Introduction aux réseaux TCP IP

Les constructeurs informatiques ont proposé des architectures réseau propres à leurs équipements. Par exemple, IBM a proposé SNA, DEC a proposé DNA… Ces architectures ont toutes le même défaut : du fait de leur caractère propriétaire, il n'est pas facile des les interconnecter, à moins d'un accord entre constructeurs. Aussi, pour éviter la multiplication des solutions d'interconnexion d'architectures hétérogènes, l'ISO (International Standards Organisation), organisme dépendant de l'ONU et composé de 140 organismes nationaux de normalisation, a développé un modèle de référence appelé modèle OSI (Open Systems Interconnection). Ce modèle décrit les concepts utilisés et la démarche suivie pour normaliser l'interconnexion de systèmes ouverts (un réseau est composé de systèmes ouverts lorsque la modification, l'adjonction ou la suppression d'un de ces systèmes ne modifie pas le comportement global du réseau).

Au moment de la conception de ce modèle, la prise en compte de l'hétérogénéité des équipements était fondamentale. En effet, ce modèle devait permettre l'interconnexion avec des systèmes hétérogènes pour des raisons historiques et économiques. Il ne devait en outre pas favoriser un fournisseur particulier. Enfin, il devait permettre de s'adapter à l'évolution des flux d'informations à traiter sans remettre en cause les investissements antérieurs. Cette prise en compte de l'hétérogénéité nécessite donc l'adoption de règles communes de communication et de coopération entre les équipements, c'est-à-dire que ce modèle devait logiquement mener à une normalisation internationale des protocoles.

Le modèle OSI n'est pas une véritable architecture de réseau, car il ne précise pas réellement les services et les protocoles à utiliser pour chaque couche. Il décrit plutôt ce que doivent faire les couches. Néanmoins, l'ISO a écrit ses propres normes pour chaque couche, et ceci de manière indépendante au modèle, i.e. comme le fait tout constructeur.

Les premiers travaux portant sur le modèle OSI datent de 1977. Ils ont été basés sur l'expérience acquise en matière de grands réseaux et de réseaux privés plus petits ; le modèle devait en effet être valable pour tous les types de réseaux. En 1978, l'ISO propose ce modèle sous la norme ISO IS7498. En 1984, 12 constructeurs européens, rejoints en 1985 par les grands constructeurs américains, adoptent le standard.

SourcesSource d'inspiration

Le modèle OSI est un modèle qui comporte 7 couches.

Les 7 couches du modèle OSI sont les suivantes.

• La couche 1 appelée aussi couche physique. Cette couche définit la façon dont les données sont converties en signaux numériques physiques sur le média de communication (impulsions électriques, modulation de la lumière, etc.).
• La couche 2 appelée aussi couche liaison. Cette couche définit l'interface avec la carte réseau et le partage du média de transmission. Elle assure la liaison point à point entre deux équipements situés sur le même média.
• La couche 3 appelée aussi couche réseau. Cette couche permet de gérer l'adressage et le routage des données, c'est-à-dire leur acheminement via le réseau.
• La couche 4 appelée aussi couche transport. Cette couche est chargée du transport des données, du découpage et du réassemblage des paquets et de la gestion des éventuelles erreurs de transmission.
• La couche 5 appelée aussi couche session. Cette couche gère l'ouverture et la fermeture des sessions de communication entre les machines du réseau.
• La couche 6 appelée aussi couche présentation. Cette couche définit le format des données manipulées par le niveau applicatif (leur représentation, éventuellement leur compression et leur chiffrement) indépendamment du système.
• La couche 7 appelée aussi couche application. Cette couche assure l'interface avec les applications. Il s'agit donc du niveau le plus proche des utilisateurs, géré directement par les logiciels.

La couche n d'une machine gère la communication avec la couche n d'une autre machine.

• Les règles de cette conversation sont appelées protocole de la couche n.
• Les données sont transférées de couche en couche. C'est l'encapsulation de trames.

Le modèle TCP/IP reprend les principes du modèle OSI même s'il ne comporte que 4 couches. En réalité le modèle TCP/IP a été développé à peu près au même moment que le modèle OSI, c'est la raison pour laquelle il s'en inspire, mais n'est pas totalement conforme aux spécifications du modèle OSI.

Le schéma suivant permet de comparer le modèle OSI et l'implémentation du modèle TCP-IP :

Une adresse IP est un nombre de 32 bits. Traditionnellement, cette adresse est définie en utilisant la notation pointée : 192.168.12.242 par exemple.

La notation sous forme de nombre hexadécimal peut parfois être utilisée (principalement dans les programmes qui manipulent cette adresse IP. Par exemple, le nombre hexadécimal 0xc0a80cf2 représente l'adresse IP 192.168.12.242.

En fait, une adresse IP peut être découpée en deux parties :

• la partie adresse réseau qui permet d'identifier un réseau complet ;
• la partie adresse de la machine dans le réseau concerné.

Cette frontière entre la partie adresse du réseau et la partie adresse de la machine est mobile. C'est probablement le concept le plus dur à comprendre lorsque l'on débute en réseaux.

Si on reprend l'exemple précédent avec l'adresse IP 192.168.12.242 et si l'on fixe arbitrairement (pour l'instant) cette frontière entre le premier et le deuxième octet, on obtient une adresse réseau égale à 192.168.12 et une adresse machine égale à 242.

Maintenant, tâchons de déterminer l'emplacement de cette frontière variable.

La frontière entre l'adresse du réseau et l'adresse de la machine est variable et peut être fixée arbitrairement n'importe où (ou presque). L'emplacement de cette frontière permet de définir la notion de masque de réseau. Il s'agit d'un nombre (souvent exprimé sous la forme de notation pointée) dans lequel tous les bits utilisés pour l'adresse du réseau sont à 1 et tous les bits utilisés pour l'adresse de la machine dans le réseau sont à 0.

En reprenant l'exemple précédent, le masque réseau est 255.255.255.0 puisque les 24 bits de gauche dans l'adresse IP servent à définir l'adresse du réseau et les 8 bits de droite dans cette adresse définissent l'adresse de la machine dans le réseau concerné.

Toutefois, des conventions sont définies permettant de donner un emplacement par défaut à cette frontière.

Pour les adresses dont le premier bit est 0, le masque réseau par défaut est 255.0.0.0. Ces adresses font partie de la catégorie d'adresses IP nommée classe A. La classe A regroupe les adresses de 0.0.0.0 à 127.255.255.255 (premier bit à 0).

Pour les adresses dont les deux premiers bits sont 10, le masque réseau par défaut est 255.255.0.0. Ces adresses font partie de la catégorie d'adresses IP nommée classe B. La classe B regroupe les adresses de 128.0.0.0 à 191.255.255.255 (les deux premiers bits à 10).

Pour les adresses dont les trois premiers bits sont 110, le masque réseau par défaut est 255.255.255.0. Ces adresses font partie de la catégorie d'adresses IP nommée classe C. La classe C regroupe les adresses de 192.0.0.0 à 223.255.255.255 (les trois premiers bits à 110).

Les adresses dont les quatre premiers bits sont 1110 définissent les adresses de la catégorie d'adresses IP nommée classe D. Ces adresses vont de 224.0.0.0 à 239.255.255.255. Ces adresses sont aussi appelées adresses de multicast. La notion de masque de réseau n'a pas de sens pour cette classe d'adresses.

Les autres adresses (de 240.0.0.0 à 255.255.255.255) forment la catégorie d'adresses IP nommée Classe E et sont des adresses réservées pour un usage ultérieur. La notion de masque réseau n'a pas de sens pour ces adresses.

Le tableau suivant synthétise ces informations :

Il existe 2 adresses de machines particulières. Il s'agit de l'adresse réseau et de l'adresse de diffusion (appelée aussi broadcast).

• L'adresse de réseau est l'adresse dans laquelle tous les bits de la partie adresse machine sont à 0. Par exemple, l'adresse réseau correspondant à l'adresse 192.168.12.242 dont le masque réseau est 255.255.255.0 est 192.168.12.0.
• L'adresse de diffusion est l'adresse dans laquelle tous les bits de la partie adresse machine sont à 1. Par exemple, l'adresse de diffusion correspondant à l'adresse 192.168.12.242 dont le masque réseau est 255.255.255.0 est 192.168.12.255.

Attention, pour calculer l'adresse de diffusion et l'adresse de réseau d'une adresse IP, il faut obligatoirement connaître le masque réseau de l'adresse IP concernée.

Certaines adresses de réseau sont particulières dans leur utilisation.

• Le réseau 0 n'existe pas.
• Le réseau 127 est utilisé pour désigner la machine locale. L'adresse 127.0.0.1 est traditionnellement l'adresse de rebouclage ou loopback en anglais. Elle permet de communiquer avec la machine locale sans connaître son adresse IP réelle. Attention, les paquets émis à destination de l'adresse loopback ne sont JAMAIS transmis sur le réseau. Ils sont interceptés par le noyau et envoyés directement dans la partie réception de la machine. Il est donc impossible de les espionner avec un analyseur réseau par exemple.

Vu le nombre tout de même assez restreint d'adresses de réseau disponibles et le nombre toujours croissant de machines connectées à Internet, il a été défini un ensemble d'adresses appelées adresses privées. La particularité de ces adresses est qu'elles ne sont JAMAIS routées sur Internet. Elles sont utilisées uniquement pour créer des réseaux privés. Ces adresses sont définies dans la RFC 1918 et sont les suivantes :

• 10.x.x.x soit une classe A complète.
• 172.16.x.x ==> 172.31.x.x soient 16 classes B complètes.
• 192.168.x.x ==> 192.168.x.x soient 256 classes C complètes.

En l'état, les heureux possesseurs d'une classe A complète ne sont pas plus avantagés que les possesseurs d'une classe C. Certes, ils disposent d'un nombre d'adresses IP publiques très conséquent (16 777 215 machines), mais ils ne peuvent construire dans l'absolu qu'un seul réseau. Pour pallier à ce problème, il est possible de modifier localement le masque de réseau appliqué à un réseau.

Ainsi les possesseurs d'une classe A dont le masque réseau par défaut est 255.0.0.0 ont la possibilité de fixer arbitrairement un nouveau masque de réseau. La portée de ce nouveau masque réseau est locale c'est-à-dire que pour Internet, la classe A concernée possède toujours le masque de réseau 255.0.0.0. Ils peuvent par exemple fixer le nouveau masque de réseau à 255.255.255.192. Avec ce masque réseau, ils vont pouvoir construire 262 144 réseaux différents de 64 machines. Attention toutefois, chacun de ces nouveaux réseaux possèdera une adresse de réseau et une adresse de diffusion donc en fait, ils pourront construire 262 144 réseaux différents de 62 machines.

La modification du masque de réseau s'appelle le subnetting.

Rappel : le masque de réseau est un nombre sur 32 bits dont les bits à 1 identifient les bits qui font partie de l'adresse réseau et les bits à 0 identifient les bits qui font partie de l'adresse de la machine dans le réseau concerné.

Bien que théoriquement, il soit possible d'avoir un masque de réseau avec des bits 0 et 1 mélangés, dans la pratique, cela n'est jamais fait, car la gymnastique intellectuelle demandée est trop importante et cela engendrerait trop de risques d'erreur. Traditionnellement donc, le masque de réseau est un nombre dont tous les bits à 1 sont sur la partie gauche du nombre et tous les bits à 0 sont à droite.

Ainsi, le masque 255.255.255.192 possède 26 bits à 1 sur la partie gauche du masque et 6 bits 0 sur la partie droite du masque.

À partir des années 1990, avec l'explosion d'Internet, est apparu un problème. Ce n'est pas tant la pénurie d'adresse IP qui freinait l'expansion d'Internet, mais plutôt l'augmentation de la taille des tables de routage (voir le paragraphe suivant à ce sujet) dans les différents routeurs d'Internet qui posait le problème.

Pour remédier à cela, la RFC 1338 a proposé d'abandonner la notion de classes d'adresses (celles vues au paragraphe 3.4) pour introduire la notation CIDR (pour Classless Inter Domain Routing).

Le but de cette notation est de regrouper ou d'agréger plusieurs réseaux en un seul et ainsi de gagner de la place dans la mémoire occupée par les tables de routage. Cette notation permet de créer un masque réseau plus grand (cette notion est parfois appelée « supernetting ») ou plus petit (ou « subnetting ») que la masque réseau « naturel » de la classe d'adresses considérée.

La notation introduite est la suivante : <adresse IP>/<masque> dans lequel :

• <adresse IP> représente l'adresse IP de réseau en notation décimale pointée classique (192.168.0.0 par exemple) ;
• <masque> est un nombre décimal qui représente le nombre de bits à 1 dans le masque réseau (23 par exemple).

Le tableau suivant établit la correspondance entre les masques CIDR et les masques « classiques »

La notation CIDR permettra donc de manipuler plus rapidement et facilement les adresses IP et le masque réseau qui leur est associé.

Le masque réseau porte bien son nom puisque combiné avec l'adresse IP en utilisant différentes opérations binaires, il permet de récupérer aussi bien l'adresse du réseau que celui de la machine dans le réseau que l'adresse de diffusion du réseau :

• IP & Mask = Adresse du réseau ;
• IP & !Mask = Adresse de la machine dans le réseau concerné ;
• IP | !Mask = Adresse de diffusion dans le réseau concerné.

Dans lequel :

• le signe & représente l'opération et logique bit à bit ;
• le signe | représente l'opération ou logique bit à bit ;
• le signe ! représente l'opération complément binaire à 1.

Par exemple :

• avec l'adresse IP 192.168.10.101 (11000000 10101000 00001010 01100101 en binaire)
• et un masque réseau de 255.255.255.0 (11111111 11111111 11111111 00000000 en binaire)

Les résultats attendus sont :

• adresse de réseau : 192.168.10.0 (11000000 10101000 00001010 00000000 en binaire)
• adresse de diffusion : 192.168.10.255 (11000000 10101000 00001010 11111111 en binaire)
• adresse de la machine dans le réseau : 101 (00000000 00000000 00000000 01100101 en binaire)

  11000000 10101000 00001010 01100101 (adresse IP)
& 11111111 11111111 11111111 00000000 (masque de réseau)
= 11000000 10101000 00001010 00000000
= 192.168.10.0
= adresse réseau

calcul intermédiaire de ! masque de réseau
! 11111111 11111111 11111111 00000000 (masque de réseau)
= 00000000 00000000 00000000 11111111 (! masque de réseau)
 
  11000000 10101000 00001010 01100101 (adresse IP)
& 00000000 00000000 00000000 11111111 (! masque de réseau)
= 00000000 00000000 00000000 01100101
= 101
= adresse de la machine dans le réseau

calcul intermédiaire de ! masque de réseau
! 11111111 11111111 11111111 00000000 (masque de réseau)
= 00000000 00000000 00000000 11111111 (! masque de réseau)
 
  11000000 10101000 00001010 01100101 (adresse IP)
| 00000000 00000000 00000000 11111111 (! masque de réseau)
= 11000000 10101000 00001010 11111111
= 192.168.10.255
= adresse de diffusion

Le schéma suivant présente une topologie de trois réseaux interconnectés par deux routeurs ainsi que trois machines sur ces réseaux.

Une table de routage contient toujours les éléments suivants :

• la 1re colonne est l'adresse du réseau de destination ;
• la 2e colonne est le masque utilisé par le réseau de destination ;
• la 3e colonne est l'adresse de la passerelle à utiliser pour atteindre ce réseau ;
• la 4e colonne donne l'adresse de l'interface sortant à utiliser pour atteindre cette passerelle ;
• la 5e colonne donne le métrique ou coût associé à cette route.

Avec ces informations le processus de routage peut déterminer la meilleure route. Les tables de routage de chacun de ces équipements sont les suivantes :

• Table de routage du routeur 1

• Table de routage du routeur 2

• Table de routage du pc 1

• Table de routage du pc 2

• Table de routage du pc 3

Il existe plusieurs types d'algorithmes de routage et une multitude d'implémentations différentes. Le but de ce paragraphe est de présenter rapidement les différentes techniques utilisées.

L'échange et la mise à jour des tables de routage ne concernent en général que les équipements réseau qui participent au routage.

Les algorithmes utilisés pour l'établissement de ces tables de routage sont les suivants :

• algorithme routage statique ;
• algorithme vecteur – distance ;
• algorithme état de lien ;
• algorithme hybride.

IV-B-1. L'algorithme routage statique▲

IV-B-2. L'algorithme vecteur-distance▲

IV-B-3. L'algorithme état de lien▲

IV-B-4. L'algorithme hybride▲

IV-C-1. Les protocoles de routage existants▲

IV-C-2. Synthèse des algorithmes de routage▲

IV-D-1. Algorithme du noyau pour router un paquet▲

                        Si le destinataire est sur le même réseau
                        Alors
                           Émettre sans utiliser le routage
                              En utilisant ARP si besoin est
                        Sinon
                           Utiliser la table de routage locale
                              D'abord, recherche de l'adresse du destinataire
                              Puis recherche de l'adresse du le réseau du destinataire
                              Puis recherche d'une route par défaut
                              Et enfin émission d'une erreur (network unreachable)

IV-D-2. Analyse d'une table de routage▲

                        1)    C:\>route print
                        2)    ===========================================================================
                        3)    Liste d'Interfaces
                        4)    0x1 ........................... MS TCP Loopback interface
                        5)    0x4 ...00 08 a1 a3 6d 9c ...... Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
                        6)    ===========================================================================
                        7)    ===========================================================================
                        8)    Itinéraires actifs :
                        9)    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
                        10)              0.0.0.0          0.0.0.0   192.168.10.254    192.168.10.1       25
                        11)            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
                        12)         192.168.10.0    255.255.255.0     192.168.10.1    192.168.10.1       25
                        13)         192.168.10.1  255.255.255.255        127.0.0.1       127.0.0.1       25
                        14)       192.168.10.255  255.255.255.255     192.168.10.1    192.168.10.1       25
                        15)            224.0.0.0        240.0.0.0     192.168.10.1    192.168.10.1       25
                        16)      255.255.255.255  255.255.255.255     192.168.10.1    192.168.10.1       1
                        17)    Passerelle par défaut :    192.168.10.254
                        18)    ===========================================================================
                        19)    Itinéraires persistants :
                        20)      Aucun

Pour compléter ce panorama concernant le routage, il faut ajouter les options IP qui permettent d'influer sur le routage. Il existe en effet 2 options que l'on peut spécifier dans les entêtes des paquets IP qui permettent d'influer sur le routage, il s'agit des options LSRR et SSRR.

Normalement, le routage est choisi en fonction de l'adresse IP de destination. Ces options permettent à l'émetteur du paquet de spécifier ou de modifier les règles de routage.

• Option LSRR (Loose Source and Record Route). L'émetteur du paquet spécifie une liste de machines par lesquelles doit passer le paquet avant d'arriver à destination. S'il y a des trous de routage entre 2 machines spécifiées, le routage dynamique reprend ses droits.
• Option SSRR (Strict Source and Record Route). L'émetteur du paquet spécifie la liste exacte des machines par lesquelles doit passer le paquet avant d'arriver à destination. À la différence de l'option LSRR, s'il y a des trous de routage entre 2 machines spécifiées, le routage dynamique ne reprend pas ses droits et le paquet est perdu.

Remarque : il n'y a plus aucune bonne raison (mis à part certaines techniques de piratage) d'utiliser ces options IP et d'ailleurs la plupart des fournisseurs d'accès refusent de propager les paquets IP présentant ces options.

Une troisième option est disponible dans l'entête des paquets IP, il s'agit de l'option RR (Record Route) qui permet d'enregistrer dans l'entête du paquet IP la liste des machines par lesquelles ce paquet est passé. Toutefois, comme la taille des options dans l'entête d'un paquet IP est intrinsèquement limitée à 448 octets, il est possible que cette information ne soit que partiellement complète.

Ces trois options LSRR, SSRR et RR sont expliquées dans le RFC 791.

IV-F-1. Ce que fait le routage▲

IV-F-2. Ce que ne fait pas le routage▲

Le schéma suivant s'appuie sur une configuration à peu près standard d'un particulier à la maison. Il dispose d'un routeur d'accès fourni par son FAI, d'un réseau privé interne avec 2 PC.

Le routeur du FAI possède une adresse IP publique (83.155.192.122 dans notre exemple) et le particulier a configuré son réseau privé en utilisant la classe C d'adresses privées 192.168.0 définie dans la RFC 1918.

• L'adresse 192.168.0.1 est attribuée au PC1
• L'adresse 192.168.0.2 est attribuée au PC2
• L'adresse 192.168.0.254 est à l'interface interne du routeur de son FAI

Une connexion sortante (du point de vue de l'utilisateur) est une connexion initiée par un client à destination d'un serveur. En général, le client est hébergé sur la machine du particulier et le serveur est hébergé sur Internet. Dans le cas de la navigation web par exemple, le client est l'utilisateur qui utilise son navigateur (Internet Explorer ou FireFox) et le serveur est la machine qui héberge les pages web à consulter (http://www.developpez.net/forums/ par exemple).

Cette connexion est identifiée de manière unique et sans ambiguïté par les 5 paramètres suivants :

• le protocole (TCP, UDP, ICMP…) ;
• l'adresse IP source ;
• l'adresse IP destination ;
• le port source (si cela a un sens pour le protocole concerné) ;
• le port destination (si cela a un sens pour le protocole concerné).

L'adresse IP du PC1 qui effectue la requête est 192.168.0.1. Or, on l'a vu dans le paragraphe précédent, ces adresses ne sont pas routées par Internet c'est-à-dire que le paquet IP va pouvoir sortir et va arriver au serveur, mais le serveur ne va pas pouvoir y répondre, car il ne sait pas comment atteindre la machine 192.168.0.1, encore une fois, c'est une adresse non routable.

Le routeur du FAI va alors effectuer ce que l'on appelle de la translation d'adresse c'est-à-dire qu'il va recréer la requête en la prenant à son compte (puisqu'il possède une adresse IP routable, il recevra la réponse).

Pour cela le routeur d'accès va établir une table de translation dynamique comportant les informations suivantes :

• le protocole (TCP, UDP, ICMP…) ;
• l'adresse IP source interne ;
• l'adresse IP destination externe ;
• le port source interne (si cela a un sens pour le protocole concerné) ;
• le port destination externe (si cela a un sens pour le protocole concerné) ;
• d'autres informations utilisées pour la gestion de cette table dynamique.

Ensuite, il va modifier le paquet de manière à supprimer l'adresse IP source interne (non routable donc) pour la remplacer par son adresse IP (qui elle est routable) et enfin, il va envoyer le paquet.

Lorsque la réponse reviendra au routeur (puisque c'est lui qui a envoyé le paquet, c'est lui qui recevra la réponse), il va regarder dans sa table de translation dynamique à qui est originellement destiné ce paquet et il va faire la translation inverse.

Le cas des connexions entrantes est différent. Dans ce cas, l'utilisateur héberge par exemple un serveur WWW sur un de ces PC de son réseau privé (le PC1 par exemple). Encore une fois, le PC en interne n'est pas directement joignable depuis Internet par contre le routeur du FAI est lui visible.

Dans ce cas, la manipulation va consister à modifier de manière statique la configuration du routeur afin de lui dire que toutes les connexions sur le port 80 du routeur doivent être transférées vers le PC1.

Si l'utilisateur dispose de 2 serveurs WWW sur le PC1 et sur le PC2, il faut écrire 2 règles de translation utilisant chacune un numéro de port différent :

• Port 80 ==> PC1 port 80
• Port 81 ==> PC2 port 80

La translation d'adresse est un mécanisme très puissant qui permet aux fournisseurs d'accès de pallier la carence d'adresses IP.

De plus, c'est un mécanisme de protection du réseau interne dans le sens où il fait office de firewall entrant. Sauf configuration explicite faite par l'utilisateur, rien ne peut entrer.

Par contre, la translation d'adresse ne fonctionne pas (ou présente des problèmes) pour les protocoles à contenu sale dont les données applicatives comportent par exemple l'adresse IP du client. En effet, cette adresse n'est plus valide une fois que le dispositif de translation est passé et la machine distante ne devrait pas utiliser cette adresse qui n'est plus valide.

Le mécanisme de ré écriture du paquet sur le routeur du FAI ne peut pas savoir qu'il faut aussi modifier des données dans le paquet.

Par exemple, les protocoles suivants sont des protocoles à contenu sale :

• FTP en mode passif ;
• H.323 ;
• les protocoles faisant du peer to peer (IRC-DCC) ;
• les protocoles de gestion de réseau (DNS, certains messages ICMP, traceroute) ;
• le protocole SIP.