CHAPITRE 2

WAN : Wide Area Network

Réseaux longue distance

1
 PLAN
• Introduction
• Les réseaux d’entreprises
• Technologies WAN
• Lignes dédiées ( lignes spécialisées )
• Les VPN

2
 Les WAN
• Réseaux à longue distance ou les réseaux étendus (Wide Area
Networks, WAN) interconnectent des réseaux locaux, et donnent
accès aux ordinateurs situés en d'autres lieux lointains.

• Les réseaux étendus couvre une région sur plusieurs centaines

voire milliers de km (un pays, un continent, …)

• Les WAN sont des Réseaux publics ou privés ( nécessitent

généralement une authentification des utilisateurs /des machines)

• Internet est un exemple d’un réseau WAN public

3
 Application des WAN : les Réseaux
d’entreprises
• C’est un réseau privé qui permet à l’ensemble des unités ,
géographiquement éloignés , d’une entreprise de
communiquer .

• Les unités peuvent être interne ou Externe ( des partenaires de

l’extérieur ).

4
 Exemple d’un réseau multi-sites

Entreprise A
( site 1)
WAN
Entreprise A
WAN (site 2)

Entreprise B Entreprise B
( site 1 ) (site 2 )

Comment permettre à l’entreprise de réaliser un tel réseau ?

5
 Les réseaux d’opérateurs
• La mise en œuvre des réseaux WAN nécessite un grand
investissent ( réalisation , maintenance, exploitation,…. )
• C'est pourquoi les services WAN sont généralement loués à des
fournisseurs de services ( opérateurs ).
• Les opérateurs sont des entreprises spécialisées dans le domaine
des télécommunication ( exemple : Algérie Telecom )
• Le fournisseur de services utilise une partie de son réseau pour
transporter les données des entreprises.

• Donc les solutions WAN sont généralement des solutions

louées ( payantes ).

6
 Les réseaux d’opérateurs
• Se sont généralement des réseaux qui couvrent toute un pays.

• Ils possèdent des liaisons vers l’international ( relations avec

d’autres opérateurs internationaux )

• Les réseaux d’opérateurs offrent des services ( transport de la

voix, données , vidéo ,…) qui peuvent être utilisé par les
entreprises pour avoir un réseau privé .

7
 Types de liaisons WAN

Les opérateurs offrent plusieurs types de liaisons WAN :

– Lignes Spécialisées ( lignes louées )

– VPN ( utiliser Internet )

8
 Lignes spécialisées ( lignes louées )
• Une Ligne louée (ou dédiée) fournit un chemin de
communication longue distance prédéfini entre deux LAN via
le réseau d’un opérateur ( une liaison point à point ) .

• Le client dispose d’une ligne de connexion de manière

permanente .

• Elles sont généralement utilisées pour transporter des

données .

9
 Lignes spécialisées

Entreprise A
Entreprise A (site 2)
( site 1)

Entreprise A
( site 3 )
10
 Avantage et inconvenants des lignes
louées
• Les liaisons spécialisées conviennent aux entreprises qui
nécessitent le transfert d’un gros volume de données avec un
débit de trafic constant.
• L'utilisation de la bande passante disponible pose un
problème, car la disponibilité de la ligne est facturée même
lorsque la connexion est inactive ( la facturation est en
fonction du débit choisi par le client ).
• Le coût des liaisons spécialisées peut être très élevé
lorsqu'elles servent à connecter plusieurs sites.

11
 Les VPN

Virtual Private Network

12
 Introduction
• Le réseau Internet est un réseau mondial, son utilisation peut
simplifier la conception des WAN .

• Problème de sécurité : les données transitent par d’autres

opérateurs dans le monde en entier, pour cela il faut utiliser
des mécanismes sécurisés pour créer des réseaux privés
virtuels ( Les VPN ).

13
 Les VPN
• Les réseaux privés virtuels (VPN : Virtual Private Network) permettent de
créer un chemin virtuel sécurisé entre une source et une destination.
• Grâce à un principe de tunnel (tunnelling) dont chaque extrémité est
identifiée, les données transitent après avoir été chiffrées (cryptées).

LAN 2
LAN 1 Serveur/routeur
Serveur/routeur Réseau privé virtuel
VPN VPN

Internet

Liaison avec l’ISP x Liaison avec l’ISP y

 Les VPN : Exemple

Machine B
10.0.1.2/25 10.0.1.129/25
Machine A

Serveur/routeur Serveur/routeur
Réseau privé virtuel
VPN VPN

Internet

LAN 1 LAN 2
Données Cryptées
10.0.1.0/25 10.0.1.128/25

Par exemple la machine A effectue un ping 10.0.1.129

 Les VPN

• Le trafic entre les sites d’un même VPN doit être

isolé par rapport aux autres .

• Les sites utilisent un adressage privé  ils ne

doivent pas changer leur plan d’adressage.

16
 VPN R
10.0.0.64/26
10.0.0.128/26
Internet VPN R
Internet
¨

VPN R
10.0.0.192/26
VPN R VPN B
10.0.0.0/26 VPN B 10.0.0.128/26
10.0.0.0/26

17
 Caractéristiques des VPN
• Un VPN repose essentiellement sur des lignes partagés et non
dédiées  Il est construit au dessus un réseau public (Internet).
• Un VPN permet d’interconnecter des sites distants donc c’est
un réseau et il est réservé à un groupe d’usagers déterminés
par authentification : privé.
• Le passage des données sur Internet doit s’accompagner d’un
processus de chiffrement pour protéger les données  Il faut
garantir que seuls les éléments qui appartiennent à un
VPN peuvent les interpréter.

18
 Types de VPN
• Il existe 2 types de VPN :
– Host to LAN
– LAN to LAN

19
 Types de VPNs
Host to LAN

· Accès distant d’un hôte au LAN distant via internet (Host to LAN)

LAN
Réseau privé virtuel Serveur/routeur
VPN

Internet
Une machine connectée
à Internet

-20-
 Types de VPNs
LAN to LAN
· Connexion entre plusieurs LANs distant via Internet (LAN to LAN)

LAN 2
LAN 1 Serveur/routeur
Serveur/routeur Réseau privé virtuel
VPN VPN

Internet

-21-
 Principe de tunnelling
• A la source du tunnel, les données sont insérées dans un paquet
du protocole de tunnelisation .
• La source chiffre aussi les données et les achemine en
empruntant ce chemin virtuel
Entête du réseau
de transit

LAN 2
LAN 1

Internet

Paquet de
Paquet de données
données reçu
envoyé
 Exemple : un tunnel IP in IP (encapsulation de IP
dans IP)

Serveur B
10.0.1.129/25
10.0.1.2/25
Machine A A B data

VPN
Internet

gw1 gw2
source destination

A B data Données Cryptées

gw1 gw2 A B d at a
10.0.1.0/25
10.0.1.128/25

Par exemple la machine A effectue un ping 10.0.1.129 23

 Éléments d’une connexion VPN
• Un VPN est composé essentiellement de 3 éléments :
– Un Serveur VPN :
• matériel (serveur, routeur /passerelle) qui accepte les connexions des clients
VPN.
• Lors d'une demande de connexion, le serveur authentifie le client.
• Une fois le tunnel ainsi ouvert, la source chiffre les données et les envoie
dans ce tunnel.
• A l'arrivée, le serveur VPN déchiffre les données et les distribue sur le
réseau local.
– Un Client VPN :
• c'est l'ordinateur qui va initier la connexion vers le serveur VPN.
• Il s'agit d'un logiciel qui réalisera les fonctions d'établissement du tunnel et
de chiffrement et déchiffrement des données.
– Tunnel :
• c'est la partie de la connexion pendant laquelle les données sont chiffrées.
Cela nécessite l’utilisation d’un protocole de tunneling.
24
 Les VPN et les couches OSI
• Classification des VPN selon les couches du
modèle OSI
– VPN de niveau 2 (couche liaison)
– VPN de niveau 3 (couche réseau)
– VPN de niveau >= 4 (couche transport, session ,
application )

25
 VPN (logiciels) et couches OSI

Application HTTPS, …
Présentation
Session SSL / TLS
Transport
Réseau IP / IPSec (ESP, AH)
Liaison PPTP, L2TP, …
Physique

26
 Protocole VPN : Protocoles de "tunneling "

• Il faut utiliser le même protocole de tunneling dans tous les

composants du VPN.

• Les principaux protocoles de niveau 2 et 3 permettant

l’établissement d’un VPN :

– le protocole PPTP (Point to Point Tunneling Protocol) mis

au point par la société Microsoft ;
– le protocole L2TP (Layer Two Tunneling Protocol) proposé
par l’IETF;
– le protocole IPSEC ( IP Secured ) : proposé par l’IETF;

27
 IPSec
• Selon la RFC de IETF : IPSec est un protocole de sécurité au
sein de la couche réseau, qui a été développé pour fournir un
service de sécurité à base de cryptographie, permettant de
garantir l’authentification, l’intégrité, le contrôle d’accès et la
confidentialité des données.
• Services de sécurités offerts par IPsec :
– Authentification des extrémités
– Confidentialité des données échangées
– Authenticité des données
– Intégrité des données échangées

28
 Composants d’IPsec

• Protocoles de sécurité :
– Authentication Header (AH) RFC 2402
– Encapsulation Security Payload (ESP) RFC 2406
– Protocole d'échange de clefs : Internet Key
Exchange (IKE) RFC 2409
• Utilise deux modes :
– Mode transport : pas d’entête IP supplémentaire
– Mode tunnel : un nouveau entête IP est rajouté

29
 Le protocole AH

• AH = Authentication Header .
• Garantit :
– l'authentification.
– l'intégrité
– Pas de confidentialité !
• Les données sont seulement signées ( utiliser une fonction de
hachage ) mais pas chiffrées.
• Utiliser les algorithmes MD5 (128 bits) et SHA-1

30
Le protocole AH

31
 Le protocole ESP
• ESP = Encapsulating Security Payload
• Seules les données sont protégées (pas de protection
de l’en-tête)
• ESP Garantit :
– l'authentification.
– l'intégrité
– la confidentialité

32
Le protocole ESP

33
 SA : Security Association
• Avant de commencer les échanges sécurisés , une phase de
négociation des paramètres à utiliser est entamée entre les
deux extrémité du VPN  créer des associations de
sécurité.

• Une SA est une relation à sens unique (unilatérale) entre

un émetteur et un destinataire.

• Permet une négociation préalable avant toute communication

des algorithmes utilisés, l'échange des clés de cryptage et
des paramètres de sécurité.

34
 SA : Security Association
• Paramètres négociés :
– Une méthode d’authentification pour garantir l’identité des
deux extrémités .
– Mise en œuvre d’une méthode ( choix d’un algorithme ) de
chiffrement des données.
– Un algorithme de hachage est spécifié afin de permettre de
garantir l’identité de la personne et le contrôle d’intégrité
des données.
– Configuration du groupe Diffie-Hellman pour l’échange de
la clé de chiffrement.

35
 Utiliser les VPN
• Les VPN sont supportés pratiquement par l’ensemble des
systèmes d’exploitation : Windows , Linux , Unix

• Il sont aussi supportés par l’ensemble des constructeurs du

matériel réseau : CISCO , 3COM , …..

• Il existe aussi des programmes clients sur l’ensemble des

plateformes ( par fois intégré avec le système d’exploitation )

36
 Déploiement d’un VPN

• Faire un état des lieux de l'existant ( recenser les différentes

solutions VPN qui existent )

• Adapter sa technologie de VPN en fonction des besoins

• Prendre en considération la bande passante disponible

• Ne pas sous-estimer le coût de la solution  par fois il faut

acquérir des équipements ( serveurs et routeurs ) qui
supportent les VPN

37
 Comparaison entre les solutions Wan
traditionnelles et la solution VPN

Solutions traditionnelles Solution VPN

Avantages Avantages
-une couverture géographique mondiale.
- Pas de problèmes de sécurité 
-offre des garanties de sécurité (utilisation
une liaison dédié .
de tunnels).
- des débits en général assez
élevés  des délais - solution pour la gestion des postes
d’acheminements garantis mobiles.

Inconvénient Inconvénient
- les délais d’acheminement n’est pas
- coût par fois beaucoup plus
garantie  les données traverse des
élevée que la solution VPN réseaux différents dans le monde entier
- Difficile pour l’extention - Moins de performances  les
opérations de chiffrement et de
déchiffrement prennent beaucoup de
temps .

-38-
 Synthèse

• Les liaisons WAN sont utilisées pour interconnecter

des sites distants pour former un seul réseau privé.
• Les lignes spécialisées : offrent une connexion
permanente avec un débit dédié  très cher .

39
 Synthèse

• Un réseau Wan permet à une entreprise de former un

réseau multi-sites
• Une solution louée au prés d’un opérateur
• Différentes solutions : Lignes louées ,….
• Protocole niveau 2 nécessaire : HDLC , PPP .
• Pour le choix : selon les besoins de l’entreprise

40
 Synthèse

• L’internet est le réseau mondial d’échange d’information. Il se base sur la pile

des protocoles TCP/IP.
• Géré et standardisé par des organismes
• Utilisation des RFC pour la description des protocoles .
• La connexion à Internet passe par des ISP.
• Les utilisateurs se connectent aux ISP pour leur donner un accès à Internet :
utiliser une ligne spécialisée, l’ADSL.
• Les machines qui ne possèdent pas des adresses IP publiques peuvent
exploiter le mécanisme du NAT pour accéder à Internet.
• Possibilité d’utiliser les VPN pour former un réseau privé
• Utiliser une solution hybride pour former un WAN : Lignes spécialisées
et les VPN

41