Chapitre 5 : Sécurisation et optimisation des performances

1. Introduction

Dans un environnement réseau, la performance et la sécurité sont des enjeux majeurs. L’optimisation des
performances permet d’assurer une communication fluide entre les différents composants du réseau, tandis
que la sécurisation des équipements prévient les attaques et les intrusions malveillantes. Ce chapitre aborde
trois axes principaux : la gestion de la bande passante via la Qualité de Service (QoS), la redondance et la
haute disponibilité, ainsi que les techniques de sécurisation des équipements réseaux.

2. QoS et gestion de la bande passante

2.1 Qu’est-ce que la QoS ?

La Qualité de Service (QoS) désigne l’ensemble des techniques permettant d’optimiser l’utilisation des
ressources réseau afin de garantir un certain niveau de performance aux applications critiques. Elle est
particulièrement utile dans les entreprises utilisant des services tels que la VoIP, la visioconférence ou le
cloud computing.

2.2 Mécanismes de QoS

1. Classification et marquage du trafic

o Permet de prioriser certains flux (ex. : voix sur IP) en leur attribuant un marquage spécifique.
o Exemples de protocoles : DiffServ (DSCP), 802.1p pour les VLANs.
2. Mise en file d’attente (Queuing)
o FIFO (First In, First Out) : Tous les paquets sont traités dans l’ordre d’arrivée.
o WFQ (Weighted Fair Queuing) : Distribue équitablement la bande passante en fonction
de classes de trafic. privilege celui de la
o LLQ (Low Latency Queuing) : Priorise le trafic VoIP et visioconférence. voip et
visioconference que
wouri TV 3. Gestion de la congestion
o RED (Random Early Detection) : Réduit la congestion en supprimant préventivement l'acces aux pages web
SINAF
certains paquets.
o Policing et Shaping : Limite le débit en appliquant une politique stricte.
pour un trafic limite il laisse passer une quantite inferieur a celle allouee
2.3 Implémentation de la QoS en entreprise

Exemples de configuration sur un routeur Cisco pour prioriser la VoIP :

class-map match-all VOICE iavec classmap tu classes tous les trafics selon le protocole diffserv en mettant
match ip dscp ef la voie voice au dessus puis tu positionnes la classe trafic a la voie voice et je
l'affecte a une interface reelle
policy-map QOS_POLICY
class VOICE
priority 1000
affecte la configuration qui met la voie voice au dessus
interface GigabitEthernet0/1
service-policy output QOS_POLICY

Cas d’entreprise : Une société de services informatiques optimise sa bande passante pour garantir un
fonctionnement fluide de ses outils collaboratifs (Teams, Zoom, etc.).

3. Techniques de redondance et haute disponibilité

3.1 Importance de la redondance en entreprise

Par Dr. YANKAM Yannick Administration des réseaux 37

Les interruptions de service peuvent coûter très cher aux entreprises. La redondance réduit le risque de
pannes critiques en assurant une continuité de service.

3.2 Protocole HSRP (Hot Standby Router Protocol) possibilite de rediriger les routes

Utilisé pour assurer une bascule automatique entre plusieurs routeurs.

Configuration Cisco HSRP :

interface GigabitEthernet0/1
standby 1 ip 192.168.1.1
standby 1 priority 110
standby 1 preempt

Cas d’usage : Une banque utilise HSRP pour assurer un accès ininterrompu à ses serveurs en cas de
défaillance d’un routeur.
(repartition de charges)
3.3 Load Balancing et clustering

 Permet de répartir le trafic entre plusieurs serveurs pour éviter la surcharge.

 Exemples d’outils : F5 Big-IP, HAProxy, Nginx.

3.4 Redondance des liens

 EtherChannel (Cisco) : Agrégation de plusieurs liaisons physiques pour une tolérance aux pannes.
 Protocole STP (Spanning Tree Protocol) : Évite les boucles réseau.

4. Sécurisation des équipements (ACL, NAT, VPN)

4.1 Filtrage des accès avec ACL (Access Control Lists)

1. Contexte et importance des ACL en entreprise

Dans un environnement d’entreprise, la gestion des accès réseau est une priorité pour garantir la
sécurité des ressources. Les administrateurs réseaux doivent s’assurer que seuls les utilisateurs et appareils
autorisés peuvent accéder aux services critiques, tandis que le trafic non désiré est filtré.
Sans un mécanisme de filtrage, les menaces externes et internes peuvent compromettre l’intégrité
du réseau, provoquer des fuites de données ou perturber la disponibilité des services. Les Access Control
Lists (ACL) permettent d’appliquer des politiques de sécurité en contrôlant le flux de trafic basé sur des
critères définis (adresses IP, protocoles, ports, etc.).

2. Définition et rôle des ACL

Une Access Control List (ACL) est un ensemble de règles appliquées sur un équipement réseau
(routeur, pare-feu, switch) pour filtrer le trafic. Ces règles sont exécutées séquentiellement du haut vers
le bas jusqu'à ce qu'une condition soit satisfaite.
Les ACL sont généralement utilisées pour :
 Restreindre l'accès aux ressources sensibles (ex. : limiter l'accès à un serveur interne).
 Protéger contre des attaques externes en bloquant certaines adresses IP malveillantes.
 Optimiser la bande passante en empêchant certains flux inutiles d’encombrer le réseau.
 Appliquer des politiques de sécurité en segmentant le réseau et en autorisant uniquement certains
types de trafic.
Remarque : Une ACL fonctionne selon un principe de "Deny by default", c'est-à-dire qu'en l'absence
d'une règle explicite, le trafic est bloqué par défaut.
si une machine a un privilege et laisse les autres machines
alors il faudra utiliser les autres a passer du trafic
Par Dr. YANKAM Yannick Administration des réseaux 38
3. Types d’ACL et leur contexte d'utilisation

Il existe deux grandes catégories d'ACL :

3.1 ACL standard

 Filtre le trafic uniquement en fonction de l'adresse IP source.
 Appliqué souvent à des cas où l’on souhaite limiter l’accès à des réseaux ou machines spécifiques.
 Utilisé dans les environnements simples où les restrictions sont basées sur l’origine du trafic.
Exemple d'utilisation en entreprise :
Une entreprise veut limiter l'accès à un serveur interne uniquement aux employés du service comptabilité.
cible le reseau et limite l'acces au service

Figure : Principe de fonctionnement.

avec permit on
achemine tandis
qu'avec deny on
supprime
directement

Positionnement des ACLs

3.2 ACL étendue

Par Dr. YANKAM Yannick Administration des réseaux 39

L’ACL étendue permet un contrôle plus fin en filtrant le trafic en fonction :
 de l’Adresse IP source et destination
 du protocole (TCP, UDP, ICMP, etc.)
 du numéro de port (HTTP, SSH, DNS, etc.)
Elle est utilisée pour des politiques de sécurité avancées (ex. : bloquer tout le trafic sauf HTTPS).
Exemple d'utilisation en entreprise :
Un administrateur réseau veut autoriser uniquement les connexions SSH provenant d'un réseau spécifique
et interdire tout autre accès distant.

4. Création et application des ACL

4.1 Création d’une ACL standard

Contexte d’entreprise :
Une entreprise dispose d'un réseau où le service RH (192.168.1.0/24) doit être le seul à pouvoir
accéder au serveur interne 10.10.10.1.

Étapes de configuration :
1-Créer l’ACL standard en autorisant uniquement le réseau RH :

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255 # Autorise le sous-réseau

RH ligne de configuration
Router(config)# access-list 10 deny any # Bloque tout le reste
L'ACL standard ne s'applique qu'a l'onterface la plus proche de la destination
2-Appliquer l’ACL sur l’interface d’entrée du routeur :

Router(config)# interface GigabitEthernet 0/0

Router(config-if)# ip access-group 10 in # Applique l'ACL en entrée
Router(config-if)# exit

Explication des commandes :

 access-list 10 permit 192.168.1.0 0.0.0.255 → Autorise uniquement le trafic venant du
réseau RH.
 access-list 10 deny any → Bloque tout autre trafic non spécifié.
 ip access-group 10 in → Applique l’ACL sur l’interface en entrée.

4.2 Création d’une ACL étendue

Contexte d’entreprise :
Un administrateur réseau veut bloquer tout accès Telnet (port 23) à un routeur sauf pour une machine
spécifique (192.168.1.100).

Étapes de configuration :

1- Créer l’ACL étendue pour filtrer Telnet :

Router(config)# access-list 100 permit tcp host 192.168.1.100 any eq 23 # Autorise

Telnet pour 192.168.1.100
Router(config)# access-list 100 deny tcp any any eq 23 # Bloque Telnet pour tous
les autres
Router(config)# access-list 100 permit ip any any # Autorise
tout autre trafic

2- Appliquer l’ACL sur l’interface du routeur :

Par Dr. YANKAM Yannick Administration des réseaux 40

Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# exit

Explication des commandes :

 access-list 100 permit tcp host 192.168.1.100 any eq 23 → Autorise uniquement l'IP
spécifiée à utiliser Telnet.
 access-list 100 deny tcp any any eq 23 → Bloque Telnet pour tous les autres utilisateurs.
 access-list 100 permit ip any any → Autorise tout autre trafic normal.

5. Cas pratiques avancés en entreprise

5.1 Protection d’un serveur web

Une entreprise héberge un site web interne (10.10.10.5) et souhaite :
 Autoriser les connexions HTTP (port 80) et HTTPS (port 443) de tous les employés.
 Bloquer les connexions SSH vers ce serveur sauf pour l’administrateur réseau (192.168.2.1).

Configuration :

Router(config)# access-list 110 permit tcp any host 10.10.10.5 eq 80 # Autoriser HTTP
Router(config)# access-list 110 permit tcp any host 10.10.10.5 eq 443 # Autoriser HTTPS
Router(config)# access-list 110 permit tcp host 192.168.2.1 host 10.10.10.5 eq 22 #
Autoriser SSH uniquement pour admin
Router(config)# access-list 110 deny tcp any host 10.10.10.5 eq 22 # Bloquer SSH
pour les autres
Router(config)# access-list 110 permit ip any any # Autoriser le reste du trafic

Explication :
 HTTP et HTTPS restent accessibles.
 SSH est restreint uniquement à l’administrateur réseau.

En résumé :
Les Access Control Lists (ACL) sont des outils essentiels pour sécuriser un réseau en appliquant
des règles de filtrage du trafic. Elles permettent d’empêcher les accès non autorisés, de limiter les
menaces et d’optimiser la bande passante.
 Les ACL standards sont utiles pour un filtrage simple basé sur l’adresse IP source.
 Les ACL étendues offrent un contrôle plus granulaire en tenant compte des protocoles et des ports.
Dans une entreprise, la bonne implémentation des ACL est un élément clé de la politique de
sécurité réseau et doit être pensée avec une approche méthodique pour garantir un bon équilibre entre
accessibilité et protection.

4.2 NAT (Network Address Translation)

4.2.1. Contexte et importance du NAT en entreprise

Dans un réseau d’entreprise, la connectivité Internet est essentielle pour permettre aux employés d’accéder
aux services cloud, aux emails et aux ressources externes. Cependant, avec l’épuisement des adresses IPv4
publiques, une entreprise ne peut pas attribuer une adresse publique unique à chaque appareil.

Le NAT (Network Address Translation) résout ce problème en permettant à plusieurs appareils d'un
réseau privé d’accéder à Internet en partageant une seule adresse IP publique.

4.2.2. Définition et rôle du NAT

Par Dr. YANKAM Yannick Administration des réseaux 41
Le Network Address Translation (NAT) est un mécanisme permettant de modifier les adresses IP des
paquets qui transitent à travers un routeur ou un pare-feu.
Il permet de :
 Économiser les adresses IPv4 publiques en utilisant une seule adresse publique pour plusieurs
machines internes.
 Cacher l'architecture interne du réseau pour des raisons de sécurité.
 Faciliter la communication entre un réseau privé et Internet.

Remarque : Le NAT fonctionne en modifiant l’adresse IP source ou destination des paquets qui
traversent un routeur.

4.2.3. Types de NAT et contextes d'utilisation

Il existe trois principaux types de NAT, chacun ayant une utilisation spécifique en entreprise :

Type de NAT Fonctionnalité Contexte d’utilisation

NAT statique Associe une IP privée à une IP Utilisé pour rendre un serveur interne
publique de manière permanente. accessible depuis l'extérieur (ex : serveur
web).
NAT dynamique Associe dynamiquement une IP Utilisé lorsqu'une entreprise dispose de
privée à une IP publique parmi un plusieurs IP publiques et souhaite
pool d'adresses disponibles. attribuer dynamiquement ces IP aux
utilisateurs internes.
PAT (Port Address Permet à plusieurs adresses privées Méthode la plus courante, utilisée pour
Translation) ou de partager une seule IP publique en les connexions Internet des employés.
NAT Overload différenciant les connexions via les
ports.

4.2.4. Configuration et mise en œuvre du NAT

Nous allons détailler la mise en œuvre des trois types de NAT sur un routeur Cisco.

4.2.4.1 Configuration du NAT Statique

Contexte d’entreprise :

Une entreprise héberge un serveur web interne (192.168.1.100) qui doit être accessible depuis Internet via
l’IP publique 203.0.113.10.

Par Dr. YANKAM Yannick Administration des réseaux 42

Étapes de configuration :

1-Définir l’association entre l’IP privée et l’IP publique

Router(config)# ip nat inside source static 192.168.1.100 203.0.113.10

2-Configurer les interfaces du routeur

Router(config)# interface GigabitEthernet 0/0

Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# exit

Router(config)# interface GigabitEthernet 0/1

Router(config-if)# ip address 203.0.113.1 255.255.255.0
Router(config-if)# ip nat outside
Router(config-if)# exit

Explication des commandes :

ip nat inside source static 192.168.1.100 203.0.113.10 → Associe l’IP privée à l’IP publique.
ip nat inside et ip nat outside → Définissent quelles interfaces sont internes et externes.

Avantage du NAT statique : Permet d’héberger des services accessibles publiquement (serveur web,
FTP, etc.).

4.2.4.2 Configuration du NAT Dynamique

Une entreprise possède un pool d’adresses IP publiques et souhaite attribuer dynamiquement une adresse
à chaque utilisateur lorsqu’il accède à Internet. Comment procéder dans ce contexte pour définir le NAT ?

Avec le NAT dynamique, nous mappons également nos adresses IP internes à plusieurs adresses IP
publiques. Mais l’adresse publique utilisée par une machine pour atteindre l’extérieur varie d’une
communication à l’autre.

Lorsqu’un hôte initie une connexion vers l’extérieur, le serveur NAT choisit une adresse disponible de son
pool d’adresses IP publiques et l’alloue à la communication. Les traductions dynamiques ont un délai
Par Dr. YANKAM Yannick Administration des réseaux 43
d’expiration après laquelle elles sont purgées de la table de traduction, rendant ainsi les adresses publiques
à nouveau disponibles pour d’autres hôtes internes.

Il est encore plus intéressant de savoir beaucoup d’équipements réseau offrent désormais NAT parmi les
fonctions auxiliaires intégrées. C’est le cas des routeurs et des points d’accès sans fil notamment. La figure
nous montre un exemple de tableau de mappage ou table NAT ou table de traduction.

Il y est visible que c’est le couple (AdressePrivée, PortSourcePrivé) qui est remplacé par le couple
(AdressePublique, PortSourcePublic). Par exemple, le couple (192.168.1.101, 54847) est remplacé par le
couple (65.96.14.76,1). C’est-à-dire que la communication émanant de la machine d’adresse 192.168.1.101
et qui est associée dans la couche de transport au port numéro 54847 est visible dans le réseau publique
(Internet) comme provenant de la machine d’adresse 65.96.14.76 et de port numéro1 dans la couche de
transport. La traduction (AdressePrivée, PortSourcePrivé) (AdressePublique, PortSourcePublic) est appelée
NAT source.

Étapes de configuration :

1-Définir un pool d’adresses publiques

Router(config)# ip nat pool NAT-DYN 203.0.113.20 203.0.113.30 netmask 255.255.255.240

2-Créer une ACL pour identifier les IP internes autorisées à utiliser le NAT

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255

3-Activer le NAT dynamique

Router(config)# ip nat inside source list 1 pool NAT-DYN

4-Configurer les interfaces

Router(config)# interface GigabitEthernet 0/0

Router(config-if)# ip nat inside
Router(config-if)# exit

Router(config)# interface GigabitEthernet 0/1

Router(config-if)# ip nat outside
Router(config-if)# exit

Explication des commandes :

Par Dr. YANKAM Yannick Administration des réseaux 44
  ip nat pool NAT-DYN 203.0.113.20 203.0.113.30 netmask 255.255.255.240 → Définit
une plage d’IP publiques utilisables.
 access-list 1 permit 192.168.1.0 0.0.0.255 → Autorise le NAT pour le réseau interne.
 ip nat inside source list 1 pool NAT-DYN → Associe les IP internes aux IP publiques
dynamiques.

Avantage du NAT dynamique : Permet de répartir l’utilisation des adresses IP publiques sans en
attribuer une fixe à chaque utilisateur.

4.2.3 Configuration du PAT (NAT Overload)

Contexte d’entreprise :

Une PME avec 50 employés veut permettre à tous ses utilisateurs d'accéder à Internet en utilisant une
seule IP publique.

Étapes de configuration :

1-Créer une ACL pour autoriser les IP internes

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255

2-Activer le PAT

Router(config)# ip nat inside source list 1 interface GigabitEthernet 0/1 overload

3-Configurer les interfaces

Router(config)# interface GigabitEthernet 0/0

Router(config-if)# ip nat inside
Router(config-if)# exit

Router(config)# interface GigabitEthernet 0/1

Router(config-if)# ip nat outside
Router(config-if)# exit

Explication des commandes :

 ip nat inside source list 1 interface GigabitEthernet 0/1 overload → Active le

NAT Overload en utilisant l'IP publique de l’interface externe.
 overload → Permet à plusieurs appareils d’utiliser la même adresse publique via des numéros de
ports différents.

Avantage du PAT : C'est la méthode la plus courante et économique pour les entreprises.

Conclusion

Le NAT est un élément clé de la gestion réseau en entreprise, permettant de :

 Optimiser l’utilisation des adresses IPv4.

 Protéger l’architecture réseau interne.
 Assurer la connectivité Internet de tous les utilisateurs.

Par Dr. YANKAM Yannick Administration des réseaux 45

 Type de NAT Utilisation principale
NAT statique Hébergement de serveurs accessibles depuis Internet.
NAT dynamique Attribution temporaire d’adresses IP publiques à des clients internes.
PAT (Overload) Partage d’une seule IP publique entre plusieurs utilisateurs internes.

Le choix du type de NAT dépend des besoins et contraintes de sécurité de chaque entreprise.

4.3 VPN (Virtual Private Network)

Un VPN permet de sécuriser les connexions à distance.

 VPN IPSec : Sécurise les communications entre sites d’entreprise.

 VPN SSL : Utilisé pour les connexions à distance des employés.

Exemple de configuration d’un VPN IPSec sur Cisco :

crypto isakmp policy 10

encryption aes
hash sha
authentication pre-share
group 5

Cas d’usage : Une société avec des employés en télétravail utilise un VPN pour accéder aux ressources
internes de façon sécurisée.

En conclusion, la sécurisation et l’optimisation du réseau sont essentielles pour garantir un fonctionnement

efficace et protégé contre les menaces. En entreprise, l’adoption des bonnes pratiques de QoS, de
redondance et de sécurité permet d’améliorer la performance et la résilience des infrastructures réseaux.

Par Dr. YANKAM Yannick Administration des réseaux 46