSRP.
GLBP (Gateway Load Balancing Protocol) = Cisco, permet la répartition de charge entre plusieurs routeurs (pas juste actif/passif).
Failover Actif/Passif vs Actif/ActifHA
Actif/Passif : un équipement traite le trafic, l'autre attend (en veille). Basculement en cas de panne. Ressources en veille = gaspillage mais simplicité.
Actif/Actif : les deux équipements traitent du trafic simultanément (load-sharing). Meilleure utilisation mais plus complexe.
Actif/Actif : les deux équipements traitent du trafic simultanément (load-sharing). Meilleure utilisation mais plus complexe.
SLA — Service Level AgreementContrat
Engagement contractuel sur la qualité et disponibilité du service réseau. Définit : taux de disponibilité (99.99% = "4 nines" = 52 min downtime/an), latence maximale, bande passante garantie, temps de résolution des incidents.
QoS — Quality of ServiceTrafic
Mécanismes de priorisation du trafic réseau pour garantir les performances des applications critiques. Phases : Classification (identifier le trafic), Marquage (DSCP), Mise en file d'attente (queuing), Shaping/Policing (contrôle du débit).
DSCP EF (46) = VoIP priorité max. DSCP AF41 = vidéo. DSCP BE (0) = best effort. Marquage en entrée du réseau, respecté à chaque saut.
🚪
Ports & Commandes essentielles
À connaître par cœur pour l'examen
Méthode de mémorisation des ports
Associe chaque port à son service : 20/21=FTP (fich.transfer), 22=SSH (sécurisé), 23=Telnet (non sécurisé), 25=SMTP (mail sortant), 53=DNS (annuaire), 80=HTTP (web), 443=HTTPS (web sécurisé), 3389=RDP (bureau distant).
💻
Commandes de diagnostic
Linux, Windows & Cisco IOS
📖
Glossaire général — Termes fondamentaux
Tous les termes réseau à maîtriser