Le cours Hardware 2: serveur, réseau et communication

1. Introduction

La première partie du cours hardware reprenait les ordinateurs bureautiques, portables et périphériques courants. Même si nous en reparlerons un peu tout au long de cette partie, les chapitres qui suivent sont plus centrés vers la maintenance et l'installation du matériel réseau et autres solutions spécifiques réservées aux entreprises, bref du travail de technicien informatique d'entreprise ou du moins sur site.

La formation / cours hardware 2 technicien PC / réseau reprend les réseaux (câblage, serveurs, hub et switch, routeurs, Ethernet, sécurité, ...), appareils de communication divers, technologies serveurs (SCSI, RAID, ...).

Dans les autres cours Technicien PC / réseau, les réseaux sont analysés au niveau logiciel: gestion, administration, protection, ... L'approche de ce cours réseau n'est pas logicielle, mais matérielle: que le système d'exploitation du serveur réseau ou du groupe de travail soit Windows, Linux ou Novell n'intervient pas directement ici.  Nous analyserons ici l'installation et le choix des appareils de connexions. Même si des solutions logicielles sont abordées pour comparaison, la finalité restera la solution hardware. Notre travail dans ce cours se limite (c'est déjà pas si mal) au choix, à l'installation, à la maintenance, au dépannage et au paramétrage d'une installation réseau au niveau matériel. Vous aurez besoin de toutes les compétences acquises dans les autres cours informatiques pour les configurations logicielles, même si des notions sont fournies dans ce cours. 

La partie réseau informatique reprend les cartes réseaux, technologies, hub, switch, routeurs et câblage Ethernet RJ45 mais aussi les normes de réseaux sans fils

La partie serveur reprend toutes les spécificités des serveurs: RAID, disques durs SCSI, Sauvegarde, multi processeurs MP. Elle est complétée par les stockages spécifiques réseaux (bandes, NAS et SAN).

Connexions haute vitesse (ADSL, lignes louées, ATM, ...) reprend toutes les technologies de connexion INTERNET. Elle est complétée par les possibilités de connections à distance (firewall, sécurité, VPN, ...). Cette partie vous permettra de comparer les différentes solutions (logicielles, Linux et hardware) avec leurs défauts et avantages. Une solution n'est jamais parfaite. Une partie de ce cours utilise la formation INTERNET comme base.

Protections électriques reprend les appareils de protections contre toutes les perturbations du réseau électrique (onduleur, ...).

D'autres chapitres traitent de technologies futures ou spécifiques, notamment les configurations spécifiques pour magasins de détails (terminaux de vente, scanner code barre, tiroir et afficheur client.

Vous le voyez, si la première partie reprenait des techniques plutôt atelier, on entre dans les matériels installés sur sites, l'installation mais aussi régler des problèmes plus spécifiques de dépannage: un travail de technicien de maintenance qui travaille en coopération avec d'autres spécialistes informatiques plus habitués aux logiciels. Un bon technicien de maintenance doit se promener dans l'usine. Celui qui court tout le temps n'a juste pas préparé son boulot, un câble qui pend doit être fixé si on ne veut pas qu'il soit accroché un jour en passant, les câbles doivent être clairement étiquetés, ... C'est juste une méthode de travail un peu différente mais nettement plus efficace à long terme..

2. Introduction aux réseaux informatiques

1. Introduction - 2. Modèle OSI - 3. Modèle TCP/IP - 4. Types d'ordinateurs connectés - 5. Types de serveurs - 6. Caractéristique d'un réseau - 7. Sécurité et administration

Avant de nous attaquer aux infrastructures réseaux, reprenons quelques notions théoriques de base sur les réseaux informatiques en général.  Un réseau permet de partager des ressources entre des ordinateurs: données ou périphériques (imprimante, connexion Internet, sauvegarde sur bandes, scanner, ...). Comme ce cours est typiquement hardware, je n'aborde que l'aspect matériel. Les autres parties d'un réseau sont repris dans les autres cours, notamment "Bases réseaux", "Initiation aux systèmes LINUX & UNIX", "Logiciels réseaux", ...

La transfert d'information entre deux logiciels informatiques sur 2 équipements réseaux différents se base sur deux modèles théoriques: le modèle OSI ou le modèle TCP/IP. Ces deux modèles sont plus théoriques que pratiques. Chacun inclut plusieurs couches et chaque couche doit envoyer (recevoir pour l'autre ordinateur) un message compréhensible par les deux parties. Le chapitre suivant (base de transmission réseau) traitera en détail de la communication. 

2.2. Le modèle OSI

Le modèle OSI (Open System Interconnection Model) défini en 1977 régit la communication entre 2 systèmes informatiques selon 7 niveaux. A chaque niveau, les deux systèmes doivent communiquer "compatibles". En matériel réseau, nous n'utilisons que les couches inférieures, jusqu'au niveau 3. Ces niveaux sont également appelés couches.

L'OSI est un modèle de base normalisé par l'International Standard Organisation (ISO). 

Application

Couche Application 7 Couche Application

Couche Présentation 6 Couche Présentation

Couche Session 5 Couche Session

Transport des données

Couche Transport 4 Couche Transport

Couche Réseau (Network)

3 Couche Réseau (Network)

Paquet

Couche liaison de

données (Data Link)2

Couche liaison de données (Data Link)

Trames

Physique (Physical) 1Couche Physique

(Physical)

Support de communication

Niveau 7 (application): gère le format des données entre logiciels. Niveau 6 (présentation): met les données en forme, éventuellement de l'encryptage et de la compression, par exemple mise en forme des textes, images et vidéo. Niveau 5 (session): gère l'établissement, la gestion et coordination des communications Niveau 4 (transport): s'occupe de la gestion des erreurs, notamment avec les protocoles UDP et TCP/IP Niveau 3 (réseau): sélectionne les routes de transport (routage) et s'occupe du traitement et du transfert des messages: gère par exemple les protocoles IP (adresse et le

masque de sous-réseau) et ICMP. Utilisé par les routeurs et les switchs manageables. Niveau 2 (liaison de données): utilise les adresses MAC. Le message Ethernet à ce stade est la trame, il est constitué d'un en-tête et des informations. L'en-tête reprend

l'adresse MAC de départ, celle d'arrivée + une indication du protocole supérieur. Niveau 1 (physique): gère les connections matérielles et la transmission, définit la façon dont les données sont converties en signaux numériques: ça peut-être un câble

coaxial, paires sur RJ45, onde radio, fibre optique, ...

A chacun de ces niveaux du modèle OSI, on encapsule un en-tête et une fin de trame (message) qui comporte les informations nécessaires en suivant les règles définies par le protocole réseau employé. Le protocole est le langage de communication (la mise en forme) utilisé pour le transfert des données (actuellement TCP/IP mais d'autres ont été utilisés comme NetBeui (antérieur à Windows 98), Novell IPX, ...). Sur le graphique ci-dessous, la partie qui est rajoutée à chaque couche est sur fond blanc. La partie en grisée est celle obtenue après encapsulation (intégration) du niveau précédent. La dernière trame, celle qu'on obtient après avoir encapsulé la couche physique, est celle qui sera envoyée sur le réseau.

Dans ce cours, seules les trois premiers niveaux du modèle OSI (jusqu'aux routeurs et switch de haut de gamme) sont utilisés, éventuellement jusqu'au niveau 4 pour certains switchs manageables et firewall. Les couches supérieures sont réservées aux autres cours de la formations technicien PC/ Réseaux, notamment base réseau et protocole TCP/IP.

2.3. Le modèle TCP/IP

Le modèle TCP/IP s'inspire du modèle OSI au-quel il reprend l'approche modulaire mais réduit le nombre à quatre. Les trois couches supérieures du modèle OSI sont souvent utilisées par une même application. Ce n'est pas le cas du modèle TCP/IP. C'est actuellement le modèle théorique le plus utilisé.

Protocoles utilisés Modèle TCP/IP correspondance en OSI

Couche application

Application

Présentation

Session

TCP / UDP, gestion des erreurs Couche Transport Transport

IP / ARP et RARP /ICMP / IGMP Couche Internet Réseau

Couche Accès réseau Liaison de donnée

Physique

De nouveau, on ajoute à chaque niveau une en-tête, les dénominations des paquets de données changent chaque fois:

Le paquet de données est appelé message au niveau de la couche application Le message est ensuite encapsulé sous forme de segment dans la couche transport. Le message est donc découpé en morceau avant envoi pour respecter une taille

maximum suivant le MTU. Le segment une fois encapsulé dans la couche Internet prend le nom de datagramme Enfin, on parle de trame envoyée sur le réseau au niveau de la couche accès réseau

   Les couches du modèle TCP/IP sont plus générales que celles du modèle OSI.

2.3.1. Couche application

La Couche Application reprend les applications standards en réseau informatique et Internet:

SMTP: "Simple Mail Transport protocol" gère le transfert de mails entre serveurs (pour renseignements supplémentaires, voire Exchange et IIS dans le cours YBET sur les systèmes d'exploitation)

POP: gère le transfert des mails entre un serveur de messagerie et un ordinateur client  TELNET: connexion sur une machine distante (serveur) en tant qu'utilisateur FTP (File Transfert Protocol), transfert des fichiers via Internet 

    et beaucoup d'autres.

2.3.2. Couche transport

    La Couche transport permet le transfert des données et les contrôles qui permettent de vérifier l'état de la transmission

    Les protocoles des couches suivantes permettent d'envoyer des données issues de la couche application. On ne définit pas réellement les logiciels qui communiquent, mais des numéros de ports associés au type d'application (numéro variant de 0 à 65535, 216). Par exemple, la navigation Internet utilise le port TCP 80, l'https, le 443, le FTP utilise le 21, ...

    La couche transport gère 2 protocoles de transport des informations, indépendamment du type de réseau utilisé:

TCP est orienté connexion (il vérifie la bonne transmission de données par des signaux d'accusés de réception -acknowledge - du destinataire), il assure ainsi le contrôle des données

UDP, archaïque et non orienté connexion, n'assure aucun contrôle de transmission des données, par exemple utilisé en streaming.

    Ces 2 types (orienté connexion ou pas) sont une notion utilisée pour les firewall. Si vous fermez un port en TCP, l'envoi d'un message ne renvoie pas de signal de retour (acknowledge), faisant croire que l'adresse IP est libre, non utilisée. En UDP au contraire, un port fermé ne renvoit pas d'informations, faisant croire à une adresse IP utilisée. Le protocole UDP renvoie uniquement un message si le port est en erreur (ne répond pas)

2.3.3. Couche INTERNET

La couche INTERNET est chargée de fournir le paquet des données. Elle définit les datagrammes et gère la décomposition / recomposition des segments.

La couche Internet utilise 5 protocoles, seuls les 3 premiers sont importants):

1. Le protocole IP: gère les destinations des messages, adresse du destinataire2. Le protocole ARP (Adresse Resolution Protocol): gère les adresses des cartes réseaux et la correspondance avec l'adresse IP. Chaque carte a sa propre adresse MAC

d'identification codée sur 48 bits.3. Le protocole ICMP (Internet Control Message Protocol) gère les informations relatives aux erreurs de transmission. ICMP ne les corrige pas, il signale uniquement que le

message contient des erreurs, utilisé par exemple par la commande DOS Ping.4. Le protocole RARP (Reverse Address Resolution Protocol) gère l'adresse IP pour les équipements réseaux qui ne peuvent en récupérer une automatiquement par lecture

d'information dans un fichier de configuration ou via un serveur DHCP. Lorsqu'un équipement réseau démarre, le gestionnaire réseau lit l'adresse IP à utiliser, ce qui est impossible pour certains équipements qui ne possèdent pas de disques durs (principalement les terminaux)

5. Le protocole IGMP (Internet Group Management Protocol) permet d'envoyer le même message à des ordinateurs qui font partie d'un groupe. Il permet aussi à ces machines de s'abonner et se désabonner d'un groupe. La principale application HARDWARE de l'IGMP se retrouve dans les SWITCH manageables. Ce protocole permet de regrouper des stations.

2.3.4. Couche Accès réseau

La couche Accès réseau spécifie la forme sous laquelle les données doivent être transmises. Elle prend en charge les notions suivantes:

type de réseaux (Ethernet, Token Ring, ...), y compris les cartes réseaux transfert des données Synchronisation de la transmission de données Mise en forme (format) des données Conversion analogique/numérique pour les modems téléphoniques Contrôle des erreurs

2.4. Les types d'ordinateurs connectés, types de réseaux

Un réseau permet de connecter des ordinateurs entre-eux de tous types (PC, Mac, Main Frames, ...)  pour partager des ressources.

Deux types d'ordinateurs sont utilisés sur un réseau: les serveurs réseaux et les clients. Les serveurs partagent leurs ressources (fichiers, périphériques de stockage, périphériques d'impression, ...). Les clients utilisent ces ressources.

Trois types de réseaux sont utilisés: 

1. les "Peer to Peer" ou réseau points à points. Chaque ordinateur connecté est à la fois client et serveur. C'est la méthode de partage la plus simple pour les versions de Windows standards (partage en Workgroup) Ce terme est aussi utilisé par extension pour le partage de musiques et fichiers divers entre ordinateurs via INTERNET.

2. Les réseaux lourds utilisent un ordinateur central (appelé serveur). Les droits d'accès des utilisateurs se connectant à partir d'ordinateurs clients permettent de sécuriser les données. Différents périphériques augmentent encore cette sécurité (bandes de backup, onduleur, ...). Le gestionnaire réseau (un système d'exploitation dédié) peut être Linux, Windows NT serveur, Windows 2000 - 2003 - 2008 serveur ou Novell Netware.

3. Les réseaux Wan (World Area Network) sont des réseaux internationaux permettant d'interconnecter des réseaux et serveurs entre eux. Internet est un réseau de ce type.

    Les coûts et difficultés de mise en oeuvre, la sécurité et la gestion sont proportionnels. Nous ne voyons que les équipements, les considérations Peer To Peer, serveurs ou Wan sont déterminées par le système d'exploitation et l'utilisation, pas par le matériel réseau.

2.5. Les types de serveurs.

Dans le chapitre précédant, nous avons parlé de serveurs au sens large. Dans l'informatique, on distingue trois types de serveurs:

Un serveur de fichier enregistre et distribue les documents et fichiers partagés par les utilisateurs. Les configurations ne sont généralement très grosses. Un serveur d'application permet d'utiliser un programme sur un serveur à partir de tous les postes clients simultanément, principalement des applications qui utilisent

des bases de données (gestion de fabrication, commerciale, comptabilité, stock, ...). Ces applications doivent être être programmée pour gérer les partages. La configuration de ces serveurs sont généralement plus importantes (par exemple des multi-processeurs). Dans tous les cas, un fichier n'est pas sauvegardé lors d'un backup si un utilisateur l'accède.

Un serveur d'impression partage des imprimantes. Actuellement, différents modèles sont directement connectés à un réseau Ethernet, des boîtiers spécifiques sont également commercialisés.

En pratique, un serveur reprend souvent les trois applications.

2.6. Caractéristique d’un réseau.

 Les réseaux locaux sont des infrastructures complexes et pas seulement des câbles entre stations de travail. Si l'on énumère la liste des composants d'un réseau local, on sera surpris d'en trouver une quantité plus grande que prévue:

1. Le câblage constitue l'infrastructure physique, avec le choix entre paires téléphoniques, câble coaxial ou fibre optique. Il détermine le type de concentrateurs (switch, HUB, point d'accès Wifi, ...) utilisé. Ces équipements constituent les nœuds dans le cas de réseaux en étoile.

2. La méthode d'accès décrit la façon dont le réseau arbitre les communications des différentes stations sur le câble: ordre, temps de parole, organisation des messages. Elle dépend étroitement de la topologie et donc de l'organisation spatiale des stations les unes par rapport aux autres. La méthode d'accès est essentiellement matérialisée dans les cartes d'interfaces, qui connectent les stations au câble.

3. Les protocoles de réseaux sont des logiciels qui "tournent" à la fois sur les différentes stations et leurs cartes d'interfaces réseaux. C'est le langage de communication. Pour que deux structures connectées sur le réseau, ils doivent "parler" le même protocole.

4. Le système d'exploitation du serveur réseau, souvent nommé gestionnaire du réseau, est installé sur le ou les serveurs. Il gère les partages, droits d'accès, ... Pour Microsoft, on retrouve Windows NT serveur, Windows 2000 serveur, Windows 2003, 2008. Ce sont des versions spécifiques. Linux est utilisé sous différentes versions serveurs. Novell Netware est un système dédié principalement efficace comme serveur de fichier.

5. Le système de sauvegarde est un élément indispensable qui fonctionne de diverses manières soit en recopiant systématiquement tous les fichiers du ou des serveurs, soit en faisant des sauvegardes régulières, éventuellement automatisées.

6. Un pont, un routeur ou passerelle constituent les moyens de communication qui permettent à un de ses utilisateurs de "sortir" du réseau local pour atteindre d'autres réseaux locaux ou des serveurs distants, Internet ou autres..

7. Le système de gestion et d'administration du réseau envoie les alarmes en cas d'incidents, comptabilise le trafic, mémorise l'activité du réseau et aide le superviseur à prévoir l'évolution de son réseau. Cette partie est typiquement software.

2.7. Sécurité et administration.

Un des aspect important d'un réseau informatique local est la centralisation de l'administration des données. Ceci permet de sauvegarder et sécuriser les données sur une seule machine. La sécurité reprend un ensemble de mesures contre les intrusions et virus, la gestion des privilèges et droits d'accès, la sauvegarde quotidienne des données, des équipements redondants en cas de panne, ...

Il n'y a pas de solutions idéales pour la sécurité des réseaux (et pour la sécurité informatique en générale). Trois solutions sont envisageable: les solutions matérielles que nous verrons, des solutions basées sur Linux et des solutions basées sur Windows ou des programmes rajoutés sur ces stations Windows. Le mélange de plusieurs solutions est possible dans certains cas. Certaines solutions sont d'ailleurs complémentaires. Sur un gros réseau "sensible", mettre un VPN hardware n'est pas suffisant. Une sécurité logicielle complémentaire incluant des contrôles d'accès au niveau administration serveur (serveur, dossier, droits d'accès) et logiciels de sécurités vérifiant le trafic sur le réseau interne n'est pas superflu.

Les routeurs peuvent être remplacés par une solution basée sur un serveur 2003 ou 2008, par un logiciel proxy comme WinGate ou par un ordinateur configuré spécifiquement en Linux

Un serveur proxy est parfois intégré dans les routeurs (mais généralement sous Windows ou Linux) Les firewall sont intégrés dans certains routeurs mais des logiciels assurent (presque) des fonctions équivalentes, souvent intégrés dans l'anti-virus (ex.:Symantec,

ZoneAlarm, Mcafee au niveau des stations) Les réseaux privés intégrés (VPN) sont intégrés dans certains systèmes d'exploitation serveurs mais peuvent également être des équipements spécifiques. Les anti-virus sont le plus souvent des logiciels, mais peuvent être implantés dans des routeurs qui vérifient tout le trafic extérieur.

Selon l'application, le niveau de sécurité souhaité, le nombre d'utilisateurs, ... et les budgets, la conception du réseau utilisera une solution logicielle ou hardware ou une combinaison de ces solutions. D'autres programmes de gestion réseaux (logiciels) permettent de gérer les trafics, les utilisateurs, ... En clair, par hardware, vous pouvez bloquer l'accès complet à un serveur, par software, autoriser seulement une partie des ressources d'un serveur. Les solutions des droits d'accès intègrent le plus souvent les deux.

3. Base de transmission réseau

1. Introduction - 2. Câblage Ethernet - 3. Liaison physique - 4. Topologie en bus - 5. Topologie en anneau 6. Topologie en étoile - 7. Topologie mixte - 8. Topologie Maillée - 9. Méthode d'accès

Pour transférer des informations entre ordinateurs et périphériques informatiques dans un réseau local, différents concepts sont nécessaires. Avant de débuter les liaisons réseaux, commençons par une simple communication entre un PC et une … imprimante.

Dans une connexion en parallèle, les 8 bits de chaque octet (byte) sont transférés sur des fils en parallèle en même temps. Le câble utilise 8 fils pour les données,  des fils de masse, complétés par des signaux de contrôle. Voyons les données. Pour faire passer un byte du PC vers l'imprimante, nous envoyons une tension ou non sur chacun de ces 8 fils, l'imprimante ne fait que vérifier si une tension est présente ou non. En théorie, les signaux de contrôles ne sont pas nécessaires.

Les connexions parallèles sont maintenant remplacées par les connexions séries, lié notamment au prix et à l'encombrement des fils mais aussi à des difficultés de synchroniser les signaux sur toutes les lignes de données lorsque la vitesse augmente. Dans une connexion série, le câblage le plus simple ne reprend qu'un fil de communication (deux en mode bidirectionnel) et une masse commune, les 8 bits de données vont passer à tour de rôle sur un seul fils. Ceci explique que les connexions séries sont réputées lentes.

Les données doivent être contrôlées. Une solution serait de renvoyer chaque fois les données reçues pour vérification. L'importance des vitesse de transfert rend ce principe impossible. Dans la pratique, on utilise un contrôle de parité qui compte le nombre de bits à 1. S'il est pair, la parité est de 0,  et 1 pour une parité impaire dans le cas d'une parité paire, EVEN (l'inverse en parité impaire - ODD). Le bit de parité est envoyé à la suite des 8 bits de données. Cette méthode de contrôle n'est pas totalement fiable, notamment si deux bits sont faux (et donc le message), la parité est juste. On peut modifier le nombre de bit de parité en passant sur une base 4 (2 bits), ... mais le ralentissement devient important. Cette solution n'est utilisée pour pour des liaisons spatiales, satellites, ... Cette solution n'est pas non plus utilisée telle qu'elle dans les réseaux. Ceci a déjà été étudié en première année.

Dans notre liaison classique, seulement deux installations sont connectées entre-elles. Cette connexion n'est pas très réaliste pour un réseau constitué d'ordinateurs. La connexion physique (les fils) doivent relier tous les ordinateurs entre-eux. Chacun doit également prendre la parole à son tour pour éviter que plusieurs signaux ne soient présents en même temps. Ceci est régit par le type de réseau local.

En réseau, la suite de signaux 0 et 1 envoyé s'appelle une trame. Elle est constituée des données et des entêtes et fin de messages ajoutée par les différentes couches du modèle OSI ou Internet. L'organisation de ces trames dépendant du protocole utilisé. La parité est directement gérée par le protocole.

Un protocole gère la méthode d'envoi des informations vers le destinataire. Comme dans un langage humain, les deux interlocuteurs doivent utiliser le même langage (protocole). Dans le cours hardware (à part en TCP/IP pour le routage et les firewall hardwares), nous n'utilisons finalement que les trois premières couches du modèle OSI du chapitre 2.

3.2. Le câblage Ethernet

Trois types de connexions physiques sont utilisés dans les réseaux locaux actuels: la paire torsadée, le câble coaxial (presque disparu) et la fibre optique.

3.2.1. La paire torsadée téléphonique

Bon marché et facile à installer, c'est aujourd'hui le support le plus utilisé en réseau local en réseau Ethernet (câble RJ45)

La catégorie de câble utilisé détermine la vitesse maximale de transmission réseau. En paire torsadée, on utilise du câble téléphonique. Néanmoins, ces câbles sont repris suivant leurs caractéristiques physiques (diamètre, isolant, longueur des torsades) dans différentes catégories ci-dessous:

Type de câble Vitesse supportée Type de réseau

Catégorie 1 Téléphonie Téléphone

Catégorie 2 1 Mbps Token-ring et téléphone

Catégorie 3 16 Mbps Token-Ring et 10 base T

Catégorie 4 20 Mbps en full duplex 10 Base T

Catégorie 5 100 Mbps 10BaseT et 100 Base TX

Catégorie 5e (catégorie 6) 1 Gbps Giga Ethernet

Deux familles de câbles paires torsadées sont utilisées: les câbles blindés (STP: Shilded Twisted Pair) entourés d'une feuille d'aluminium comme écran électrostatique et, plus souvent utilisés, les UTP (Unshielded twisted Pair) n'en utilisent pas.

3.2.2. Le câble coaxial

Nettement plus cher, le coaxial était utilisé dans les premiers réseaux locaux qui utilisaient une bande passante large découpée en plages de fréquence, chacune utilisée par un canal. Actuellement, la majorité des réseaux locaux fonctionnent en une seule bande de base (toutes les stations utilisent un même canal qui occupe la totalité de la bande passante). Le câble coaxial n'est plus utilisé que dans des endroits avec de fortes perturbations électromagnétiques, présence de moteurs électriques par exemple).

La gaine protège le câble de l'environnement extérieur. Elle est généralement en caoutchouc (parfois en PVC (Chlorure de polyvinyle) ou téflon)

Le blindage (enveloppe métallique) entoure les câbles et protège les données des parasites (souvent appelé bruit) qui provoquent une distorsion du signal. C'est le fil de masse.

Un isolant entoure la partie centrale. C'est un matériel diélectrique qui évite tout contact entre le blindage et l'âme. L'âme est le chemin de transmission des données. Elle est constituée d’un seul brin en cuivre ou de plusieurs torsadés.

3.2.3. La fibre optique

Nettement plus chère, la fibre optique permet des débits élevés. Utilisant un signal lumineux, elle est insensible aux parasites électromagnétiques. Elle est principalement utilisée pour interconnecter des réseaux locaux ou sur de longues distances. Ce support est fragile, difficile à installer et casse facilement sous un effet de torsion.

La fibre optique possède néanmoins de plusieurs avantages :

Légère Parfaite immunité aux signaux parasites électromagnétiques Faible atténuation du signal avec la distance Accepte des débits supérieurs à 10 Gb/s Largeur de bande élevée, de quelques dizaines de MHz à plusieurs Ghz (en fibre monomode).

La câblage optique est souvent utilisée pour les connexions entre plusieurs bâtiments (appelé backbone) et longues distances (de quelques kilomètres à 60 km pour la fibre monomode). Ce type de câble ne permet pas non plus d'écouter sur le câble, il n'émet aucun signal électromagnétique lors d'un transfert de données. Deux types de fibres optiques sont utilisées:

Le monomode (SMF) utilise un seul canal de transfert à l'intérieur du conducteur et permet des transferts jusque 100 Gb/s par kilomètre. Le chemin est parfaitement linéaire, il n'y a aucune dispersion du signal. Par contre, la source d'émission est une diode laser, plus chère et plus difficile à mettre en oeuvre.

Le multimode (MMF) utilise une simple diode LED moins chère mais avec un signal non rectiligne. Les rayons utilisent différents trajet suivant les angles de réfraction et donc différents temps de propagations: le signal doit être reconstruit à l'arrivée. Principalement utilisées pour les réseaux internes, les performances sont de l'ordre du Gb/s.

Le site materiel-informatique.be reprend les différents connecteurs et types utilisées.

3.3. Les topologies réseau.

En liaison série ou parallèle standard, la communication se fait uniquement entre 2 périphériques alors que le nombre en réseau n'est pas limité. Dans un réseau local, les équipements sont connectés entre-eux suivant différents types de raccordement appelés topologie. (nous verrons aussi les connexions infrarouge et hertzienne).

3.4. Topologie réseau en bus

Le bus est câble central où circulent les données sur lequel se connectent les serveurs, stations et périphériques réseaux. Il s’étend sur toute la longueur du réseau. Lorsqu’une station émet, les données circulent sur l'ensemble du bus, pour être récupérée par le destinataire. Une seule station peut émettre à la fois. Au deux extrémités du bus, un "bouchon" supprime définitivement les informations, supprimant la réverbération des données (renvoi en sens inverse).

Dans cette topologie, une station en panne ne perturbe pas le reste du réseau. Elle est très facile à mettre en place. Par contre, en cas de rupture du câble, le réseau est inutilisable. Le signal n’est jamais régénéré, ce qui limite la longueur de connexion.

    Cette topologie est utilisée dans les anciens réseaux Ethernet 10 Base 2 et 10 Base 5.

3.5. Topologie en anneau

Cette architecture est utilisée par les réseaux Token Ring développés par IBM jusqu'au début 2000 et FDI. Elle utilise la méthode d’accès à "jeton". Les données transitent de stations en stations en suivant l’anneau qui chaque fois régénèrent le signal. Le jeton détermine quelle station peut émettre, il est transféré à tour de rôle vers la station suivante. Lorsque la station qui a envoyé les données les récupère, elle les élimine du réseau et passe le jeton au suivant, et ainsi de suite…

Le gros avantage est un taux d'utilisation de la bande passante proche de 90%. Par contre, une station en panne bloque toute la communication du réseau. Autre défaut, l’interconnexion de plusieurs anneaux est complexe. Elle est utilisée dans les réseaux Token Ring et FDDI

Remarque: Cette architecture est brevetée pour les réseaux Token Ring par IBM qui ne développe plus de circuits de ce type depuis 2000.

3.6. Topologie en étoile.

Notamment utilisée par les réseaux Ethernet actuels en RJ45 (10 et 100 base T, Giga 1000T, ...), c’est la plus courante. Toutes les stations sont conectées à un concentrateur, un point central. Les stations émettent vers ce concentrateur qui renvoie les données vers tous les autres ports réseaux (hub) ou uniquement au destinataire (switch).

Facile à connecter, une station en panne ne perturbe pas l’ensemble du réseau, celle du concentrateur oui. Par contre, cette topologie nécessite plus de longueurs de câbles que pour les autres. Le débit pratique est aussi moins bon que pour les autres topologies.

3.7. Topologie mixte.

Dans le cas d'un réel réseau, ces trois topologies sont difficiles à mettre en oeuvre. Une topologie en étoile est facile à utiliser pour un réseau limité géographiquement, pas pour un réseau mondial. La technique est de relier des réseaux en étoile locaux via des liaisons en bus (fibre optique par exemple).

3.8. Topologie maillée.

Utilisée principalement par Internet, les réseaux maillés utilisent plusieurs chemins de transferts entre les différents noeuds. Ce sont des routeurs intelligents (appelés switch) qui intègrent des tables de routages et déterminent dynamiquement la meilleure voie parmi toutes celles possibles. Cette méthode garantit le transfert des données en cas de panne d'un noeud. Elle est complexe à mettre en oeuvre et ne peut pas être utilisée dans les réseaux locaux.

3.9. Méthode d'accès

La méthode d'accès se base sur la couche physique du modèle OSI (niveau 1) détermine comment les stations peuvent émettre sur le câble. Deux méthodes principales sont utilisées: la contention et le jeton. Les réseaux Ethernet utilise la contention et CSMA/CD (Carrier Sense Multiple Acces With collision Detection), le token Ring utilise le jeton, chacun a le droit de communiquer à son tour. Les deux méthodes sont normalisées par l'IEEE (comité 802): 802.3 pour Ethernet et 802.5 pour l'anneau à jeton

Dans la méthode Ethernet, utilisant la contention, chaque ordinateur envoie son message sans regarder ce qui se transite sur le câble. Si une station émet pendant qu'une autre est en train d'émettre, ceci provoque une collision. La deuxième station émettrice stoppe la transmission pour recommencer plus tard. Dans le cas du Giga Ethernet, les stations n'envoie plus le message, mais un signal de départ pour vérifier si la voie est libre. Le CSMA/CD (Carrier Sense Multiple Acces with Collision Detection) se charge de la détection des collisions.

Dans la méthode à jeton, chaque station peut communiquer à son tour. Si 3 stations sont connectées en anneau, la station 1 prend la parole, ensuite la 2, puis la 3. La station 1 peut de nouveau prendre la parole, et ainsi de suite.

4. Les réseaux Ethernet.4.1. Introduction - 4.2. Ethernet coaxial, IEEE 803.3 10 base 5 et 10 base 2 - 4.3. Ethernet, IEEE 802.3 10 Base T RJ45 - 4.4. Ethernet 100 base T RJ45, fast

Ethernet - 4.5. Le Giga Ethernet - 4.6. Carte réseau - 4.7.Half Duplex et Full Duplex - 4.8. Connexion RJ45 - 4.9. Réseaux RJ45, problèmes de connexion, appareils de tests - 4.10. Adresse Mac

La connexion entre ordinateurs nécessite une carte réseau implantée dans chaque PC (aussi appelées NIC, Network Interface Card). Les cartes réseaux locaux les plus courantes sont de type Ethernet. Ce chapitre reprend toutes connexions Ethernet et le câblage (fabrication, précaution, ...). Le suivant reprend les concentrateurs Ethernet (hub, switch, routeur, ...)

Le réseau local Ethernet date de la fin des années 70, il découle des études de DEC, Intel et Xerox, avant la normalisation. Ceci explique que les couches supérieures du modèle OSI ne sont pas spécifiées. Tous les PC peuvent communiquer sur le câble réseau informatique simultanément. Pour éviter que deux stations communiquent au même moment, ont utilise la contention. La méthode principale dans un réseau local (LAN) est le CSMA/CD (Carrier Sense Multiple Access), avec une détection des collisions. C'est celle utilisée par les réseaux Ethernet. Lorsqu'une station émet, elle écoute si un autre équipement n'est pas aussi en train d'émettre. En cas de deux émissions simultanées (une collision), la station cesse d'émettre, avant de réémettre son message après un délai fixe. Cette technique est aléatoire, on ne peut prévoir le temps utilisé pour émettre un message, en transmission comme en réception.

4.2. Ethernet, IEEE 802.3 10 Base 5 et 802.3 10 Base 2

10 Base 5 est la version d'origine d'Ethernet. Elle permet une vitesse de 10 Mb/s sur un câble coaxial de 500 mètres par segments (donc une topologie en bus).

Chaque équipement utilise une carte Ethernet qui effectue l'adaptation physique des données et gère l'algorithme CSMA/CD. Comme pour toutes connexions utilisant un câblage coaxial, les 2 extrémités sont terminées par un bouchon (une résistance de terminaison) qui atténue les réverbération des données et réduit les collisions. L'épais câble coaxial est de couleur jaune d'un demi-pouce de diamètre (type BELDEN 9580). La longueur maximale du réseau est de 2,5 kilomètres et 100 équipements connectés. Un drop câble (paires torsadées) relie les équipement au câble coaxial avec une longueur maximale de 50 mètres. Les réseaux 10 base 5 ne sont plus utilisés, remplacés par la fibre optique.

Une version IEEE 802.3 10 base 2 est plus connue. Elle utilise un câble coaxial fin (Thin Ethernet) avec une longueur maximum de 185 mètres pour 30 stations maximum. Chaque station est raccordée au coaxial via un T de type BNC, 50 centimètres minimum doivent séparer deux stations. De nouveau, on utilise une résistance de terminaison (bouchon) de 50 ohms.

Ce connexion est utilisable pour 2 ou 3 PC, guère plus.

4.3. Réseau Ethernet, IEEE 802.3 10 Base T

Une première version (802.3 1 base 5 ou Starlan) utilise le câblage précablé pour le téléphone dans les immeubles. Elle se base sur une topologie en étoile via des hub avec une distance maximum de 250 mètres. La version suivante ( Ethernet 802.3 10 base T) se base sur cette norme mais avec une vitesse supérieure (10 Mb/s) sur une distance maximum de 100 mètres.

La norme 10 base T utilise deux paires téléphoniques (4 fils) avec une vitesse maximum de 10 Mb/s avec de nouveau une topologie étoile. Les noeuds sont constitués de concentrateurs (hub, switch, routeur).

Le câblage sous RJ45 en 10 Base-T utilise 4 fils (pour 8 accessibles dans le connecteur). Le fils de connexion peut-être acheté dans le commerce, mais peut facilement être fabriqué. Généralement, les 8 fils sont connectés en RJ45 mais le 10 base T et en 100 base T n'en utilisent que 4 (en Giga Ethernet, oui). Deux connexions sont proposées, droit ou croisés. Sans concentrateur (connexion de 2 ordinateurs) ou entre deux concentrateurs, les fils doivent être un câble croisés comme ci-dessous. Les polarités et les paires doivent être appariées.

Câble RJ45 droit en 10 Base T et 100 base T, entre un concentrateur et une station) Câble Rj45 croisé, entre deux PC ou deux concentrateurs (switch, Hub, routeur, ...)

Pourquoi respecter le câblage RJ45 par paires?

Un courant électrique induit automatiquement un champ magnétique dans le voisinage qui à son tour provoque une circulation de courant. Ceci entraîne des parasites sur le câblage réseau.

Au départ, le signal de la carte réseau est envoyé sur la forme T+ et T- (signal inversé). Si un parasite est induit sur le câblage lors de la transmission. Comme les paires sont torsadées, les perturbations électriques provoquées par des courants induits seront généralement identiques sur une même paire mais différents d'une paire à l'autre.

Inversons T(-). Le signal utile et le parasite sont inversés. En additionnant T(+) et T(-) inversé, le signal est doublé mais le parasite est supprimé (ou du moins nettement réduit).

Matériel nécessaire pour un câblage RJ45:

Du câble 4 paires catégorie 5 (5e) torsadés Des connecteurs RJ45 à sertir.

Des manchons caoutchouc, pour éviter le sectionnement du câble. Une pince à sertir avec une partie coupante et à dénuder

Procédure à suivre :

Enfiler le manchon sur le câble. Dénuder la gaine de protection sur 15 mm environ Insérer les fils de chaque paire dans le connecteur suivant les schémas ci-dessus (droit ou croisé suivant l'utilisation). Retirez les en maintenant les fils en place et les couper en ligne (pas en arc de cercle). Il doit rester à peu-prêt 13mm de fils hors gaine. Replacer les fils dans le connecteur en appuyant sur l'ensemble du câble pour que les fils rentrent jusqu'au fond du connecteur. Sertir le connecteur avec la pince. Enficher le manchon de protection.

Par transparence, vérifiez si les fils arrivent bien à fond dans le connecteur.

4.4. Ethernet 100 Base TX et 100 Base T4, Fast Ethernet

Sorti en 1992, la norme 100 base T (Fast Eternet) a un débit théorique est de 100 Mb/s (toujours 100 mètres maximum). Elle utilise la même topologie.

On retrouve 2 normes de 100 Base T: le 100 Base T4 (obsolète) et le 100 Base TX. Le 100 Base TX utilise le même câblage que le 10 Base T, le 100 Base T4 utilisait les 4 paires (découpage de la bande passante en 4 pour l'émission comme pour la réception (il n'est donc pas Full Duplex, incompatible avec une communication bidirectionnelle simultanée). Le 100 T4 utilise du câble de catégorie 3, 4 ou 5.

En 100 base TX, le câblage est identique en droit et en croisé à l'Ethernet base 10 mais avec un câble de catégorie 5. Comme le 100 base TX n'utilise que 4 fils, un câblage giga peut être utilisé sans problèmes, l'inverse en croisé non (en droit forcément oui, ils sont identiques).

Câble normal et croisé 100 Base TX

Câble normal et croisé 100 Base ou Giga Ethernet.

4.5. Gigabit Ethernet.

Les premières connexions gigabit utilisaient la fibre optique. Elles utilisent les paires torsadées de type RJ45 de classe 5e (toujours sur une distance maximum de 100 mètres). Le gigabit est une extension des deux normes précédentes, même format de trames et même technique anticollision (CSMA-CD).

Tableau comparatif des vitesses. Le 1000 base T est le plus courant

Type Vitesse Distance Media

10BASE-T 10 Mb / s 100m Cuivre

100BASE-TX 100 Mb /s 100m Cuivre

100BASE-FX 100 Mb / s 412 m2 Km

half Duplex Multi-mode Fibre optiqueFull Duplex multi-mode Fibre optique

1000 Base LX 1000 Mb / s1000 Mb / s

3 Km550m

Single-mode Fibre optique (SMF)Multi-mode Fibre optique (MMF)

1000 Base SX 1000 Mb / s1000 Mb / s

550m275m

Multi-mode Fibre optique (50u)Multi-mode Fibre optique (62.5 u)

1000 Base C(pas supportée par les applications industrielles standards)

1000 Mb / s 25m Cuivre, 4 paires UTP5

1000 Base T - 1000 Base TX IEEE 802.3 ab ratifié le 26 juin 1999,

1000 Mb / s 100m Cuivre, câble catégorie 5e, transmission sur 4 paires (250 Mbits/paire)

1000 BASE LH 1000 Mb / s 70 km Fibre optique

Le câblage des fils dans le connecteur RJ45 des 1000 C et 1000 TX est le même qu'en 100 Base T4, y compris pour les câbles Ethernet croisés. Actuellement, tous les switch intègrent le MDI/MDIX qui permet d'utiliser des câbles droits.

4.6. Carte réseau Ethernet

Les PC utilisent trois types suivant les vitesses: 10, 100 et Giga Ethernet. Toutes les cartes intègrent un connecteur RJ45 sauf les premières base T de 3Com qui n'acceptaient que le coaxial + un connecteur propriétaire. Les cartes 10 MB intègrent en plus un connecteur coaxial. Les concentrateurs 100 base TX permettent les liaisons à 100 Mb et à 10 Mb, les Giga acceptent rarement les 10.

Les cartes réseaux sont connectées dans un bus interne: ISA, PCI, PCI-Express ou PCI-X pour les serveurs. Il y a des parfois incompatibilités entre les cartes PCI 3.3V et carte mère en 5V (anciens Pentium).  Certaines cartes intègrent un socket pour une Eprom. ceci permet de démarrer le PC via le réseau (sans disque dur).

Chaque carte réseau Ethernet en RJ45 inclut 2 LED. La première, généralement verte, signale que la carte est connectée sur un concentrateur via un câble. La deuxième, orange ou verte, signale la transmission / réception de données. Les cartes réseau actuelles commutent automatiquement sur chaque vitesse Ethernet (10 ou 100).

A de très rares exceptions (hub et switch de bas de gamme), avec une carte en connectée en RJ45 sur un concentrateur, la (les) LED doit s'allumer sur la carte réseau et sur le HUB, Switch, Routeur. En hardware, cela signifie que c'est l'accès réseau qui est mal paramétré.

4.7. Half Duplex et Full Duplex.

Une carte réseau Ethernet peut être de type Half Duplex (envoi ou réception) et Full duplex (envoi et réception simultanément). Toutes les cartes actuelles sont Full Duplex, ce qui double le taux de transfert maximum. Cette solution doit utiliser un Switch (les Hub sont d'office half Duplex).

Pour des problèmes de câblage, on doit parfois passer en mode Half Duplex sur la carte réseau. La configuration se paramètre dans les propriétés de la carte réseau sous l'onglet avancé.

4.8. Câblage RJ45 Ethernet, règles, problèmes de liaisons et appareils de tests

Dans les câblages professionnels, les câbles sont insérés dans des goulottes, passent à travers des murs, ... La solution consiste à acheter une pince, les connecteurs (avec les protections), le câble et de respecter strictement les couleurs de câblage RJ45 ci-dessus.

Connecter deux structures entre elles par des câbles amène toujours différents problèmes.

La première est de respecter les distances maximales (100 mètres pour les connexions sur cuivre), même si on est souvent tenté de mettre quelques mètres en plus. Première erreur, 100 mètres maximum.

Si le câble est acheté, la connexion est généralement bonne. Si vous raccordez les connecteurs RJ45 vous même, mieux vaut câbler correctement d'avance. Ca évitera des problèmes futurs.

Le nombre de HUBS en cascade est limité (pas avec des switchs normalement). En 10 base T, le nombre maximum entre 2 concentrateurs ou ordinateur - concentrateur est de 4. Par contre, il est de 2 en 100 base T. Ceci est lié aux temps de propagation du signal sur le câble.

En dernier, le câble RJ45 doit être correctement posé. Parmi les problèmes rencontrés:

câble réseau coupé, plié, endommagé, ... passage du câble à proximité de câbles électriques, tubes fluorescents ou néon (minimum 50 cm), moteurs électriques de fortes puissances, ... qui induisent des champs

électromagnétiques parasites. Le tableau reprend les distances minimum entre les câbles réseaux et électriques suivant la distance.

Ecartement entre les câbles courant fort (réseau électrique, néon) et courant faible (réseau ethernet)

Ecartement en cm

30 cm

20 cm

10 cm

5 cm

10 m 20 m 30 m 80 m

Cheminement parallèle en mètres

L'utilisation des mêmes goulottes pour le réseau électrique et réseau Ethernet provoque déjà des problèmes, même sur une petite longueur. De plus les normes de sécurité électriques l'interdise (Vincotte en Belgique). C'est identique pour les fils téléphoniques.

On trouve sur le marché différents types d'appareils de tests des câbles réseaux.

Les premiers (voire ci-contre) fonctionnent comme un ohmmètre sur 8 fils. Une partie se met d'un coté du fils, le testeur de l'autre. Ces appareils détectent généralement les câbles droits et les câbles croisés ainsi que d'autres connecteurs (RJ11, RJ45, USB, ...). Ils vérifient uniquement si la connexion est bonne, pas si la liaison est correcte. Si l'appareil détecte une erreur de câblage, le fils est mauvais. Par contre, un affichage correct ne signifie pas forcément que le câble est bon. Un mauvais contact sera souvent considéré comme bon par le testeur, mais pas de connexion réseau.

La partie à gauche reprend le module de test, la partie droite, la terminaison détachable. Les 8 Led indiquent si les fils individuellement sont corrects. La partie gauche regroupe des indications: Short (mauvaise connexion sur au moins un fils, absence de connexion sur au moins un fils, ...), CONNECTED pour un câble droit et No-Parrallel pour un câble croisé. NO CONNECTION que le câble n'est pas inséré. Le prix varie de 100 à 150 €.

Le deuxième type fonctionne à la manière d'une carte réseau. Ces appareils testent la ligne (et pas uniquement les fils). L'appareil se connecte au bout d'un câble et teste la liaison sur un HUB ou un switch. Dans ce sens, ils sont plus efficaces. Ils sont un peu plus onéreux.

Le troisième type de testeur réseau permet en plus que ceux du premier type:

tests effectifs des faux contacts ou des coupures sur chaque câble. longueur du câble en cas de coupure sur un fils (ou de plusieurs), la distance à la quelle il est coupé. diverses perturbations électromagnétiques qui transitent en fonction de la distance.

Le prix avoisine facilement à 10.000 €.

4.9. Adresse MAC

Chaque carte réseau se distingue par une adresse MAC. Cette adresse est unique pour toutes les cartes et équipements réseaux. Elle est constitué de 6 octets de type X.X.X.X.X.X ou chaque X varie de 0 à 255 mais plus souvent donné en hexadécimal (exemple 4D.EE.52.A4.F6.69.

Dans Démarrer -> exécuter, tapez la commande WINIPCFG (présent dans le répertoire windows sous windows 98) ou ipconfig / all dans une fenêtre DOS (Windows 2000, XP, 2003, Vista, ...).

L'adresse Mac FF.FF.FF.FF.FF.FF est particulière, c'est l'adresse de Broadcast utilisée pour déterminée où est un périphérique sur l'ensemble du réseau.

L'adresse IP est déterminée par l'adresse MAC par l'ARP (Adresse Resolution Protocol). Lorsqu'une communication réseau a été établie sous Ethernet, la commande DOS arp -a permet de retrouver l'adresse MAC des autres PC du réseau. Le protocole Ethernet utilise cette adresse MAC pour faire communiquer des équipement entre eux via un réseau. Quand une machine veut parler à une autre, elle envoie un paquet sur le réseau en TPC, utilisant le contenu de sa table ARP locale pour déterminer l'adresse IP. Le message contient également la longueur du packet, les données et le CRC (Cyclic Redundancy Checking), un contrôle d'erreur, ...

5. Hub, switch, routeur réseaux, ... Ethernet

5.1. Introduction - 5.2. Hub (répétiteur) - 5.3. Switch (commutateur) - 5.4. Différence entre un hub et un switch - 5.5. Routeur - 5.6. Répéteur - 5.7. Passage des adresses IP aux adresses MAC - 5.8. Connexion Ethernet

Le chapitre précédant nous a permis d'étudier les types de réseaux Ethernet. Ce chapitre va analyser le fonctionnement des concentrateurs Ethernet dans les topologies en étoiles (hub, les switch, routeurs, ...) en T Base 10, T base 100, gigahertz, ... (pas les câblages coaxial qui utilise une topologie en ligne). Le choix du type de concentrateur varie suivant l’importance du réseau, l’emplacement du concentrateur dans la conception et l'inter-connexion de réseaux. Les hub's sont obsolètes.

5.2. Hub (répétiteur)

Un Hub sont est un simple répétiteur (son nom en Français). Il ne fait qu'amplifier le signal pour le retransmettre sur tous ses ports. Il est utilisé en Ethernet base 10 et base 100. Le réel problème de ce type de concentrateur, c'est justement le renvoi des données vers tous les équipements. Dès que le nombre d'ordinateurs connectés augmente, le taux de collision augmente en proportion, réduisant la vitesse effective du réseau. Les Hub sont tous Half Duplex (pas d'émission / réception en même temps).

Les HUB sont caractérisés par un nombre de connexion: 4, 5, 8, 10, 16, 24, ... Ils sont remplacés par les switchs dans tous les réseaux actuels. 

Suivant le type et le modèle, ils intègrent quelques particularités de connexion spécifiques (il n'y a pas de versions Gigabits).

Hubs base 10: nombre de ports suivant le modèle, port dédoublé avec 1 connecteur inverseur (connexion de deux concentrateurs sans câble croisé), un port Ethernet coaxial 10 Base2. Par port réseau, on retrouve une LED de connexion et une led de collision (éventuellement une pour tous les ports).

Hubs base 100: nombre de ports suivant le modèle, port inverseur, plus de connexion coaxial. Les Led sont identiques aux modèles 10 base T, avec en plus deux LED pour chaque canal pour signaler la vitesse (base 10 et base 100).

Selon la vitesse, le nombre maximum de HUB en cascade (raccordés port à port) est limité à 4 entre 2 stations pour le 10 base T et à 2 pour le 100 base T. Ceci est lié au temps maximum de propagation d'un signal ETHERNET avant sa disparition et au temps de détection des collisions sur le câble. Il se pourrait que la collision ne soit pas détectée à temps et que la deuxième station émettrice envoie le message en pensant que la communication est libre. Cette limitation n'existe pas pour les switch qui enregistrent les trames avant de les envoyer.

5.3. Switch (commutateur).

5.3.1. Introduction

En recevant une information, un switch décode l'entête de trame pour ne l'envoyer que vers le port Ethernet associé, ce qui réduit le trafic sur l'ensemble du câblage réseau par rapport à un HUB qui renvoie les données sur tous les ports, réduisant la bande passante en provoquant plus de collisions. Chaque switch utilise une table de correspondance adresse MAC - numéro de connexion et pas d'adresse IP comme on pourrait le penser. Les ordinateurs utilisent une table de correspondance ARP, comme nous vu avec la commande DOS ARP en systèmes d'exploitation qui reprend la correspondance MAC- IP. Reste à voire comment ça va fonctionner dans la pratique. 

Pour compliquer ... je propose un petit vocabulaire. Un port Ethernet est une des ports de communication du switch (un connecteur). Un port TCP ou UDP est un numéro entre 0 et 65535 qui est spécifique suivant l'application. 

Les switches travaillent suivant les modèles sur les:

niveau 1 (comme les hubs) mais surtout sur le niveau 2 du modèle OSI. Dans ce cas, ils utilisent une table de correspondance Adresse MAC - port Ethernet qui reprend les adresses Mac des cartes réseaux connectées directement ou par l'intermédiaire d'autres concentrateurs (y compris HUB) ... donc pas d'adresses IP connues.

Niveau 3 (appelés switch de niveau 3 justement) décodent les trames de niveau 2 et donc les adresses IP contenues dedans. Ceci permet d'implanter des services de qualités en fonctions de plages d'adresses IP comme nous le verrons avec un petit labo sur les switch manageables comme par exemple allouer des priorités à des adresses IP pour le transfert de données, mais aussi de vérifier les collisions sur différents noeuds du réseau ou de bloquer des communications entre différents ports de sortie. Les transmissions se font toujours avec une table de correspondance reprenant des adresses MAC. Par contre, ils ne font pas de transitions entre classes d'adresses comme les routeurs.

Les switch de niveau 4 sont encore plus forts. La différence avec les layers 3, c'est qu'ils analysent aussi la couche 3 (transport) liée à TCP et UDP qui reprennent des ports liés aux différentes applications. Ils sont capables de bloquer des ports et donc certaines applications entre leurs différents ports réseaux (y compris en les regroupant).

... mais tous utilisent une correspondance MAC - port Ethernet, les 3 et 4 ne donnent donc que des possibilités de configurations supplémentaires. D'ailleurs, ces deux types sont manageables (configurables). 

A la différence des hubs, la majorité des switches peuvent utiliser le mode Full duplex. La communication est alors bi-directionnelle, doublant le taux de transfert maximum. Un Switch vérifie automatiquement si le périphérique connecté est compatible full ou half duplex. Cette fonction est souvent reprise sous le terme "Auto Negociation".

Les modèles actuels sont Auto MDI/MDIX. Ceci signifie que le port va détecter automatiquement le croisement des câbles pour la connexion Ethernet. Dans le cas des HUB, un port muni d'un bouton poussoir, reprend la fonction manuellement. Vous pouvez néanmoins utiliser des câbles croisés pour relier des concentrateurs entre eux.

L'utilisation des switch permet de réduire les collisions sur le câblage réseau. Lorsqu'un périphérique souhaite communiquer, il envoie un message sur le câblage. Si un autre périphérique communique déjà, deux messages se retrouvent en même temps sur le réseau provoquant une collision. Le premier reprend son message au début et le deuxième attend pour réessayer quelques millisecondes plus tard. Il n'y a (en théorie) pas de limitations du nombre de switches en cascade sur un réseau.

5.3.2. Fonctionnement d'un switch.

Au démarrage, un switch (Layer 2 mais aussi les autres) va construire une table de correspondance adresse MAC - (numéro de) port Ethernet. Cette table est enregistrée dans une mémoire interne (en RAM). Par exemple pour un D-link DSS-16+ (16 ports), elle est de 8000 entrées (stations). Par contre, pour un modèle de gamme inférieure (D-Link DES -1024D de 24 ports) elle est également de 8000 entrées, pour la majorité des switchs 5 ports, elle varie de 512 à 1000 entrées. Ceci ne pose pas de problèmes pour un petit réseau interne mais bien pour de gros réseaux. J'ai déjà eut le problème dans un réseau de 30 PC. Dès que l'usine démarrait, les vitesses de communications du réseau s'effondraient. De toute façon, le nombre de PC maximum connectés est limité par la classe d'adresse IP utilisée par les ordinateurs. Lorsqu'une nouvelle carte réseau est connectée sur un de ses ports, il va adapter sa table de correspondance.

Voyons maintenant ce qui se passe lorsqu'un ordinateur (PC1) communique vers un autre PC (PC2) connecté sur le même switch. Le message de départ incluant l'adresse de destination, le switch va retrouver directement dans sa table l'adresse du PC2 et va rediriger le message sur le port adéquat. Seul le câblage des 2 ports (PC1 et PC2) vont être utiliser. D'autres PC pourront communiquer en même temps sur les autres ports.

Dans le cas ou le réseau utilise 2 switches. Le PC1 envoie le message avec l'adresse de destination sur le switch1 sur lequel il est raccordé. Celui-ci va vérifier dans sa table si l'adresse de destination est physiquement raccordé sur un de ses ports. Dans notre cas ce n'est pas le cas. Le switch va donc envoyer un broadcast (une adresse MAC FF.FF.FF.FF.FF.FF) sur tous ses ports pour déterminer sur quel port se trouve l'ordinateur de destination. Ce broadcast passe généralement sur tout le réseau. En recevant le broadcast, le switch 2 va vérifier dans sa table si l'adresse de destination est dans sa table. Dans notre cas, elle est présente. Il va donc renvoyer un message au switch 1 signifiant que le message est pour lui. Le switch 1 va alors diriger le message vers le port connecté au switch numéro 2. Le switch 1 va mémoriser dans sa table l'adresse du PC2 et le port Ethernet associé. Ceci ne pose pas trop de problèmes tant que la capacité de la table mémoire du premier switch est suffisante.

Voyons maintenant quelques cas plus complexes. Lorsqu'une adresse MAC non connectée en direct est placée dans la table, le switch va la garder pendant un certains temps. Si une nouvelle demande vers cette adresse est reçue, le port de destination est retrouvé dans la table. Par contre, si le délai entre les demandes est trop long (généralement 300 secondes), l'entrée de la table est effacée et le processus de broadcast est de nouveau activé. Si la table est trop petite (cas des Switch avec un faible nombre de ports sur un réseau très important), l'entrée MAC dans la table peut-être effacée prématurément.

5.3.3. Types de switches

La technologie d'un switch est étroitement liée au type de donnée, à la topologie du réseau et aux performances désirées.

Store and Forward: le plus courant, stocke toutes les trames avant de les envoyer sur le port Ethernet adéquat. Avant de stocker l'information, le switch exécute diverses opérations, allant de la détection d'erreur (de type RUNT) ou construction de la table d'adresses jusqu'aux fonctions applicables au niveau 3 du modèle OSI, tel que le filtrage au sein d'un protocole. Ce mode convient bien au mode client/serveur car il ne propage pas d'erreur et accepte le mélange de diverses médias de liaison (environnements mixtes cuivre / fibre par exemple) ou encore dans le mélange de débits. La capacité de la mémoire tampon varie de 256 KB à plus de 8 MB pour les plus gros modèles. Les petits switch de ce type partagent souvent la capacité de mémoire par groupes de ports (par exemple par 8 ports). Par contre, les modèles de haute gamme utilisent une mémoire dédiée pour chaque port réseau. Le temps d'attente entre la réception et l'envoi d'un message dépend de la taille des données. Ceci ralentit le transfert des gros fichiers.

Le mode Cut Through analyse uniquement l'adresse Mac de destination (placée en en-tête de chaque trame, codée sur 48 bits et spécifique à chaque carte réseau) puis redirige le flot de données sans aucune vérification sur le message proprement dit. Dans le principe, l'adresse de destination doit être préalablement stockée dans la table, sinon on retrouve un mécanisme de broadcast. Ces switch sont uniquement utilisées dans des environnements composés de liaisons point à point (clients - serveur). On exclus toutes applications mixtes de type peer to peer.

Le mode Cut Through Runt Free (également appelé Fragment Free chez CISCO) est dérivé du Cut Through. Lorsqu'une collision se produit sur le réseau, une trame incomplète (moins de 64 octets) appelée Runt est réceptionnée par le switch. Dans ce mode, le commutateur analyse les 64 premiers bytes de trames avant de les envoyer au destinataire. Si la trame est assez longue, elle est envoyée. Dans le cas contraire, elle est ignorée. Les temps de latence sont très bas.

Le mode Adaptive Cut Through se distingue surtout au niveau de la correction des erreurs. Ces commutateurs gardent la trace des trames comportant des erreurs. Lorsque le nombre d'erreur dépasse un certain seuil, le commutateur passe automatiquement en mode Store and Forward. Ce mécanisme évite la propagation des erreurs sur le réseau en isolant certains segments du réseau. Lorsque le taux d'erreur redevient normal, le commutateur revient au mode Cut Through.

5.3.4. Particularités supplémentaires

Un Switch peut être stackable (empilable): un connecteur spécial permet de relier plusieurs switch de même marque entre-eux. Le nombre de commutateurs empilés (du même modèle) est limité. L'ensemble du groupe est vu comme un seul appareil avec une seule table commune, c'est ce qu'on appelle le Meshing. Ceci permet d'augmenter le nombre de ports et de reprendre une table commune plus importante.

Certains switch sont manageables (administrable). Par une interface de type WEB reliée à l'adresse IP ou par RS232 et l'utilisation de Telnet, vous pouvez bloquer certains lignes, empêchant par exemple, un partie de PC de se connecter vers un autre bloc de PC ou de déterminer physiquement quel PC a accès à quel serveur. Ceci permet également de déterminer des plages d'adresses sur des ports (cas où plusieurs switch - Hub sont chaînés) et ainsi d'augmenter la vitesse. Certains modèles permettent néanmoins de créer des groupes d'utilisateurs en utilisant le protocole IGMP. Ils sont dits de niveau 2 (layer 2 du modèle OSI) s'ils permettent de déterminer les adresses et de niveau 3 (layer 3 du modèle OSI) s'ils permettent en plus de bloquer par ports (TCP ou UDP). L'utilisation d'un routeur - firewall hardware est néanmoins préférable si c'est pour bloquer les accès. Certains modèle sont appelés niveau 4 (terme publicitaire) lorsqu'ils permettent de bloquer l'utilisation du réseau pour des logiciels déterminés en décodant le message.

Via l'interface IP ou Telnet, un switch administrable permet également de vérifier à distance les connexions sur le switch (affichage de la face avant), sauvegarder ou restaurer la configuration, mise à jour du firmware, paramétrer la durée de vie des adresses MAC dans la table, ...

Le Port Trunking permet de réserver un certain nombre de ports pour des liaisons entre 2 commutateurs (jusque 4). Cette fonction partage les communications inter-switchs via ces ports. C'est le seul cas où deux points du réseau peuvent être reliés par plus d'une connexion physique.

5.4. Différence entre un HUB et un Switch

HUB SWITCH

Les données envoyées sont envoyés sur tous les ports aux périphériques qui décodent la trame d'en-tête pour savoir si elles leurs sont destinées.

Les données envoyées d'un ordinateur vers un autre sont uniquement reçues par destinataire. Si un autre ordinateur envoie des données vers l'imprimante, elles sont totalement dissociées, les deux communications peuvent se faire simultanément.

La bande passante totale est limitée à la vitesse du hub. Un hub 100 base-T offre 100 Mbps de bande passante partagée entre tous les PC, quelque soit le nombre de ports

La bande passante est déterminée par le nombre de ports. i.e. Un Switch 100 Mbps 8 ports peut gérer jusqu'à 800 Mbps en half duplex, le double en full duplex.

Pas compatible "half-duplex". Un port 100 Mbps permet juste une liaison a 100 Mbps.Ils sont compatibles "full-duplex", doublant la vitesse de chaque port, de 100 Mb/s à 200 Mb/s pour un Ethernet 100 Base T.

Le prix par port réseau est équivalent actuellement, les Hub's ne sont pratiquement plus commercialisés.

5.5. Routeur.

Les hubs et switchs ne gèrent que les transfert entre équipements dans la même classe d'adresse IP d'un même sous-réseau. Chaque équipement du LAN reçoit une adresse unique de type X.X.X.X, par exemple 192.168.1.1. Les valeurs X varient de 0 à 255. L'adresse IPV4 est constituée de 32 bits et d'un masque également codé sur 32 bits. Un routeur analyse les trames pour récupérer l'entêtes (adresses de destination et de départ) et permet de transférer les données entre des réseaux de classes d'adresses différentes. Il détermine également des routes (le routage) pour communiquer avec d'autres routeurs qui ne sont pas directement connectés dessus.

Il travaille sur la couche réseau (couche 3 du modèle OSI) et dissocie deux réseaux entre deux en filtrant les informations pour ne transmettre que ce qui est effectivement destiner au réseau suivant. Les données transitant sur le réseau local (pas Internet) restent à l'intérieur du LAN.

Comme les adresses des sites INTERNET sont dans des classes différentes de votre ordinateur en réseau local, la connexion d'un réseau LAN à INTERNET utilise obligatoirement un routeur.

De plus, les routeurs permettent en partie de masquer les ordinateurs du réseau interne en ne reprenant pour l'extérieur d'un seul équipement.  Pour cela, il utilise le NAT (Network adress translation). Ce mécanisme utilise une table mémoire interne qui mémorise l'adresse de départ (l'ordinateur) et l'adresse de destination (typiquement, l'adresse d'un site Internet). Le site ne revoit le résultat de la recherche que vers l'adresse externe du routeur. Le NAT va retransmettre les données au véritable destinataire. Le PAT (Port Adresse Translation) permet de redirectionner les données au niveau des ports UDP et TCP/IP.

Les routeurs intègrent parfois un firewall hardware paramétrable et permettent notamment de bloquer certaines connexions Ethernet au niveau des ports TCP ou UDP. Ils sont utilisés pour interfacer différents groupes de PC (par exemple les départements) en assurant un semblant de sécurité. Certains switch manageables peuvent en partie être utiliser pour le blocage d'adresses IP dans une même classe d'adresse. La principale utilisation est le partage de connexion Internet. D'autres informations sur les méthodes de partage de connexion Internet sont reprises dans différents chapitres du cours INTERNET (par Windows, routeurs) mais aussi en utilisant des serveurs Windows 2003 - 2008 (cours sur les systèmes d'exploitation).

Les routeurs peuvent également servir de pont (Bridge en anglais) pour interconnecter deux réseaux locaux dans des classes d'adresses différentes.

Il n'est pas possible de relier directement 2 réseaux en branchant 2 cartes réseaux dans un PC central, sauf en utilisant un logiciel de liaison proxy (passerelle) de type Wingate ou les fonctions RRAS (Routing and Remote Access Services) implantées dans Windows serveur 2000 mais surtout en standard en Windows 2003 et 2008..

Un serveur DHCP (Dynamic Host Configuration Protocol) peut être implanté de manière software (serveurs Windows par exemple) ou dans un routeur. Cette possibilité permet d'attribuer automatiquement les adresses IP à chaque station dans une plage d'adresse déterminée (dans la même classe d'adresse).

5.6. Répéteurs

Le répéteur permet de dépasser la longueur maximale de la norme d'un réseau en amplifiant et en régénérant le signal électrique. Sa principale utilisation actuelle est le passage d'un média à l'autre (par exemple de connexion en cuivre vers la fibre optique) ou d'interconnecter deux câbles en fibre optique en regénérant le signal.

5.7. Passage des adresses IP aux adresses MAC

Nous savons déjà que les communications se font par les adresses MAC et pas directement par les adresses IP.

Pour une communication, le PC émetteur vérifie si le PC est dans la même classe d'adresse IP. Si c'est le cas, il va envoyer un ARP pour déterminer l'adresse MAC de destination et envoie directement le packet de données et les en-têtes sur le réseau. Les HUBS laissent le paquet tel quel puisqu'ils sont de simples amplificateurs. Par contre, si le réseau est relié par des switchs, chaque switch va vérifier l'adresse MAC dans sa table, éventuellement envoyer un broadcast.

Par contre, si le PC de destination n'est pas dans la même classe d'adresse, il envoie le paquet au routeur (dont l'adresse MAC est connue) avec l'adresse IP de destination. Le routeur va vérifier s'il est connecté au sous-réseau (classe IP) de destination. S'il est directement connecté, il envoie les informations au destinataire via un ARP. Dans le cas contraire, il va envoyer le paquet au routeur suivant, et ainsi de suite.

5.8. Connexion d'un réseau Ethernet.

Par le chapitre sur les différentes normes Ethernet, nous savons que:

1. Connecter entre-eux 2 hubs (switch) utilise un câble croisé ou utiliser un port croisé de l'équipement (certains modèles intègrent un petit interrupteur poussoir sur un port spécifique). Les switch actuels détectent automatiquement le croisement (MDI/MDIX).

2. En Ethernet 10 Base T, plus de quatre Hubs en cascade posent un problème au niveau des vitesses de connexion.3. En Ethernet 100 Base T, plus deux HUBS en cascade provoquent également des erreurs dans les flux de données, les trames se superposent, dépassant la taille du MTU.4. Les distances maximales à respecter sont de 100 mètres maximum en cuivre. Là aussi, les trames peuvent se superposer en cas de dépassement.5. Le câblage doit être stricte: connecteur, proximités des câbles du réseau électrique, ...

Quels choix pour un réseau local Ethernet? Les départements entre-eux doivent être reliés par des switchs, si possible administrables pour bloquer certaines liaisons. Toute connexion extérieure (Internet et liaison inter-réseau) nécessite un routeur. Le partage Internet par Windows est à éviter pour les entreprises (sécurité) et remplacé par un routeur incluant le NAT qui permet masquer les différentes adresses du réseau interne et incluent souvent des firewall hardware même si en standard ces équipements sont plutôt amateurs.

6. Liaisons à haute vitesse, haut débit, ADSL, ATM.

6.1. Introduction - 6.2. Technologies xDSL (ADSL, SDSL, VDSL, ...) - 6.3. DSL symétrique - 6.4. DSL asymétrique - 6.5. Lignes louées - 6.6. Connexion par satellite - 6.7. Le câble - 6.8 Connexions 3 G et 3 G+ - 6.9. Liaisons ATM

Ce chapitre du cours hardware YBET réseaux et communications traite des liaisons à haut débit pour la connexion des sites INTERNET et la connexion haute vitesse entre l'utilisateur et INTERNET: connexion xDSL, ATM, lignes louées, câble de télédistribution, liaison satellite, ... Toutes ces solutions nécessitent un abonnement spécial chez votre fournisseur d'accès.

6.2. Les technologies DSL

Le DSL regroupent tout ce qui permet de faire passer des flots de données à haute vitesse sur de simples lignes téléphoniques torsadées. Il existe différentes variantes :

HDSL: High bit rate DSL SDSL: Single pair, ou symmetric DSL ADSL: Asymmetric DSL RADSL: Rate adaptative DSL VDSL: Very high DSL

Les différences essentielles entre ces différentes technologies sont:

la vitesse de transmission distance maximale entre l'utilisateur et le point d'accès variation de débit (vitesse) entre le flux montant (utilisateur vers le réseau Internet) et flux descendant (réseau Internet vers l'utilisateur)

Les technologies xDSL sont divisées en deux familles, celles utilisant une transmission symétrique et celle utilisant une connexion asymétrique.

6.3. Solutions symétriques

Une solution xDSL symétrique a la même vitesse de transfert en download (Internet vers utilisateur) qu'en upload (utilisateur vers Internet), contrairement aux liaisons asymétriques (Adsl par exemple). Ceci est primordial pour l'hébergement d'un site au sein de l'entreprise. Les connexions symétriques sont surtout utilisées pour remplacer les lignes louées trop chères.

6.3.1 HDSL et HDSL2 :

L'HDSL date du début des années 90. Elle utilise les lignes louées mais en utilisant pas tous les fils. Deux versions sont utilisées, soit avec 2 paires (vitesse maximale de 1,5 Mb/s), soit 3 paires de fils (vitesse maximale de 2 Mb/s). Ces vitesses peuvent être moindre en fonction de la qualité de la ligne. La distance maximale avec le central est de 4,5 KM.

La version suivante, l'HDSL2, en découle mais n'utilise plus qu'une seule paire téléphonique, soit 1,5 Mb/s pour les Etats-Unis et 2 Mb /s pour l'Europe. Seul défaut, la distance diminue pour ne plus atteindre que 2500 mètres.

Cette solution ne permet pas de téléphoner en même temps.

6.3.2. SDSL (Symmetric Digital Subscriber Line):

Comme HDSL, le SDSL utilise les lignes louées mais avec seulement 1 paire de fils avec un débit maximum de 2 Mb / s, même si on peut coupler atteindre les 4 Mb/s en utilisant deux lignes simultanées. La vitesse varie avec la distance au central:

< 1Mb/s disponible jusqu’à 5,6 km 1Mb/s disponible jusqu’à 5 km 2Mb/s disponibles jusqu’à 2,3 km

L'utilisation simultané de la connexion Internet avec un appel téléphonique est impossible.

6.3.3. SHDSL:

Le SHDSL (Single-pair High-speed DSL) date de 2002 et rassemble les techniques HDSL (2) et SDSL. La distance maximum est de 5 kilomètres. Les taux de transfert varient suivant l'abonnement de:

192 Kb / seconde à 2,3 Mb sur une paire téléphonique. 384 Kb / seconde à 4.6 Mb sur deux paires téléphoniques.

Plutôt basée sur les lignes téléphoniques que sur les lignes louées, elle permet le transport de données à transept les centraux téléphoniques.

Au départ, le débit est configuré à une vitesse fixe suivant l'abonnement. Les premières versions bloquaient la transmission si la vitesse n'était pas suffisante. Actuellement, les modems utilisent une auto détection et se synchronisent sur la vitesse la plus élevée possible autorisée.

6.4. Solutions asymétriques: ADSL, RADSL et VDSL

On va parler de diaphonie. Par quelques bases en électricité, on sait qu'un courant dans un fils électrique induit un champ magnétique qui (à forte dose) va parasiter les fils adjacents. Hors dans une installation standard, les fils de connexion Internet vont de tous les utilisateurs pour se regrouper vers le central. Du coup,

les signaux sont nettement plus parasités au niveau du central qu'au niveau utilisateur. En suivant l'idée, plus un signal est fort, moins il est parasité. Par contre, plus la vitesse (en fait la fréquence du signal) est rapide, plus il a de chance d'être parasité (mais surtout l'inverse).

Ben voilà l'idée. Le signal envoyé par l'utilisateur est plus faible au niveau du central que celui envoyé par le central, on va partager la bande passante asymétriquement, la vitesse utilisateur vers le central sera plus faible (donc moins parasitée malgré un signal plus faible), tandis que la vitesse de transfert à partir du central sera plus élevée (moins perturbée par la diaphonie au niveau du central car plus fort). C'est la base des connexions asymétrique, augmenter la vitesse de transfert dans une direction au détriment de l'autre pour une même bande passante globale. Ca tombe bien, l'internaute préfère télécharger plus vite ...

Ces solutions asymétriques ne sont pas à utiliser pour l'hébergement d'un site Internet, sauf pour de petites applications utilisant par exemple DynDNS.

6.4.1. ADSL et ADSL2 (Asymetric Digital Subscriber Line):

L'ADSL utilise trois plages de fréquences:

un plage Internet vers utilisateur haut débit une plage bi-directionnelle moyen débit (utilisé en upload et en download). une plage utilisée par la téléphonie (voix normales)

Chaque plage numérique est elle-même divisée en petites bandes permettant le transfert de signaux simultanément dans la même direction. Le signal global doit être filtré pour les communications téléphoniques, comme expliqué dans la partie installation du filtre ADSL.

Deux types de modem - routeur sont utilisés, l'annexe A pour les lignes téléphoniques classiques et l'annexe B pour les lignes ISDN / RNIS. Ils ne sont pas compatibles entre-eux, les annexe B nécessite un filtrage global. Deuxième problèmes avec ces modems, ils sont souvent fournis avec un connecteur RJ45 pour le téléphone alors que le connecteur du filtre est de type RJ11 comme pour une ligne standard mais les connecteurs RJ11 entrent dans un connecteur RJ45.

L'ADSL permet, pour une distance maximale de 5,6 km, des débits de :

de 1,5 à 8 Mb / seconde en download de 16 kb/s à 640 kb/s en upload

La distance maximale dépend de la qualité du câble téléphonique. Au delà de 5,5 km et jusqu'à 6,5 km, la vitesse doit être réduite à 1 Mb/s en download.

Ces vitesses de transfert transforment le réseau public téléphonique existant (limité à la voix, au texte et aux graphismes basse résolution) en un système puissant capable de supporter le multimédia, y compris la vidéo temps réel. En transmettant des films, des programmes de télévision, des données de réseaux locaux d'entreprises, et surtout en introduisant l'Internet dans les maisons, ADSL rend les marchés viables et rentables pour les compagnies de téléphone et les fournisseurs d'applications.

L'ADSL Lite, normalisée en décembre 1998, fonctionne à des débits inférieurs puisque la vitesse maximum de download est de 1.5 Mbit/s pour 512 kbit/s pour le transfert ordinateur vers Internet et n'utilise pas de filtre ADSL. Pourtant elle n'a jamais été réellement commercialisée. Les versions Lite des fournisseurs

d'accès sont des connexions ADSL standard bridées en vitesse sur le central, les modems sont donc tout à fait compatibles, l'utilisation de filtres dans ce cas est également obligatoire.

L'ADSL 2  augmente la vitesse maximum à 12 Mb/s en dowload) en modifiant la modulation de fréquence, les modems et ruteurs restent compatibles.

L'ADSL 2+ permet une vitesse de download jusqu'à 24 MB/s avec une limitation de distance. Les vitesses de ces deux normes sont identiques à l'ADSL standard pour des distances supérieures à 3 KM. Cette technologie haute vitesse est utilisée principalement pour la télévision numérique. La vitesse en upload est limitée à 1 Mb/s (pour 640 Kb/s en standard), avec une distance maximum de 5 KM.

6.4.2. RADSL, Rate Adaptive DSL

En RADSL, le modem adapte la vitesse en fonction de la qualité de la ligne (en upload et en download indépendamment). Ceci donne un débit constant nécessaire dans les applications vidéo et vidéo- conférence. C'est une simple variante de l'ADSL quasiment jamais implantée, elle utilise les mêmes modulations et les même caractéristiques de vitesses et distances. 

6.4.3. ReADSL (Reach Extended ADSL)

Cette technologie est une adaptation de l'ADSL 2. En gros, elle a abaissé le signal de 70 db (ADSL) en 78 db, permettant une distance de connexion supérieure puisqu'elle atteint 8 Km maximum mais au détriment de la vitesse qui descend à 128 kb en émission et 512 kb en réception, soit des vitesses comparables à l'ADSL Lite. Le Readsl commercialisée en Europe depuis 2005.

6.4.4. VDSL et VDSL2

Ces technologies peuvent travailler en mode asymétrique ou symétrique (jusque 34 Mb/s à une distance maximale de 300 mètre). Dans le mode asymétrique, la vitesse de transfert peut atteindre 52 Mb/s en download et jusqu'à 16 Mbs en upload. Seule la version asymétrique est réellement utilisée.

C'est la plus rapide des liaisons DSL. Sur une seule paire téléphonique torsadée, elle autorise:

débit descendant de 13 à 52 Mb par seconde débit ascendants de 1,5 à 2,3 Mb par seconde

En revanche, la longueur maximale de la connexion est limitée à 1,5 km pour des vitesses correctes (5 Km maximum mais avec des débits nettement réduits). 

Le VDSL2 est en cours de développement et permettra des taux de transferts de 250 Mb/s maximum au central mais avec des performances nettement réduite avec la distance (plus que 100 Mb par seconde à 500 mètres et 50 Mb à 1 KM du central en asymétrique. Au de là de 1,6 KM, les vitesses en mode asymétrique sont identiques à celles de l'ADSL 2.

6.2.5. Tableau récapitulatif des technologies DSL

Abréviation Définition Mode Débit Internet -> PC Débit PC -> Internet Distance maximum Nombre

de paires

HDSL High data rate DSL

symétrique

1.544 Mb/s2.048 Mb/s

1.544 Mb/s2.048 Mb/s

3,6 km

2 ou 3 suivant le débit souhaité

HDSL 2 High data rate DSL 21.544 Mb/s (USA) - 2 Mb/s

(Europe)1.544 Mb/s (USA) - 2 Mb/s 2,5 km 1

SDSL Single line DSL 128 Kb/s à 2 Mb 768 Kb/s 3,6 km 1

SHDSL Single-Pair High-Speed

DSL

- 192 Kb/s à 2,3 Mb/s (une paire),

- 384 Kb/s to 4.6 Mb/s (deux paires)

- 192 Kb/s à 2,3 Mb/s (une paire),

- 384 Kb/s to 4.6 Mb/s (deux paires)

5 km

1 ou 2 suivant le débit souhaité

ADSL

Asymmetric DSL

Asymétrique

128 Kb/s à 8 Mb/s16 à 640 Kb/s

5,4 km (6,5 en réduisant la vitesse) 1ADSL 2 128 à 12 Mb/s

ADSL 2+ 128 à 24 Mb/s 16 Kb/s à 1 Mb/s 5,4 Km

RADSL Rate Adaptive DSL 0.6- 8 Mb/s 128 kb/s-1 Mb/s 5,4 km 1

VDSL Very high data DSL 15-53 Mb/s 1.544-2.3 Mb/s 1,3 km 1

ReADSL Reach Extended ADSL 512kb/s 128 kb/s 8 km 1

6.5. Ligne louée

Les lignes louées sont le mode de transfert le plus rapide mais en utilisant un nombre de paires élevées (maintenant remplacées par de la fibre optique). Trois normes distinctes sont utilisées suivant le pays (E pour Europe, T pour Etats-Unis et Japon).

 Elles présentent actuellement le débit le plus élevé mais le nombre de paires est nettement plus élevée (24 paires pour T1 et 32 paires pour E1 par exemple).  Ces lignes connectent directement deux points, sans passage sur des lignes partagées d'où une plus grande sécurité des transactions. Elles peuvent également être utilisée comme lignes téléphoniques via des terminaux téléphoniques spéciaux.

Dans le cas des fournisseurs d'accès européens, les types actuels sont:

E1 (2 Mb par seconde, distance de 50 km maximum) E2 (8Mb / s) E3 (34 Mb /s) E4 (140 Mb /s)

Dans le cas du réseau américain:

T1 à 1,544 Mb/s T2 = 4 X T1 (6,312 Mb/s) T3 = 7 X ligne T2 (44,736 Mb/s)

Pour le Japon, les deux premiers types sont identiques aux normes américaines:

T1, identique à la version américaine T2, identique à la version américaine: 6,312 Mb / seconde T3 = 5 X T2 (32,064 Mb/s) T4 = 3 X T3, soit une vitesse de 97,728 Mb/s.

6.6. Connexion INTERNET par satellite

La connexion INTERNET par satellite permet de se connecter quasiment partout, y compris loin d'installations téléphoniques et même en déplacement (à condition de repositionner la parabole vers le satellite à chaque fois).

Les premières connexions utilisaient un système hybride: réception par la parabole, émission par modem classique. Ceci permet d'utiliser des antennes standards mais n'est pas très performant. 

Les paraboles actuelles intègrent un module d'émission. En envoi, la vitesse varie de 128 kb/s à 1024 kb/s pour 512 kb/s à 8 Mb/s en réception (avec une limite théorique de 155 Mb/s). Pourtant, le système utilise des satellites géostationnaires, soit à une distance de 35.786 km de la terre. Lors de l'émission (ou de la réception), le signal parcourt d'abord cette distance vers le satellite puis est renvoyé vers la base de réception (soit un petit déplacement de plus de 70.000 kilomètres. L'écart entre l'émission et la réception est de l'ordre de 700 millisecondes (temps de latence), peu pratique pour le Voice Over Ip ou le jeu en ligne.

Le prix de l'installation est aussi nettement plus chère que les autres méthodes. Suivant les pays, les abonnements sont finalement équivalents aux autres technologies, du moins pour les faibles vitesses. En Europe, mieux vaut utiliser le système 3 G pour la mobilité.

6.7. Câble TV.

Utilisant le réseau de télédistribution, le câble TV utilise toute la bande de fréquence de 10 à 850 Mhz (sauf certaines utilisées par les radio). Une grosse partie est utilisée par les télévisions en regroupant les TV numériques par 8 avec une plage utilisée de 8 Mhz chaque fois et les TV analogiques qui utilisent elles aussi 8 Mhz mais à chaque fois.

Deux plages sont réservées pour la connexion INTERNET:

Une plage montante large de 30 Mhz qui permet des débits de 128 à 512 Kb/s Une plage descendante avec une vitesse de download de 512 à 12.000 Kb/s, équivalent à l'ADSL2

Par contre, la bande passante Internet est partagée entre plusieurs internautes mais avec moins de connexion sur le central. Les performances sont quasiment identiques à celles de l'ADSL2.

6.8. Connexion 3G et 3G+

Le 3G et son évolution le 3G+ découlent au départ de la téléphonie pour GSM, c'est leur principale utilisation, mais permettent de transférer des vidéos lors des conversations téléphoniques ou même des données. Cette solution permet une vitesse de transfert théorique de 14,4 Mb/s d'une antenne vers un récepteur et de 5,8 mb/s dans l'autre sens. 

La portée est limitée à quelques kilomètres. Le réseau belge actuel autorise des vitesses jusque 3,6 Mb/s sur les principales viles et centres industriels. Quelques régions plus reculées utilisent une vitesse de 160 kb/s ou sont hors de portée. Cette solution peut être implanté sur un PC ordinateur standard via carte USB ou PCMCIA.

6.8. Liaison ATM.

L'ATM (Asynchronus Transfer Mode) est un standard orienté connexion (vérification des données émises) depuis la fin des années 80 pour le transfert haut débit. C'est un protocole plus qu'une connexion matérielle, utilisant des paquets de données de taille plus petite et fixe (appelées cellule) de 5 octets (bytes) d'en-tête et 48 de données.

Le Flux est constant et l'utilisation de la bande passante optimale. Les liaisons ATM utilisent le QOS (Quality Of Service) pour déterminer des priorités sur les messages à envoyer. En absence de données prioritaires à transmettre, le protocole va intercaler des  données moins prioritaires. Le message n'est émis qu'une seule fois, la transmission des données étant considérée comme sans erreurs. En pratique, seule des connexions en fibre optique le permettent (même si ce protocole peut également fonctionner sur d'autres supports réseaux en théorie)..

Le routage des cellule (messages) est implanté en hardware, à la différence d'un routage suivant le protocole IP. Ceci explique que les routeurs ATM sont désignés par le terme Switch. Ils sont à la base des backbones Internet.

 7. Un Serveur réseau informatique.

7.1. Introduction aux serveurs - 7.2. Caractéristiques externes - 7.3. Caractéristiques internes - 7.4. Configuration de base d'un serveur - 7.5. Mémoires Ram des serveurs - 7.6. Les ports internes - 7.7. Les processeurs - 7.8. Les techniques multi-processeurs

L'utilisation d'un réseau local lourd informatique de type Windows 2000 / 2003 / 2008, Linux ou Novell Netware impose l'utilisation d'un ou plusieurs ordinateur(s) central (aux) appelé serveur réseau. Ils peuvent être de tous types, y compris mainframe. Nous ne voyons ici que les serveurs PC X86 compatibles, basés sur des processeurs Opteron, Xeon ou itanium. Même si un serveur informatique peut-être un ordinateur standard (petit réseau de PME) et un serveur peut être utilisé comme PC bureautique de haut de gamme, ces serveurs sont en majorité des ordinateurs spécifiques reprenant diverses spécificités liées à la vitesse, sécurité des données et des applications installées.

La puissance doit être suffisante pour l'application. Un serveur ne doit pas fonctionner à plus de 10 % de charge en moyenne, sous peine de ralentir les utilisateurs et l'application. Selon l'utilisation, le nombre d'utilisateur, la fonction du serveur (programme, fichier ou imprimante), la configuration doit être choisie en conséquence, ni trop grosse (prix), ni trop petite.

Avec l'évolution de l'informatique dans l'entreprise, l'ordinateur central et l'installation réseau devient primordial, le moindre arrêt de l'informatique provoque immédiatement l'arrêt de l'usine avec les conséquences que l'on peut imaginer. Que cet arrêt soit causé par un problème logiciel, une panne hardware d'un serveur ou d'un concentrateur n'a pas d'importance au départ. Le résultat est le même pour l'entreprise: perte de production, de données, ... Un réseau informatique ne doit pas s'arrêter. S'il a préparé des solutions pour la majorité des causes de pannes, un bon technicien de maintenance doit "se promener" dans l'usine. Un arrêt, surtout s'il dure, se paye cash, autant minimiser les durées.

7.2. Caractéristiques externes

Différentes solutions externes peuvent être utilisés sur les serveurs de haut de gamme:

Protection par clés des boutons d'allumage, reset, accès au lecteur CD et disquette, ... pour éviter des interventions non autorisées. Utilisation de rack 19", ce qui réduit l'encombrement mais permet également des chemins d'accès de câbles cachés et fixés, .. Les câbles doivent être clairement

étiquetés. Lame (Blade): carte globale sur laquelle s'enfichent des cartes reprenant un ordinateur complet, ce qui réduit l'encombrement.

La partie externe est liée au boîtier et à la fixation mécanique et ... aux techniciens, administrateurs réseaux pour l'aspect câblage: pas de câble installés en vitesse dans les passages. Les salles informatiques pour serveurs sont généralement construites avec un faux plancher pour le passage des câbles. Le système anti-feux utilisait du halon, un gaz inerte mais toxique pour l'homme, interdit en 2004 et remplacé par l'Inergen, aussi un gaz, constitué de 52% d’azote, 40% d’argon et 8% de dioxyde de carbone qui donne le même effet mais n'est pas toxique. Ces salles sont généralement sous température contrôlée de 18°.

Le raccordement électrique passe par un UPS, alimentation ininteruptible (onduleur) qui assure une autonomie en cas de coupure de courant mais protège également contre divers problèmes liés au réseau. L'onduleur peut également éteindre proprement le serveur avec un logiciel dédié. Les plus gros centres utilisent également de gros groupes électrogènes en cas de panne prolongée (à partir de 5 minutes généralement). Les concentrateurs (hubs, switch, ...) peuvent également être protégés.

7.3. Caractéristiques internes

disques durs rapides, si possible multi-sessions: connexions SCSI et SAS pour les plus gros, S-ATA pour les plus petits . sécurité des données en cas de "crash disk": dédoublement des disques durs par systèmes RAID protection en cas de panne d'alimentation électrique ou de baisse de tension: UPS sécurité des données en cas de panne complète du serveur ou perte de fichiers (sauvegarde quotidienne) Disques durs, cartes périphériques, alimentations, ... connectables / déconnectables "à chaud" (hot plug) et redondants en option. Ceci signifie que le périphérique peut

être remplacé alors que le PC continue de fonctionner. Carte graphique intégrée et pas de carte audio

Les disques durs sont généralement de type SCSI ou SAS (éventuellement S-ATA). Guère plus performants en stations que les disques durs E-IDE, à part en temps d'accès, les connexions SCSI sont plus performantes en multi-read (plusieurs demandes simultanées). Ils peuvent également être redondant (RAID 1): les données sont écrites sur plusieurs disques simultanément, la lecture ne se fait que sur un seul. En cas de crash, on continue sur les autres disques. En cas de crash complète d'un serveur, on peut coupler en permanence 2 serveurs de la même manière. Tous ces systèmes sont dits RAID.

Pour les alimentations, on peut utiliser 2 alimentations redondantes (dedédoublées). Chacune peut alimenter l'ensemble de manière autonome. Pour les cartes internes, le PCI-X 64 autorise de retirer ou d'insérer une carte sans couper la machine (à chaud) avec un système d'exploitation compatible (en pratique, tous les gestionnaires réseaux, par exemple Windows 2003). Le dédoublement d'une installation informatique garantit la continuité de l'installation en cas de panne d'un composant, cela s'appelle en informatique la redondance.

Au niveau des périphériques, les bandes de sauvegarde sont toujours le plus souvent employées avec des vitesses de transfert basées sur le SCSI. D'autres solutions comme les NAS sont également utilisées.

7.4. Configuration de base d'un serveur.

Par définition, un serveur n'est pas une machine dédiée aux jeux ou aux traitement graphique: la carte graphique et le lecteur CD / DVD ne sont pas des composants primordiaux pour les performances. L'écran n'est pas non plus un modèle multimédia de grande taille. C'est généralement un 15" qui tourne "à vide". L'affichage et le lecteur CD sont rarement utilisés: installation, panne critique, ... Selon le système d'exploitation, le serveur peut (ou doit) être configuré via une station.

La mémoire doit être suffisante (limitée à 4 GB maximum pour les systèmes d'exploitation 32 bits), les disques de capacités doubles, voire triples par rapport à la capacité maximum effective que vous utiliserez sur cette machine.

7.5. Mémoire serveur.

Par rapport aux mémoires traditionnelles, les barrettes de RAM des serveurs utilisent les mêmes technologies (DDR par exemple) mais avec des corrections d'erreur. Les serveurs actuels utilisent des RAM ECC (Error Checking and Correcting ou Error Correction Code) qui utilisent plusieurs bits de contrôle de parité pour vérifier les données. Elles sont en plus auto-correctives. Une ECC détecte 4 erreurs et  corrige une sans arrêter le système. Les mémoires Ram AECC (Advanced Error Correcting Code) peuvent détecter et corriger 4 erreurs mais sont très rarement utilisées.

7.6. Bus internes.

Dans un PC traditionnel, les ports sont PCI 32 bits, AGP et PCI-Express.

Première limitation, ils ne sont pas déconnectables à chaud (Hot plug): pour remplacer ou installer une carte, il faut éteindre l'ordinateur. Ca ne pose pas de problème pour les petits serveurs sans redondance puisque l'application ne peut pas fonctionner. Pour les serveurs de haut de gamme, les cartes principales (réseaux par exemple) sont redondantes. En cas de panne, la fonction continue sur une deuxième équivalente. Le Hot Plug permet la réparation sans arrêts.

Deuxième limitation,  le taux de transfert maximum sur un bus PCI est limité à 132 MB/s l'ensemble des connecteurs. Prenons une carte réseau Giga Ethernet (1000 Gb/s). Divisons par 10, une valeur moyenne pour le taux de transfert en octets, ça donne déjà 100 MB/s rien que pour une connexion. La connexion des disques durs sur le même port est finalement impossible, un SCSI 160 va à lui tout seul utiliser ... 160 MB/s, soit plus que le bus ne peut transférer.

Développé conjointement par les principaux fabricants de serveurs réseaux (IBM, Compac, HP et Intel), ces ordinateurs utilisent des bus PCI-X sur 32 ou 64 bits. C'est une évolution du PCI standard mais avec des vitesses d'horloge allant de 66 à 533 Mhz suivant les versions en 32 ou 64 bits (33 Mhz à 32 bit pour la version standard). 

La version PCI-X 1.0 est sortie en 1999, elle est alimentée à une tension de 3,3 V: il est développé en 6 versions.

Fréquence du bus PCI-X 1.0 Tension largeur du bus de données bande passante

66 Mhz3,3 V

3,3 V

32 bits 264 MB/s

64 bits 528 MB/s

100 Mhz 3,3 V32 bits 400 MB/s

64 bits 800 MB/s

133 Mhz 3,3 V 32 bits 532 MB/s

64 bits 1064 Mb/s

La version PCX-2.0, sortie en 2002, peut également être alimentée en 1,5 V suivant les versions. Les cartes sont hot Plug ( déconnectables à chaud).

Fréquence du bus Tension largeur du bus de données bande passante

66 Mhz 3,3 V32 bits 264 MB/s

64 bits 528 MB/s

100 Mhz 3,3 V32 bits 400 MB/s

64 bits 800 MB/s

133 Mhz 3,3 V32 bits 532 MB/s

64 bits 1064 MB/s

266 Mhz 3,3 V / 1,5 V32 bits 1064 MB/s

64 bits 2128 MB/s

533 Mhz 3,3 V / 1,5 V32 bits 2128 MB/s

64 bits 4256 MB/s

Les cartes PCI-X 32 bits peuvent être insérées dans un bus 64 bits (forcément pas l'inverse). Les bus PCI-X sont directement connectés sur le Northbridge du chipset, ce qui nécessite des cartes mères (chipset) spécifiques.

Les ports PCI-X vont jusqu'à 533 MHz. Ceci nous donne un taux de transfert de 533 * 8 (64 bits) = 4256 MB/s pour l'ensemble du bus. Généralement, un serveur accepte également 1 ou 2 port PCI 32 bits pour des cartes standards.

Avec les ports PCI-X, nous retrouvons les caractéristiques attendues: rapidité et Hot plug (si le pilote de la carte le permet). Une dernière précision, ces cartes et l'implantation de ces bus sont chères. Chaque serveur n'inclue pas d'office un PCI-X à 533 Mhz. Il existe des cartes à 33, 66, 100 et 133 Mhz. En plus, de nombreux serveur n'incluent pas un, mais 2 ou trois ports PCI-X séparés. Ceci permet également de supprimer les goulots.

7.7. Microprocesseur serveur.

    Pour les caractéristiques effectives des processeurs dédiés aux serveurs réseaux, vous pouvez vous référer à la page microprocesseur serveur ou aux Dual Core. Cette partie ne reprend que les cas généraux.

7.7.1. Introduction

Le processeur d'un serveur n'est pas d'office une bête de compétition. Sauf pour les serveurs de programmes, les processeurs sont généralement "faibles". Un serveur de Web peut utiliser un Pentium IV ou même un CELERON. Par contre, pour les serveurs d'application, les fabricants de processeurs utilisent deux solutions: processeurs spécialisés et multiprocesseurs. Les deux sont en partie liés.

Les processeurs actuels sont soit 32 bits (Intel Core Duo), soit 64 bits (Itanium), soit acceptent les deux modes de fonctionnement (Xeon, Athlon 64 et Opteron). Pour augmenter les performances, les processeurs 64 bits utilisent des jeux d'instruction différents. L'Itanium D'intel, full 64 bits, n'acceptent que des systèmes d'exploitation 64 bits spécifique acceptant l'assembleur IA-64. Ce sont les versions Data Center de Windows 2003 et 2008. Les processeurs 64 bits d'AMD et le XEON sont compatibles 32 et 64 bits suivant le système d'exploitation utilisé. Les registres internes ont été allongés pour augmenter l'adressage mémoire maximum, quelques instructions spécifiques sont également utilisées. 

Une dernière chose, l'utilisation en bi-processeur ou plus nécessite un système d'exploitation réseau spécifique. Windows NT, 2000 et XP Pro acceptent deux processeurs. Seuls des versions spécifiques des systèmes d'exploitation dédiés acceptent un nombre supérieur. Novell oblige une option supplémentaire. UNIX - Linux est nativement multi-processeurs, si la fonction est implantée en fonction de la carte mère / OS. Les versions "home" des systèmes d'exploitation Microsoft (Windows 95, 98, Me, XP Home et versions de Vista et Seven familial) ne gèrent pas le multi-processeur. Pour utiliser deux (ou plus) processeurs simultanément (avec une carte mère qui l'accepte), les processeurs doivent être de même type et même fréquence et (en pratique) de même série de fabrication: une limitation de taille pour des upgrades.

7.7.2. INTEL

Le processeur dédié serveur d'Intel est le XEON 32/64 bits. Par rapport aux Intel Dual-Core, INTEL insère généralement des caches L1 et L2 plus importants. Le socket et les chipsets sont différents.

Les Itanium et Itanium II sont full 64 bits et nécessitent des systèmes d'exploitation spécifiques.

Une dernière remarque, avec les Pentium IV à 3.06 Ghz, INTEL inclue désormais, l’hypertreading (pas sur les Intel Core). Cette technique permet d’émuler deux processeurs logiciels dans un seul Pentium. L’avantage est lié à la vitesse même si les différents tests sont assez mitigés, notamment parce que l’application doit être dédiée à ce processus dans le cas de stations de travail. Par contre, cette fonction est largement implantée dans les ITANIUM et XEON.

L'arrivée des processeurs Dual-core en 2005 et des premiers Xeon quadri-core en novembre 2006 et même 6 coeurs en octobre 2007 modifie encore un peu la donne

7.7.3. AMD

Depuis septembre 2001, AMD fabrique des Athlon capables de travailler en bi-processeurs (Athlon MP), avec un chipset lui aussi spécifique. L'opteron utilise la même architecture interne que les Athlon 64 mais permet de connecter jusqu'à 8 processeurs simultanément.

L'Opteron, sorti en avril 2003, est la version serveur – station informatique de haute gamme. La différence par rapport aux Athlon bureautiques est lié au nombre de bus hypertransport que ces processeurs sont capables de gérer (1, 2 ou 3). La série 100 utilise un bue et n'est pas multi-processeur. Les versions 2 bus (série 200) acceptent le bi-processeur, les versions 3 bus (série 300) permettent nativement jusque 4 processeurs simultanés, jusque 8 avec un circuit spécifique. Les chipsets actuels acceptent les bus PCI-X, PCI-Express ou l'AGP directement sur le northbridge (ces processeurs gèrent directement la mémoire, sans passer par le chipset)..

D'abord développé avec un socket spécifique de type 940, certaines versions utilisent l'AM2 (comme les versions bureautiques). Les multi-processeurs prévus pour fin 2008 utiliseront un nouveau socket, le type F.

7.8. Les techniques multiprocesseurs.

Distinguons d'abord le Dual-core du multiprocesseur. Dans le premier cas, deux processeurs sont insérés dans le même boîtier. Dans le deuxième cas, deux processeurs distincts (ou plus) sont insérés sur la même carte mère. Dans ce cas, les processeurs peuvent également être Dual-core ou plus. C'est la deuxième méthode qui nous intéresse. Travailler avec plusieurs processeurs simultanément (dans la même machine) nécessite forcément une carte mère compatible. Le principe doit permettre de partager la mémoire, les accès disques et en règle générale tous les bus internes.

L'utilisation de 2 processeurs simultanément est un peu plus rapide par rapport à un dual-coeur (quelques %), mais les prix sont nettement plus chères.

Deux techniques sont utilisées: le SMP à bus commuté (Symetric multiprocessing) et le multi-processing Numa. La différence entre les deux se réduit avec l'évolution, les fabricants commencent à mélanger les deux.

Le SMP est surtout utilisé dans un serveur pour un petit nombre de processeurs, le Numa s'adapte mieux à un grand nombre de processeurs.

7.8.1. SMP, type UMA (Uniform Memory Access)

L'architecture SMP consiste à utiliser plusieurs processeurs partageant la même mémoire et les mêmes périphériques internes. Un seul système d'exploitation fait tourner l'ensembles des processeurs. Un bus commun partagé permet les accès à la mémoire et aux périphériques.

Architecture SMP type UMA

Le bus système est le point faible du SMP puisqu'il est utilisé conjointement par tous les processeurs, même en augmentant la fréquence de l'horloge. L'augmentation de la mémoire cache permet en partie de limiter son utilisation.

Pour concevoir des plates-formes évolutives (ajout de processeurs selon les besoins), les fabricants de processeurs et serveurs réseaux ont travaillé sur des architectures à bus commutés, créant des infrastructures d'interconnexion dont la bande passante peut être augmentée par paliers, grâce à des commutateurs supplémentaires. Les composants élémentaires sont des cartes filles bi ou quadri processeurs insérées dans des connecteurs sur une carte centrale de fond. Sun a utilisé cette technique le premier avec un ordinateur utilisant 64 microprocesseurs simultanément. La carte accueillant les cartes filles permet un débit de 12,8 GB/s et permet d'enficher jusque 16 cartes quadri-processeurs. Chaque ajout de cartes quadri-processeur voit l'ouverture de canaux d'interconnexion supplémentaire et donc une augmentation de la bande passante. Dans le système SUN, la mémoire est localisée sur chaque carte fille. Elle apparaît donc comme réservée par carte quadri-processeurs. En fait, tous les accès mémoire se font par le bus central, sur la même carte fille comme sur une autre. Par ce principe, la technique SUN ressemble à une technique SMP. D'autres constructeurs utilisent des techniques équivalentes.

7.8.2. Multi-processeurs Numa (No Uniform memory access)

Architecture NUMA

La technologie NUMA permet de regrouper des groupes de processeurs avec leur propre mémoire dédiée et de les relier entre-eux par des bus capable de délivrer plusieurs giga bytes par seconde. L'accès à la mémoire n'est pas uniforme, un processeur n'accédera pas à la même vitesse à sa mémoire locale qu'à celle dédiée à un autre processeur. Cette différence de délais diminue, regroupant ainsi les architectures UMA et NUMA. La mémoire est partagée par l'ensemble des processeurs. Ceci implique que le système NUMA exploite une gestion des cohérences de la mémoire cache capable de prendre en compte l'ensemble des processeurs attachés à la plate-forme.

Le multi-processeur n'est pas uniquement liée à la méthode utilisée pour gérer les bus de connexions mais surtout à la méthode pour optimaliser les transferts mémoire - processeurs.

Une dernière remarque, et de taille, en architecture NUMA, chaque processeur utilise son propre système d'exploitation, alors que dans le cas SMP, un seul système d'exploitation tourne pour l'ensemble des processeurs du serveur. Ceci dédie donc NUMA pour des systèmes multi-processeurs UNIX ou propriétaires et SMP pour le monde des serveurs INTEL - Windows, même si l'Opteron utilise le NUMA de par son architecture interne reprenant le contrôleur mémoire.

8. Disque dur SCSI, technologie RAID

8.1. Introduction - 8.2. Technologie SCSI - 8.3 Connexion de périphériques SCSI - 8.4. SAS (Serial SSCI) - 8.5. RAID (Redundant Array of Independant Disk)- 8.6. Raid Hardware et software - 8.7. Solutions RAID hardware

Les données (et son support principal, le disque dur) sont primordiales dans toute application informatique. Dans le cas d'un serveur réseau, deux directions sont utilisées pour augmenter la vitesse et garantir la fiabilité en cas de panne d'un disque dur: l'utilisation de solutions SCSI pour le stockage (plus performantes) et l'implantation du RAID. Les deux sont généralement implantés en même temps.

8.2. Technologie SCSI.

En première année, nous n'avons vus que le disque dur IDE et SATA. Cette année, avec les serveurs, nous nous intéresserons aux disques durs et périphériques de type SCSI (Small Computer System Interface). Par rapport aux périphériques IDE, elles ont plusieurs avantages. 

1. Le nombre de périphériques connectés sur la même nappe est supérieur: jusque 15. L'adresse se fait par pontage ou sélecteur rotatif2. multi-session. En clair, le disque peut exécuter plusieurs applications en même temps (ou presque) et l'écriture (ou la lecture) d'un fichier ne doit pas attendre la fin de

l'opération précédente. Ceci est le cas par exemple lorsque l'on écrit un gros fichier sur le disque dur, la lecture suivante ne doit pas attendre pour démarrer. SCSI est capable de gérer simultanément plusieurs requêtes de lecture /écriture en parallèle (jusque 255), l'IDE qui ne peut effectuer qu'une opération (complètement) à la fois. Ceci ne fonctionne qu'avec un système d'exploitation compatible (Win 2000 ou XP Pro, Vista et Seven Pro (+ les versions serveurs), Novell), à l'exclusion des versions home et familiales de XP, Vista ou Seven.

3. Les connexions SCSI peuvent être internes ou externes, les connecteurs actuels sont d'ailleurs les mêmes. Le transfert de données entre deux périphériques se fait directement par DMA.

4. Ce mode de connexion inclut automatiquement un contrôle d'erreur.

Tout ceci explique que les vitesses te transfert soient plus élevées qu'en IDE (même à taux de transfert théorique équivalent), avec des prix qui varient en même temps. 

    Les normes ont évolué, mais on rencontre encore quasiment toutes. NARROW se réfère à un bus 8 bits, WIDE se réfère à un bus 16 bits. 

Normes SCSITaux transfert

MB/s maximum

Largeur bus

(en bits)

Longueur maximum câble SCSINombre

conducteurs

Nb. max. connexion (non compris la carte

contrôleur)SE LVD HVD

ARROW SCSI 1 5 8 6 m - - 25 7

FAST NARROW SCSI 10 8 3 m - - 50 7

Fast Wide SCSI

SCSI 2

20 16 3 m 12 m 25 m 68 ou 80 15

Ultra SCSI Narrow 20 8 3 m - - 50 3

Ultra SCSI Narrow 20 8 1,5 m - - 50 7

Wide Ultra SCSI 3

40 16 bits 3 m - - 68 ou 80 3

Wide Ultra SCSI 40 16 bits 1,50 - - 68 ou 80 7

Wide Ultra SCSI SCSI 3

DIFFERENTIEL 40 16 bits - 12 m 25 m 68 ou 80 15

Ultra 2 SCSI (Narrow)

40 8 bits 6 m - - 50 7

Wide

Ultra 2 SCSI80 16 bits - 12 m 25 m 68 ou 80 15

Wide Ultra 160

Ultra 3 SCSI ou SCSI 5

160 16 bits - 12 m - 68 ou 80 15

Wide Ultra 320 SCSI

320 16 bits - 12 m - 68 ou 80 15

Par comparaison

E-IDE ATA 133 133 16 bits - 80 fils

(connecteur 40)

2

Le taux de transfert, la longueur des cordons, le nombre de fils et de périphériques diffèrent selon la norme.

Ce qu'il est important de connaître pour commander un cordon ou un terminateur :

1. Le nombre de fils et le modèle des connecteurs.2. La norme SE, LVD ou HVD.

Tous les autres renseignements sont superflus sur le plan des connecteurs.

SCSI 1 (NARROW SCSI): Il est codé sur 8 bits seulementSCSI 2 (WIDE SCSI) : Codé sur 16 bits il autorise un taux de transfert jusqu'à 20 MB/s 

Carte SCSI 2 Adaptec AH 3940. Cette carte est identique à une 2940 mais possède 2 canaux internes distincts (RAID) Connecteur SCSI2 interne

SCSI 3 (ULTRAWIDE SCSI) : permet des taux de transfert de 40 MB/s

SCSI 3 DIFFERENTIEL : utilise du câble de très bonne qualité appairé, le signal est transféré en deux signal par paire (+ et inversé). Deux types de chaînes différentielles sont utilisées: 

le HVD (High Voltage Differential) qui utilise une tension de 5 volts permet d’atteindre des longueurs de 25 mètres pour seulement 6 mètres en UltraWide. le LVD (Low Voltage Differential) qui utilise une tension de 3,3 volts accepte des longueurs de câbles entre périphériques jusqu'à 12 m. avec des nappes, cordons,

terminateurs internes comme externes spécifiques.

Le connecteur est spécifique à chacune des 3 normes Ultra Wide, HVD et LVD:l'impédance des cordons et les nappes internes sont également différentes. Les résistances de terminaison aussi sont différentes. Le mélange des cordons et terminateurs sont déconseillés (principalement en HVD). Par contre, la norme LVD accepte la connexion de périphériques non LVD sur la carte contrôleur mais aussi de connecter des périphériques LVD sur une carte contrôleur non LVD mais avec un débit plus faible.

L'Ultra 2 SCSI LVD est une extension du SCSI 3. De nouveau, cette norme utilise deux fils pour transmettre le signal en différentiel Cette méthode est également utilisée en liaison Ethernet (entre autre). Les cordons LVD doivent de haute qualité et à la bonne impédance. La vitesse maximum théorique est de 80 MB/s.

La norme Ultra 3 SCSI ou Ultra 160/m ou SCSI 5 (SCSI PARALLEL INTERFACE SPI-3):

L’Ultra 160/m est une implantation spécifique de la norme Ultra 3 SCSI et ne retient que 3 caractéristiques:

1. Taux de transfert de 160 MB/s au lieu de 80 par rapport à l’Ultra 2 SCSI.2. Au démarrage, test du bus par le contrôleur qui permet de déterminer la vitesse de transfert en fonction des différents périphériques connectés sur la chaîne. Ici aussi, la

qualité des cordons et terminateurs est déterminante pour les vitesses de transferts.3. Contrôle de redondance cyclique (CRC) pour le contrôle d’erreurs de transmission. Le "160/m" indique que la norme est manageable - administrable (test physique et

CRC).

L’Ultra 3 SCSI est uniquement LVD et utilise les mêmes connecteurs, cordons et résistances de terminaisons que l'Ultra 2 mais de mùeilleure qualité pour permettre une vitesse supérieure. 

Manageable, l'Ultra 160/m permet la gestion de périphériques de vitesse inférieures mélangés, par exemple des périphériques à 80 MB/s pour l’Ultra 2 SCSI et 160 MB/s pour le 160/m, le bus adaptant sa vitesse en fonction du périphérique de transfert. Un contrôleur Ultra 2 SCSI accepte également un mélange de périphériques des deux normes mais la transmission est uniquement de 80 MB/s. Ces deux normes sont donc compatibles.

La norme Ultra 320 SCSI (SCSI PARALLEL INTERFACE SPI-4) :

Gardant les spécifications de l'Ultra 160/m, elle permet en plus:

Transfert d’unités d’information et plus d'un bloc à une vitesse de 320 MB/s Meilleur gestion des temps d'inertie en multiplexant les tâches d’entrées/sorties, notamment au niveau du BUS FREE (libre). Cette méthode exploite mieux les canaux

disponibles et simplifie les transferts. Le signal est rectifié par rapport au signal d’horloge en compensant les différence de délais de transmission sur les différents fils de la nappe (skew compensation).

DB 25

Centronix 50 mâle externe (plus de pin que le connecteur centronix imprimante standard)

SUB 50 mâle

Connecteur DB68HD

8.3. Connexion de périphériques SCSI

Les types de périphériques qui sont connectés en SCSI sont

Disque dur (interne ou externe) Sauvegarde sur bandes (DAT, DLT, ...) en interne ou externe Scanner (externe)

Le choix du numéro de périphérique se fait soit par pontage, soit par un sélecteur rotatif. L'adresse doit être unique sur un même câble ou plutôt sur un même contrôleur. En effet, les périphériques internes et externes partagent généralement le même contrôleur.

La fin de la liaison des périphériques externes doit se terminer par une résistance de terminaison spécifique au type de connexion SCSI. En effet, pour les périphériques externes, la connexion est chaînées. On débute du contrôleur vers le périphérique. Le câble suivant passe du périphérique au périphérique suivant. Dans certains périphériques, la terminaison est inclue dans le périphériques (pontage à insérer pour l'activer).

Les câbles standards internes reprennent généralement seulement 3 connecteurs mais des modèles reprenant plus de périphériques se trouvent dans le commerce.

Généralement, on ne mélange pas les périphériques SCSI de différents types, néanmoins des terminaisons spéciales permettent de chaîner des périphériques NARROW (50 pin) avec des ULTRA WIDE (68 pin), tant en interne qu'en externe.

8.4. SAS (SERIAL SCSI)

Cette solution d'interface de disque dur et périphériques de sauvegarde réseau date de 2004. C'est l'implantation d'une connexion série pour les disques durs SCSI. Première chose, un contrôleur SAS peut gérer des périphériques SAS et SATA via le connecteur ci contre. En revanche, un contrôleur SATA implanté dans les ordinateurs standards ne peut pas utiliser de périphériques SAS puisqu'ils ne gèrent pas le protocole SCSI (les connecteurs sont aussi différents.

De nouveau, on retrouve les caractéristiques SCSI avec des possibilités de connexions internes et externes et des possibilités de contrôle supérieures. Ca s'arrête là puisque le nouveau standard ne relie plus jusque 15 périphériques sur la même nappe mais bien une nappe par périphérique. Avec une transmission série, le nombre de fils a aussi diminué mais quelques surprises puisque les contrôleurs permettent de débuter avec 1 câble 4 canaux pour connecter 2, 4 ou plus disques durs. Certains disques acceptent également d'être commandés par deux contrôleurs simultanément (mais ce n'est pas le plus courant) via des cartes additionnelles installées dans des rack et via un numéro SID (comme pour les anciens SCSI). La majorité de ces disques sont livrés dans des racks permettant de les déconnecter directement d'une armoire. En effet, comme pour les SATA, ils sont hot-plug (déconnectables à chaud).

La vitesse de transfert est de 300 MB/s actuellement (comme le SATA) mais pourrait sembler inférieure à celle des Ultra SCSI (320 MB/s), pourtant, dans cette technologie, la bande passante est réservée à un seul périphérique et non plus à un groupe (15 maximum pour les anciens standards). Elles devraient suivre les évolutions du SATA pour passer à 600 MB/s (même si les disques durs ne suivent pas ces vitesses de transfert. De nouveau, les vitesses de rotations sont équivalentes à celles des équipements professionnels puisqu'elles varient de 10.000 à 15.000 tours par minutes (contre

5400 pour les PC portables de bas de gamme en 2,5" et 7200 en standards pour les disques durs utilisés dans les tours standards). En externe, la longueur du câble est de 5 mètres, 2 mètres en interne. La dernière norme en cours de finalisation permet des transferts à 600 Mb/s mais augmente aussi la distance (jusqu'à 20 mètres avec des fils de ciuvre mais aussi 100 mètres en fibre optique).

D'autres équipements acceptent également cette interface comme les sauvegardes sur bande, remplaçant les anciennes interfaces. 

8.5. RAID (Redundant Array of Independant Disk).

Le RAID permet de regrouper plusieurs de disques durs de même type ensemble. En cas de panne d'un disque, Le RAID (sauf le 0) permet de reconstruire les données en utilisant les informations des autres disques. La solution peut être hardware ou software, éventuellement un mélange des deux.

Le RAID utilise un contrôleur de disque dur particulier et un système d'exploitation compatible (ce qui en pratique est le cas via un pilote pour tous les systèmes d'exploitation actuels). Cette technique est majoritairement implantée en SATA sur les cartes mères actuelles mais avec des contrôleurs spécifiques pour le SCSI et SAS. Les systèmes d'exploitation réseau gèrent également un RAID logiciel qui utilise le processeur pour simuler le Raid, donc plus lent.

Avant de débuter, le RAID n'est pas une sauvegarde de données, c'est (à part le 1) une sécurité si un disque dur tombe subitement en panne.

8.5.1. RAID 0 (striping) 

Le RAID 0 couple deux disques durs (ou plus) en ligne le schéma ci-dessous e reprend 4, mais ce n'est pas la solution la plus courante. Les données sont découpées à la suite les unes des autres pour être inscrite sur les disques à la suite des autres sont écrites. L'avantage est le taux de transfert amélioré. Par contre, la panne d'un seul disque dur entraîne la pertes de toutes les données

Le transfert est réparti sur tous les disques, ce qui permet d'additionner les débits de chacun. Chaque accès en lecture ou en écriture s'effectue en parallèle. Cette solution est aussi utilisée pour les mémoires Ram en Dual Chanel

La capacité globale est égale à la somme de celles de tous les disques durs (la capacité de chacun doit être égale).

8.5.2. RAID 1 (Mirroring)

En écriture, les données sont copiées intégralement sur deux disques durs. Les données sont donc parfaitement identiques. En lecture, seul un disque est utilisé. C'est la méthode la plus sécurisée amis au prix d'une perte de capacité de stockage. Il correspond au Mode logiciel "Miroir" de Windows 2000/2003/2008 Server.  

Ecriture Lecture

8.5.3. RAID 2

RAID 2 repose sur une grappe avec plusieurs disques de parité et une synchronisation des accès. Cette technologie complexe est peu utilisée. C'est finalement un RAID 0 avec un contrôle des données intégré (technique ECC ) sur des disques durs supplémentaires (généralement trois disques de contrôle pour quatre disques de données). Cette technologie n'as pas été réellement commercialisée.

8.5.4. RAID 3

Le RAID 3 est identique à un RAID 0 mais avec un disque qui sauve la parité. En cas de panne du disque de parité, l'ensemble est strictement un mode 0. Par contre, en cas de panne d'un autre disque, les données sont reconstruites, le disque parité reprenant la place du défectueux. Désavantage, le disque de parité est deux fois plus sollicité que les autres.

8.5.5. Le RAID 4

RAID 4 est similaire au RAID 3 mais gère la parité différemment, par blocs de données. De nouveau, c'est le disque de partité qui travaille le plus.

En écriture, les données sont découpées en petits blocs et répartis sur les différents disques de données. Simultanément, le contrôle de parité est inscrit sur le disque spécifiques

Ecriture Lecture :

Avantages : Inconvénients :

Bonne tolérance de panne. Rapport capacité/ performance/ prix intéressant. En lecture, les performances sont similaires au RAID 0

Dégradation des performances lors de la mise à jour des données de parité, qui est moindre en Raid 5

8.5.6. Le RAID 5

RAID 5 est similaire au RAID 4, sauf que la parité est distribué sur l'ensemble des disques, supprimant ainsi la perte de performante liée à l'écriture continuelle sur un même disque dur. Ce mode est équivalent à l'agrégat par bandes avec parité sous Windows 2000 ou 2003 Server. Lors d'un échange à chaud (hot plug) ou d'une panne d'un disque dur, les données sont recréées à partir des autres disques durs.

Avantages: Inconvénients:

o Bonne tolérance aux erreurso Enormément d'implantations commerciales

o 3 disques au minimumo En cas de problème, remise en ordre assez lente

o Hot-spareo Hot-plug

o En cas de panne d'un disque dur, on revient en mode 0.

Applications:

Les applications qui utilisent des données aléatoirement sur de petits disques, les bases de données par exemple

Le RAID 5, la solution idéale? Oui et non. D'abord, si un disque dur tombe en panne, le système va reconstruire les données mais ce n'est pas immédiat. Il va commencer par les parties demandées via le réseau ou l'ordinateur. Ceci va fortement réduire les performances du serveur pour les utilisateurs puis le serveur va durant son "temps libre" reconstruire le reste des données. Ca peut prendre suivant les capacités de disques durs et les performances du processeur des heures.  De toute façon, la perte d'un disque dur entraîne automatiquement le système en MODE 0. Pensez à changer le disque défectueux le plus tôt possible.

8.5.7. Orthogonal RAID 5

L'Orthogonal RAID 5, développé par IBM, est similaire au précédant mais utilise un contrôleur par disque. Il est généralement assimilé au RAID 5.

8.5.8. Les autres RAID

Les autres système RAID ne sont que des évolutions du RAID 5 et sont peu utilisés: coûts élevés et difficile à implanter:

RAID 6 utilise une double parité. Ce système accepte deux disques durs en panne, mais avec des performances moindres. RAID 7 (déposé par Storage Computer Corporation) utilise plusieurs disques durs pour les données couplés avec 1 ou plusieurs disques de parité. Dans ce mode, c'est un

microcontrôleur qui effectue les calculs de parité et la répartition des données. L'évolution des performances est de 50 % par rapport au 5. RAID 10 intègre le striping (RAID 0) avec le Mirroring (RAID 1), en gros la vitesse du Raid 0 avec la sécurité du Raid 1.

8.6. RAID hardware et software.

Les systèmes d'exploitation "professionnels" de Microsoft gèrent le RAID logiciel: Windows NT, 2000, 2003 et 2008 en version serveur gèrent le RAID 0, 1, 5

Netware gère en mode natif le RAID 1 Linux gère les RAID 0, 1, 4 et 5 Les séries "amateurs" (DOS, WIN95/98/Me et XP Home) ne gèrent pas le RAID.

Cette méthode permet au système d'exploitation de gérer le RAID sans contrôleur dédié, mais la partition d'installation de OS est d'office seule (pas couplée), ce qui fait perdre de l'espace mais oblige en plus à travailler avec des partitions.

8.7. Solutions RAID hardware.

Diverses cartes sont proposées sur le marché de solutions RAID pour disques durs SCSI et SAS (notamment ADAPTEC). Actuellement les cartes mères standards incluent directement des solutions RAID en IDE ou S-ATA. Cette dernière possibilité permet d'installer les RAID 0 et RAID 1, éventuellement du 5.

9. Sauvegarde sur bande et stockage réseau

9.1. Types de lecteurs de bande magnétique - 9.2. Sauvegarde DAT - 9.3.  AIT et SAIT - 9.4. Cartouches 8 mm - 9.5. DLT - 9.6. S-DLT - 9.7. LTO et Ultrinium - 9.8. Librairies de bandes - 9.9. REV Iomega - 9.10. Sauvegarde sur disque dur (NAS - SAN et iSCSI) - 9.11. Stratégie de backup

Ce chapitre reprend les méthodes de sauvegarde des données (backup) des serveurs informatiques. Obsolètes pour les ordinateurs bureautiques, les lecteurs de bande sont la principale méthode en serveurs réseaux. La technologie passe par des vitesses de transfert pour le LTO jusqu'à 540 MB/s avec des capacités dépassant plusieurs Tetra (1000 GB).

Les disques durs serveurs en RAID donnent un semblant de sauvegarde, ou plutôt un faux sentiment de sécurité: les données en cas d'un crash de disque disque peuvent être récupérés sous certaines conditions (RAID 1, RAID 5) mais pas en cas de corruptions de données, effacement de fichiers accidentel (ou non), .... Si la sécurité des donnée est importante sur une station professionnelle, le problème est nettement plus important dans le cas de serveurs réseaux. Premièrement, les utilisateurs font entière confiance au réseau (et surtout à son administrateur) pour les données: les sauvegardes sont normalement quotidiennes sur les serveurs. Deuxièmement, les applications réseaux sont souvent trop grosses pour être sauvegardées individuellement (place, droits d'accès et privilèges, ...)

Les utilisateurs doivent se déconnecter du réseau lorsqu'ils quittent le travail. Si un fichier est utilisé par une application, il ne sera pas enregistré par le backup. Avec le RAID 1, nous pouvons par exemple déconnecter un disques dur des utilisateurs (même si cette possibilité n'est réellement accessible que sur les serveurs réseaux de haut de gamme). Un disque est donc accessible en pour les utilisateurs tandis que le deuxième est réservé au backup. Lorsque la sauvegarde est terminée, les 2 disques Raid sont resynchronisés pour reprendre le fonctionnement normal.

9.1. Type de lecteurs sur bandes magnétiques.

En première année, nous avons déjà vu la sauvegarde sur bande pour les stations de travail. Dans le cas d'une station, les choix sont multiples: disquettes (?), graveurs, DVD-Rom, Zipp, ... et les bandes sont ... peu utilisées. Par contre, les lecteurs de bandes permettent de faire les sauvegardes sans interventions de l'utilisateur à des jours et heures bien précis. Cette possibilité, complétée par le prix de revient d'une bande au MB, la rend pratiquement incontournable comme

solution pour les serveurs. En couplant des bandes dans des "chargeurs" appelés librairies, on augmente encore la capacité. La connexion est systématiquement en SCSI, soit avec des appareils externes, soit internes (les vitesses sont identiques).

9.2. Sauvegarde DAT

Le DAT est départ développé pour remplacer les cassettes audio analogiques par un standard audio digital, avec une qualité audio CD. Avec le standard DDS (Digital Data Storage), Hewlett Packard et Sony le transpose en technologie informatique en 1989. Le DAT utilise des cassettes de 4 mm de large. L'écriture / lecture se fait de manière elliptique (l'écriture n'est pas perpendiculaire à la bande mais décalée comme pour les cassettes vidéo. Cette méthode est plus lente que le modèle linéaire mais permet d'augmenter la capacités de données.

L'écriture se fait par groupes de 128 KB, correction d'erreur comprise. Lors de la lecture, la bande récupère l'entièreté des données groupe (correction comprise) avant de restaurer les données sur le disque dur.

En DAT, deux méthodes d'inscriptions sont utilisées, le DDS (le plus courant) et le DataDAT (obsolète et plutôt réservé au multimédia). Le mécanisme des lecteurs est identiques mais pas l'encodage des données. Les deux sont incompatibles.

Standard Année Capacité Taux de transfert max.

DDS-1 1989 2 / 4 GB 0,55 / 1,1 MB/s

DDS-2 1993 4 / 8 GB 0,55 / 1,1 MB/s

DDS-3 1996 12 / 24 GB 1,1 / 2,2 MB/s

DDS-4 1999 20 / 40 GB 1,1 / 2,2 MB/s

DDS-5 2003 36/72 GB 1,5 / 3 MB/s

DDS-6 2007 80/160 3,5 / 6,9 MB/s

DDS320 Fin 2009 160/320

DDS5 (aussi appelé DAT72) peut utiliser les bandes DdS3 et DDS4. Les dernières technologies sont principalement développées par Hewlett PAckard.

9.3. AIT et SAIT

Développés par Sony depuis 1996, les capacités des lecteurs de bandes AIT varient de 35, 50, 100, 150, 200 GB ou 400 GB en mode non-compressé. Une version 800 GB (non compressé) est en cours de développement (2007). Pour le petit modèle, il est directement en concurrence avec le DAT (plus lents) ou les DLT.

Ces appareils de sauvegarde peuvent être interfacés suivant les versions en USB, Firewire et SCSI pour les modèles externes, Sérial ATA, Parallèle ATA, SCSI pour les modèles internes.

Six modèles sont développés suivant la capacité de sauvegarde et la vitesse de transfert. Chaque modèle peut être fourni en mode standard ou en mode turbo (augmentation de la vitesse de transfert).

Ces lecteurs de bandes sont reconnus par la majorités des logiciels de back-up sur le marché. Les AIT une une compatibilité ascendante. Chacun peut lire utiliser (lecture / écriture) les modèles inférieurs. A partir de la version 4, ils sont compatible avec la méthode WORM (Write Only / read Many) qui permet une seule écriture, utilisée dans la conservation des documents officiels en industrie.

La technologie SAIT découle du AIT avec une plus grande capacité, mais ne permet pas d'utiliser les bandes AIT.

NormeCapacité standard /

compressé (*)Taux transfert normal,

compressé (*)Format type de bandes MTBF

AIT1 35 / 90 GB 4 MB /s (10) 3"5 8 mm AME 300.000

AIT2 50 / 130 GB 6 MB / s (12) 3"5 8 mm AME 300.000

AIT3 100 / 260 GB 12 MB / s (31) 3"5 8 mm AME 400.000

AIT-3Ex 150 / 390 GB 18 Mo/s (46) 3"5 8 mm AME 400.000

AIT4 200 / 520 GB 24 Mo/s (62) 3"5 8 mm AME 400 000

AIT5 400 / 1024 GB 24 Mo/s (62) 3"5 8 mm AME 400 000

SAIT 500 GB / 1,3 TB 30 MB /s (78) 5"25 1/2 AME 500.000

(*) le taux de compression utilisé est 2,6:1, les appareils concurrents annoncent généralement une compression 2:1 plus réaliste.

9.4. Cartouches 8 mm.

Les cartouches 8 mm ont été développées au début pour les vidéos: transfert d'images en haute qualité couleur sur bande pour sauvegarde. Similaire au DAT, mais généralement de plus grosse capacité, les 8mm utilise également la technologie hélicoïdale.

Deux standards sont utilisés suivant le système de compression: Exabyte Corporation et son standard 8 mm et le mammoth développé par Exabyte et Sony. Ces modèles ne sont plus livrés (2007).

Standard Date commercialisation Capacité (non compressé / compressé)

Interface Taux de transfert max.

Standard 8 mm 3,5 / 7 GB SCSI 32 MB /min.

Standard 8 mm 5 / 10 GB SCSI 60 MB /min.

Standard 8 mm 7 / 14 GB SCSI 60 MB /min.

Standard 8 mm 7 / 14 GB SCSI 120 MB /min.

Mammoth 1996 14 / 28 GB SCSI

Mammoth-LT 1999 20 / 40 GB SCSI 360 MB /min.

Mammoth-2 2000 50/100 GB SCSI 1,8 GB/min.

Pour rappel, le MTBF est le Mean Times between Fealures, le temps moyen entre deux pannes.

9.5. Le DLT

Développé dans les années 1980 par DEC (Digital, racheté par Compaq) pour ses micro-ordinateurs VAX, la technologie DLT est réellement apparue en 1989. Cette technologie a été rachetée en 1994 par Quantum. D'autres fabricants utilisent cette technologie en OEM. 

Les lecteurs DLT utilisent une cartouche plus petite que les bandes 8 mm. La bande est découpée en pistes parallèles sur toute la longueur. Chaque écriture utilise deux pistes (données et correction). Lorsque la fin de la piste est rencontrée (fin de la bande), les têtes sont repositionnées sur une nouvelle paire de pistes et la sauvegarde continue en revenant par l'arrière) jusqu'à ce que la bande soit complète (par aller - retour). Les bandes courantes incluent 128 ou 208 pistes.

La technologie DLT est unique dans l'implantation des têtes. L'implantation des 6 guides assure un déroulement de la bande hélicoïdal (au même titre que les technologies ci-dessus), assure un excellent contact bande / tête. Ceci est associé à 2 guides qui ne font que le nettoyage de la bande et ne sont pas motorisés. Ceci assure une durée de vie des têtes de 30.000 heures, pour 2000 dans le cas des DAT

StandardCapacité (n

/compressé)Media Interface

Taux de transfert max. compressé

DLT 2000 15 / 30 GB SCSI 2,5 MB /s

DLT 4000 20 / 40 GB SCSI 3 MB /s

DLT 7000 35 / 70 GB SCSI 20 MB /s

DLT-4 (VS-80) 40/80 GB DLTtape IV Wide Ultra SCSI-2 6 MB/s

DLT-4 (VS-160) 80/160 GB DLTtape VS1 SCSI 16 MB/s

DLT-V4 160/320 GB DLTtape VS1 SCSI 20 MB /s

DLT-S4 800/1600 GB DLT-S4 Ultra-SCSI 320 120 MB/s

Seuls les 4 derniers sont encore commercialisés (2006).

9.6. Super DLT

Les tapes Super DLT sont également fournies par Quantum, d'autres fabricant les fabriquent sous licence. Ces bandes augmentent la capacité des bandes DLT. Dans ce cas, les têtes de lecture /écriture sont contrôlées par faisceau laser (Technologie LGMR - Laser Guided Magnetic Recording). En lecture, ces bandes de sauvegardes acceptent généralement les média inférieurs.

SLDT 220 SLDT 320 SLDT 600

Capacité de base 110 GB 160 GB 300 GB

Capacité compressée(2:1 de compression)

220 GB 320 GB 600 GB

Taux de transfert (DTR) 11 MB /s 16 MB /s 36 MB/s

DTR compressé 22 MB /s 32 MB /s 72 MB /s

MEDIA SDLT I SDLT I SDLT II

INTERFACEUltra2 SCSI LVD

HVDUltra2 SCSI

Ultra 160 SCSIUltra 320 SCSI

DATE 2001 (Plus fabriqué) TR1 2002 TR3 2003

9.7. LTO (Linear Tape Open), Ultrium

La technologie LTO a été développée conjointement par IBM, HP et Quantum. L'implantation de cette norme est appelée Ultrium. Les différentes normes sont gérés par un groupement, le LTO-Technology qui s'occupe de la normalisation et de l'octroie des licences. Six génération sont développées, même si la 5 et la 6 sont plus à l'état de projet qu'en cours de normalisation.

C'est actuellement la technologie de sauvegarde la plus performante, tant en capacité qu'en vitesse de transfert.

La bande est divisée en 4 zone sur l'ensemble de sa longueur, numérotées de 0 à 3. Chaque piste est entourée de deux bandes servozones permettant d'aligner la tête, y compris en cas de légère usure de la bande. L'écriture utilise d'abord la piste 0 sur l'ensemble de la bande. Une fois arrivée à la fin, elle reprend en sens inverse sur la piste 1, et ainsi de suite.

Norme LTO-1 LTO-2 LTO-3 LTO-4 LTO-5 LTO-6

Capacité non compressée 100 GB 200 GB 400 GO 800 GB 1,6 TB 3,2 TB

Capacité compressée 2:1 200 GB 400 GB 800 GO 1,6 TB 3,2 TB 6,4 TB

Vitesse de transfert non compressé 20 MB/s 40 MB/s 80 MB/s 120 MB/s 180 MB/s 270 MB/s

Vitesse en mode compression 40 MB/s 80 MB/s 160 MO/s 240 MB/s 360 MB/s 540 MB/s

Date de sortie 1998 2002 2004 2007 en cours de normalisation

La dernière version LTO-4 peut lire et écrire sur les bandes LTO-3, seulement lire les LTO-2.

9.8. Chargeurs de bandes

Les librairies sont des regroupements de lecteurs qui permettent d'utiliser plusieurs bandes simultanément dans un chargeur externe. 

S'ils peuvent être utilisés comme solution standard, la principale utilisation est de conserver des données qui ne sont pas trop (ou pas souvent) utilisées mais doivent rester accessibles aux utilisateurs. Les fichiers sont reconnu comme sur un disque dur mais sont physiquement enregistrés sur des bandes. A la demande, le fichier est retransféré sur le disque dur. Le programme d'auto archivage transfère périodiquement tous les fichiers qui ne sont plus utilisés depuis un certain (généralement, l'auto archivage se fait tous les jours).

9.9. REV Iomega

Destiné à concurrencer les bandes de sauvegarde DAT et remplaçant les lecteurs Jazz, le REV d'Iomega a de nombreux avantages. Le lecteur REV utilise des cartouches amovibles de 35 GB (90 B en compressé), soit la capacité des plus gros lecteurs DAT. Internes, ils sont interfacés en IDE, SATA, SCSI. Dans tous les cas, la vitesse de transfert est maximum de 25 MB / seconde. Les REV sont également disponibles en version externe (interface SCSI, Firewire (Mac) ou USB). Le logiciel de sauvegarde associé permet une utilisation tout à fait identique aux bandes de backup.

Le gros avantage vient du prix de l'appareil, dans les 400 € pour près du double pour un lecteur DAT, même si interfacés en SCSI 160, ceux-ci sont théoriquement plus rapides. C'est la solution idéale actuelle pour le backup de petits serveurs de fichiers, même si le prix des cartouches (50 € environ) sont plus chères que le prix d'une simple bande DAT. Comme le SATA et l'IDE sont implantés en standard dans les PC courants, cette solution peut également être utilisée dans les stations de travail.

9.10. San, NAS et iSCSI

Le stockage des fichiers sur le disque dur d'un serveur ne fait finalement que de la distribution de fichiers mais implique des licences utilisateurs plutôt chères. Les deux solutions suivantes vont annuler ces licences.

9.10.1. NAS (Network Attached Storage).

Un NAS est constitué d'un ou plusieurs disque(s) dur(s) en Sata, PATA ou plus rarement en SCSI (RAID ou non), d'une connexion Ethernet, d'un microcontrôleur et d'un système d'exploitation Linux (pas de licences utilisateurs). L'administration se fait directement via une interface Web et se réduit aux droits d'accès des utilisateurs, au paramétrage TCP/IP de la carte réseau, éventuellement du serveur DHCP. C'est point fort de ces équipements, la facilité de mise en route le prix (pas de licence Windows).

En option pour les appareils de haut de gamme, disques durs Hot Plug (extractibles à chaud), RAID, synchronisation des droits d'accès avec les privilèges utilisateurs du serveur Windows, ... Un exemple de configuration NAS.

9.10.2. SAN (Storage attached Network).

Si un NAS est directement attaché au réseau, le SAN se positionne comme mémoire de masse supplémentaire pour un ou plusieurs serveurs. Dans cette configuration, disques et bibliothèques de bande sont directement connectés à ces serveurs par une connexion en Fibre optique. Normalement, tous les disques et bibliothèques de bande sont visibles par tous les processeurs. La fonctionnalité de Zoning permet d'isoler des ensembles de disques et bibliothèques des autres ensembles. Les disques sont donc accessibles depuis plusieurs serveurs simultanément.

Le protocole de communication entre les serveurs et le SAN utilise le fibre Channel, c'est un protocole de communication qui permet d'envoyer des commandes à des disques SCSI encapsulées dans un protocole réseau. Cette méthode permet des transferts rapides. Pourtant, la difficulté à mettre en place ce type de stockage le réserve uniquement aux grandes entreprises.

La différence entre un NAS et un SAN est juste au niveau des accès, directement via le réseau pour un N?AS, par l'intermédiaire des serveurs (y compris privilèges utilisateurs pour un SAN.

9.10.3. ISCSI

La mise en place de SAN basés sur le Fibre Channel est complexe et demande des compétences spécifiques. IBM et Cisco ont développé une autre approche du stockage réseau en utilisant le TCP/IP comme protocole réseau et en encapsulant des commandes SCSI dessus. Cette méthode est normalisée depuis 2004. L'avantage est principalement lié aux coûts, déjà l'implantation mais aussi l'utilisation de disques durs SATA moins chères que les SCSI.

Ces baies de stockages se connectent simplement sur le réseau de l'entreprise comme un simple NAS dans les cas les plus simples (mais déconseillé)) ou via un réseau Ethernet séparé. Comme un NAS, l'ISCSI permet de stocker de simples documents mais permet également le partage de bases de données(SQL, Exchange, ...), toujours en permettant le partage entre différents serveurs. C'est donc un mélange de NAS et de SAN.

La majorité des constructeurs utilisent Windows Storage Server de Microsoft, une version particulière de Windows server 2003 comme gestionnaire de NAS. Au niveau des serveurs, Windows 2003 (pas SBS) et 2008 intègrent directement le pilote (iSCSI Software Target), à installer dans les outils d'administration si ce n'est pas fait par défaut, il est également disponible sous Linux.

Si des cartes réseaux spécifiques ISCSI sont développées, les cartes Ethernet Giga actuelles implantées sur les serveurs sont toutes compatibles TOE (TCP/IP Offload Engine). Qu'est que le TOE?

Une carte réseau standard ne fait que de vérifier le checksum et réassembler les données, c'est le processeur qui fait tout le reste du travail. Une carte TOS va également récupérer les informations du protocole réseau TCP et IP (donc jusqu'au niveau 4 du modèle OSI). Ceci réduit nettement la charge du processeur qui ne reçoit plus que les données.

Différents routeurs spécifiques sont également fabriqués.

9.11. Stratégies de backup.

Pourquoi sauvegarder les données, même avec le RAID?

1. virus ou intrusion sur le réseau par Internet (hacker)2. modification de la configuration logicielle directement sur le serveur en production (largement utilisée dans la pratique) pour ajouter des fonctionnalités, modification de

paramètres de logiciels et ... mauvais fonctionnement. En pratique, obligez les programmeurs à faire une copie complète du dossier de l'application et de la base de donnée sur un disque dur. Cette solution est plus rapide pour la récupération.

3. effacement accidentel ou autre de fichiers et dossiers, erreur dans la table des matières du disque dur (FAT), fichier corrompu, ...

9.11.1. En première, nous avions vu les trois types de sauvegarde:

Backup complet : sauve tous les dossiers et fichiers du disque dur. C'est la méthode la plus sûre, mais la longue puisqu'elle permet de reprendre tous le contenu des dossiers en une seule fois. De toute façon, en cas de crash disque complet, vous devrez d'abord réinstaller Windows avant de récupérer les données.

Backup incrémental: uniquement les fichiers modifiés depuis la dernière sauvegarde. Pour une restauration complète d'un dossier, vous devez d'abord utiliser une restauration complète, ensuite reprendre à la suite des autres toutes les sauvegardes incrémentales. C'est la plus rapide en sauvegarde mais aussi la plus longue en récupération.

Backup différentiel: copie tous les fichiers depuis le dernier backup complet ou incrémental mais ne modifie pas le bit d’archive des fichiers comme dans les deux autres techniques. Le défaut est lié aux temps de sauvegarde puisqu'il reprend des fichiers et dossiers déjà sauvés les jours précédents (même non modifiés depuis). Une sauvegarde complète ou incrémentale est nécessaire avant.

Chaque technique a ses qualités et ses défauts. Une bonne stratégie doit tenir compte du temps d'écriture et du temps de récupération en cas de panne.

Complète incrémentale différentielle

SAUVEGARDE

modification du bit de sauvegarde OUI OUI NON

durée Longue courte longue - courte

déconnections des utilisateurs Oui OUI / NON NON/ OUI

Défaut problème sur une bandeproblème sur une bande, changement obligatoire des bandes chaque fois

Changement obligatoire des bandes chaque fois, durée qui augmente

Récupération des données

type Tout d'un coupChaque sauvegarde jusque la dernière complète

Une sauvegarde jusque la dernière complète

Risques fichier manquantUne sauvegarde dans l'ensemble défectueuse

Mélangeons les méthodes de sauvegardes avec l'utilisation des données sur le serveur.

Une stratégie intéressante utilise une sauvegarde complète régulière suivie d'une sauvegarde différentielle journalière. Le problème est la périodicité d'une sauvegarde complète. Plus le délai entre deux est long, plus le différentiel prendra du temps.

Une deuxième méthode consiste à faire un backup complet par mois, suivi d'un backup incrémental par semaine et un différentiel par semaine. Cette stratégie est souple, mais nécessite l'emploi de beaucoup de jeux de bandes différentes.

Une dernière chose concernant l'utilisation des bandes, elles doivent être changées tous les jours et dédoublées en séries paires et impaires: si une bande de lundi est défectueuse, celle du précédant lundi ne le sera pas. Le jeux de bandes ne doit pas se trouver dans la même pièce (et si possible dans un bâtiment différent) que le serveur. Pensez aux risques d'incendie ou de vol.

9.11.2. Exemple de stratégie de sauvegarde bureautique

Voici un exemple de stratégie de backup dans un système bureautique, sans utilisateurs de nuit.

Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi Mercredi Jeudi vendredi samedi dim.

Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff. Compl.

horaires 21h 21h 21h 21h 21h 20h 21h 21h 21h 21h 21h 20h

bande Lu1 Ma1 Me1 Je1 Ve1 Com1 Lu2 Ma2 Me2 Je2 Ve2 Com2

Ici, le backup du vendredi est un différentiel. Il peut remplacer celui du samedi s'il n'y a pas d'activités le samedi. Ceci évite un déplacement du personnel pour ... changer les bandes.

9.11.3. Exemple de stratégie backup industriel

Si l'application ne s'arrête pas, juste un ralentissement dimanche matin par exemple (maintenance des machines). Le problème dans ce cas reste les utilisateurs.

Le deuxième problème dans ce cas est la charge sur le serveur durant le backup. En sauvegardant, vous ralentissez le serveur. L'heure des sauvegardes doit être choisie avec le moins d'utilisateurs possibles, pas à 8 heures du matin quand les bureaux démarrent. La stratégie se fait sur 4 semaines, une sauvegarde complète du système par mois (4 semaines), tous dossiers confondus.

Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi Mercredi Jeudi vendredi samedi dim.

Type Diff. Diff. Diff. Diff. Diff. Diff. Comp Diff. Diff. Diff. Diff. Diff. Diff. Compl/inc

horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h 21h 21h 8h

RAID? O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N Oui

bande Lu1 Ma1 Me1 Je1 Ve1 Sa1Mensuel 1/2

Lu2 Ma2 Me2 Je2 Ve2 Sa2 Inc1

Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi Mercredi Jeudi vendredi samedi dim.

Type Diff. Diff. Diff. Diff. Diff. Diff. Compl/inc Diff. Diff. Diff. Diff. Diff. Diff.Compl/inc

horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h 21h 14h 8h

RAID? O/N O/N O/N O/N O/N O/N Oui O/N O/N O/N O/N O/N O/N Oui

bande Lu3 Ma3 Me3 Je3 Ve3 Sa3 Inc2 Lu4 Ma4 Me4 Je4 Ve4 Sa4 Inc3

La stratégie ressemble à celle bureautique. Le dimanche reprend soit une sauvegarde complète, soit une incrémentale. Ceci dépend également de l'incidence du backup sur le fonctionnement de l'entreprise. Par contre, le premier dimanche du mois est une sauvegarde complète sur 2 jeux de bandes à part.

10. Connexion à distance par INTERNET, sécurité et communications10.1. Risques (virus, intrusion, ...) - 10.2. Connexion INTERNET de base - 10.3. Différents points d'une connexion professionnelle - 10.4. Les firewall - 10.5.

L'accès à distance - 10.6. Sauvegarde via INTERNET

Ce chapitre traite de la communication et sécurité entre les ordinateurs. Le plus courant concerne la connexion vers INTERNET (Firewall, VPN) mais également des prise de contrôle à distance de PC ou de réseau à partir d'un ordinateur connecté à une ligne téléphonique ou via INTERNET (partage de données), travail à distance, ... Toutes ces connexions peuvent être traitées en hardware ou en software, les 2 possibilités existent systématiquement. Nous verrons en détail les possibilités hardware. Ceci nous préparera à la suite du cours: architecture d'un réseau.

10.1. Les risques

Un bref rappel sur les risques de sécurité (virus, hacking, ...). Une explication plus complète sur les virus, adware, spyware, ... est reprise dans le cours Sécurité sur INTERNET

Au niveau anti-virus Hardware, certains routeurs et VPN incluent un anti-virus interne. D'autres appareils sont spécialisés: PANDA fabrique un modèle de ce type. L'avantage vient des mises à jour quotidiennes automatiques sur un seul noeud: le routeur d'entrée / sortie de la connexion Internet vers le réseau interne. Lorsqu'un virus est détecté dans un mail (quelque soit le type), le mail est directement renvoyé à l'expéditeur sans même passer sur le réseau interne ou le PC du destinataire. Le défaut reste les autres points d'entrée: disquettes, CD piratés, connexions à Internet via d'autres points (modem du portable par exemple). Les spyware, adware, dealer, ... utilisant le port 80 (navigation), ils ne sont pas détectés par les firewall hardware, mais bien par les anti-virus hardware.

10.1.1 Les intrusions, sécurité des PC

Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être examinées.

La première méthode consiste à injecter un programme dans votre PC (via un mail par exemple). Ce programme serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé cheval de Troie ou backdoor). Comme ces programmes sont facilement téléchargeables sur Internet, n'importe quel gamin est capable de les utiliser. Par contre, elle nécessite qu'un programme soit implanté dans votre ordinateur ou un PC du réseau: si le logiciel client n'est pas implanté dans le système, pas de risque.

La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer, Outlook ou Office (toutes versions confondues). Cette solution est plus réservée aux professionnels. Ceci a permis à un site de tests de firewall d'ouvrir mon lecteur CD-ROM à distance. Avec un firewall software sur la station et le réseau protégé par un firewall hardware, je me sentait pourtant plutôt en sécurité. La solution consiste à suivre les SERVICE PACK de sécurité de Microsoft.

En troisième, de loin la plus sournoise, la méthode consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Cette technique est appelée le spoofing. Pour parer à ces attaques, il faut impérativement que les trames soit toutes analysées avant la lecture par le navigateur.

Les buts sont multiples: vols d'informations et dans de nombreux cas, utilisé cet ordinateur comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké".

10.1.2. Les attaques par Déni de service distribué (Denial of Service -dDOS)

Encore un problème relevant de la sécurité sur INTERNET. Ce type d'attaque consiste à envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps. L'appareil ne sachant plus suivre craque littéralement.

La méthode consiste à envoyer des multitudes de paquets ICMP echo-requets en modifiant l'adresse source de chaque paquet. Les commandes envoyées sont des multiples petits paquets de 64 Kb ou inférieur. La cible ne peut plus répondre aux demandes de connexions car l'ensemble de la bande passante est limitée.

Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire dans un serveur, alors, il le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle pour stopper des serveurs Internet avec un maximum de commandes en même temps, le mieux reste d'utiliser un maximum d'ordinateurs pour l'attaque en utilisant ceux infectés par un trojan.

10.1.3 Déni de service station (tear drop, new tear, boink, ...)

Les attaques de type Teardrop, Newtear, Boink, ... sont quasiment identiques au déni de service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95, 98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à 2.0.32. Apparemment, les Mac et systèmes Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS (mais comment aller sur INTERNET en DOS?), tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine.

10.1.4. Quelques précisions.

Anonyme sur Internet, pas si sûr. Déterminer votre adresse IP fournie par le fournisseur d'accès reste un jeu d'enfant. Un routeur protège votre adresse TCP/IP locale sur le réseau en n'indiquant que l'adresse extérieure. Dans le cas d'un partage de connexion via les programmes fourni avec les systèmes d'exploitation Microsoft, ce sont les adresses internes du réseau qui sont directement détectées. Pour le paramétrage des partages INTERNET. Toute intrusion, attaques de tout type demande d'abord au "hacker" de connaître l'adresse TCP/IP de la cible vis à vis d'INTERNET. Le sport pour lui est ensuite de connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan (Internet) est invisible, il ne peut rien. Forcément, elle est plus facile a détecter lorsque le réseau local est raccordé par adresse TCP/IP fixe sur INTERNET.

Dans le même ordre d'idées, votre système d'exploitation et votre navigateur Internet sont automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran (dimension et nombre de couleurs)

Les serveurs proxy sont des mémoires cache qui permettent d'accélérer les connexions. Le mécanisme est simple, lorsqu'une page vient d'être lue, le proxy la garde en mémoire. Si une demande sur cette page intervient rapidement, le proxy ne la télécharge pas d'INTERNET mais directement de sa mémoire. En plus, il est plus difficile de vous suivre à la trace puisque vous n'êtes pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes, inclus dans un PC dédié du réseau local (sous Linux par exemple) ou directement chez le fournisseur d'accès (à condition d'être configuré spécifiquement suivant les adresses fournies par votre provider).

Les coockies sont de petits fichiers textes chargés sur votre PC. Ces cookies enregistrent vos préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.be. Pas bien dangereux, mais ces cookies incluent souvent des informations tels que mots de passe (même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Quelques cookies permettent de vous suivre à la trace sur divers sites.

Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local (Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table.

10.2. Connexions INTERNET de base.

Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur, mais des partages plus simples utilisent directement un modem relié sur un PC. Le modem peut être normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB ou même dans certains modem ADSL, relié via à une carte réseau. Dans les trois premiers cas, le partage peut se faire directement par le système d'exploitation (à partir de Windows 98 seconde édition). Dans le cas d'une liaison via carte réseau, le partage peut se faire via un routeur, via un logiciel de type WinGates. Cette solution est directement implantée dans les serveurs 2003 et 2008. Ces logiciels assurent également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes réseau. 

Dans le cas d'un partage simple via Windows, chaque ordinateur peut demander la connexion Internet, mais elle ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN (RNIS). Vous pouvez demander de couper la connexion INTERNET après un certain laps de temps d'inactivité par la commande option Internet dans. Sélectionnez la connexion (Ma connexion ci-dessous) et cliquez sur le bouton paramètres. Dans la fenêtre suivante, sélectionnez le bouton "avancé". Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitée.

Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET, soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent différentes fonctions de connexion.

10.3. Les différents points d'une connexion / partage INTERNET professionnel.

10.3.1. Partage de base

Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de dessiner notre connexion plus facilement.

Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va permettre à plusieurs utilisateurs de se connecter sur Internet en même temps (navigation, mail, news, ...). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un appareil (généralement un simple PC sur lequel est connecté le modem doivent servir de liaison.

Selon le schémas ci-dessus, chaque station possède sa propre adresse TCP/IP (X.X.X.X.@station1 et X.X.X.X@station2). De même, le fournisseur d'accès fournit automatiquement une adresse TCP/IP à la connexion. Lors d'une demande d'affichage d'un site, référencé par une adresse TCP/IP propre, par exemple 238.128.128.128 que nous dénommerons par X.X.X.X@site. Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre (pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et tous les composants du réseau Internet vont se débrouiller pour que les informations du site soit renvoyés à l'adresse TCP/IP Internet fournis par le fournisseur d'accès (X.X.X.X.@ISP) qui les renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse privée de la station 1. 

Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet implantée dans Windows 98 SE, Millenium, 2000 ou XP. Cette solution n'est pas très sécurisée. Chaque adresse des PC connectés est visible d'INTERNET. Cette pratique est utilisée pour de petits partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB.

Cette solution est analysée en pratique dans la formation INTERNET

10.3.2. Partage via un logiciel spécialisé.

Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. Le PC utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions professionnelles (Symantec par exemple) ou une solution à base de Linux. Le PC relais doit rester connecté pour que la connexion INTERNET fonctionne.

Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et même firewall. Le firewall s'il est directement implanté (Linux) est de fonctionnalité identique à un firewall hardware. Vous pouvez également installer sur ce PC relais un firewall software de type Zonealame Pro (la version gratuite ne fonctionne pas en réseau).

Cette solution de partage logicielle fait partie des autres cours de deuxième année, notamment Linux. Je ne rentre donc pas dans les détails.

10.3.3. Partage via un routeur simple.

L'utilisation d'Internet est tout à fait transparente pour le réseau. Le routeur reste connecté en permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont directement connectées sur

INTERNET. Un trojan sur une station communiquera à travers le réseau de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages de dossiers et périphériques.

Ceci donne un semblant de sécurité, guère plus. Cette solution est vue en pratique dans le cours partage Internet par routeur

10.3.4. Partage via routeur et firewall hardware.

Ce schéma représente presque la solution de sécurité idéale (le presque m'inquiète). Le routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le routeur ou connecté entre celui-ci et INTERNET. Cette solution sera examinée dans un exercice du chapitre 17. Partage et connexion Internet via un routeur - firewall mode ADSL RJ45 Ethernet. 

La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci est valable pour toutes les solutions de sécurité firewall.

10.3.5. Le DMZ (DeMilitarized Zone).

Ceci est une utilisation particulière des firewall. Elle est utilisée avec un hébergement sur un serveur propre à l'entreprise ou en cas de leurre pour différentes attaques. Dans ce dernier cas on par le PC bastion. Son utilisation comme serveur proxy ou serveur de messagerie est également utilisée.

Le firewall en contact avec Internet va laisser passer les informations sur le port TCP 80 (éventuellement 443) provenant de l'extérieur du site, ainsi que les informations provenant du site interne vers Internet. Dans le cas d'un serveur Web, le premier firewall évite les attaques extérieur. Les ports 20 et 21 par exemple pourront être fermés. Par contre, les informations provenant de l'extérieur passerons soit par le firewall extérieur, puis par le server DMZ (cas d'un PC bastion) puis par le deuxième firewall.

Ce n'est pas le niveau maximal de sécurité, mais le hacker se retrouve avec 2 voir 3 barrières à ouvrir.

10.4. Les Firewall

Les firewall protègent les installations informatiques des intrusions. Un firewall surveille les communications d'un PC vers Internet et vis versa. Pour cela, il analyse, bloque ou autorise les communications via les ports UDP et TCP.  Ceci est valable pour les connexions Internet, mais également entre différentes parties d'un réseau interne. Une large partie des "intrusions" sont orchestrées de l'intérieur de l'entreprise. Pensez par exemple à l'employé qui vient de recevoir son préavis, ...On retrouve 2 types de firewall: les firewall logiciels et les firewall hardware.

Le paramétrage des firewall logiciels ne fait pas partie de ce cours hardware, je ne m'y attarderai pas. 

Dans les applications INTERNET, pour faciliter les communications entre applications identiques, on utilise des ports tant en TCP qu'en UDP. Chaque port est spécifique à un type d'application. La navigation se fait par le port 80 et les news par le port 119 par exemple. Le paramétrage consiste à ouvrir des portes (ports) nécessaires aux applications normales en fonction des adresses de destination IP (en sortie) ou d'émission (adresses des sites). Dès ce moment, il me semble clair que toutes les autres doivent être fermées. Par définition, l'intrusion se fait toujours par l'entrée la plus faible de la protection du réseau. Ceci est similaire à la sécurité d'un bâtiment. Cela ne sert à rien de mettre des portes blindées partout, si la fenêtre de derrière reste ouverte en permanence. Pour la liste des ports à ouvrir, référez-vous au cours INTERNET: Classes d'adresse, ports TCP et UDP

10.4.1. Différence entre un firewall logiciel et hardware

Et non, les deux ne font pas exactement le même boulot. Dans un sens, ils sont complémentaires. Pour rappel, installer 2 firewall logiciels est dangereux et peut rendre chaque logiciel inefficace.

Un firewall logiciel vérifie et indique sur quels ports les programmes qui accèdent à INTERNET depuis votre PC (en TCP/IP et en UDP). De même, ils annoncent les ports sur lesquels rentrent (ou tentent de rentrer) des applications sur votre PC. Dans ce sens, sauf mauvaise configuration, ils sont efficaces. Par contre, ils n'analysent pas du tout les programmes courants (modifications des trames, ...), ni n'analysent encore moins les défaut de sécurité du système d'exploitation (différentes failles de sécurité Microsoft sur les systèmes d'exploitation, Internet Explorer, Outlook et même office). En vérifiant les programmes qui tentent des connexions Internet, ces programmes bloquent les spyware et les adware. Malheureusement, cette solution bloque généralement également la connexion INTERNET. La solution logicielle pour les enlever reste lavasoft par exemple. Un firewall software s'installe sur chaque PC (d'où un lourd travail d'administration), sur le serveur ou sur des PC dédiés. En plus, ces logiciels reconnaissent rarement les adresses extérieures (Internet) des adresses internes. Ces logiciels sont parfait pour la détection des trojans. S'ils les détectent, ils ne les suppriment pas. Ce rôle est dévolu aux anti-virus, même si les anti-virus ne considèrent pas les adware et spyware comme nuisible (ce sont des programmes commerciaux).

Un firewall hardware est placé entre INTERNET et le réseau. Dans ce sens, les intrusions (ou tentatives) à l'intérieur du réseau ne sont jamais analysées. Même si un firewall hardware n'est pas lié à Microsoft, ils ne protègent pas non plus des failles de sécurité des programmes et système d'exploitation. En analysant les trames de données, ils rejètent également les intrusions par bricolage des adresses. Par contre, même si tous les ports non utilisés sont fermés, les programmes qui utilisent les ports standards peuvent travailler sans problèmes. Un vers (trojan) qui utiliserait le port 80 ne sera en aucun cas bloqué, il est considéré comme une application tout à fait standard. Les spyware et adware utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware.

Les 2 protections ci-dessous sont généralement intégrées dans les firewall matériel:

Statefull Packet Inspection:Permet au firewall de comparer un paquet de données entrant avec les paquets ayant précédemment été considérés comme "sains".

Content Filtering :Permet notamment de contrôler les accès au Web par des filtres (basés sur des listes d'adresses Internet, des mots clés ou des plages horaires de connexion).

Une sécurité optimale serait donc un firewall hardware entre le réseau et Internet et un firewall logiciel sur chaque station. Néanmoins, les firewall interne dans le cas de réseaux lourds pose des problèmes au niveau utilisateur. A la moindre alerte (même inutile de type DHCP sur le port UDP 68), l'administrateur sera appelé (ou non ...) par l'utilisateur.

Actuellement différentes firmes fabriquent des cartes réseaux qui incluent un firewall hardware.

10.4.2. Les ports à ouvrir en TCP et en UDP, les plages d'adresses.

Chaque application est caractérisée par un port TCP et / ou UDP utilisé. Il est spécifique au type d'application Ceci facilite les communications puisqu'une application de type navigation utilisera d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numéros de ports (tant en TCP qu'en UDP) varient de 0 à 65535 (216 ). IP détermine l'adresse du site ou du PC en communication. La combinaison port TCP/IP détermine donc le site et l'application.

Les principaux ports et services TCP à ouvrir sont repris dans les annexes de la formation INTERNET: Classes d'adresses, ports TCP et UDP

10.4.3. Méthode de détection d'un firewall hardware et fonctionnalités

Les firewall analysent les trames, tandis que les firewall software analysent les applications. Cette analyse hardware est effectuée par un logiciel interne. La première partie filtre les combinaisons TCP IP pour envoyer ou non les informations vers le PC client du réseau. La deuxième partie va vérifier si l'information est effectivement  demandée par une station cliente en analysant les connexions PC - site Internet. 

La troisième application est appelée Statefull inspection. Ce terme est breveté par Checkpoint (un des leaders de la sécurité Internet) qui fabrique des firewall software mais dont la technologie est implantée dans divers firewall hardware. Le "State Full Inspection" est aussi appelé Firewall-1 ou à technologie de filtrage dynamique. Le firewall détermine si le client est bien connecté (active) sur INTERNET au moment de la réception du message. Pour cela, le firewall garde dans des tables de connexion les sessions actives. Dans le cas contraire, le message est purement bloqué.

Les firewall peuvent inclure également différentes options tel que le proxy. Un proxy est un espace disque dur sur lequel les pages couramment demandées sont stockées. Chaque fournisseur d'accès (FAI) utilise un proxy pour les connexions. Lors d'une demande, le proxy vérifie si la page n'est pas en mémoire. Dans le cas positif, la page est renvoyée à la demande sans téléchargement à partir du site. Ceci permet de gagner du temps lors des téléchargements. Cette solution est également utilisée dans quelques firewall ou routeur. Si l'utilisateur n'est pas en contact direct avec le site, son adresse IP ne pourra pas être analysée. Quoiqu'en disent certains sites, ce n'est pas vraiment une sécurité puisque les adresses à hacker sont souvent déterminées par un scannage des adresses sur INTERNET. Par contre, dans le cas des firewall qui ne renvoient pas les commandes PING, ceci permet à l'attaquant de déterminer que l'adresse est effectivement utilisée si le proxy n'est pas en fonction. Remarquez que l'utilisation ICQ ou MSN Messenger permet également de déterminer votre adresse TCP/IP encore plus facilement, la liste apparaît sur le site.

Le filtrage de sites est implanté dans la majorité des firewall hardware. Ceci permet de bloquer les accès sortant des adresses de sites ou même des adresses contenant un mot. Vous pouvez par exemple bloquer les sites dont le nom inclus sex, rencontre ou KAZAA.

10.5. L'accès à distance à un réseau

Cette application permet de se connecter à un réseau interne via une liaison téléphonique ou par INTERNET.

10.5.1. Prise de contrôle à distance et transferts de fichiers.

Dans le chapitre précédant, nous avons vu que les trojans de type Netburst permettent de prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire.

La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'ADSL (Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendants, ou pour le dépannage des utilisateurs à distance dans le réseaux internes. De nombreuses tentatives d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le numéro de port, l'administrateur suppose que le pirateur ne pourra prendre le contrôle. De l'autre côté, le pirateur par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se fait également par mot de passe (nettement conseillé).

Une autre solutions qui n'est utilisée que par certains programmes permettent de mettre en commun des ressources via l'accès réseau à distance.

Cette fonction nécessite l'installation d'un composant additionnel de Windows serveur: serveur d'accès réseau à distance et permet l'utilisation de fichiers sur des disques partagés. La connexion pour permettre l'entrée se fait également via un mot de passe et le démarrage de ce serveur d'accès à distance via la partie accès réseau à distance.

Certains programmes bureautiques (notamment Works de Microsoft) incluent également des fonctions de transferts de fichiers. Windows XP a également implanté une fonction de prise de commande à distance, en espérant qu'ici aussi il n'y ait pas de failles de sécurité.

10.5.2. Virtual Private Networks (VPN)

Les solutions ci-dessus ne permettent pas directement de se "connecter à un serveur réseau", mais de prendre le contrôle d'un PC qui lui se connecte au réseau. Ce sont des solutions logicielles. 

Les VPN (pour Virtual Private Networks) sont des appareils qui se connectent physiquement sur INTERNET ou entre le réseau et le routeur suivant les modèles. Les dernières versions des systèmes d'exploitation serveurs de Microsoft implantent des fonctionnalités équivalentes.

Les VPN créent entre un ordinateur et le réseau interne une liaison sécurisée et cryptée pour assurer le transfert des informations: appelé communément un tunnel. Lorsque la station demande via Internet une connexion sur le réseau interne, les 2 appareils se communiquent une clé logicielle qui servira au cryptage des

informations. Le VPN crée alors une sorte de tunnel sécurisé sur Internet qui empêche toute forme de piratage. Cette solution est la seule utilisable pour une connexion via ADSL La connexion nécessite 3 choses:

1. Un logiciel particulier sur le client (Réseau privé virtuel installé comme composant de Windows ou programme spécifique)2. Un matériel hardware de type VPN relié entre Internet et le réseau d'entreprise (éventuellement Windows 2000 ou XP)3. Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion.

Les deux premières contraintes semblent faciles. Nous reparlerons de l'appareil. La troisième nécessite, soit un site INTERNET et donc un serveur propre relié sur INTERNET, même si la connexion doit se faire sur un autre serveur ou un abonnement spécifique permettant d'avoir une adresse INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change à chaque connexion et au maximum après quelques dizaines d'heures suivant le fournisseur d'accès. Les amateurs pourront néanmoins utiliser quelques solutions pour connaître l'adresse TCP/IP de la connexion à un moment donné sur des sites spécifiques par exemple et la communiquer via téléphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h. 

On distingue plusieurs modèles de VPN. La majorité des modèles hardware permettent uniquement un tunnel entre 2 installation réseau fixes. Ils ne permettent donc pas le travail à domicile (quoique sous-entendent les publicités). Les modèles plus chères permettent également le travail à distance. Le mode de cryptage peut être MPLS ou IP-Sec (IP Security). Le cryptage se fait uniquement entre les deux VPN. Certaines méthodes de tunnel, notamment Over Ip (à la différence de tunnel IP) permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel.

Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas sécuriser votre réseau en empêchant le partage des ressources via TCP/IP. En effet, pour de petits réseaux, vous pouvez implanter en parallèle avec TCP/IP les protocoles IPX ou Netbui et configurer le protocole TCP/IP réseau sur la carte réseau pour qu'il ne permette pas le partage des ressources. Le VPN permet d'utiliser à distances toutes les ressources du réseau (fichiers, applications et périphériques de type imprimante) comme si vous étiez directement connectés sur le réseau.

Selon l'appareil (des solutions logicielles existent, notamment dans Win2003 serveur), le VPN va effectuer plusieurs tâches comme la détection d'intrusions, la fonction firewall ou le scan de virus.

Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction de firewall pour bloquer les intrusions, un anti-virus intégré et la fonction VPN pour créer le tunnel Internet via, généralement le fonctionnement  est conforme aux spécifications de cryptage IPsec des stations clientes.

Le VPN va fournir une adresse locale à un PC connecté sur INTERNET. celui-ci va alors automatiquement s'intégrer dans le réseau. Attention, le paramétrage de ce type d'appareil au niveau VPN est généralement plus pointu puisqu'il permet par exemple d'accepter les données rentrantes sur une adresse mais de refuser les entrées sortantes.

Lorsque tous les niveaux sont résolus, vous pouvez directement relier deux réseaux internes via Internet. C'est actuellement la seule solution viable (sans lignes totalement dédiées et louées) pour ce genre d'applications. C'est également, du moins en Belgique dans les zones connectées à l'ADSL, la meilleure solution pour le télé-travail (le travail à partir de son domicile).

10.6. Sauvegarde sécurisée via Internet.

Cette méthode de backup pourrait être insérée dans la partie stockage et sauvegarde réseau, mais utilise les techniques de connexions à distance. Le principe est de créer un tunnel Internet entre votre serveur interne et un réseau distant constitué de serveurs, NAS ou de sauvegardes sur bandes pour sauver vos données. Le principal avantage: vous ne vous préoccupez plus de vos bandes, elles sont en principe en sécurité à l'extérieur de votre entreprise (un autre avantage). Le programme de gestion sauve automatiquement les données importantes en les compressant et les cryptant au préalable.

Différentes variantes de cette technique sont proposées. La première consiste à transférer systématiquement le contenu du disque dur sur la sauvegarde Internet. Malheureusement, les liaisons ADSL les plus rapides tournent à 12 Mb/s (divisez par 10 pour retrouvez une notation en byte ou octet). Pour sauver un disque dur de 20 GB de données, il faut donc 20.000.000 / 800 = 25.000 secondes, soit près de 7 heures. Le retour se fait encore plus lentement, à 512 kb/s maximum pour l'ADSL, soit 16 X plus lent. Pas très efficace.

La deuxième solution consiste à sauver sur différents supports les données de départ (CD, DVD, bandes) et à ne sauvegarder que les dossiers importants ou que les fichiers modifiés via le tunneling Internet. Cette méthode revient à une sauvegarde incrémentale ou différentielle avec leurs défauts respectifs. En cas de problème, on rapatrie par véhicule la sauvegarde de base et on récupère les fichiers sauvegardés plus tard. Ces systèmes peuvent sauver les données chaque jour dans des dossiers différents ou dans le même dossier (en écrasant les dossiers les plus anciens. La sauvegarde des données est compressée et cryptée au minimum à 128 bits, donc sécurisée et pratiquement impossible à récupérer sans les différentes clefs. Au niveau SECURITE, cette solution semble donc bonne.

Les défauts font néanmoins importants. La première vient de la sécurité des données (même si elles sont cryptées) puisque les données sont sur un site Internet qui ne vous appartient pas. Le deuxième problème vient du débit de transfert des données en émission (même compressées) et encore plus en réception. Comme le tunnelling nécessite un matériel ou un logiciel spécifique, vérifiez le coût effectif de cette solution de sauvegarde peu orthodoxe. Ce principe ne fonctionne qu'avec des serveurs réseaux travaillant en TCP/IP. Ce n'est pas forcément une solution intelligente pour la sauvegarde d'un serveur complet mais une manière de ne plus s'encombrer de la tâche sauvegarde pour de petites capacités.

Cette solution pourrait être également installée entre deux serveurs réseaux de la même entreprise mais distants en utilisant une liaison VPN. Ceci réduit le coût du prestataire mais demandes des connexions Internet par IP fixes et n'est envisageable que pour les grosses entreprises.

11. Réseau sans fils

11.1. Bluetooth - 11.2. IEEE 802.11 - 11.3. IEEE 802.11 a - 11.4. IEEE 802.11 b - Wifi - 11.5. IEEE 802.11 B+ - 11.6. Réseau sans fils 802.11 G - 11.7. Connexion 802.11G+ - 11.8. 802.11N - 11.9. Wimax - 11.10. Connexion

Infrarouge - 11.11. Sécurité des communications

Cette partie sur le matériel réseau pourrait être repris dans les réseaux Ethernet. Néanmoins, comme la connexion sans fils (Wireless) est spécifique, elles sont rassemblées ici: réseaux sans fils (WIFI), communications infra-rouges, ...

Les connexions sans fils permettent de connecter différents appareils ... sans câble. La liaison peut-être soit de type hertzienne, soit par lumière infra-rouge. Pour les liaisons infra rouge, l'émetteur et le récepteur doivent être face à face. Ces connexions étaient utilisées (sans grand succès) pour le claviers et les souris et dans certaines imprimantes. Les connexion Internet par satellite sont vues dans un autre chapitre.

Les liaisons sans fils ont pris une toute autre direction, la connexion simultanée de plusieurs appareils entre-eux. Il peut s'agir d'imprimantes, GSM et périphériques divers ou même de réseaux (appelés Wlan - Wireless Lan). La difficulté de mise en oeuvre tient de la zone de réception, liée à la puissance de l'émetteur, à la détection du récepteur (d'où un protocole définissant clairement celui-ci) et de la sécurité des données transmises. Cette sécurité doit tenir compte de la vérification des données mais également du cryptage des informations. Rien ne sert de sécuriser un réseau si un simple récepteur hertzien pourraient pomper toutes les données circulant sur le réseau.

Les solutions hertzienne posent des problèmes d'environnement que peu de constructeurs signalent. Il n'y a qu'à se promener dans un bâtiment industriel (en tôle) pour se rendre compte que l'environnement pose quels problèmes de liaisons GSM par exemple. Les distances maximales fournies par les constructeurs parlent de terrains découverts, ce qui est rarement le cas dans les habitations ou entreprises, même s'il est possible d'installer des antennes externes dans de nombreux cas. Les environnements perturbés par des champs électromagnétiques (machines électriques de fortes puissances) posent les mêmes problèmes que dans les câblages réseaux classiques. Souvent, il faudra mélanger des solutions avec câblage réseau et liaison hertzienne.

11.1. Bluetooth

Ce type de liaison sans fils permet de relié deux appareils via une liaison hertzienne. Ces appareils peuvent être des appareils photo numériques, des PDA, imprimantes, .. Bluetooth exploite la gamme de fréquence des 2,45 Ghz ISM (Industrial, Scientific & Medical) qui est normalement libre de droit pour la majorité des pays. Le nombre de fréquences distinctes utilisées est de 79. Vous pourriez donc utiliser 79 réseaux différents dans la même pièce. Le débit de la connexion est de maximum 1 Mb/s pour des périphériques distants de maximum 4 mètres et 75 kb/s pour des distances supérieures. La distance maximum est de 10 mètres, mais peut atteindre dans certains cas 100 mètres. En effet, la technologie Bluetooth définit 2 catégories de puissances radio-fréquence pour les réseaux personnels, la plage courte (0 dBm) qui autorise des distances jusqu'à 10 mètres et la plage moyenne (+ 20 dBm) qui porte jusqu'à 100 mètres. La liaison radio soutient à la fois la transmission de données et vocale avec une vitesse maximum de données de 72 kb/s, ce qui est en pratique le taux maximum.

Sécurisée, cette connexion est transparente uniquement si les deux appareils se connaissent. Chaque périphérique est reçoit un code à la fabrication sur six octets: les trois premiers désignant le constructeur et les trois autres la machine. En effet, chaque appareil bluetooth peut être désactivé pour une connexion automatique ou activé pour seulement certains appareils. Les périphériques utilisent donc des systèmes de protection évitant le transfert de données non autorisées. Néanmoins, la sécurité est souvent désactivée par défaut et le piratage est donc possible pour récupérer par exemple les données du carnet d'adresse d'un GSM ou d'un PDA à partir d'un autre appareil ou utiliser le GSM du voisin pour une connexion INTERNET.

Au sein d'un réseau bluetooth, un appareil sert de maître et jusque 7 périphériques esclaves qui se partagent la bande passante. Il est possible en théorie de faire communiquer jusque 10 groupes d'appareils, soit 80 appareils.

    Au contraire des liaisons IEEE 802.11, ce type de connexion n'est pas dédié pour les liaisons réseaux (même si c'est possible). Il permet par exemple de connecter un PDA ou un GSB directement à un Notebook ou un ordinateur portable.

11.2. IEEE 802.11

Liaison hertzienne utilisant également la bande de fréquence des 2,45 Ghz (ISM). Le débit maximal est de 2 Mb/s sur une distance maximum de 100 mètres. Les spécificités un peu vieillottes de ce standard de réseaux sans fils datent de 1997. Elle n'est plus utilisée actuellement.

11.3. IEEE 802.11a

Cette norme opère dans la bande de fréquence 5-6 Ghz. Le schéma de modulation utilisé est le "orthogonal frequency-division multiplexing" (OFDM). Dans ce type de modulation, le signal est découpé et envoyé sur plusieurs de fréquences différentes. Ceci limite les interférences et rend possible des vitesses de transmission de données allant jusqu'à 54 Mb/s (soit environ 6 MB/s), mais plus généralement les communications se passent à 6 Mb/s, 12 Mb/s ou 24 Mb/s. 

La distance maximale entre le point central (qui fonctionne comme un Hub) et les stations est de 366 m à 6 Mbps en extérieur et de 91 m à 6 Mbps en intérieur. Pour de faibles distances, il est plus rapide que le 802.11B Wifi.

Cette norme est parfois appelée Wifi5. Elle est peu utilisée en Europe mais très implantée aux Etats-Unis.

11.4. IEEE 802.11b - Wifi - IEEE 802.11 HR

Dérivé du IEEE 802.11 (1999), cette liaison hertzienne utilise la bande de fréquence des 2,4 Ghz. Elle est utilisée comme connexion réseau via des cartes réseaux spécifiques et un appareil central  appelé point d'accès (Access Point) fonctionnant comme un hub (la bande passante totale est donc partagée entre les différents PC. Cette connexion permet un débit maximum de 11 Mb/s sur un rayon d'une centaine de mètres mais la portée dépend fortement de l'environnement (murs ou cloisons, ...). Le nombre de périphérique est limité à 10 par stations.

La connexion utilise les 2 couches basses du modèle OSI qui servent au transport. Chaque PC, portable et périphérique inclus une carte réseau de type WIFI avec une antenne. Un concentrateur (HUB, switch ou même routeur) sert de point central pour le partage ou éventuellement pour une connexion vers un concentrateur classique.

La méthode de prise de ligne est de type CSMA/CA, identique aux réseaux Ethernet. Une grosse différence tout de même. Lorsqu'une station émet sur une liaison filaire Ethernet, elle est à l'écoute de toutes les stations sur le câble, ce qui pourrait ne pas être le cas dans une liaison hertzienne. En effet, le fait que 2 stations puissent se raccorder sur le noeud central n'inclut pas que les stations puissent communiquer directement entre elles si la distance est trop importante. Pour cela, on utilise le mécanisme de "Virtual Carrier Sense". Une station voulant émettre transmet un petit paquet appelé RTS (Request To Send), qui indique la source, la destination et la durée de la transmission. La station répond, si elle est libre, par un paquet de contrôle appelé CTS (Clear To Send) qui inclue les mêmes informations de durée. Toute les stations qui reçoivent un RTS ou un CTS déclenchent un indicateur de Virtual Carrier Sense (appelé NAV - Network Allocation Vector) pour une certaine durée.

La distance maximale est de 503 m à 1 Mbps en extérieur et de 152 m en 1 Mbps en intérieur. Malheureusement, cette possibilité est peu implantée dans les équipements ce qui donne une portée de 100 mètres en pratique.

Un routeur WIFI peut servir de routeur ou de pont. Il utilise généralement 2 antennes directionnelles. Les cartes réseaux sont spécifiques, avec une antenne extérieure.

11.5. IEEE 802.11B+

Le 802.11 B+ est dérivé du 802.11 B. Il utilise la même gamme de fréquence mais avec des particularités d'en cryptage spécifiques puisque celui-ci se fait sur 64, 128 ou même 256 bits. Pour rappel, les versions actuelles d'Internet Explorer ne cryptent que sur 128 bits. Ce système permet des débits de 22 Mbps, soit le double de 802.11b.

Il est tout à fait compatible descendant avec le 802.11B standard. Un périphérique 802.11B+ acceptera donc la connexion avec les périphériques 802.11B. Par contre, ce standard n'est pas normalisé. Il est donc possible que des appareils 802.11B+ de fabricants différents ne soient pas compatibles.

11.6. Réseau sans fils 802.11 G

Même si la normalisation date de mai 2003, quelques appareils sont sortis avant. Les premiers appareils réellement à la norme sont sortis début juillet 2003. Cette norme wireless permet des liaisons à 54 Mbps en utilisant la gamme de fréquence des 2,4 Ghz (idem que le 802.11 b). Cette utilisation de la même zone de fréquence devrait permettre de mélanger des points d'accès 802.11 B et 802.11 B+ (dans la même marque). Le point central adapte sa vitesse en fonction du périphérique connecté, permettant à des clients 802.11 B de se connecter.

La série How to reprend la configuration d'un routeur 802.11G DI-624

11.7. Wifi 802.11G+

Cette amélioration du 802.11G est sorti début 2004 et double la vitesse de connexion des 802.11G pour atteindre 108 Mb/s en compressant les données. Cette vitesse est donc plus théorique que pratique. Un exemple de configuration d'un pont D-link DWL-2100AP

11.8. IEEE 802.11N

En cours d'élaboration en 2006 (version draft), ce norme est seulement normalisée depuis 2009. La vitesse maximum théorique est de 150 à 300 Mb/s (pour 54 Mb/s en 802.11G). Cette vitesse est celle de transport et ne tient pas compte des codes de contrôles, cryptage, ... inclus dans le message. En pratique, le débit effectif devrait être comprise entre 100 et 200 Mb/s.

Le 802.11N utilise le MIMO (Multiple Input Multiple Output) qui permet d'envoie et réceptionne en utilisant trois antennes simultanément. En modifiant le positionnement des 3 antennes du point d'accès comme de la carte réseau, on augmente la distance maximum (mais toujours sous les 100 mètres). Cette solution ne permet pas non plus de "passer les murs" mais permet dans certains cas de les contourner. 

Le 802.11N utilise en même temps la bande de fréquences 2,45 Ghz - ISM et la bande des 5 Ghz (utilisée par le 802.11a). 8 canaux peuvent être utilisés (23 ou 3 est le nombre d'antennes) pour un seul dans les autres connexions.

11.9. Wimax

Le Wimax (Worldwide Interoperability for Microwave Access) est une connexion sans fils haut débit et longue distance. Elle autorise un débit de 70 Mb/s sur maximum 50 km. C'est une liaison point à point. Cette solution est en cours d'implantation en Belgique (2008) et en France depuis fin 2006, mais peu suivie car en concurrence avec le réseau 3G basé sur les transmissions GSM.

Ce n'est pas un WIFI, il n'utilise pas la gamme de fréquence ISM (libre d'utilisation) et une autorisation préalable est obligatoire. Différentes versions sont utilisées:

La version 802.16a permet une distance de 20 Km maximum avec un débit maximum de 12 mb/s. La bande de fréquence utilisée se situe entre 2 et 11 Ghz. Elle est obsolète.

Sortie en 2004, la norme 802.16d atteint les distances de 50 km. C'est cette norme qui est actuellement commercialisée pour les connexions Internet. La version 802.16e sortie en 2005 transpose le Wimax pour la téléphonie mobile avec un taux de transfert de 30 Mb/s pour une distance de 3 km maximum. Cette

solution est en concurrence avec les connexions 3G actuelles (débit de 400 à 700 Kb/s). La plage de fréquence se situe entre 2 et 6 Ghz. La future version 802.16f permettra des accès à partir de plusieurs points différents (topologie maillée)

Le Wimax utilise le multiplexage OFDM (Orthogonal Frequency Division Multiplexage) qui utilise plusieurs plages de fréquence différentes en même temps, séparant les applications.

11.10. Connexion infra-rouge.

Ce type de connexion va disparaître et remplacé par des connexions hertzienne vues plus haut. Le premier problème de ce type de connexion vient de son mode de fonctionnement, la lumière. Les appareils connectés doivent être parfaitement en face l'un de l'autre, ce qui n'est pas toujours aisés. De plus, de nombreuses solutions ont été proposées. Même si la liaison IrDA (installé dans les imprimantes HP990CXi par exemple) a pris plus d'ampleur que les autres liaisons, cette multitude de système à fortement réduit le champs d'activité.

La liaison infra-rouge IrDA permet une connexion de 1 mètres pour une vitesse maximum de 16 Mb/s

11.11. Sécurité des réseaux sans fils.

Et oui, si vous pouvez vous connecter sur votre réseau sans connexion physique jusque une certaine distance, d'autres le peuvent aussi. Pour éviter que d'autres ne mettent leur nez dans votre réseau ou utilisent votre bande passante pour télécharger de la musique ou autres exploits de hackers en herbe, votre connexion sans fils doit être sécurisé.

Le premier protocole de sécurisation utilisé est le WEP (Wired Equivalent Privacy). Il date de 1999 et ses caractéristiques sont relativement faibles même si c'est le plus souvent utilisé. Il utilise une clé connue des deux points de connexion sur:

64 bits (WEP64). 24 bits sont utilisés par le cryptage, les 40 bits suivants (10 chiffres en hexadécimal) sont paramétrable par l'utilisateur. Windows Vista et Seven les déchiffrent automatiquement.

128 bits (WEP128). 24 bits sont utilisés directement par le cryptage, les 104 bits suivants (26 chiffres hexadécimaux) sont à rentrer par l'utilisateur 256 bits (WEP256) avec une clé utilisateur de 232 bits (58 en hexadécimal), peu utilisée.

Cette solution est implantée par défaut dans la majorité des routeurs ADSL mais est peu sécurisée. Une petite dizaine de minutes suffisent pour décoder la clé avec des logiciels téléchargeables via Internet.

La solution suivant en 2003 passe par le protocole de sécurité 802.11i. Les retards pris par l'élaboration de la norme ont conduit à l'utilisation du WPA (Wi-Fi Protected Access), une version allégée avec un cryptage de 128 bits. Dans ce cas la clé n'est plus fixe mais peut être directement une phrase.

Deux méthodes sont utilisées:

dans la version standard implantée dans les points d'accès du commerce, une clé est connue de tous les équipements devant rentrer en communication. On parle WPA-PSK (Pre-Shared Key). Plus sécurisée que le WEP, elle est aussi décryptable via des logiciels gratuits.

Le mode TKIP (Tempory Key Integrity Protocol) utilise un protocole supplémentaire associé à un serveur (généralement utilisant Radius), qui utilise une clé aléatoire combinée à une phrase connue des deux équipements. Lors de la première communication (si la clé utilisateur est correcte), la clé aléatoire est envoyée en clair. Dans les communications suivantes, cette deuxième clé sur 48 bits (on parle de vecteur d'initialisation) va être non seulement chiffrée mais également modifiée jusque plusieurs fois par seconde. C'est la version WPA entreprise. 

La norme 802.11i est associée au protocole WPA2 mais est peu installée dans les équipements sans fils standards. Ici aussi, les deux modes existent. Comme différence par rapport à la première version, le cryptage est passé sur 256 bits et la méthode de chiffrement a été complètement modifiée. Cette solution pose encore de nombreux problèmes d'interconnexion entre équipements en absence de normalisation complète du WPA-2.

Deux autres méthodes sont utilisées. La première est de cacher le SSID du réseau. Le point d'accès n'envoit pas le nom du réseau, celui-ci doit donc être connu de l'ordinateur pour pouvoir se connecter. Intéressant puisque les personnes extérieures ne détectent même pas un réseau sans fils, cette solution peut être détectée par différents logiciels. Seven et Vista détecte également c'est réseaux, même s'il ne peut afficher le nom.

La dernière méthode passe par un filtrage par adresse MAC des cartes réseaux. Seules les cartes réseaux (et donc les ordinateurs) dont l'adresse MAC est reprise dans la liste sont autorisés à se connecter. C'est encore la solution de sécurité la plus sûre actuellement, surtout lorsqu'elle est utilisée en même temps que les autres méthodes ci-dessus.

12. Protection électrique, onduleur, ...

12.1. Introduction - 12.2. Fonctionnement d'une alimentation à découpage - 12.3. Perturbations du réseau électrique 12.4. Les disjoncteurs - 12.5. Onduleur - UPS (Uninterruptible Power Supply)

Le réseau électrique européen est alimenté en 230 V alternatif (éventuellement comme nous l'avons vu en première du 230 ou 380 V triphasé). Par contre, les appareils informatiques sont alimentés en basses tensions continues (généralement compris entre + 12 et -12V). Pour transformer la tension d'alimentation du réseau électrique en tension acceptable par les appareils électroniques, on utilise une alimentation.

En première dans le chapitre sur les bases d'électricité et électronique, nous avons vu un montage alimentation par pont redresseur. Les alimentations utilisées en informatique utilisent la technologie "A découpage". Ce principe est non seulement adapté aux alimentations, mais également aux UPS (onduleur en Français). Les alimentations conventionnelles ont généralement un rendement proche de 50 % pour jusque 80 % pour les alimentations à découpage. Le rendement (le rapport entre la puissance consommée et la puissance rendue en continu) de ces alimentations par pont redresseur (4 diodes) après passage par un transformateur est trop faible.

12.2. Fonctionnement d'une alimentation à découpage.

Avant de commencer, deux remarques s'imposent:

1. Au prix d'une alimentation PC, la réparation est peu rentable.2. Les pièces sont difficiles à trouver. La technique de réparation est plus spécifiques aux vrais électroniciens qu'aux techniciens informatiques. De ce fait, les réparations

éventuelles sont difficiles à réaliser (sinon impossibles). En plus, les précautions en ouvrant ces appareils sont de types "si tu met le doigt là, c'est du 230 V alternatif, là c'est du 380 continu, ..." Bref, si vous n'avez pas de connaissances sérieuses en électronique analogique (transistors, haute tension). ATTENTION!

Prenons le schéma suivant.

La tension de départ est alternative en 230 V, elle est redressée directement par un pont de diodes dit de Pont de Graetz sans transformateur intermédiaire, couplé avec un condensateur (230 V en continu, 330 V en pointe sans le condensateur). Le composant suivant est un transformateur: un transformateur parcouru par un courant continu au primaire ne produit aucun signal au secondaire. Par contre, si vous faites passer une tension alternative au primaire d'un transformateur, il en ressort au secondaire une tension de même forme mais de valeur différente (une division suivant le rapport nombre de bobines entrées / sorties). A quoi peut donc bien servir ce transformateur?

En série avec le transformateur, on insère un transistor qui va découper la tension, permettant une tension discontinue au primaire du transformateur. La base du transistor (la gâchette en technologie CMOS) est reliée au secondaire du transformateur via un circuit de commande, pour la majorité des modèles via un autre transformateur (séparation galvanique servant de protection). Ceci évite des problèmes en cas de sur-tensions sur le réseau électrique.

A l'allumage, le réseau électrique n'est pas continue (le temps de charger le condensateur mais aussi les imperfections de l'interrupteur). Cette tension va d'abord alimenter le circuit de commande qui va commencer à faire hacher la tension continue aux bornes du transformateur.

Plus la proportion de hachage va être grande sur la gâchette du transistor (ou base dans le cas d'un transistor bi-polaire), plus la tension en sortie va être grande. Le circuit de commande va faire varier ce découpage en fonction de la tension de sortie de l'alimentation et ainsi réguler cette tension.

Comme le pont est directement sur le 230 V alternatif, considérez que la moitié du montage est sous 230 V. Le signal d'entrée est une tension redressée (continue), ce montage électronique permet également de démarrer directement d'une tension continue (batteries).

12.3. Perturbations du réseau électrique.

Reprenons notre signal alternatif de base.

1. Coupure complète du courant provoquée généralement par un problème de réseau électrique ou d'un disjoncteur.2. Sur-tension, la tension du réseau est supérieure à la tension pour laquelle les alimentations sont conçues (pensez aux diodes d'entrées). Ceci est spécifiques aux

installations proches des cabines électriques "haute tension". Même si une surtension n'est par forcément dangereuse pour les installations informatiques (dans des valeurs raisonnables), cette perturbation provoque des contraintes des composants de l'alimentation qui, à terme, provoquent les pannes.

3. Sous-tension, la tension est inférieure à celle pour laquelle les alimentations sont conçues et l'alimentation ne sait plus fournir une tension suffisante en sortie. Dans le cas des alimentations pour PC, elle descendent au moins jusque 180 V. Une sous-tensions est généralement provoqué par une augmentation soudaine de le consommation électrique sur le réseau par le démarrage de dispositifs électriques lourds: moteurs, compresseurs, ascenseurs, ... mais également par une distance trop importante par rapport à la cabine haute-tension. Ce problème électrique peut provoquer des blocages et crash inattendus. Elles réduisent également la durée de vie de l'ordinateur.

4. Transitoires. Signaux parasites qui se superposent sur le signal électrique standard, elles peuvent aller jusqu'à 4000 Volts, mais plus faibles généralement.5. Micro coupures. De faibles coupures du signal électrique durant quelques milli-secondes.6. Pics de tensions: sur-tensions de durée très faible (inférieure à 1/120 seconde), mais de forte intensité (supérieure à 4000 V), généralement dus à l'arrêt de machines

électriques de fortes puissances (moteurs, climatiseurs, équipements industriels, ...) qui dissipent la tension excédentaire sur le réseau. Ici aussi, on assiste à une usure des composants.

7. Foudre, aussi une sur-tension. La foudre vient de phénomènes météorologiques (orages) qui transfère de fortes tensions sur le réseau électrique mais aussi téléphonique. Une forme de foudre remonte de la terre, liée à la géologie du sol et donc à une zone géographique limitée, sans réelles solutions de protections, même si la proportion est faible, moins de 1% des cas.

Comment va se comporter notre alimentation à découpage dans ces cas:

En cas de panne complète du réseau, plus d'alimentation. En cas sur-tension (jusqu'à 280 Volts), l'alimentation à découpage va réguler la sortie mais avec des contraintes pour les composants électroniques. En cas de transitoires, le redressement au primaire va réduire les effets, mais le transformateur ne servira pas de tampon, il va juste réduire la tension.

Le condensateur et la self de lissage au secondaire vont juste les atténuer. Elles provoquent généralement des blocages de cartes mères avec les alimentations ATX actuelles. C'est identique pour les pics de tensions.

En cas de micro-coupures, les différents condensateurs vont servir en partie de réserves d'énergies. En cas de foudre, l'alimentation tombe généralement en panne mais peux aussi mettre d'autres composants de l'ordinateurs en panne.

Ces différentes perturbations électriques ne sont analysable que par des appareils professionnels que l'on appelle perturbographes.

12.4. Le disjoncteur

Ces appareils protègent des sur-tensions et de la foudre. En cas de sur-tensions, ils déconnectent les appareils du réseau électrique. Les moins chères doivent être remplacés après une seule sur-tension importante, les autres permettent une remise à zéro.

Bref, ce n'est pas forcément la solution pour des installations professionnelles, juste un premier niveau de protection.

12.5. UPS - onduleur

Un UPS (Uninteruptible Power Supply, onduleur en Français) inclut des batteries qui alimentent les appareils connectés lors d'une coupure de courant, déconnectent les appareils du réseau en cas de sur-tension / foudre et régularisent la tension du réseau. Trois schémas sont utilisés: 

On-line  Line-interactive  Off-line. 

Les UPS actuels se connectent avec un logiciel à l'ordinateur via un port USB (série pour d'anciens modèles), ce qui permet d'éteindre le PC proprement (y compris sauvegarde de données) en cas de coupure prolongée. Les onduleurs permettent typiquement une alimentation de 10 minutes, le logiciels coupe l'ordinateur au minimum avec une sécurité de 5 minutes mais c'est paramétrable. Certains BIOS permettent de redémarrer le PC lorsque la tension est rétablie.

La puissance d'un UPS est donnée en VA (Volts - ampères). L'équivalence pratique avec la puissance en Watts est de 1,6. Par exemple, une consommation de 350 Watts nécessite un onduleur de 350 X 1,6 = 560 VA. Une station standard consomme dans les 300 Watts. Ceci conditionne le choix de la puissance. En cas de sous puissance de l'appareil de protection, il sera endommagé ou disjonctera en cas de coupure. Les imprimantes laser ne doivent pas être protégées, à cause de la brusque consommation de courant lors du début d'impression.

Reste les batteries- accumulateurs. Elle sont généralement au plomb avec une tension de service de 12 Volts continu, parfois connectées en série pour atteindre 24 Volts et en parallèle pour augmenter la durée d'alimentation (charge plus importante). Ces batteries doivent être complètement déchargées régulièrement, ceci pour éviter l'effet mémoire de recharge, tous les 6 mois en moyenne. C'est identique pour les ordinateurs portables, GSM, ...

Certains UPS incluent des protections pour les câbles Ethernet et lignes téléphoniques.

12.5.1 Onduleur Off-line

Régulation de tension

Schémas de fonctionnement d'un onduleur Off-line En noir, l'évolution du réseau électrique, en vert la tension de sortie du l'onduleur.

Les modèles Off-line sont les plus courants et utilisés pour les ordinateurs individuels, les puissances varient de 420 à 800 VA. Le réseau électrique est séparé de l'appareil par un relais qui s'ouvre en cas de sur / sous tension. En fonctionnement normal, le signal d'entrée est filtré pour éliminer une partie des parasites et le convertisseur charge les batteries.

En cas de coupure du réseau électrique ou si la tension est inférieure à 176 Volts ou dépasse les 280 Volts, le relais s'ouvre, dissociant le montage du réseau électrique. Le convertisseur recrée la tension de sortie à partir de l'énergie des batteries. Le temps de réaction du relais est élevé (quelques millisecondes) et cette technique ne corrige pas les micro-coupures.

12.5.2. Onduleur Line Interactive.

Similaires aux off-line, ces onduleurs intègrent en plus un booster qui permet d'injecter une tension supplémentaire en cas de variations de tensions, mais surtout de baisses prolongées. Le circuit de compensation va juste "booster" la tension de sortie pour des tensions d'entrées entre 176 Volts (le minimum) et 205 Volts , diminuant les contraintes de l'alimentation des équipements protégés. Pour des tensions d'entrées inférieures à 176 Volts ou supérieur à 280 volts, le fonctionnement est identique aux modèles off line.

Schémas d'un line-Interactive Régulation de tension

 

12.5.3. Onduleur On-Line

Le fonctionnement d'un onduleur On-Line est nettement différent. La tension d'entrée est systématiquement redressée et alimente en permanence les batteries: la tension est donc stable. Cette tension de 12 ou 24 Volts est ensuite retransformée en tension alternative de 230 Volts en sortie.

Lors d'une coupure de tension du réseau électrique, les accumulateurs vont assurer l'alimentation électrique des équipements connectés via le convertisseur continu / alternatif. Si l'alimentation du réseau passe en sous tension ou en cas d'une courte baisse de tension, la source d'alimentation utilisée va être le réseau électrique aidé par la charge des batteries, les deux sont donc utilisées simultanément, augmentant la durée de la protection, à la différence des autres types d'UPS). Seul problème, les accumulateurs au plomb sont pratiquement utilisés en permanence, et finalement à remplacer plus souvent (les batteries représentent quasiment 2/3 d'un prix d'un onduleur). 

Généralement, ces modèles utilisent deux circuits de by-pass. Le premier permet d'alimenter les ordinateurs sans passer par l'électronique de l'onduleur, utilisé lors du remplacement des batteries ou lors d'une réparation de l'onduleur. Le deuxième by-pass est similaire aux off-Line et augmente la durée de vie des batteries.

12.5.. Comparaison des protections

Les couleurs utilisées déterminent les risques en fonction des problèmes du réseau électrique.

Tension d'entrée Disjoncteur Off-lineLine

InteractiveOn-line

<180V plus d'alimentation relais ouvert, alimentation uniquement par les batteries

Alimentations par les

batteries et le réseau

180 - 220 V Fonctionnement normal fonctionnement via le réseau électrique Alimentation via le réseau

Alimentation par le réseau

électrique, aidé par le

booster pour des tensions

comprises entre 176 et

205 volts.

et les batteries si nécessaires

220 - 240 V Fonctionnement normal

240 - 280 V Fonctionnement normal Alimentation via le réseau.Alimentation par le réseau

>280 V Coupure brusque Fonctionnement par batterie.

Haute-tension, foudre Coupure brusqueFonctionnement par batteries, attention au délais d'ouverture du

relais.

Alimentation par batteries

et coupure du disjoncteur

(remise à zéro obligatoire)

Pic de courte duréeAucune détection Protection partielle

totalement protégéMicro-coupures

La protection électrique reste un compromis entre le prix des appareils de protection et l'importance du matériel à protéger. La sécurité d'un serveur informatique d'entreprise nécessite au minimum un onduleur online, alors qu'un ordinateur personnel se contentera probablement d'un disjoncteur. L'arrêt d'une heure de production revient nettement plus chère que le prix d'un UPS. Attention, Vous ne pouvez pas mettre d'onduleur pour protéger une imprimante laser. Dans ce cas, la seule possibilité de protection électrique est le disjoncteur.

13. Exercice: architecture d'un réseau d'entreprise

13.1. Architecture globale du réseau - 13.2. Connexions du réseau administration - commercial - 13.3. Connexions bâtiment fabrication - commande - 13.4. Connexion globale de réseau - 13.5. Un autre point de vue: mélange de protocoles sur le réseau

Voyons un cas concret de l'architecture d'une installation réseau (appareils à mettre en oeuvre) dans une entreprise. Ce chapitre rassemble pratiquement l'ensemble du cours hardware 2, sauf le paramétrage des appareils réseaux.

Comme exercice, 2 bâtiments à connecter distants de 80 mètres (pas de chance, une route au milieu donc un réseau sans fils). Chaque bâtiment dispose de deux étages avec 2 départements différents (soit 4 départements). Je veux absolument des niveaux de sécurité (hardware) pour que chaque PC d'un département ne puissent (sauf autorisation par station de travail) se connecter sur un autre département. En hardware, seules deux solutions sont donc utilisables, les routeur - firewall et les switchs administrables. Cette solution de protection sera en pratique couplée avec des protections logicielles qui sont repris dans les autres cours "Technicien PC / Réseau" comme le cours Windows.

Les départements sont

1. Bâtiment 1: 80 PC de fabrication (pas d'accès INTERNET) et 1 serveur avec un logiciel dédié. Distance maximum avec le serveur 100 mètres que nous appellerons Fabrication. Ce département rassemble la fabrication, les stocks, gestion des transports, ... C'est le département à protéger. Un arrêt d'usine de 1 heure coûte nettement plus chère à l'entreprise qu'un arrêt de 2 jours de la comptabilité.

2. Bâtiment 1: 10 ordinateurs de gestion de commandes et 1 serveur dédié. Certains d'entre eux peuvent avoir accès au service du serveur de la fabrication sur un rayon de 30 mètres. Pas d'accès INTERNET, ni vers le bâtiment 2. Nous appellerons ce département commande

3. Bâtiment 2: 10 PC administratifs: direction, comptabilité, … sur un rayon de 30 mètres. Noue appellerons ce département Administration4. Bâtiment 2: 10 commerciaux. et services divers sur un rayon de 30 mètres. Nous appellerons ce département commercial.

Le bâtiment 2 abrite un petit serveur de fichier (documents Word, Excel, ...) et un serveur d'application (comptabilité), appelé serveur administratif. Certains PC peuvent avoir accès au serveur "gestion de commande". Le bâtiment 2 (administration et commercial) doit avoir un accès sécurisé sur INTERNET via une ligne ADSL. Il doit être possible pour les commerciaux de se connecter au serveur de l'entreprise à distance via INTERNET.

Donnez le schéma de l'installation reprenant les serveurs, concentrateurs utilisés (hub, switch, routeur, nombre de ports), types de liaisons, câbles droits ou croisés, … Dans le cas où vous utilisez un HUB ou un switch, expliquez. Je ne demande pas explicitement la marque et l'appareil de chaque concentrateur. Attention qu'un switch de 80 ports, ce n'est pas courant, manageable?

L'installation du réseau doit être complète, pensez aux sécurités à installer (protections électriques, sauvegarde) et aux types de serveurs utilisés. Je ne parle pas de sécurité via mots de passe, mais bien par des paramétrages TCP/IP ou des matériels informatiques: c'est nettement plus sûr. Comme le matériel informatique réseau peut tomber en panne, le matériel doit être standardisé (par exemple les switch) pour que l'on puisse utiliser un minimum de matériel de réserve: maximum de concentrateurs de même type et capacité pour l'ensemble du réseau pour n'utiliser qu'un appareil de remplacement pour toute l'entreprise. Je ne demande pas les paramétrages des appareils, juste la structure du réseau ethernet.

Ne vous occupez pas trop du budget, mais choisissez les caractéristiques en gestionnaire informatique responsable (pas la peine d'utiliser de l'Ethernet Gigabit sur fibre optique pour connecter les stations).

13.1. L'architecture globale.

Pour faciliter la mise en place de l'architecture de notre réseau, examinons les appareils à mettre en oeuvre. Nous utiliserons  les dessins suivants pour faciliter l'analyse du schéma global du réseau.

Serveur réseau

Switch (préférable) ou Hub Ethernet (ici un des1024d de Dlink 24 ports 10/100)

Switch manageable: autoriser (ou bloquer) certaines connexion de PC vers

PC (ou plutôt de groupes de PC), en plus des mots de passe sessions utilisateurs gérés par le système

d'exploitation

Routeur sans fils Wifi, utilisable comme routeur et comme pont. Nous pourrions utiliser un simple switch sans fils dans

notre cas.

Un câble RJ 45 croisé

modem routeur

ADSL. Il peut être

utilisé comme simple

modem en mode pont

Un firewall - VPN permet le partage de la connexion

Internet et l'accès de l'extérieur au réseau de

l'entreprise

Routeur firewall intégré permet de sécurisé les connexions en bloquant certains ports et / ou certaines plages d'adresses.

un simple routeur

NAS pour la

sauvegarde de fichiers Un département avec les PC

associés

UPS: protection électrique par onduleurSauvegarde sur bande SDLT

Analysons le problème en fonction des différentes parties et des sens de communication autorisées. Ceci va  scinder le problème et envisager en gros les appareils à utiliser au niveau connexion, routage et sécurité.

Les départements administration et commerciaux ne sont pas très différents. Ils utilisent tous deux: INTERNET (ce sont les seuls), les mêmes serveurs (un serveur de fichier et un petit serveur d'application). Par contre, un ordinateur de l'administration doit pouvoir se connecter sur le département commande (mais pas sur le département fabrication), le département commercial ne peut en aucun cas se connecter sur les départements commande et fabrication. L'accès d'INTERNET vers les serveurs du bâtiment 2 (administration et commercial) nous oblige à utiliser un firewall VPN pour la connexion INTERNET (ici un série 100 de symantec) et un modem ADSL (ici un tornado 812 utilisé en pont. Avec les 20 PC repris dans le bâtiment 2, il n'y a pas besoin d'un appareil très puissant, mais suffisamment sécurisé. Comme l'accès de l'extérieur est possible, la connexion doit être de type IP fixe. Ceci nous donne une bonne marche de manoeuvre pour les connexions.

En noir les communications autorisées (même avec des blocages), en rouge celles qu'il faut bloquer. Ca donne une bonne idée de la structure globale de l'installation. La route entre les deux bâtiments va nous bloquer avec une liaison sur cuivre ou fibre optique. Nous devrons déjà utiliser une liaison sans fils, de type WIFI 802.11G à 54 Mb/s. Comme les vitesses de communications ne sont pas trop importantes, l'utilisation de 100 base T (éventuellement 1000 Base T pour les serveurs) est suffisante pour l'ensemble du réseau.

13.2. Connexion département administratif et commercial

La connexion entre administration et commercial doit laisser passer certaines communications (mais pas toutes). En plus, ils utilisent les mêmes serveurs. Nous pouvons utiliser soit deux classes d'adresses différentes (d'où l'emploi de routeurs pour relier les 2 départements), soit un switch manageable (et donc bloquer ou autoriser certaines connexions) en utilisant la même classe d'adresses IP. Utiliser 2 routeurs pour les communication complexe le paramétrage. Choissions la solution même classe d'adresse (par exemple 192.168.10.X) pour l'ensemble des deux départements et bloquons les accès au niveau d'un switch manageable. 

Les départements utilisent un serveur d'application et un petit serveur de fichier. Comme serveur de fichier, pour réduire les coûts, utilisons un NAS. Comme nous devons connecter 20 PC + 1 serveur +1 NAS + 1 connexion bâtiment 1, l'appareil représenter (20 ports + 2 Giga) serait insuffisant mais nous pourrions utiliser un switch 8 ports additionnels. Les NAS sont rarement en 1000 Base T.

Pour la connexion vers le deuxième bâtiment nous devons utiliser une connexion sans fils. Comme le bâtiment 2 peut avoir la connexion vers le département commande (pas vers la fabrication) nous allons utiliser des classes d'adresses différentes pour le bâtiment 1. Ceci nécessite l'emploi d'un routeur. Comme la connexion doit être sécurisé (bloquée à partir du bâtiment 1 vers 2) plus l'interdiction de connexion INTERNET vers le bâtiment 2, utilisons un routeur firewall et un routeur 802.11B en pont. Dans ce cas, le firewall ne va pas être utilisé pour bloquer des ports: dans un réseau interne, les ports dynamiques (1024 - 65535) sont utilisés de manière aléatoire pour les communications réseaux internes, nous ne pouvons pas les bloquer. Nous allons uniquement bloquer les communications sur les plages d'adresses. Par exemple bloquer les communications de l'adresse IP du VPN vers le bâtiment 2.

Une autre solution pour bloquer l'accès "Fabrication" - "administratif" serait de sécurisé le réseau sans fils en fonction des adresses mac des PC du département administration, voire sécurité des réseaux sans fils dans la rubrique How to?

Voici notre schémas matériel réseau pour le bâtiment 2.

13.3. Connexion Bâtiment fabrication - commande

Les communications usine vers commande sont interdites. Seules les communications commandes vers usines sont autorisées (sous certaines réserves). Nous avons de nouveau 2 possibilités d'utilisation des classes d'adresses IP. Soit deux classes différentes avec l'emploi de routeur, soit la même classe d'adresse avec un switch manageable (au choix).

Cas 1: utilisation de 2 classes d'adresses différentes.

L'utilisation d'un routeur (et donc 2 classes d'adresses) va augmenter la sécurité. L'utilisation d'un routeur avec firewall n'est pas obligatoire puisque la communication bidirectionnelle nécessite deux routeurs alors que nous utilisons la communication uniquement de commande vers fabrication. Ceci empêche déjà l'usine de se connecter vers le département commande. La sécurité à partir d'Internet est déjà assurée pour rappel avec le VPN et le firewall placé à la sortie du bâtiment administratif vers le routeur WIFI. De même, pour les communications du bâtiment 1 vers le bâtiment 2, nous pouvons soit utiliser un routeur WIFI en mode pont et un firewall (cas ci-dessous), soit un routeur WIFI sans firewall. La sécurité est de toute façon assurée par le firewall de l'autre côté de la liaison sans fils.

Le nombre de switch 24 ports pour la partie fabrication a volontairement été réduite pour la clarté du schéma. Il nous en faudrait minimum 4, voire 5 pour avoir des lignes de réserves. L'utilisation d'un seul switch de 96 ports pourrait poser des problèmes de longueur de câbles et en cas de panne de ce seul appareil, toute la fabrication serait bloquée. L'utilisation de multiples switch 24 ports permet d'en avoir 1 de réserve pour l'ensemble du bâtiment. Le serveur fabrication doit être raccordé sur le premier switch de la fabrication

L'utilisation d'un routeur firewall entre le switch et la connexion WIFI 802.11B n'est pas nécessaire si un firewall est installé de l'autre côté. Ils feraient double emploi (ce qui n'est pas trop grave) mais obligerait une configuration plus complexe de l'infrastructure.

Cas 2: utilisation d'une même classe d'adresse avec switch manageable.

Dans ce cas, tous les PC sont dans la même classe d'adresse, l'utilisation d'un routeur (ou routeur - firewall) n'est plus nécessaire entre les deux départements., c'est le switch manageable qui va accepter ou bloquer les communications. Dans ce cas (et contrairement à la solution précédente), on peut bloquer les communications de manière hardware entre les PC des commandes et les PC de fabrication).

Cette solution est nettement plus chère (mais plus sécurisée). Elle permet néanmoins de raccorder les serveurs en 1000 base T sur le switch manageable. Les distances entre chaque PC, serveurs et concentrateurs sont respectées puisque qu'en 100 base T en 1000 base T, la distance maximum est de 100 mètres. Pour rappel, les switch manageables travaillent généralement avec les adresses MAC. En cas de panne d'un PC avec échange standard (ce qui se fait en pratique pour minimiser l'arrêt), on risque de devoir reprogrammer le switch. Ce n'est pas forcément du niveau de tous les techniciens de maintenance d'usine (sans compter les mots de passe administrateurs pour paramétrer le switch). Par contre, certains modèles acceptent le regroupement de station suivant le protocole IGMP.

13.4. Connexions globales du réseau

Il ne reste plus qu'à relier les 2 réseaux de l'entreprise et positionner nos sécurités (UPS et sauvegarde) et choisir les serveurs.

Les serveurs utilisés pour le bâtiment 2 et les commandes sont en fait de petits serveurs. Par contre, le serveur utilisé en fabrication est un serveur d'application musclé (avec logiciel dédié) de type bi-processeur. Pour des raisons de sécurité des données, nous utilisons des serveurs SCSI RAID 1 ou mieux RAID 5. Plus le processeur est gros plus il consomme. L'UPS (de type On-Line de préférence) devra être en rapport. Pour rappel, la puissance de l'UPS = puissance consommée par le serveur X 1,6. Pour un serveur consommant 800 W (écran compris), la puissance de l'UPS est donc de 800X1,6=1280 W.

Pour la sauvegarde des données, nous utiliserons des bandes de type DAT ou Super DLT pour les capacités de ces technologies, mais également au niveau vitesse de sauvegarde.

13.5. Un autre point de vue de cette connexion: mélange de protocoles.

Dans les montages ci-dessus, nous avons utilisé exclusivement le protocole TCP/IP. Il en existe 2 autres: l'IPX et le NetBeui. Le NetBeui n'est pas routable, l'IPX (utilisé principalement par les réseaux NOVELL), oui. Le schéma suivant va mélangé des protocoles. Pour accéder à un serveur, le PC doit utiliser le même protocole (mais il peut en utiliser plusieurs en même temps).

Dans le cas du bâtiment 2 administratif, comme on utilise Internet, TCP/IP est obligatoire. Par contre, dans le bâtiment 1 (commande et fabrication), INTERNET est interdit en sortie comme en entrée (intrusion). Nous allons nettement réduire le nombre d'appareils en utilisant dans le bâtiment 1 uniquement le

protocole IPX et pour le bâtiment 2, les PC qui doivent se connecter sur la partie commande utiliserons IPX et TCP/IP. Cette façon de procéder bloquera toutes les tentatives d'intrusion directes d'Internet vers le bâtiment 1. Par contre, la connexion du département commande vers Fabrication (et vis versa) sera uniquement bloqué par les droits de sessions et les communications pourront également passer du bâtiment 1 vers les PC IPX du bâtiment 2. Il suffit de bloquer les partages dans le bâtiment 2 en IPX.

Dans ce cas, nous remplaçons un switch manageable par un simple switch (avec d'autres du même type utilisés sur l'ensemble du réseau) et plus aucun firewall dans l'ensemble du réseau (à part le VPN pour INTERNET). Cette solution n'est pas à envisager pour une usine de 500 PC, mais bien pour des moyennes structures.

13.6. Les erreurs et remarques de l'examen

Après correction, je reprend les erreurs de l'architecture du réseau. Sont reprises ici quelques remarques et erreurs de l'examen.

1. Réseau bâtiment 2: 2 classes d'adresses IP différentes pour administratif et commerciaux reliés tous deux sur les ports d'entrée du VPN (connexion INTERNET correcte) mais pas de routeur entre les deux. Dans ce fait, pas d'interconnexion entre les 2 groupes de PC mais plus grave, 1 seul département sur les 2 aura accès au serveur et au NAS. Bref, l'infrastructure réseau du bâtiment 2 ne fonctionne pas.

2. 2 classes d'adresses différentes pour commande et fabrication. Les PC commandes branchés sur un routeur 16 port (suis pas sûr que cela existe) et branché sur un HUB 8 port qui est relié sur 5 hub 24 ports pour la fabrication. Comme le serveur Fabrication est une application dédiée, on présume que les PC ne se connecteront pas entre eux mais tous vers le serveur à leur tour avec quelques problèmes de collisions (le serveur répondra à chacun à son tour, ce qui peut être correct). Par contre, l'utilisation d'un Hub comme tête de pont entre le routeur commande et les différents HUB fabrication va directement ralentir l'ensemble du réseau ethernet.

3. Utilisation de 2 firewall (1 de chaque côté du pont WIFI sans fils), configuration de l'architecture du réseau plus complexe, peut être remplacé par une sécurité de type WPA-2.

14. Technologies alternatives réseaux informatiques

14.1. Introduction - 14.2. Technologie IPP - 14.3. Connexion Ethernet par réseau électrique - 14.4. Voice over IP

Sont rassemblées ici un ensemble de technologies hardwares qui sont plus ou moins en cours de conceptions et d'autres technologies difficilement classables dans les autres chapitres.

14.2. Technologie IPP

Cette technologie permettra d'imprimer via Internet. Elle est développée depuis 1996 conjointement entre différents fournisseurs d'imprimantes (HP, Novell, Microsoft, Xerox, Lexmark). Elle utilisera selon les derniers développements le port NetBios 631 au lieu du port tcp 80 utilisé par HTTP.

Les développements actuels penchent également sur une adresse imprimante de type "ipp://... au lieu de http://www.... cette technologie permettra non seulement d'imprimer à distance via Internet, mais également d'assurer certaines tâches administratives sur ces imprimantes ou même d'imprimer à distance un site Web.

14.3. Connexion Ethernet par courant porteur de ligne (CPL).

Le réseau le plus courant est le réseau électrique en 230 V. Plusieurs tentatives ont ou sont en cours de développement pour faire passer les informations digitales (réseau informatique) via ce lignes, notamment les connexions INTERNET avec plus ou moins de succès. Par contre, différents fabricants proposent depuis début 2003 des solutions de réseau interne via le réseau électrique (en concurrence avec les réseaux sans fils).

Avec le chapitre 12 du cours hardware 2, nous avons fait un tour du réseau électrique. Avant d'étudier quelques possibilités, voyons quelques contraintes du réseau de distribution électrique.

Quelques rappels:

Le réseau domestique dans une habitation est en 230 V monophasé en Europe. Par contre, le réseau électrique extérieur est en triphasé (3 phases ou 3 phases + neutre). En prenant 2 fils, on obtient le réseau monophasé. Pour que le signal soit propagé d'un point à l'autre, il faut que les 2 points soient sur la même phase. Vous pourriez donc communiquer avec une maison à plus de 100 mètres et ne pas pouvoir atteindre une autre pièce chez vous si elle est sur une autre phase électrique. C'est le même problème avec les appareils pour surveiller les enfants en bas âge de type "baby phone".

Pour transporter le courant électrique sur de longue distance, la tension électrique est augmentée pour réduire les pertes d'énergie. C'est ce qu'on appelle les lignes haute tension qui dépassent les 5000 V. Pour passer de la tension 230 V à la haute tension, et vis et versa, on utilise un transformateur. Ces transformateurs réduisent (ou augmentent) les signaux parasites et les signaux digitaux en même temps que la tension du réseau. En plus, de par l'effet de self d'un transfo, la forme des signaux est modifiée. Ceci explique les problèmes des liaisons Internet par réseau électrique rencontrés actuellement en développement chez EDF en France.

Avec le chapitre sur les protections réseaux électriques, nous savons également que celui-ci est parcouru par de nombreux parasites. Dans les milieux "usine", cette solution risque de poser de sérieux problèmes.

14.3.2. Connexion Internet.

EDF en France notamment développent un accès large bande INTERNET via le réseau électrique. Le problème majeur qu'ils tentent de résoudre vient de la modification (perte) du signal lors du passage à travers les transformateurs dans les cabines "haute tension". Cette solution est limitée pour un village ou un immeuble.

14.3.3. Ethernet via réseau électrique (CPL).

Cette solution existe déjà en Belgique depuis 2003. De la même manière que la modulation des modems, le signal est modulé sur la fréquence du réseau électrique. Les contraintes liées au transformateurs sont également de mise. Le problèmes des phases du réseau sont le deuxième problème.

La liaison Ethernet à travers le réseau électrique (Ethernet Over Power Line) utilise des appareils spécifiques que se chargent du transfert des signaux via la ligne électrique. De l'autre côté, l'appareil est muni d'une liaison Ethernet classique 10/100 qui se connectent sur les carte réseaux des PC, Hubs, switch, ...

Le débit maximum de ce type d'installation est de maximum 14 Mbps, soit un peu plus que le Wifi 802.11B à 10 Mps. La distance maximum est actuellement limitée à 200 mètres. Mais les caractéristiques devraient évoluer dans les prochains mois (mi-2003).

La méthode de communication utilise une modulation de type OFDM (Orthogonal Frequency Division Multiplexing) déjà utilisée dans la norme 802.11a. Cette technologie intègre de nombreuses fonctions, comme la gestion de la QoS (classes de priorité, contrôle de la latence, et adaptation des taux de transmission au temps de propagation d'un paquet).

Cette solution permet via d'autres appareils de relier directement via le port USB des PC ou via une carte Ethernet standard.

14.4. VoIP, Voice Over IP

Au début des réseaux, les liaisons ont utilisés les fils téléphoniques. Juste retour des choses, les liaisons réseaux vont accepter les liaisons téléphoniques et, en général, la voie sur des réseaux TCP/IP.

Une distinction avant de commencer. Il faut impérativement dissocier le VoIP et ToIP. Dans le premier cas, le réseau Ethernet permet de faire transiter la parole. Dans le deuxième cas, des logiciels permettent de "téléphoner" via le réseau INTERNET. Le ToIP est donc plus lié aux logiciels qu'à l'infrastructure réseau.

L'avantage est surtout lié aux communications à grande distance (via Internet). Néanmoins, cette solution fonctionne également sur le câble réseau interne de l'entreprise avec une communication vers des opérateurs utilisant un central téléphonique particulier sur le site de l'entreprise (permettant de connecter des téléphones au sein de l'entreprise), faisant transiter le signal TCP/IP voice sur le réseau Internet pour le réinjecter sur soit une autre connexion Voice / Over IP, soit comme une communication téléphonique normale. Le VOiP utilise des téléphones (et des centraux téléphoniques) particuliers.

La technologie évolue actuellement avec des corrections, notamment au niveau des pertes de paquets, problèmes d'écho, temps de transfert de la voix ou même des variations de délais entre les différentes parties du signal sonore, ce qui rendait parfois le message incompréhensible.

Plusieurs protocoles sont actuellement utilisés:

H 323: le standard actuellement le plus répandu mais ne garanti pas une qualité du service. Cette technologie (hardware et software) est notamment utilisée par Netmeeting de Microsoft.

SIP (session Initiation Protocol): nouveau standard plus proche du monde informatique que de la téléphonie, les messages sont de format similaire à une application texte (comme la navigation HTTP). Ceci garantit une meilleure qualité de réception du signal. Ce protocole permet également une meilleure implantation dans les programmes.

SIP est constitué de 8 routines: Invite, Register, Bye, ack, cancel, options, subscribe et notify. Couplé à XML, il mène à un sous-potocole IPTML (IP Terminal Markup Language). L'ensemble des 2 devrait permettre de rassembler des textes, sons, vidéos dans un même transfert de données.

Le lecteur ne doit donc pas trop penser en terme de communication Internet, mais bien en terme de connexion téléphonique transitant sur Internet.

15. Ecran tactile et Vidéoprojecteur multimédia

Dans la première partie, nous avions abordé les écrans à tube cathodique et plats pour ordinateur PC. Voyons les deux autres types "d'affichage" informatique: l'écran tactile et le vidéoprojecteur.

15.1. Ecran tactile.

Les écrans tactiles permettent d'émuler une souris avec le doigt ou un stylo spécifique directement l'écran. Peu précise pour des utilisations bureautiques, elle est utilisée pour des logiciels spécifiques, lié aux utilisation en POS pour magasin et restauration (le logiciel point de vente de CIEL par exemple), applications spécifiques pour les milieux hospitaliers ou industrielles. L'installation complète remplace donc une caisse enregistreuse. Ils sont également intégrés dans les PC portables de type Tablet PC et dans les terminaux de vente (POS: Point Of Sale) qui intègrent également une imprimante ticket et un afficheur client.

D'apparence, ils sont identiques à des écrans normaux. Ils intègrent juste une connexion vers le port souris de l'ordinateur (port série, PS2 ou USB, suivant les modèles).

Ces écrans comprennent différentes parties:

un pavé tactile interne directement sur la partie affichage de l'écran (d'anciens modèles se fixait directement sur un écran standard). Le pavé est constitué d'une matrice comme ci-dessous qui permet de déterminer l'emplacement du point de touche sur l'écran.

un contrôleur relié à la matrice qui désigne l'emplacement du point de touche, émulant un click gauche de souris. un pilote qui émule le click et le déplacement d'un curseur de souris via les informations envoyées par le contrôleur.

Le fonctionnement est finalement simple. Lorsque qu'on appuie sur un point de l'écran, on met en contact une ligne et une colonne. Connaissant les coordonnées du "click", le contrôleur n'a plus qu'à renvoyer l'information au logiciel.

Par exemple, en appuyant sur le point à l'intersection des lignes L1 et colonnes C3, le flux électrique, lumineux, ... (suivant la technologie) est coupé.

Plusieurs technologies d'écrans tactiles sont utilisés suivant la méthode de gestion de la grille avec particularités spécifique comme la luminosité, la facilité et la précision d'utilisation, la résistance, ...

15.1.1. Ecran tactile résistif

Les écrans tactiles résistifs peuvent être utilisés via un doigt ou un stylo. La première couche reprend une couche de protection, suivie d'une couche conductrice tapissée d'une matrice résistive (des fils). Le tout est directement posé sur l'écran. Cette technique est la moins chère. 

Leur principal défaut est lié à la clarté de l'image par rapport à un écran normal. Leur gros avantage est lié à leur résistance aux conditions humides et chimiques. C'est la technologie standard utilisée dans les magasins et entreprises

15.1.2. Ecran tactile infrarouge

Dans ce cas, la grille n'est pas constituée de câbles électriques, mais par des rayons de lumière infrarouge (invisibles à l'oeil). La grille n'est pas réellement intégrée dans l'écran mais simplement posée sur l'écran. Un ensemble de diodes lumineuses (LED) servent à l'émission sur chaque ligne et chaque colonne. La détection se fait par un groupe de cellules photoélectriques chaque fois associés individuellement à une LED. Chacune fournit une tension en présence de lumière. En appuyant à un endroit de l'écran, on coupe le flux lumineux d'une ligne et d'une colonne ce qui permet de déterminer l'endroit.

Il n'y a pas de pièces mobiles, les écrans infrarouges sont plus solides que les résistifs avec une clarté supérieure. Le principal défaut vient de l'environnement qui ne doit pas être trop lumineux. Ceci le désigne pour de petites pièces, plutôt sombres et réduit la taille d'utilisation de l'écran.

15.1.3. Technologie acoustique de surface. (Surface Acoustic Wave, SAW)

La plus performante actuellement, la technologie acoustique de surface utilise un principe similaire aux infrarouges sauf qu'un signal sonore remplace la lumière. Ces écrans génèrent deux fréquences différentes: une sur la gauche de l'écran et une à partir de la partie haute avec des récepteurs de l'autre coté (à droite et en bas). Il est impossible de faire voyager un son strictement en ligne droite et effectivement, le signal se propage en rebondissant sur tous les bords jusqu'au coté

opposé du pavé tactile mais avec un temps de propagation constant. En appuyant sur l'écran, l'onde est absorbée et renvoyée plus lentement vers le capteur sonore associé. C'est la différence de temps de propagation qui détermine le point de touche. 

Une grosse différence pour ces modèles, c'est qu'ils permettent de déterminer les coordonnées X et Y mais aussi le niveau d'enfoncement, ce sont finalement des modèles 3D en déterminant aussi la partie Z, soit si le point est peu ou fort enfoncé.

Comme la surface de l'écran est recouverte de verre comme un tube cathodique standard, ils résistent également à l'humidité du contact. Par contre, les signaux sonores provoquent en milieu humide des moisissures et champignons divers, ce qui les réservent à des applications et endroits d'utilisation spécifiques. Comme les modèles infrarouges, la clarté du moniteur est aussi élevée. La précision est également plus faible.

15.1.4. Capacitive.

Les écrans tactiles capacitifs utilisent une surface en verre recouverte d'une grille capacitive, ce qui nécessite l'utilisation d'un stylo spécifique conducteur (pas le doigt).

La partie détection utilise une liaison capacitive. En appuyant à un endroit donné, on modifie la fréquence d'un circuit oscillateur. C'est la différence de fréquence qui détermine le point.

Solides avec une excellente luminosité, ces modèles peuvent être utilisés dans pratiquement tous les milieux et environnements.

15.1.5. Comparaison

  Résistifs Infra-rouge Surface Acoustic Wave Capacitifs

résolution du touché Haut moyen Haut

clarté de l'image Moyen bon

Utilisation doigt ou stylo Doigt, stylo large stylo spécial

DurabilitéSolide mais

endommagable avec des objets pointus

très haute

Pas d'utilisation en milieu humide, susceptible de moisissures

très haute

15.2. Vidéoprojecteur

Les vidéoprojecteurs permettent d'afficher les sources vidéos provenant de différentes sources sur un écran distant du projecteur: ordinateurs mais aussi TV, magnétoscope, … Dans le cas des TV, plusieurs standards sont utilisés suivant le pays: NTSC sur le continent Nord-américain - Asie, Secam en France et Afrique et Pal pour la majorité des pays européens.

Les vidéos projecteurs sont caractérisés par leur luminosité exprimée en Lumens (aussi appelé AINSI LUMENS). Pour de petites salles et un nombre restreint d'auditeurs, 1200 lumens est suffisant. Par contre, pour des salles de 600 personnes semi-éclairées, 2000 Lumens est un strict minimum. La luminosité détermine également la distance maximum entre l'écran de projection et le projecteur.

La résolution d'un projecteur est conforme aux définitions des cartes graphiques. Elle est donc sélectionnée par la résolution d'affichage de l'ordinateur et celle maximale du vidéoprojecteur. Ceci n'intervient que pour les affichages "informatiques", la définition d'un DVD étant inférieure à celle du VGA.

Norme Résolution horizontale * résolution verticale

VGA 640 * 480

SVGA 800 * 600

XVGA 1024* 768

SXGA 1280* 1024

HDTV 1920 * 1080

HDTV plus 1920 * 1200

QXGA 2048 * 1536

Les vidéo projecteurs intègrent généralement plusieurs connecteurs d'entrée, tant informatique que vidéo. Certains projecteurs permettent l'utilisation d'une souris laser qui remplacent la souris directement sur l'écran de projection.

Des hauts parleurs sont parfois rajoutés dans le boîtier. Ils sont insuffisants pour des présentations normales.

Certains projecteurs permettent d'inverser l'image. Ceci permet d'accrocher le projecteur au plafond à l'envers.

On trouve dans le marché de la TV-Hifi des écrans LCD (ou même écran plasma) du même type que les écrans. Cette technologie a déjà été vue en première. On retrouve trois technologie: LCD, CRT et DMD.

15.2.1. La technologie LCD (Liquid Crytal Display)

Les vidéoprojecteurs LCD sont les plus courants et les plus transportables avec un poids d'environ 3 Kg. Leur luminosité est suffisante pour la majorités des présentations et le home cinéma. Revers de la médaille, la lampe est relativement chère et fragile (durée de vie typique de 2000 heures, de 1500 à 4000 heures). Le

faisceau lumineux généré par la lampe traverse un panneau constitué d'une multitude de points (cristaux liquides). L'orientation de chaque cristal est déterminé par un champ électrique. Selon l'orientation, la lumière sera plus ou moins importante sur l'écran selon les trois couleurs de base. La résolution maximale est déterminée par le nombre de ces cristaux.

La technologie Tri-LCD est une dérivée. Les vidéos-projecteurs utilisant cette technologie utilise non pas 1 mais 3 panneaux lumineux. La qualité de l'image est sensiblement améliorée avec des résolutions plus élevées.

Dans les 2 cas, la précision de l'image se dégrade avec la distance. Ceci explique que chaque projecteur a une taille d'affichage maximum. Un réglage manuel est prévu sur l'objectif.

15.2.2. Les projecteurs vidéos tritubes.

Cette technologie rendue célèbre par la firme BARCO utilise une technique similaire à celle des TV. Bien que la plus lumineuse avec de véritables contrastes (le noir est effectivement noir), cette technologie est peu utilisée en projecteurs informatiques. Elle permet les affichages les plus grands (jusqu'à 10 mètres de long) avec des lampes d'une durée de vie de 10.000 heures. Contrairement aux autres technologies, la lampe ne claque pas mais s'use. Les désavantages sont néanmoins nombreux: réglage délicat (nécessite pratiquement un technicien à chaque changement de place du projecteur), encombrement important, objectif fixe (pas de zoom)

Comme les tritubes ne permet que la projection dans l'obscurité, ils sont réservés aux véritables cinéma, surtout vu leur prix.

15.2.3. Les vidéoprojecteurs DMD  (Digital Micromirror Device) ou DLP (Digital Light Processing)

Inventée par Texas Instrument, la technologie DLP repose sur une matrice de miroirs appelés DMD. Elle est est similaire à celle des LCD, sauf que les cristaux liquides sont remplacés par des petits miroirs contrôlés par des transistors. Les miroirs basculent sur leur axe pour déterminer quelle lumière est projetée suivant un axe de + 10 °

Une puce DMD fait environ 2 cm 2 et contient entre 500.000 et 1.300.000 micro-miroirs.

La luminosité est supérieure à celle des LCD avec un taux de contraste excellent (quoique inférieur à celle des tri-tube).

Cette technologie s'intègre tant en home cinéma qu'en vidéo projection informatique et remplacera à terme la technologie LCD. Néanmoins, comme pour les projecteurs LCD, la durée de vie de la lampe (et son prix) la rende difficilement utilisable pour une utilisation intensive.

La lumière est projetée par la lampe sur une optique de correction. Elle traverse ensuite une roue chromatique (séparation des couleurs) qui est de nouveau corrigée par une optique de contrôle. Le Système DMD contrôlé par la carte à processeur DLP va alors transmettre (ou non) vers l'écran via une lentille de projection.

La roue chromatique à quelques effets secondaires sur l'image notamment un petit effet de scintillement. 

16. Switch Manageable DGS 1216T

Donné à titre d'exercice, ce chapitre va nous permettre d'étudier d'un peu plus prêt les switchs manageables (administrable) de layer 2, 3 ou 4 (le type 4 est plutôt une dénomination commerciale des switchs qu'une similitude avec le modèle OSI).

La configuration se fait via une interface de type Web, les anciens modèles utilisaient également une connexion RS232-Telnet. La fenêtre Internet permet l'administration, la sauvegarde ou la restauration des paramètres, ... Toutes ces possibilités permettent finalement d'ajuster les performances et la sécurité du réseau.

Les possibilités de ces switch permettent notamment:

gérer les communications sur chaque port. Par exemple, ils peuvent interdire les communications entre un groupe de ports et un autre groupe. Ceci permet notamment d'interdire une partie des ports Ethernet (et donc des équipements) vers un port spécifique pour interdire l'accès à Internet en interdisant la communication vers le routeur ADSL.

Interdire les communications entres certaines adresses IP. Créer des groupes d'utilisateurs via le protocole IGMP. Gérer la qualité du câblage réseau en affichant les statistiques de collisions sur chaque port.

Ils sont dits de layer 2 (niveau) s'ils permettent de déterminer les adresses IP, de niveau 3 s'ils permettent de bloquer les ports TCP et / ou UDP). Les Layer 4 utilisent la couche 4 du modèle OSI (même s'il ne la suivent pas correctement et permettent de bloquer certaines applications en analysant les trames). C'est la méthode hardware pour bloquer les applications.

Avant de configurer et d'analyser un appareil de layer 2, quelques petites remarques concernant trois types d'équipements:

un firewall hardware et un switch administrable de layer 3 permettent de bloquer des applications via des ports. Si le programme essaye de passer par un port bloqué, il n'y aura pas de communications.

par contre, un firewall hardware va détecter les modifications de trames (content Filtering).

un routeur va permettre de transmettre les communications entre des réseaux de classes d'adresses différentes en utilisant le NAT ou le PAT, pas un administrable.

16.1. D-Link DGS-1216T

L'appareil que nous allons utiliser est un DGS 1216T de marque D-Link. Il est de layer 2 (soit la plus faible) et intègre 16 ports Gigabit, 2 ports combo SFP (mini GBIC) pour extensions éventuelles, l'auto MDI/MDIX et différentes fonctions spécifiques comme le Ports trunking pour relier des switchs entre eux. Il est bien sûr montable en rack 19". C'est un équipement plutôt utilisé dans les PME que dans les gros réseaux, même s'il intègre de nombreuses possibilités.

La configuration se fait via une interface Web. Un programme d'installation est également fourni avec, notamment pour détecter son adresse IP nécessaire à sa configuration.

L'installation du logiciel va d'abord permettre de déterminer son adresse IP. Une fois l'équipement détecté, la fenêtre va nous permettre via la commande configuration Setting de modifier les paramètres IP. L'adresse IP choisie doit être dans la même plage que l'ensemble du réseau, ou au moins que le PC connecté si vous travaillez en adresses IP fixe.

Une fois cette configuration effectuée, vous pouvez accéder à la configuration du switch manageable DGS-1216T via votre navigateur préféré ou en utilisant le bouton Web Access dans la fenêtre de configuration. L'affichage de départ donne un résumé de la configuration de l'équipement.

Un rapide aperçu des menus nous donne:

Ports, permet de configurer la vitesse des différents ports, ainsi que le Flow Control (enabled permet de réduire les pertes de données) ou la priorité du port par rapport aux autres (QOS)

802.1Q VLAN qui permet d'associer des groupes de machines. Les connexions dans le même groupe ont accès entre eux, pas les autres. Ceci permet de totalement dissocier deux réseaux Lan.

le trunking qui permet de créer un regroupement de plusieurs switch, notamment les tables de correspondance port / adresse IP connectée. mirror setting permet de renvoyer une copie de toutes les données transmises vers un port vers un autre port, notamment utilisé lorsque l'on utilise un analyseur. Le spanning tree protocol (aussi appelé STP) est un protocole réseau (norme 802.1d) permettant de définir un chemin de remplacement si la connexion principale est

coupée. La connexion configurée ne se met en fonction que si il y a une panne sur la première route, évitant les connexions de boucles (plusieurs chemins possibles). SNMP, permet la gestion simple d'un réseau Jumbo Frame permet d'accepter ou non les trames Ethernet avec un MTU supérieur à 1500 bytes (octets), taille maximum en Ethernet 10/100 mais qui peuvent être

dépassés dans le Gigabit (9000 maximum). QoS est lié aux niveaux de priorité des ports vus plus hauts. Status affiche la configuration de départ comme lors de la connexion. Statistic permet d'afficher les erreurs de transmissions par ports.

17. Exercice: connexion routeur - firewall hardware avec un modem ADSL RJ45.17.1. Modem ADSL Tornado Copperjet 812 - 17.2. Routeur - Firewall Hardware - Switch - 17.3. Paramétrage réseau et INTERNET des PC connectés - 17.4.

Quelques exemples de tentatives d'intrusions et autres.

Sans la pratique, la théorie ne sert pas à grand chose. Cet exercice de partage de connexion reprend la connexion et le paramétrage d'un routeur - firewall matériel avec un modem ADSL RJ45 (un routeur utilisé comme pont, simple modem ADSL), le tout connecté à un réseau Ethernet. Cette installation professionnelle sécurisée est réservée aux entreprises. La formation INTERNET reprend plusieurs chapitres sur le partage de connexion INTERNET (méthodes, modem USB, routeur / modem).

Si vous achetez un modem directement à votre fournisseur d'accès, pas de problème, il est configuré grâce à un fichier spécifique. Par contre, si vous achetez un appareil à l'extérieur, vous devez pratiquement réinventer la roue, sans support technique. Les trucs donnés ici serviront (je l'espère) à faciliter la vie pour d'autres connexions ADSL. Les paramètres Internet donnés ci-dessous sont spécifiques au fournisseur d'accès SKYNET (belgique), Paramètres de connexion reprend ces paramètres pour divers fournisseurs d'accès

17.1. Le modem - routeur ADSL

Le modem ADSL RJ45 utilisé ici intègre un routeur. Deux modèles de connexion sont proposés: en réseau Ethernet.

Soit connexion réseau avec un HUB (ou un switch). L'appareil est alors utilisé comme routeur ADSL et permet directement le partage de la connexion Internet.

Soit, connexion directement sur un PC munis d'une carte réseau Ethernet 10 (ou 100). Dans ce cas, l'appareil est utilisé comme modem ADSL.

Nous utiliserons une connexion similaire à la deuxième solution. Le deuxième appareil (un firewall - routeur Hardware) ci-dessous servira lui de routeur et le routeur Tornado sera utilisé en "mode Pont" (finalement comme simple modem). Remarquez la différence de connexion au niveau du câble RJ45. Dans le cas d'un PC, on utilise un câble croisé RJ45. Dans notre cas, comme il s'agit d'un router et non d'un HUB, nous utiliserons également un câble croisé.

Les modems TORNADO sont solides mais ont systématiquement une documentation complexe et ... une configuration à l'aide d'un logiciel spécifique. Ceci pose souvent des problèmes avec les nouveaux systèmes d'exploitation (programmes incompatibles). Le modem ADSL doit être directement connecté sur une carte réseau pour être configuré. L'installation du programme est à la portée de n'importe quel amateur informatique. Après l'installation, on retrouve 2 logiciels: un de configuration et un moniteur. Vous pouvez vérifier par le moniteur la version dur firmware.

Comme se modèle ne peut être paramétré qu'en connexion directe, commençons par celui-ci.

L'utilisation de ce modem nécessite le chargement d'un profile (un fichier spécifique). Cliquons sur Edit/new profile pour créer un tel profile. Une fois le fichier enregistré, la fenêtre suivante apparaît. Voici tous les modes d'utilisation de ce modem. Nous les verrons à tour de rôle, avec à chaque fois l'utilisation et les configurations.

17.1.1. mode bridged (pont)

Ce mode pont permet la connexion du modem comme passerelle. Dans ce mode, nous n'utilisons que la partie modem du routeur, toutes les autres fonctions sont deseabled (login et mot de passe, NAT, firewall éventuel, ...). Dans la fenêtre, nous rentrons:

1. l'adresse IP Lan: définie par l'utilisateur dans la classe 3 des adresses IP, soit de 192.168.0.0. à 192.168.255.255. Ceci correspond à la plage des adresses réseau internes. Décidons par exemple 192.168.1.2.Nous reprendrons cette adresse dans tous les cas suivants.

2. Subnet mask: masque de sous-réseau. Dans la majorité des cas, ce masque est 255.255.255.0

3. L'adresse gateway, est l'adresse de la passerelle, typiquement celle du routeur: Prenons 192.168.1.1.

4. VPI / VCI. Premier problème, ces données sont rarement fournies: paramètres de connexion.

5. PCR (Peek Cell Rate). Ce nombre doit être compris ici entre 0 et 500.000. Ceci représente la vitesse maximale, je tape 500000. Remarquez que dans un autre routeur, la valeur par défaut était 864000.

6. Packet Filter: filtrage des données, soit aucun (par défaut), soit laisse passer uniquement les packets PPP (Forward), soit uniquement les IP. Laissez par défaut dans la majorité des cas.

Laissez les autres paramètres par défaut.

7. DNS relay doit être l'adresse TCP/IP du modem en cas de bridged., mais elle n'est pas nécessaire dans ce mode

 17.1.2. mode Routed, modem installé sur un HUB.

Ce mode permet de faire un pont entre un réseau local et un réseau WAN à adresse IP fixe.

Les paramètres sont pratiquement identiques, sauf que:

Vous devez spécifier l'adresse Wan (Internet). Dans le cas d'une liaison ADSL avec adresse TCP/IP fixe, c'est le mode de travail.

Vous pouvez également utiliser dans ce cas le modem en serveur DHCP (configuration adresses TCP/IP automatiques). Les données sont identiques au mode bridged pour le reste.

17.1.3. Mode PPPoA.

Ce mode PPPoA et le suivant PPPoE servent à une connexion Internet directe (cas où le modem est directement connecté sur une carte réseau. En Europe, le mode PPPoE et le mode PPoA peuvent tous deux êtres employés. Ceci dépend du fournisseur d'accès. En théorie, le mode PPPoE est utilisé par les modems RJ45, les PPPoA pour les modem USB.

Une grosse différence par rapport aux modes précédents, vous devez ici taper le login et le mot de passe fournis par le fournisseur d'accès. Pour rappel, le login est loginfourni@FOURNISSEUR

Dans le cas de skynet, ce sera du type gv52222@SKYNET. Le mot de passe est celui fourni par le fournisseur d'accès (provider). Le protocol PAP / CHAP est à essayer pour chaque fournisseur. VPI/VCI est spécifique aux fournisseur: paramètres de connexion INTERNET NAT (translation d'adresse) doit être coché quand votre adresse LAN diffère de votre adresse WAN, ce

qui est dans la grosse majorité des cas le cas. Le programme demande ici le type de connexion. Dans notre cas, elle est Ethernet et nous tapons

l'adresse et le masque habituel: 198.162.1.2 - 255.255.255.0. Cette adresse est nécessaire pour configuration ultérieure (cas d'un raccordement direct). Tapez l'adresse DNS relay. Celle-ci doit être l'adresse fournie en DNS dans le réseau local (sur chaque station), mais ce n'est pas obligatoire d'en taper une, notamment dans les systèmes d'exploitation 2000, XP et supérieurs qui l'incluent automatiquement. Nous verrons DHCP server plus tard.

17.1.4. Mode PPPoE (Point To Point Protocol Over Ethernet), le mode par défaut en Europe pour une connexion directe.

La configuration est identique à celle PPPoA, excepté que le NAT est d'office coché et que le protocole PAP / CHAP n'existe pas, ce qui est logique.

1. Username, par exemple gv52222@SKYNET

2. Password fourni par le provider ou fournisseur d'accès

3. VPI/VCI: 8/35, suivant le fournisseur d'accès (plus souvent le pays).

4. NAT à cocher.

5. Ethernet dans notre cas, toujours l'adresse 198.162.1.2. et le sous masque 255.255.255.0

6. DNS relay. Celle-ci doit être l'adresse fournie en DNS dans le réseau local (sur chaque station), mais ce n'est pas obligatoire d'en taper une, notamment dans les systèmes d'exploitation 2000, XP et supérieurs qui l'incluent automatiquement.

17.1.5. Les autres modes: PPTP et IPoA

Ce sont des modes hybrides que je ne vois pas.

17.1.6. Au final.

Dans le cas d'une liaison par routeur, le mode utilisé est bridged, dans le cas d'une liaison par HUB ou en direct, le mode de connexion est PPPoE. La seule différence entre une connexion directe et une connexion HUB est liée à la passerelle qui peut être renseignée dans la configuration du PC (ce n'est pas toujours nécessaire). Dans paramètres, sélectionner TCP/IP sur carte réseau et taper l'adresse TCP/IP de la passerelle, dans notre cas 200.1.1.1. (n'oubliez pas de cliquer sur ajouter).

Et voilà pour le modem. Cette partie suffira pour toutes les connexions modems ADSL. Pour les petits modems, retenez au moins les paramètres VPI/VCI.

17.1.7. Configuration DHCP serveur

Ce mode permet d'attribuer automatiquement des adresses TCP/IP aux stations par le modem (attention aux OS 2000 et XP). Pour les cas les plus courants, ceci n'est pas nécessaire.

On retrouve l'adresse DHCP serveur, terminant par 0 avec toujours le sous masque 255.255.255.0. L'adresse Serveur est donc 198.162.1.0. Pour rappel, le DHCP permet à un appareil de fournir à tous les appareils connectés sur le réseau une adresse IP.

Range détermine la plage d'adresse qui sera attribué aux stations. Dans notre cas, 198.162.1.10 à 198.162.1.30

L'adresse Routeur est obligatoirement celle donnée au modem, soit 198.162.1.2 dans notre cas

17.2. Routeur - firewall Hardware - Switch 4 ports.

  Le routeur - firewall est fourni par la firme Zero One Technology. Ce modèle est équipé d'un Switch 4 ports, d'une connexion vers modem ADSL RJ45 (d'où l'utilisation ci-dessus du Copperjet 812), d'un routeur et d'un firewall hardware intégré.

Plusieurs appareils de ce type existent dans pratiquement toutes les marques. Certains avec modem intégré, d'autres sans, ... le choix est suffisamment large.

Ces appareils se configurent par TELNET ou une interface web, directement en tapant l'adresse de l'appareil dans la barre d'adresse d'Internet Explorer. Dans l'appareil ci-dessus, vous devez configurer votre connexion TCP/IP PC pour obtenir une adresse TCP/IP automatique ou du moins faire partie du même groupe soit 192.168.1.X en sachant que par défaut l'adresse du routeur est 192.168.1.1. Dans les paramètres de connexions INTERNET Explorer, n'utilisez pas de proxy à ce stade, sinon, vous n'aurez pas d'accès au routeur (ou sinon, utilisez "Pas pour les adresses locales" avec l'adresse du routeur en option).

Après avoir tapé l'adresse de l'appareil dans la barre, la connexion se fait, avec un login et un mot de passe spécifique à l'appareil.

17.2.1. Configuration ADSL

Commençons par configurer la connexion ADSL.

Use PPPoE Yes (forcément). Username et mot de passe sont fournis par le fournisseur d'accès.

Le Service Name est parfois fourni par le fournisseur d'accès, sinon, ne mettez rien. "Connect on demand" permet de couper la connexion (et de se reconnecter) après 120 minutes, mais moins est nettement conseillé. Si l'abonnement ADSL prévoit une adresse TCP/IP Internet fixe, elle doit être rentrée en "Fixed Adress".

Cette deuxième partie permet de configurer le TCP/IP.

Soit votre adresse TCP/IP Internet est fournie automatiquement par le fournisseur d'accès (Obtain IP adresss Automatically), soit elle est fixe et fournie par celui-ci.

Les paramètres DNS primaires et secondaires sont fournis par votre fournisseur d'accès. Ceux ci-dessus sont ceux de Skynet.

17.2.2. Configuration IP / Lan

Cette partie permet de configurer le routeur sur le réseau interne. Nous lui fournissons une adresse (ici 192.180.1.1.) et un masque de sous-réseau (255.255.255.0)

L'adresse "Défaut gateway" est généralement celle du routeur (Lan IP adress) et doit être renseignée dans la configuration réseau de chaque PC

NAT doit toujours être coché.

D'autres configuration permettent de modifier les mots de passe et l'heure interne du routeur. Cette dernière option est utilisée par la fonction firewall.

17.2.3. Autres paramétrages

D'autres paramétrages permettent d'utiliser le routeur en serveur DHCP (cf. modem), configurer le routeur en DMZ (zone démilitarisée avec 2 routeurs), .....

17.2.4. Firewall hardware intégré.

Je ne rentrerai pas trop dans les détails puisque celui-ci est spécifique à cet appareil, seulement les configurations de base.

Forcément, vous autorisez la protection firewall. Par défaut, vous laissez (forward) les connexions du LAN (réseau interne) au Wan (Internet). Dans le cas contraire, il est difficile en cas de blocage quel port est bloqué.

Le paramétrage suivant permet de bloquer les connexions TCP/IP incomplètes à partir d'un certain nombre par minutes (on est jamais trop prudent).

Les attaques DoS (Denied of Service) sont des attaques massives de trames incomplètes sur une adresse Internet donnée. La cible tente de reconstruire les messages inférieurs à 64 bits et finalement "s'écroule" sous la charge de travail.

Le port 139 est utilisé en NetBios par le partage des ressources en réseaux Windows (avec 137 et 138). Pour éviter le partage de ressources (disque dur et répertoires via Internet): Non.

Enable remote management ... permet de configurer le routeur via INTERNET, peu recommandable, seulement dans des durées limitées.

La dernière commande permet de ne pas répondre aux commandes de type Ping provenant d'Internet (scannage des adresses, commande DOS Ping).

D'autres commandes permettent d'interdire des plages d'adresses ou des ports du Lan vers Internet et vis versa. 

La partie suivante permet d'envoyer un mail à une adresse donnée s'il y a une attaque ou même dans le cas plus bas pour envoyer par mail le fichier LOG.

17.2.5. Les ports TCP et UDP à ouvrir sur le firewall

Dans le paramétrage de ce type de firewall, vous pouvez bloquer tous les ports TCP et UDP et n'en ouvrir que quelques uns. La liste des ports a Ouvrir (ou a absolument fermer) est reprise dans la formation INTERNET: Classes d'adresses, ports TCP et UDP

17.3. Le paramétrage sur le PC.

Une fois le paramétrage effectué sur les différents appareils, reste à connecter l'installation. L'installation se fait en deux parties, le paramétrage de la connexion réseau interne et le paramétrage de la connexion INTERNET . Pour la majorité des firewall - routeurs actuels, tous les paramètres sont automatiquement renvoyés au PC, principalement en Windows XP et Vista. Ces configurations ne sont à faire que quand ça ... fonctionne pas. En plus, par défaut, ces systèmes d'exploitation se connectent via le réseau RJ45 s'ils détectent une connexion existante.

17.3.1. Le paramétrage réseau et connexion INTERNET.

Comme pour toutes les connexions INTERNET, le protocole TCP/IP doit être implanté sur votre carte réseau. Reprenons les paramètres de configurations de chaque PC et sélectionnons la carte réseau qui va se connecter (même via des switch ou HUB) sur le routeur. 

En affichant les propriétés TCP/IP de cette carte réseau, on obtient la fenêtre suivante

L'onglet Adresse IP permet soit de laisser l'adresse automatique (par DHCP), soit de la spécifier. Dans le cas d'une adresse automatique, la configuration IP des stations est automatisée. Par contre, la spécification d'une adresse a plusieurs avantages. Premièrement, ceci permet de retrouver via son adresse unique quel PC tente des connexions indélicates. Deuxièmement, en jouant sur le firewall, on peut utiliser le TCP/IP et refuser que certains PC (via leur adresse IP) se connectent sur INTERNET. Par exemple, on peut autoriser les adresses 192.168.1.1 à 192.168.1.100 à se connecter, mais pas les adresses 192.168.1.101 à 192.168.1.255. Le masque de sous-réseau doit être toujours paramétrer en 255.255.255.0. Dans le cas de partage avec un PC sous Microsoft Windows XP, c'est quasiment la seule méthode de connexion possible.

L'onglet Configuration Wins est sans importance ici. Intéressons nous à la passerelle. Elle doit être renseignée comme celle du routeur, soit dans notre cas: 192.168.1.1. La connexion marche généralement sans mais ceci facilite la connexion.

La configuration DNS n'est pas obligatoire mais de nombreuses connexions ne fonctionnent pas sans. Par habitude, je l'insère. Elle doit être identique à celle implantée dans le routeur (sinon Internet Explorer ne fonctionne pas). Le nom d'hôte et de domaine est sans importance mais doit être renseignée sous Windows 98. Les paramètres ci-dessous sont ceux de Skynet: rentrez d'abord le DNS primaire et ensuite le DNS secondaire. D'autres paramètres de connexion FAI

Après avoir redémarrer le PC (du moins en Windows 98), il ne reste plus qu'à paramétrer la connexion INTERNET pour ce partage de connexion ADSL par routeur.

17.3.2. Paramétrage de la connexion INTERNET.

Démarrer Internet Explorer. S'il ne détecte pas de connexion, arrêter la tentative. Dans le menu Outils, sélectionnez "Options Internet". Dans l'onglet Connexions, cliquez sur le bouton Configurer.

Cochez la case "Je veux configurer ma connexion manuellement ou en utilisant un réseau local "LAN". Ensuite "En utilisant un réseau local. Laissez à ce stade le proxy en automatique. Si votre messagerie est déjà configurée, vous n'avez plus besoin de la configurer.

Dans le même onglet, cliquez sur le bouton "Paramètres Lan".

Pour utiliser le proxy de votre fournisseur d'accès (ici Skynet), cochez la case correspondante et tapez l'adresse fournie par le FAI. Dans ce cas, si vous utilisez des connexions spécifiques (le logiciel bancaire ISABEL par exemple) ou souhaitez avoir accès à la configuration du routeur à partir de ce PC,  vous devez cocher la case "Ne pas utiliser de serveur proxy pour les adresses locales et cliquez sur le bouton "Avancés".

Dans les exceptions, tapez l'adresse IP du routeur et les différentes exceptions souhaitées. Une fois ces modifications acceptées, votre connexion fonctionne en automatique.

Quelques précautions néanmoins, décochez la case "Vérifiez les messages toutes les 30 minutes" dans les paramètres de votre messagerie. En effet, comme la communication vers INTERNET est transparente, n'importe quel programme peut se connecter sur INTERNET quand il veut. Avec cette option, la connexion reste ouverte en permanence ce qui peut provoquer des risques de sécurité (même si le firewall protège une large partie des communications, mieux vaut rester prudent).

17.4. Quelques exemple de la vie d'une connexion INTERNET

Voici quelques exemples de fichier LOG du firewall hardware (avec adresse Wan TCP/IP non permanente), un condensé de systèmes protégés différents.

La dernière adresse correspond à l'adresse du PC du réseau interne au moment de la connexion. Toutes les lignes ne sont pas forcément des tentatives d'intrusion via Internet, on trouve des ports officiels IANA (mais rien ne dit qu'il ne s'agit pas d'une autre application, des ports typiques à un trojan, des ports utilisés mais fermés (de type ICQ, MSN messenger, ...), ICMP attack sans importance (un ping), ... Certaines commandes essayent sur le routeur, d'autres directement sur les PC (les adresses de type 192.168.X.X). Les messages proviennent autant en TCP qu'en UDP

fc-cli 1371tcp Fujitsu Config Protocol IANA port officiel ou ?

Tue May 07 07:58:44 2002 - policy rule - tcp [wan,213.36.127.59,192.168.1.152:1371] - [discard]  

Un ping, il y en a qui s'amuse.   Tue May 07 10:37:42 2002 - icmp attack - icmp [wan,213.36.100.179,217.136.190.170:0] - [discard]

A partir d'un PC, toujours le même. Comme les tentatives de sortie ne se sont plus produites, plutôt une application qu'un trojan (faut pas être paranoïaque mais lucide)

6667tcp Trinity trojan

6667tcp WinSatan trojan

6667tcp Schedule Agent trojan

ircd 6667 tcp Internet Relay Chat IANAircd 6667udp Internet Relay Chat IANAircu 6667 tcp IRCU IANAircu 6667udp IRCU IANA

Tue Dec 17 18:27:40 2002 - policy rule - tcp [lan,192.168.1.97,213.177.65.17:6667] - [discard]...

Jeux provenant de l'extérieur Tue Dec 17 18:08:08 2002 - policy rule - udp [wan,80.200.150.123,217.136.155.190:27015]-[discard]

Pourquoi pas essayer avec PC anywherepcanywherestat 5632tcp pcANYWHEREstat IANA

Tue Dec 17 23:11:02 2002 - policy rule - udp [wan,217.136.191.74,217.136.155.190:5632]   - [discard]

Inconnu mais justement, pas officiels.

Wed Dec 18 13:44:57 2002 - policy rule - tcp  [wan,193.201.103.100,192.168.1.27:2193]   - [discard] Wed Dec 18 20:42:37 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.7:1223] - [discard] Fri Dec 20 15:42:00 2002 - policy rule - tcp [wan,193.201.103.91,192.168.1.152:3524] - [discard]

Officiel IANA Wed Dec 18 14:06:11 2002 -  policy rule - tcp [wan,80.200.248.200,192.168.1.4:2845] - [discard]Wed Dec 18 14:36:18 2002 -  policy rule - tcp [wan,80.200.248.200,192.168.1.4:2848] - [discard] Wed Dec 18 15:06:29 2002 -  policy rule - tcp [wan,80.200.248.200,192.168.1.4:2851] - [discard]

Officiel IANA pour un logiciel de contrôle à distance de serveur http://www.folio.com (pas sûr que ce soit logique) et toujours sur le même PC

Fri Dec 20 16:13:48 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.27:2242]  - [discard] Fri Dec 20 16:28:48 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.27:2242]  - [discard]

31789 udp Hack´a´Tack trojan

Wed Dec 18 14:40:20 2002 - policy rule - udp [wan,217.136.26.127,217.136.155.190:31789] - [discard]  

http://www.phonefree.com (un employé qui s'amuse ?)

Fri Dec 20 16:20:53 2002 - policy rule - tcp [wan,207.46.106.183,192.168.1.119:1035] - [discard]

1812, officiellement un port officiel ou CuSeeMe (un logiciel de video conférence) mais qui travaille alors que personne n'est dans l'entreprise et provenant d'adresses sources (Wan) différents ...

Sat Dec 21 01:51:00 2002 - policy rule - udp [wan,195.250.78.242,217.136.154.118:1812] - [discard]Sat Dec 21 01:55:26 2002 - policy rule - udp [wan,218.1.36.50,217.136.154.118:1812] - [discard]

Une attaque informatique nettement plus grave Sat Dec 21 20:12:49 2002 - tear drop attack - any [wan,192.9.200.32,217.136.155.185:0] - [discard]

Un TEAR DROP consiste à envoyer des informations (appelé OOB = Out Of Band ) sur des ports de windows (toutes versions 32 bits). Les informations envoyées sont des packets TCP qui se recouvrent. Lorsque l'ordinateur victime reçoit ces packets, il tente de les reconstruire. N'y arrivant pas, cela provoque un plantage, un écran bleu causant une erreur de protection générale et vous n'avez d'autre choix que de redémarrer l'ordinateur. Le tear drop, le new tear et le boink (des attaques similaires) peuvent aussi affecter les systèmes Linux (inférieur à 2.0.32), mac et unix. Un article plus complet sur la sécurité, le chapitre 17 du cours INTERNET (sécurité) reprend ces problèmes en détails.

Pour retrouvé un semblant de localisation du PC qui tente l'intrusion, utilisez la commande DOS tracert .

Une dernière remarque, les adresses réseau LINKLOCAL (APIPA) commencent toujours par 169.254 et ont le format suivant: 169.254.X.X Les adresses réseau LINKLOCAL sont réservées aux adresses privées et internes et ne peuvent pas être utilisées sur les ordinateurs reliés par le Partage de connexion Internet.

18. Ordinateur pour point de vente: terminal, code barre, imprimante ticket, ...

1. Qu'est-ce que c'est? - 2. Utiliser un ordinateur standard - 3. Le logiciel - 4. Impression - 5. Scanner codes barres - 6. Tiroir caisse - 7. Afficheur client

Ces équipements remplacent les caisse enregistreuses. Nous avons vu quasiment toutes les parties: écran tactile, impression, ... Il nous reste à connecter les différentes parties mais aussi le scanner code barre, tiroir caisse et afficheur client. Pour fabriquer ces ordinateurs spécifiques pour magasin, restauration, ... Deux méthodes peuvent être utilisées

Un appareil spécifique (appelé terminal de vente, POS) qui intègre un petit ordinateur, l'écran tactile et l'afficheur client, parfois l'imprimante à ticket et un lecteur de cartes en option.

un ordinateur standard avec un écran tactile (ou non) séparé mais aussi les périphériques annexes.

Les deux solutions sont à peu prêt équivalentes puisque les possibilités sont surtout en fonction du logiciel mais pas tout à fait. La principale différente par rapport à un PC standard est au niveau des ports de communication externes USB mais surtout série (désuets pour beaucoup d'applications mais utilisés pour raccorder les imprimantes sur des longues distances). Les deux solutions intègrent une connexion réseau Ethernet. Certains tablettes PC sont parfois utilisées.

1. Un terminal point de vente

La première solution est l'achat d'un équipement spécifiques qui va intégrer l'écran tactile de 12,1 à 15 " suivant les modèles. L'affichage des prix et totaux pour le client est lui aussi directement intégré à l'arrière de l'appareil. Une imprimante thermique est intégrée ou non pour les tickets. L'avantage est lié au design et à la compacité de l'équipement.

Par contre, la configuration informatique est nettement plus faible qu'un ordinateur standard au niveau processeur, mémoire et taille du disque dur. Ce sont des équipements spécialisés pour des logiciels qui ne demandent pas de réelles performances. Deuxième défaut, les cartes sont spécifiques au fabricant: en cas de panne ... les prix sont plus chères, en sachant qu'on ne peux pas remplacer l'une ou l'autre pièce par un modèle équivalent. Le prix d'achat est lui aussi plus chère. Troisième défaut, les extensions possibles sont des plus limitées au niveau des bus internes mais avec un nombre de connecteurs externes importants (Ethernet, USB mais principalement série).

Pour ces appareils, le tiroir caisse et l'imprimante sont le plus souvent externes et reliés au terminal par des connecteurs spécifiques. La douchette code barre est toujours externe.

2. Un ordinateur standard avec périphériques spécifiques

La deuxième solution utilise un ordinateur standard qui va être connecté à un écran tactile (ou non), une imprimante ticket séparée, un afficheur client, un tiroir caisse. L'avantage est la modularité de l'équipement, une panne d'écran ne nécessite que le remplacement de l'écran dont vous pouvez choisir la taille dans une gamme plus vaste (y compris en mettre deux si votre carte graphique le permet). Le deuxième avantage est lié à la puissance de l'ordinateur qui peut être adapté à d'autres besoins simultanément. Le troisième est lié au prix de revient, généralement nettement moins chère.

Par contre, cette solution est plus complexe à mettre en oeuvre (rien que la connexion des périphériques) au niveau des fixations des périphériques secondaires, notamment l'afficheur client qui doit être fixé sur le comptoir. Les solutions tablet PC sont de ce type. C'est principalement cette solution que nous allons voire puisqu'elle permet aussi d'utiliser un ordinateur existant, même dépassé pour une utilisation standard.

La principale différence entre ces équipements et de simples ordinateurs utilisés pour le bureau est lié aux connecteurs externes. Le nombre de ports USB est équivalent. Par contre, si les ports parallèle et série ont disparu des ordinateurs standards, pas tout à fait pour ce matériel spécialisé. Les ports série sont toujours utilisés pour la transmission des impression longue distance. Cette solution est principalement utilisée dans la restauration pour une deuxième imprimante qui envoie directement les commandes en cuisine à l'aide d'une ... imprimante (le plus souvent, une vieille technologie à aiguille).

Dans le cas d'un PC standard, des cartes additionnelles PCI peuvent être ajoutée pour augmenter le nombre de ports série. Vous pouvez également utiliser des convertisseurs USB - série.

3. Logiciel.

Comme ce cours est typiquement matériel, je ne m'attarderai pas trop sur le sujet. YBET informatique est revendeur Ciel pour la Belgique - Grand duché de Luxembourg, notamment CIEL Point de Vente qui fonctionne sur les deux solutions en version mono poste ou réseau. 

Au niveau des ventes, les possibilités de ces logiciels incluent généralement l'utilisation directe des doigts pour entrer directement les produits classés par famille, sous-famille, rayon, ... produit mais surtout l'utilisation des codes barres pour encoder les ventes. Comme pour une caisse enregistreuse, plusieurs moyens de payements sont proposés (en option avec raccordement direct à un terminal carte bancaire - carte de crédit).

Au niveau de la gestion des stocks et inventaire (le gros avantage par rapport aux caisses standard), la méthode employée est le plus souvent FIFO (premier entré - premier sorti), les autres méthodes étant gérés par les gestions commerciales (quelques versions permettent également la gestion par numéro de série).

Au niveau des achats de marchandise, on retrouve un fournisseur principal par produit (parfois des secondaires), avec le code de commande du fournisseur (différent du code du vendeur) mais surtout la préparation de commandes en fonction du stock maximum, minimum.

Et pour terminer, la fiche article (plus généralement la famille) permet d'entrer directement les comptes comptables pour le transfert des ventes, achats de marchandises et payements en comptabilité mais aussi les calculs automatiques des prix de vente (hors ou avec TVA), photo de l'article, grille taille et couleur (utilisée dans l'habillement principalement), ... Quelques logiciels comme Ciel permettent également la création et l'impression de codes barres.

4. Imprimante ticket, à souche.

La solution PC et POS permet d'utiliser aussi une imprimante A4 standard ( mais à part pour l'impression de factures, ce n'est généralement pas le but des ces équipements). En pratique, le type d'imprimante doit être accepté par le programme de gestion dans sa configuration.

Deux types d'imprimantes peuvent être connectée: à ticket ou à souche. Ces dernières sont utilisées pour certaines souches TVA utilisées dans l'horeca ou pour la validation de chèques et sont le plus souvent spécifiques.

Restent les imprimantes à ticket qui utilisent deux technologies distinctes: thermique ou aiguille. Petit rappel entre ces deux technologies. L'impression thermique une tête d'impression sur toute la largeur du papier qui chauffe le papier lorsqu'il défile et permet de marquer le papier (spécial). Cette solution est silencieuse et permet d'imprimer des logos et petits dessins (aussi des codes barres). Par contre, le papier est plus chères et ne résiste pas vraiment à la lumière pendant longtemps. L'impression à aiguille ne permet pas de dessin ni codes barres, est nettement plus bruyante mais le papier résiste mieux à l'humidité, ... Vous l'avez compris, cette technologie n'est presque plus utilisée que comme imprimante pour les cuisines et horeca, avec en plus de longues distances par rapport au terminal, ce qui va automatiquement utiliser une connexion série (10 mètres maximum en parallèle, 5 en USB pour 40 mètres sans trop de problèmes en série standard (0 à +5 volts) et plus d'une centaine de mètres avec des convertisseurs externes en RS432 /485. Les autres modèles sont le plus souvent en USB actuellement.

La connexion série peut se faire suivant deux méthodes: matériel avec quasiment toutes les broches connectées ou en utilisant le protocole Xon / Xoff qui ne nécessite que 3 fils à raccorder (plus dans le connecteur). Les deux méthodes de raccordement ont été vue en première année. En connexion modem, les broches d'émission / réception sont connectées droites. Par contre, pour connecter un ordinateur à une imprimante (ou deux ordinateurs entre eux), on utilise un câble appelé null modem où les broches 2 et 3 sont croisées. Ces câbles sont le plus souvent soudés directement aux deux connecteurs sur place par le technicien (essayez de faire passer un connecteur DB9 ou DB25 dans des goulottes ou pire dans des trous faits dans les murs (même problème qu'en connexion Ethernet en entreprise).

4.1. Configuration des imprimantes séries

Dans la première partie du cours hardware, on a vu en détail les connexions séries. Pour qu'une communication fonctionne, il faut plusieurs choses de synchronisé entre les deux équipements: connexion hardware ou protocole Xon/Xoff (signalé plus haut), mais aussi la vitesse de transmission, parité ou non (mais aussi Even - paire ou Odd - impaire), bit stop ou non. Au niveau de l'imprimante, ces paramètres se configurent par de petits pontages (à l'arrière de l'imprimante ou sous une petite trappe en dessous). Pour le PC, la configuration se fait via les propriétés systèmes du panneau de configuration en sélectionnant les propriétés de la connexion série comme ci-contre. Les deux doivent être équivalents.

Le pilote doit aussi être installé dans l'ordinateur mais c'est assez théorique puisque les logiciels acceptent quelques modèles mais pas tous (une première difficulté de configuration, mieux vaut se renseigner avant d'acheter l'imprimante en fonction du logiciel choisi).  Quasiment tous les modèles Epson sont connus (c'est un avantage mais ces modèles sont généralement plus chères), d'autres marques proposent parfois une émulation).

Des caractères imprimés bizarres peuvent venir de plusieurs raisons. La première vient d'un pilote inadéquat ou d'un mauvais choix de modèle d'imprimante dans le logiciel. La deuxième raison est liée à un mauvais choix des paramétrages de la configuration série imprimante - ordinateur mais aussi de parasites sur la longueur du câble ou de mauvaises soudures sur les connecteurs.

4.2. Format papier - étiquette.

En général, l'impression se fait correctement pour des tickets clients. Là ou le problème se pose, c'est au niveau des étiquettes. C'est le pilote de l'imprimante qui gère le plus souvent des sauts de ligne, de page (pardon d'étiquettes). Sans le pilote adéquat, c'est difficile, mais c'est souvent le paramétrage dans le logiciel point de vente qui permet de corriger le problème (éventuellement un paramétrage par pontage sur l'imprimante). Changer de format d'étiquette nécessite de reparamétrer le logiciel ou le pilote d'impression.

4.3. Dépannage d'une imprimante thermique magasin.

La tête d'impression fait toute la largeur du chemin de déplacement du papier. Premier problème, des résidus de papiers (plus souvent d'étiquettes) sont restés collés. Le nettoyage se fait avec un chiffon doux, du papier essuie tout, ... imbibé d'alcool dénaturé. Par contre, la tête peut aussi être brûlée et doit être remplacée. Ce dépannage - entretien n'est à faire que pour des imprimantes qui impriment ... mal, donc avec encore un déplacement du papier lorsqu'on demande une impression.

4.4. Dépannage d'une imprimante aiguille.

Les techniques d'entretien vues pour les imprimantes standard sont les mêmes: nettoyage de la barre de déplacement latéral avec du simple papier absorbant (elles sont généralement auto-lubrifiantes donc pas d'alcool), démontage de la tête et trempage dans de l'alcool dénaturé une bonne nuit (en recouvrant le pot avec une simple feuille de carton par exemple pour éviter l'évaporation). Ceci nettoie les résidus de bandes qui bloquent les têtes. Si après le problème persiste (moteur d'entraînement d'une ou plusieurs aiguilles brûlé), la seule solution est de changer complètement la tête. 

5. Le lecteur code barre

Commençons par la connexion à l'ordinateur.

En PS2: Dans ce cas, un câble en Y se raccorde en premier sur l'ordinateur sur le connecteur du clavier et les deux branches de raccordent d'un coté au scanner, de l'autre au clavier.

USB, comme un simple clavier également. Certains modèles nécessitent un pilote spécifique Série (obsolète) avec une programmation spécifique pour le logiciel point de vente (s'il est reconnu) mais aussi un paramétrage de la

vitesse, stop bit, parité, ... sur l'ordinateur comme pour la connexion des imprimantes tickets ci-dessus.

En pratique, seuls les deux premiers sont encore réellement utilisés, les derniers modèles ne sont plus fabriqués que pour des caisses enregistreuses. Beaucoup de modèles de scanner sont livrés avec des câbles de connexion interchangeables. Les modèles sans fils utilisent les même connexions, seul ou boîtier additionnel est utilisé pour la transmission sans fils.

Comment fonctionne un code barre? Deux types sont utilisés, suivant le type de lumière utilisée: à LED ou laser. Les derniers sont un peu plus précis. Les modèles pistolets (douchettes) utilisent un seul rayon lumineux, des modèles de tables en utilisent plusieurs croisés, ceci permet de déplacer l'objet à plat, le lecteur détectant automatiquement le code barre quelque soit son emplacement sur la boîte.

5.1. Les types de codes barres

Différents formats sont utilisés comme l'EAN-8, EAN-13, code 39, code 128 (qui accepte aussi des lettres, de 1 à 99 caractères), Interleave 2-5 (nombre de caractère de 4 à 99), ... Tous les types ne sont pas forcément lisible par tous les appareils. Le code en chiffre (ou en lettre) est toujours inscrit en dessous au cas où il est illisible par le lecteur.

5.2. La programmation d'un scanner code barre.

La programmation se fait en scannant des codes barres spécifiques livrés avec le manuel d'utilisation. La première chose est de paramétrer le clavier suivant la langue utilisée avec le PC (Français, belge, anglais, américain, espagnol, ...).  Ensuite vient les types d'interfaces en fonction de votre équipement (utilisés pour certains modèles de POS spécifiques), le retour chariot (ou non) qui correspond à la touche entrée à la fin de la lecture d'un code barre, ... En dernier, quels sont les types de codes barres acceptés (certains codages peuvent être annulés).

Quelques modèles démarrent la lecture en appuyant un bouton, la majorité détectent automatiquement le déplacement.  Ceci est aussi généralement paramétrable.

6. Tiroir caisse électrique

Ces modèles sont alimentés en 12 volts via l'imprimante et pas directement par l'ordinateur. Le connecteur utilisé est semblable à un RJ11 utilisé en téléphonie mais avec 6 broches. Il n'y a normalement pas d'incompatibilités entre ces tiroirs et les logiciels pour l'ouverture en fin de vente (entrée et rendu monnaie).

7. Afficheur client.

Un afficheur client permet d'afficher les prix au client sur une ou deux lignes sur 20 ou 40 colonnes mais aussi de petits messages de bienvenue. Il est directement intégré dans les terminaux de vente et peut être ajouté en externe pour la solution ordinateur standard. C'est une des méthodes de protection des patrons vis à vis de leurs employés puisque le montant entré dans la caisse est clairement affiché.

Ces afficheurs à LED (parfois LCD) se connectent suivant les modèles en RS232 ou directement sur l'imprimante comme le tiroir caisse. Comme un seul connecteur est généralement disponible, on utilise généralement la connexion série. Le paramétrage de la connexion se fait à l'aide de dip switch en dessous: vitesse de transmission, nombre de bit (7 ou 8), parité éventuelle, ... De nouveau, ils doivent correspondre aux paramètres du port série de l'ordinateur. Les transformateurs d'alimentation sont généralement vendus en option (c'est aussi le cas pour les imprimantes).

Là, tous les logiciels n'acceptent pas de gérer tous les modèles, mieux vaut se renseigner avant. Les afficheurs clients Epson sont le plus souvent compatible avec tous les logiciels points de vente (c'est un standard).