SIGLES ET ABREVIATIONS

AAA : Authentication, Authorization, Accounting

ARPANET : Advanced Research Projetc Agency Network
ATM : Asynchronous Transfer Mode
BGP : Border Gateway protocol
CIDR : Classless Inter-Domain Routing
CO : Central téléphonique
CPE : Customer Premise Equipment
CSMA/CD : Carrer Sence Multi – Access/Collision Division
CSU : Channel Service Unit
D.O.D : Department of Defense
DCE : Data Circuit Equipment
DLCI : Data Link connection identifier
DMVPN : Dynamic Multipoint Virtual Private
DSL : Digital Subscriber Line
DSU : Data Service Unit
EGP : Exterior Gateway Protocol
EIGRP : Enhanced Interior Gateway Routing protocol
ETCD : Equipement terminal de Circuit de données
ETR : Early Token Release
ETTD : Equipement terminal de Traitement de données
FDDI : Fiber Distributed Data Intarface
FDM : Frequency Division Multiplexing
FLSM : Fixed length Subnet-Mask
FTP : File Transfer protocol
FTP : Foilded Twisted Pair
GRE : generic routing encapsulation
GSM : Global System Mobile
HTTP : Hyper text Transfer protocol
IANA : Internet Assigned Numbers Autority
ICANN : Internet Corporation for Assigned Names and Numbers

IEEE : Institut of Electrical and Electronics Enginering

IGP : Interior Gateway protocol
INTERNET : Interconnexion Network
IP : Internet Protocol
IS- IS : Intermediate system-to-intermediate system
ISO : International Oarganisation For Standardization
LAN : Local Area Network
MAC : Medium Access Control
MAU : Multiple Access Unit
MPLS : MultiProtocol Lable Switching
NHRP : Netx Hop Resoluation Protocol
OSI : Open System Interconnexion
OSPF : Open Shotest path First
PAN : Personal Area Network
PGP : Pretty good Privancy
PKI : Public Key Infrastructure
PVC : Circuit Virtuel Permanent
Radius : Remote Authentication Dial-in User Service
RG : Radio Guide
RIP : Routing Information Formation
RIRS : Registres régionaux
RNIS : Réseau Numérique à intégration de Service
RSA : Rivest, Shamir, Adleman
RTCP : Réseau téléphonique commuté public
SSH : Secure Shell
SSL : Secure Socket Layer
STP : Shielded Twisted Pair
SVC : Circuit Virtuel Commuté
TCP : Tranmission Control Protocol
TDM : Time Division Mutiplexing
TPDDI : Twisted Pair Distributed Data Interface
UTP : Unishileded Twisted Pair
VLSM : Variable Length subnet-Mask
VPN : Virtual Private Network
VSAT : Very Small Aperture Tareminal
WAN : Wide Area Network

INTRODUCTION

Parmi les facteurs nécessaires au fonctionnement de toute

entreprise, s'inscrit fortement le système d'information dont la
gestion optimale est un moyen incontournable pour une entreprise
possédant plusieurs succursales. Cette gestion du système
d'information, qui constitue l'ensemble des équipements nécessaires
à l'automatisation de l'information, passe au préalable, par le choix
d'une technologie de télécommunication adaptée. C'est le cas
notamment de la centralisation des bases de données du paysage
d'un grand nombre d'entreprises.

Aujourd’hui, les entreprises sont de plus en plus conscientes de

l’importance du traitement des données d’autant plus que leur
volume devient de plus en plus conséquent. Que ce soient
moyennes et grandes entreprises ou multinationales, toutes font
face à un nombre croissant d’utilisateurs et des clients un peu
partout dans le monde, ce qui occasionne une quantité variable et
considérable des données à collecter, traiter, stocker et à diffuser au
sein de l’organisation.

Ainsi, fournir un moyen de communication facilitant l’interconnexion

des sites distants des entreprises, demeure un enjeu majeur et un
grand défi à relever pour les opérateurs de télécommunication et
prestataires de services informatiques.

1. PROBLÉMATIQUE

Lors de la conception des bureaux modernes, il est indispensable de

tenir compte des besoins en matières d’équipements mobiles tels
que les smartphones, les tablettes ou les ordinateurs, des bureaux
convergents et de la progression du numérique sur les lieux de
travail.

Pour une entreprise qui possède plusieurs extensions et qui utilise le

Cloud, des serveurs distants, la téléphonie IP, la vidéoconférence, la
visioconférence, etc. une telle entreprise aura besoin de plus des
débits et de fiabilité. Un moyen d’interconnexion efficace et haut
débit.

Ainsi pour relever tous ces défis, nous nous sommes sentis soucieux
de proposer une étude d’Interconnexion sécurisé des sites d’une
entreprise par liaison VSAT. Et Pour bien réaliser notre travail
scientifique, plusieurs questions posées qui constitueront le socle de
notre sujet à traités :
 - Comment Interconnecter deux sites distants ?
- Pour le choix de la Technologie VSAT ?
- Comment sécuriser l’Interconnexion des sites distants de
l’entreprise ?

2. HYPOTHÈSES

Au regard des questions posées à la problématique, nous pouvons

dire ceci :

- Pour Interconnecter des sites, les entreprises font appel soit de

fournisseur d’accès à l’internet ou de prestataire de services au
cas où, il ne dispose pas de leur propre infrastructure. Ceux qui
disposent de moyen proposent leur propre solution telle que
l’utilisation de la technologie optique ou du système par relais
VSAT ;
- Le choix de technologie se fait beaucoup plus au cas les sites
distants de l’entreprise se trouvent dans des endroits éloignés
dans le cas de WAN ou de GAN, c’est-à-dire les sites se
trouvent sur le pays, villes ou voir même des continents
différents ;

- L’utilisation des technologies VPN sont très exploitées pour

sécuriser le flux d’informations numériques qui seront
véhicules sur les réseaux public.

3. OBJECTIFS

L’objectif de notre étude tourne autour de l’apport de la technologie

VSAT face aux enjeux de la NTIC dans le milieu professionnel. Ce qui
va nous aider à comprendre qu’est-ce qu’est la technologie VSAT,
connaître ses principaux caractéristiques et avantages, et ainsi,
comment la mettre au service des entreprises.

4. CHOIX ET INTÉRÊTS DU SUJET

4.1. Choix du sujet

Notre choix sur ce sujet se justifie dans le développement de l’usage

de la technologie VSAT qui constitue l’un des grands défis de ces dix
prochaines années, créateur de valeur, de croissance, d’emplois,
d’innovations industrielles et de service pour la nation toute entière.
La mise en œuvre opérationnelle de l’interconnexion par VSAT dans
notre pays la RDC, nécessite de créer des conditions les plus
favorables à un déploiement massif et industrialisé.

4.2. Intérêts du sujet

Ce travail revêt un intérêt particulier dans le déploiement des

réseaux haut débit par liaison satellitaire par VSAT qui représente
d’importants enjeux de développement économique, en tant qu’outil
de compétitivité des entreprises, ainsi que des enjeux sociaux en
termes d’introduction de la société dans la nouvelle technologie de
l’information et de la communication dans notre pays.

5. MÉTHODES ET TECHNIQUES UTILISÉES

5.1. Méthodes utilisées

La méthode est définie comme étant l’ensemble d’opérations
intellectuelles par lesquelles une discipline cherche à atteindre les
réalités qu’elle poursuit, les démontrent et les vérifient. Tout au long
de notre travail nous avons utilisés les méthodes suivantes :

 Méthode analytique : Elle a permis de faire des analyses à la

manière dont les informations circulent dans les différents
postes que possède l’entreprise.

 Méthode descriptive : Elle a servi à la description du lieu et

le types d’outils que nous aurons à déployer au niveau des
entreprises disposant plusieurs succursales.

 Méthode historique : Elle a consisté à étudier le passé des

entreprises pour mieux cerner sa situation actuelle afin de
mieux préparer son évolution future.

5.2. Techniques utilisées

Les techniques sont les moyens permettant résoudre les problèmes

lorsque ceux-ci sont précis, elles sont donc des outils mis à la
disposition de la recherche et organisées par les méthodes.

 La Technique d’interview : Cette technique nous a permis à

poser un tas de questions à l’interlocuteur pour pouvoir
recueillir les informations nécessaires nous préoccupant.
 La Technique documentaire : Elle a nous a été utile dans le
sens où nous avons eu le temps de mieux nous documenter et
comprendre les notions qui cadrent avec notre sujet.
  Technique d'observation : Elle a consisté à faire une analyse
personnelle après avoir observé et palpé le fonctionnement du
système d'information. Grâce à cette dernière, nous sommes
descendus personnellement sur terrain pour assimiler ce que
font les acteurs pour comprendre et tirer les conséquences.

6. DÉLIMITATION DE TRAVAIL

Tout travail scientifique doit être délimité dans le temps et dans

l’espace. C’est ainsi du point de vue spatial, notre étude se focalise
sur L’Etude et Mise en Place d’Une Architecture VPN MPLS
dans Un Système Autonome cas d’Un FAI. Nos recherches ont
porté sur la période allant de Mai à Novembre 2022.
7. SUBDIVISION DU TRAVAIL

Ainsi, pour une meilleure compréhension de notre travail, hormis

l’introduction et la conclusion, ce document est organisé autour de
quatre (4) grands chapitres :

 Chapitre 1 : Interconnexion des réseaux ;

 Chapitre 2 : Présentation du Relais VSAT;
 Chapitre 3 : Sécurité réseaux et VPN;
 Chapitre 4 : Étude de la Mise en place.

CHAPITRE I L’INTERCONNEXION DE RESEAU

I.1. Définition1
On entend par interconnexion : c’est la liaison physique et logique
des réseaux ouverts ou public passant par un même operateur ou un
opérateur diffèrent, afin de permettre aux utilisateurs d’un opérateur
de communique avec les utilisateurs du même operateur ou d’un

1
Stéphane LOHIER et Dominique PRESENT, Réseaux et Transmissions :
Protocoles, Infrastructure et Services, éd. Dunud, Paris,
autre, ou bien d’accéder aux services fournir par un autres
operateur.
L’interconnexion de réseaux locaux : est l’ensemble des solutions
permettant de relier les ordinateurs quel que soit la distance ou les
différences entre eux.
I.2. Principe d’interconnexion
Les trois principales catégories d’interconnexion peuvent être
séparées :
1. Les réseaux de campus qui comprennent les poste
utilisateurs connectes localement au sein d’un immeuble ou
d’un groupe d’immeubles,
2. Les réseaux étendus (MAN et WAN) qui relient entre eux les
réseaux de campus sur une échelle géographique variant du
niveau métropolitain au niveau planétaire.
I.3. Technologie WAN2
I.3.1. Couche physique des réseaux étendus
Les réseaux étendus et les réseaux locaux ont pour différence
principale qu’une organisation ou une entreprise doit s’abonner à un
fournisseur de services de réseau étendu tiers pour utiliser les
services de réseau d’un opérateur de réseau étendu. Un réseau
étendu utilise les liaisons de données fournies par un opérateur pour
accéder à Internet et connecter les sites d’une entreprise entre eux,
à des sites d’autres entreprises, à des services externes et à des
utilisateurs distants. La couche physique d’accès de réseau étendu
décrit la connexion physique entre le réseau d’entreprise et le
réseau du fournisseur de services. La figure illustre la terminologie
communément utilisée pour décrire des connexions de réseau
étendu physiques, notamment :
 Équipement d’abonné (CPE) : périphériques et câblage
interne situés chez l’abonné et connectés via le canal de
télécommunications d’un opérateur. L’abonné est propriétaire
de l’équipement ou le loue à son fournisseur de services. Dans
ce contexte, un abonné est une entreprise qui organise la
réception des services de réseau étendu offerts par un
fournisseur de services ou un opérateur.

2
Bob VACHON & Allan Johson, Scaling Networks v6 compagnion Guide, éd. Cisco
press, Indianapolis, 2018
  Équipement de communication de données (DCE) :
également appelé équipement de terminaison de circuit de
données (ETCD), l’équipement de communication de données
comprend des périphériques qui placent des données sur la
boucle locale. L’équipement de communication de données
fournit principalement une interface visant à connecter des
abonnés à une liaison de communication sur le nuage de
réseau étendu.
 Équipement terminal de traitement de données (ETTD) :
périphériques de client qui transmet des données depuis le
réseau d’un client ou l’ordinateur hôte pour une transmission
sur le réseau étendu. L’équipement terminal de traitement de
données se connecte à la boucle locale grâce à l’équipement
de communication de données.
 Point de démarcation : point établi dans un bâtiment ou un
complexe pour séparer l’équipement du client de celui du
fournisseur de services. Physiquement, le point de démarcation
est le boîtier de raccordement de câblage, situé chez le client,
qui connecte les câbles de l’équipement d’abonné à la boucle
locale. Il est généralement placé de façon à faciliter son accès
par un technicien. Le point de démarcation physique est
l’endroit où la responsabilité en termes de connexion passe de
l’utilisateur au fournisseur de services. Ce point est très
important car en cas de problème, il est nécessaire de
déterminer si c’est l’utilisateur ou le fournisseur de services qui
est responsable du dépannage ou de la réparation.
 Boucle locale : câble téléphonique de cuivre ou à fibre
optique qui connecte l’équipement d’abonné sur le site de
l’abonné au central téléphonique du fournisseur de services. La
boucle locale est parfois appelée « last-mile ».
 Central téléphonique (CO) : installation ou bâtiment de
fournisseur de services local dans lequel des câbles
téléphoniques locaux relient des lignes de communications
grande distance, entièrement numériques et à fibre optique via
un système de commutateurs et d’autres équipements.
I.3.2. Les périphériques Réseaux
Les réseaux étendus utilisent de nombreux types de périphériques
spécifiques des environnements de réseau étendu, notamment :
 Modem : module un signal d’opérateur analogique pour coder
des informations numériques et démodule le signal de
l’opérateur pour décoder les informations transmises. Un
modem à fréquence vocale convertit les signaux numériques
produits par un ordinateur en fréquences vocales qui peuvent
être transmises via des lignes analogiques du réseau
téléphonique public.
 CSU/DSU : les lignes numériques, telles que des lignes
d’opérateur T1 ou T3 requièrent une unité Channel Service Unit
(CSU) et une unité Data Service Unit (DSU). Ces deux unités
sont souvent combinées en une seule, que l’on appelle
CSU/DSU. L’unité CSU fournit la terminaison pour le signal
numérique et garantit l’intégrité de la connexion grâce à la
correction des erreurs et la surveillance de ligne. L’unité DSU
quant à elle convertit les trames de ligne de système multiplex
T en trames pouvant être interprétées par le réseau local, et
réciproquement.
 Serveur d’accès : concentre les communications utilisateur
entrantes et sortantes. Ils peuvent comporter un mélange
d’interfaces analogiques et numériques, et prendre en charge
des centaines d’utilisateurs simultanés.
 Commutateur de réseau étendu : périphérique
d’interconnexion multiport utilisé dans des réseaux
d’opérateur. Ces périphériques commutent généralement du
trafic tel que le relais de trames, ATM ou X.25, et opèrent au
niveau de la couche liaison de données du modèle de référence
OSI. Des commutateurs de réseau téléphonique public
commuté (RTPC) peuvent également être utilisés dans le
nuage pour les connexions à commutation de circuits telles que
le réseau numérique à intégration de services (RNIS) ou pour
une connexion commutée analogique.
 Routeur : fournit des ports d’interconnexion de réseaux et des
ports d’interface d’accès de réseau étendu utilisés pour se
connecter au réseau du fournisseur de services. Ces interfaces
peuvent être des connexions série ou d’autres interfaces de
réseau étendu. Certaines de ces interfaces peuvent nécessiter
un périphérique externe tel qu’une unité DSU/CSU ou un
modem (analogique, câble ou DSL) pour connecter le routeur
au point de présence (POP) local du fournisseur de services.
  Routeur de cœur de réseau : routeur qui réside au milieu ou
sur le réseau fédérateur du réseau étendu plutôt qu’à sa
périphérie. Pour ce faire, un routeur doit pouvoir prendre en
charge plusieurs interfaces de télécommunications parmi les
plus rapides utilisées dans le cœur du réseau étendu, et
transmettre des paquets IP à une vitesse optimale sur toutes
ces interfaces. Le routeur doit également accepter les
protocoles de routage utilisés dans le cœur de réseau
I.3.3. Concepts commutation
1. Commutation de circuits

Un réseau à commutation de circuits établit un circuit (ou canal)

dédié entre des nœuds et des terminaux avant que les utilisateurs
puissent communiquer.
Le chemin interne emprunté par le circuit entre les échanges est
partagé par un certain nombre de conversations. Le multiplexage
temporel (TDM) permet de partager la connexion à tour de rôle entre
chaque conversation. Le multiplexage temporel assure qu’une
connexion de capacité fixe soit mise à la disposition de l’abonné. Si
le circuit transporte des données informatiques, l’utilisation de cette
capacité fixe risque de ne pas être efficace. Cette variation
d’utilisation entre aucune et maximum est typique du trafic réseau
informatique. Comme l’abonné à l’utilisation exclusive de son
allocation de capacité fixe, les circuits commutés constituent
généralement une méthode coûteuse de transport des données.
RTPC et RNIS sont deux types de technologie à commutation de
circuits qui peuvent être utilisés pour implémenter un réseau étendu
dans une configuration d’entreprise.
2. Commutation de paquets

Contrairement à la commutation de circuits, la commutation de

paquets fractionne les données de trafic en paquets acheminés sur
un réseau partagé. Les réseaux à commutation de paquets ne
requièrent pas l’établissement d’un circuit et permettent à de
nombreuses paires de nœuds de communiquer sur le même canal. À
partir des informations d’adresse fournies dans chaque paquet, les
commutateurs d’un réseau à commutation de paquets déterminent
le lien vers lequel le paquet doit ensuite être envoyé. Il existe deux
approches à cette détermination des liaisons : sans connexion et
avec connexion.
  Les systèmes sans connexion, tels qu’Internet, transportent
des données d’adressage complètes dans chaque paquet.
Chaque commutateur doit évaluer l’adresse pour déterminer
où envoyer le paquet.
 Les systèmes avec connexion prédéterminent la route de
chaque paquet, qui n’a alors besoin que d’un identificateur.
Dans le cas du relais de trames, il s’agit des identificateurs de
contrôle de liaison de données (DLCI). Le commutateur
détermine la route à suivre en recherchant l’identificateur dans
des tables en mémoire. Le jeu d’entrées des tables identifie un
itinéraire ou circuit particulier sur le système. Si ce circuit
n’existe physiquement que lorsqu’un paquet se déplace
dessus, il prend le nom de circuit virtuel (CV).

3. Circuits virtuels

Les réseaux à commutation de paquets peuvent établir des routes

via les commutateurs pour des connexions de bout en bout
spécifiques. Ces routes sont appelées des circuits virtuels. Un circuit
virtuel est un circuit logique établi au sein d’un réseau entre deux
périphériques réseau. Il existe deux types de circuits virtuels :
 Circuit virtuel permanent (PVC) : circuit virtuel établi de
façon permanente constitué d’un mode : le transfert de
données. Les circuits virtuels permanents s’utilisent pour
effectuer des transmissions de données constantes entre les
périphériques. Ils consomment moins de bande passante lors
de l’établissement et de la fermeture des circuits, mais ils
augmentent les coûts en raison de leur continuité de service.
Ils sont généralement configurés par le fournisseur de services
lorsqu’une commande de service est effectuée.

Circuit virtuel commuté (SVC) : circuit virtuel établi de façon

dynamique sur demande et qui se ferme une fois la transmission
terminée. La communication sur un circuit virtuel commuté
s’effectue en trois phases : l’établissement du circuit, le transfert des
données et la fermeture du circuit
I.4. Routage IP3
I.4.1. Principe

3
Bob VACHON & Allan Johson, Routing and Switching v6 compagion guide, éd.
Cisco press, Indianapolis, 2018
Le routage est un processus réalisé au niveau de la couche 3 du
modèle OSI (couche réseau) par l’équipement appelé routeur. Il
permet de déterminer le meilleur chemin et le chemin pour atteindre
le réseau de destination.

- Un protocole de routage permet au routeur de transmettre

des données entre les nœuds de différents réseaux. Exemple
RIP, IGRP, OSPF, etc ;
- Un protocole routé ou routable doit impérativement
permettre d'attribuer un numéro de réseau et un numéro
d'hôte à chacune des machines. Exemple IPv4 et IPv6
I.4.2. type de routage
Il existe de type de routage :

- Routage statique ;
- Routage dynamique.
I.4.2.1. Routage statique
Avec le routage statique, l’administrateur configure manuellement le
chemin dans la table de atteindre le réseau de destination. Il est
utilisé pour système autonome de petite taille dont le nombre de
routeur ne dépasse pas 10.
Le routage statique est utilisé dans une situation où :

- Un réseau est constitué de peu des routeurs ;

- Un réseau connecté à l’Internet via un seul fournisseur
d’accès ;
- Un réseau large ayant la topologie Hub and spoke.
Il existe plusieurs types de routage statique, qui sont :

- Route statique réseau : une route statique qui pointe vers

une adresse réseau spécifique aussi connue sous le nom de
préfixe réseau ;
- Route statique hôte : une route statique qui pointe vers une
adresse IP spécifique ;
- Route statique par défaut : connue aussi sous nom de
passerelle du dernier ressort, ce type de routage est utilisé au
cas on n’a pas une connaissance spécifique sur le réseau de
destination donnée.
- Routage statique flottante : une route statique dont la
distance administrative est configurée plus élevée que celle de
protocole de routage lors qu’on crée un lien de sauvegarde.
 I.4.2.2. Routage dynamique
Avec le routage dynamique, les protocoles de routage sont utilisés
pour expédier les paquets vers le réseau de destination en sélection
le meilleur chemin et le chemin le plus court.
Un protocole de routage est un ensemble de processus, algorithme
et messages qui sont utilisés pour échanger les informations de
routage par l’envoie de sa table de routage aux autres routeurs du
système autonome.
I.4.3. Protocole de routage
Il existe deux familles de protocoles de routage : les protocoles IGP
(Interior Gateway Protocol) et les protocoles EGP (Exterior Gateway
Protocol).

Les protocoles IGP acheminent les données au sein d'un système

autonome :

- Des protocoles RIP et RIPv2.

- Du protocole IGRP.
- Du protocole EIGRP.
- Du protocole OSPF.
- Du protocole IS-IS (Intermediate System-to-Intermediate
System).
Les protocoles EGP acheminent les données entre les systèmes
autonomes.

- Le protocole BGP.
Tableau 1.1. Type de protocole de routage
Interior Gateway protocol (IGP) Exterior Gateway protocol
(EGP)
Vecteur de distant Etat de lien Vecteur chemin
RIP OSPF BGP
IGRP IS-IS
EIGRP

1. IGP (Interior Gateway Protocol)

Nous avons deux catégories d’IGP qui sont :

- Vecteur de distant ;
- Etat de lien.
 a) Vecteur de distant

Les protocoles de routage à vecteur de sont avertis comme vecteurs

de distance et de direction. La distance est définie par la métrique
et la direction est simplement le routeur du prochain saut. Le
protocole à vecteur distant utilise l’algorithme de Bellman-Ford pour
le choix du meilleur chemin.
Ils sont utilisés dans une situation où :
- Le réseau est simple et non hiérarchique ;
- L’administrateur n’a pas assez de connaissance des protocoles
de routage à état de lien ;
- Le réseau de type hub and spoke ;
- Réseau à faible temps de convergence.

b) Protocole de routage à état de lien

Ces protocoles créent une présentation (cartographie) complète de

la topologie du réseau. Ces protocoles ne font pas une mise à jour
période mais quand il y a changement dans le réseau et ils sont un
temps de convergence élevé.
Ils ont utilisé dans une situation où :
- Le réseau est hiérarchique ;
- L’administrateur à assez de connaissance des protocoles de
routages à Etat de lien ;
- Réseau à convergence rapide.

Tableau 1.2. Caractéristique des protocoles de routage

PROTOCOLE DE ROUTAGE A VECTEUR DE PROTOCOLE DE ROUTAGE A ETAT
DISTANT DE LIEN

Travaille avec l’algorithme de Bellman- Travaille avec l’algorithme de

ford hormis EIGRP qui utilise l’algorithme Dijkistra
DUAL
Ils font une mise à jour périodique La mise à jour se fait de façon
incrémentationelle
Echange la table de routage pleine Echange uniquement les routes qui
manquent
Fonctionne les plus souvent avec le Fonctionne avec le système classless
système Classfull (RIPv1) et classless
(RIPv2, EIGRP)
La mise à jour se fait en utilisant le La mise à jour se fait avec le
message de diffusion message de multidiffusion
Moins de surcharge Plus de surcharge
Facile à configurer Difficile à configurer

I.5. Internet
I.5.1. Présentation
À la fin des années 1960, le Département américain de la Défense
décide de réaliser un grand réseau à partir d’une multitude de petits
réseaux, tous différents, qui commencent à foisonner un peu partout
en Amérique du Nord. Il a fallu trouver le moyen de faire coexister
ces réseaux et de leur donner une visibilité extérieure, la même pour
tous les utilisateurs. D’où l’appellation d’InterNetwork (interréseau),
abrégée en Internet, donnée à ce réseau de réseaux.
I.5.2. Architecture
L’architecture Internet se fonde sur une idée simple : demander à
tous les réseaux qui veulent en faire partie de transporter un type
unique de paquet, d’un format déterminé par le protocole IP. De
plus, ce paquet IP doit transporter une adresse définie avec
suffisamment de généralité pour pouvoir identifier chacun des
ordinateurs et des terminaux dispersés à travers le monde.
L’utilisateur qui souhaite émettre sur cet interréseau doit ranger ses
données dans des paquets IP, qui sont remis au premier réseau à
traverser. Ce premier réseau encapsule le paquet IP dans sa propre
structure de paquet, le paquet A, qui circule sous cette forme jusqu’à
une porte de sortie, où il est décapsulé de façon à récupérer le
paquet IP. L’adresse IP est examinée pour situer, grâce à un
algorithme de routage, le prochain réseau à traverser, et ainsi de
suite jusqu’à arriver au terminal de destination. Pour compléter le
protocole IP, la Défense américaine a ajouté le protocole TCP, qui
précise la nature de l’interface avec l’utilisateur. Ce protocole
détermine en outre la façon de transformer un flux d’octets en un
paquet IP, tout en assurant une qualité du transport de ce paquet IP.
Les deux protocoles, assemblés sous le sigle TCP/IP, se présentent
sous la forme d’une architecture en couches. Ils correspondent
respectivement au niveau paquet et au niveau message du modèle
de référence.
I.6. Technologie des réseaux longue distance
Parmi les technologies de réseaux longues distance, nous pouvons
citer :
- Lignes louées ;
- Accès Dialup ;
- RNIS (ISDN) ;
- Frame Relay ;
- ATM ;
- MPLS ;
- Ethernet WANs ;
- VSAT.
- DSL ;
- Modem câble ;
- Technologies sans fil
- Technologie cellulaire 3G/4G*
- VPN

I.6.1. Lignes louées

Les lignes louées offrent une connexion dédiée permanente et sont
largement utilisées pour construire des réseaux étendus. Elles
constituent traditionnellement le meilleur choix de connexion, mais
présentent plusieurs inconvénients. Les lignes louées offrent une
capacité fixe. Cependant, le trafic est souvent variable, laissant
inutilisée une partie de la capacité. Par ailleurs, chaque point
d’extrémité requiert une interface physique séparée sur le routeur,
ce qui augmente les coûts d’équipements. Toute modification de la
ligne louée nécessite généralement une intervention sur le site par
l’opérateur.
I.6.2. Dialup
Lorsque des transferts de données intermittents de faible volume
sont nécessaires, les modems et les lignes téléphoniques
commutées analogiques fournissent des connexions commutées de
faible capacité et dédiées. Cette rubrique décrit les avantages et les
inconvénients de l’utilisation d’options de connexion commutée
analogique, et identifie les types de scénarios professionnels qui
bénéficient le plus de ce type d’option. La téléphonie traditionnelle
utilise un câble de cuivre, appelé boucle locale, pour connecter le
combiné téléphonique situé dans les locaux de l’abonné au central
téléphonique (CO). Le signal de la boucle locale pendant une
communication est un signal électronique variant continuellement et
qui constitue une traduction de la voix de l’abonné. Les boucles
locales traditionnelles peuvent transporter des données
informatiques binaires par le réseau téléphonique vocal au moyen
d’un modem. Le modem module les données binaires en un signal
analogique à la source et démodule ce signal en données binaires
une fois arrivé à destination. Les caractéristiques physiques de la
boucle locale et sa connexion au RTCP limitent le débit de ce signal à
moins de 56 Kbits/s.
I.6.3. RNIS (réseau numérique à intégration de service)
Les réseaux RNIS constituent une technologie à commutation de
circuits qui permet à la boucle locale d’un RNIS de transporter des
signaux numériques, offrant ainsi des connexions commutées de
plus haute capacité. RNIS fait passer les connexions internes du
RTPC de signaux analogiques à des signaux numériques de
multiplexage temporel (TDM - Time Division Multiplexed). Le
multiplexage temporel permet le transfert de deux ou plusieurs
signaux ou flux de bits sous forme de sous-canaux dans un canal de
communication. Le réseau RNIS transforme la boucle locale en une
connexion numérique TDM, ce qui permet à la boucle locale de
transporter des signaux numériques offrant des connexions
commutées de plus haute capacité.
On distingue deux types d’interfaces RNIS :
 Interface de base RNIS (BRI) : le réseau RNIS est destiné
aux utilisateurs individuels et aux petites entreprises et offre
deux canaux B à 64 Kbits/s et un canal D à 16 Kbits/s. Le canal
D du BRI est conçu pour contrôler et est souvent sous-utilisé,
car il n’a que deux canaux B à gérer. C’est pourquoi certains
fournisseurs laissent le canal D transporter des données à bas
débit, telles que les connexions X.25 à 9,6 Kbits/s.
 Accès primaire (PRI) : le réseau RNIS est également
disponible pour des installations de plus grande taille. L’accès
primaire offre 23 canaux B à 64 Kbits/s et un canal D à
64 Kbits/s en Amérique du Nord, pour un débit total jusqu’à
1,544 Mbits/s. Ceci inclut une surcharge pour la
synchronisation. En Europe, en Australie et dans d’autres
régions du monde, RNIS PRI offre trente canaux B et un canal
D, pour un débit total allant jusqu’à 2,048 Mbits/s, surcharge de
 synchronisation comprise. En Amérique du Nord, PRI
correspond à une connexion T1. Le débit du PRI international
correspond à une connexion E1 ou J1.

I.6.4. Frame Relay

Bien que la configuration réseau semble similaire à celle de la
technologie X.25, le relais de trames se distingue d’un réseau X.25
sur plusieurs points. Avant tout, il s’agit d’un protocole bien plus
simple, qui fonctionne au niveau de la couche liaison de données au
lieu de la couche réseau. Le relais de trames n’implémente aucun
contrôle d’erreur ou de flux. La gestion simplifiée des trames
entraîne une réduction de la latence et des mesures prises pour
éviter l’accumulation des trames sur les commutateurs
intermédiaires permettent de réduire les phénomènes de gigue. Le
relais de trames offre des débits de données pouvant aller jusqu’à
4 Mbits/s, certains fournisseurs proposant même des débits
supérieurs. Le relais de trames fournit un débit partagé moyen
pouvant transporter du trafic vocal et de données. La technologie de
relais de trames s’avère idéale pour connecter les réseaux locaux
d’entreprise.
I.6.5. ATM
ATM (Asynchronous Transfer Mode, mode de transfert asynchrone)
est capable de transférer la voix, la vidéo et les données par des
réseaux privés et publics. Elle est fondée sur une architecture à
cellules, et non une architecture à trames. Les cellules ATM
présentent toujours une longueur fixe de 53 octets. La cellule ATM
de 53 octets contient un en-tête ATM de 5 octets, suivi de 48 octets
de données utiles ATM. Les petites cellules de longueur fixe sont
bien adaptées au transport du trafic vocal et vidéo, car ce trafic ne
tolère pas les délais. En effet, le trafic vidéo et vocal n’a pas à
attendre la fin de transmission d’un paquet de données de plus
grande taille.
I.6.6. Ethernet WAN
Ethernet est développé était originellement développé pour être une
technologie d’accès LAN. Actuellement avec de support comme la
fibre optique, il peut atteindre de kilomètre cas d’IEEE 1000Base-LX
qui peut atteindre 5 km et IEEE 1000Base-ZX qui peut atteindre 70
km.
Le fournisseur de service offre maintenant de service WAN Ethernet
utilisant la fibre optique portant plusieurs noms tels que :
Metropolitan Ethernet (MetroEthernet), Ethernet over MPLS (EoMPLS)
et Virtual Private LAN service (VPLS).
I.6.6. MPLS (Multiprotocol Label Switching)
Multiprotocol Label Switching (MPLS) est une technologie WAN multi
protocole de haute performance qui dirige les données d'un routeur
à l'autre en fonction des étiquettes de court chemin plutôt que des
adresses de réseau IP.MPLS a plusieurs caractéristiques qui le
définissent. Il est multi protocole, ce qui signifie qu'il a la capacité
d’effectuer toute charge utile, y compris le trafic IPv4, IPv6, Ethernet,
ATM, DSL, et Frame Relay. Il utilise des étiquettes qui indiquent à un
routeur quoi faire avec un paquet. Les étiquettes identifient chemins
entre les routeurs distants plutôt que paramètres, et tandis que
MPLS réellement routes les Paquets IPv4 et IPv6, tout le reste est
commuté.
I.6.7. Technologie DSL
DSL est une technologie de connexion permanente qui utilise les
lignes téléphoniques à paires torsadées existantes pour transporter
des données à haut débit et fournir des services IP aux abonnés. Un
modem DSL convertit un signal Ethernet provenant d’un
périphérique d’utilisateur en signal DSL, qui est transmis au central
téléphonique. Plusieurs lignes d’abonnés DSL sont multiplexées en
une liaison unique à haute capacité au moyen d’un multiplexeur
d’accès DSL (DSLAM) dans les locaux du fournisseur d’accès. Les
DSLAM incorporent la technologie TDM pour agréger un grand
nombre de lignes d’abonnés sur un support moins encombrant,
généralement une connexion T3/DS3. Les technologies DSL actuelles
utilisent des techniques de codage et de modulation sophistiquées
pour obtenir des débits de données pouvant atteindre 8,192 Mbits/s.
I.6.8. Modem câble
Le câble coaxial est très répandu dans les zones urbaines pour
distribuer des signaux de télévision. Un accès réseau est disponible
sur certains réseaux de télévision câblée. Il offre une bande
passante plus importante que la boucle locale téléphonique
conventionnelle. Les modems câble offrent une connexion
permanente et sont faciles à installer. L’abonné connecte un
ordinateur ou un routeur de réseau local au modem câble, qui
traduit les signaux numériques en fréquences à large bande utilisées
pour la transmission sur un réseau de télévision câblée. Le bureau
local de télévision câblée, appelé tête de réseau câblé, comprend le
système informatique et les bases de données requis pour fournir
l’accès Internet. Le composant le plus important situé au niveau de
la tête de réseau est le système de terminaison du modem câble
(CMTS), qui envoie et reçoit des signaux numériques du modem
câble sur un réseau câblé et est requis pour fournir des services
Internet aux abonnés du câble. Les abonnés au modem câble
doivent utiliser le FAI associé au fournisseur d’accès. Tous les
abonnés locaux partagent la même bande passante. À mesure que
des utilisateurs rejoignent le service, la bande passante disponible
peut être inférieure au débit attendu.
I.6.9. Technologie cellulaire 3G/4G
De plus en plus, le service cellulaire est une autre technologie WAN
sans fil utilisé pour connecter les utilisateurs et les localités
éloignées où aucune autre technologie d'accès WAN n’est
disponible. Beaucoup d'utilisateurs avec les smartphones et les
tablets peuvent utiliser des données cellulaires, courrier
électronique, surfer sur le Web, télécharger des applications, et
regarder des vidéos. Les concepts de l'industrie cellulaires communs
incluent :
- Technologie sans fil 3G / 4G: Abréviation de troisième
génération et la quatrième génération cellulaire l'accès. Ces
technologies offrent un accès Internet sans fil.
- Long term Evolution : Correspond à la technologie plus récente
et plus rapide et est considérée comme faisant partie de la
quatrième génération (4G) de la technologie.

CHAPITRE II PRESENTATION RELAI VSAT

II.1. Définition4

Le VSAT est un système qui repose sur le principe d'un site

principal (le hub) et d'une multitude de points distants (les stations
VSAT).

Le hub est le point le plus important du réseau, c'est par lui que
transite toutes les données qui circulent sur le réseau. De part
son importance, sa structure est conséquente: une antenne entre
5 et 7 mètres de diamètre, plusieurs baies remplies d'appareils et
4
KASESE NSOBO, Notes de cours Liaison Satellitaire, ESMICOM, Informatique, L2 RTM & TR, 2019 - 2020
un" prix unitaire d'environ 1 million d'euros. C'est aussi lui qui gère
tous Les accès à la bande passante (voir paragraphe suivant)

Les stations VSAT permettent de connecter un ensemble de

ressources au réseau, Dans la mesure où tout est géré par le hub,
les points distants ne prennent aucune décision sur le réseau ce
qui a permis de réaliser des matériels relativement petits et
surtout peu coûteux. Dans la plupart des cas, une antenne
d'environ 1 mètre permet d'assurer un débit de plusieurs
centaines de Kb/s. Une station \VSAT n'est donc pas un
investissement important et l'Implantation d'un nouveau point
dans le réseau ne demande quasiment aucune modification du
réseau existant. Ainsi une nouvelle station peut être implantée en
quelques heures et ne nécessite pas de gros moyens. (Il suffit d'un
technicien spécialisé).

II.2. VSAT, VERY SMALL APERTURE TERMINAL

Pour diffuser des informations (base de données, informations

internet, visioconférence...) on peut utiliser actuellement les
satellites de télédiffusion à la norme DVB (digital vidéo
broadcastions) économique et fournissant un canal pouvant
atteindre 6,5 Mbit/s. la seule difficulté reste le canal montant pour
l'instant unique et qui nécessite alors en cas de multipoints de
ramener (liaison terrestre) les données ou demande vers un centre
unique.

II.3. La boucle locale satellite5

Trois catégories de systèmes satellitaires ont été définies sous

les noms de LEOS, MEOS et GEOS (Low, Medium et Geostationary
Earth Orbital Satellite). Les satellites sont situés respectivement à
environ 1000, 13 000 et 36 000 Km de la Terre. Les cieux premiers
catégories concernent les satellites défilants, et la dernière les
satellites qui semblent fixes par rapport à la Terre. Les
5
Guy PUJOLLE, Les réseaux édition 2014, EYROLLES, Paris, 2014n page 616 - 629
caractéristiques générales des différentes catégories de systèmes
satellitaires sont illustrées aux figures 12.10 et 12.11. Lorsque les
satellites sont défilants, il faut plusieurs satellites les uns derrière les
autres pour arroser un point de la Terre. C'est ce que l'on appelle
une constellation.

Figure 2.1 Distances d la Terre en kilomètre

1. Les réseaux d’accès

La boucle locale satellite concerne l'accès d'un utilisateur, que ce

soit une entreprise ou un particulier, au commutateur d'un opérateur
employant un réseau terrestre. En d'autres termes, le satellite joue
le rôle de boucle locale pour permettre à un utilisateur de se
connecter à un opérateur. Cette boucle locale est destinée aux
clients isolés ou qui n'ont pas la possibilité d'utiliser une boucle
locale terrestre.

Les trois catégories de systèmes satellitaires peuvent jouer le rôle

de boucle locale. Les LEOS adressent des terminaux relativement
légers, ressemblant à des portables de type GSM, mais avec une
antenne un peu plus grande.
Les systèmes iMEOS demandent des antennes plus importantes,
qui peuvent exiger une certaine mobilité sur leur socle. Les
systèmes GEOS demandent des antennes fixes très importantes.
 Figure 2.2 Taille des spots des différentes catégories de satellites

La figure 2.2. Illustre la taille du spot, c'est-à-dire la zone éclairée

par une antenne située sur le satellite, que l'on peut obtenir à partir
des différents types de satellites. Plus le satellite est près du sol, plus
la taille du spot est petite. L'avantage offert par les satellites basse
orbite est la réutilisation des fréquences, qui peut atteindre 4 000
pour une constellation de satellites située à 700 km du sol.

Figure 2.3 Tonne des spots des différentes catégories de satellites

II.4. Les protocoles de la boucle locale satellite

La boucle locale satellite demande des trames pour permettre aux

récepteurs de retrouver les débuts et les fins des paquets
transportés. Les paquets sont aujourd'hui essentiellement de type
1P. Ces paquets IP sont encapsulés dans des trames, qui sont soit
de type HDLC, soit de type ATM. Dans ce dernier cas, on parle de
réseau satellite ATM. Un commutateur ATM se trouve dans le
satellite.

Le groupe de normalisation IEEE 802.16 a adopté une autre

démarche.
Il souhaite suivre la voie tracée par le groupe IEEE 802 consistant à
utiliser la trame Ethernet, ce qui permettrait à l'ensemble des
normes IEEE d'être cohérentes en utilisant toutes cette même
trame Ethernet.

Une difficulté rencontrée dans les protocoles de niveau trame

(couche 2) concerne le nombre de trames qui peuvent être émises
sans acquittement. Par exemple, si le protocole HDLC est utilisé, la
limite maximale est de 128 trames, ce qui nécessite une
longueur de trame importante pour remplir un canal satellite de forte
capacité.

Nous verrons au chapitre 26 que des techniques spécifiques

permettent de s'affranchir de cette limite. La solution ATM est
fortement utilisée car elle ne comporte pas cette limitation et
s'adapte bien aux techniques en slots puisque la trame ATM est
de longueur fixe. Une autre particularité des boucles locales satellite
vient du défilement des satellites lors de l'utilisation d'une
constellation.

Le client doit changer de satellite au fur et à mesure du passage

des satellites au-dessus de sa tête. Ce changement s'appelle un
hand over satellite. Il est également possible que les satellites
défilants aient plusieurs antennes et que le terminal de l'utilisateur
ait à effectuer un hand over intra-satellite. Ces hand over peuvent
être de différents types, appartenant à deux grandes catégories :
le soft hand over et les hard-hand over. Le soft-hand over consiste à
se connecter à la fois sur le satellite qui disparaît et sur celui qui
apparaît. Le passage se fait alors en douceur. Dans un hard-hand
over, le passage s'effectue brutalement, la communication devant
passer d'un satellite à l'autre sans recouvrement
II.4.1 Les constellation de satellite

Malgré des échecs fortement relatés par la presse, comme celui

d'Iridium, les constellations de satellites offrent toujours des
promesses alléchantes pour les communications
interpersonnelles, en permettant des communications à tout
moment et à tout endroit avec des terminaux de la taille de
téléphones GSM.

Les constellations LEOS ont l'avantage de présenter un délai

de propagation peu important. Elles requièrent de surcroît une
faible puissance d'émission pour atteindre le terminal, de sorte que
ce dernier peut être employé pour la communication directe d'un
utilisateur mobile avec le satellite. Le retard dû à la propagation
se situe aux alentours de 10 ms, ce qui est peu en comparaison
des 250 ms pour un satellite GEOS.

En revanche, la nécessité d'avoir un grand nombre de

satellites pour recouvrir la Terre, ajoutée à la probabilité plus
importante d'avoir des zones d'ombre et à l'augmentation de
l'effet Doppler constitue des inconvénients certains.

Le problème majeur en matière de communications

multimédias concerne la qualité de service dont les applications
ont besoin. Cette qualité de service est aisément fournie dans un
mode circuit, mais la mauvaise utilisation de la bande passante est
inacceptable clans des systèmes coûteux tels que les
constellations de satellites.

Le réseau mis en place sur la constellation utilise une technique

de transfert de paquets par commutateur ATM ou routeur IP. La
méthode de transfert ATM a été choisie par la plupart des
opérateurs de constellations, mais la question reste ouverte avec
l'arrivée de nouveaux concepts IP, tels que les giga routeurs,
capables de transmettre plusieurs gigabits par seconde, les
techniques de réservation présentées précédemment, les
nouvelles techniques de routage dépendant de la QOS, les
nouveaux contrôles de flux, POS (Packet Over SONET), etc. Il y a de
fortes chances que le monde satellitaire adopte à son tour Les
constellations s'attaquent au problème réseau de deux façons très
différentes, selon que
  Le système n'est qu'un réseau d'accès.
 Le système est un réseau complet en lui-même.

Dans le premier cas, l'utilisateur se connecte au satellite pour

entrer sur le réseau d'un opérateur fixe. Il n'est pas possible de
passer d'un satellite à un autre, et à chaque satellite
Doit correspondre une station au sol connectée à un opérateur local.
Dans la deuxième solution, il est possible de passer directement
de l'émetteur au récepteur, en allant de satellite en satellite.
Quelques stations d'accès à des opérateurs fixes sont également
envisageables, mais surtout pour atteindre les clients fixes.

La configuration de la constellation est importante pour réaliser l'un

ou l'autre type de réseau. Il faut notamment essayer de passer au-
dessus des zones les plus demandées. Plusieurs catégories
d'orbites sont possibles pour cela. Les liaisons inter satellites sont
nécessaires lorsque le système n'est pas seulement un réseau
d'accès. Le nombre de liaisons inter satellites à partir d'un satellite
varie de deux à huit. La figure 26.10 illustre

Figure 2.5. Exemple de liaisons inter satellites

II.4.2. Les hand-over satellitaires

Le hand-over correspond à un changement de cellule à la suite du

déplacement soit du client, soit du satellite, qui, en tournant, finit
par perdre son client de vue. Dans ce dernier cas, un autre satellite
de la constellation prend le relais pour que la communication ne soit
pas interrompue. Dans les constellations basse orbite, le satellite
se déplace à une vitesse très élevée, une vitesse bien supérieure à
celle du client.
Le nombre de hand-over dus à un client qui se déplace peut être
considéré comme négligeable et constitue en cela un avantage
important. Comme la vitesse de défilement d'un satellite est
constante et que le client est assimilé à un point fixe, les handover
sont prévisibles pour autant que le client ne termine pas
brutalement sa communication. En règle générale, on distingue
deux catégories de handover :

 Le handover dur (nard-handover), dans lequel il ne doit y

avoir aucune coupure et où le relais sur la nouvelle cellule
commence juste au moment où se termine la communication
avec la cellule précédente.
 Le handover mou (soft-handover), dans lequel des éléments
de communication commencent à transiter par la nouvelle
cellule tandis que la cellule précédente est toujours en
cours de communication.

Un satellite peut gérer plusieurs cellules jusqu'à une centaine -

grâce à de nombreuses antennes d'émission. Un handover intra
satellite correspond à un handover qui s'effectue entre deux
cellules gérées par le même satellite. En revanche, un handover
inter satellite correspond à un client qui est pris en charge par une
cellule dépendant d'un autre satellite. Le premier type de handover
est assez simple, e ce sens qu'un seul et même satellite gère les
deux cellules. Un handover inter satellite est nettement plus
complexe, car il faut gérer la communication entre les deux satellites
sans interruption.
Comme clans le monde du cellulaire terrestre, l'empreinte d'un
satellite se divise en cellules pour augmenter la capacité globale du
satellite par une amélioration de la réutilisation des fréquences.
Chaque cellule correspond à une fréquence de l'antenne du satellite.
Deux systèmes s'opposent dans la conception des hand-over.

 L'antenne reste fixe sur le satellite, et la zone de couverture

défile à vitesse constante sur la surface terrestre. C'est ce
 qu'on appelle un système à cellules défilantes, ou EMC
(Earth-Mobile Cell).
 L'antenne est mobile et pointe vers une cellule fixe sur la
surface terrestre. Lorsque le satellite ne peut plus pointer
vers la cellule, c'est au satellite suivant sur l'orbite de
prendre le relais. C'est la technique EFC (Earth-Fixed Cell).

Dans les systèmes à cellules défilantes, le handover s'effectue en

fonction de la mobilité du satellite et non de la vitesse du mobile, qui
peut être déclarée négligeable. Deux sortes de handover peuvent se
produire : le handover intra satellite, c'est-à-dire entre deux
cellules gérées par le même satellite, et le handover inter satellite,
entre deux cellules gérées par deux satellites distincts. Le nombre
de handover pouvant survenir durant la conversation d'un utilisateur
est déterminé par plusieurs facteurs :

La durée de l'appel bien sûr, mais aussi la taille de la cellule et la

vitesse du satellite, qui dépend de l'altitude.

Si l'on considère une constellation de satellites LEOS à 800 km

d'altitude, dans laquelle l'angle d'élévation est de 10 e, l'utilisateur
effectue un handover intra satellite (variant suivant la taille de la
cellule) approximativement toutes les trente secondes et un handover
inter satellite toutes les trois minutes. Les satellites MEOS ont un
handover inter satellite toutes les heures et un handover intra
satellite environ toutes les dix minutes.
Un problème assez complexe concerne les politiques à choisir pour
assurer qu'un client trouve toujours une place lors d'un handover.
Plusieurs solutions ont été proposées, dont celle consistant à
distinguer des clients GH (Guaranteed Handover) et des clients
ordinaires, qui ne demandent pas cette assurance.

Les réservations des canaux nécessaires à cette garantie est

initialisée lors (le l'ouverture de la demande. Un canal est alors
réservé dans toutes les cellules qui seront visitées par l'utilisateur.
La durée de cette procédure est déterminée par la durée du service
GH, qui doit être connue à l'instant d'ouverture de la
communication. Un canal n'est pas réservé dans toutes les cellules
visitées, mais seulement dans celles que l'utilisateur GI-I visitera
et situées à une distance inférieure à une valeur critique. Si aucun
circuit n'est disponible dans une cellule visitée, l'appel est rejeté.
Sinon, un canal est réservé dans chaque cellule.

Pour l'accès aux cellules dont la distance est supérieure à la

distance critique, l'utilisateur GH attend d'être à la distance critique
pour effectuer une réservation. Si un circuit est disponible, il est
réservé. Sinon le client GH émet une demande de réservation qui
est mise en file d'attente. Cette requête est bien sûr prioritaire par
rapport aux demandes de réservation émanant des clients
ordinaires. Enfin, pour que la probabilité d'échec soit faible, le
nombre global de client GH doit être raisonnable par rapport au
nombre de canaux disponibles.

Une deuxième solution, dite EFC (Earth-Fixed Cell), concerne

les cellules fixes par rapport à la Terre. Dans ce cas, la surface de
la Terre est décomposée en cellules fixes correspondant aux
faisceaux du satellite. Chaque faisceau continue de desservir sa
cellule terrestre durant toute la durée de visibilité. Au moment de
la disparition de la cellule, le satellite demande à un autre satellite
de prendre le relais. En réalité, toutes les cellules sont réaffectées
exactement au même instant à un autre satellite, et tous les
handover sont effectués au même moment.

Dans cette solution, les antennes du satellite sont

directionnelles et doivent suivre la même cellule. Suite à des
limitations physiques, l'angle d'élévation donne le temps exact
pendant lequel la cellule est éclairée par le rayon, c'est-à-dire
atteinte par les émissions provenant du satellite. Dans le cas EFC, il
suffit qu'un client réussisse à s'approprier une fréquence pour la
conserver jusqu'à ce qu'il la relâche. Dans ce cas, on peut
considérer que le système se comporte comme un réseau terrestre
fixe. Si l'on fait abstraction des instants de handovers, le système
global n'est pas modifié.

Deux solutions peuvent être suivies pour réaliser les deux types
de systèmes : mécanique et électronique. Quand le mouvement du
satellite est suffisamment lent, ce qui est le cas des MEOS, la
solution mécanique est acceptable. Pour les satellites LEOS, un suivi
électronique est conseillé, étant donné la vitesse du satellite par
rapport à la Terre.

II.5. Principe généraux

1. Besoins

 Application non satisfaite par un seul réseau terrestre. A

Communications internationales de l'entreprise
 Nombres de sites récepteurs d'informations important.... »
MI, (il. Seuils
 Plus de 1000 stations : propre station maitressé,
 Moins de 1000 station : maitressé de l'opérateur A Moins de
300 station : VSAT peu compétitif

2. Satellites utilises

 Eutelsat (Europe+apique du nord)

 Intelsat (usa. Afrique)
 Telecom
 Bande Ku (14..14,5 GHz montant, 12,5..12,75GHZ
descendant
 Bande c aux usa (6-4Ghz).

3. Architecture décentralisée

 Adapte aux petits réseaux. Maillage possible.

  Station : pas de station maitresse mais station plus
couteuse.

4. Architecture centralisée

 Système éprouve, GFC possible (groupe

ferme d'abonnés). 1. HUB
 Station maitresse, gère plusieurs groupes de réseaux
(plusieurs entreprises), antenne 7 à 8 m.
5. Station

 Micro -stations dépendante, 3 TDM : time division

multiple

II.5.1. Architecture générale

Un réseau satellite fournissant des services interactifs à haut

débits, se compose de trois segments distincts.
Le segment spatial qui consiste en un ou plusieurs satellites
géostationnaires (GEO) assurant le relais, l'amplification et la
transposition du signal transmis et selon les cas, du traitement à
bord
Le segment utilisateur ou site distant ou terminal - l'appellation
diffère selon l'usage - Ce sont les points d'accès au réseau global
pour les utilisateurs finaux. Ces terminaux reçoivent les services
multimédia auxquels ils sont abonnés, et transmettent du trafic ou
des requêtes de bande passante via une voix retour qui peut être
terrestre ou par satellite Le segment opérateur, il est constitué
d'une ou plusieurs Gateway ou passerelles pour former le NCC
network Contrôle Center). Elle comporte généralement l'ensemble
des connexions au réseau extérieur (Internet, téléphonie ...)
 Figure 2.6 architecture générale d’un réseau en étoile
II.5.2 Topologies
Architecture générale d'un réseau en étoile
Deux principales topologies existantes. Le recours à l'Line ou
l'autre dépend Cie la taille du réseau (nombre de terminaux), des
services proposés mais aussi des fonctionnalités embarquées ou
non à bord du satellite.

II.5.3 Réseau en étoile

Dans cette configuration la Gateway forme le lien entre les

utilisateurs finaux situés au niveau des terminaux et les fournisseurs
de services. Elle centralise l'ensemble des connexions vers le réseau
Internet, le réseau de téléphonie mobile ou fixe. La passerelle assure
notamment des fonctions de contrôle d'accès des terminaux, de
synchronisation temporelle et d'allocation de ressources
 Figure 2.7. Topologie en étoile

La plupart des satellites de télécommunication géostationnaires,

en orbite actuellement, sont transparents puisque leur rôle consiste
à amplifier le signal et transposer sa fréquence sans aucun
traitement à bord. La majorité des réseaux en opération repose sur
une topologie en étoile où tout le traitement « intelligent»
(modulation, codage..) se fait au sol. Un des inconvénients de cette
architecture est justement l'importance critiqua que revêt la
passerelle ou le (NCC). En effet, une panne à ce niveau peut
entraîner un dysfonctionnement global du réseau. Une autre
faiblesse est que dans le cas d'une communication inter-
terminaux tels que la voix sur IP, l'impact du délai sur la qualité
est doublement ressenti en raison du double bond (sol-satellite)
effectué par le signal.

II.5.4. Réseau maillé 6

Dans un réseau maillé ou Mes, des communications

«directes» entre terminaux sont Possibles. Le temps de
transmission est ainsi diminué de moitié. Dans le genre Cie réseau,
6
Philippe ATELIN, Les réseaux informatiques : Notions fondamentales, éd. ENI, Paris, 2014, page 157
le rôle de la passerelle ou du NEC, appelé parfois modérateur se
restreint à la synchronisation temporelle et l'allocation de
bande passante aux terminaux. Les connexions avec les réseaux
extérieurs tels qu'Internet ou téléphonie peuvent être réparties sur
plus d'un terminal.

Cette répartition des fonctionnalités critiques sur plusieurs

terminaux qui -peuvent clans l'absol. LI avoir tous le rôle de
Gateway réel unit considéra blêmet la vue naira bill i té du
système. Toutefois, les réseaux Muesli requièrent des satellites
performants disposant de fonctionnalités avancées telles que le
routage et la commutation à bord. En dépit des avantages qu'il
apporte, ce genre de réseau n'est pas encore très répandu. Les
satellites avec traitement à bord sur lesquels il repose ne sont
toujours pas assez développés pour raisons techniques mais
surtout pour des raisons de coûts. D'autre part, les terminaux Mes
incluant des fonctions avancées et donc onéreuses résistent peu au
passage à l'échelle.

Il est toutefois possible de combiner ces deux topologies pour

aboutir à des configurations mixtes de réseaux satellites. Le groupe
de travail BSM (Broadband Satellite Multimédias de l'ETSI distingue
ainsi plusieurs familles Cie systèmes satellite combinant une
topologie maillée et étoilée définis dans 1=1 ainsi que plusieurs
types de satellite avec ou sans intelligence embarquée.

II.5.5 La couverture du satellite

La majorité des satellites de télécommunications actuellement

en orbite assure une couverture mono faisceau. Conçus pour la
diffusion de programmes TV, l'objectif était Cie s'étendre sur la zone
la plus large -possible puisque le rhème message est envoyé à tout
le monde. Toutefois, le gain était limité par l'angle d'ouverture Cie
l'antenne en plus d'une mauvaise utilisation du spectre de
fréquences allouées. Ceci constitue line contrainte à l'augmentation
du débit nécessaire à la transmission de services interactifs
(Internet, VIP Vod ...). Une couverture mono faisceau avec fine petite
ouverture d'antenne et donc concentrée sur une zone moins
étendue apporte certes un meilleur gain mais ne permet pas de
couvrir une multitude de terminaux géographiquement distants.

Les techniques Rütli faisceaux concilient ces deux solutions.

La couverture du satellite est étendue par la juxtaposition de
plusieurs faisceaux ou spots. Chaque faisceau offre ainsi un gain
d'autant plus élevé que l'ouverture d'antenne est réduite. Ainsi, pour
une taille d'antenne équivalente le terminal bénéficie d'un débit
supérieur. D'autre part, avec un signal de meilleur gain, le recours
aux bandes de fréquences élevées comme la bande Ka se trouve
désormais simplifié. Cette technique permet notamment une
multiplication virtuelle du nombre de fréquences en réutilisant la
même fréquence sur des spots non adjacents pour un usage
optimisé du spectre.

Néanmoins, un système multi faisceau pose des défis

technologiques complexes résidants essentiellement dans les
interférences qu'il pourrait engendrer entre différents - spots en plus
de la difficulté de la mise en place d'un système de saut de
transpondeur shopping) afin de permettre à une Gateway située
dans un spot.}. D'émettre du trafic dans un spot y. Cette complexité
a longtemps contraint le développement et la diffusion de cette
technique qui existe pourtant depuis longtemps (Astra Ih est
composé de ; 52 transpondeurs en bande Ka '-1 NI-;). Elle arrive à
présent à maturité et tend à être implantée sur un grand nombre de
satellites de télécommunications en cours de fabrication.

Le satellite KA-SAT dont le lancement est prévu 2010 par

Eutelsat, totalisera 82 faisceaux différents en bande Ka dont
chacun couvrira une zone de '250 km de diamètre (4 suffiront pour
couvrir la France.

Parmi les systèmes de téléphonie mobile par satellites LEO on

citera iridium qui n'a pas connu le succès commercial escompté
et dont le service a été arrêté peu de temps après la mise en
service. On peut aussi mentionner Global star qui connaît aussi
quelques difficultés commerciales. Ces deux systèmes sont à
couverture mondiale ou quasi mondiale.
II.5.6 La télédiffusion
La transmission vidéo par satellite est la première
application des satellites de télécommunications. Elle est estimée
à 60% de la capacité du secteur spatial. La transmission peut être
faite en utilisant les normes vidéo analogiques (PAL, SECAM,
NTSC) mais dans la plupart des systèmes actuels ce sont les
normes vidéo numériques qui sont utilisées. On utilise
essentiellement la. Norme DVB-S (Digital Vidéo Broadcastions
Satellite) qui utilise un codage MPEG-2 du flux vidéo et permet le
transfert du signal entre les systèmes à satellites, les systèmes
hertziens et les systèmes par câbles.

Tous les bouquets satellites européens utilisent (obligation

réglementaire) la norme DVB-S. La norme numérique audio
correspondante pour la diffusion de radio numérique s'appelle le DAB
(Digital Audio Broadcastions)

Figure 2.6: Architecture d'un système de diffusion par satellite

Le premier système de télédiffusion directe numérique par

satellite Direct TV aux Etats Unis est entré en service en 1994. En
France deux bouquets ont été lancés en 1996 (TPS et Canal
Satellite). Ces systèmes utilisent des satellites géostationnaires
ce qui permet d'utiliser des antennes fixes chez les usagers.
Direct TV possède ses propres satellites alors que Canal
Satellite utilise un satellite. Astra à 19° Est et TPS un satellite
Eutelsat hot BID à] 30 Est. La télédiffusion directe par satellite est
une activité en forte croissance. Fin 97, 70 millions de téléviseurs
dans le monde utilisaient la réception directe par satellite et
certaines estimations prévoient 200 millions d'utilisateurs en 2006.
La transmission de données La transmission de données constitue
la troisième grande application Des satellites de télécommunication.

II.5.7. Les réseaux d’entreprise VSAT

Les réseaux d'entreprise par satellite sont apparus vers 1980 grâce
à la diminution de la taille et donc du coût des stations terriennes.
Cette diminution a permis au satellite de concurrencer
efficacement les infrastructures terrestres pour des réseaux d'au
moins quelques dizaines de sites. On parle de VSAT (Ver Small
Aperture Terminal) pour des stations terriennes dont le diamètre
d'antenne est inférieur à 2.4 mètres.

II.5.8. La radiomessagerie

La radiomessagerie par satellites est un service offert sur

plusieurs satellites GEO comme Intéressât-C et D, Omni Tracs ou
encore EuteFTracs. Elle existe aussi sur des constellations en orbite
basse telle OrbComm

II.5.9. L’Internet par satellite

L'Internet par satellite est un sujet très important

actuellement et le satellite fait partie des solutions d'accès
local au même titre que le LMDS, l'ADSL, les solutions câblés
ou d'autres technologies. Le programme SkyBridge d'Alcatel
actuellement arrêté pour des problèmes de financement fait
partie de ce -type de systèmes.

Dans le cas des liaisons par satellites la gestion de la bande

passante est un élément très important car ce media est
encore relativement cher. Si l'on loue un segment de 2Mhz et
que l'on se rend compte qu'en moyenne on ne consomme
que 1 Mhz et UE bien on gaspille de la bande et par
conséquent, on perd de l’argent. Certains types de liaisons
comme les laissons point à point (s) sont des systèmes ou l'on
ne peut gérer la bande correctement.

Mais ce n'est pas le cas du VSAT. Comme seul le point central

gère l'accès au segment satellite, I est capable multiplexages
temporal et fréquente.

II.5.10. Services à sens unique de VSAT

La livraison de la radiodiffusion de télévision directement à

l'utilisateur par l'utilisation des services de la Diriger-à-maison (DTH)
est l'évidente que chacun sait. Mais il y a d'autres et la liste suivante
est un échantillon d'où le service à sens unique de VSAT sont
employas :

 Marché boursier et toute autre radiodiffusion de l'information

de groupe fermé d'usagers
 Distancez l'éducation et les services continus d'éducation
pour de grandes compagnies de corporation
 La distribution des services financiers d'analyse en temps réel
 La distribution d'information du marché aux bureaux à
distance situés dans des endroits géographiquement
dispersés.
 La mise ù jour du marché a relié l'information, la distribution
des catalogues de-nouveau produit et l'information des prix
aux sorties dans les industries du commerce au dictai].
 la distribution des services de radiodiffusion audio dans les
magasins et les secteurs De public
II.5.11. Les conducteurs

Les conducteurs principaux de l'industrie de VSAT sont tout le marché relié

et sont là parce que le marché exige les besoins d'être adressé. Certains de
ces conducteurs sont:

 Le désir dès gouvernement de s’assurer que tous leurs citoyens

peuvent obtenir des services équivalents d’ICT indépendant de leur
emplacement géographique. Ceci est également piloté par un désir
d’arrêté le processus d’urbanisation qui est si destructif,
particulièrement dans le monde. En voie de développement.
 Le désir par de grandes sociétés pour les réseaux redondants et
alternatifs, indépendants de l’infrastructure terrestre
 Le besoin de connectivité qui est toujours disponible.
Indépendamment des contraintes géographiques et politiques
 Le besoin croissant de services à grande vitesse et de connectivité
de multimédia directement aux endusers
 Les besoins de plus en plus connectivité

Avantages

Les systèmes de communication par satellite ont quelques avantages qui

peuvent être exploités pour la fourniture de connectivité. Ceux-ci sont :

 Coûts peu sensibles à la distance

 La livraison simple de service de plateforme (un-arrêter-faites des
emplettes)
 Flexibilité
 Extensible
 Les coûts de cycle de vie de réseau sont inférieurs à quelques de
rechange déploiement rapide : installer et commissionnez : ½ - 2
jours
 Services fiable 99 % pour des données ; 99,5 % + pour la voix
 Temps moyen entre les pannes (moyenne des temps de bon
fonctionnement)
» LO.UUU
Heures (3ans)
  Avéré dans les pays 100 +
 Assurance omniprésente sans réaction de grandes zones
géographiques par les systèmes simples
 Bas COLItS par accroissement par unité

Inconvénients

Cependant comme tous les systèmes il y a des inconvénients également

certaines de ces derniers sont coûts élevés de mise en train (les pivots et les
éléments de base doivent être en place avant que les services puisse être
fournis)

 Manque d’assurance adéquate dans quelques régions du monde

(l’Afrique est le dernier continent qui n’a pas haut consacré la
largeur de bande satellite de GSO disponible qui permettra la
connectivité satellite simple n’importe où sur le continent).
 Des profils plus haut que normalement de risque
 Les restrictions de normalisation graves ont imposé par pays qui
empêchent des réseaux et des solutions de VSAT d’atteindre la
masse critique et donc la rentabilité
 Quelques limitations de qualité de services tels que le signal élevé
retarde (temps d’attente)
 Limites normales de disponibilité contre lesquelles ne peut pas être
atténué (1 le manque de qualification exigées dans le monde en
voie de installent et mettent à jour des systèmes de communication
par satellite convenablement

II.6. Les principales bandes de fréquences assignées aux

satellites

Tableau 2.1. Bandes de fréquences assignées aux satellites

CHAPITRE III. SECURITE RESEAU ET VPN
III.1. Le Domaine de la Sécurité7

La sécurité du réseau est un sujet de taille, Ceci dit, la

compréhension approfondie des listes de contrôle d'accès est l'une
des principales compétences requises chez un administrateur
réseau.
Les concepteurs de réseaux utilisent des pare-feu pour protéger les
réseaux de toute utilisation non autorisée. Les pare-feu sont des
solutions logicielles ou matérielles permettant de mettre en œuvre
des stratégies de sécurité du réseau. Prenons l'exemple d'un verrou
de porte dans une pièce à l'intérieur d'un bâtiment. Le verrou
autorise uniquement les utilisateurs autorisés et munis d'une clé ou
d'une carte d'accès à entrer. De la même façon, un pare-feu filtre les
paquets non autorisés ou dangereux, les empêchant ainsi d'accéder
au réseau.
Ces fonctions de sécurité mettent en œuvre des techniques
cryptographiques pour protéger les informations ou pour sécuriser
les interfaces entres les ordinateurs. De plus, des dispositifs
particuliers de sécurité existent et sont déployés pour sécuriser des
zones sensibles des réseaux, comme les points d’accès ou les
frontières des systèmes. La gestion de la sécurité est le sujet délicat
de ces techniques car, il faut notamment sécuriser ces fonctions de
sécurité. Après un tour d’horizon de protocole cryptographique, des
architectures de sécurité des différents réseaux, des dispositifs de
sécurité des divers systèmes et des contenus, nous esquissons les
verrous technologiques de la recherche en sécurité numérique. La
sécurité comporte des enjeux essentiels d’ordre stratégique puisque,
dans le monde contemporain, les individus physiques (mais aussi les
robots et les entités logiques) doivent pouvoir communiquer,
l’information doit être accessible sur le réseau, que l’on soit au
bureau, en voyage ou à domicile.
Le premier enjeu est de maitriser le cycle de vie, le transport, le
traitement et le stockage des patrimoines numériques. Le
patrimoine numérique peut être personnel, industriel, intellectuel ou
culturel. Il s’agit d’un enjeu politique de souveraineté pour enrayer la
régence des contenus intangibles dans le cadre de la mondialisation.

7
PUKUTA MAMBUKU, Notes de cours de sécurité informatique I, Informatique,
ESMICOM, G3, 2019 - 2020
La technique maitresse est ici la cryptographie, avec son cortège de
protocoles cryptographique utilisé à travers les réseaux.
Le deuxième enjeu est de valoriser les contenus immatériels afin
d’assurer la libre circulation des contenus en toute confiance et
disséminer les œuvres, de rétribuer les auteurs et d’essaimer le
savoir-faire. Il s’agit d’un enjeu économique. Les techniques font ici
appel à la cryptographie mais aussi au tatouage électronique ou à la
sténographie, afin de dissimuler de détail secrets dans le corps
même des œuvres, décelable exclusivement par leur auteur et les
ayant-droits et de garantir ainsi leur propriété.
III.2. La Typologie des Réseaux et des Systèmes

Le monde numérique des réseaux et des systèmes comprend :

 Les réseaux informatiques : Les réseaux locaux d’entreprises,
les réseaux de vidéosurveillance sur IP, Internet, les réseaux
sans fil (Wi Max, Wifi, Bluetooth), les réseaux passifs
d’étiquettes intelligences (RFID).
 Les réseaux de télécoms : les réseaux satellites, les réseaux de
localisation GPS ou Galileo, les réseaux téléphoniques, les
réseaux d’opérateurs des téléphonies mobiles (GSM, GPRS,
EDGE, UMTS) ;
 Les réseaux de diffusion de télévision (TNT, CABLE) et de radio
mais aussi les réseaux résultant de la numérisation de la
totalité du processus de production audiovisuelle, et ceux qui
émergeront du déploiement des salles des cinémas
numériques ;
 Les SI de l’Etat, des institutions, des Entreprises, des Banques,
des organisations, des réseaux à domicile (réseau domestique)
de gestion des infrastructures critiques et du patrimoine
numérique naissant des familles et des individus.

III.3. LES OBJECTIFS8

La sécurité numérique brique 5 objectifs : la confidentialité,

l’intégrité, la disponibilité, l’authentification, et la non répudiation,
des informations des réseaux et des systèmes :
- La confidentialité, vise à assurer que seuls les sujets (les
personnes, les machines ou les logiciels) autorisés aient accès
8
Solange GHERNAOUTI, Sécurité informatique et Réseaux, éd. Dunod, Paris, 2008,
p.157-163
 aux ressources et aux informations auxquelles ils ont droit. La
confidentialité a pour objectif d’empêcher que les informations
secrètes soient divulguées à des sujets non autorisés. L’objectif
des attaques sur la confidentialité est d’extorquer des
informations ;
- L’intégrité vise à assurer que les ressources et les informations
ne soient pas corrompues, altérées ou détruites par des sujets
non autorisés. L’objectif des attaques sur l’intégrité est de
changer, d’ajouter ou de supprimer des informations ou des
ressources ;
- La disponibilité vise à assurer que le système soit bien prêt à
l’emploi, que les ressources et les informations soient en
quelque sorte consommables, que les ressources ne soient pas
saturées, que les informations, les services soient accessibles
et que l’accès au système par le sujet non autorisé soit
prohibé. Les objectifs des attaques sur la disponibilité est de
rendre le système inexploitable ou inutilisable.
- L’authentification, qui doit permettre de s’assurer que celui qui
se connecte est bien celui qui correspond au nom indiqué.
- La non-répudiation, qui assure qu’un message a bien été
envoyé par une source spécifiée et reçu par un récepteur
spécifié.
III.4. La Politique de La Sécurité

Pour atteindre ces objectifs de sécurité, il n’est nécessaire

de mettre en œuvre une politique de sécurité, applicable à
l’ensemble des entités à l’intérieur d’un domaine géographique ou
fonctionnel. Cette politique désigne l’ensemble des lois et des
consignes aux fins de protéger les ressources et les informations
contre tout préjudice à leur confidentialité, leur intégrité et leur
disponibilité, lequel serait dû à un usage inapproprié (incorrect,
abusif, ou frauduleux). La politique exhibe, dans sa rédaction sous
forme de règles et des objets et précise les activités et opérations
autorisées et interdites. Pour ce qui concerne la sécurité, il est
essentiel de connaitre la part de la politique de sécurité, traitée
informatiquement et dévolue intrinsèquement au réseau et au
système. Le reste de la politique sera pris en charge par des
mesures non techniques, organisationnelles ou juridiques.

III.5. Les Fonctions de Sécurité

La politique de sécurité utilise un catalogue de fonction de sécurité,
parmi lesquelles on peut trouver :
o L’indentification des sujets, des objets et des opérations
effectuées par ces sujets sur ces objets. Il s’agit de donner un
nom à une personne, à une carte graphique, à un sujet ne
peut être tenu responsable d’une action fautive. Un sujet peut
avoir un pseudonyme (un Salias) : il cache alors son vrai nom,
mais reste responsable des actions qu’il pourrait exécuter sous
son faux nom ;
o L’authentification, c’est-à-dire la preuve de l’identification de
ces entités ou de ces opérations. Il s’agit d’un processus
incorruptible pour garantir que le sujet est bien celui qu’il
prétend être, pour garantir que l’objet est bien celui que
l’entité responsable nomme ou bien que l’opération est bien
celle qu’elle doit être ;
o L’audit du système, c’est-à-dire l’observation,
l’enregistrement, l’analyse et la compréhension des
événements importants ou anormaux qui vont concourir à
reconstituer le fil de son histoire, après la constatation d’une
panne ou d’une attaque.
Dans la pratique, on enregistre, dans les différents dispositifs
de sécurité, des journaux infalsifiables qui seront des témoins
de confiance chargés d’interpréter la trame des opérations et
d’imputer la responsabilité d’une erreur ou d’un acte
malveillant à son initiateur. Cette fonction d’audit, témoin de
la mémoire du système, est déterminante dans un système. Le
cybercriminel s’efforce de dissimuler les traces de son passage
en tenant de détériorer ces fichiers d’audit. L’auditabilité est
une fonction qui consiste à pouvoir récurer des preuves
numériques incontestables, en cas de perquisition des
données ou d’examiner ultérieur des activités ;

III.6. Les menaces et les Vulnérabilités

Les risques potentiels sur le fonctionnement conforme des réseaux,

des systèmes et des infrastructures sont de types variés qui vont de
la panne ordinaire à la malveillance technique en passant par la
maladresse humaine.
III.6.1. Les menace
La construction a freiné du cyberespace ne s’élabore pas sans essais
et erreurs, sans conséquences néfastes qu’il faut affronter et pour le
moins, restreindre. L’origine des menaces émane avant tout de
l’idéologie ambiante « il est interdit d’interdire » de la toile, qui
suscite l’apparition d’effets nuisibles ou pervers, amplifiés par la
résonance de la taille du réseau. Les menaces sont incarnées pêle-
mêle par l’irruption de sites qui hébergent des serveurs suspects,
par l’encombrement des réseaux sous forme de contenus illicites ou
des messages non sollicités, par la population des messageries, la
propagation de virus, le téléchargement illégal de fichiers audio et
vidéo, la circulation de fausses informations et par l’intrusion
d’informations cachés ou de logiciels malveillants. Enfin le réseau
favorise la création de nids pour des implantations de sectes, de
mafias ou bien de refuges pour les réseaux de cybercriminels, voire
bientôt de cyberterroristes.
L’impact de ces agressions peut être fatal en termes économiques,
sociaux ou juridiques. Les entreprises du secteur de l’audiovisuel et
du multimédia cumulent la plupart des problématiques de sécurité
précitées, dans le contexte spécifique de ce métier et de ses
usages : l’inéluctable dématérialisation des contenus impose non
seulement de trouver des parades acceptables aux phénomènes de
piratage, mais de garantir leur traçabilité et leur intégration sans
couture dans les processus de production, ainsi que leur
transparence pour les utilisateurs finaux légitimes.
III.6.2. les attaques traditionnelles
Toutes stratégie d’intrusion est construire autour de
l’exploitation des vulnérabilités de l’application concrète de la
politique de sécurité d’un système par ses utilisateurs. La méthode
pour organiser des attaques informatiques est donc d’exploiter
systématiquement la mise en échec de la politique de sécurité en
vigueur (expression prise ici au sens très large du terme), c’est-à-
dire d’exploiter les failles dans l’état de confiance et dans la gestion
de la sécurité.
En matière d’attaque, il existe deux phases capitales :
 L’accès au système ou au réseau de communication (par le
renseignement, par des essais et erreurs) qui peut demander
beaucoup de temps et ressources, l’apparition des réseaux
radio facilitant cette phase ;
  Une fois la pénétration réalisée, il convient de naviguer
discrètement (ou pas) dans le système pour toucher les zones
sensibles du système.

Un système possède un cycle de vie : conception et développement

avant la mise en service, installation, déploiement, exploitation et
maintenance pendant son utilisation, puis obsolescence et
destruction. L’attaque d’un système peut se préparer pendant la
phase de conception et de développement, lorsqu’on est fournisseur
d’éléments du système, par l’insertion de chevaux de troie dans
l’architecture, portes dérobées dans les applications. On peut aussi
profiter des défaillances dans la chaine de distribution des matériels
et logiciels en interceptant et en corrompant ces produits.
Dans la phase exploitation, c’est au cours des phases de
maintenance (matérielle, logicielle, mise à niveau d’un logiciel en
flux tendus) que les politiques de sécurité sont mise en péril. En
phase de maintenance, des personnes étrangères au système sont
amenées à fréquenter des zones sensibles du système 34. C’est
cette vulnérabilité qui peut être exploitée à fond pour avoir accès à
un système ou pénétrer un réseau, en provoquant ultérieurement
des pennes ou en obligeant le système à être exploité en mode
dégradé.
III.6.3. Les attaques modernes
Les attaques ont évolué, ces dernières années, tant en volume qu’en
nature. Autrefois, les attaques ciblaient toujours un gain tangible. Il
faut de nos ours considérer l’éventail des motivations hétéroclites
des attaques : récupérer la connaissance d’une donnée, modifier ou
détruire un fichier, ternir l’image de marque d’une entreprise,
offenser la notoriété d’une personne, déstabiliser une institution ou
un pays. Les attaques devraient encore s’intensifier dans l’avenir.
 Les systèmes numériques peuvent être exploités pour
perpétrer à distance des attentats à l’aide de télécommande
informatique. Ces agressions vont se sophistiquer ;
 Le cœur des réseaux est encore épargné par les attaques. Avec
la fragmentation du marché et le partage des infrastructures
de communication, les modules racines des réseaux seront
bientôt vulnérables à des assauts redoutables ;
 Les communications cellulaires sont partagées par leur
structure centralisée sous forme d’une gestion par un
opérateur de télécoms et par la notion de circuit virtuel encore
 présente dans le GSM. L’évolution vers des télécoms
« informatiques» (voix sur IP, GPRS, UMTS) devrait briser la
confiance dans ce secteur : écoutes et déviations
téléphoniques, dénis de services virus dans les téléphones.
Comme Internet, le GSM est victime de son succès qui le rend
vulnérable par l’ampleur de son déploiement et de son
utilisation, par la multiplication des opérateurs de télécoms qui
interviennent dans le trafic international, lesquels se doivent
une confiance réciproque, et par l’addition des usagers pour
qui le téléphone mobile est devenu un compagnon inséparable
de la vie quotidien ;

III.6.4. les vulnérabilités des systèmes

Les vulnérabilités d’un système dépendent de nombreux facteurs.
Les critères primordiaux sont la complexité du système, sa
répartition, sa sensibilité et sa mobilité. La complexité dépend elle-
même de multiples éléments :
 Les ontologies (c’est-à-dire les entités informatiques en tant
que telles) qui composent le système et leur structure ;
 L’hétérogénéité du système. Le pluralisme des technologies
présentes, la diversité des acteurs, des entités et des actions
sur le système sont des facteurs de complication qui créent des
erreurs de conformité, mais aussi des facteurs de
cloisonnement qui jouent un rôle d’étanchéité dans la
propagation des attaques ;
 La taille du système, c’est-à-dire les cardinaux des diverses
ontologies qui composent ce système ;
 Les architectures, c’est-à-dire les composants et les liens entre
ces composants, avec leurs articulations aux différentes
échelles de temps, d’espace et géométrie de ce système ;
 La virtualité des abstractions qui sont mises en jeu. La
complexité des systèmes augmente avec le degré
d’abstraction des paradigmes qui sont utilisés pour concevoir le
système.

D’une manière schématique, les attaques sur les réseaux filaires

vont se situer plutôt dans les couches hautes du modèle OSI de
référence, alors que les attaques sur les réseaux sans fil vont se
situer plutôt dans les couches basses. En effet, les vulnérabilités des
réseaux filaires (internet sur fibre optique ou cuivre, réseaux locaux
sur fibre ou sur câble) sont plus dans les protocoles de couches
hautes, les intergiciels, les applications et les contenus. Au contraire,
les vulnérabilités des réseaux sans fil vont plutôt résider dans la
couche physique et provoquer des attaques par des brouillages
possibles de la transmission et dans la couche de liaison de données,
par des tentatives intempestives à l’accès de la communication.
III.7. Les Principes de la Sécurité Numérique

La sécurité numérique, c’est l’art de partager un secret. Ce secret

est dissimulé dans un coffre-fort (mémoire d’un individu ou carte à
puce, tiers de confiance). Quand ces secrets sont numériques (clés
transitant sur un réseau), ils sont chiffrés, ce qui nécessite encore un
autre secret, et ainsi de suite. Si tout était numérique, il ne
subsisterait que des secrets de polichinelle. Les entités de confiance
sur un réseau sont là pour amorcer la pompe de la confiance, en se
prolongeant par capillarité dans les méandres des réseaux et des
systèmes, via des protocoles cryptographiques implantant ces
secrets, spatialement et temporellement.
III.7.1. Les Modèles Opérationnels

Un système en état de sécurité est un système

« tranquille » qui peut fonctionner et vaquer à son occupation réelle,
sans se soucier de sa mise en danger dans son propre cycle de vie.
Pour sécuriser un système :

 On peut le plonger dans un bain de total confiance, auquel cas

des dispositifs de protection sont superflus. C’est l’organisation
qui prend alors en charge les effractions potentielles et fautes
des utilisateurs légitimes ;
 On peut le protéger, avec des dispositifs de défense, mais ce
n’est pas le seul modèle de sécurité ;
 On peut, ne pas le protéger, mais dissuader les assaillants
potentiels ;
 On peut désinformer ou leurrer les adversaires. Pour éviter le
piratage des œuvres sur Internet, le propriétaire des œuvres
peut mettre en place un serveur de distribution pirate pour
repérer les gens qui viennent s’abreuver à sa source. Pour
ralentir les éventuelles écoutes indiscrètes sur un réseau, on
engendre de faux message correspondant à des nombreux
leurres, ce qui a pour effet de camoufler dans la pluralité le vrai
 message. Les pots de miel, décrits ci-dessous, sont aussi des
exemples de leurres.

Quand on sécurise un système, il faut apprécier la situation

dans laquelle on se place : contexte hostile où les attaques sont
régulières, contexte défavorable où il faut être vigilant, contexte
neutre où il convient d’être prudent, contexte clément où la
confiance est de mise, où il est inutile de se protéger des attaques et
où il faut simplement se prémunir d’erreur humains toujours
possibles.
Quand on sécurise un système, il est rentable de se servir
de son architecture informatique. Mais il est aussi intéressant de
s’appuyer sur sa composition. Les solutions techniques de sécurité
doivent se répartir de manière harmonieuse et efficace dans le
contenu des données, dans le cœur des réseaux, dans les serveurs
des opérateurs, des fournisseurs d’accès et de services, et dans les
entités informatiques des utilisateurs.
III.7. 2. Les méthodes d’évaluation

Les critères communs (CC) sont une méthodologie pour

l’évaluation des propriétés de sécurité des produits et systèmes
numériques. Les CC permettent un étalonnage des résultats
d’évaluations de sécurité menées indépendamment les unes des
autres. Cette comparaison est rendue possible grâce à un ensemble
d’exigences pour les fonctions de sécurité des produits et systèmes
et pour les mesures d’assurance qui leur sont appliquées. Le
processus d’évaluation établit un niveau de confiance, s’échelonnant
de 1 à 7, par le fait que les fonctions de sécurité de tels produits et
systèmes et les mesures d’assurances qui leur sont appliquées
satisfont à ces exigences.
La norme ISO 17799 constitue un guide de bonnes pratiques
pour la gestion de sécurité, avec une centaine de recommandations
d’ordre organisationnel et technique.
III.8. Les algorithmes de sécurité 9

Les algorithmes de chiffrement permettent de transformer un

message écrit en clair en un message chiffré, appelé cryptogramme.
Cette transformation se fonde sur une ou plusieurs clés.

9
Laurent BLOCH et christophe WOLFHUGEL, sécurité informatique : principes
et méthodes, éd. Eyrolles, Paris, 2ème édition, pg 74 - 81
III.8.1. Algorithme de chiffrement à clé sécrète (symétrique)
Les systèmes à clés secrètes sont caractérisés par une
transformation f et une transformation inverse f –1, qui s’effectuent
à l’aide de la même clé. C’est la raison pour laquelle on appelle ce
système « à chiffrement symétrique ». Le plus connu des
algorithmes de chiffrement est le DES
Les systèmes à clés symétriques ou secrètes utilisent une clé de
chiffrement et une clé de déchiffrement identiques, convenues par
avance et conservées secrètes. Ce système ne permet pas
d’identifier l’interlocuteur distant. Ces algorithmes utilisent deux
techniques : la substitution et la transposition indépendamment ou
successivement.

III.8.2.Algorithme de Chiffrement à clé Publique

(Asymétrique)
Les algorithmes de chiffrement à clé publique sont des algorithmes
asymétriques. Le destinataire est le seul à connaître la clé de
déchiffrement. La sécurité s’en trouve accrue puisque même
l’émetteur ne connaît pas cette clé. L’algorithme le plus classique et
le plus utilisé est RSA, qui utilise la quasi-impossibilité d’effectuer la
fonction d’inversion d’une fonction puissance. La clé permettant de
déchiffrer le message et que seul le destinataire connaît est
constituée de deux nombres, p et q, d’environ 250 bits chacun. La
clé publique est n = pq. Comme n est très grand, il est quasiment
impossible de trouver toutes les factorisations possibles. La
connaissance de n ne permet pas d’en déduire p et q. À partir de p
et de q, on peut choisir deux nombres, e et d, tels que ed= 1 mod (p
– 1) (q – 1). De même, la connaissance de e ne permet pas de
déduire la valeur de d. L’algorithme de chiffrement s’effectue de la
façon suivante : si M est le message à chiffrer, le message chiffré est
obtenu par Me modn et l’algorithme de déchiffrement par(Me)d.
III.9. La Sécurité des Réseaux

En informatique, le terme sécurité recouvre tout ce qui concerne la

protection des informations. L’ISO s’est attachée à prendre toutes
les mesures nécessaires à la sécurité des données durant leur
transmission. Ces travaux ont donné naissance à un standard
d’architecture international, ISO 7498-2 (OSI Basic Reference Model-
Part 2: Security Architecture).Cette architecture est très utile pour
tous ceux qui veulent implémenter des éléments de sécurité dans un
réseau car elle décrit en détail les grandes fonctionnalités et leur
emplacement par rapport au modèle de référence. Trois grands
concepts ont été définis :
 Les fonctions de sécurité, qui sont déterminées par les actions
pouvant compromettre la sécurité d’un établissement.
 Les mécanismes de sécurité, qui définissent les algorithmes à
mettre en œuvre.
 Les services de sécurité, qui représentent les logiciels et les
matériels mettant en œuvre des mécanismes dans le but de
mettre à la disposition des utilisateurs les fonctions de sécurité
dont ils ont besoin.

III.10. Malveillance informatique10

Parmi les multiples procédés d’attaque contre le système
d’information, il convient de réserver une place spéciale (et un
chapitre ici) à une famille de logiciels malveillants (les anglophones
ont créé à leur intention le néologisme malware) qui se répandent en
général par le réseau, soit par accès direct à l’ordinateur attaqué,
soit cachés dans un courriel ou sur un site Web attrayant, mais aussi
éventuellement par l’intermédiaire d’une disquette, d’une clé USB ou
d’un CD-Rom. La destination de ces logiciels est de s’installer sur
l’ordinateur dont ils auront réussi à violer les protections pour y
commettre des méfaits, et aussi pour se propager vers d’autres
victimes.
III.10.1. Types de logiciels malveillants
Aujourd’hui, c’est un truisme, quiconque navigue sur l’Internet ou
reçoit du courrier électronique s’expose aux logiciels malveillants
que sont les virus, les vers et quelques autres que nous allons
décrire. Comme tout le monde navigue sur l’Internet ou reçoit du
courrier électronique, il importe que chacun acquière un minimum
d’information sur ces logiciels nuisibles, ne serait-ce que pour
pouvoir les nommer aux experts auxquels on demandera de l’aide
pour s’en débarrasser. C’est l’objet du petit catalogue que voici.
1. Virus

Un virus est un logiciel capable de s’installer sur un ordinateur à

l’insu de son utilisateur légitime. Le terme virus est réservé aux
logiciels qui se comportent ainsi avec un but malveillant, parce qu’il
existe des usages légitimes de cette technique dite de code mobile:

10
Claude SERVIN, Réseaux et Télécoms, éd. Dunod, Paris, 2014,
les appliquettes Java et les procédures JavaScript sont des
programmes qui viennent s’exécuter sur votre ordinateur en se
chargeant à distance depuis un serveur Web que vous visitez, sans
que toujours vous en ayez conscience, et en principe avec un motif
légitime. Les concepteurs de Java et de JavaScript nous assurent
qu’ils ont pris toutes les précautions nécessaires pour que ces
programmes ne puissent pas avoir d’effet indésirable sur votre
ordinateur, bien que ces précautions, comme toutes précautions,
soient faillibles. Les appliquettes Java s’exécutent dans un bac à
sable (sandbox) qui en principe les isole totalement du système de
fichiers qui contient vos documents ainsi que du reste de la mémoire
de l’ordinateur.
2. Virus réticulaire (botnet)

La cible d’un virus informatique peut être indirecte : il y a des

exemples de virus qui se propagent silencieusement sur des millions
d’ordinateurs connectés à l’Internet, sans y commettre le moindre
dégât. Puis, à un signal donné, ou à une heure fixée, ces millions de
programmes vont se connecter à un même serveur Web, ce qui
provoquera son effondrement. C’est ce qu’on appelle un déni de
service distribué (DistributedDenial of Service, DDoS).
Un tel virus s’appelle en argot SSI un bot, et l’ensemble de ces virus
déployés un botnet. Les ordinateurs infectés par des bots sont
nommés zombis.
3. Conficker

Octobre 2008 a vu la naissance d’un nouveau virus dont tous les

spécialistes conviennent qu’il représente un saut dans l’innovation
technologique : Conficker. Conficker a rapidement infecté des
millions d’ordinateurs. Sa technique de propagation repose sur un
débordement de tampon qui exploite une vulnérabilité connue et
corrigée du système Windows (c’est-à-dire qu’un ordinateur à jour
des corrections de sécurité ne devrait pas être vulnérable). Il
provoque des perturbations gênantes du fonctionnement du système
: désactivation de services tels que les mises à jour automatiques de
logiciel, le contrôle de sécurité ou la journalisation des erreurs.
4. Ver

Un ver (worm) est une variété de virus qui se propage par le réseau.
Il peut s’agir d’un bot. En fait, alors qu’il y a cinq ou six ans les virus
n’étaient pas des vers (ils ne se propageaient pas par le réseau) et
les vers n’étaient pas des virus (ils ne se reproduisaient pas),
aujourd’hui la confusion entre les deux catégories est presque totale.

5. Cheval de Troie

Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous

un jour honnête, utile ou agréable, et qui une fois installé sur un
ordinateur y effectue des actions cachées et pernicieuses.
6. Porte dérobée

Une porte dérobée (backdoor) est un logiciel de communication

caché, installé par exemple par un virus ou par un cheval de Troie,
qui donne à un agresseur extérieur accès à l’ordinateur victime, par
le réseau.
7. Bombe logique

Une bombe logique est une fonction, cachée dans un programme en

apparence honnête, utile ou agréable, qui se déclenchera à
retardement, lorsque sera atteinte une certaine date, ou lorsque
surviendra un certain événement. Cette fonction produira alors des
actions indésirées, voire nuisibles.
8. Logiciel espion

Un logiciel espion, comme son nom l’indique, collecte à l’insu de

l’utilisateur légitime des informations au sein du système où il est
installé, et les communique à un agent extérieur, par exemple au
moyen d’une porte dérobée. Une variété particulièrement toxique de
logiciel espion est le keylogger(espion dactylographique ?), qui
enregistre fidèlement tout ce que l’utilisateur tape sur son clavier et
le transmet à son honorable correspondant ; il capte ainsi
notamment identifiants, mots de passe et codes secrets.
9. Courrier électronique non sollicité (spam)

Le courrier électronique non sollicité (spam) consiste en «

communications électroniques massives, notamment de courrier
électronique, sans sollicitation des destinataires, à des fins
publicitaires ou malhonnêtes », selon Wikipédia. Les messages
électroniques non sollicités contiennent généralement de la
publicité, le plus souvent pour de la pornographie, des produits
pharmaceutiques destinés à améliorer les dimensions et les
performances de certaines parties du corps humain, des produits
financiers ou des procédés d’enrichissement rapide. Parfois il s’agit
d’escroqueries pures et simples, qui invitent le lecteur à accéder à
un site qui va lui extorquer son numéro de carte bancaire sous un
prétexte plus ou moins vraisemblable, cela s’appelle le phishing.
II.11. Supervision réseau
La Supervision est une fonction qui consiste à indiquer et à
commander l'état d'un appel, d'un système ou d'un réseau. On peut
surveiller des systèmes d’informations tels que : le réseau et ses
équipements, les serveurs, les applications etc ; en d’autre terme on
peut dire La Supervision est une fonction qui consiste à indiquer et à
commander l'état d'un appel, d'un système ou d'un réseau :
Visualiser, Surveiller, Analyser, Piloter et Agir.

L’informatique actuellement constitue le cœur de l’entreprise, c’est-

à-dire sont centre névralgique d’où il est important de bien gérer le
secteur informatique tout en utilisant de mécanismes tels que la
consultation des fichiers log, sauvegarde de données, proposition de
plan de restauration.
Plusieurs plateforme logiciels peuvent être utilisé pour réalisation la
supervision d’un réseau tels que Nagios, nmap, etc, tous
fonctionnant avec le protocole SNMP (simple Network Management
Protocol).
III.12. VPN11
III.12.1. Définition

Un réseau privé virtuel peut être défini comme un ensemble de

ressources susceptibles d’être partagées par des flots de paquets ou
de trames provenant de machines autorisées. Les VPN peuvent
utiliser des technologies et des protocoles quelconques. La gestion
de ces ressources nécessite un haut niveau d’automatisation pour
obtenir la dynamique nécessaire au fonctionnement d’un VPN. Pour
obtenir cette dynamique, les ressources permettant d’acheminer les
paquets au destinataire doivent être gérés avec efficacité. Un VPN
peut donc se définir par le niveau d’architecture déterminé par la
technologie employée. Par exemple, si le VPN est constitué de
réseaux Ethernet, il est de niveau trame (niveau 2). Si le VPN est

Allan Johnson, CCNA Cybersecurity Operations Compagnion guide

11

networking academy, éd. CiscoPress, San jose, 2018, page 256 - 321
constitué de réseaux IP, c’est un VPN de niveau paquet (niveau 3). Si
le VPN est mis en place pour une application comme HTTP, le VPN
est de niveau application (niveau 7).

III.12.2. Catégories de VPN

Deux grandes catégories permettent toutefois de classifier les VPN

en fonction de celui qui gère le réseau :

Les VPN d’entreprise : qui forment le réseau logique

d’interconnexion de plusieurs sites d’une entreprise, permettent en
outre à des utilisateurs hors des sites de se connecter sur ce réseau
logique.
Les VPN d’opérateurs : qui forment le réseau physique et permettent
de constituer des réseaux logiques pour les entreprises. Les
opérateurs ont réagi rapidement à la demande de VPN des
entreprises. Après avoir mis en place des réseaux loués, qui
n’appartenaient qu’à l’entreprise cliente, ils ont proposé des
solutions de partage des infrastructures en sécurisant suffisamment
les connexions de site à site par des protocoles de type IPsec ou SSL.

III.12.3. Niveau de VPN

1. Les VPN de niveau 2 :

Les premiers VPN d’entreprise mis en place étaient de niveau 2. Leur

rôle était de transporter des trames d’un port d’entrée à un port de
sortie.

Figure 3.1. Présentation de VPN de catégorie de VPN

De nombreux types de tunnels peuvent être mis en oeuvre pour
réaliser ces VPN, mais ces solutions sont plutôt en décroissance
aujourd’hui. On peut citer :

2. Le niveau paquet (couche 3)

Etant aujourd’hui un niveau IP, les VPN de niveau 3 sont appelés VPN
IP. Cette génération de VPN date du début des années 2000. Elle
permet de rassembler toutes les propriétés que l’on peut trouver
dans les réseaux intranet et extranet, notamment le système
d’information d’une entreprise distribuée. La solution IP permet
d’intégrer à la fois des terminaux fixes et des terminaux mobiles. Un
VPN IP est illustré à la figure 4.2. Les entreprises A, B et C ont des
VPN de niveau IP. Leurs points d’accès sont des routeurs IP, qui
laissent entrer et sortir de l’entreprise les paquets IP destinés aux
autres succursales.

Figure 3.2. Présentation de VPN de Niveau 3

3. Les VPN MPLS

Une grande tendance de ce début des années 2000 en matière de

VPN consiste à utiliser des réseaux MPLS. La souplesse de MPLS
autorise l’utilisation de fonctionnalités de niveau 2 et de niveau3.
C’est la raison pour laquelle on appelle parfois ces réseaux privés
virtuels des VPN de niveau 2,5. MPLS met en place des tunnels,
appelés LSP (Label Switched Path), qui ne sont autres que des
circuits virtuels. Ces LSP sont toutefois beaucoup plus souples
d’usage que des circuits virtuels et offrent en outre une qualité de
service.
4. Les VPN de niveau 7

Le niveau application (couche 7) peut également être utilisé pour

mettre en place des VPN. Dans ce cas, seule l’application concernée
est transportée dans le tunnel. Le plus classique de ces VPN est le
VPN SSL, qui utilise un tunnel SSL. SSL (Secure Sockets Layer) a été
créé par Netscape pour protéger le transport de pages Web entre un
client et un serveur. On compare souvent les VPN IPsec et SSL. Il
existe en effet beaucoup de similitudes entre eux, mais également
d’importantes différences, en particulier le fait qu’ils ne sont pas
situés au même niveau de l’architecture, 3 pour IPsec et 7 pour SSL.
Un VPN SSL ne prend en compte que les applications qui lui sont
associées et a l’avantage d’être plus léger qu’un VPN IPsec, lequel
ne fait pas de distinction entre les applications et peut prendre en
charge tous les types de flux.

III.12.4. Types de VPN

Les VPN d’entreprise ou d’opérateur peuvent être soient :

 Site à site

 Accès Distant.

1. VPN site à site

Permet une connectivité entre plusieurs sites d’une même

organisation ou plusieurs sites d’organisations différentes.
Il y a deux types de VPN site à site :

 VPN Intranet : permet une connectivité entre plusieurs sites

d’une seule organisation ;
 VNP Extranet : permet une connectivité entre les organisations
telles que les partenaires et l’entreprise ou les clients.
 Figure 3.3. Présentation de VPN site à site

2. VPN Accès Distant

Permet aux utilisateurs Mobiles et domestiques d’avoir accès à

distance aux ressources d’une entreprise.

Figure 3.4. Présentation de VPN d’accès distant

III.12.5. Protocoles de tunnelisation

Les principaux protocoles de tunneling sont les suivants :

- PPTP (Point-to-Point Tunneling Protocol) : est un protocole

de niveau 2 développé par Microsoft, 3Com, Ascend, US
Robotics et ECI Telematics ;
- L2F (Loyer TwoForwarding) est un protocole de niveau 2
développé par CISCO, Northern Telecom et Shiva. Il est
désormais quasi obsolète.
- L2TP (Layer Two Tunneling Protocol) est l’aboutissement
des travaux de l’IETF (RFC 2661) pour faire converger les
fonctionnalités de PPTP et L2F, il s’agit d’un protocole de
niveau 2 s’appuyant sur PPP/
 - IPSecest un protocole de niveau 3, issu des travaux de
l’IETF, parementant de transporter des données chiffrées
pour les réseaux IP.

1. Protocole PPTP

Le principe du protocole PPTP (Point-to-Point Tunneling Protocol) est

de créer des trames sous le protocole PPP et de les encapsuler dans
un datagramme IP.

Ainsi, dans ce mode de connexion, les machines distantes de deux

réseaux locaux sont connectées par une connexion point à point
comprenant un système de chiffrement et d’authentification, et le
paquet transite au sein du datagramme IP

2. Protocole L2TP

Le protocole L2TP (Layer Two Tunneling Protocol) est un protocole

standard de tunnelisation (standardisé dans le RFC) très proche de
PPTP. Ainsi le protocole L2TP encapsule des trames de protocole PPP,
encapsulant elles-mêmes d’autres protocoles (tels que IP, IPX, ou
encore NetBIOS).

3. Protocole SSTP

SSTP (Secure Socket Tunneling Protocol) est un protocole de

tunnelisation qui transporte une connexion PPP ou L2TP dans un
canal sécurisé SSL 3.0. L’avantage de SSTP est l’utilisation su port
TCP 443 (par défaut) qui est celui de sessions HTTPS : ainsi, il est
très facile d’ouvrir une session SSTP sana avoir à reconfigurer les
firewalls et le Proxy.

4. IPSEC

IPSEC est un protocole défini par l’IETF permettant de sécuriser les

échanges au niveau de la couche réseau. Il s’agit en fait d’un
protocole apportant des améliorations au niveau de la sécurité au
protocole IP afin de garantir la confidentialité, l’intégrité et
l’authentification des échanges.

Le protocole IPSEC est basé sur trois modules :

 - IP AUTHENTIFICATION HEADER (AH) : concernant
l’intégrité, l’authentification et la protection contre le rejet
des paquets à encapsuler
- ENCAPSULATING SECURITY PAYLOAD (ESP) : définissant le
chiffrement des paquets. ESP fournit la confidentialité,
l’intégrité, l’authentification et la protection contre le rejet
des paquets.

CHAPITRE IV ETUDE DE LA MISE EN PLACE

IV.1. Choix de la Technologie
La conception d’une interconnexion des systèmes informatiques
distants passe notamment par l’établissement d’un cahier des
charges et le choix entre différentes solutions techniques. Il est donc
important de se faire conseiller par les professionnels de ce secteur
d’activité qui pourront guider l’utilisateur à faire ses choix, en
 fonction des avantages de la technologie en questions et pour notre
cas nous pouvons cités :

 Choix du fournisseur d’accès offrant le services

d’interconnexion distant avec le relais VSAT ;
 Compatibilité native pour tous les principaux appareils.
 Il offre la meilleure sécurité car il utilise une variété
d’algorithmes de cryptage tels que 3DES, AES et AES-256.
 Il est stable, en particulier lors du changement de réseau ou de
la reconnexion après une connexion interrompue.
 Opère au niveau réseau et pas besoin de vous soucier de la
dépendance des applications.

IV.2. Etat de besoins

Pour la réalisation de la conception de cette interconnexion, un
certain nombre d’équipements sont nécessaires sur chaque ; parmi
lesquels nous pouvons citer :

- Antenne réflecteur parabolique de type prime-focus pour le

relais VSAT du FAI ;
- Des Ordinateurs (Marque Dell CPU : Core Duo, RAM : 6 Gio,
HDD : 100Gio) + des Laptops (Marque CPU : I5, RAM : 4Gio,
HDD : 200 Gio) ;
- Des Serveurs PowerEdge R930 de type Dell
- Des Routeur Cisco de la série c7200 ;
- De Catalyst manageable de la serie 2960 ;
- Rouleau câble à paire torsadée de type UTP Cat 6a ;
- Système d’exploitation : Windows10 pro + Windows serveurs
2016 ;
- Connecteur RJ45 ;
IV.3. Plan d’adressage
Equipements Interface Adresses IP Masque de sous Gateway
s réseau
S0/0/0 172.16.0.2 255.255.255.0 -
 INTERNET-FAI S0/1/0 172.16.1.1 255.255.255.0 -

Fa0/0 192.168.2.1 255.255.255.0 -

R_GOMBE S0/0/0 172.16.0.1 255.255.255.0 -
R_LIMETE Fa0/0 192.168.3.1 255.255.255.0 -
S0/0/0 172.16.1.2 255.255.255.0 -
WKS_GOMBE_00 NIC 192.168.2.2 255.255.255.0 192.168.2.1
1
WKS_GOMBE_00 NIC 192.168.2.3 255.255.255.0 192.168.2.1
2
WKS_GOMBE_00 NIC 192.168.2.4 255.255.255.0 192.168.2.1
3
WKS_LIMETE_00 NIC 192.168.3.2 255.255.255.0 192.168.3.1
1
WKS_LIMETE_00 NIC 192.168.3.3 255.255.255.0 192.168.3.1
2
WKS_LIMETE_00 NIC 192.168.3.4 255.255.255.0 192.168.3.1
3

IV.5. Schéma fonctionnel du système

Figure 4.1. Présentation de l’interconnexion

 Figure 4.2. Schéma synoptique de déploiement
IV.5. Procédure de déploiement du VPN
IV.5.1. Interconnexion de réseaux
Ruteur du FAI
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname INTERNET-FAI
INTERNET-FAI(config)#interface serial 0/0/0
INTERNET-FAI(config-if)#clock rate 64000
INTERNET-FAI(config-if)#ip address 172.16.0.2 255.255.255.0
INTERNET-FAI(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/0/0, changed state to down

INTERNET-FAI(config-if)#exit
INTERNET-FAI(config)#interface serial 0/1/0
INTERNET-FAI(config-if)#clock rate 64000
INTERNET-FAI(config-if)#ip address 172.16.1.1 255.255.255.0
INTERNET-FAI(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/0/1, changed state to down

INTERNET-FAI(config-if)#exit
INTERNET-FAI(config)#router rip
INTERNET-FAI(config-router)#version 2
INTERNET-FAI(config-router)#network 172.16.0.0
INTERNET-FAI(config-router)#network 172.16.1.0
INTERNET-FAI(config-router)#end
INTERNET-FAI#
%SYS-5-CONFIG_I: Configuredfrom console by console

INTERNET-FAI#write
Destination filename [startup-config]?
Building configuration...
[OK]
INTERNET-FAI#

Routeur SITE_GOMBE

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R_GOME
R_GOME (config)#interface fastEthernet 0/0
R_GOME (config-if)#ipaddress 192.168.2.1 255.255.255.0
R_GOME (config-if)#no shutdown

R_GOME (config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,

changed state to up

R_GOME (config-if)#exit
R_GOME (config)#interface serial 0/0/0
R_GOME (config-if)#ipaddress 172.16.0.1 255.255.255.0
R_GOME (config-if)#no shutdown

R_GOME (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up

R_GOME (config-if)#exit
R_GOME (config)#router rip
R_GOME (config-router)#version 2
R_GOME (config-router)#network 192.168.2.0
R_GOME (config-router)#network 172.16.0.0
R_GOME (config-router)#network 172.16.1.0
R_GOME (config-router)#end
R_GOME #
%SYS-5-CONFIG_I: Configuredfrom console by console

R_GOME #write
Destination filename [startup-config]?
Building configuration...
[OK]
R_GOME #

Routeur SITE_LIMETE

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R_LIMETE
R_LIMETE (config)#interface fastEthernet 0/0
R_LIMETE (config-if)#ipaddress 192.168.3.1 255.255.255.0
R_LIMETE (config-if)#no shutdown

R_LIMETE (config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,

changed state to up

R_LIMETE (config-if)#exit
R_LIMETE (config)#interface serial 0/0/0
R_LIMETE (config-if)#ipaddress 172.16.1.2 255.255.255.0
R_LIMETE (config-if)#no shutdown

R_LIMETE (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up

R_LIMETE (config-if)#exit
R_LIMETE (config)#r
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0,
changed state to up

R_LIMETE (config)#router rip

R_LIMETE (config-router)#version 2
R_LIMETE (config-router)#network 192.168.2.0
R_LIMETE (config-router)#network 172.16.0.0
R_LIMETE (config-router)#network 172.16.1.0
R_LIMETE (config-router)#end
R_LIMETE #
%SYS-5-CONFIG_I: Configuredfrom console by console
R_LIMETE #copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R_LIMETE #

IV.5.2. Configuration de VPN IPSEC site à site

Routeur SITE_GOMBE
R_GOMBE #configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R_GOMBE (config)#cryto isakmp enable
R_GOMBE (config)#crypto isakmp policy 10
R_GOMBE (config-isakmp)#hash sha
R_GOMBE (config-isakmp)#encryption aes 128
R_GOMBE (config-isakmp)#authentication pre-share
R_GOMBE (config-isakmp)#group 2
R_GOMBE (config-isakmp)#lifetime 86400
R_GOMBE (config-isakmp)#exit
R_GOMBE (config)#crypto isakmp key vpnk3 address 172.16.1.2
R_GOMBE (config)#crypto ipsectransform-set ipsecset esp-aes esp-
sha-hmac
R_GOMBE (config)#ip access-list extended cryptoacl
R_GOMBE (config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255
192.168.3.0 0.0.0.255
R_GOMBE (config-ext-nacl)#exit
R_GOMBE (config)#crypto map ipsecmap 100 1 ipsec-isakmp
% NOTE: This new crypto mapwillremaindisableduntil a peer
and a validaccesslist have been configured.
R_GOMBE (config-crypto-map)#set peer 172.16.1.2
R_GOMBE (config-crypto-map)# set transform-set ipsecset
R_GOMBE (config-crypto-map)#match address cryptoacl
R_GOMBE (config-crypto-map)#exit
R_GOMBE (config)#interface Serial0/0/0
R_GOMBE (config-if)#crypto map ipsecmap
R_GOMBE (config-if)#ip access-group ipsecacl out
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R_GOMBE (config-if)#end
R_GOMBE #
%SYS-5-CONFIG_I: Configuredfrom console by console

R_GOMBE #copy running-config startup-config

Destination filename [startup-config]?
Building configuration...
[OK]
R_GOMBE #
Routeur SITE_LIMETE

R_LIMETE>enable
R_LIMETE #configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R_LIMETE (config)#crypto isakmp enable
R_LIMETE (config)#crypto isakmp policy 10
R_LIMETE (config-isakmp)#h
R_LIMETE (config-isakmp)#hash sha
R_LIMETE (config-isakmp)#encryption aes 128
R_LIMETE (config-isakmp)#authentication pre-share
R_LIMETE (config-isakmp)#group 2
R_LIMETE (config-isakmp)#lifetime 86400
R_LIMETE config-isakmp)#exit
R_LIMETE (config)#crypto isakmp key vpnk3 address 172.16.0.1
R_LIMETE (config)#crypto ipsectransform-set ipsecset esp-aes esp-
sha-hmac
R_LIMETE (config)#ip access-list extended crypto acl
R_LIMETE (config-ext-nacl)#ip permit 192.168.3.0 0.0.0.255
192.168.2.0 0.0.0.255
R_LIMETE (config-ext-nacl)#exit
R_LIMETE (config)#crypto map ipsecmap 100 ipsec-isakmp
% NOTE: This new crypto mapwillremaindisableduntil a peer
and a validaccesslist have been configured.
R_LIMETE (config-crypto-map)#set peer 172.16.0.1
R_LIMETE (config-crypto-map)#set transform-set ipsecset
R_LIMETE (config-crypto-map)#match address cryptoacl
R_LIMETE (config-crypto-map)#exit
R_LIMETE (config)#interface Serial0/0/0
R_LIMETE ( config-if)#crypto map MAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R_LIMETE (config-if)#end
R_LIMETE #
%SYS-5-CONFIG_I: Configuredfrom console by console

R_LIMETE #copy running-config startup-config

Destination filename [startup-config]?
Building configuration...
[OK]
URKIM_LINGWALA #
IV.5.3. Vérification de la configuration
R_LIMETE #show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: MAP, local addr 192.168.2.1

protectedvrf: (none)
localident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remoteident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 172.16.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pktsencaps: 0, #pktsencrypt: 0, #pkts digest: 0
#pktsdecaps: 0, #pktsdecrypt: 0, #pktsverify: 0
#pktscompressed: 0, #pktsdecompressed: 0
#pkts not compressed: 0, #pktscompr. failed: 0
#pkts not decompressed: 0, #pktsdecompressfailed: 0
#senderrors 0, #recverrors 0

local crypto endpt.: 192.168.2.1, remote crypto endpt.:172.16.1.2

pathmtu 1500, ipmtu 1500, ipmtuidb Serial0/0/0
currentoutbound spi: 0x0(0)

inbound esp sas:

R_LIMETE #show crypto ipsec sa

interface: Serial0/0/0
Crypto map tag: MAP, local addr 192.168.3.1

protectedvrf: (none)
localident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
remoteident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 172.16.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pktsencaps: 0, #pktsencrypt: 0, #pkts digest: 0
#pktsdecaps: 0, #pktsdecrypt: 0, #pktsverify: 0
#pktscompressed: 0, #pktsdecompressed: 0
#pkts not compressed: 0, #pktscompr. failed: 0
#pkts not decompressed: 0, #pktsdecompressfailed: 0
#senderrors 0, #recverrors 0

local crypto endpt.: 192.168.3.1, remote crypto endpt.:172.16.0.1

pathmtu 1500, ipmtu 1500, ipmtuidb Serial0/0/0
currentoutbound spi: 0x0(0)
 CONCLUSION

Nous voici à la fin de notre travail intitulé étude portant sur L’Etude
Portant sur la Mise en Place d’une Interconnexion sécurisée
par VPN d’entreprise de type IPsec dans un campus Multi
sites. Internet Protocol Security, alias IPSec, est considéré comme
un cadre de standards ouverts. Il a été développé par l'Internet
Engineering Task Force (IETF) et offre une sécurité cryptographique
au trafic réseau.

- Au premier chapitre intitulé interconnexion des réseaux, il était

question de présenter les différents facteurs qui régissent le
fonctionnement des réseaux longue distance (WAN), c’est à
dire les technologies et équipements permettent la mise en
liaison d’au moins deux équipements, quelle que soit la
distance géographique ;

- Au deuxième chapitre, nous avons passé en revue la

technologie VSAT qui est notre solution d’interconnexion en
servant du de l’infrastructure d’un fournisseur d’accès ou
opérateur télécom. Nous avons expliqué le fonctionnement du
relais VSAT, la topologie de déploiement et les bandes de
fréquences utilisées ;

- Au troisième chapitre, une brève présentation de sécurité

réseau et VPN ont été abordée. Avec le monde croissant des
menaces envers les réseaux tels que les vers, les virus et les
pirates, la sécurité ne peut être considérée comme une option,
même à l’intérieur des « Réseaux Privés ». C’est ainsi que nous
 avons présentés différents types des Réseaux Privés Virtuels
(VPN) existants et les protocoles permettant leurs mises en
place ;

- Enfin au dernier chapitre, nous avons présenté le déploiement

d’une interconnexion par relais VSAT sécurisée par un tunnel
VPN utilisant le protocole IPsec, auquel la configuration a été
faite par l’entreprise en lieu et place du fournisseur d’accès à
l’Internet.

Nous ne pouvions finir ce travail scientifique sans demander votre

indulgence aux erreurs qui seront décelées tout au long de la lecture
de ces notes, car comme toute œuvre humaine, elle est soumise à
ce principe naturel de la science.

BIBLIOGRAPHIE
1. Ouvrages
[1]. Allan Johnson, CCNA Cybersecurity Operations Compagnion
guide networking academy, éd. CiscoPress, San jose, 2018, page
256 - 321
[2]. Bob VACHON & Allan Johson, Routing and Switching v6
compagion guide, éd. Cisco press, Indianapolis, 2018
[3]. Bob VACHON & Allan Johson, Scaling Networks v6 compagnion
Guide, éd. Cisco press, Indianapolis, 2018
[4]. Claude SERVIN, Réseaux et Télécoms, éd. Dunod, Paris, 2014,
[5]. Guy PUJOLLE, Les réseaux édition 2014, EYROLLES, Paris, 2014n
page 616 – 629
[6]. Laurent BLOCH et christophe WOLFHUGEL, sécurité
informatique : principes et méthodes, éd. Eyrolles, Paris, 2 ème
édition,
pg 74 – 81
[7]. Philippe ATELIN, Les réseaux informatiques : Notions
fondamentales, éd. ENI, Paris, 2014, page 157
[8]. Solange GHERNAOUTI, Sécurité informatique et Réseaux, éd.
Dunod, Paris, 2008, p.157-163
[9]. Stéphane LOHIER et Dominique PRESENT, Réseaux et
Transmissions : Protocoles, Infrastructure et Services , éd. Dunud,
Paris,
 2. Notes de cours
[10]. KASESE NSOBO, Notes de cours Liaison Satellitaire, ESMICOM,
Informatique, L2 RTM & TR, 2019 – 2020
[11. PUKUTA MAMBUKU, Notes de cours de sécurité informatique I,
Informatique, ESMICOM, G3, 2019 - 2020