Category Réseaux

  • Accueil   /  
  • Archive par catégorie "Réseaux"

Le réseau au norme 802.1x

Laisser un commentaire
rgpd

1.    Introduction

La norme 802.1x définit le réseau à accès contrôlé. Ceci est très utilisé dans le lieu public tel que les Hotspots des Aéroports, les restaurants, les gares, les hotels, etc…

L’infrastructure 802.1x permet à la fois sécuriser et aussi contrôler les accès aux services proposés. On peut alors tracer des accès, identifier l’utilisateur du service et enfin définir les services proposés par avance.

Cette infrastructure, fonctionne aussi bien avec le réseau sans fil que filaire.

2.    Caractéristique du 802.1x

Pour créer une infrastructure 802.1x, nous avons besoins de mettre en place les composants ci-dessous pour former une architecture d’un réseau à accès contrôlé.

802.1x

2.1 Les composants 802.1x

  • Serveur AAA : Authentication, Authorization, Accounting (Authentification, Autorisation et Traçabilité). Serveur AAA est un serveur qui offre les services d’authentification, d’autorisation et de traçabilité des évènements.
  • Le Client : élément de confiance d’un réseau 802.1X servant de point d’accès au réseau (commutateur, point d’accès Wi-Fi…). Cet élément est appelé authenticator dans la norme 802.1X.
  • Supplicant : logiciel sur l’équipement d’extrémité cherchant à se connecter à un réseau à accès contrôlé, afin de fournir une connectivité Ethernet à l’équipement d’extrémité.
  • EAP : Extended Authentication Protocol, protocole réseau permettant d’abstraire le mécanisme d’authentification spécifique utilisable.
  • EAPoL : Extended Authentication Protocol over LAN, protocole d’encapsulation de trames EAP sur des réseaux locaux. C’est un protocole qui repose sur Ethernet et qui dispose de son propre Ethertype 2 0x888E.
  • Réseau à accès contrôlé : réseau dont l’accès doit être protégé par des mécanismes AAA.
  • Réseau de confiance : réseau maîtrisé dans lequel le serveur et les clients communiquent.

2.2 Fonctionnement

Le schéma ci-dessus montre que nous avons deux zones du réseau à accès contrôlé et du réseau de confiance. Les deux réseaux s’interconnectent via un système de routage L3 utilisant deux LAN différents séparés physiquement ou différent VLAN.

Dans sa granularité, lorsqu’un utilisateur a besoin d’un accès aux services qui présentent sur le réseau de confiance, il connecte le supplicant au réseau à accès contrôlé, ceci se dirige le flux vers le serveur AAA en ouvrant le canal de communication auquel passe via le routeur qui sépare les deux réseaux. Via le processus d’authentification, si le supplicant est identifié, l’accès sera autorisé, sinon l’accès sera refusé. Voilà, c’est tout simple !

2.3 Le réseau de confiance

Par définition, c’est un réseau considéré comme sûr, Il transporte les informations d’authentification et d’autorisation des équipements finaux et les différentes données de journalisation remontées par les clients au serveur. Les clients d’un réseau 802.1X sont des équipements tels que des commutateurs (switchs) ou des points d’accès Wi-Fi qui fournissent une connectivité au réseau à accès contrôlé à l’aide de ports de connexion. Ils sont connectés au réseau de confiance, pour accéder aux services. Les ports de connexion peuvent se trouver dans deux états :

  • Dans l’état autorisé, un port accepte tout trafic en provenance et à destination du supplicant connecté, notamment le trafic IP ;
  • Dans l’état non autorisé, seul le trafic EAPoL est autorisé entre le client et le supplicant.

Par défaut, ils sont dans l’état non autorisé et leur changement d’état est commandé par le serveur après authentification et autorisation d’un supplicant. Durant cette phase d’authentification, les clients réalisent une rupture protocolaire entre le supplicant et le serveur. En effet, la communication avec les supplicants s’effectue au moyen du protocole EAPoL alors qu’elle s’effectue à l’aide du protocole du réseau de confiance entre les clients et le serveur (RADIUS sur IP dans la plupart des cas). La connectivité Ethernet des supplicants est donc inexistante avant leur autorisation d’accès au réseau à accès contrôlé.

2.4 Le réseau à accès contrôlé

Le réseau à accès contrôlé est le réseau dont les accès doivent être maîtrisés. Il est connecté aux différents clients et aux supplicants. Le terme réseau à accès contrôlé désigne par extension l’ensemble des réseaux utilisateurs (physiques ou virtuels) dont l’accès doit être contrôlé centralement.

2.5 Supplicants

Les supplicants cherchent à se connecter au réseau à accès contrôlé au travers des ports de connexion offerts par les clients. L’accès à ce réseau est autorisé ou refusé après une phase d’authentification et d’autorisation dans laquelle les trois équipements (supplicant, clients et serveur AAA) interagissent. Une fois leur accès au réseau autorisé, les supplicants sont connectés au réseau à accès contrôlé.

3.    Synoptique de connexion

La connexion à un réseau à accès contrôlé s’effectue en quatre étapes.

802.1x authenfication

  1. Initialisation : le client détecte la tentative de connexion du supplicant à un port dont l’accès est contrôlé, il active le port en mode non autorisé.
  1. Identification :
  • Le client transmet au supplicant une demande d’identification (trame EAP-Request/Identity) ;
  • Le supplicant retourne au client son identité (trame EAP-Response/Identity) ;
  • Le client transmet l’identité du supplicant au serveur (paquet Access-Request).
  1. Négociation EAP :
  • Le serveur envoie au client un paquet contenant la méthode d’authentification demandée au supplicant (paquet Access-Challenge) ;
  • Le client transmet la demande du serveur au supplicant au travers d’une trame EAP-Request ;
  • Si le supplicant accepte cette méthode, il procède à l’étape d’authentification au moyen de celle-ci, sinon il renvoie au client les méthodes qu’il supporte et l’étape de négociation recommence.
  1. Authentification :
  • Le serveur et le supplicant échangent des messages EAP-Request et EAP-Response par l’intermédiaire du client suivant la méthode d’authentification choisie,
  • Le serveur fournit une réponse Access-Accept ou Access-Reject suivant le résultat de l’authentification et de l’autorisation du supplicant :
    • Si la réponse est Access-Accept, le client bascule le port de connexion dans l’état autorisé, le supplicant dispose ainsi d’une connectivité Ethernet au réseau à accès contrôlé,
    • Si la réponse est Access-Reject, le port reste dans l’état non autorisé et le supplicant ne dispose d’aucun accès réseau hormis au travers du protocole EAP. À la fin de la connexion (déconnexion logicielle entraînant un message EAP dédié ou changement de statut du lien physique), le client modifie l’état du port à non autorisé.

 

4.    Protocole de communication

Pour contacter le serveur AAA, les supplicants utilisent le protocole EAP. Ce protocole d’authentification extensible définit plusieurs méthodes d’authentification possédant différents niveaux de sécurité.

4.1  EAP-MD5

Le supplicant authentifie par défi-réponse EAP et sur la fonction de hachage MD5. Cette méthode offre un faible niveau de sécurité, car cette méthode est vulnérable à des attaques par dictionnaires et de l’homme du milieu. De plus, elle ne permet pas d’authentifier le serveur et ne peut pas être utilisée dans des réseaux sans fil par l’absence de négociation des clés cryptographiques durant l’authentification.

4.2  EAP-MSCHAPv2

Authentification mutuelle des correspondants qui repose sur un mot de passe et des défis cryptographiques. Cette méthode offre un niveau de sécurité faible, elle est vulnérable à des attaques par dictionnaires et sa résistance est équivalente à celle d’une clé DES.

4.3  EAP-TLS

EAP-TLS est un protocole d’authentification mutuelle du supplicant et du serveur par certificats. Cette authentification est réalisée à l’aide de TLS. Cette méthode nécessite que le serveur et chaque supplicant possèdent un certificat. Elle impose donc l’utilisation d’une infrastructure de gestion de clés (PKI) dans le système d’information. Ce protocole d’authentification est considéré comme sûr. Il expose cependant l’identité du supplicant durant la connexion, au travers du Common Name du certificat ou du champ Identity de la réponse EAP. Suivant le scénario de déploiement envisagé, cette information peut être considérée comme sensible. L’implémentation de cette fonctionnalité est cependant optionnelle et elle reste peu implémentée dans les serveurs et les supplicants existants.

4.4  EAP-PEAP

Ce protocole d’authentification est souvent dénommé PEAP dans la littérature. Initialement créé et défini par Microsoft, ses spécifications sont disponibles en accès libre sur le site de l’éditeur. Le protocole PEAP propose plusieurs versions et évolution.

Le protocole PEAP fonctionne en deux phases. Durant la première phase, le serveur s’authentifie auprès du supplicant au moyen d’un certificat pour créer un tunnel TLS entre les deux parties. Il procède ensuite à l’authentification du supplicant dans le tunnel TLS au moyen d’une méthode EAP appelée méthode interne. Les échanges réalisés par cette méthode interne sont protégés par le tunnel TLS établi. Cette construction permet l’utilisation de protocoles reposant sur les mots de passe pour l’authentification des supplicants. La méthode d’authentification interne la plus couramment utilisée est la méthode EAP-MSCHAPv2 et dans ce cas, le protocole est appelé PEAP-MSCHAPv2. PEAP peut également utiliser d’autres méthodes internes comme EAP-TLS pour authentifier les supplicants. Le protocole PEAP requiert uniquement un certificat serveur, l’utilisation de certificats clients est optionnelle et dépend de la méthode interne choisie. La mise en œuvre de ce protocole permet d’atteindre un niveau de sécurité correct, sous réserve d’appliquer les recommandations détaillées de ce document.

4.5  EAP-TTLSv0

Le protocole EAP-TTLSv0, aussi appelé EAP-TTLS, est un protocole d’authentification en deux phases, dont le fonctionnement est similaire au protocole PEAP. Ces protocoles restent cependant différents et incompatibles. Durant la première phase, le supplicant authentifie le serveur au moyen d’un certificat afin de créer un tunnel TLS entre les deux parties. L’authentification du supplicant s’effectue durant la seconde phase, à l’intérieur du tunnel TLS précédemment créé et à l’aide d’une méthode d’authentification interne (inner method). Cette méthode peut être une méthode EAP (EAP-MD5 par exemple) ou non EAP comme MSCHAPv2. Dans la majorité des déploiements, les méthodes internes utilisées sont PAP, EAP-MD5, EAP-MSCHAPv2 ou MSCHAPv2. Le protocole EAP-TTLSv0 présente plusieurs avantages :

  • L’identité du supplicant est masquée durant la phase d’authentification ;

  • Plusieurs méthodes internes peuvent être utilisées, sachant qu’elles sont souvent déjà mises en place dans un système d’information ;

  • Il requiert uniquement un certificat serveur, l’utilisation de certificats clients n’est pas obligatoire. L’utilisation de ce protocole permet d’atteindre un niveau de sécurité correct sous certaines conditions de déploiement.

5. Limite du 802.1x

La mise en place d’un réseau 802.1X apporte plusieurs fonctions de sécurité, dont une traçabilité précise des accès réseau effectués. Les messages de journalisation permettent par exemple d’identifier précisément les modifications de branchements d’équipements et les violations de politiques de sécurité. Cependant elle ne permet pas de protéger le système d’information contre toutes les menaces envisageables.

Le routage des réseaux

Laisser un commentaire
Routage

1. Introduction

Le routage est le mécanisme pour acheminer les données d’un expéditeur jusqu’à un ou plusieurs destinataires. Le routage est une tâche exécutée dans de nombreux réseaux, tels que le réseau téléphonique, les réseaux de données comme Internet, et les réseaux de transports.

2. Le concept de routage

Pour effectuer le routage, on considère deux types de machines ou composants du réseau : les routeurs, qui servent d’intermédiaire dans la transmission d’un message, et les hôtes qui émettent ou reçoivent les messages. Lorsque le routeur se trouve entre deux réseaux dépendant d’autorités différentes, comme entre le réseau local d’une entreprise et l’Internet, on utilise alors une passerelle ; cet élément peut être considéré comme plus évolué qu’un simple routeur en raison de la conversion entre protocoles effectuée.

2.1. Exemple des composants réseaux

Le routage est un processus décentralisé, c’est-à-dire que chaque routeur possède des informations sur son voisinage. Chaque routeur maintient une liste des réseaux connus, chacun de ces réseaux étant associé à un ou plusieurs routeurs voisins à qui le message peut être passé. Cette liste s’appelle la table de routage, et contient trois types de routes :

  • Les routes correspondant à des réseaux directement connectés : pour ces réseaux, le routeur peut acheminer le paquet directement à la destination finale en faisant appel au protocole de niveau 2 (Ethernet par exemple).
  • Les routes statiques, configurées en dur sur le routeur par l’administrateur du réseau,
  • Les routes dynamiques, apprises d’un protocole de routage dynamique dont le rôle est de diffuser les informations concernant les réseaux disponibles.

Une table de routage peut être réduite à sa plus simple expression en ne comportant que la liste des réseaux directement connectés ainsi qu’une route par défaut, c’est-à-dire que tous les paquets qui ne correspondent pas à un réseau connu dans la table de routage seront dirigés vers un routeur déterminé (le routeur par défaut). La route par défaut peut être statique ou bien apprise dynamiquement. À l’inverse, un routeur qui ne dispose pas de route par défaut doit connaître toutes les destinations possibles. C’est le cas des routeurs participant à la dorsale d’Internet, on dit alors qu’ils disposent d’une table de routage complète (ce qui représentait plus de 360 000 réseaux individuels en 2011) ou qu’ils appartiennent à la default-free zone d’Internet.

Pour permettre à ce que les routeurs aient une idée de la topologie du réseau, et puissent ainsi employer des algorithmes de routage efficaces, il faut que les routeurs diffusent leurs informations. Cette diffusion s’effectue par le biais des protocoles de routage, spécifiant la façon dont les informations sont échangées entre les routeurs.

3. Protocoles de routages

Les protocoles de routages externe (EGP), tels que Border Gateway Protocol (BGP), échangent des informations de routage entre systèmes autonomes. Les protocoles de routage interne (IGP), échangent des informations de routage à l’intérieur d’un système autonome, par une des façons suivantes :

Dits à états de lien, ils transmettent la totalité des informations de routage à tous les routeurs participants et établissent des tables de voisins directs, c’est le cas d’OSPF ou d’IS-IS, dits à vecteur de distance, qui ne diffusent que leurs meilleures routes sur leurs interfaces, comme RIP ou IGRP Ou encore un hybride des deux premiers, comme EIGRP.

Exemples de protocoles de routage interne :

  • Routing Information Protocol (RIP)
  • Interior Gateway Routing Protocol (IGRP)
  • Open Shortest Path First (OSPF)
  • Integrated Intermediate System to Intermediate System (Integrated IS-IS)
  • Enhanced Interior Gateway Routing Protocol (EIGRP)

4. Protocole TCP/IP

En plus des protocoles de routage réserver pour les routeurs, il y a aussi le protocole qu’on connait tous, c’est le TCP/IP.

Mais ce protocole fonctionnera en dépend de son type de communications, de sa classification réseau avec son masque de sous réseau qui formeront un sous réseau de type LAN/WAN etc…

4.1. Les types de communications TCP/IP

En fonction du nombre de destinataires et de la manière de délivrer le message, on distingue :

  • unicast : consiste à acheminer les données vers une seule destination déterminée,
  • broadcast : consiste à diffuser les données à toutes les machines,
  • multicast : consiste à délivrer le message à l’ensemble des machines manifestant un intérêt pour un groupe,
  • anycast : consiste à délivrer les données à n’importe quel membre d’un groupe, mais généralement le plus proche, au sein du réseau.

Protocole Internet TCP/IP

Laisser un commentaire
Routage

1.    Introduction

Le protocole internet permet une facilité de communication sans faire directement partie du sujet de la communication elle-même.

C’est un ensemble de règles qui régissent les échanges de données ou le comportement collectif de processus ou d’ordinateurs en réseaux ou d’objets connectés, un protocole de communication est un ensemble de contraintes permettant d’établir une communication entre deux entités : Internet Protocol, Suite des protocoles Internet, Protocole réseau par exemple.

2.    Protocole IP

Le protocole IP signifie Internet Protocol, c’est le protocole le plus répandu dans le monde. Il permet de découper l’information à transmettre en paquets, il transporte les uns après les autres vers la destination demandée. C’est la technique de commutation des paquets. Il apporte de l’adressage sur la couche 3 (réseau) du modèle OSI.

C’est le protocole de communication de réseaux informatiques conçus pour être utilisés sur Internet. Les protocoles IP s’intègrent dans la suite des protocoles Internet et permettent un service d’adressage unique pour l’ensemble des terminaux connectés.

Les protocoles IP sont considérés comme « non fiables ». Cela ne signifie pas qu’ils n’envoient pas correctement les données sur le réseau, mais qu’ils n’offrent aucune garantie pour les paquets envoyés concernant les points suivants :

  • Corruption de données.
  • Ordre d’arrivée des paquets (un paquet A peut être envoyé avant un paquet B, mais le paquet B peut arriver avant le paquet A)
  • Perte ou destruction de paquets
  • Duplication des paquets

En termes de fiabilité, le seul service offert par un protocole IP est de s’assurer que les en-têtes de paquets transmis ne comportent pas d’erreurs grâce à l’utilisation de somme de contrôle (checksum). Si l’en-tête d’un paquet comprend une erreur, sa somme de contrôle ne sera pas valide et le paquet sera détruit sans être transmis.

En cas de destruction d’un paquet, aucune notification n’est envoyée à l’expéditeur (encore qu’un paquet ICMP puisse être envoyé).

3.    Protocole TCP (Transmission Control Protocol) RFC793

Le protocole TCP signifie Transmission Control Protocol, basé sur la couche 4 du modèle OSI, permet d’ouvrir une session et faire le contrôle d’erreur en mode connecté. Grâce à ce protocole, la transmission de l’information est plus sûre dont avec une accusée réception.

  • TCP permet de remettre en ordre les datagrammes en provenance du protocole IP.
  • TCP permet de vérifier le flot de données afin d’éviter une saturation du réseau.
  • TCP permet de formater les données en segments de longueur variable afin de les « remettre » au protocole IP.
  • TCP permet de multiplexer les données, c’est-à-dire de faire circuler simultanément des informations provenant de sources (applications par exemple) distinctes sur une même ligne.
  • TCP permet enfin l’initialisation et la fin d’une communication de manière courtoise.

3.1. Trame TCP

Le segment du TCP est constitué comme suit :

4.    Protocole UDP (User Datagram Protocol) RFC 768

Le protocole UDP (User Datagram Protocol) est un protocole non orienté connexion de la couche transport du modèle TCP/IP. Ce protocole est très simple étant donné qu’il ne fournit pas de contrôle d’erreurs (il n’est pas orienté connexion…).

On résume que le protocole UDP est léger, simple et rapide mais n’offre que peu de services. Il fonctionne en mode non connecté, autorise les communications en mode diffusion. Une seule trame transportée peut destiner à plusieurs machines.

C’est-à-dire :

  • Broadcast : d’un à tous les machines du réseau local IP : 255.255.255.255

  • Multicast : d’un à plusieurs machines de classe D (224.0.0.0/4) est destiné à toutes les machines qui se sont explicitement « abonnées » à ce groupe de diffusion

    • Nécessite un mécanisme pour l’abonnement et le routage (IGMP).

    • L’adresse IP de classe D doit être associée à un port UDP pour constituer un groupe de diffusion de données.

4.1. Trame UDP

L’en-tête de la trame du protocole UDP est simple, ne comprend que :

  • Port source,
  • Port de destination,
  • Longueur,
  • Et somme de contrôle.

Sa trame est également simplifiée.

5.    Protocole TCP/IP

TCP/IP est une association de deux protocoles :

  • TCP (Transmission Control Protocol) et IP (Internet protocole).

5.1. Modèle de trame TCP/IP

5.2. Spécificité du modèle OSI

5.3. Modèle TCP/IP simplifié

Habituellement, les trois couches supérieures du modèle OSI (Application, Présentation et Session) sont considérées comme une seule couche Application dans TCP/IP. Comme TCP/IP n’a pas de couche session unifiée sur laquelle les couches plus élevées peuvent s’appuyer, ces fonctions sont généralement remplies par chaque application (ou ignorées). Une version simplifiée des couches TCP/IP est présentée ci-après :

5.4. Encapsulation des données

  • Une trame Ethernet est adressée à une adresse MAC.
  • Un paquet IP (couche 3) est destiné à une adresse IP.
  • Un PDU (couche 4 – UDP ou TCP) est destiné à un port.
  • Les données sont destinées à une application.

5.5. Multiplexage et démultiplexage

La tâche importante de TCP est le multiplexage et le démultiplexage, grâce au concept des ports qui associent aux différentes applications. Combiner avec l’IP, il permet de déterminer exactement l’application sur la machine distance.

Le multiplexage/démultiplexage au niveau des machines se fait via la notion de port (comme en TCP), certains ports sont affectés à des services particuliers (RFC 1700 ou www.iana.org/assignments/port­numbers).

Noter :

  • Les n° de port inférieur à 1024 sont réservés (root)
  • Taille maximale des données transportées : (216-1-8) ~ 64Ko
  • En IPv4 le checksum est en option et c’est obligatoire en IPv6.

5.6. Les sockets

Pour UDP et TCP, les sockets joue le même rôle que le multiplexage et démultiplexage car ils identifiées par une adresse IP et un numéro de port. Il y a au moins 2 sockets qui sont impliquées dans une communication.

Le routage est le mécanisme pour acheminer les données d’un expéditeur jusqu’à un ou plusieurs destinataires. Le routage est une tâche exécutée dans de nombreux réseaux, tels que le réseau téléphonique, les réseaux de données comme Internet, et les réseaux de transports.

 

Adressage IPv4

Laisser un commentaire
Cyber

Historique

  • Septembre 1981 : Internet Protocol (IP)
  • Octobre 1984 : Création du concept de sous-réseau (Internet subnets)
  • Septembre 1993 : Abandon de l’adressage par classes et utilisation de
  • CIDR (Classless Inter-Domain Routing)
  • Février 1996 : Réservation d’adresses pour l’usage privé
  • Décembre 1998 : Spécification d’Internet Protocol Version 6 (IPv6)

1. Introduction

En général, les adresses forment une notion d’importante en communication et sont un moyen d’identification. Dans un réseau informatique, une adresse IP est un identifiant unique attribué à chaque interface avec le réseau IP et associé à une machine (routeur, ordinateur, etc.).

IP signifie « Internet Protocol » ; son but est d’interconnecter des réseaux, c’est un protocole « routable ». 

Comment un protocole peut-il être routable ?

Grâce aux adresses logiques que l’on distingue des adresses physiques.

2. Adresse physique

Les cartes réseaux possèdent toutes une adresse physique ou adresse MAC (Media Access Control). Cette adresse est un code de 48 bits (6 octets),

  • Les 24 premiers bits désignent le fabricant de la carte.
  • Les 24 bits suivants forment un numéro donné par le fabricant lui-même.

L’ensemble forme une « MAC address » unique pour chaque carte.

3. Adresse logique

L’adresse logique ou adresse IP, contrairement à l’adresse physique ne dépend pas uniquement de la machine. Elle est choisie pour pouvoir désigner une machine en tant que membre d’un réseau ou d’un sous-réseau.

Une adresse IP est un code de 32 bits soit 4 octets habituellement représentés en décimal et séparés par des points.

Exemple : 216.239.37.100

Il existe deux versions pour les adresses IP :

  • IP version 4 : les adresses sont codées sur 32 bits
    • Elle est généralement notée avec quatre nombres compris entre 0 et 255, séparés par des points.

Exemple : 216.239.37.100

  • IP version 6 : les adresses sont codées sur 128 bits
    • Elle est généralement notée par groupes de 4 chiffres hexadécimaux séparés par ’:’

Exemple : FE80:0000:0000:0000:020C:76FF:FE21:1C3B

3.1. Classification des adresses IP version 4

Ci-dessous la nomenclature du classement des adresses IP. Parmi les adresses IP, nous distinguerons les adresses privées, l’adresse loopback et les adresses publiques.

3.2. Adresses privées

  • 10. x . x . x /8
  • 172.16. x . x à 172.31.x . x /16
  • 192.168. 0 . x à 192.168.254.x /24

Ces adresses sont « non-routées ». Elles servent uniquement à l’intérieur d’un réseau local, jamais pour des adressages entre réseaux.

 

3.3. Adresse réservée pour le loopback

127.0.0.1 Cette adresse vous renvoie à votre propre machine. C’est une adresse de bouclage (loopback). Vous l’utilisez avec la commande ping pour tester si votre carte réseau est bien configurée.

3.4. Adresse réservée pour le routage

0.0.0.0 Cette adresse est réservée pour configurer sur le routage qui signifie tout les réseaux.

3.5. Adresses publiques

Les adresses IP qui servent à l’usage privée :

  • Adresses privées
  • Adresses loopback (bouclage local)
  • Adresse réservé pour les routeurs 0.0.0.0

En dehors des adresses IP précisées ci-dessus, sont des adresses publiques. Ce qu’on appelle l’adresse publique, c’est qu’elles sont déclarées mondialement routables.

Ces adresses publiques sont délivrées par un organisme international officiel, l’ RIR (Regional Internet Registry), qui veille à ce que chacune de ces adresses publiques soit unique au monde.

3.6. NetID, HostID et Masque de sous réseaux

À partir du schéma précédent, on en déduit qu’une adresse IP est probablement décomposée en deux parties :
une partie de l’adresse identifie le réseau (netid) auquel appartient l’hôte et une partie identifie le numéro de l’hôte (hostid) dans le réseau.

L’adresse IP est à considérer en deux parties :

  • Les premiers bits forment l’identifiant réseau ou NetID,
  • Les bits suivants forment le numéro d’hôte ou HostID pour distinguer les machines du réseau.

Le masque de sous-réseau, ou /n, indique combien de bits servent à l’identification du réseau et combien de bits restent pour différencier les machines.

Exemple : Supposons que votre PC se trouve à l’adresse 195.32.6.130 et que son masque de sous-réseau soit 255.255.255.192 Commençons par afficher ce masque en binaire.

Il est constitué d’une suite de 1 suivie d’une série de 0 :    

1111 1111. 1111 1111. 1111 1111. 1100 0000

La série de 1 indique combien de bits de l’adresse IP servent à identifier le sous-réseau (NetID). Les bits suivants, tous à zéro, correspondent à l’identificateur de la machine (HostID)

L’adresse du sous-réseau s’obtient par un « ET » logique entre l’adresse IP de l’ordinateur et son masque de sous-réseau :

L’adresse du sous-réseau est donc égale au NetID suivit d’une série de zéros. Les bits qui correspondent au HostID ont été « masqués ».