Support de cours réseaux

S U P P O R T D E C O U R S
Réseaux
v e r s i o n 1 0
L a n , W a n , é q u i p e m e n t s , p r o t o c o l e s
i n t e r n e t , s é c u r i t é …
M I S E À J O U R M A R S 2 0 2 6

Quelles sont les architectures des réseaux locaux, quelles normes les régissent et
quelles technologies les sous-tendent ?
Quelles sont les caractéristiques des réseaux étendus, sur quels modèles
reposent-ils et quels protocoles emploient-ils ?
Comment s'articule la structure matérielle d'un réseau : équipements, médias
physiques, câblage ?
Quels sont les protocoles et modèles logiques qui gouvernent les échanges entre
machines ?
Qu'est-ce que la fibre optique : principes physiques, types de fibres, débits et mises
en œuvre…
Comment fonctionnent les réseaux de téléphonie mobile : de la 2G à la 5G,
architectures et évolutions…
Qu'est-ce que l'internet des objets : protocoles, capteurs, architectures et cas
d'usage…
Qu'est-ce qu'Internet : infrastructure mondiale, fournisseurs d'accès, protocoles
applicatifs et services…
Quelles perspectives d'évolution pour les années à venir
Ce support apporte une réponse rigoureuse à chacune de ces questions, avec
illustrations et commentaires à l'appui.
Cet ouvrage a été entièrement réalisé avec
Microsoft Word 365 ®,
Images des fonds de couverture reproduite avec l'aimable autorisation de Microsoft

I. LES RÉSEAUX LOCAUX (lan) 3
A. GÉNÉRALITÉS 3
1. Connexion 3
2. Normes 3
3. Architectures 4
4. Architectures LAN modernes 6
5. Technologies LAN 6
6. Méthodes d'accès 7
B. PROTOCOLES D'ACCÈS 7
1. CSMA/CD — Contention avec détection de collision 7
2. OFDMA et MU-MIMO (mécanisme, principe) 8
3. OFDMA et MU-MIMO (complémentarité et apport concret) 9
4. Passage du jeton (Token) 9
5. TDMA (Time Division Multiple Access) 10
C. TRANSMISSION 10
1. Transmission par câble 10
2. Transmission sans câble 10
3. Unités de débit 12
D. RÉSEAU LOCAL VIRTUEL (VLAN) 12
1. Avantages 13
2. Types de VLAN 13
3. Standard IEEE 802.1Q — Le trunk VLAN 13
E. PROTOCOLES DE COUCHE 2 15
1. Spanning Tree Protocol (STP — IEEE 802.1D) 15
2. Agrégation de liens (LACP — IEEE 802.3ad) 15
3. Qualité de service de couche 2 (IEEE 802.1p) 15
A. GÉNÉRALITÉS 17
4. Caractéristiques 17
5. Services WAN 17
6. Modes de fonctionnement 18
7. Architectures WAN modernes 18
B. LE MODÈLE OSI 18
1. La couche Application (C7) 19
2. La couche Présentation (C6) 20
3. La couche Session (C5) 20
4. La couche Transport (C4) 20
5. La couche Réseau (C3) 20
6. La couche Liaison de données (C2) 21
7. La couche Physique (C1) 21
C. LES PROTOCOLES 22
1. Commutation par paquets X.25 22
2. Frame Relay 23
3. TCP/IP (IPv4) 24
D. TCP/IP (IPv6) 31
1. Format d'un datagramme IPv6 31
2. Adresses IPv6 31
3. Types d'adresses IPv6 32
4. Sous-réseaux IPv6 32
5. Autres protocoles de la famille TCP/IP 33
E. ATM — ASYNCHRONOUS TRANSFER MODE 33
1. Format de cellule ATM 33
2. Services ATM 34
F. ISDN — RÉSEAU NUMÉRIQUE À INTÉGRATION DE SERVICES 35
1. Principe 35

2. Accès de base (BRI — Basic Rate Interface) 36
3. Accès primaire (PRI — Primary Rate Interface) 36
4. Composants ISDN 36
G. xDSL — DIGITAL SUBSCRIBER LINE 36
1. Caractéristiques communes 37
2. Solutions symétriques 37
3. Solutions asymétriques 38
4. Équipements xDSL 38
5. Tableau récapitulatif des technologies DSL 39
H. RÉSEAUX À HAUT DÉBIT 39
1. Ethernet (IEEE 802.3) 39
2. Trame Ethernet 40
3. Ethernet commuté 41
I. SDH/SONET — HIÉRARCHIE NUMÉRIQUE SYNCHRONE 42
1. PDH vs SDH 42
2. Hiérarchie SDH/SONET 42
3. Structure d'une trame SDH 42
4. Multiplexage SDH 43
J. RÉSEAU CELLULAIRE 43
1. Système GSM (2G) 43
2. Sous-systèmes GSM 44
3. Évolution des normes cellulaires 44
4. Liaisons Wi-Fi 45
5. WiMAX 46
K. INTERNET DES OBJETS (IoT) 47
1. Technologies IoT 47
2. Composants d'un système IoT 47
3. RFID (Radio Frequency Identification) 48
4. NFC (Near Field Communication) 48
L. ADMINISTRATION D'UN RÉSEAU 49
1. Protocole SNMP 49
2. Architecture SNMP 49
3. MIB — Management Information Base 49
4. Community Strings SNMP 50
II. L'ÉQUIPEMENT DU RÉSEAU 51
A. ÉQUIPEMENTS D'INTERCONNEXION 51
1. Répétiteur (Repeater) 51
2. Bridge (Pont) 52
3. Routeurs 53
4. Passerelles (Gateways) 56
5. Hubs (Concentrateurs) 56
6. Commutateurs (Switches) 57
7. Architectures de réseau d'entreprise 57
B. INTERFACES PHYSIQUES 58
1. Connecteurs RJ 58
2. Interface RS-530 60
3. Interface X.21 60
4. Interface G.703 60
5. Interface V.11 61
6. Interface V.24 62
7. Interface V.35 62
8. Interface V.36 63
C. SERVICES NUMÉRIQUES E0 ET E1 63
1. Service E0 (64 kbps) 63
2. Service E1 (2,048 Mbps) 63
3. Hiérarchies numériques européenne et américaine 64
D. MÉDIAS PHYSIQUES 64

1. Fibre optique 65
2. Câbles à paires torsadées (UTP/STP/FTP) 69
E. MULTIPLEXAGE 70
1. Multiplexage par Division de Temps (TDM) 70
2. Multiplexage par Division de Fréquences / Longueurs d'Onde 71
3. OFDM — Multiplexage par Sous-porteuses 72
F. REPRÉSENTATION BINAIRE, BIT ET OCTET 72
1. Le système binaire 72
2. Le bit 73
3. L'octet 73
4. Représentation hexadécimale 74
G. PORTS DE COMMUNICATION ET SÉCURITÉ RÉSEAU 74
1. Ports TCP principaux (entrée WAN → LAN) 74
2. Ports UDP principaux 75
3. Réseaux Privés Virtuels (VPN) 76
III. INTERNET 79
A. HISTORIQUE ET ÉVOLUTION D'INTERNET 80
1. Chronologie 80
2. Croissance du nombre d'utilisateurs 81
B. WEB 2.0, 3.0, 4.0 — ÉVOLUTION DES USAGES 82
1. Web 1.0 — Le Web statique (1990–2000) 83
2. Web 2.0 — Le Web social (2000–2015) 83
3. Web 3.0 — Le Web sémantique et décentralisé (2015–) 84
4. Web 4.0 — Le Web intelligent et immersif (émergent) 84
C. TECHNOLOGIES D'ACCÈS À INTERNET 84
1. ADSL — Asymmetric Digital Subscriber Line 84
2. ADSL2+ et évolutions 85
3. Fibre optique — FTTH/FTTB 86
4. Connexion par satellite 87
5. Connexion mobile 4G/5G 88
D. FOURNISSEURS D'ACCÈS INTERNET (FAI) 88
1. Rôle du FAI 88
2. Marché français 89
3. Types de connexions disponibles 89
E. GESTION DES RISQUES ET SÉCURITÉ INTERNET 90
1. Logiciels malveillants (Malwares) 90
2. Antivirus et protection des postes 91
3. Pare-feu (Firewall) 91
4. Menaces sociales — Spam et Phishing 92
5. Protection des données personnelles (RGPD) 93
F. SERVICES INTERNET 93
1. Email (Messagerie électronique) 93
2. DNS — Domain Name System 94
3. World Wide Web (HTTP/HTTPS) 94
4. FTP / SFTP / FTPS 95
5. Telnet et SSH 95
6. Services cloud et streaming 95
7. Usenet — Groupes de discussion 96
IV. PERSPECTIVES 97
A. INTELLIGENCE ARTIFICIELLE ET RÉSEAUX (AI NETWORKING) 97
1. AIOps — L'intelligence artificielle au service de l'exploitation 97
2. Intent-Based Networking (IBN) 99
3. Network slicing 5G piloté par l'IA 100
4. Grands modèles de langage et assistance réseau 101
B. INFORMATIQUE QUANTIQUE ET RÉSEAUX 102
1. menace quantique pour la cryptographie actuelle 102

2. Cryptographie post-quantique (PQC) 103
3. Distribution quantique de clés (QKD) 104
4. Vers un Internet quantique 105
C. EDGE COMPUTING ET INFORMATIQUE EN PÉRIPHÉRIE 105
1. Hiérarchie de l'edge computing 106
2. MEC, Multi-Access Edge Computing 107
3. CDN, Réseaux de distribution de contenu 107
D. IPv6 ET L'ÉPUISEMENT DES ADRESSES IPv44 108
1. L'épuisement des adresses IPv4 108
2. IPv6, État du déploiement mondial en 2025 109
E. RÉSEAUX SATELLITAIRES DE NOUVELLE GÉNÉRATION 111
1. Les mégaconstellations LEO 111
2. Satellites GEO haute capacité 112
F. CLOUD COMPUTING ET ÉVOLUTION DES RÉSEAUX 113
1. Les réseaux backbone des hyperscalers 113
2. Architectures réseau cloud-native 113
G. TENDANCES ÉMERGENTES 114
1. La 6G, Au-delà de la 5G 114
2. Wi-Fi 7 et l'évolution du Wi-Fi 116
3. Green Networking, Les réseaux face au défi énergétique 116
4. Réseaux privés 5G 117
5. SASE, La convergence réseau et sécurité 118
V. GLOSSAIRE DES TERMES RÉSEAU 119
— # — 119
802.1Q / VLAN 119
— A — 119
ACK / ACQUITTEMENT 119
AIOPS 119
ANSI 120
API 120
APPLET JAVA ⚠ 120
ARP 120
ARPANET ⚠ 120
ASCII 120
ATM ⚠ 120
— B — 121
BACKBONE / ÉPINE DORSALE 121
BANDWIDTH / BANDE PASSANTE 121
BGP / PROTOCOLE DE ROUTAGE INTER-DOMAINE 121
BIT 121
BPS 121
BRIDGE / PONT ⚠ 121
BROADCAST / DIFFUSION 122
BROWSER / NAVIGATEUR 122
BUG / BOGUE 122
— C — 122
CACHE 122
CASB / COURTIER DE SÉCURITÉ D'ACCÈS AU CLOUD 122
CCITT ⚠ 122
CDN / RÉSEAU DE DISTRIBUTION DE CONTENU 122
CERT ★ 123
CGNAT / NAT DE QUALITÉ OPÉRATEUR 123
CIDR 123
CONTAINER / CONTENEUR 123
COOKIES ★ 123
CSMA/CD ⚠ 123

— D — 124
DATAGRAMME 124
DHCP / PROTOCOLE DE CONFIGURATION DYNAMIQUE 124
DKIM 124
DMARC 124
DNS / SYSTÈME DE NOMS DE DOMAINE ★ 124
DNSSEC / SÉCURITÉ DNS 124
DOWNLOAD / TÉLÉCHARGEMENT 125
— E — 125
EBPF 125
EDGE COMPUTING / INFORMATIQUE EN PÉRIPHÉRIE 125
ETHERNET ★ 125
— F — 125
FAQ 127
FDDI ⚠ 125
FIREWALL / PARE-FEU ★ 126
FLOW CONTROL / CONTRÔLE DE FLUX ★ 126
FTP ★ 126
FTTH / FIBRE JUSQU'À L'ABONNÉ 126
FULL-DUPLEX ★ 126
— G — 126
GATEWAY / PASSERELLE ★ 126
GPON 127
— H — 127
HDLC ⚠ 127
HERTZ 127
HTML ★ 127
HTTP ★ 127
HUB / CONCENTRATEUR ⚠ 127
— I — 128
IAB 128
IBN / RÉSEAU PILOTÉ PAR L'INTENTION 128
IEEE 128
IMAP ★ 128
IP ★ 128
IPV6 / PROTOCOLE INTERNET VERSION 6 128
IRC ⚠ 129
ISDN / RNIS ⚠ 129
ISP / FOURNISSEUR D'ACCÈS INTERNET 129
— J — 129
JAVA ★ 129
— K — 129
KUBERNETES 129
— L — 129
LACP / AGRÉGATION DE LIENS 130
LAN ★ 130
LINUX ★ 130
— M — 130
MAC 130
MEC / INFORMATIQUE EN PÉRIPHÉRIE D'ACCÈS MOBILE 130
MIB ★ 130
MIME ★ 131
MODEM ★ 131
MPLS / COMMUTATION PAR ÉTIQUETTES 131
— N — 131

NAT / TRANSLATION D'ADRESSES RÉSEAU 131
NETIQUETTE 131
NFS ★ 131
— O — 131
OCTET 132
OSI 132
OSPF / PROTOCOLE DE ROUTAGE INTRA-DOMAINE 132
— P — 132
PABX ★ 132
PAQUET 132
PDH ⚠ 132
PHISHING / HAMEÇONNAGE 133
PING 133
POE / ALIMENTATION PAR ETHERNET 133
POP3 ★ 133
PQC / CRYPTOGRAPHIE POST-QUANTIQUE 133
PROXY / SERVEUR MANDATAIRE ★ 133
— Q — 133
QKD / DISTRIBUTION QUANTIQUE DE CLÉS 134
QOS / QUALITÉ DE SERVICE 134
— R — 134
RANSOMWARE / RANÇONGICIEL 134
RFC ★ 134
RGPD / RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES 134
RIP ★ 134
ROUTEUR ★ 135
— S — 135
SASE / SERVICE D'ACCÈS SÉCURISÉ EN PÉRIPHÉRIE 135
SDH ⚠ 135
SD-WAN / RÉSEAU ÉTENDU DÉFINI PAR LOGICIEL 135
SLA / ACCORD DE NIVEAU DE SERVICE 135
SMB ★ 135
SMTP ★ 136
SNMP ★ 136
SPAM ★ 136
SPF 136
SQL ★ 136
SSH 136
SSL ⚠ 137
STP / RSTP / PROTOCOLE SPANNING TREE 137
STREAMING ★ 137
— T — 137
TCP/IP ★ 137
TDM / MULTIPLEXAGE TEMPOREL 137
TELNET ⚠ 137
TLS / SÉCURITÉ DE LA COUCHE TRANSPORT 138
TOKEN RING / ANNEAU À JETON ⚠ 138
TRACEROUTE ★ 138
— U — 138
UDP ★ 138
UIT-T / UNION INTERNATIONALE DES TÉLÉCOMMUNICATIONS 138
URL ★ 138
— V — 139
VLAN / RÉSEAU LOCAL VIRTUEL 139
VPN / RÉSEAU PRIVÉ VIRTUEL ★ 139

— W — 139
WAN 139
WEBRTC 139
WI-FI 6 / 6E 139
WI-FI 7 139
WWW / TOILE MONDIALE ★ 140
— X — 140
XGSPON 140
XML ★ 140
— Z — 140
ZERO TRUST / ZÉRO CONFIANCE 140
ZTNA / ACCÈS RÉSEAU ZÉRO CONFIANCE 140
ABRÉVIATIONS ESSENTIELLES — AIDE-MÉMOIRE 141

Ce cours présente différentes rubriques repérées par une icône
✔ Action
Des procédures décrivent la marche à suivre pour effectuer une action :
3 commandes à se rappeler :
<CLIC G> pour appuyer sur le bouton gauche de la souris avec l'index
<CLIC D> pour appuyer sur le bouton droit de la souris avec le majeur
<DOUBLE CLIC> pour appuyer deux fois de suite très rapidement sur le bouton gauche de la souris avec
l'index
⚠ Attention
Des mises en garde vous permettent d'éviter les pièges ou d'en sortir
⚡ Avancé
Des procédures avancées décrivent des actions plus complexes
? Conseil
Des conseils vous aident à mettre en pratique vos connaissances
? Exemple
Des exemples viennent illustrer ces procédures
✏ Exercice
Des exercices vous permettent de mettre en pratique les connaissances acquises
i Informations
Des informations viennent compléter ces procédures
? Notes
Des emplacements vous permettent de prendre des notes directement sur le support en bas de
chaque page

I – RÉSEAUX LOCAUX 3
I. LES RÉSEAUX LOCAUX
(lan)
Un réseau LAN est un ensemble d'éléments (ordinateurs, serveurs, smartphones, objets
connectés…), connectés par des supports de transmission (câbles, ondes radio…). Le
réseau local a pour objectif d'être transparent pour l'utilisateur (comme si ce dernier utilisait
des ressources locales).
Les réseaux locaux ou LAN (Local Area Network) ont fait leur apparition dans les années
80 et correspondent à la multiplication des micro-ordinateurs. Leur débit va de 1 à 8
Gigabits (ordinateurs de bureau) jusqu'à plusieurs centaines de Gigabit, voire au Térabit
par seconde dans les coeurs et backbones des datacenters.
Quelle que soit leur topologie, bus, anneau ou étoile, ou leur architecture, poste à poste
ou client/serveur, les réseaux locaux ont la même fonction : relier des ordinateurs,
tablettes, mobiles… et des périphériques, leur permettant de partager ainsi des données
et des programmes et de communiquer.
1.
Une connexion au réseau nécessite 4 éléments principaux :
• le réseau et son système de diffusion (câblage, émetteur…)
• un adaptateur réseau (une carte réseau enfichée ou intégrée dans le PC, un
processeur Wi-Fi, bluetooth…)
• un ensemble logiciel adapté au protocole de communication du réseau (inclus
dans le système d'exploitation)
• l'application cliente (logiciel) qui va dialoguer avec un serveur
Généralement, la connexion se fait directement sur le câble pour les réseaux locaux à
travers la carte réseau et via le réseau fibre (ou encore le réseau téléphonique cuivre).
2.
Certains organismes ont la responsabilité de définir des normes (ou standards)
internationales de communication et de réseaux locaux.
i Organismes de normalisation
ISO (International Standard Organisation) — organisation internationale de normalisation, fondée en
1947. ANSI (American National Standard Institute) — organisme national de normalisation américain.
IEEE (Institute of Electrical and Electronic Engineers) — association professionnelle d'ingénieurs,
chargée notamment de la normalisation des réseaux locaux. Le comité 802 est celui qui a développé
les normes LAN. UIT (Union Internationale des Télécommunications) — agence des Nations Unies
coordonnant les réseaux et les services de télécommunication.
L'IEEE a eu la responsabilité de normaliser les technologies de réseaux locaux. Le comité 802 a
produit de nombreuses sur les couches physique et liaison de données du modèle OSI

3.
Selon la définition, un réseau est un système qui relie entre eux des postes de travail.
C'est précisément cette manière de relier les stations de travail qui définit la topologie. Il
existe trois topologies fondamentales : en bus, en étoile, en anneau.
a)
Fig. 1 — Les trois topologies fondamentales : bus, anneau, étoile
Les stations sont connectées le long d'un seul câble (ou segment), la limite théorique est
de 255 stations, ceci n'étant qu'une valeur théorique car la vitesse serait alors très faible.
Chaque liaison au câble est appelée communément « nœud ».
Tout message transmis emprunte le câble pour atteindre les différentes stations. Chacune
des stations examine l'adresse spécifiée dans le message en cours de transmission pour
déterminer s'il lui est destiné. Les câbles utilisés pour cette topologie bus sont des câbles
coaxiaux. Lorsqu'un message est émis par une station, il est transmis dans les deux sens
à toutes les stations qui doivent alors déterminer si le message leur est destiné.
L'avantage du bus est qu'une station en panne ne perturbe pas le reste du réseau. Elle
est, de plus, très facile à mettre en place. Par contre, en cas de rupture du bus, le réseau
devient inutilisable. Par ailleurs, le signal n'est jamais régénéré, ce qui limite la longueur
des câbles.
b)
⚠ Topologie en bus — obsolète
La topologie en bus avec câble coaxial est aujourd'hui obsolète dans les réseaux locaux. Elle a été
abandonnée au profit de la topologie en étoile avec switches dès la fin des années 1990.
Les stations sont connectées sur une boucle continue et fermée de câble. Les signaux se
déplacent le long de la boucle dans une seule direction et passent par chacune des
stations. On peut, si on le désire, attribuer des droits particuliers à un poste de travail que
l'on appellera alors nœud privilégié.
Chaque station fait office de répétiteur afin d'amplifier le signal et de l'envoyer à la station
suivante. Cette topologie permet d'avoir un débit proche de 90 % de la bande passante.
Cette topologie est fragile : il suffit qu'une connexion entre deux stations ne fonctionne
pas correctement pour que tout le réseau soit en panne.
⚠ Topologie en anneau — obsolète
La topologie en anneau (Token Ring, FDDI) est obsolète dans les réseaux locaux d'entreprise. Elle
subsiste sous une forme évoluée dans les réseaux métropolitains en anneau résilient (SONET/SDH) et
dans certaines architectures industrielles.

I – RÉSEAUX LOCAUX 5
c)
Les stations sont connectées par des segments de câble à un composant central appelé
concentrateur (hub) ou commutateur (switch). La solution du concentrateur puis du switch
offre certains avantages, notamment en cas de coupure de liaisons. L'ensemble de la
chaîne n'est pas interrompu comme dans une topologie en bus simple. Par l'intermédiaire
de ces derniers, les signaux sont transmis depuis l'ordinateur émetteur vers tous les
ordinateurs du réseau (dans le cas du hub) ou vers l'ordinateur ciblé uniquement (dans le
cas du switch).
Si une panne survient dans le nœud central, c'est l'ensemble du réseau qui est alors
paralysé. De plus, l'ajout d'une station nécessite un nouveau câble allant du nœud central
jusqu'à la nouvelle station. C'est la technologie la plus utilisée actuellement.
Étoile avec switch moderne
Avec les commutateurs (switches) modernes de couche 2 et 3, chaque port est dédié à
une connexion point-à-point full-duplex, ce qui élimine totalement les domaines de
collision et permet d'atteindre les débits nominaux des interfaces. La topologie en étoile
hiérarchique est la base de toutes les architectures d'entreprise modernes.
d)
Un réseau maillé possède plusieurs liaisons point à point, chaque point étant relié à tous
les autres. L'inconvénient est le nombre de liaisons nécessaires qui peut devenir très
élevé en fonction du nombre de postes.
Cette topologie se rencontre dans les grands réseaux de distribution (Internet).
L'information parcourt le réseau selon des itinéraires variés, sous le contrôle de
superviseurs de réseau, ou grâce à des méthodes de routage réparties.
Elle existe aussi dans le cas de couverture Wi-Fi étendue. On parle alors bien souvent de
topologie mesh, où les routeurs Wi-Fi communiquent entre eux via un protocole comme
OLSR (Optimized Link State Routing) pour offrir une couverture homogène sur de grandes
surfaces.
i Autres topologies
Il existe aussi le réseau hiérarchique (tree network), le réseau en grille, le réseau en hypercube,
moins utilisés dans les LAN courants mais présents dans les clusters HPC (High-Performance
Computing) et les supercalculateurs.
? Notes

4.
Dans les réseaux d’entreprise actuels, les LAN sont généralement organisés en plusieurs
couches logiques pour concilier performances, évolutivité et facilité d’administration. On
distingue classiquement la couche d’accès utilisateur, la couche de distribution et la
couche de cœur (core).
La couche d’accès regroupe les switches qui connectent directement les postes clients :
PC, imprimantes, téléphones IP, bornes Wi‐Fi, objets connectés. Les ports de cette
couche sont majoritairement à 1 Gbit/s, avec une montée en puissance vers 2,5 et 5
Gbit/s pour alimenter les bornes Wi‐Fi 6/6E et bientôt Wi‐Fi 7. De plus en plus de ports
d’accès fournissent l’alimentation électrique via PoE (Power over Ethernet) pour les points
d’accès Wi‐Fi, les caméras IP, les téléphones IP et divers équipements IoT, ce qui
simplifie grandement le câblage.
La couche de distribution agrège le trafic provenant de plusieurs switches d’accès et
applique des politiques de sécurité, de routage inter‐VLAN et de qualité de service. Les
liaisons entre accès et distribution sont généralement à 10 ou 25 Gbit/s, parfois 40 Gbit/s
selon la taille du site et les besoins en bande passante.
La couche de cœur (core) assure le transport très haut débit entre les différentes parties
du réseau (bâtiments, datacenters, interconnexion avec le WAN). Elle s’appuie sur des liens
à 40 ou 100 Gbit/s, voire au‐delà dans les grands environnements. Dans les datacenters
modernes, on trouve fréquemment une architecture leaf‐spine, où chaque switch d’accès
serveur (leaf) est relié à tous les switches de cœur (spine) pour garantir des chemins
courts et un haut niveau de redondance.
5.
Les réseaux locaux ont connu un énorme développement depuis les années 80. Plusieurs
normes ont successivement dominé le marché :
Token Ring (IEEE 802.5) : Réseau élaboré par IBM, basé sur le protocole du jeton
sur une topologie en anneau. Débits de 4 et 16 Mbps. Aujourd'hui totalement
obsolète, remplacé par Ethernet.
Arcnet : Développé initialement par la compagnie Data Point, Arcnet est basé sur
le protocole de passage du jeton (token passing). Cette technologie accepte les
topologies en bus et en étoile. Débit de 2,5 Mbps. Obsolète.
Ethernet (IEEE 802.3) — la plus utilisée : Mise au point par Digital, Xerox et Intel.
La communication a été longtemps assurée par le protocole CSMA/CD mais sur les
réseaux actuels (switch + full‐duplex) CSMA/CD n’est pratiquement plus utilisé. La
transmission se fait sous forme de trame (Frame) ou bloc d'information. Ethernet est
aujourd'hui la technologie LAN universelle, disponible de 10 Mbps à 400 Gbps.
Wi-Fi (IEEE 802.11) : Réseau local sans fil, opérant sur les fréquences 2,4 GHz, 5
GHz et 6 GHz selon les normes. Devenu le standard de connectivité sans fil dans
les entreprises et chez les particuliers.
? Notes

I – RÉSEAUX LOCAUX 7
6.
Dans un réseau local, chaque nœud est susceptible d'émettre sur le même câble de
liaison. L'ensemble des règles d'accès, de durée d'utilisation et de surveillance constitue
le protocole d'accès aux câbles ou aux médias de communication.
La couche 2 du modèle de référence OSI est divisée en deux sous-couches :
LLC (Logical Link Control) — Contrôle de liaison logique : assure
l'indépendance des traitements entre les couches supérieures et la couche MAC.
MAC (Media Access Control) — Contrôle d'accès au médium : est responsable
de l'accès au médium de transmission pour acheminer des trames d'information.
Elle essaie d'éviter les conflits d'accès au support.
i Couche LLC
La couche LLC assure l'indépendance des traitements entre les couches supérieures et la couche
MAC. Elle est définie par la norme IEEE 802.2 et s'applique à toutes les technologies LAN (Ethernet,
Token Ring, Wi-Fi).
Dans un réseau local, chaque nœud est susceptible d'émettre sur le même câble de
liaison. L'ensemble des règles d'accès, de durée d'utilisation et de surveillance constitue
le protocole d'accès aux câbles ou aux médias de communication.
Il existe trois principaux protocoles de contrôle d'accès au médium :
1.
• Contention CSMA (Carrier Sense Multiple Access)
• Passage du jeton (Token)
• TDMA (Time Division Multiple Access)
Dans les réseaux Ethernet modernes commutés et full-duplex, CSMA/CD n’est plus utilisé
en pratique, mais reste important pour comprendre le fonctionnement historique
d’Ethernet
Dans un protocole de contention de la couche MAC, chaque nœud a un accès égal au
support. Un système de détection du signal permet d'identifier un signal sur le médium.
Lorsqu'un nœud a une trame à transmettre, il examine le médium afin de déterminer s'il
est occupé par un autre poste. Si le médium est libre, il peut transmettre.
Plusieurs nœuds peuvent détecter que le support est libre et commencer à transmettre
immédiatement. Si deux ou plusieurs nœuds commencent à transmettre en même temps,
une collision se produit. Lorsqu'une collision est détectée, les nœuds envoyant les
messages doivent les retransmettre. Chaque nœud doit attendre pendant un délai de
durée aléatoire avant d'essayer de retransmettre les messages, ce qui réduit la probabilité
d'une autre collision.
CSMA/CD (CD pour Collision Detection) détecte la collision lorsque deux postes veulent
émettre en même temps. Une fois la collision détectée, le système calcule un temps
d'attente aléatoire (backoff exponentiel) pour chaque poste. Celui dont le temps d'attente
est le plus court réémettra en premier.

Le protocole CSMA/CD effectue une transmission broadcast à tous les postes. Tous les
postes du réseau écoutent le support et acceptent le message contenu dans cette trame
diffusée. Chaque message a une adresse de destination. Seul le poste de travail
possédant une adresse identique à celle de destination du message interprétera le
contenu du message.
CSMA/CD est une méthode rapide et fiable car, dans des situations normales (sans
charge excessive et sans problème matériel), il y a peu de collisions. Malgré la méthode de
détection des collisions, certaines pourraient passer inaperçues dans des configurations
non standards.
? Le problème de la trame courte et de la collision
Si les stations A et B sont éloignées sur le réseau, A peut émettre une trame très courte, écouter son
écho et penser que tout est bon. Cependant, il est possible que de l'autre côté B écoute, que la
trame de A ne soit pas encore arrivée, et donc émette. Une collision va se produire alors que A aura
cru que tout s'était bien passé — sa trame serait perdue.
Pour éviter cela, la norme impose une taille de trame minimale de 512 bits. Si le message
n'est pas assez long, on rajoute des bits de bourrage (padding) pour arriver à cette taille.
Cependant, ce n'est pas suffisant : si la taille du réseau n'est pas limitée, le problème peut
toujours se produire.
On limite donc la taille du réseau en fonction du temps de retournement (Round Trip Delay)
de la trame minimale et du débit. C'est-à-dire en fonction du temps que mettent 512 bits à
faire l'aller-retour entre les deux points les plus éloignés du réseau. Pour détecter une
collision, il faut que, avant que la station ait fini d'émettre ses 512 bits, le signal du premier
bit soit arrivé au bout et que, si une station du bout a émis un bit à ce moment, il ait eu le
temps d'arriver. En résumé : le temps d'émission de 512 bits doit être supérieur au Round
Trip Delay du réseau.
CSMA/CA — variante sans collision
CSMA/CA (CA pour Collision Avoidance) a comme objectif d'éviter les collisions plutôt que
de les détecter. Ce protocole est utilisé dans les réseaux sans fil IEEE 802.11 (Wi-Fi) où
la détection de collision est impossible en radio. Il s'appuie sur le mécanisme RTS/CTS
(Request To Send / Clear To Send) et sur un temps d'attente aléatoire (DIFS + backoff) avant
chaque émission pour minimiser les risques de collision.
2.
Wi-Fi 6 (802.11ax) introduit deux mécanismes complémentaires qui transforment
radicalement la gestion du canal radio. L'OFDMA (Orthogonal Frequency Division Multiple
Access) découpe chaque canal en sous-porteuses appelées RU (Resource Units),
permettant à un point d'accès de servir plusieurs équipements simultanément sur des
tranches de fréquences distinctes, sans que chaque client attende son tour. C'est une
rupture fondamentale avec les générations précédentes où le canal était alloué à un seul
émetteur à la fois.
? Notes

I – RÉSEAUX LOCAUX 9
3.
Le MU-MIMO (Multi-User Multiple Input Multiple Output) agit sur une dimension différente
: il exploite plusieurs antennes pour transmettre des flux de données indépendants vers
plusieurs clients en parallèle, aussi bien en émission (downlink) qu'en réception (uplink)
depuis Wi-Fi 6. Combinés, OFDMA et MU-MIMO permettent à un point d'accès de gérer
efficacement des environnements à forte densité — open space, amphithéâtres, hôtels —
là où les générations précédentes saturaient rapidement sous la contention.
4.
Ce protocole se présente sous deux formes :
• L'anneau à jeton circulant (token passing ring) est utilisé dans la topologie en
anneau.
• Le jeton logique circulant (logical token passing) est utilisé principalement dans
une technologie appelée Arcnet.
La technique du passage du jeton est le deuxième protocole de contrôle d'accès au
médium. Ce protocole est utilisé dans les topologies en bus et en anneau. Chaque nœud
a une chance égale de transmettre. Le droit de transmettre est accordé par le jeton qui se
transporte d'un nœud à l'autre de manière séquentielle. Seul le détenteur du jeton peut
transmettre un message.
Fonctionnement :
• Attendre la réception du jeton de transmission. Le jeton circule et passe de nœud
en nœud d'une manière séquentielle.
• Si le jeton est reçu et qu'il n'y a aucun message à envoyer, acheminer le jeton au
prochain nœud.
• Si le jeton est reçu et qu'il y a un message à transmettre : seul le détenteur du
jeton peut émettre. Le message est prélevé au passage par le destinataire, qui
renvoie à l'émetteur un accusé de réception.
• Lorsque le message a fait le tour de l'anneau, il est prélevé par l'émetteur, qui
vérifie sa bonne réception avant de le détruire et de libérer le jeton.
• Le jeton est passé au prochain nœud.
Avec l'anneau à jeton circulant, le jeton suit l'ordre physique des postes, tandis qu'avec le
jeton circulant, il suit le numéro logique qui se trouve sur la carte d'interface de réseau de
chaque poste.
La méthode du jeton circulant est très fiable car un seul poste peut émettre à un moment
donné, la collision est donc impossible. Comme tous les postes ont régulièrement accès
au câble, chacun se trouve servi également. Cette technique introduit cependant un délai
par rapport à la méthode de contention CSMA/CD.
⚠ Passage du jeton — obsolète dans les LAN
Token Ring (IEEE 802.5) et Arcnet sont aujourd'hui complètement obsolètes dans les réseaux locaux
d'entreprise. Ces technologies ont été supplantées par Ethernet commuté à partir des années 1990.
Le passage du jeton subsiste dans certains protocoles industriels (PROFIBUS) et dans les réseaux de
terrain.

5.
Dans cette méthode, le temps est divisé en tranches attribuées à chaque nœud. Ainsi,
une station peut émettre un message pendant une ou plusieurs tranches de temps qui lui
sont accordées. En dehors de cela, elle attend son tour pour émettre. Un poste privilégié
peut obtenir, par configuration, plus de tranches de temps qu'un autre poste. Cette
méthode évite les collisions.
Le TDMA est très peu exploité dans les LAN aujourd'hui. En revanche, il est massivement
utilisé dans les réseaux sans fil cellulaires (GSM, 2G) et dans les systèmes de
communication satellite et OFDMA/TDMA dans Wi‐Fi 6/7 (qui reste une forme d’accès
multiple temporel/ fréquentiel).
La transmission peut s'effectuer avec ou sans câbles. Le câble est le support essentiel de
la transmission entre deux réseaux, celui-ci diffère suivant le type de réseau.
1.
La paire de fils torsadée (UTP/STP) : encore le médium de transmission de
données le plus répandu pour les accès LAN. Il est réalisé à partir de paires de fils
électriques, parfois blindés. Ce câble est employé notamment par les technologies
Ethernet xBase-T. Il supporte des débits de 10 Mbps (Cat.3) jusqu'à 40 Gbps
(Cat.8) sur des distances de 30 à 100 mètres.
Le câble coaxial : spécialement conditionné et isolé (le conducteur central est
appelé âme), il est capable de transmettre des données à grande vitesse mais en
contexte LAN moderne, le coax n’est plus utilisé. Il est encore utilisé dans les
réseaux câblés HFC (câble TV + Internet) avec la technologie DOCSIS.
La fibre optique : permet de transmettre d'énormes volumes de données à la
vitesse de la lumière à travers de fins fils de verre ou de plastique. Elle remplace de
plus en plus rapidement tous les autres types de câble pour les longues distances
et les débits élevés. C'est le support de prédilection pour les backbones
d'entreprise, les liaisons WAN et les déploiements FTTH.
Les courants porteurs en ligne (CPL) : permettent le transfert d'information via les fils
électriques existants. Dans cette technologie, le signal passe par induction sur les
phases électriques. Les adaptateurs CPL se branchent directement sur les prises
électriques. Les normes HomePlug AV et IEEE 1901 offrent des débits jusqu'à 500
Mbps. La norme G.hn (ITU-T) de dernière génération atteint 2 Gbps.
2.
Plusieurs méthodes permettent la transmission sans câble :
La transmission par ondes infrarouges : à courte distance, basée sur la
fréquence de la lumière, utilise une radiation électromagnétique d'une longueur
d'onde située entre celle de la lumière visible et celles des ondes radio. Utilisée
essentiellement pour les télécommandes et les courtes distances. Très peu utilisée
en réseau informatique.
? Notes

I – RÉSEAUX LOCAUX 11
La transmission par ondes terrestres (liaisons hertziennes) : projette des
données dans l'espace par l'intermédiaire de signaux radio à haute fréquence de
l'ordre de 1 000 mégahertz (1 GHz). Les données peuvent être transmises sur une
route terrestre par des répétiteurs distants d'environ 40 kilomètres. Ces liaisons
sont utilisées pour les backbones WAN des opérateurs télécoms.
Les ondes radio pour réseau cellulaire : utilisent les hautes fréquences radio.
Des antennes sont placées géographiquement dans une région pour transférer le
signal d'un poste à l'autre. L'évolution des réseaux cellulaires a conduit aux
générations 2G, 3G, 4G LTE et 5G.
Le Wi-Fi (IEEE 802.11) : est un réseau WLAN (Wireless LAN) utilisant des
fréquences spécifiques des ondes terrestres. Les normes IEEE 802.11 ont
considérablement évolué depuis les premières versions : Wi-Fi 4 (802.11n, jusqu'à
600 Mbps), Wi-Fi 5 (802.11ac, jusqu'à 3,5 Gbps), Wi-Fi 6 (802.11ax, jusqu'à 9,6 Gbps),
Wi-Fi 6E (extension sur 6 GHz) et Wi-Fi 7 (802.11be, jusqu'à 46 Gbps théoriques). La
portée varie de 30 à 150 m selon l'environnement.
Le Bluetooth : permet l'échange bidirectionnel de données à courte distance en
utilisant des ondes radio UHF à 2,4 GHz. Il simplifie les connexions entre appareils
proches en supprimant les liaisons filaires. (Bluetooth est inspiré du nom d'un roi
viking Harald Blåtan, dont le logo représente les initiales en alphabet runique.) La
version Bluetooth 5.x atteint 2 Mbps avec une portée de 200 m.
Le WiMAX (IEEE 802.16) : est un réseau de transmission de données à haut débit
par voie hertzienne, conçu pour couvrir de larges zones géographiques (jusqu'à 50
km de rayon). Il a été déployé dans les années 2000 comme alternative au DSL en
zones rurales. Il est aujourd'hui largement abandonné, remplacé par les réseaux
4G LTE et 5G pour les accès sans fil longue distance.
La transmission par satellite : a l'avantage de permettre la connexion de zones
difficiles d'accès pour les autres médias. On distingue les satellites géostationnaires
(GEO, à 36 000 km d'altitude), qui offrent une couverture mondiale mais avec une
latence élevée (~600 ms), des constellations LEO (Low Earth Orbit) en orbite basse.
Starlink et les constellations LEO
Le réseau Starlink (SpaceX) est le plus avancé des systèmes satellitaires LEO, avec plus
de 6 000 satellites actifs en orbite entre 550 et 570 km d'altitude (objectif : 42 000
satellites). Les débits atteignent en 2025 entre 100 et 300 Mbps en descente pour 20 à 50
Mbps en montée, avec des latences de 20 à 40 ms — comparables à l'ADSL. Starlink est
désormais disponible dans plus de 100 pays. D'autres constellations sont en cours de
déploiement : OneWeb (Eutelsat), Amazon Kuiper, Telesat Lightspeed.
? Notes

3.
Les débits réseau se mesurent en bits par seconde (bit/s ou bps). Le tableau ci-dessous
récapitule les unités utilisées dans le Système International (SI) :
Fig. 2 — Unités de débit binaire (Source : Wikipédia)
i Débit théorique vs débit réel
Le débit affiché par une norme (ex. : 1 Gbps pour Ethernet gigabit) est le débit brut théorique. Le
débit réel (throughput) est toujours inférieur du fait des en-têtes de protocoles, des mécanismes de
contrôle, des collisions éventuelles et de l'overhead de chiffrement. En pratique, on observe
typiquement 60 à 90 % du débit nominal sur un réseau bien dimensionné.
Un réseau local (LAN) est basé sur le principe de la diffusion. Chaque information émise
par un équipement connecté sur le LAN est reçue par tous les autres équipements du
même domaine de diffusion (broadcast domain).
Avec l'augmentation du nombre d'équipements raccordés sur le LAN, on aboutit à des
situations de saturation. En effet, plus il y a de stations, plus il y a de risques de collisions
et plus les broadcasts consomment de bande passante.
Un VLAN (Virtual LAN) est un domaine de diffusion logique, créé par configuration
logicielle sur un ou plusieurs switches. Les VLANs permettent donc des regroupements
logiques d'utilisateurs ou de stations, indépendamment de leur localisation physique. Le
domaine de diffusion est l'ensemble des membres d'un VLAN habilités à communiquer.
i Informations
Sur un réseau local moderne, les hôtes reçoivent généralement leur adresse IPv4 privée
automatiquement via DHCP, ainsi que l’adresse de la passerelle et des serveurs DNS. En IPv6,
chaque interface dispose au minimum d’une adresse link‐local (préfixe fe80::/10), et peut
obtenir automatiquement une adresse globale par SLAAC (Stateless Address
Autoconfiguration) ou via DHCPv6. Sur un même VLAN, les machines partagent le même plan
d’adressage IP, ce qui facilite le routage et l’application de politiques de sécurité.

I – RÉSEAUX LOCAUX 13
1.
2.
• Augmentation de la sécurité en protégeant certaines ressources, en isolant
certains groupes (ex. : VLAN comptabilité, VLAN invités, VLAN IoT)
• Augmentation des performances en limitant les domaines de diffusion — les
broadcasts restent confinés au VLAN
• Flexibilité : un utilisateur qui déménage dans les locaux retrouve les mêmes
droits d'accès aux ressources LAN sans que l'exploitant n'ait eu à intervenir
physiquement
• Simplification de la gestion réseau : regroupement logique par fonction
(commercial, production, direction) plutôt que par emplacement géographique
⚠ Sécurité des VLAN
La segmentation en VLAN améliore la sécurité, mais elle ne suffit pas à elle seule à contrôler
qui a le droit de se connecter au réseau. Il est recommandé de combiner les VLAN avec des
mécanismes de contrôle d’accès comme le port‐security (limitation du nombre d’adresses
MAC approuvées sur un port) et l’authentification 802.1X basée sur un serveur RADIUS. Cela
permet de s’assurer que seuls les utilisateurs ou équipements autorisés peuvent accéder à un
VLAN donné.
3.
VLAN par port (Port-Based VLAN) : les VLANs sont définis comme groupe de
ports. Toutes les stations connectées aux ports du groupe appartiennent alors au
même VLAN. Ils sont surtout adaptés aux réseaux pour lesquels une seule station
est raccordée sur chaque port du switch. Simples à utiliser.
VLAN par adresse MAC (MAC-Based VLAN) : les VLANs sont définis comme
une liste de stations identifiées par leur adresse MAC. Plus souples, ils permettent
de définir l'appartenance à un VLAN pour chaque station, indépendamment de sa
situation géographique dans le réseau. Ces VLANs sont complexes à administrer
du fait de la difficulté à gérer les adresses MAC.
VLAN de niveau 3 (Subnet VLAN) : regroupent les stations utilisant le même
protocole de niveau 3 ou appartenant au même réseau logique (subnet IP). Ils
utilisent les mêmes critères de segmentation que les routeurs et s'adaptent bien
aux réseaux existants. Plus simples à administrer puisqu'ils travaillent sur des
adresses de niveau 3 bien connues des exploitants de réseaux.
VLAN sur critères applicatifs : associés aux VLANs de niveau 3, permettent
d'optimiser ou de personnaliser les VLANs pour des applications particulières (ex. :
VLAN VoIP, VLAN vidéosurveillance, VLAN multicast).
Pour transporter des informations VLAN entre switches ou entre un switch et un routeur,
la norme IEEE 802.1Q définit le mécanisme d'étiquetage (tagging) des trames Ethernet.
Un tag de 4 octets, inséré dans la trame Ethernet, identifie le VLAN d'appartenance.
? Notes

La structure du tag 802.1Q est la suivante :
TPID (Tag Protocol Identifier) : 2 octets — valeur fixe 0x8100, identifiant la trame
comme taguée 802.1Q
PCP (Priority Code Point) : 3 bits — priorité de la trame (0 à 7), utilisée pour la QoS
de couche 2 (IEEE 802.1p)
DEI (Drop Eligible Indicator) : 1 bit — indique si la trame peut être supprimée en cas
de congestion
VID (VLAN Identifier) : 12 bits — numéro du VLAN de 0 à 4095 (0 et 4095 réservés,
soit 4 094 VLANs utilisables)
Les liens entre switches transportant plusieurs VLANs sont appelés liens trunk. Sur un
trunk, chaque trame est étiquetée (tagged) avec son VLAN d'appartenance.
⚠ Attention
Le VLAN natif (native VLAN, par défaut le VLAN 1) n'est pas étiqueté sur le trunk — c'est un
point important de configuration et de sécurité.
Les VLANs étant des domaines de diffusion distincts, la communication entre deux
VLANs différents nécessite un routage de couche 3.
Deux approches sont courantes :
Router-on-a-Stick : un routeur connecté au switch via un seul lien trunk, avec des
sous-interfaces (sub-interfaces) configurées pour chaque VLAN.
Switch de couche 3 (L3 Switch) : le switch intègre un moteur de routage matériel
(ASIC). Le routage inter-VLAN est réalisé localement sur le switch via des
interfaces SVI (Switched Virtual Interface), sans nécessiter de routeur externe.
Solution préconisée pour les performances.
VXLAN — VLANs pour le cloud et les datacenters
La norme IEEE 802.1Q limite le nombre de VLANs à 4 094, ce qui est insuffisant pour les
clouds publics hébergeant des milliers de clients. VXLAN (Virtual Extensible LAN, RFC 7348)
résout ce problème en encapsulant les trames Ethernet de niveau 2 dans des paquets
UDP de niveau 3, avec un identifiant de segment sur 24 bits (VNI — VXLAN Network
Identifier) supportant plus de 16 millions de réseaux virtuels distincts. VXLAN est le
standard des datacenters et des clouds privés/publics.
? Notes

I – RÉSEAUX LOCAUX 15
Au-delà de CSMA/CD, plusieurs protocoles de couche 2 sont indispensables au
fonctionnement des réseaux locaux modernes. Les principaux sont le Spanning Tree
Protocol, l'agrégation de liens et la qualité de service de couche 2.
1.
⚠ VLAN natif et sécurité
Sur un lien trunk 802.1Q, le VLAN natif est le VLAN dont les trames sont envoyées non taguées.
Un mauvais usage du VLAN natif peut créer des failles de sécurité (attaques de type VLAN
hopping, confusion de configuration entre équipements). En pratique, il est conseillé de ne pas
utiliser le VLAN natif pour le trafic utilisateur, de le réserver à un VLAN dédié et de vérifier
systématiquement la cohérence des VLAN configurés de part et d’autre d’un trunk..
Dans les réseaux d'entreprise, les liens redondants entre switches sont nécessaires pour
assurer la disponibilité en cas de panne d'un lien. Cependant, les boucles physiques à la
couche 2 créent des tempêtes de broadcast qui peuvent paralyser l'ensemble du réseau.
Le Spanning Tree Protocol (STP, IEEE 802.1D) résout ce problème en créant un arbre
logique sans boucle à partir d'une topologie physique redondante. Il bloque logiquement
les ports redondants et les réactive automatiquement lors de défaillance du lien principal.
Ses successeurs améliorent la vitesse de convergence :
2.
RSTP (Rapid STP, IEEE 802.1w) : convergence en quelques secondes (vs 30 à
50 secondes pour STP). Standard actuel.
MSTP (Multiple STP, IEEE 802.1s) : permet d'avoir plusieurs instances de
spanning tree pour différents groupes de VLANs, optimisant ainsi le trafic en
utilisant différents liens physiques pour différents VLANs.
L'agrégation de liens (Link Aggregation, aussi appelée EtherChannel chez Cisco, bonding sous
Linux ou Port Channel) permet de regrouper plusieurs liens physiques en un seul lien
logique. Cela offre une augmentation de la bande passante et une redondance
automatique.
LACP (Link Aggregation Control Protocol, IEEE 802.3ad) est le protocole standard qui
négocie automatiquement la formation du groupe d'agrégation entre les deux extrémités
du lien. Par exemple, 4 liens de 10 Gbps agrégés forment un lien logique de 40 Gbps
avec tolérance aux pannes d'un lien individuel.
3.
IEEE 802.1p définit 8 niveaux de priorité de trafic (0 à 7) encodés dans le champ PCP du
tag 802.1Q. Les switches utilisent ces priorités pour assurer que les flux sensibles (voix,
vidéo) sont traités avant les données ordinaires.
? Notes

Les priorités standard IEEE 802.1p sont les suivantes :
Priorité Nom Usage typique
7 (max) Network Control Trafic de contrôle réseau (BPDU, OSPF)
6 Internetwork Control Protocoles de routage
5 Voice Voix sur IP (VoIP) — latence < 150 ms
4 Video Vidéoconférence, streaming
3 Excellent Effort Applications critiques d'entreprise
2 Spare Réservé
1 Background Transferts de fichiers, sauvegardes
0 (défaut) Best Effort Trafic standard non priorisé
? Notes

II. RÉSEAUX ÉTENDUS 17
II. LES RÉSEAUX ÉTENDUS
(WAN)
Les réseaux WAN (Wide Area Network) couvrent des communications mondiales ou des
zones bien plus vastes que les réseaux LAN (Local Area Network). L'objectif est de
transférer les données de manière fiable sur des distances de plus en plus longues.
Différents protocoles sont nécessaires pour prendre en compte les interruptions possibles
de la communication, les délais de bout en bout et le rétablissement des données
corrompues. Les passerelles assurent la conversion entre les protocoles du réseau.
1.
La conception d'un réseau WAN implique plusieurs contraintes spécifiques qui le
distinguent fondamentalement d'un réseau local :
• Il faut choisir le service WAN en prenant en compte les délais du réseau et
l'aspect financier. Les services WAN sont généralement plus coûteux que les
technologies LAN, notamment du fait de la distance et de l'implication
d'opérateurs de télécommunication.
• Comme différents opérateurs peuvent être impliqués, il est indispensable de
connaître les standards de communication et de respecter les interfaces
normalisées.
• Il faut des schémas d'adressage complets concernant plusieurs milliers d'unités,
notamment avec IP et les protocoles de routage associés.
• Un mécanisme de sécurité supplémentaire peut s'avérer nécessaire pour
restreindre l'accès à certains utilisateurs, notamment à travers des VPN (Virtual
Private Network) ou des liaisons chiffrées.
2.
Les services WAN sont chargés de transporter les données sur de longues distances,
avec l'aide d'un fournisseur de réseau. Ces services peuvent être facturés de différentes
manières mais en général on en distingue trois types principaux :
Les services fixes (lignes analogiques ou numériques louées) sont des circuits privés
spécialisés entre deux points. Ils sont facturés sur la base d'une location fixe, que la
liaison soit utilisée ou non. Ce type de service offre une bande passante garantie et
une latence constante, particulièrement adapté aux applications critiques.
Les services commutés tels que les lignes téléphoniques standard ou ISDN
établissent une connexion entre deux points d'extrémité, à la demande. Dans ce
cas, à un montant de location s'ajoutent des redevances quand la communication
est établie. Si aucune donnée n'est transmise sur la liaison pendant qu'une
communication est établie, la facturation demeure. Ce type de service est
aujourd'hui très peu utilisé.
Les services de commutation par paquets transportent les données de
l'utilisateur à sa destination, telles que, et au moment où, elles sont présentées au

réseau. L'utilisateur paie pour les données réelles transmises. Ce mode permet une
utilisation plus efficace des ressources réseau grâce au multiplexage statistique.
Dans les environnements WAN commutés et de commutation par paquets, le client paie
directement ou non pour la bande passante requise. Les coûts peuvent donc être réduits
si l'on supprime les parties de données redondantes par compression.
3.
Quelle que soit l'architecture physique d'un réseau, on trouve deux modes de
fonctionnement différents : le mode avec connexion et le mode sans connexion.
4.
Mode avec connexion : toute communication entre deux équipements suit un
processus en trois phases. L'émetteur demande l'établissement d'une connexion
par l'envoi d'un bloc de données spécial. Si le récepteur accepte, une connexion
est établie par mise en place d'un circuit virtuel dans le réseau reliant l'émetteur au
récepteur. Les données sont ensuite transférées d'un point à l'autre, puis la
connexion est libérée. Ce mode garantit un chemin dédié et un ordre d'arrivée des
données.
Mode sans connexion : les blocs de données, appelés datagrammes, sont émis
sans vérifier à l'avance si l'équipement à atteindre, ainsi que les nœuds
intermédiaires éventuels, sont bien actifs. C'est alors aux équipements gérant le
réseau d'acheminer le message par étape et en assurant éventuellement sa
temporisation jusqu'à ce que le destinataire soit actif. Ce mode offre plus de
flexibilité et de résilience, mais sans garantie de livraison ni d'ordre.
Les réseaux étendus d’entreprise reposent aujourd’hui sur un mélange de technologies
fournies par les opérateurs (MPLS, fibre dédiée, liens Internet) et de mécanismes de
superposition (overlay) comme les VPN IPsec ou SSL. L’objectif est d’interconnecter en
toute sécurité les sites distants, les datacenters et les ressources dans le cloud, tout en
optimisant les coûts et la qualité de service.
Les anciennes architectures basées uniquement sur des liens MPLS coûteux sont
progressivement remplacées par des solutions hybrides combinant plusieurs accès : fibre
haut débit, 4G/5G, xDSL résiduel. Les routeurs WAN peuvent basculer automatiquement
le trafic d’un lien à l’autre en cas de panne ou de saturation, selon des politiques définies
(priorisation des applications critiques, optimisation du chemin).
Les solutions SD‐WAN (Software‐Defined WAN) apportent une couche de contrôle
centralisée permettant de piloter dynamiquement les chemins réseau entre les sites, de
chiffrer systématiquement le trafic entre agences et de mesurer en temps réel les
performances (latence, gigue, perte). Elles sont particulièrement adaptées aux entreprises
réparties sur de nombreux sites et à l’usage massif d’applications hébergées dans le
cloud (SaaS, IaaS).
? Notes

II. RÉSEAUX ÉTENDUS 19
En 1977, l'Organisation Internationale de Normalisation (ISO) a créé, pour des raisons de
compatibilité entre les différentes machines, un ensemble de lois régissant les différentes
couches, baptisé modèle OSI (Open System Interconnection model). Celui-ci est appelé
modèle de référence OSI parce qu'il traite de la connexion entre les systèmes ouverts
(avec d'autres systèmes).
Le modèle OSI préconise le découpage de la communication en 7 couches, afin de
permettre de normaliser les méthodes d'échange entre deux systèmes. Chaque couche a
un rôle bien particulier et communique sur requête (sur demande) de la couche supérieure
en utilisant des services de la couche inférieure (sauf pour la couche physique 1).
Les données transférées par les services sont des SDU (Service Data Unit). L'échange de
l'information suit un protocole avec des couches distantes de mêmes niveaux. Les
données transférées par ce protocole sont des PDU (Protocol Data Unit).
Cette structure en couches a été créée pour simplifier considérablement la
compréhension globale du système et pour faciliter sa mise en œuvre. On doit pouvoir
remplacer une couche par une autre couche de même niveau, sans avoir à changer les
autres niveaux. Les interfaces entre couches doivent être respectées pour sauvegarder la
simplicité de l'édifice.
Fig. 1 — Couches du modèle OSI (Source : Wikipédia)
Les couches du modèle sont au nombre de sept. Les quatre premières couches sont les
couches réseau : elles transportent physiquement les données d'une application vers une
autre, sans erreur. Les trois autres sont chargées de formater les informations et de
procurer des voies d'accès multiples à la même application.
1.
Cette couche a pour objectif de fournir des services aux utilisateurs d'un réseau. C'est elle
qui contient l'application informatique (le programme) qui veut communiquer avec un
ordinateur distant. C'est à ce niveau qu'on rencontrera des programmes de transfert de
fichiers, d'émulation de terminal, de soumission de travaux à distance, d'échange de
courrier électronique, etc. Parmi les protocoles de cette couche : HTTP/HTTPS, FTP,
SMTP, DNS, SNMP, SSH, Telnet, RDP.
? Notes

2.
Elle fournit une représentation des données (une représentation qui ne dépend pas des
ordinateurs, systèmes d'exploitation, etc.) et inclut des services tels que le chiffrement, la
compression et le formatage des données. En effet, il existe de multiples manières de
coder les informations en informatique suivant le matériel et les logiciels utilisés.
• Divers codes existent pour coder les caractères (ASCII, EBCDIC, UTF-8,
Unicode, etc.).
• Les nombres peuvent être codés sur un nombre d'octets différents.
• Les octets de poids fort et de poids faible peuvent être répartis différemment
(endianness : big-endian ou little-endian).
3.
Cette couche offre la possibilité d'organiser les échanges en unités indépendantes. Elle
offre aussi une structure de contrôle pour la communication entre applications. Elle établit,
maintient et clôt les sessions entre les applications. L'un des points forts de cette couche
est la sécurité.
Organisation des échanges :
• Droit à la parole : half-duplex (l'un après l'autre) ou full-duplex (simultané).
• Notion d'activité : on peut la démarrer, l'arrêter, l'interrompre ou la recommencer.
• Points de synchronisation permettant la reprise après incident.
4.
i Couche session
La couche session est aussi la première partie de l'architecture de réseau hors de la communication
proprement dite. En pratique, dans le modèle TCP/IP, les couches session et présentation sont
fusionnées dans la couche application.
Elle est chargée d'établir les connexions, de maintenir la qualité de la connexion et
d'interrompre cette dernière de manière ordonnée une fois la conversation terminée.
Cette couche transporte des blocs d'octets de longueur quelconque. Elle s'assure que les
données sont délivrées sans erreur et dans l'ordre.
Protocoles utilisés à ce niveau :
TCP (Transmission Control Protocol) : protocole avec connexion, fiable, avec
contrôle de flux et retransmission.
UDP (User Datagram Protocol) : protocole sans connexion, non fiable, mais rapide
et léger.
QUIC (Quick UDP Internet Connections) : protocole moderne basé sur UDP,
combinant les avantages de TCP et TLS.
? Notes

II. RÉSEAUX ÉTENDUS 21
5.
Elle permet aux couches supérieures d'être indépendantes des types de liaisons de
données ou technologies de transmission. Elle transporte des blocs d'octets de taille
limitée (paquets). Elle s'occupe de l'adressage et du routage des paquets à leur
destination et a besoin d'un plan d'adressage et du contrôle de flux. Elle est responsable
de l'établissement d'une connexion logique entre source et destination sur un réseau.
Protocoles utilisés :
6.
IP (Internet Protocol) v4 et v6 : protocole principal de niveau réseau sur Internet.
ICMP : messages de contrôle et d'erreur (ping, traceroute).
X.25 : historique, commutation par paquets.
i Protocoles de routage
À ce niveau interviennent aussi les protocoles de routage tels que RIP (Routing Information Protocol),
OSPF (Open Shortest Path First), BGP (Border Gateway Protocol) et IS-IS, qui permettent aux
routeurs d'échanger leurs tables de routage et de déterminer les meilleurs chemins.
Elle fournit les moyens fonctionnels et procéduraux nécessaires à l'établissement, au
maintien et à la libération des connexions entre entités de réseaux. Elle est chargée
d'acheminer sans erreur les données sur chaque liaison du réseau en masquant aux
autres couches les différences physiques du réseau. Elle assemble les données en
trames, auxquelles elle ajoute des informations de contrôle : l'adresse de destination, la
longueur du message, l'information de synchronisation, la détection d'erreur, etc.
Exemples en contexte WAN :
HDLC (High Level Datalink Control) : utilisé par les réseaux X.25 et PPP.
Frame Relay : commutation de trames sur circuit virtuel.
ATM (Asynchronous Transfer Mode) : commutation de cellules de taille fixe.
Exemples en contexte LAN :
7.
Ethernet (IEEE 802.3) : standard dominant des réseaux locaux.
Wi-Fi (IEEE 802.11) : réseau local sans fil.
Elle permet de véhiculer l'information et de transformer des séquences de bits (0 ou 1) en
séquences de grandeur physique appropriée au médium de communication. Elle fournit
aussi les caractéristiques mécaniques (connecteurs), fonctionnelles (activation et
désactivation de la connexion physique), ainsi que les signaux électriques ou optiques.
Cette couche est matérialisée par le câble, les connecteurs et l'entrée de la carte de
communication.
Elle spécifie les éléments suivants :
• La vitesse de transfert des données (débit nominal).
• Le type de câble utilisé (coaxial, UTP, fibre optique, liaison radio).
• Le niveau du signal électronique ou lumineux représenté par un 1 ou un 0.

i Couches réseau et couches applicatives
Les quatre premières couches (1 à 4) sont les couches réseau : elles transportent physiquement les
données d'une application vers une autre, sans erreurs. Les trois autres couches (5, 6, 7) sont
chargées de formater les informations et de procurer des voies d'accès multiples à la même
application.
Pour qu'une transmission de données se déroule convenablement entre deux
équipements (qu'ils soient DTE — Data Terminal Equipment — ou DCE — Data Circuitterminating
Equipment), tous les maillons de la chaîne doivent suivre des procédures ou
des conventions préalablement définies qui constitueront la grammaire du dialogue. On
désigne ces conventions sous le nom de protocole.
Le protocole définit la synchronisation entre émetteur et récepteur, les règles de priorité,
la façon dont seront détectées et corrigées les erreurs de transmission, les procédures à
suivre en cas d'accident, ainsi que l'adaptation des flux de données au débit des canaux.
Les protocoles peuvent être implantés dans n'importe quel type d'équipement, soit sous
forme matérielle, soit sous forme logicielle.
1.
La spécification X.25 a pour origine les opérateurs téléphoniques. Elle définit un protocole
de niveau 3 destiné à gérer les circuits virtuels et basé sur les caractéristiques suivantes :
• Gestion de l'adressage des utilisateurs, en permettant notamment le
multiplexage des communications sur une seule liaison physique.
• Établissement et libération des circuits virtuels (PVC et SVC).
• Gestion des erreurs et des pannes à chaque nœud intermédiaire.
• Contrôle de flux sur chaque circuit, fragmentation et réassemblage des paquets.
X.25 est de moins en moins utilisé car il n'est pas adapté aux hauts débits et à la fibre
optique. La spécification X.25 définit une interaction point à point entre l'équipement
terminal de traitement de données (ETTD) et l'équipement de terminaison de circuit de
données (ETCD). Un ETTD est relié à un ETCD par une unité de traduction appelée
assembleur/désassembleur de paquet (PAD : Packet Assembler/Disassembler).
La communication de bout en bout entre les ETTD s'effectue par l'intermédiaire d'un
circuit virtuel. Les circuits virtuels permettent la communication entre des éléments de
réseau distincts, par un nombre quelconque de nœuds intermédiaires, sans qu'il soit
nécessaire de consacrer des portions fixes du réseau à la conversation. Les circuits
virtuels conservent l'ordre des paquets, autorisent l'échange full duplex, utilisent le
contrôle de flux et permettent le multiplexage.
? Notes

II. RÉSEAUX ÉTENDUS 23
On distingue deux types de circuits virtuels :
PVC (Permanent Virtual Circuit) : une voie logique permanente vers le réseau
entre l'origine et sa destination. Une fois que la voie logique a été établie dans des
conditions normales, tous les paquets la suivent. En cas de défaillance, une
nouvelle voie est négociée. Les PVC sont en principe utilisés pour les transferts de
données les plus fréquents.
SVC (Switched Virtual Circuit) : n'établit pas de voie logique permanente. Chaque
paquet se fraie un chemin vers la destination en utilisant le meilleur trajet à ce
moment donné. Avec cette méthode, les paquets suivent des routes différentes et
peuvent donc parvenir à destination dans un ordre incorrect. X.25 doit tenir compte
de cette situation pour assurer une transmission sans erreur. Les SVC sont utilisés
pour les transferts de données sporadiques.
Les paquets étant fragmentés, il serait fastidieux de transporter l'adresse complète dans
chacun des fragments. On a donc défini un numéro de voie logique lié au chemin virtuel.
Chaque voie logique est caractérisée par un groupe de voie logique (codé sur 4 bits) et un
numéro de voie logique (codé sur 8 bits).
Pendant le transfert des informations, X.25 utilise un protocole appelé LAPB pour
s'assurer que les trames arrivent à destination dans le bon ordre et sans erreurs. De
grandes mémoires tampons sont utilisées pour répondre à des pointes dans la demande
et pour vérifier le bon état des données à chaque étape de leur voyage. Cette technique «
stocker et retransmettre » (store and forward) et la vérification d'erreurs constante
génèrent des délais importants.
Pourquoi X.25 limite le débit à 9 600 bps par circuit virtuel
Les taux d'erreurs élevés sur les liaisons cuivre de l'époque imposaient un protocole très
vérificateur qui limitait énormément les débits. Sur de longues distances, un paquet n'avait
presque aucune chance d'arriver intact à l'autre bout. Il fallait donc que les commutateurs
discutent entre eux pour se renvoyer les trames (RR : Receive Ready, RNR : Receive Not
Ready, REJ : Reject). Ce protocole de dialogue appliqué aux niveaux 2 et 3 consommait une
bonne partie de la bande passante. De plus, X.25 segmente les paquets et les
réassemble à l'arrivée. Toute cette gestion des fautes ralentit le débit, limité à 9 600 bps
par circuit virtuel et 2 Mbps par ligne.
⚠ X.25 — totalement obsolète
X.25 est aujourd'hui totalement abandonné dans les réseaux de données. Les derniers réseaux X.25
publics en France (Transpac) ont été fermés entre 2012 et 2014. Il subsiste uniquement dans
quelques systèmes patrimoniaux (legacy) industriels ou bancaires.
? Notes

2.
Frame Relay (relais de trames) fait partie des protocoles qui opèrent dans la couche
liaison (couche 2) du modèle à sept couches. Il présente un overhead très faible, aucune
des corrections d'erreurs de X.25 et un très faible contrôle de débit. Frame Relay est plus
simple et plus direct, ce qui permet plus de performances et d'efficacité.
Frame Relay permet de multiplexer statistiquement de nombreuses conversations de
données logiques sur une seule liaison physique, d'où une utilisation plus rationnelle de la
bande passante disponible. Ce protocole s'appuie beaucoup sur la fibre optique et la
transmission numérique. Sur de telles liaisons, le protocole peut confier les tâches de
vérification d'erreurs aux couches supérieures.
Frame Relay est basé, comme X.25, sur l'établissement d'un circuit virtuel. Les taux
d'erreurs étant passés de 10−⁵ à 10−⁸ grâce à la fibre optique, le protocole a pu être
allégé. Frame Relay n'effectue plus de segmentation ni de contrôle entre les
commutateurs. Le seul contrôle qui reste est le CRC (contrôle de redondance cyclique)
effectué au niveau matériel. En cas de CRC erroné, le commutateur rejette simplement la
trame sans avertissement. La gestion des erreurs se fait directement au niveau des
stations dans les couches supérieures.
Le principal avantage de Frame Relay est que, comme avec X.25, les clients paient pour
le débit de données (CIR — Committed Information Rate), et non pas pour la vitesse de la
liaison. Le coût global est proportionnel à la valeur du débit garanti.
3.
⚠ Frame Relay — obsolète
Frame Relay a été largement déployé dans les années 1990-2000 pour les liaisons WAN d'entreprise,
notamment pour l'interconnexion de sites. Il a été progressivement remplacé par MPLS puis par SD-
WAN à partir des années 2010. Il est aujourd'hui obsolète.
La défense américaine (DOD — Department of Defense), devant le foisonnement de
machines utilisant des protocoles de communication différents et incompatibles, a décidé
de définir sa propre architecture. Cette architecture est la source d'Internet. IPv4 est la
version d'origine de TCP/IP, encore aujourd'hui la plus déployée bien qu'IPv6 soit en
progression constante.
TCP/IP est souvent assimilée à une architecture complète. Au sens strict, c'est l'ensemble
de deux protocoles :
IP (Internet Protocol) : un protocole de niveau réseau assurant un service sans
connexion.
TCP (Transmission Control Protocol) : un protocole de niveau transport qui fournit
un service fiable avec connexion.
? Notes

II. RÉSEAUX ÉTENDUS 25
Au sens large, la famille TCP/IP comprend aussi FTP (transfert de fichiers), SMTP
(messagerie électronique), Telnet (émulation de terminal), HTTP/HTTPS (web), DNS, et
de nombreux autres protocoles applicatifs.
a)
i Adressage IP sur les liaisons WAN
Fig. 2 — Architecture TCP/IP en couches
Sur les liaisons WAN, les adresses IPv4 sont généralement des adresses publiques ou des
adresses privées utilisées à l’intérieur d’un réseau d’opérateur, avec souvent des mécanismes
de translation d’adresses (NAT) en bordure d’Internet. En IPv6, les routes entre sites utilisent
des préfixes globaux fournis par l’opérateur ou par l’entreprise elle‐même, ce qui permet
d’acheminer le trafic sans NAT. Le choix du plan d’adressage (IPv4 privé + NAT, double pile
IPv4/IPv6, IPv6‐only avec mécanismes de transition) a un impact direct sur la simplicité du
routage et la capacité à exposer des services vers l’extérieur
Le Protocole Internet ou IP (Internet Protocol), qui correspond au niveau 3 de l'architecture
de référence, est la partie la plus fondamentale d'Internet. Pour envoyer des données sur
Internet, il faut les « emballer » dans des paquets IP, nommés datagrammes.
Le Protocole IP fonctionne en mode non connecté : l'émetteur envoie ses paquets sans
tenir compte de l'état du récepteur, dès lors qu'il est présent. Il n'y a ni établissement ni
fermeture de connexion, ni contrôle de flux. Les principales fonctions du protocole IP sont
l'acheminement des datagrammes sans connexion, le routage des données, ainsi que la
fragmentation et la reconstitution des données.
Les paquets IP, outre l'information, sont constitués d'un en-tête contenant l'adresse IP de
l'expéditeur et celle du destinataire, ainsi qu'un nombre de contrôle déterminé par
l'information emballée dans le paquet, qui permet au destinataire de savoir si le paquet a
été corrompu pendant son transport.
Les paquets sont indépendants les uns des autres et sont routés individuellement dans le
réseau par chaque commutateur (routeur). La sécurisation apportée par ce protocole est
très faible — pas de détection de paquets perdus, pas de possibilités de reprise sur
erreur. En fait, si IP ne vérifie pas la bonne réception des données, c'est parce que la
couche supérieure (TCP) s'en charge, l'ensemble assurant une transmission fiable.
Une partie du protocole IP correspond au protocole ICMP (RFC 792).
? Notes

Ce protocole de contrôle réalise les fonctions suivantes :
b)
• Contrôle de flux : lorsque les datagrammes arrivent trop rapidement, l'élément
destination renvoie un message de congestion.
• Détection de destination inaccessible : lorsqu'une destination s'avère
inaccessible, le système envoie un message « destination inaccessible » à la
source.
• Redirection des voies : une passerelle envoie un message de redirection pour
indiquer à une machine-hôte d'utiliser une autre passerelle.
• Vérification des machines-hôtes à distance : une machine-hôte peut envoyer un
message d'écho ICMP (ping) pour vérifier que le protocole Internet du système
distant est opérationnel.
L'un des points les plus intéressants du protocole TCP/IP est d'avoir attribué un numéro
fixe à chaque ordinateur connecté sur Internet ; ce numéro est appelé l'adresse IP. C'est
une adresse logique, à distinguer des adresses physiques des cartes réseau (adresses
MAC). Dans la version IPv4, les adresses sont codées sur 32 bits. Ainsi, tout ordinateur
sur Internet se voit attribuer une adresse de type a.b.c.d (où a, b, c, d sont des nombres
compris entre 0 et 255), par exemple 192.168.1.1.
Pour l'ordinateur, cette adresse IP est codée en binaire (4 x 8 bits = 32 bits). ex : L'adresse
192.168.1.1 correspond à 11000000.10101000.00000001.00000001 en binaire.
c)
? Décodage d'une adresse IP
L'adresse 202.15.170.1 se décompose en quatre octets : 202 = 11001010, 15 = 00001111, 170 =
10101010, 1 = 00000001. Pour nous, il est plus facile de retenir 202.15.170.1 que
11001010000011111010101000000001. Les deux premiers octets identifient le réseau, les deux
derniers identifient l'hôte sur ce réseau (pour une adresse de classe B).
L'adressage est structuré logiquement dans une architecture de réseaux et de sousréseaux.
Les adresses IP sont régies par un organisme international (IANA, puis les RIRs
régionaux), qui délivre les différentes classes de réseaux. Il y a 5 classes dont le rôle est
essentiellement de diviser l'adresse en une partie réseau et une partie hôte.
Classe A (126 réseaux, jusqu'à 16 777 214 hôtes) : premier bit à 0, premier octet entre 1
et 126.
La classe A est caractérisée par une adresse réseau sur 8 bits dont le premier bit est à 0
(premier octet inférieur à 128). Les adresses A sont du type rrr.hhh.hhh.hhh avec 7 bits
pour le numéro de réseau et 24 bits pour l'adressage local (plages 1.0.0.0 à 126.0.0.0). Il
existe un petit nombre de réseaux de classe A mais chacun peut contenir jusqu'à 16
millions de machines.

II. RÉSEAUX ÉTENDUS 27
Classe B (16 384 réseaux, jusqu'à 65 534 hôtes) : deux premiers bits à 10, premier octet
entre 128 et 191.
La classe B est caractérisée par une adresse réseau sur 16 bits dont les deux premiers
sont 10. Les adresses de classe B sont du type rrr.rrr.hhh.hhh avec 16 bits pour le réseau
(128.1.0.0 à 191.255.0.0) et 16 bits pour les hôtes (soit 65 534 hôtes possibles). Il y a des
milliers de réseaux de classe B.
Classe C (2 097 152 réseaux, jusqu'à 254 hôtes) : trois premiers bits à 110, premier octet
entre 192 et 223.
La classe C est caractérisée par une adresse réseau sur 24 bits dont les trois premiers
bits sont à 110. Les adresses de classe C sont du type rrr.rrr.rrr.hhh avec 24 bits pour le
réseau (192.0.1.0 à 223.255.255.0) et 8 bits pour les hôtes (254 adresses locales
possibles). On peut envisager des millions de réseaux de classe C ne comportant pas
plus de 254 stations chacun.
Classe D (adresses multicast) : réseaux 224 à 239, ex. : 224.4.4.4. Transmissions point à
multipoint (vidéoconférence, streaming multicast). Pas de structuration réseau/hôte.
Classe E (réservée à l'expérimentation) : réseaux 240 à 255. Non utilisée en production.
d)
i Adresses réservées
Pour chaque classe d'adresse, certaines adresses sont réservées. L'adresse 0 de la classe A définit
l'acheminement par défaut et l'adresse 127 est associée à l'adresse de rebouclage (loopback :
127.0.0.1). Dans toutes les classes, les adresses 0 et 255 de machines sont réservées (adresse de
réseau et broadcast). L'adresse 255.255.255.255 représente une adresse de diffusion générale
(broadcast universel).
Pour laisser un maximum de souplesse dans le mode de décomposition de l'adresse IP
en sous-réseaux, la norme TCP/IP de sous-adressage permet de choisir l'interprétation
des sous-réseaux indépendamment pour chaque réseau. Une fois qu'une décomposition
en sous-réseaux a été choisie, toutes les machines du réseau doivent s'y conformer.
La création de sous-réseaux divise une adresse réseau en plusieurs adresses de sousréseaux
uniques, de sorte qu'une adresse spécifique puisse être attribuée à chaque

réseau physique. Le masque de sous-réseau est un nombre de 32 bits où les bits à 1
désignent la partie réseau et les bits à 0 la partie hôte.
? Masque de sous-réseau
Pour un réseau 192.168.1.0 avec un masque /24 (255.255.255.0), on peut avoir 254 hôtes. Avec un
masque /25 (255.255.255.128), on divise le réseau en deux sous-réseaux de 126 hôtes chacun :
192.168.1.0/25 et 192.168.1.128/25. La notation CIDR (Classless Inter-Domain Routing) comme /24
ou /25 indique le nombre de bits du masque réseau.
Adresses privées RFC 1918
Certaines plages d'adresses IPv4 sont réservées aux réseaux privés (non routées sur
Internet) par la RFC 1918 : 10.0.0.0/8 (classe A privée), 172.16.0.0/12 (classes B privées,
soit 172.16.x.x à 172.31.x.x) et 192.168.0.0/16 (classes C privées). Ces adresses sont
utilisées dans les LANs d'entreprise et les réseaux domestiques. Le mécanisme NAT
(Network Address Translation) permet aux machines disposant d'adresses privées
d'accéder à Internet via une seule adresse publique.
e)
Le protocole TCP (Transmission Control Protocol) est sans doute considéré comme le plus
important des protocoles au niveau transport, regroupant les fonctionnalités de niveau 4
du modèle de référence. TCP est en mode connecté, contrairement à UDP qui se
positionne aussi au niveau transport mais dans un mode sans connexion et avec
pratiquement aucune fonctionnalité de fiabilité. TCP a été développé pour assurer des
communications fiables entre deux hôtes sur un même réseau physique ou sur des
réseaux différents.
Caractéristiques de TCP :
• Protocole de fait (de jure), avec tous les avantages que cela procure, notamment
la disponibilité et l'indépendance du matériel ou du système d'exploitation.
• Transparence au matériel utilisé, avec pour conséquence l'utilisation possible sur
réseau Ethernet, Wi-Fi, liaison commutée ou liaison spécialisée.
• Universalité de l'adressage, qui permet d'adresser aussi bien une station du
même réseau local qu'une station reliée à Internet sur un autre continent.
TCP est chargé de couper le flux de données transmis par la couche supérieure en
segments. Pour éviter la perte éventuelle d'information, TCP utilise un mécanisme
d'acquittement positif avec retransmission. Ce mécanisme consiste, pour une station
désireuse d'envoyer un paquet, à l'envoyer à intervalles réguliers jusqu'au moment où elle
reçoit un acquittement positif. TCP utilise un numéro de séquence pour identifier chaque
segment afin d'éviter les duplications. Le nombre maximal de segments qu'une station
destinataire s'autorise à recevoir sans délivrer d'acquittement s'appelle une « fenêtre ».
? Notes

II. RÉSEAUX ÉTENDUS 29
f)
Fig. 3 — Format d'un segment TCP
Signification des champs du segment TCP :
• Numéro de port source et destination : entiers sur 16 bits qui identifient le point
de communication (les ports inférieurs à 1 024 sont réservés aux services bien
connus).
• Numéro de séquence (32 bits) : permet de rétablir l'ordre des paquets reçus et
d'écarter les paquets dupliqués. Ce numéro est incrémenté d'une unité chaque
fois qu'un octet est envoyé.
• Numéro d'acquittement (32 bits) : si le flag ACK est présent, ce champ désigne le
prochain numéro de séquence attendu. Il constitue un acquittement de tous les
segments dont le numéro de séquence est inférieur.
• Offset données (4 bits) : indique le nombre de mots de 32 bits dans l'en-tête TCP
(valeur minimale 5, maximale 15, soit de 20 à 60 octets d'en-tête).
• Drapeaux (flags, 9 bits) : URG (urgent), ACK (acquittement), PSH (push
immédiat), RST (reset de connexion), SYN (synchronisation lors de l'établissement),
FIN (fin de connexion).
• Fenêtre (16 bits) : nombre d'octets disponibles dans la fenêtre de réception, c'està-dire
le nombre d'octets pouvant être reçus avant acquittement.
• Somme de contrôle (16 bits) : contrôle d'intégrité de l'en-tête et des données.
• Pointeur urgent (16 bits) : valide si le drapeau URG est positionné. Pointeur sur
l'octet de donnée urgente.
• Options et bourrage : champs facultatifs permettant d'aligner l'en-tête sur des
mots de 32 bits.
Établissement et fermeture d'une connexion TCP
L'établissement d'une connexion TCP se fait par l'échange de trois messages (three-way
handshake) : SYN (client→serveur), SYN-ACK (serveur→client), ACK (client→serveur).
La fermeture utilise quatre messages (four-way close) : FIN (initiateur), ACK, FIN
(répondeur), ACK. Ce mécanisme garantit que les deux extrémités sont d'accord pour
ouvrir et fermer la connexion.
? Notes

g)
UDP (User Datagram Protocol) est un protocole du niveau de la couche transport, tout
comme TCP. Contrairement à ce dernier, il est non fiable et travaille en mode non
connecté. Il assure la détection d'erreur mais pas la reprise sur erreur. Il n'utilise pas les
accusés de réception pour garantir que les données ont été correctement réceptionnées,
ne reséquence pas les messages reçus, et n'assure pas de mécanisme de contrôle de
flux. Les datagrammes UDP peuvent donc être perdus, dupliqués ou déséquencés.
Néanmoins, la grande qualité d'UDP est sa simplicité. L'absence de mécanisme de
connexion accélère considérablement l'échange des données. UDP fonctionne de
manière très satisfaisante et performante en réseau local, ces derniers étant très fiables et
minimisant les risques d'erreurs. UDP est particulièrement adapté aux applications temps
réel (voix sur IP, vidéoconférence, streaming, DNS) où la latence prime sur la fiabilité.
h)
Fig. 4 — Format d'un datagramme UDP (4 champs : port source, port dest., longueur, checksum)
Les adresses physiques (MAC) des hôtes sont stockées en PROM sur les cartes
d'interface avec le réseau, tandis que les adresses logiques (IP) sont stockées dans des
fichiers sur disques. À l'intérieur d'un même réseau physique (ou sous-réseau), deux
machines ne peuvent communiquer que si elles connaissent leurs adresses physiques
respectives. Il est donc nécessaire d'établir un mécanisme de mise en correspondance de
ces adresses physiques (MAC) et logiques (IP).
i ARP en réseau Ethernet
Dans le cas d'un réseau Ethernet, l'adresse Ethernet d'un hôte est stockée sur 6 octets (48 bits), alors
que son adresse Internet est stockée sur 4 octets (32 bits). Le protocole ARP (Address Resolution
Protocol) convertit l'adresse logique sur 32 bits en adresse physique sur 48 bits.
Principe du protocole ARP : un hôte A veut émettre un message à l'attention d'un
hôte B dont il ne connaît que l'adresse IP. A émet un message broadcast sur le
réseau contenant sa propre adresse IP et MAC, et l'adresse IP de B. Seul l'hôte B
reconnaît son adresse IP et répond en envoyant son adresse MAC à A. La diffusion
broadcast étant coûteuse, chaque hôte gère un cache ARP contenant une table de
mise en correspondance des adresses récemment acquises.
Principe du protocole RARP : l'hôte du réseau qui veut faire l'acquisition de son
adresse logique émet un message RARP contenant son adresse physique en
broadcast. Un serveur d'adresses configuré à cet effet retourne à la station
l'adresse logique correspondante. Ce protocole n'est utilisé que par les hôtes qui
n'ont pas d'informations sur leur adresse logique (par exemple des stations sans
disques). RARP est aujourd'hui remplacé par DHCP.
? Notes

II. RÉSEAUX ÉTENDUS 31
Avec la convergence de l'ordinateur, de l'audiovisuel, des loisirs auxquels s'ajoutent les
besoins des entreprises, le nombre d'adresses disponibles avec le protocole IPv4 (2³² =
4,29 milliards) est épuisé depuis 2011. Le protocole IPv6 (appelé aussi IPng pour IP new
generation) offre plus de souplesse et d'efficacité. Il résout la pénurie d'adresses et
apporte de nouvelles fonctionnalités.
Les principales améliorations d'IPv6 par rapport à IPv4 :
1.
• IPv6 utilise des adresses plus longues qu'IPv4. Elles sont codées sur 128 bits et
procurent 2¹²⁸ = 3,4 × 10³⁸ adresses possibles, soit environ 4,3 milliards de fois le
carré du nombre d'adresses IPv4.
• La simplification de l'en-tête des datagrammes : l'en-tête de base IPv6 ne
comprend que 8 champs contre 14 pour IPv4, permettant aux routeurs de traiter
les datagrammes plus rapidement et améliorant leur débit.
• Plus de souplesse aux options : les champs obligatoires de l'ancienne version
sont maintenant devenus optionnels (en-têtes d'extension), permettant aux
routeurs d'ignorer les options qui ne leur sont pas destinées.
• Une plus grande sécurité : l'authentification et la confidentialité (IPsec) sont
intégrées nativement dans IPv6 (alors qu'elles sont optionnelles en IPv4).
• Configuration automatique des adresses (SLAAC — Stateless Address
Autoconfiguration) sans DHCP obligatoire.
2.
Fig. 5 — Format d'un datagramme IPv6 (en-tête simplifié à 8 champs)
La notation décimale pointée employée pour les adresses IPv4 est abandonnée. IPv6
utilise une écriture hexadécimale, où les 8 groupes de 16 bits sont séparés par un signe
deux-points, par exemple : 1fff:0000:0a88:85a3:0000:0000:ac1f:8001
Règles d'abréviation :
• Il est permis d'omettre de 1 à 3 chiffres zéros non significatifs dans chaque
groupe de 4 chiffres hexadécimaux. Ainsi, 0000 peut s'écrire 0.
• Une unique suite de un ou plusieurs groupes consécutifs de 16 bits tous nuls
peut être omise, en conservant les deux-points de chaque côté (double deuxpoints
::). Ce raccourci ne peut être utilisé qu'une seule fois dans une adresse.
• Ainsi, l'adresse 1fff:0000:0a88:85a3:0000:0000:ac1f:8001 peut s'abréger en :
1fff:0:a88:85a3::ac1f:8001

3.
? Notation compacte IPv6
L'adresse IPv6 2001:0db8:0000:0000:0000:0000:0000:0001 peut s'écrire 2001:db8::1. L'adresse de
loopback (équivalent de 127.0.0.1 en IPv4) est notée ::1. L'adresse nulle est notée ::. Quand une
adresse IPv6 est utilisée dans une URL, elle doit être encadrée de crochets :
http://[1fff:0:a88:85a3::ac1f:8001]/index.html.
Différentes sortes d'adresses IPv6 jouent des rôles particuliers. Ces propriétés sont
indiquées par le préfixe de l'adresse.
4.
• Adresses unicast globales (2000::/3) : adresses routables sur Internet,
commençant par 2 ou 3. L'espace 2001::/32 est alloué aux adresses publiques,
2002::/16 pour la transition 6to4.
• Adresses link-local (FE80::/10) : utilisables uniquement sur un même réseau
physique de niveau 2, non routables. Correspondent aux adresses 169.254/16
de l'IPv4.
• Adresses multicast (FF00::/8) : remplacent les adresses broadcast d'IPv4. Le
préfixe FF indique une adresse multicast.
• Adresses anycast : assignées à plusieurs interfaces, le paquet est délivré à la
plus proche (utilisées notamment pour les serveurs DNS anycast).
• Adresse de loopback : ::1 (équivalent de 127.0.0.1).
Un sous-réseau IPv6 est un ensemble d'adresses commençant par une même séquence
binaire. Le nombre de bits que comporte cette séquence est noté en décimal derrière un
slash (notation CIDR). Par convention, les entreprises reçoivent typiquement un préfixe
/48, ce qui leur permet de créer jusqu'à 65 536 sous-réseaux /64. Chaque sous-réseau
/64 peut accueillir en théorie 2⁶⁴ interfaces.
Coexistence IPv4/IPv6 — mécanismes de transition
Le déploiement d'IPv6 se fait progressivement en coexistence avec IPv4. Plusieurs
mécanismes de transition existent : Dual-Stack (les équipements supportent
simultanément IPv4 et IPv6), Tunneling (encapsulation d'IPv6 dans des paquets IPv4 :
6to4, Teredo, 6in4), et NAT64/DNS64 (traduction entre adresses IPv4 et IPv6 pour la
communication entre réseaux purement IPv4 et purement IPv6). En 2025, la plupart des
grands opérateurs et fournisseurs de contenu (Google, Meta, Apple) supportent IPv6
native.
? Notes

II. RÉSEAUX ÉTENDUS 33
5.
GGP (Gateway to Gateway Protocol) : permet à deux passerelles d'échanger des
informations de routage pour mettre à jour dynamiquement leurs tables. Il est utile
pour les réseaux longue distance. Les informations véhiculées par GGP sont des
couples d'adresse de réseau et de distance (nombre de passerelles à traverser).
Protocole historique, remplacé par BGP.
SMTP (Simple Mail Transfer Protocol) : protocole standard d'échange de courrier
électronique sur réseau TCP/IP. Utilise le port 25 (ou 587/465 pour la soumission
sécurisée).
SNMP (Simple Network Management Protocol) : permet l'acquisition de données
sur le fonctionnement du réseau (voir section Administration). Utilise UDP port 161.
ATM (Asynchronous Transfer Mode) a été présenté dans les années 1990 comme la
technologie du futur. Elle permet de transporter à la fois voix, vidéo et données à des
hauts débits (25, 155 et 622 Mbps) sur de grandes distances. ATM possède les
caractéristiques de la commutation par paquets dans le sens où chaque cellule contient
dans son en-tête un champ identifiant la connexion. Comme dans le mode de
commutation par paquets, ATM supporte les communications à débit variable et bénéficie
d'une certaine flexibilité dans l'attribution du débit aux connexions.
1.
Le choix de transmettre les données par petits lots de taille fixe est une caractéristique
essentielle d'ATM : c'est le principe qui permet d'augmenter de façon importante les
débits car cette petite taille permet de réduire énormément les temps de transit. ATM
subdivise les données en unités appelées cellules. Chaque cellule a 53 octets : 5 pour
l'information d'en-tête et 48 pour les données proprement dites.
Fig. 6 — Structure de la cellule ATM (5 octets d'en-tête + 48 octets de données)
La cellule contient dans son en-tête des informations relatives au routage, s'appuyant sur
les notions de canal virtuel et de conduit virtuel :
Canal virtuel (VC — Virtual Channel) : concept associé au transfert unidirectionnel de
cellules qui possèdent un identificateur commun unique, le VCI (Virtual Channel Identifier).
Conduit virtuel (VP — Virtual Path) : groupe de canaux virtuels partageant un
identificateur commun, le VPI (Virtual Path Identifier).
? Notes

Fig. 7 — Relation entre VCI (canaux virtuels) et VPI (conduits virtuels)
Les cellules traversent les réseaux ATM par des commutateurs ATM, qui analysent l'entête
et dirigent la cellule vers l'interface appropriée. On distingue deux types d'interfaces :
NNI (Node Network Interface) entre deux nœuds de commutation, et UNI (User Network
Interface) entre un utilisateur et un nœud de commutation. ATM combine les avantages
de la commutation de circuit avec ceux de la commutation par paquets.
2.
ATM prévoit 5 classes de service différentes selon la nature du trafic à transmettre :
Service Signification Usage typique
CBR
Constant Bit Rate — débit fixe
avec contraintes temporelles
Émulation de circuit, vidéo
non compressée
VBR-RT Variable Bit Rate Real-Time —
débit variable avec contraintes
temporelles
Voix compressée,
vidéoconférence
VBR-
NRT
ABR
UBR
Variable Bit Rate Non-Real-Time
— débit variable sans contrainte
temporelle
Available Bit Rate — débit
variable, débit minimum optionnel
garanti
Unspecified Bit Rate — aucune
garantie de service
Interconnexion Frame Relay,
CIR garanti
Interconnexion de réseaux
locaux
Transfert de données besteffort
? Notes

II. RÉSEAUX ÉTENDUS 35
En CBR et VBR, il y a réservation de ressources contrairement à ABR et UBR. Les
descripteurs de trafic permettent de paramétrer la connexion : PCR (Peak Cell Rate —
débit en pointe), SCR (Sustainable Cell Rate — débit moyen), MBS (Maximum Burst Size —
nombre maximal de cellules autorisées à débiter au PCR), CDV (Cell Delay Variation —
variation de délai) et CLR (Cell Loss Ratio — taux de perte de cellules).
⚠ ATM — historique mais remplacé
ATM a été largement déployé dans les réseaux cœurs des opérateurs (backbones) dans les années
1990-2000, notamment pour transporter la signalisation ISDN et les liaisons DSL. Il a été
progressivement remplacé par MPLS et Ethernet dans les réseaux optiques. ATM subsiste dans
l'infrastructure xDSL (ADSL/VDSL) comme protocole de transport sur la boucle locale et dans certains
réseaux cellulaires.
ISDN (Integrated Services Digital Network), aussi appelé RNIS (Réseau Numérique à
Intégration de Services), est un réseau tout numérique à large bande destiné à véhiculer la
parole, les données et l'image, qui jusqu'alors étaient transportées sur des réseaux plus
ou moins spécialisés. En effet, le seul moyen permettant de commuter ces trois types de
données en même temps est la commutation numérique accompagnée d'un protocole de
multiplexage.
La technologie ISDN permet également l'utilisation de nouvelles applications reposant sur
la transmission haute vitesse : l'accès à Internet, le télétravail, la vidéoconférence, le téléenseignement,
la radiodiffusion et la transmission audio à distance. Il propose des
interfaces de communication variées basées sur la commutation de circuits.
1.
i ISDN comme liaison de secours
L'ISDN a couramment été utilisé comme liaison de secours (back-up) et de débordement (overflow)
pour les liaisons fixes existantes. C'est à ce titre qu'il a perduré le plus longtemps dans les entreprises.
On veut numériser le signal d'un bout à l'autre. Pour numériser la voix (qui va de 300 à 3
400 Hz) selon les techniques traditionnelles, il faut 64 kbps. La régie reçoit l'appel et
l'envoie sur le bus, les informations transitant sur un canal B. L'utilisateur peut recevoir
une télécopie en même temps qu'une communication. On peut aussi transmettre à 2 × 64
kbps en utilisant les 2 canaux B entre deux ordinateurs.
Les canaux définis par l'ISDN sont :
Canal B (Bearer) : débit de 64 kbps — canal de données ou de voix.
Canal D16 : débit de 16 kbps — canal de signalisation de l'accès de base.
Canal D64 : débit de 64 kbps — canal de signalisation de l'accès primaire.
Canal H0 : débit de 384 kbps.
Canal H11 : débit de 1 536 kbps (24 canaux B, norme nord-américaine).
Canal H12 : débit de 1 920 kbps (30 canaux B, norme européenne).

2.
L'accès de base BRI autorise le branchement de 5 terminaux et l'établissement de deux
communications simultanées. Côté réseau public, cet accès est donné par une interface
T0, côté abonné par une interface S0. Sur les bus numériques de l'ISDN, un multiplexage
temporel sépare les intervalles de temps en trois canaux :
• 2 canaux B (Bearer Channel) à 64 kbps : pour le transfert de données, voix et
vidéo en mode commutation de circuit.
• 1 canal D à 16 kbps (D-channel protocol) : utilisé pour l'établissement de l'appel et
la signalisation, en mode commutation de paquets.
Le débit global de l'accès BRI est de 64 + 64 + 16 = 144 kbps. Cette transmission
synchrone à 144 kbps en full duplex s'effectue sur deux fils.
3.
Lorsque l'usager a des besoins importants de communications, le CCITT a défini un
accès de débit plus important. C'est l'accès primaire, principalement destiné aux PABX.
Ses caractéristiques sont :
4.
• Version européenne (E1) : 30 canaux B à 64 kbps + 1 canal D à 64 kbps, soit 2
048 kbps (T2/S2).
• Version nord-américaine et japonaise (T1) : 23 canaux B à 64 kbps + 1 canal D à
64 kbps, soit 1 544 kbps (23B+D).
• Interface R (Rated) : fournit une interface non-ISDN entre les équipements
utilisateurs non compatibles ISDN et un adaptateur de terminal (AT).
• Interface S (Subscriber) : sépare la partie utilisateur des fonctions réseaux du
terminal.
• Interface T (Terminal) : sépare l'équipement du fournisseur de réseau de
l'équipement de l'utilisateur.
• Interface U (Utilisateur) : interface entre l'équipement réseau et la ligne de
transmission vers le commutateur de l'opérateur.
⚠ ISDN — technologie obsolète
En France, le réseau RNIS (Numéris) a été progressivement fermé entre 2020 et 2023. L'ISDN est
remplacé par les accès IP (ADSL, VDSL2, fibre optique) pour les données et par la VoIP (SIP trunk)
pour la voix dans les entreprises. Les PABX modernes utilisent des interfaces SIP/ISDN vers IP.
? Notes

II. RÉSEAUX ÉTENDUS 37
Le terme DSL ou xDSL signifie Digital Subscriber Line et regroupe l'ensemble des
technologies mises en place pour un transport numérique de l'information sur une simple
ligne de raccordement téléphonique (paire torsadée cuivre). Les technologies xDSL sont
divisées en deux grandes familles : celle utilisant une transmission symétrique (même
débit montant et descendant) et celle utilisant une transmission asymétrique.
Le rapide développement des technologies de l'information a fait apparaître de nouveaux
services gourmands en capacité de transmission. L'idée d'utiliser la paire torsadée
existante semble la mieux adaptée car dans le monde plus de 800 millions de connexions
de ce type étaient déjà en place. Il suffit d'ajouter un équipement au central téléphonique
(DSLAM) et une installation chez l'utilisateur (modem/routeur) pour accéder aux services
xDSL.
1.
Ces technologies sont différenciées par la vitesse de transmission, la distance maximale
de transmission, la variation de débit entre flux montant et descendant, et le caractère
symétrique ou non de la liaison. La connexion point à point est effectuée via une ligne
téléphonique entre le NT (Network Termination) installé chez l'utilisateur et le LT (Line
Termination) installé dans le centre de raccordement.
2.
HDSL (High bit rate DSL) : première technique issue de DSL, apparue au début
des années 1990. Permet d'atteindre un débit de 2 Mbps dans les 2 sens sur trois
paires torsadées (norme européenne E1) ou 1,5 Mbps sur deux paires (norme
américaine T1). Distance : 3 à 7 km selon le diamètre du fil. Pas de canal
téléphonique disponible.
SDSL (Single pair DSL / Symmetric DSL) : conçue pour une plus courte distance
qu'HDSL, utilisant une seule paire torsadée. Débit symétrique de 128 kbps à 2
Mbps selon la distance.
Débit Downstream
(Kbps)
Débit Upstream (Kbps) Distance max (km)
128 128 7
256 256 6,5
384 384 4,5
768 768 4
1024 1024 3,5
2048 2048 3
Tableau — Distances et débits d'une liaison SDSL

3.
En étudiant différents cas de figure, on s'est aperçu qu'il était possible de transmettre les
données plus rapidement d'un central vers un utilisateur. L'idée est donc d'utiliser un
système asymétrique, en imposant un débit plus faible de l'abonné vers le central
(upstream). Ce déséquilibre est bien adapté aux usages internet résidentiels
(téléchargement >> envoi).
4.
ADSL (Asymmetric DSL) : système permettant de faire coexister sur une même
ligne un canal descendant (downstream) de haut débit (jusqu'à 8 Mbps), un canal
montant (upstream) de moyen débit (jusqu'à 1 Mbps) ainsi qu'un canal de
téléphonie (POTS). Distance maximale : 5,5 km depuis le DSLAM.
RADSL (Rate Adaptive DSL) : basée sur l'ADSL. La vitesse de transmission est
fixée de manière automatique et dynamique en recherchant la vitesse maximale
possible sur la ligne et en la réadaptant en permanence et sans coupure. Débits
montants de 128 kbps à 1 Mbps et descendants de 600 kbps à 7 Mbps.
VDSL (Very High bit rate DSL) : capable de supporter sur une simple paire
torsadée des débits de 13 à 55,2 Mbps en downstream et de 1,5 à 6 Mbps en
upstream sur des distances courtes (jusqu'à 1,5 km). Initialement développé pour
transporter l'ATM à haut débit.
VDSL2 (Very High bit rate DSL 2) : successeur du VDSL, atteint 300 Mbps en fullduplex
(profil 35b). Distance maximale entre l'abonné et le DSLAM : 3 500 mètres.
C'est la technologie sur laquelle est basé le déploiement FTTN/FTTB en France
(VDSL2 activé sur les lignes courtes depuis 2013).
DSLAM (Digital Subscriber Line Access Multiplexer) : équipement
généralement installé dans les centraux téléphoniques assurant le multiplexage des
flux ATM vers le réseau de transport. Il peut accueillir différentes cartes DSL (ADSL,
SDSL, VDSL) et concentre les connexions de plusieurs centaines ou milliers
d'abonnés.
Modem/routeur ADSL (ATU-R) : équipement chez l'abonné qui décode les
données ADSL et gère le partage de la connexion sur le réseau local (NAT, Wi-Fi,
VoIP).
Splitter et micro-filtre : le splitter est un filtre d'aiguillage qui sépare la bande
passante réservée au service téléphonique de la bande utilisée pour la
transmission DSL. Le micro-filtre est un filtre passe-bas installé sur les connexions
analogiques (prises téléphoniques) pour éviter les perturbations.
? Notes

II. RÉSEAUX ÉTENDUS 39
5.
Norme Nom complet Débit typique Distance max.
DSL Digital Subscriber Line 160 kbps duplex ~3 km
HDSL High bit rate DSL 2 Mbps
symétrique
3–7 km
SDSL
Single Line DSL
(symétrique)
2 Mbps
symétrique
3 km
ADSL Asymmetric DSL 8 Mbps / 1 Mbps 5,5 km
ADSL2+ Asymmetric DSL 2+ 24 Mbps / 1 Mbps 5,5 km
VDSL Very High bit rate DSL 55 Mbps / 6 Mbps 1,5 km
VDSL2 Very High bit rate DSL 2 300 Mbps FD 3,5 km
L'histoire des réseaux et des télécommunications pourrait se résumer à une perpétuelle
course au débit. Un réseau est à haut débit si son débit est au moins égal à 100 Mbps et
le très haut débit atteint et dépasse le Gbps. Avec un tel débit, il est capable d'acheminer
tous les types d'information : données, textes, graphiques, photos, images, animations,
vidéos, sons. Pour les applications « temps réel » (voix, vidéo), le réseau haut débit doit
être capable de supporter des flux isochrones.
Plusieurs technologies « haut débit » sont ou ont été couramment utilisées :
FDDI (Fiber Distributed Data Interface) : norme définissant les deux premières
couches de l'architecture de transport sur fibre, à 100 Mbps en anneau. Obsolète.
DQDB (Distributed Queue Dual Bus) : projet de normalisation pour les réseaux
métropolitains (MAN). Historique.
Ethernet commuté : solution dominante pour les réseaux à haut débit, de 100
Mbps à 400 Gbps.
ATM (Asynchronous Transfer Mode) : technologie de commutation de cellules,
supportant le réseau ISDN à large bande. Voir section E.
SDH/SONET (Synchronous Digital Hierarchy / Synchronous Optical
Networks) : couche de transport physique pour les réseaux optiques à très haut
débit.
TCP/IP large bande : solution préconisée pour les hauts débits sur IP. Le routage
IP peut aujourd'hui atteindre plusieurs Tbps dans les routeurs cœur de réseau.
? Notes

1.
Historiquement, c'est le premier réseau local et c'est aussi le réseau le plus utilisé.
Ethernet est une architecture de réseau local conçue par Xerox, puis normalisée IEEE
802.3 en 1980 par Xerox, Intel et Digital. Son principe est basé sur la diffusion des
messages sur un bus logique (qui peut être un bus ou une étoile physique) où tous les
hôtes partagent de façon équitable le support, avec le protocole CSMA/CD.
L'architecture Ethernet est constituée de deux couches fondamentales : la couche
physique et la couche de contrôle, correspondant respectivement aux couches 1 et 2 du
modèle OSI.
Les supports utilisés sont : le câble coaxial (historique), la paire torsadée UTP (catégories
3 à 8), la fibre optique multimode (MMF) et monomode (SMF).
Les principaux standards Ethernet :
2.
Standard Débit Support Distance max.
10Base-T 10 Mbps UTP Cat.3 100 m
100Base-TX 100 Mbps (Fast Ethernet) UTP Cat.5 100 m
100Base-FX 100 Mbps Fibre MMF 1 000 m
1000Base-T 1 Gbps (Gigabit Ethernet) UTP Cat.5e/6 100 m
1000Base-SX 1 Gbps Fibre MMF 550 m
10GBase-T 10 Gbps UTP Cat.6a 100 m
10GBase-SR 10 Gbps Fibre MMF 300 m
25GBase-T 25 Gbps Fibre / Cat.8 30 m
100GBase-SR4 100 Gbps Fibre MMF 100 m
400GBase-SR8 400 Gbps Fibre MMF 100 m
? Notes
Fig. 8 — Format d'une trame Ethernet (IEEE 802.3)

II. RÉSEAUX ÉTENDUS 41
Signification des champs d'une trame Ethernet :
• Préambule (7 octets) : suite de 1 et de 0 alternés servant à synchroniser le
récepteur sur la trame émise.
• SFD (Start Frame Delimiter, 1 octet) : séquence 10101011 matérialisant le
début des informations exploitables.
• Adresse destination (6 octets) : adresse physique (MAC) de la station devant
recevoir la trame. Diffusion si tous les bits sont à 1 (broadcast : FF:FF:FF:FF:FF:FF).
• Adresse source (6 octets) : adresse Ethernet de la station ayant émis la trame.
• Type ou longueur (2 octets) : type de protocole encapsulé (0x0800 = IPv4,
0x0806 = ARP, 0x86DD = IPv6, 0x8100 = VLAN 802.1Q) ou longueur de la trame pour
Ethernet II.
• Informations / Données (46 à 1 500 octets) : données en provenance de la
sous-couche LLC.
• PAD : octets de bourrage sans signification, insérés si la trame est trop
courte (minimum 64 octets au total).
• FCS — Frame Check Sequence (4 octets) : résultat d'un calcul CRC effectué
sur la trame, sert à détecter les bits corrompus lors de la transmission.
3.
Avec l'Ethernet partagé (hub), tout message émis est entendu par l'ensemble des
machines raccordées et la bande passante disponible est partagée. Avec l'Ethernet
commuté, la topologie physique reste une étoile mais organisée autour d'un commutateur
(switch). Le commutateur utilise un mécanisme de filtrage et de commutation : il inspecte
les adresses de source et de destination des messages, dresse une table qui lui permet
de savoir quelle machine est connectée sur quel port (auto-apprentissage), puis ne
transmet le message que sur le port adéquat.
Il en résulte que chaque échange peut s'effectuer à débit nominal (plus de partage de la
bande passante), sans collisions, avec une augmentation très sensible des performances
(à vitesse nominale égale). Comme la commutation élimine les collisions et que les liaisons
10/100/1000 Base-T disposent de circuits séparés pour la transmission et la réception
(une paire par sens), les commutateurs modernes fonctionnent en mode full-duplex sur
leurs ports.
Le mode full-duplex est particulièrement intéressant pour les serveurs qui doivent
desservir plusieurs clients simultanément. De plus, comme le trafic émis et reçu n'est plus
transmis sur tous les ports, il devient beaucoup plus difficile d'espionner (sniffer) le réseau,
ce qui contribue à la sécurité générale.
? Notes

SDH est la version européenne (Synchronous Digital Hierarchy), SONET est la version
américaine (Synchronous Optical Networks). SDH a été normalisée par l'UIT-T et se situe
sur les couches 1 et 2 du modèle OSI. C'est la technologie de transport physique des
réseaux optiques des opérateurs télécom.
2.
3.
1.
PDH (Plésiochrone Digital Hierarchy) : la hiérarchie courante qui a évolué
principalement pour la téléphonie. PDH peut multiplexer et transporter des
éléments binaires de débit inférieur en les transmettant à des débits supérieurs par
injonction d'éléments binaires de justification. L'inconvénient est qu'il faut
démultiplexer complètement le signal pour accéder à un composant de bas débit.
SDH : offre des avantages significatifs sur PDH : souplesse d'extraction ou
d'insertion directe d'un signal constituant, facilité d'exploitation/maintenance,
possibilité d'évolution vers des hauts débits, interconnexion de systèmes facilitée
par la normalisation des interfaces optiques, et architectures de réseaux assurant la
sécurisation contre les défauts de ligne.
SDH SONET Débit
STM-1 OC-3 155 Mbps
STM-4 OC-12 622 Mbps
STM-16 OC-48 2,5 Gbps
STM-64 OC-192 10 Gbps
STM-128 OC-384 20 Gbps
STM-256 OC-768 40 Gbps
La trame de base est appelée STM-1 (Synchronous Transport Module, niveau 1). Cette
trame a une longueur totale de 2 430 octets (9 × 270 octets), une fréquence de
transmission de 125 µs (8 000 trames/s), soit une résultante de 155,52 Mbps. Sur les 270
octets par rangée, 9 octets sont réservés à la gestion et à l'adressage (SOH/PTR) et 261
octets constituent la charge utile.
Fig. 9 — Structure d'une trame SDH STM-1 (9 rangées × 270 octets)

II. RÉSEAUX ÉTENDUS 43
Les signaux à transporter sont accumulés dans des conteneurs virtuels (VC : Virtual
Container) de différents types. Le VC avec le pointeur forme une AU (Unité Administrative).
4.
Fig. 10 — Structure de multiplexage SDH (conteneurs virtuels, AUG, STM)
SDH/SONET et les réseaux modernes
SDH/SONET reste la base des réseaux de transport optique des opérateurs. Les réseaux
modernes utilisent OTN (Optical Transport Network, ITU-T G.709) qui est l'évolution de SDH
pour les très hauts débits (100 Gbps, 400 Gbps, 1 Tbps), avec des mécanismes de
surveillance et de protection améliorés. OTN peut transporter SDH, Ethernet et autres
trafics encapsulés.
Le réseau cellulaire est un réseau de communications spécialement destiné aux
équipements mobiles. Il permet la communication entre ces unités mobiles ainsi qu'avec
l'ensemble des abonnés. L'onde radio dans le cas d'un réseau cellulaire est le lien entre le
mobile et l'infrastructure de l'émetteur.
1.
En 1982, le CEPT a décidé de normaliser un système de communication mobile dans la
gamme des 890-915 et 935-960 MHz pour l'ensemble de l'Europe. La norme GSM
(Global System for Mobile communication) a été finalisée au début des années 1990.
GSM est un système numérique complet comprenant tous les éléments nécessaires à un
système de communication numérique avec les mobiles.
Dans un système GSM, la station mobile comprend deux parties : l'équipement mobile qui
permet la communication radio, et le module d'identification (carte SIM) qui contient les
caractéristiques identifiant l'abonné.
Le réseau est découpé en cellules possédant chacune une station de base (BTS — Base
Transceiver Station) qui s'occupe des transmissions radio. Chaque station de base est
reliée à un contrôleur de station de base (BSC — Base Station Controller).
? Notes

Le cœur de réseau contient :
MSC (Mobile service Switching Center): commutateur qui communique avec les
différents systèmes radio.
HLR (Home Location Register): base de données de gestion des abonnés permanents.
VLR (Visitor Location Register): base de données des visiteurs dans une cellule.
Dans la méthode d'accès radio utilisée dans GSM,TDMA/AMRT (Time Division Multiple
Access), le temps est découpé en 8 tranches de 0,57 ms par canal radio. La parole est
compressée sur une bande de 22,8 kHz avec un codage de correction d'erreurs.
Le principal obstacle que doit surmonter un système de radiotéléphonie mobile est
l'étroitesse de la bande de fréquence disponible. D'où l'idée d'utiliser un grand nombre
d'émetteurs-récepteurs de faible puissance disséminés à travers tout le territoire (réseau
cellulaire). Quand un mobile se déplace d'une cellule à l'autre, le système effectue un
handover (transfert de canal) automatique en une fraction de seconde, sans que
l'utilisateur s'en rende compte.
2.
3.
• Sous-système radio : rassemble les BTS et les BSC (Base Station Controller).
Gère l'interface radio, les ressources radioélectriques et le handover entre cellules.
• Sous-système réseau : contient les MSC qui assurent l'interconnexion des
stations de base et avec les autres réseaux. Contient aussi le HLR (enregistreur
statique) et le VLR (enregistreur dynamique).
• Sous-système d'exploitation (OMC — Operations and Maintenance Center) :
permet à l'opérateur d'administrer son réseau.
Standard Génération Nature Débit typique
GSM 2G Voix ou données numériques
(petit volume)
9,6 kbps
GPRS 2,5G Voix ou données numériques 171,2 kbps
EDGE 2,75G Voix et données numériques 345,6 kbps
UMTS/WCDMA 3G Voix et données haut débit 2 Mbps
HSPA/HSPA+
3,5G-3,75G Voix et données haut débit
amélioré
42 Mbps
LTE 4G Données et voix VoLTE très
haut débit
LTE-A (Advanced) 4G+ Carrier Aggregation, MIMO
avancé
150 Mbps – 1
Gbps
300 Mbps – 1
Gbps
5G NR (New Radio) 5G
Très haut débit, ultra-faible
latence, IoT massif
Jusqu'à 20 Gbps
(théorique)

II. RÉSEAUX ÉTENDUS 45
5G — architecture et cas d'usage
La 5G (norme IMT-2020, aussi dénommée NR — New Radio) repose sur trois grandes
familles de cas d'usage : eMBB (enhanced Mobile BroadBand, très haut débit), URLLC
(Ultra-Reliable Low-Latency Communication, latence < 1 ms pour les applications critiques :
véhicules autonomes, télémédecine) et mMTC (massive Machine Type Communication, IoT à
très grande densité). La 5G utilise de nouvelles bandes de fréquences : sub-6 GHz (bande
intermédiaire, bonne couverture) et mmWave / 26-28 GHz (très haut débit sur courte
distance). En France, les réseaux 5G sont déployés depuis 2020 par les opérateurs
nationaux.
4.
Wi-Fi est une technologie de réseau sans fil (WLAN) permettant de partager un accès
réseau dans une habitation ou une entreprise. Basé sur la norme IEEE 802.11, Wi-Fi
utilise les fréquences 2,4 GHz, 5 GHz et désormais 6 GHz.
Génération Norme Fréquences Débit max. théorique
Wi-Fi 1 802.11b 2,4 GHz 11 Mbps
Wi-Fi 2 802.11a 5 GHz 54 Mbps
Wi-Fi 3 802.11g 2,4 GHz 54 Mbps
Wi-Fi 4 802.11n 2,4 / 5 GHz 600 Mbps
Wi-Fi 5 802.11ac 5 GHz 3,5 Gbps
Wi-Fi 6 802.11ax 2,4 / 5 / 6 GHz 9,6 Gbps
Wi-Fi 6E 802.11ax (ext.) 2,4 / 5 / 6 GHz 9,6 Gbps
Wi-Fi 7 802.11be 2,4 / 5 / 6 GHz 46 Gbps
Le matériel Wi-Fi comprend des cartes d'interface (PCI, USB, intégrée), des points d'accès
(AP) ou routeurs/commutateurs Wi-Fi, des antennes directionnelles ou
omnidirectionnelles, et des répéteurs ou systèmes MeSH pour étendre la couverture.
i Bluetooth
La technologie Bluetooth, mise au point par Ericsson, fonctionne à la même fréquence que le Wi-Fi
(2,4 GHz), ce qui peut provoquer des interférences, mais dispose d'un débit plus bas. Bluetooth est
adapté à la connexion de téléphones portables et d'accessoires divers. Bluetooth 5.x atteint 2 Mbps
avec une portée de 200 m. Bluetooth LE (Low Energy) est la version économe en énergie utilisée
dans l'IoT.
? Notes

LiFi (Light Fidelity)
Une adaptation future du Wi-Fi est le LiFi (IEEE 802.11bb), qui module les ondes
lumineuses (LED) pour transmettre l'information à très haut débit. L'avantage est une
bande passante très large et l'absence d'interférence radio. L'inconvénient est la
nécessité d'être dans le rayon direct de la source lumineuse et la sensibilité aux obstacles
opaques. Des débits théoriques de 224 Gbps ont été démontrés en laboratoire.
a)
En entreprise, Wi-Fi 6 et Wi-Fi 6E constituent aujourd'hui le socle des déploiements neufs
ou en renouvellement. Wi-Fi 6 répond aux besoins courants : mobilité des collaborateurs,
visioconférence, IoT industriel léger, avec une infrastructure maîtrisée sur les bandes 2,4
et 5 GHz. Wi-Fi 6E étend cette capacité à la bande 6 GHz, offrant des canaux moins
congestionnés particulièrement utiles dans les bâtiments multi-locataires ou les campus
densément équipés.
b)
Wi-Fi 7 (802.11be), dont les premiers équipements professionnels sont disponibles depuis
2024, commence à apparaître dans les appels d'offres pour les infrastructures à horizon
2026-2028. Ses apports — débit théorique jusqu'à 46 Gbit/s, MLO (Multi-Link Operation)
permettant l'agrégation simultanée de plusieurs bandes, latence réduite — ciblent des
usages émergents comme la réalité mixte en mobilité, les flux vidéo non compressés ou
la convergence Wi-Fi/filaire dans les datacenters de périphérie. Pour la majorité des
entreprises, il représente une évolution planifiée
5.
WiMAX (IEEE 802.16) est adapté aux secteurs périurbains voire ruraux qui n'ont pas
d'infrastructure téléphonique filaire exploitable. Il procure des débits de plusieurs dizaines
de Mbps sur une zone de couverture portant sur quelques dizaines de kilomètres. WiMAX
peut être, en fonction des bandes de fréquences, un simple prolongement du Wi-Fi ou la
convergence du Wi-Fi et du réseau cellulaire de troisième génération (UMTS ou 3G).
⚠ WiMAX — largement abandonné
WiMAX a été largement déployé dans les années 2000-2010 comme alternative au DSL en zones
rurales et dans les pays en développement. Il est aujourd'hui en grande partie abandonné, remplacé
par les réseaux 4G LTE et 5G qui offrent de meilleures performances en mobilité avec des débits
comparables. En France, quelques déploiements subsistent dans les zones blanches, en attendant la
couverture 4G/5G.
? Notes

II. RÉSEAUX ÉTENDUS 47
L'Internet des Objets ou IoT (Internet of Things) décrit la communication entre des objets
interconnectés, ces objets pouvant être n'importe quel objet de la vie courante : capteurs
environnementaux, véhicules, appareils électroménagers, équipements industriels,
équipements médicaux, etc.
Les réseaux utilisés pour l'IoT appartiennent à deux catégories principales :
1.
2.
LPWAN (Low-Power Wide-Area Network) utilisant des bandes de fréquences
ISM sans licence à 868 MHz (Europe) ou 915 MHz (Amérique du Nord) :
technologies Sigfox et LoRaWAN, optimisées pour la faible consommation et la
longue portée.
Les déclinaisons LPWAN cellulaires de réseaux licenciés (2G, 3G, 4G, 5G)
comme LTE-M (eMTC) et NB-IoT (Narrowband IoT), déployés sur l'infrastructure
existante des opérateurs.
Identification Outils/Capteurs Protocoles de connexion
Radio-identification (RFID) Accéléromètre Bluetooth / BLE
Onde acoustique de surface Gyroscope Wi-Fi / Wi-Fi HaLow
ADN / code-barres Capteurs miniaturisés ZigBee (IEEE 802.15.4)
NFC Nanotechnologies Z-Wave / Thread / Matter
• Une étiquette physique ou virtuelle pour identifier les objets et les lieux (RFID,
QR code, adresse IP).
• Un moyen de lire les étiquettes physiques ou de localiser les étiquettes
virtuelles (lecteur RFID, GPS, triangulation Wi-Fi/cellulaire).
• Un dispositif mobile ou embarqué (téléphone cellulaire, MCU, SBC) avec logiciel
embarqué.
• Un réseau sans fil (LPWAN, Wi-Fi, 4G/5G) permettant la communication entre le
dispositif et le serveur.
• Un serveur ou cloud IoT stockant et traitant les données (AWS IoT, Azure IoT
Hub, Google Cloud IoT).
• Un affichage ou tableau de bord pour visualiser les données (application
mobile, dashboard web).
? Notes

3.
Le système RFID est un réseau inerte qui s'active lors de la présence d'un lecteur. Il est
constitué de radio-étiquettes (puce + antenne, taille et poids négligeables) et de lecteurs.
À leur passage, les lecteurs activent les radio-étiquettes dans leur champ en leur
fournissant l'énergie nécessaire. De la longueur d'onde utilisée (de 125 kHz à 5,8 GHz)
dépend la distance (jusqu'à 200 m) et le débit. L'utilisation va du traçage d'objets à celui
d'êtres vivants, en passant par le contrôle d'accès.
4.
Fig. 11 — Caractéristiques des technologies RFID par bande de fréquences (Source : Wikipédia)
NFC utilise les standards RFID mais le lecteur est ici un téléphone mobile et la
communication s'effectue dans les deux sens. La portée est d'environ dix centimètres. La
fréquence de communication est de 13,56 MHz et le débit varie de 106 à 424 kbit/s.
Trois modes de fonctionnement :
Mode émulation de carte : la SIM stocke les informations chiffrées (contrôle
d'accès, paiement sans contact, billettique).
Mode pair-à-pair : deux terminaux mobiles échangent de l'information (contacts,
photos, vidéos).
Mode lecteur : le terminal mobile lit des cartes sans contact ou des radioétiquettes.
? Notes

II. RÉSEAUX ÉTENDUS 49
Compte tenu de la quantité et de la variété des unités présentes dans le réseau, il est très
important que l'administrateur puisse visualiser et/ou gérer toutes les entités disparates à
partir d'un point unique. Un bon système d'administration doit être capable de fournir des
informations d'état sur les différentes entités du réseau et d'exécuter toute action
administrative ou corrective jugée nécessaire.
1.
SNMP (Simple Network Management Protocol) est le protocole standard de supervision
des réseaux TCP/IP, issu de l'initiative du US Department of Defense. Il peut être
subdivisé en trois composants majeurs : Architecture, System Information available (MIB),
et Access Control.
2.
Les systèmes SNMP se composent de managers et d'agents. Le manager SNMP peut
demander des informations à l'entité agent en utilisant une structure de commandes très
élémentaire. Quand le manager a besoin d'informations en provenance de l'agent, il
envoie une commande « get-request ». C'est en fait une demande d'accès à la MIB
(Management Information Base) sur la machine agent. À réception de la commande,
l'agent vérifie d'abord si l'entité de management a fourni le community string correct et, si
oui, répond en fournissant l'information requise.
Les opérations SNMP de base sont :
• Get-Request : le manager demande la valeur d'une ou plusieurs variables de la MIB.
• Get-Next-Request : permet de parcourir la MIB de manière séquentielle.
• Get-Bulk (SNMPv2+) : récupération efficace de grandes quantités de données.
• Set-Request : le manager modifie la valeur d'une variable de la MIB.
• Get-Response : réponse de l'agent aux requêtes Get.
• Trap : message d'événement envoyé par l'agent au manager en cas d'incident.
3.
La MIB est une définition du type d'information qui doit être rendue disponible par l'unité
exécutant le logiciel agent SNMP.
Cette information peut inclure :
• L'état des interfaces réseau (up/down, vitesse, type).
• Le nombre de paquets transmis et reçus, le taux d'erreur.
• Les services disponibles sur l'unité et les connexions établies.
• Le nombre de paquets retransmis (indicateur de congestion ou de qualité de liaison).
• Les informations système (temps de fonctionnement uptime, version logicielle, etc.).
? Notes

4.
i Champs lecture seule et lecture-écriture
Certains des champs à l'intérieur de la MIB sont du type lecture seule et ne sont là qu'à titre
informatif. De manière plus utile, si un manager SNMP fournit le community string correct (Control
Community), il aura la possibilité de modifier les valeurs sélectionnées dans la MIB. Cette capacité de
modification doit être protégée avec soin pour éviter des modifications non autorisées.
SNMP fournit un mécanisme de sécurité rudimentaire pour contrôler l'accès manageragent.
Une « community string » est spécifiée dans la configuration et accompagne toutes
les requêtes.
Il existe trois types de community string :
Monitor Community : équivalent à l'accès Read-Only sur la MIB agent (lecture des
statistiques).
Control Community : équivalent à l'accès Read-Write sur la MIB agent
(modification de la configuration).
Trap Community : les SNMP Traps sont des messages d'événement transmis
vers une machine pour journalisation.
Les community strings peuvent comporter jusqu'à 32 caractères (sensibles à la casse).
Par défaut, les équipements utilisent 'public' (read-only) et 'private' (read-write), ce qui
constitue une faille de sécurité si elles ne sont pas changées.
⚠ Sécurité SNMP — utiliser SNMPv3
SNMPv1 et SNMPv2c transmettent les community strings en clair sur le réseau, ce qui les rend
vulnérables aux écoutes. SNMPv3 (RFC 3411-3418) apporte l'authentification (HMAC-MD5, HMAC-
SHA) et le chiffrement des données (DES, AES) ainsi que le contrôle d'accès basé sur les utilisateurs
(USM/VACM). SNMPv3 est aujourd'hui le standard de sécurité recommandé pour la supervision
réseau.
? Notes

III. ÉQUIPEMENT DU RÉSEAU 51
III.
L'ÉQUIPEMENT DU
RÉSEAU
Un réseau informatique ne se limite pas aux hôtes (ordinateurs, serveurs, imprimantes). Il
comprend également des équipements d'interconnexion dont le rôle est d'acheminer,
filtrer ou convertir les données entre les différents segments. Ces équipements sont
classés selon le niveau du modèle OSI auquel ils interviennent, ce qui détermine leur
intelligence et leurs capacités de traitement.
On appelle équipements d'interconnexion les matériels connectés au réseau qui ne sont
pas des hôtes. Ils portent une appellation différente selon leur niveau d'intelligence ou le
rôle qu'ils jouent. Chaque génération d'équipements correspond à un niveau supérieur
d'analyse du trafic réseau.
1.
i Vue d’ensemble de l’équipement réseau
L’infrastructure réseau d’une entreprise moderne s’appuie sur plusieurs familles
d’équipements complémentaires. Au niveau de l’accès, les commutateurs (switches)
connectent les postes utilisateurs, téléphones IP, points d’accès Wi‐Fi et objets connectés,
souvent via des ports 1 Gbit/s alimentés en PoE. Plus en amont, des switches d’agrégation et
des routeurs assurent le routage inter‐VLAN, l’interconnexion avec le WAN et l’application de
politiques de sécurité (listes de contrôle d’accès, QoS, filtrage). Des pare‐feux dédiés, des
contrôleurs Wi‐Fi et des appliances spécialisées (VPN, proxy, IDS/IPS) complètent l’ensemble
pour sécuriser les flux et superviser le fonctionnement global du réseau.
Les répétiteurs travaillent au niveau 1 du modèle OSI (couche physique). Ils relient deux
segments entre eux, lisent les impulsions électriques sur leur entrée pour un type de
support donné (fibre optique, coaxial, paires torsadées) et génèrent des impulsions remises
en forme et amplifiées, après régénération de l'horloge et resynchronisation.
Fonctions du répétiteur :
• Permet d'étendre la longueur du réseau au-delà des 500 m d'un tronçon (4
répéteurs maximum entre deux nœuds) sans dégradation significative du signal.
• Amplifie et régénère le signal numérique.
• Isole un tronçon défaillant (partitioning) — par exemple en cas de rupture de câble.
• Adapte deux médias Ethernet différents (fibre, coaxial, Thick Ethernet vers Thin
Ethernet).
? Notes

i Domaine de collision
Tous les segments attachés à un répéteur font partie du même domaine de collision. Cela signifie
qu'une collision sur un segment se propage sur tous les segments reliés. Le répétiteur n'apporte donc
aucune segmentation logique du trafic.
Les causes de dégradation du signal que le répéteur corrige sont : la distance, les pertes
dues au temps de propagation, les interférences électromagnétiques, le type de câble et
la bande passante.
Utilisations courantes du répéteur : réseaux Ethernet coaxiaux (10Base5, 10Base2), hubs
(répéteurs multiports 10/100BaseT), réseaux Token Ring (chaque ordinateur y joue le rôle
de répéteur en transmettant le jeton au suivant).
2.
⚠ Répéteurs — équipements historiques
Les répéteurs autonomes et les hubs (répéteurs multiports) ont été presque entièrement remplacés
par les commutateurs (switches) dans les réseaux modernes. L'utilisation de répéteurs coaxiaux est
devenue anecdotique avec la disparition du câblage coaxial dans les LAN. On rencontre encore des
répéteurs de signal dans les liaisons longue distance (télécoms, fibre optique amplifiée — amplis
EDFA).
Les ponts travaillent au niveau 2 du modèle OSI (couche trame). Ils maintiennent les
messages sur un segment ou les font transiter vers un autre, en fonction des adresses
source et destination contenues dans les trames. Ils permettent notamment
d'interconnecter deux réseaux de même architecture physique tout en segmentant les
domaines de collision.
On peut distinguer deux algorithmes de filtrage principaux :
Spanning Tree (Ethernet) : le bridge écoute les réseaux connectés sur chacun de
ses ports et construit une table des adresses MAC (niveau 2) de toutes les stations
connectées. Il ne transfère les trames que vers le port où se trouve la destination.
Le routage dans un réseau multi-bridge se fait par l'échange de BPDU (Bridge
Protocol Data Unit) entre bridges : ces trames permettent à tous les bridges de se
connaître, d'élire un Root Bridge (priorité maximale), de désigner les bridges de
secours et d'éviter les boucles. Ce protocole est l'ancêtre de STP/RSTP/MSTP
traité dans la section LAN.
Source Routing (Token Ring) : pour découvrir la route la plus performante, le
bridge émet des trames spécifiques "route discovery". Les bridges intermédiaires
compatibles y insèrent des informations de routage. La première trame qui revient à
l'émetteur décrit la route la plus efficace, information qui sera ensuite insérée dans
chaque trame de données.
Les ponts permettent de séparer les trafics (segmentation) et de bloquer parasites et
collisions entre segments. Les trames de broadcast sont cependant diffusées sur tous les
segments. Les bridges sont transparents aux protocoles de niveau supérieur. Certains
bridges hybrides (BROUTER) utilisent des protocoles propriétaires permettant de partager
le trafic sur plusieurs lignes simultanément (load balancing).

III. ÉQUIPEMENT DU RÉSEAU 53
3.
i Bridge transparent
Un bridge n'ayant pas d'adresse MAC propre visible sur le réseau (transparent), il doit mémoriser les
adresses de toutes les stations connectées. Sa mémoire doit être dimensionnée en conséquence. Les
bridges séparent les domaines de collision mais pas les domaines de broadcast — ce rôle appartient
aux routeurs.
Les routeurs travaillent au niveau 3 du modèle OSI (couche réseau) et s'occupent du
routage des unités de données (datagrammes IP). Ils permettent d'interconnecter des
réseaux de types différents. C'est l'outil le plus élaboré pour acheminer les données : le
routeur est quasiment un ordinateur à part entière, capable de décoder les trames jusqu'à
retrouver l'adresse IP de destination et de diriger l'information dans la bonne direction.
Dans une interconnexion de réseaux, chaque réseau ayant sa propre identité, la sécurité
est cruciale. Il va falloir filtrer en fonction de leurs provenances et destinations les
données entrantes et sortantes. Selon la complexité du réseau à protéger, la conception
de ces contrôles et leur maintenance sont plus ou moins difficiles.
a)
Le routage permet de déterminer où envoyer un datagramme.
Trois processus fondamentaux font partie d'un système de routage :
• La machine hôte doit savoir quand et comment communiquer avec un routeur
(passerelle par défaut).
• Le routeur doit être capable de déterminer un chemin d'accès vers le réseau
distant (table de routage, protocoles de routage).
• Le routeur du réseau de destination doit savoir se connecter à la machine hôte.
• Un protocole de routage effectue les tâches suivantes :
• Décrire le coût d'une route en fonction de la métrique (nombre de sauts, bande
passante, délai, fiabilité).
• Supporter plusieurs routes actives entre deux réseaux (load balancing, routes de
secours).
• Propager correctement les informations de routage entre routeurs.
• Réduire le trafic réseau lié au protocole de routage lui-même (convergence rapide).
• Gérer des fonctions de sécurité pour se prémunir des fausses annonces (route
poisoning, authentication MD5/SHA).
? Notes

b)
Les routeurs travaillent sur les adresses logiques IP. Ils communiquent entre eux et
peuvent échanger des informations avec d'autres périphériques ou des stations. Au fur et
à mesure que le nombre de réseaux s'accroît, la tâche du routeur devient plus complexe.
Les routeurs reliant des réseaux de différents types, la grande difficulté réside dans cette
dépendance aux protocoles. Des routeurs multi-protocoles ont vu le jour, pouvant
supporter dans une même machine une grande variété de protocoles. Les routeurs
modernes sont capables de router IP, MPLS, et divers protocoles de couche 2
encapsulés.
c)
On distingue le routage statique (tables configurées manuellement, simples mais sans
adaptation aux pannes) et le routage dynamique.
Deux grands algorithmes de routage dynamique :
d)
Distance Vector — RIP (Bellman-Ford) : basé sur le nombre de sauts (meilleure
route = minimum de « hop »). Chaque routeur connaît pour chaque destination le
nombre de sauts par l'échange d'informations avec ses voisins directs (RIP v1/v2,
EIGRP). Simple mais lent à converger et limité à 15 sauts (RIP).
Link State — OSPF : détermine la meilleure route en fonction du coût de la liaison
(bande passante, délai). Chaque routeur construit une carte complète de la
topologie du réseau (LSDB — Link State Database) par l'échange de LSA (Link State
Advertisement). Convergence rapide, pas de limite de sauts, supporte les
hiérarchies (zones OSPF). Protocole standard ouvert le plus utilisé dans les réseaux
d'entreprise.
BGP (Border Gateway Protocol) : protocole de routage inter-domaines utilisé sur
Internet pour l'échange de routes entre opérateurs (AS — Autonomous System). C'est
le protocole qui fait fonctionner Internet mondial.
Les algorithmes de routage IP utilisent sur chaque machine une table de routage Internet
(IP Routing Table). Cette table contient les informations relatives aux différentes
destinations possibles et la manière de les atteindre. À chaque fois que le logiciel IP d'une
passerelle ou d'une machine doit transmettre un datagramme, il consulte la table de
routage pour déterminer où l'envoyer.
Fig. 1 — Exemple de table de routage : un paquet à destination de B6 prend la sortie A3

III. ÉQUIPEMENT DU RÉSEAU 55
Les tables de routage contiennent les adresses réseaux mais pas la totalité des adresses
IP, pour des raisons d'espace mémoire et de mise à jour. Si aucune route spécifique
n'apparaît dans la table pour une destination, les procédures de routage envoient le
datagramme à une passerelle par défaut (Default Gateway).
e)
f)
Routage centralisé : un nœud central reçoit les informations de tous les
composants du réseau et conçoit les tables de routage selon des algorithmes
déterminés. Ses critères peuvent être : le coût des liaisons, le débit demandé, le
délai de transit, le nombre de nœuds à traverser, la sécurité, l'occupation mémoire.
Simple à administrer mais point de défaillance unique (SPOF).
Routage distribué : chaque routeur calcule ses routes de manière autonome par
échange avec ses voisins. C'est le principe de RIP, OSPF, BGP. L'envoi
asynchrone des tables (dès qu'une variation significative est détectée) permet une
mise à jour en quasi-temps réel, au prix d'une charge supplémentaire sur le réseau
(paquets de contrôle).
Un routeur nécessite une table de routage stockée en RAM (DRAM/SRAM) pour la vitesse
d'accès et sur disque/flash pour la persistance.
Les caractéristiques techniques des routeurs varient selon les gammes :
Routeurs d'accès (PME/SOHO) : 1-4 interfaces WAN/LAN, débit 100 Mbps–1
Gbps, fonction NAT, pare-feu intégré, Wi-Fi optionnel.
Routeurs d'entreprise (edge) : 4-24 interfaces, débit 1–10 Gbps, support MPLS,
VPN IPsec/SSL, QoS avancée.
Routeurs cœur de réseau (core) : 10–400 Gbps par port, commutation matérielle
(ASICs/FPGAs), plusieurs Tbps de capacité de commutation totale. Exemples : Cisco
ASR 9000, Juniper PTX.
Routeurs virtuels et SD-WAN
La virtualisation des réseaux a donné naissance aux routeurs logiciels (vRouter) : des
instances logicielles pouvant tourner sur des serveurs standard (x86) ou dans le cloud. Le
SD-WAN (Software-Defined WAN) découple le plan de contrôle du plan de données,
permettant de gérer centralement les politiques de routage sur des liens WAN
hétérogènes (MPLS, 4G/5G, Internet). Les principales solutions SD-WAN sont Cisco
Viptela, VMware VeloCloud, Fortinet, Cato Networks.
? Notes

4.
Le terme passerelle est un terme générique qui désigne un équipement de niveau
supérieur ou égal à la couche 3. Il autorise l'interconnexion « intelligente » de réseaux
hétérogènes en convertissant les messages d'un format de réseau à un autre dans les
deux sens.
Selon le contexte, une passerelle peut désigner :
5.
Une passerelle de protocoles : convertit les protocoles entre deux réseaux de
nature différente (ex. passerelle SNA/IP pour interconnecter des mainframes IBM avec
des réseaux TCP/IP).
Une passerelle applicative (proxy) : opère au niveau 7, comprend le contenu des
échanges pour effectuer des traitements spécifiques (inspection, filtrage, cache,
translation).
Une passerelle VoIP (Voice over IP) : convertit les appels téléphoniques
classiques (RTC) en paquets IP et vice versa.
Une passerelle IoT : agrège les données de capteurs (protocoles Zigbee, Z-Wave,
LoRa) et les transmet vers Internet via IP.
Le hub (Host Unit Broadcast), aussi appelé concentrateur, est un petit appareil permettant
la connexion de plusieurs ordinateurs entre eux via des câbles Ethernet RJ-45. Les hubs
sont au centre des configurations en étoile et assurent l'interconnexion des différentes
branches.
Un hub peut être considéré comme un « prisme » électrique : tous les paquets émis sur
un segment ou appareil connecté à l'un des ports sont répercutés sur tous les autres
ports. Les hubs ne regardent pas le contenu des trames, ils se contentent de répéter
l'information. N'effectuant aucune analyse du contenu, ils travaillent au niveau 1 (physique)
du modèle OSI.
Conséquences pratiques : tous les ports d'un hub partagent le même domaine de
collision, la bande passante est partagée entre tous les équipements connectés et les
performances se dégradent rapidement avec le nombre d'utilisateurs.
⚠ Hubs — équipements obsolètes
Les hubs ont été entièrement remplacés par les commutateurs (switches) dans les réseaux
modernes. Il est désormais impossible d'acheter un hub 10/100 Mbps neuf pour usage professionnel.
Les hubs USB (qui partagent la bande passante USB) restent courants pour les périphériques, mais
leur principe est différent des hubs réseau.
? Notes

III. ÉQUIPEMENT DU RÉSEAU 57
6.
La différence fondamentale avec le hub est que le commutateur sait quels ordinateurs
sont connectés sur chacun de ses ports. Ainsi, s'il reçoit une trame pour l'ordinateur X, il
ne l'envoie qu'à l'ordinateur X et pas aux autres. Il commute l'entrée des données vers la
sortie où se trouve l'ordinateur concerné.
Les commutateurs analysent le contenu de la trame, repèrent l'adresse MAC de
destination et envoient la trame vers le bon port. Cette table de correspondance MAC/port
est construite dynamiquement par auto-apprentissage (MAC address table ou CAM table).
Caractéristiques techniques des commutateurs :
• Fonctionnent aux niveaux 2 (L2 switch) ou 3 (L3 switch / switch routeur) du modèle
OSI.
• Chaque port constitue un domaine de collision distinct : plus de collision entre ports.
• Peuvent être autosensing 10/100/1000/10000 Mbps avec négociation automatique
duplex.
• Permettent de configurer des VLAN (Virtual LAN) pour segmenter logiquement le
réseau.
• Supportent l'agrégation de liens (LACP 802.3ad) pour augmenter la bande passante
ou assurer la redondance.
• Les commutateurs de niveau 3 peuvent router entre les VLAN sans passer par un
routeur externe (inter-VLAN routing), ce qui en fait des équipements polyvalents en
cœur de réseau d'entreprise.
Commutateurs modernes et SDN
Les commutateurs modernes supportent des capacités de commutation de plusieurs
centaines de Gbps à plusieurs Tbps (Tbps backplane). Le SDN (Software-Defined
Networking) découple le plan de contrôle du plan de données : le commutateur OpenFlow
devient un simple équipement de forwarding piloté par un contrôleur centralisé
(OpenDaylight, ONOS). Cette approche est massivement utilisée dans les datacenters
(spine-leaf architecture) et les réseaux des opérateurs cloud (hyperscalers).
7.
a)
En entreprise, l'architecture traditionnelle des réseaux s'organise en trois couches
hiérarchiques. La couche accès connecte directement les postes de travail, les
téléphones IP et les points d'accès Wi-Fi ; elle gère les VLANs, le PoE et les politiques de
sécurité par port. La couche distribution agrège les switchs d'accès d'un étage ou d'un
bâtiment, assure le routage inter-VLAN et applique les politiques de qualité de service. La
couche cœur de réseau (core) assure le transport à haute vitesse entre les blocs de
distribution et vers les datacenters ou les accès Internet, avec une priorité absolue
donnée à la disponibilité et aux performances.
? Notes

b)
Dans les datacenters et les infrastructures cloud privées, le modèle hiérarchique à trois
niveaux cède la place à l'architecture leaf-spine, mieux adaptée aux flux est-ouest (serveur
à serveur) qui dominent les charges de travail virtualisées et conteneurisées. Chaque
switch leaf (accès serveurs) est connecté à tous les switchs spine (cœur) sans exception,
ce qui garantit un chemin de deux sauts maximum entre deux serveurs quelconques et
supprime les goulots d'étranglement liés à l'agrégation verticale. Cette topologie facilite
également l'extension horizontale : ajouter de la capacité revient à raccorder un nouveau
leaf à tous les spines existants, sans restructurer l'ensemble du réseau.
L'interface sert à spécifier l'interconnexion entre le terminal (DTE — Data Terminal
Equipment) et le modem (DCE — Data Circuit-terminating Equipment), en ce qui
concerne les circuits (nombre, type et fonction), les signaux échangés (type et forme) et
les connecteurs utilisés.
Une jonction est définie par son interface de raccordement, les caractéristiques de la
jonction et le type de connecteur utilisé.
Une interface présente quatre types de caractéristiques :
1.
Mécaniques : type de connecteurs, nombre de broches (pins).
Électriques : niveaux de tension, impédances, modes de transmission
(symétrique/asymétrique).
Fonctionnelles : affectation des signaux aux broches (données, synchronisation,
contrôle, mise à la terre).
Procédurales : règles de fonctionnement de l'interface — comment les signaux
sont échangés entre l'émetteur et le récepteur.
Les connecteurs RJ (Registered Jack) sont des interfaces modulaires normalisées par la
FCC américaine, initialement pour la téléphonie, aujourd'hui omniprésents dans les
réseaux locaux.
a)
Le RJ-11 est le connecteur téléphonique standard, à 4 contacts (ou 6 contacts dans sa
variante RJ-12). Utilisé pour le raccordement des lignes téléphoniques analogiques et des
modems ADSL chez l'abonné.
Fig. 2 — Connecteur RJ-11 (brochage 4/6 contacts)

III. ÉQUIPEMENT DU RÉSEAU 59
b)
Le RJ-45 est le connecteur réseau standard à 8 contacts, utilisé pour les câbles Ethernet
(10/100/1000BaseT). Les signaux sont les suivants pour une connexion Ethernet standard :
Fig. 3 — Connecteur RJ-45 (brochage 8 contacts)
Broche(s) Signal Rôle
1, 2 TX+ / TX− Émission (Transmit)
3, 6 RX+ / RX− Réception (Receive)
4, 5, 7, 8 Non utilisés
(masse)
En Ethernet 10/100 — utilisés pour PoE
et Gigabit
Pour l'ISDN BRI, le brochage RJ-45 diffère : broches 1/2 pour l'alimentation fantôme,
3/4/5/6 pour les signaux de transmission/réception, 7/8 pour la mise à la terre.
c)
Le câble croisé (crossover) relie les broches TX d'un côté aux broches RX de l'autre,
permettant de connecter directement deux équipements de même type (PC à PC, switch à
switch) sans hub ni switch intermédiaire. Boucle RJ-45 Ethernet : relier 1↔3 et 2↔6.
Aujourd'hui, les interfaces modernes supportent l'Auto-MDIX (MDI/MDI-X automatique),
rendant le câble croisé inutile.
Fig. 4 — Câble croisé Ethernet : croisement TX/RX

2.
L'interface RS-530 (EIA-530) est une interface série haute vitesse utilisant un connecteur
DB-25 à 25 broches, conçue pour remplacer RS-232 dans les applications nécessitant
des débits élevés (jusqu'à 2 Mbps). Elle utilise une signalisation différentielle (équilibrée)
selon EIA-422, compatible avec V.11. Elle permet des distances supérieures à RS-232
avec de meilleures performances en immunité aux perturbations.
Fig. 5 — Interface RS-530 : connecteur DB-25 et affectation des signaux
3.
L'interface X.21 est une norme ITU-T (CCITT) définissant l'interface entre un DTE et un
DCE pour la transmission synchrone sur réseaux à commutation de circuits numériques.
Elle utilise un connecteur DB-15 à 15 broches et une signalisation différentielle. X.21 est
notamment utilisée dans les réseaux PDH (E1/T1) et comme interface d'accès à certains
réseaux Frame Relay et ISDN.
Fig. 6 — Connecteur X.21 (DB-15, signalisation différentielle)
4.
G.703 est la recommandation ITU-T définissant les caractéristiques physiques et
électriques des interfaces numériques hiérarchiques (E0 à E4, T1 à T4). Elle spécifie les
niveaux de signal, les impédances et les connecteurs pour les liaisons numériques à 64
kbps (G.703/G.704 E0), 2,048 Mbps (E1), 8,448 Mbps (E2), jusqu'à 139 Mbps (E4).
Fig. 7 — Connecteurs G.703 (coaxial BNC et connecteur à paires)

III. ÉQUIPEMENT DU RÉSEAU 61
5.
CCITT n° Pin DTE/DCE Désignation
G 8 — Signal ground (masse signaux)
T 2 / 9 DTE Tx Data (données émises)
R 4 / 11 DCE Rx Data (données reçues)
C 3 / 10 DTE Control (contrôle)
I 5 / 12 DCE Indication
S 6 / 13 DTE/DCE Signal element timing (horloge)
V.11 (équivalent EIA-422) est une norme ITU-T pour la transmission série synchrone à
haute vitesse (jusqu'à 10 Mbps) sur paires torsadées équilibrées. Elle définit les
caractéristiques électriques des circuits d'interface série numériques. V.11 est utilisée
dans de nombreuses interfaces WAN (X.21, G.703) et peut fonctionner en mode Tail
Circuit (connexion directe entre deux équipements sans modem interposé sur courte distance).
? Notes
Fig. 8 — Schéma de connexion V.11 en mode Tail Circuit

6.
V.24 est la recommandation ITU-T définissant les échanges entre DTE et DCE pour la
transmission série asynchrone ou synchrone, connue sous le nom RS-232 aux États-
Unis. V.24 spécifie les fonctions des circuits d'interface (données, contrôle,
synchronisation) sur un connecteur DB-25 ou DB-9. Elle supporte des débits jusqu'à 115
200 bps sur de courtes distances (< 15 m à pleine vitesse).
7.
Fig. 9 — Connecteurs V.24/RS-232 : DB-25 (a) et DB-9 (b)
i V.24/RS-232 — encore présent
V.24/RS-232 est considéré comme obsolète pour les réseaux haut débit mais reste très utilisé pour
l'administration des équipements réseau (port console des switches et routeurs Cisco, Juniper, etc.),
les systèmes industriels (automates, SCADA), les caisses enregistreuses et certains équipements
médicaux. Le port USB-to-RS232 est un accessoire courant.
V.35 est une norme ITU-T pour la transmission de données à haute vitesse (jusqu'à 2
Mbps et au-delà avec des extensions propriétaires) sur liaisons WAN. Elle utilise un
connecteur Winchester 34 broches (format bloc/boîtier). V.35 a été largement utilisée pour
connecter des routeurs aux équipements CSU/DSU (Channel Service Unit/Data Service
Unit) des liaisons T1/E1 et Frame Relay. La terminologie officielle CCITT V.35 est « Data
Transmission at 48 Kbps Using 60-108 kHz Group-Band Circuits ».
? Notes
Fig. 10 — Connecteurs V.35 (Winchester 34 broches — vue mâle et femelle)

III. ÉQUIPEMENT DU RÉSEAU 63
8.
V.36 est une norme ITU-T pour la transmission synchrone à haute vitesse (48 kbps à 168
kbps) sur liaisons à large bande. Elle utilise un connecteur DB-37 à 37 broches et une
signalisation équilibrée (différentielle). V.36 est fonctionnellement similaire à V.35 mais
avec un connecteur différent, principalement utilisée dans les équipements télécoms
européens.
Fig. 11 — Connecteur V.36 (DB-37)
Les services numériques fixes (ou loués) sont des liaisons point à point entièrement
numériques, de bout en bout, sans conversion analogique. Ils ont remplacé les liaisons
analogiques louées dans les années 1980-1990 pour les connexions WAN des
entreprises.
1.
Le service standard numérique à 64 kbps a été baptisé E0 dans le secteur des
télécommunications européennes. Le modem analogique est remplacé par une NTU
(Network Terminating Unit) et le standard d'interface utilisé est X.21/V.11. Les données
restent en format numérique d'un bout à l'autre de la liaison, ce qui améliore la qualité et
réduit la latence.
2.
Lorsque la vitesse doit dépasser 64 kbps, une liaison E1 apporte la réponse. Ce type de
ligne fournit un service entièrement numérique à 2,048 Mbps (norme européenne). La
NTU est remplacée par un LTE (Line Termination Equipment) et l'interface avec l'unité du
client est conforme au standard G.703.
Il existe deux types de liaisons E1 :
Liaison non structurée : la bande passante totale de 2,048 Mbps est offerte
comme un service transparent (un seul canal de données).
Liaison structurée : la liaison est pré-divisée en 32 intervalles de temps (Time
Slots) de 64 kbps. 30 canaux sont disponibles pour les données, 1 pour la
synchronisation de trame (TS0) et 1 pour la signalisation (TS16).
? Notes

3.
Normes
Européennes (PDH)
Débit
Normes
Américaines
Débit
E0 64 kbps (1
canal DS0)
DS0
64 kbps
E1
2,048 Mbps
(30 canaux B)
T1 1,544 Mbps (24
canaux)
E2
8,448 Mbps
(4×E1)
T2
6,312 Mbps
E3
34,368 Mbps
(4×E2)
T3
44,736 Mbps
E4 139,264
Mbps (4×E3)
T4
274,760 Mbps
i E1 dans les réseaux modernes
L'accès E1 (2 Mbps) a été la liaison WAN de référence des entreprises de 1990 à 2010. Il est
aujourd'hui largement remplacé par les accès Ethernet (10/100/1000 Mbps sur fibre optique) et les
connexions Internet haut débit (VDSL2, FTTH). Les liaisons E1 subsistent dans certains réseaux de
signalisation téléphonique (SS7, ISDN PRI) et dans les pays en développement où les fibres ne sont
pas encore déployées.
Le média physique est le support sur lequel circulent les informations. Il peut s'agir d'un
câble (média relié) ou d'une transmission sans fil (média non relié). Le choix du média
physique conditionne le débit maximal, la distance couverte, la sensibilité aux
interférences et le coût d'installation.
Médias reliés (guidés)
Paire torsadée (UTP/STP/FTP)
Câble coaxial (10Base5, CATV)
Fibre optique (MMF, SMF)
Câble CPL (courant porteur de ligne)
Médias non reliés (non guidés)
Wi-Fi (802.11a/b/g/n/ac/ax/be)
Laser / infrarouge (FSO)
Micro-ondes terrestres et satellitaires
Radio cellulaire (4G/5G)
Les médias physiques sont évalués selon : la bande passante disponible, la distance
maximale avant régénération du signal, la résistance aux interférences
électromagnétiques (EMI/RFI), la facilité d'installation et le coût.

III. ÉQUIPEMENT DU RÉSEAU 65
1.
La fibre optique représente l'une des plus grandes avancées technologiques en matière
de câblage. Elle transporte la lumière dont la source est soit un laser, soit une DEL (Diode
ÉLectroluminescente, LED). Elle est insensible aux perturbations électromagnétiques et
offre une immunité totale aux écoutes passives.
a)
La fibre optique est constituée de trois éléments concentriques :
• Le cœur (core) : partie centrale de la fibre servant à la propagation des rayons
lumineux. Composé de verre (silice) ou de plastique hautement raffiné.
• La gaine optique (cladding) : entoure le cœur d'un matériau dont l'indice de
réfraction est inférieur à celui du cœur. Cette différence d'indice confine la
propagation des rayons par réflexion totale interne.
• Le revêtement de protection (coating/buffer) : couche extérieure protégeant la
gaine optique des dégradations physiques (chocs, humidité, écrasement).
Fig. 12 — Structure d'une fibre optique (cœur, gaine, revêtement)
Un câble optique peut transférer jusqu'à plusieurs centaines de Gbps sur des distances
dépassant plusieurs kilomètres — ce qu'aucun câble en cuivre ne permet. Aujourd'hui,
c'est la solution de référence pour les grandes distances et les gros débits. Les fibres
optiques varient de 2 à 864 brins dans un même câble (un brin par sens de transmission,
par convention).
i Avantages de la fibre optique
Débit très élevé (de 1 Gbps à plusieurs Tbps/fibre avec DWDM), insensibilité totale aux perturbations
électromagnétiques, immunité aux écoutes clandestines (se ponter sur une fibre coupe
physiquement la connexion), légèreté et faible encombrement, faible atténuation sur de longues
distances. Rayon de courbure minimum à respecter lors de l'installation (~ 10× le diamètre du câble).
? Notes

b)
Fibre multimode (MMF — Multimode Fiber) : les rayons de lumière suivent
plusieurs chemins (modes) dans le cœur, ce qui génère une dispersion modale
limitant la distance et le débit. Utilisée pour de courtes distances (LAN, datacenter).
Émetteur : LED (850 nm) ou laser VCSEL (850 nm). Dimensions normalisées : cœur
50 µm / gaine 125 µm (ou 62,5/125 µm). Performances : de 1 Gbps/km (OM1) à 100
Gbps/100 m (OM5). On distingue les fibres à saut d'indice et celles à gradient
d'indice (onde sinusoïdale, meilleures performances).
Fig. 13 — Propagation dans une fibre multimode (gradient d'indice et saut d'indice)
Fibre monomode (SMF — Single-Mode Fiber) : les rayons suivent un seul
chemin (mode fondamental) dans un cœur très étroit (5 à 10 µm / gaine 125 µm).
L'émetteur est un laser (1 310 nm ou 1 550 nm) offrant un signal très précis.
Performances : > 100 Gbps/km, utilisable sur des dizaines à centaines de
kilomètres. La dispersion chromatique (différentes longueurs d'onde se propagent à
vitesses légèrement différentes) est le principal facteur limitant, corrigé par des
compensateurs de dispersion ou des fibres DSF (Dispersion Shifted Fiber).
Fig. 14 — Propagation dans une fibre monomode (mode unique, faible dispersion)
Caractéristique Multimode (MMF) Monomode (SMF)
Diamètre du cœur 50 ou 62,5 µm 8–10 µm
Source lumineuse LED / VCSEL (850 nm) Laser (1 310 / 1 550 nm)
Distance max. ~ 550 m (OM4, 10 Gbps) Plusieurs dizaines de km
Débit max. 100 Gbps / 100 m (OM5) Tbps avec DWDM
Coût des émetteurs Faible (VCSEL) Plus élevé (laser FP/DFB)
Usage typique LAN, datacenter WAN, backbone, FTTH
? Notes

III. ÉQUIPEMENT DU RÉSEAU 67
c)
Trois types d'émetteurs sont utilisés selon les applications :
LED (Light Emitting Diode) : émettent dans l'infrarouge à 850 nm. Utilisées avec
les fibres multimodes courte distance. Faible coût, longue durée de vie, modulation
lente.
Diodes laser infrarouge : émettent à 1 300 nm. Performances intermédiaires,
utilisées pour des distances moyennes.
Lasers DFB/FP : longueur d'onde de 1 310 nm ou 1 550 nm. Utilisés avec les
fibres monomodes longue distance et les systèmes DWDM. Largeur spectrale très
fine, nécessaire pour le multiplexage dense en longueur d'onde.
Fig. 15-16 — Émetteurs optiques : LED (850 nm) et laser (1 310/1 550 nm)
d)
Il existe de nombreux types de connecteurs fibre optique. Chaque connecteur comprend
une ferrule (cylindre de précision en céramique ou métal) qui maintient et aligne la fibre.
Les connecteurs les plus utilisés :
Fig. 17a-17b — Connecteurs ST (à baïonnette, gauche) et SC (push-pull, droite)
? Notes
Fig. 17c — Connecteur MIC double (utilisé dans les réseaux FDDI)

Connecteur Fixation Usage typique
ST (Straight Tip) Baïonnette (twist-lock) Réseaux LAN multimode
SC (Subscriber Connector) Push-pull (clip) FTTH, LAN, WAN — le
plus répandu
LC (Lucent Connector) Push-pull petit format SFP transceiver,
datacenters
FC (Ferrule Connector) Vissé Instruments de mesure,
télécoms
MIC (Media Interface
Connector)
Double, clip
FDDI (obsolète)
e)
SMA Vissé Applications militaires,
instruments
FCPC Vissé avec polissage PC Fibres monomodes
Le type de polissage de la terminaison optique (ferrule) détermine la qualité de la
connexion et les pertes d'insertion :
f)
• PC (Physical Contact) : la terminaison est polie pour obtenir une surface
convexe légèrement bombée. Atténuation de réflexion : −40 dB.
• UPC (Ultra Physical Contact) : convexité plus accentuée que PC, meilleure
qualité. Atténuation de réflexion : −50 dB. Connecteur bleu.
• APC (Angled Physical Contact) : polie en forme convexe et inclinée de 8
degrés, réduisant les réflexions parasites. Atténuation de réflexion : −60 dB.
Connecteur vert. Utilisé en FTTH multi-abonnés (GPON) et en systèmes CATV.
C'est le type de polissage le plus recommandé pour les liaisons longue distance.
• Couplage mécanique : deux connecteurs mis bout à bout au moyen d'une pièce
d'adaptation (accoupleur/adaptateur) de précision. Connexion démontable.
• Splice mécanique : raccordement permanent par pincement mécanique. Utilisé
pour les réparations suite à rupture. Perte d'insertion : ~0,5 dB.
• Fusion (soudure) : fusion des deux fibres au moyen d'un arc électrique
(fusionneuse). Solution la plus fiable et la moins pertuante. Perte d'insertion : <
0,1 dB. Utilisée pour les déploiements FTTH et les backbones.
? Notes

III. ÉQUIPEMENT DU RÉSEAU 69
2.
Dans le cas le plus simple, une paire de fils permet de transporter le signal. Le courant
électrique génère un courant induit dans les liaisons voisines (diaphonie — crosstalk), qui
interfère avec le signal et réduit son efficacité. La torsade des paires annule ces
interférences : les courants induits dans chaque demi-tour s'annulent mutuellement.
Fig. 18 — Câble UTP 4 paires torsadées (structure et torsion des paires)
Le câble à paires torsadées existe sous trois formes principales :
a)
UTP (Unshielded Twisted Pair — paire non blindée) : quatre paires de fils
regroupés dans une gaine PVC. Le plus courant, le moins cher et le plus facile à
installer. Sensible aux interférences électromagnétiques externes.
FTP (Foiled Twisted Pair) : un blindage global aluminium entoure les 4 paires.
Protection contre les interférences électromagnétiques (EMI) sans blindage
individuel des paires.
STP (Shielded Twisted Pair) : chaque paire est blindée individuellement, puis
l'ensemble est blindé. Protection maximale contre EMI et diaphonie. Câble plus
rigide et plus lourd. Utilisé dans les environnements industriels ou très perturbés.
Catégorie Bande
passante
Débit max.
Usage typique
Cat 3 16 MHz 10 Mbps Téléphonie, Ethernet 10BaseT
Cat 5 100 MHz 100 Mbps Fast Ethernet 100BaseTX
Cat 5e 100 MHz 1 Gbps Gigabit Ethernet 1000BaseT
Cat 6 250 MHz 1 Gbps (10 Gbps < 55
m)
Gigabit, câblage structuré
Cat 6A 500 MHz 10 Gbps / 100 m 10GBaseT, bureaux modernes
Cat 7 600 MHz 10 Gbps Centres de données
Cat 8 2 000 MHz 25–40 Gbps / 30 m Serveurs, DataCenter ToR
? Notes

? Choix du câblage structuré
Pour un câblage structuré neuf en 2025, la catégorie minimale recommandée est la Cat 6A, qui
supporte le 10 Gigabit Ethernet sur 100 m et le PoE++ (90 W). La Cat 6A est obligatoire dans les
installations Wi-Fi 6/6E pour ne pas créer de goulot d'étranglement sur le câble d'alimentation du
point d'accès.
L'une des principales qualités des communications de données est la possibilité d'établir
plusieurs communications simultanées sur le même support physique. Cette technique
s'appelle le multiplexage. Elle permet d'optimiser l'utilisation de la bande passante
disponible, ce qui est crucial pour les liaisons longue distance coûteuses.
On distingue principalement deux types de multiplexage :
1.
a)
Fig. 20 — Multiplexage TDM : chaque canal occupe un intervalle de temps fixe
Le TDM synchrone (STDM) divise la bande passante disponible en un nombre fixe
d'intervalles de temps (IT — Time Slots). Un intervalle de temps est alloué à chaque canal,
qui peut l'utiliser exclusivement. Un IT de synchronisation est ajouté pour que le récepteur
identifie le début de la trame. Si un canal n'a pas de données à transmettre, son IT reste
vide (perte de bande passante). C'est le principe utilisé dans les réseaux E1/T1 (30 ou 24
canaux de 64 kbps) et SDH/SONET.
b)
Le TDM statistique (ATDM) n'alloue des intervalles de temps qu'aux canaux ayant des
données à transmettre. Comme toutes les unités ne souhaitent pas communiquer en
même temps, la bande passante disponible est partagée de manière dynamique. Les
données sont rassemblées en mémoire tampon puis regroupées dans des paquets avec
en-tête contenant l'adresse de destination. Si un seul canal transmet, il peut s'approprier
toute la bande passante.
Avantage majeur : meilleure utilisation de la bande passante disponible. Inconvénient :
quand les mémoires tampons sont pleines, les règles de contrôle de flux arrêtent la
transmission. Le délai variable (jitter) introduit par le stockage/retransmission (store-andforward)
rend ce procédé inadapté au trafic isochrone (voix, vidéo temps réel).

III. ÉQUIPEMENT DU RÉSEAU 71
2.
Fig. 19 — Multiplexage WDM : plusieurs longueurs d'onde sur la même fibre
Le WDM (Wavelength Division Multiplexing) est né de l'idée d'injecter simultanément dans
la même fibre optique plusieurs trains de signaux numériques, chacun à une longueur
d'onde distincte. Chaque longueur d'onde constitue un canal optique indépendant ; les
signaux ne s'interfèrent pas entre eux.
WDM (2–8 canaux) : première génération, espacement large entre canaux (20
nm). 2 à 8 canaux optiques.
CWDM (Coarse WDM, 18 canaux) : espacement de 20 nm, bandes 1 270 à 1 610
nm. Émetteurs non refroidis, faible coût. Utilisé dans les métros et LAN longue
distance.
DWDM (Dense WDM) : espacement très fin entre canaux (0,8 nm = 100 GHz, voire
0,4 nm = 50 GHz). 40, 80 voire 160 canaux optiques sur la même fibre. Débit total :
jusqu'à 3 200 Gbps (80 canaux × 40 Gbps) et au-delà avec des canaux à 100/400
Gbps. C'est la technologie de transport utilisée dans tous les backbones opérateurs
et câbles sous-marins.
Fig. 21 — Architecture DWDM : multiplexeur/démultiplexeur et amplificateurs EDFA
DWDM et amplificateurs EDFA
Dans les réseaux DWDM longue distance, les amplificateurs EDFA (Erbium Doped Fiber
Amplifier) régénèrent tous les canaux optiques simultanément sans conversion
optique/électrique/optique. Les systèmes modernes DWDM cohérents (100G, 400G,
800G) utilisent des formats de modulation avancés (DP-QPSK, DP-16QAM) et des
algorithmes DSP pour compenser la dispersion chromatique et la dispersion des modes
de polarisation.
? Notes

3.
L'OFDM (Orthogonal Frequency Division Multiplexing) est une technique de modulation
multi-porteuses qui divise la bande passante en un grand nombre de sous-canaux étroits
(sous-porteuses) transmis en parallèle. Les sous-porteuses sont orthogonales entre elles,
éliminant les interférences inter-porteuses.
L'OFDM est la technique de modulation utilisée dans : ADSL/VDSL2 (DMT — Discrete
Multi-Tone, variante OFDM), Wi-Fi (802.11a/g/n/ac/ax), LTE/4G, 5G NR (pour les bandes
sub-6 GHz), DVB-T/T2 (télévision numérique terrestre).
Toute information traitée par un ordinateur ou transitant sur un réseau est représentée
sous forme binaire. La compréhension de la numération binaire est fondamentale pour
comprendre l'adressage IP, les masques de sous-réseau, et les protocoles réseau.
1.
Le système binaire utilise uniquement deux chiffres : 0 et 1. Ces chiffres peuvent être
représentés en électronique par deux états : absence de tension (0) et présence de
tension (1), ou par des impulsions lumineuses (0 = pas de lumière, 1 = lumière). La lecture
d'un nombre binaire s'effectue de la droite vers la gauche (bit de poids faible à droite).
Chaque position dans un nombre binaire représente une puissance de 2. Pour convertir
un nombre décimal en binaire, on identifie les puissances de 2 dont la somme donne le
nombre désiré :
2⁷ = 128 2⁶ = 64 2⁵ = 32 2⁴ = 16 2³ = 8 2² = 4 2¹ = 2 2⁰ = 1
1 1 0 0 0 0 0 0
Exemple : 192 = 128 + 64 = 11000000 en binaire
? Conversions décimal ↔ binaire
192 = 128+64 → 11000000 | 255 = 128+64+32+16+8+4+2+1 → 11111111 | 10 = 8+2 → 00001010 |
172 = 128+32+8+4 → 10101100. Ces valeurs sont fondamentales en réseau : 192.168.0.0 est le
préfixe des réseaux privés de classe C, 255.255.255.0 est le masque /24, et 10.0.0.0 est le préfixe des
réseaux privés de classe A.
? Notes

III. ÉQUIPEMENT DU RÉSEAU 73
2.
Un bit (Binary Digit) est une information élémentaire pouvant prendre deux valeurs : 0 ou
1. C'est l'unité fondamentale de l'information numérique. Le débit réseau est mesuré en
bits par seconde (bps, kbps, Mbps, Gbps, Tbps).
C'est grâce à des séries de bits que l'on arrive à coder des informations. Plus le nombre
de bits est important, plus le nombre d'informations codables est grand : n bits permettent
de coder 2ⁿ valeurs différentes.
Largeur bus / encodage
Nombre de valeurs Application
8 bits 2⁸ = 256 ASCII étendu, octet, IPv4 (chaque
octet d'adresse)
16 bits 2¹⁶ = 65 536 Unicode BMP, numéros de port
TCP/UDP (0-65 535)
32 bits 2³² = 4,29 milliards Adresses IPv4, entiers 32 bits
48 bits 2⁴⁸ = 281 billions Adresses MAC Ethernet
64 bits 2⁶⁴ = 18,4 × 10¹⁸ Entiers 64 bits, CPU modernes
128 bits 2¹²⁸ = 3,4 × 10³⁸ Adresses IPv6
3.
Un octet (byte) est un groupe de 8 bits pouvant coder 2⁸ = 256 valeurs différentes (de 0 à
255). En informatique, l'octet est l'unité de base de la mémoire et du stockage. Attention à
la confusion fréquente : les débits réseau sont en bits/s (b minuscule), les tailles de fichiers
en octets (o majuscule ou B pour byte).
? Encodage ASCII
Le code ASCII (American Standard Code for Information Interchange) encode les caractères sur 7 bits
(128 caractères), étendu à 8 bits pour les caractères accentués. A = 65 décimal = 01000001 binaire. B
= 66 décimal = 01000010 binaire. Les protocoles réseau utilisent l'ASCII ou son successeur Unicode
(UTF-8) pour encoder les informations textuelles (noms de domaine DNS, en-têtes HTTP, etc.).
? Notes

4.
En réseau, on utilise fréquemment la représentation hexadécimale (base 16, chiffres 0-9 et
A-F) car elle permet de représenter un groupe de 4 bits (un nibble) par un seul caractère,
et un octet par deux caractères hexadécimaux. C'est le format des adresses MAC (6
octets : AA:BB:CC:DD:EE:FF) et des adresses IPv6 (16 octets :
2001:0db8:85a3:0000:0000:8a2e:0370:7334).
Les ports de communication sont des identifiants numériques (0 à 65 535) utilisés par les
protocoles TCP et UDP pour distinguer les différents services sur un même hôte.
Les ports sont divisés en trois catégories par l'IANA :
1.
Ports bien connus (Well-Known Ports) : 0–1 023, réservés aux services
standards (HTTP, FTP, SSH…).
Ports enregistrés (Registered Ports) : 1 024–49 151, utilisés par des applications
spécifiques.
Ports dynamiques/privés (Ephemeral Ports) : 49 152–65 535, utilisés pour les
connexions sortantes.
Port TCP Service Description
20 / 21 FTP (File Transfer Protocol) Transfert de fichiers (données / contrôle)
22 SSH (Secure Shell) Accès distant sécurisé, tunneling, SFTP
23 Telnet Accès distant non chiffré — ⚠ obsolète,
remplacé par SSH
25 SMTP Envoi de courrier électronique (serveur
sortant)
53 DNS Résolution de noms de domaine (aussi UDP
53)
67 / 68 DHCP Attribution automatique d'adresses IP
80 HTTP Navigation Web non chiffrée
110 POP3 Réception de courrier électronique
(téléchargement)
119 NNTP Groupes de news (obsolète pour la plupart
des usages)

III. ÉQUIPEMENT DU RÉSEAU 75
143 / 220 IMAP 3 / IMAP 4 Accès courrier avec synchronisation serveur
443 HTTPS Navigation Web chiffrée (TLS)
445 SMB/CIFS Partage de fichiers Windows (NetBIOS over
IP)
465 / 587 SMTPS / SMTP
Submission
Envoi de courrier chiffré (SSL/STARTTLS)
2.
993 / 995 IMAPS / POP3S Courrier entrant chiffré
3389 RDP Bureau à distance Windows
8080 HTTP alternatif / Proxy Port alternatif HTTP, proxy web
Port UDP Service Description
53 DNS Requêtes DNS (résolution de noms — aussi TCP pour les
transferts de zone)
67 / 68 DHCP Attribution automatique d'adresses IP
69 TFTP Transfert de fichiers simplifié (firmware, configuration)
123 NTP Synchronisation de l'heure réseau
161 / 162 SNMP Supervision réseau (requêtes / traps)
500 / 4500 IKE / IKEv2 Échange de clés pour IPsec/VPN
1194 OpenVPN VPN open source (aussi TCP)
i NetBIOS — ports à sécuriser
Les ports UDP/TCP 137 (NetBIOS Name Service), 138 (NetBIOS Datagram) et 139 (NetBIOS Session)
sont utilisés pour le partage de ressources Windows. Ces ports ne doivent jamais être exposés sur
Internet : ils permettraient à des attaquants d'énumérer les ressources partagées, les utilisateurs et
d'établir des sessions non autorisées. En interne, SMB 445 a remplacé NetBIOS 139 depuis Windows
2000.
? Notes

3.
Un VPN (Virtual Private Network — Réseau Privé Virtuel ou RPV) permet d'établir un tunnel
de communication sécurisé et chiffré entre deux points géographiquement éloignés en
passant par un réseau public (Internet). Le tunnel VPN garantit la confidentialité
(chiffrement), l'intégrité (HMAC) et l'authentification des données.
Le VPN va fournir une adresse du réseau local à un PC connecté depuis Internet. Celui-ci
s'intègre alors automatiquement dans le réseau comme s'il était physiquement présent.
Le chiffrement empêche toute forme d'interception des données en transit.
a)
b)
IPsec (IP Security) : suite de protocoles cryptographiques opérant au niveau 3.
Deux modes : transport (chiffre uniquement la charge utile) et tunnel (chiffre
l'intégralité du paquet IP original, encapsulé dans un nouveau paquet). Utilisé pour les
VPN site-à-site et les accès distants. Protocoles associés : IKE/IKEv2 pour
l'échange de clés.
SSL/TLS VPN (HTTPS VPN) : utilise le protocole TLS opérant au niveau 7. Ne
nécessite qu'un navigateur ou un client léger. Plus facile à déployer que IPsec
(passe les pare-feux NAT). Exemples : Cisco AnyConnect, OpenVPN, WireGuard
(protocole moderne utilisant ChaCha20/Poly1305).
L2TP/IPsec : L2TP (Layer 2 Tunneling Protocol) encapsule les connexions PPP
dans un tunnel IP, combiné avec IPsec pour le chiffrement. Standard natif dans
Windows, macOS, iOS, Android.
PPTP : protocole propriétaire Microsoft, chiffrement RC4 considéré comme faible.
Obsolète et déconseillé.
WireGuard : protocole VPN moderne (2019), très simple (< 4 000 lignes de code),
utilise des algorithmes cryptographiques modernes (ChaCha20, Poly1305,
Curve25519, BLAKE2). Performances supérieures à IPsec et OpenVPN. Intégré au
noyau Linux depuis 5.6.
VPN site-à-site (LAN-to-LAN) : relie deux réseaux fixes de manière permanente.
Remplace les lignes louées coûteuses. Déployé sur des routeurs ou pare-feux aux
deux extrémités.
VPN accès distant (Remote Access VPN) : permet à un utilisateur mobile de se
connecter au réseau de l'entreprise depuis Internet. Client VPN logiciel installé sur
le PC/smartphone.
VPN MPLS (opérateur) : le service VPN est fourni par l'opérateur au niveau du
réseau MPLS. Le client ne gère pas le chiffrement (confiance dans l'opérateur).
Équivalent des anciennes lignes louées mais partageant l'infrastructure MPLS.
SSL VPN (clientless) : accessible via un simple navigateur web, sans client installé.
Limité aux applications web et applications publiées.
? Notes

III. ÉQUIPEMENT DU RÉSEAU 77
c)
• Un logiciel client VPN sur la machine distante (client natif OS ou logiciel dédié).
• Un équipement VPN (concentrateur, pare-feu avec fonction VPN) côté réseau
d'entreprise.
• Une adresse IP publique fixe (ou un service DDNS) pour joindre le VPN depuis
Internet.
VPN et architecture Zero Trust
L'architecture Zero Trust (ZTNA — Zero Trust Network Access) évolue au-delà du VPN
traditionnel : au lieu d'accorder un accès complet au réseau une fois connecté, ZTNA
applique une politique d'accès granulaire à chaque application ou ressource, avec
vérification continue de l'identité et de la posture de sécurité du terminal. Les solutions
SASE (Secure Access Service Edge) combinent SD-WAN et ZTNA dans un service cloud
unifié (Zscaler, Cloudflare Access, Palo Alto Prisma).
? Notes

IV – INTERNET 79
IV. INTERNET
Internet (INTERconnection of NETwork) est un regroupement de réseaux formé de milliers
d'ordinateurs de conceptions et d'architectures hétérogènes. C'est le plus grand réseau
d'informations dans le monde. Les ordinateurs sont reliés entre eux par une multitude de
médias. Ainsi, lorsqu'une information part d'un serveur web pour arriver sur votre
ordinateur, elle traverse souvent plus d'une dizaine d'autres ordinateurs. Si l'un de ces
ordinateurs tombe en panne, l'information parvient quand même au destinataire dans la
plupart des cas car elle empruntera un autre chemin grâce au maillage d'Internet.
Fig. 1 — Structure maillée d'Internet : la redondance assure la résilience
Il est ainsi possible de faire cohabiter au sein d'un même Internet des réseaux utilisant
des techniques aussi diverses qu'Ethernet, FDDI, ATM, Wi-Fi ou 5G. Le seul point
commun exigé aux réseaux composant Internet est un ensemble de protocoles de
communication identique. Cette suite de protocoles TCP/IP (regroupant IP, UDP, TCP,
HTTP, DNS, etc.) est de loin la plus connue et la plus utilisée. Du point de vue de
l'utilisateur, Internet apparaît comme un simple réseau unique, transparent dans sa
complexité.
i Dégroupage et boucle locale
Le dégroupage est la possibilité, pour les opérateurs alternatifs, d'accéder à la boucle locale du
réseau de l'opérateur historique (Orange en France). L'accès se fait au répartiteur (NRA — Nœud de
Raccordement des Abonnés) en connectant les lignes d'abonnés dégroupés à l'équipement de
l'opérateur alternatif. Le dégroupage de la sous-boucle permet d'effectuer cette opération au niveau
du sous-répartiteur, plus proche de l'abonné, ce qui raccourcit la paire cuivrée et améliore les débits
VDSL2.
? Notes

Fig. 2 — Chronologie des événements marquants de l'évolution d'Internet
1.
1959–1969 — Programme militaire américain ARPA (Advanced Research Projects Agency).
Les militaires utiliseront ensuite un réseau distinct MILNET, tandis que les universités et
administrations se connecteront à ARPANET.
1973 — Apparition du protocole FTP (File Transfer Protocol) permettant le transfert de
fichiers entre machines distantes.
1975 — Première version officielle du protocole TCP/IP (Transmission Control Protocol /
Internet Protocol).
1978 — ARPANET passe du stade expérimental au stade opérationnel. La gestion est
confiée à la DCA (Defense Communications Agency), aujourd'hui DISA.
1983 — TCP/IP adopté comme standard militaire (MIL STD). Implémentation de TCP/IP
sur UNIX par BBN à la demande de DARPA — origine de la suprématie TCP/IP dans le
monde Unix.
1986 — Création de NSFNET (National Science Foundation Network), réseau fédérateur
d'Internet aux États-Unis jusqu'en 1995.
1990 — Disparition d'ARPANET, intégré au réseau de la NSF. Création du WWW par Tim
Berners-Lee au CERN (Genève).

IV – INTERNET 81
1991 — Création de RENATER (Réseau National de télécommunications pour la
Technologie, l'Enseignement et la Recherche), réseau français inter-universitaire.
1992 — Naissance de l'Internet Society (ISOC) et de l'IAB (Internet Architecture Board),
chargés de normaliser les protocoles Internet.
1993 — Formalisation par l'administration Clinton de la NII (National Information
Infrastructure) — politique des Autoroutes de l'information, initiée par Al Gore.
1994 — Explosion du World Wide Web : généralisation de HTML, des URL (Uniform Resource
Locator) et de HTTP. Création du W3C (World Wide Web Consortium) par Tim Berners-Lee.
1998 — Création de l'ICANN (Internet Corporation for Assigned Names and Numbers) pour
superviser l'administration des noms de domaine.
2005 — Le terme Web 2.0 est formalisé par Tim O'Reilly. Lancement de YouTube
(racheté par Google). Premiers mashups (Google Maps API).
2009 — Naissance du Bitcoin, première cryptomonnaie basée sur la technologie blockchain.
2010 — Émergence de HTML5, qui transforme les pages web en véritables applications
et fait du navigateur le logiciel universel.
2014 — Le milliard de sites web est dépassé.
2018 — Entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) à
l'échelle européenne.
2019 — Plus de 4 milliards d'utilisateurs Internet dans le monde.
2023+ — Explosion de l'IA générative (ChatGPT, Gemini, Claude). Généralisation du cloud
computing, l'edge computing et la 5G. Internet représente plus de 5 milliards d'utilisateurs.
2.
Fig. 4 — Croissance du nombre d'utilisateurs Internet (1984–2019)

Année
Utilisateurs approx.
1984 ~1 000
1987 ~28 000
1990 ~130 000
1992 ~1 000 000
2009 ~1 milliard
2011 ~2 milliards
2019 >4 milliards
2025 >5,5 milliards
Fig. 3 — Évolution du Web : Web 1.0 statique → Web 4.0 intelligent

IV – INTERNET 83
Le terme « Web x.0 » désigne les évolutions successives du World Wide Web, non pas
dans ses protocoles techniques (HTTP/HTML restent la base), mais dans ses usages, ses
modèles économiques et ses capacités.
Le web repose sur trois dimensions complémentaires :
1.
• Technologique : convergence de technologies (Ajax, APIs, HTML5,
WebAssembly) permettant des applications web riches directement dans le
navigateur.
• Social : émergence du contenu généré par les utilisateurs (UGC — User
Generated Content), des commentaires, partages et réseaux sociaux.
• Économique : Internet est devenu une plateforme économique à part entière (ecommerce,
SaaS, API economy, plateformes).
Pages HTML statiques publiées par des organisations ou experts, lecture seule pour les
visiteurs. Navigation hypertexte simple. Services : email, FTP, forums Usenet, pages
personnelles. Le contenu est produit par quelques-uns et consommé par tous.
2.
Révolution des usages avec l'apparition des outils participatifs.
Le Web 2.0 est caractérisé par :
Blogs : sites web composés de billets (posts) classés par date, faciles à publier,
permettant l'interaction avec les lecteurs (commentaires).
Wikis : systèmes de gestion de contenu collaboratif où les pages sont modifiables
par les visiteurs autorisés. Exemple emblématique : Wikipédia (2001).
Réseaux sociaux : Meta (Facebook, 2004), YouTube (2005), Twitter/X (2006),
Instagram (2010), TikTok (2016). En 2020 : Facebook 2,5 milliards, YouTube 2
milliards, WhatsApp 2 milliards, Instagram 1 milliard d'utilisateurs.
Mashups et APIs ouvertes : agrégation de services tiers via des APIs (Google
Maps, Stripe, Twilio). Le contenu provenant de plusieurs sources est combiné pour
créer de nouveaux services.
Fils RSS : diffusion automatique des mises à jour au format XML, permettant la
syndication de contenu.
i Cloud computing et Web 2.0
Une révolution du Web 2.0 est que l'ensemble des services sont disponibles en ligne (cloud
computing). La production s'effectue directement en ligne : plus rien n'est stocké localement, tout
est produit, stocké, partagé et échangé sur Internet. Les moteurs de recherche et les systèmes de
tags collaboratifs permettent de retrouver l'information dans cette masse.
? Notes

3.
Le Web 3.0 est caractérisé par la structuration de la masse d'informations disponibles.
Deux dimensions principales :
4.
Web sémantique : structuration des données pour les rendre compréhensibles par
les machines (ontologies, RDF, SPARQL, schema.org). Objectif : que les moteurs de
recherche comprennent le sens des pages, pas seulement les mots-clés.
Web décentralisé (blockchain) : applications décentralisées (dApps) fonctionnant
sur des blockchains (Ethereum). Cryptomonnaies (Bitcoin, Ether), NFT, DeFi (finance
décentralisée). L'objectif est de supprimer les intermédiaires centralisés.
Le Web 4.0 est intelligent : il utilise les données recueillies pour étudier et influencer les
comportements des utilisateurs grâce à l'intelligence artificielle. Les algorithmes de
recommandation (YouTube, Netflix, TikTok), les assistants conversationnels (GPT, Claude,
Gemini), la personnalisation en temps réel, et la réalité augmentée/virtuelle (Métavers, AR)
rendent encore plus diffuse la frontière entre le virtuel et le réel.
L'IA générative et l'évolution du Web
Depuis 2022, l'IA générative (grands modèles de langage — LLM) a profondément modifié
les usages d'Internet : recherche assistée par IA (Copilot, Perplexity), génération de code
(GitHub Copilot), création de contenu (images, vidéos, textes). Cette évolution remet en
question les modèles économiques basés sur la publicité ciblée et le référencement (SEO)
traditionnels.
La technologie d'accès conditionne le débit disponible, la latence et la fiabilité de la
connexion Internet. Le choix dépend principalement de la localisation géographique et de
l'infrastructure disponible.
1.
L'ADSL (Asymmetric Digital Subscriber Line) a été la technologie d'accès haut débit
dominante en France de 2000 à 2015. Elle utilise la paire de cuivre téléphonique existante
(boucle locale) pour transporter les données à haut débit, en exploitant la bande de
fréquences supérieure à celle utilisée par la voix (0–4 kHz).
L'ADSL est une technologie de transmission (couche physique) qui doit être complétée par
des protocoles de transport des données (paquets IP ou cellules ATM). La bande passante
de la paire de cuivre est divisée en trois canaux :
• Canal descendant (downstream) : occupe le haut de la bande (jusqu'à 1,1 MHz)
à débit élevé (jusqu'à 8 Mbps pour ADSL, 24 Mbps pour ADSL2+).
• Canal montant (upstream) : bande intermédiaire (25–138 kHz) à débit moyen
(512 kbps à 1 Mbps).
• Canal voix : bande basse (0–4 kHz) pour la téléphonie analogique standard
(POTS).

IV – INTERNET 85
Débit downstream
Distance abonné / NRA
1,5 Mbps 6 km
2 Mbps 5 km
6 Mbps 4 km
9 Mbps 3 km
13 Mbps 1,5 km
26 Mbps 1 km
52 Mbps 300 m
2.
Fig. 5 — Comparaison ADSL / ADSL2+ / RE-ADSL : débit en fonction de la distance
L'ADSL2+ double la bande passante utilisée (spectre jusqu'à 2,2 MHz au lieu de 1,1 MHz),
portant le débit descendant maximal à 24 Mbps pour les abonnés proches du central, au
prix d'une portée légèrement réduite. Le RE-ADSL (Reach Extended ADSL) améliore la
portée en zones rurales éloignées au détriment du débit maximal.
⚠ ADSL — en voie d'extinction
En France, l'ADSL est progressivement fermé dans les zones couvertes par la fibre optique (FTTH).
Orange a annoncé l'arrêt du réseau cuivre entre 2025 et 2030 selon les communes, au profit du
FTTH. Les abonnés ADSL dans les zones non encore fibrées bénéficient du VDSL2 (jusqu'à 100 Mbps)
si la ligne est courte.

3.
Fig. 6 — Architecture des réseaux d'accès fibre : FTTH, FTTB, FTTN
Le déploiement des réseaux d'accès à très haut débit consiste à rapprocher la fibre
optique de l'abonné (FTTx — Fiber to the x) :
FTTH (Fiber to the Home) : la fibre est amenée directement jusqu'au logement de
l'abonné. Solution offrant les meilleures performances (1 à 10 Gbps). C'est le choix
retenu en France après concertation entre opérateurs.
FTTB (Fiber to the Building) : la fibre arrive en pied d'immeuble, la partie
terminale restant une paire de cuivre (VDSL2). Débit jusqu'à 300 Mbps.
FTTN/FTTC (Fiber to the Node/Cabinet) : la fibre arrive au sous-répartiteur de
quartier, la partie terminale (quelques centaines de mètres) restant en cuivre avec
VDSL2.
FTTO (Fiber to the Office) : fibre dédiée jusqu'aux locaux professionnels, avec
garantie de débit et SLA (Service Level Agreement).
? Notes

IV – INTERNET 87
a)
En France, c'est la technologie PON (Passive Optical Network) qui est utilisée par les
opérateurs. La bande passante d'une fibre est partagée entre plusieurs abonnés (32 ou
64) grâce à des coupleurs optiques passifs (sans alimentation électrique).
Plusieurs normes PON sont disponibles :
Norme Abonnés / fibre Débit descendant Débit montant
GPON (ITU-T G.984) 64 2,5 Gbps 1,2 Gbps
10G-EPON (IEEE 802.3av) 32 10 Gbps 1,2 Gbps
XGS-PON (ITU-T G.9807) 64 10 Gbps 10 Gbps
(symétrique)
50G-PON (émergent) 64 50 Gbps 50 Gbps
4.
i XGS-PON et symétrie
Le XGS-PON (XGS = 10 Gigabit-capable Symmetric) permet d'avoir des flux montants et descendants
symétriques à 10 Gbps sur la même fibre. C'est la norme déployée par les opérateurs français depuis
2022 pour les nouvelles installations. Les offres commerciales « fibre 8 Gbps » ou « fibre 2 Gbps »
correspondent à des accès XGS-PON avec débits garantis partiels.
La connexion par satellite est utilisée dans les zones sans infrastructure terrestre (zones
blanches rurales, maritime, aviation).
Deux générations coexistent :
Satellites géostationnaires (GEO) : en orbite à 36 000 km (Eutelsat, SES, Viasat).
Débit de 50 à 100 Mbps, mais latence élevée (~600 ms aller-retour) incompatible
avec les jeux en ligne et certaines applications temps réel.
Satellites en orbite basse (LEO) : constellations à 500–600 km d'altitude
(Starlink/SpaceX : >6 000 satellites, OneWeb, Amazon Kuiper). Débit de 50 à 500
Mbps, latence faible (20–40 ms), couverture mondiale. Starlink déployé en France
depuis 2021, particulièrement adapté aux zones rurales non fibrées.
Starlink et la révolution des satellites LEO
La constellation Starlink (SpaceX) a radicalement changé l'équation du satellite : avec plus de
6 000 satellites en orbite basse, elle offre une couverture mondiale avec des performances
proches de l'ADSL (50–500 Mbps, latence 20–40 ms). En France, Starlink est éligible à des
dispositifs de financement pour les zones sans couverture haut débit. Les prochaines
générations (Starlink V2, avec lasers inter-satellites) visent des débits de 1–10 Gbps.
? Notes

5.
Les réseaux mobiles 4G LTE (depuis 2012 en France) et 5G NR (depuis 2020) offrent des
connexions Internet haut débit sans fil, utilisables comme accès principal (forfait data
illimité + routeur 4G/5G) ou comme solution de secours. Débits typiques : 4G 20–150
Mbps, 5G sub-6 GHz 100 Mbps–1 Gbps, 5G mmWave jusqu'à 10 Gbps. La couverture
4G couvre plus de 99% de la population française (obligations de couverture ARCEP).
Un fournisseur d'accès Internet (FAI ou ISP — Internet Service Provider) est un prestataire
qui dispose d'une liaison permanente sur le réseau Internet et propose à ses clients,
moyennant abonnement, d'utiliser son infrastructure pour se connecter à Internet. Il gère
également les services associés : adresses email, hébergement web, voix sur IP (VoIP),
télévision sur IP (IPTV).
1.
Fig. 7 — Rôle du FAI : intermédiaire entre l'utilisateur et le serveur distant
Le FAI réalise le transfert de données entre Internet et l'utilisateur selon le schéma
suivant :
• L'utilisateur émet une requête (ex. : accès à un site web).
• La requête est transmise au FAI qui va interroger, via le réseau Internet, le
serveur concerné.
• Le FAI retransmet à l'utilisateur la réponse reçue du serveur distant.
Le FAI dispose d'une connexion à Internet via des points d'échange (IX — Internet
Exchange) où il interconnecte son réseau avec d'autres opérateurs (peering) ou via des
accords de transit.
? Notes

IV – INTERNET 89
2.
En France, quatre opérateurs nationaux dominent le marché (Orange, Bouygues Telecom,
Free…), assurant une couverture nationale et un minimum de qualité de service. Des
opérateurs virtuels (MVNO et MVNE) utilisent leurs réseaux pour proposer des offres
alternatives.
Les critères de choix d'un FAI sont :
3.
• La couverture locale : zone urbaine ou rurale, éligibilité à la fibre FTTH, distance au
NRA pour l'ADSL, disponibilité de la 5G.
• Les performances technologiques : débit descendant/montant garanti ou « jusqu'à »,
latence, taux de disponibilité (SLA).
• Les offres tarifaires : frais d'installation, prix de l'abonnement mensuel, équipements
fournis (box multiservices), engagement minimum.
• Les services inclus : téléphonie illimitée, nombre de chaînes TV, décodeur 4K, options
cloud de stockage.
i RIP — Réseaux d'Initiative Publique
La loi de 2004 a introduit dans le code général des collectivités territoriales le RIP (Réseau d'Initiative
Publique) afin de garantir l'utilisation partagée du réseau dans les zones non rentables
commercialement. Ces réseaux, mis en place et gérés par des collectivités locales via des délégations
de service public (DSP), permettent aux opérateurs alternatifs d'y déployer leurs services. Le plan
France Très Haut Débit vise la couverture FTTH de 100% du territoire français d'ici 2025–2027.
Technologie Débit typique Zones Remarques
FTTH (fibre) 500 Mbps – 8
Gbps
Zones denses et
péri-urbaines
Solution recommandée
VDSL2 (cuivre
court)
Jusqu'à 100
Mbps
Lignes courtes < 1
km
Transition avant fibre
ADSL2+ Jusqu'à 24 Mbps Zones rurales encore
cuivre
En extinction progressive
4G fixe 30–200 Mbps Zones blanches fibre Box 4G en alternative
5G fixe (FWA) 100 Mbps – 1
Gbps
Zones 5G déployées
Déploiement en cours
Satellite LEO
(Starlink)
50–500 Mbps Partout, même
rural/montagne
Latence 20–40 ms
Câble coaxial
(docsis)
Jusqu'à 1 Gbps Zones câblées (SFR) Rare en France

La connexion à Internet expose les systèmes informatiques à de nombreuses menaces.
La sécurité est primordiale car elle assure l'intégrité, la confidentialité et la disponibilité
des informations. La sécurité doit être envisagée en couches complémentaires :
protection des postes de travail, filtrage réseau, sensibilisation des utilisateurs et mise à
jour continue.
1.
Un malware (malicious software — logiciel malveillant) est tout programme informatique
conçu pour nuire à un système ou à son utilisateur. On distingue plusieurs catégories :
Virus : programme qui s'auto-réplique en s'attachant à des fichiers hôtes légitimes.
Il s'active quand le fichier infecté est exécuté.
• Virus de boot (virus système) : infecte le secteur de démarrage (MBR/VBR).
Difficile à éliminer, cause des dysfonctionnements système graves.
• Virus de fichiers : infecte les fichiers exécutables (.exe, .com). S'active à
l'exécution du programme hôte.
• Virus macro : se propage via les macros des documents Office (Word, Excel).
Se copie dans le modèle global (NORMAL.DOT) et infecte tous les documents
créés ensuite.
• Virus de script : utilise les langages de script (VBScript, JavaScript) pour se
propager via les emails et navigateurs.
Vers (Worms) : contrairement aux virus, les vers n'ont pas besoin d'infecter un
fichier pour se reproduire. Ils se propagent de manière autonome via les
connexions réseau, exploitant des vulnérabilités ou les carnets d'adresses email.
Très rapides à se propager (WannaCry a infecté 230 000 machines en 24h en 2017).
Chevaux de Troie (Trojans) : se dissimulent à l'intérieur d'un programme légitime.
Actif dès l'utilisation du programme hôte. Variante : la bombe logique s'active à une
date précise ou selon des conditions particulières.
Ransomwares (rançongiciels) : chiffrent l'intégralité des fichiers de l'ordinateur et
des partages réseau accessibles, rendant le système inutilisable. La victime doit
payer une rançon en cryptomonnaie (intraçable) pour obtenir la clé de
déchiffrement — qui n'est pas toujours fournie. Les attaques par ransomware
ciblent de plus en plus les entreprises, hôpitaux et collectivités (rançons de plusieurs
millions d'euros).
Spywares / Adwares : collectent des informations (cookies, mots de passe,
habitudes de navigation, coordonnées bancaires) et les transmettent à des serveurs
distants à des fins malveillantes ou publicitaires.
Rootkits : se dissimulent au niveau du système d'exploitation ou du BIOS/UEFI,
rendant leur détection très difficile. Permettent un accès persistant et furtif à la
machine compromise.

IV – INTERNET 91
2.
L'antivirus est un outil indispensable pour toute machine connectée à Internet.
Les solutions modernes combinent deux méthodes complémentaires :
• Détection par signatures : comparaison des fichiers et processus à une base
de données de signatures de malwares connus. Efficace contre les menaces
connues, nécessite des mises à jour quotidiennes.
• Détection comportementale (heuristique) : analyse le comportement des
programmes pour détecter des activités suspectes (chiffrement massif de fichiers,
connexions inattendues) - efficace contre les nouvelles menaces (zero-day).
Composants d'une protection antivirale complète :
• Protection en temps réel (résident) : surveille en permanence tous les fichiers et
processus qui s'activent dans l'ordinateur. Représenté par une icône dans la
zone de notification.
• Analyse planifiée : analyse complète de la mémoire et des supports de
stockage (hebdomadaire recommandé).
• Mise à jour automatique des définitions : indispensable — sans mise à jour,
l'efficacité décroit exponentiellement face aux nouvelles menaces.
• Modules complémentaires : antispam, protection bancaire, contrôle parental,
gestionnaire de mots de passe.
3.
? Bonnes pratiques de sécurité personnelle
Installer un antivirus réputé et le maintenir à jour. Programmer une analyse complète
hebdomadaire. Ne jamais ouvrir les pièces jointes d'emails non sollicités. Méfier des faux antivirus
(scareware) qui affichent de fausses alertes pour vous pousser à installer le malware. Utiliser
l'authentification à deux facteurs (2FA) sur tous les comptes importants. Sauvegarder régulièrement
ses données (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site).
Un pare-feu (firewall) est un système ou groupe de systèmes qui renforce la sécurité
entre le réseau interne et Internet. Il constitue le point de centralisation du trafic réseau
entrant et sortant, et applique des règles de filtrage définissant ce qui est autorisé ou interdit.
Le pare-feu détermine :
• Quels services internes sont accessibles depuis l'extérieur (ex. : serveur web
public sur port 443, mais pas accès SSH direct).
• Quels éléments externes peuvent accéder aux services internes autorisés
(filtrage par adresse IP source, géo-blocage).
• Quels services externes sont accessibles depuis les machines internes (ex. :
autoriser HTTP/HTTPS, bloquer les protocoles P2P).
? Notes

a)
Pare-feu à filtrage de paquets (stateless) : analyse chaque paquet
individuellement selon les adresses IP et ports (niveaux 3 et 4 OSI). Simple et rapide,
mais sans contexte de connexion. ACL (Access Control Lists) des routeurs.
Pare-feu à état (stateful) : maintient une table d'état des connexions TCP/UDP
établies. Autorise le trafic de retour correspondant aux connexions légitimes initiées
depuis l'intérieur. Standard pour les pare-feux modernes.
Pare-feu applicatif (WAF — Web Application Firewall) : inspecte le contenu des
requêtes jusqu'au niveau 7 (application). Peut comprendre et filtrer le trafic
HTTP/HTTPS, SQL, XML pour détecter les injections SQL, XSS, etc.
NGFW (Next Generation Firewall) : combine filtrage stateful, inspection SSL/TLS,
identification des applications (App-ID), prévention des intrusions (IPS), sandboxing
des fichiers suspects, et threat intelligence en temps réel. Exemples : Palo Alto,
Fortinet, Cisco Firepower.
Critères de sélection d'un pare-feu :
• Niveau de protection (liste des attaques contrées, inspection SSL/TLS).
• Types d'authentification supportés (LDAP, Active Directory, certificats).
• Débit maximal (throughput) et nombre de connexions simultanées.
• Options VPN intégrées (IPsec, SSL VPN, SD-WAN).
• Flexibilité des politiques de sécurité et facilité d'administration.
• Évolutivité et support constructeur (licences de mise à jour des signatures).
i DMZ — Zone Démilitarisée
La DMZ (DeMilitarized Zone) est un segment réseau intermédiaire entre Internet et le réseau
interne, hébergeant les serveurs accessibles depuis l'extérieur (web, mail, DNS). Elle est protégée par
deux pare-feux : l'un entre Internet et la DMZ, l'autre entre la DMZ et le réseau interne. Ainsi, même
si un serveur DMZ est compromis, le réseau interne reste protégé.
4.
Spam : messages électroniques non sollicités (publicités, arnaques) envoyés en
masse. Ils peuvent contenir des virus, des liens vers des faux sites (phishing) ou
être simplement gênants par leur volume. Les filtres antispam modernes
(heuristiques + IA + listes noires) bloquent > 99% des spams avant qu'ils n'atteignent
la boîte de réception.
Phishing (hameçonnage) : tentative d'usurpation d'identité par email ou SMS
(smishing). L'attaquant se fait passer pour une entité de confiance (banque,
opérateur, administration) pour récupérer des identifiants, coordonnées bancaires
ou pour faire exécuter un malware. Le spear phishing cible une personne ou
organisation spécifique avec un message personnalisé.
Vishing : phishing par téléphone. L'attaquant appelle la victime en se faisant
passer pour un support technique, une banque ou une administration.
Ingénierie sociale : manipulation psychologique pour amener un utilisateur à
divulguer des informations confidentielles ou à effectuer des actions compromettant
la sécurité. Le facteur humain est le maillon le plus faible de la sécurité.

IV – INTERNET 93
5.
Le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais), entré en
vigueur en mai 2018, encadre à l'échelle européenne le traitement des données
personnelles.
Il impose aux organisations (entreprises, administrations) :
• La transparence : informer les utilisateurs de la collecte et de l'utilisation de
leurs données.
• Le consentement explicite pour toute collecte de données non strictement
nécessaire au service.
• Le droit d'accès, de rectification, d'effacement (« droit à l'oubli ») et de
portabilité des données.
• La minimisation des données : ne collecter que ce qui est nécessaire (privacy
by design).
• La notification des violations de données à l'autorité compétente (CNIL en
France) dans les 72 heures.
• Des sanctions pouvant atteindre 4% du chiffre d'affaires mondial annuel ou 20
millions d'euros.
Internet permet aux utilisateurs d'accéder à de nombreux services et ordinateurs du
monde entier. Ces services s'appuient sur des protocoles standardisés de la suite TCP/IP
et opèrent au niveau de la couche application du modèle OSI. Chaque service utilise un
ou plusieurs ports TCP/UDP bien définis.
1.
L'email est l'outil Internet le plus largement utilisé depuis l'origine. Il permet aux utilisateurs
de communiquer de manière asynchrone. Les messages peuvent être envoyés à des
individus ou à des groupes via des listes de diffusion (mailing lists). La caractéristique
principale de l'email est qu'il est adressé à un utilisateur spécifique (identifié par son
adresse : utilisateur@domaine.tld) sur un hôte spécifique.
Architecture d'un système de messagerie :
Protocoles d'envoi : SMTP (Simple Mail Transfer Protocol, port 25/587/465) assure
le transfert des emails entre serveurs et depuis le client vers le serveur d'envoi.
STARTTLS et SMTPS chiffrent la communication.
Protocoles de réception : POP3 (Post Office Protocol 3, port 110/995) télécharge
les messages et les supprime du serveur. IMAP4 (Internet Message Access Protocol,
port 143/993) synchronise les messages avec le serveur, permettant l'accès depuis
plusieurs appareils.
Sécurité email : SPF (Sender Policy Framework), DKIM (DomainKeys Identified
Mail) et DMARC permettent de lutter contre l'usurpation d'identité (spoofing) et le
spam. S/MIME et PGP chiffrent et signent le contenu des messages.

2.
Le DNS (Domain Name System) est le système de résolution de noms d'Internet. Il traduit
les noms de domaine lisibles par l'homme (www.example.com) en adresses IP utilisables
par les ordinateurs (93.184.216.34). Sans DNS, il faudrait mémoriser les adresses IP de
tous les sites visités.
ARCHITECTURE DNS HIERARCHIQUE :
Serveurs racine (Root Servers) : 13 clusters de serveurs racine (a.root-servers.net
à m.root-servers.net) connaissent les serveurs autoritaires pour chaque TLD (Top
Level Domain).
Serveurs TLD (Top Level Domain) : gèrent les extensions (.com, .fr, .org, .net).
L'AFNIC gère le .fr.
Serveurs autoritaires : détiennent les enregistrements DNS pour un domaine
spécifique (A, AAAA, MX, CNAME, TXT, NS, SOA...).
Résolveurs récursifs (resolvers) : fournis par les FAI ou services tiers (Google
8.8.8.8, Cloudflare 1.1.1.1). Effectuent les requêtes pour le compte des clients et
mettent en cache les résultats.
DNSSEC, DoH et DoT
DNSSEC (DNS Security Extensions) ajoute des signatures cryptographiques aux réponses
DNS pour prévenir les attaques par empoisonnement de cache (cache poisoning). DoH
(DNS over HTTPS, RFC 8484) et DoT (DNS over TLS, RFC 7858) chiffrent les requêtes DNS
pour protéger la confidentialité des utilisateurs vis-à-vis de leur FAI. Ces protocoles sont
supportés par Firefox, Chrome, Windows 11 et les résolveurs publics modernes.
3.
Le World Wide Web (inventé par Tim Berners-Lee en 1991) est le service Internet le plus
visible. Il repose sur trois technologies fondamentales :
HTML (HyperText Markup Language) : langage de description des pages web,
structurant le contenu (texte, images, formulaires, liens). HTML5 (2014) a ajouté des
capacités multimédia natives (audio, vidéo, canvas 2D/3D, WebSockets).
URL (Uniform Resource Locator) : adresse unique identifiant une ressource sur
le web (format : protocole://hôte:port/chemin?paramètres).
HTTP/HTTPS (HyperText Transfer Protocol) : protocole de transfert des pages
web (port 80 en HTTP, port 443 en HTTPS). HTTP/1.1 est le standard historique ;
HTTP/2 (2015) améliore les performances par multiplexage des requêtes ; HTTP/3
(2022) utilise le protocole QUIC (sur UDP) pour réduire la latence.
La sécurisation via TLS (Transport Layer Security) est désormais obligatoire (HTTPS) pour
tout site professionnel : elle assure la confidentialité (chiffrement), l'intégrité des données
et l'authentification du serveur via certificats X.509 (Let's Encrypt, DigiCert).
? Notes

IV – INTERNET 95
4.
FTP (File Transfer Protocol, ports 20/21) permet le transfert de fichiers entre un
client et un serveur distant. L'accès peut être anonyme (FTP public) ou authentifié
par mot de passe. FTP transmet les données en clair — non recommandé sur
Internet.
SFTP (SSH File Transfer Protocol) : transfert de fichiers via un tunnel SSH chiffré
(port 22). Recommandé pour tout transfert de données sensibles.
FTPS (FTP Secure) : FTP avec chiffrement TLS (port 990 implicite ou 21 explicite).
Nécessite une gestion des certificats côté serveur.
⚠ FTP — protocole obsolète pour les échanges sécurisés
FTP ne doit plus être utilisé pour transférer des fichiers sensibles sur Internet, car les identifiants et
les données transitent en clair. SFTP ou FTPS doivent être préférés. Pour le partage de fichiers grand
public, les services cloud (Dropbox, Google Drive, OneDrive, Nextcloud) ont largement remplacé FTP.
5.
Telnet (port 23) permet d'ouvrir une session distante sur un ordinateur hôte en tant que
terminal non intelligent, pour accéder à ses fichiers et exécuter ses programmes. Telnet
transmet toutes les données (y compris les mots de passe) en clair.
SSH (Secure Shell, port 22) : remplace entièrement Telnet avec chiffrement fort (AES,
ChaCha20), authentification par clé publique/privée (RSA, Ed25519) et intégrité des données
(HMAC). SSH permet également le tunneling de ports (port forwarding), le transfert de
fichiers (SFTP/SCP) et la création de tunnels VPN. C'est le standard pour l'administration
distante des serveurs Linux/Unix et des équipements réseau.
⚠ Telnet — obsolète et dangereux
Telnet ne doit plus jamais être utilisé pour l'administration de systèmes sur un réseau non sécurisé.
SSH a complètement remplacé Telnet depuis les années 2000. Les équipements réseau modernes
(switches, routeurs) désactivent Telnet par défaut et n'acceptent que SSH.
6.
Les usages d'Internet ont évolué vers des services cloud massivement centralisés :
Cloud computing (IaaS/PaaS/SaaS) : AWS (Amazon Web Services), Microsoft
Azure et Google Cloud Platform hébergent la majorité des services web mondiaux.
Le cloud offre élasticité, disponibilité et économies d'échelle. En 2024, plus de 60%
du trafic Internet mondial transite par des infrastructures cloud.
Streaming vidéo : Netflix (>250 millions d'abonnés), YouTube (>2 milliards
d'utilisateurs), Disney+, Amazon Prime Video. Le streaming vidéo représente
environ 65% du trafic Internet mondial. Les CDN (Content Delivery Networks —
Akamai, Cloudflare, Fastly) distribuent le contenu depuis des serveurs proches de
l'utilisateur pour réduire la latence.

Visioconférence : Zoom, Microsoft Teams, Google Meet ont explosé depuis 2020.
Utilisation de protocoles WebRTC (Web Real-Time Communication) pour les
communications peer-to-peer navigateur-à-navigateur sans plugin.
IoT et APIs : l'Internet des Objets génère un trafic croissant de données de
capteurs (MQTT, CoAP, HTTP/REST). Les APIs REST (JSON/HTTP) et GraphQL
permettent l'interconnexion entre services web. Plus de 9 milliards d'objets
connectés en 2024.
7.
Usenet est l'un des premiers systèmes de discussion en ligne apparu avant le Web
(1979). Il permet aux utilisateurs de se joindre à des milliers de groupes de discussion
(newsgroups) organisés par thèmes, utilisant le protocole NNTP (Network News Transfer
Protocol, port 119). Usenet était très populaire dans les années 1990 pour les échanges
techniques et académiques. Il est aujourd'hui largement remplacé par les forums web,
Reddit, Discord et les réseaux sociaux.
? Notes

V – PERSPECTIVES 97
V. PERSPECTIVES
Le paysage des réseaux informatiques connaît en 2025-2026 des mutations profondes et
simultanées, portées par la convergence de plusieurs révolutions technologiques :
l'intelligence artificielle, l'informatique quantique, la 5G/6G, l'edge computing et la
généralisation du cloud. Ces évolutions ne sont pas indépendantes les unes des autres —
elles se renforcent mutuellement et redessinent ensemble l'architecture, la gestion et la
sécurité des réseaux. Comprendre ces tendances est indispensable pour tout
professionnel des réseaux, qui devra y faire face dans les années à venir.
Cette section analyse chacune de ces grandes tendances en profondeur, en expliquant
non seulement ce qu'elles sont, mais pourquoi elles émergent, quels problèmes elles
résolvent, et quelles implications concrètes elles ont pour la conception et l'exploitation
des réseaux.
⚠ Attention
Les chiffres et projections de ce chapitre sont indicatifs et susceptibles d’évoluer rapidement
(sources 2023–2025).
L'intelligence artificielle s'impose progressivement comme la technologie la plus
transformatrice de la gestion réseau depuis l'invention du protocole TCP/IP. Pendant des
décennies, les réseaux ont été configurés, surveillés et dépannés manuellement par des
ingénieurs spécialisés. Cette approche atteint aujourd'hui ses limites face à la complexité
croissante des infrastructures : un réseau d'entreprise moderne peut compter des
centaines d'équipements, des milliers de liens, des dizaines d'applications critiques avec
des SLAs différents, et des millions d'événements de journalisation par jour. Aucun être
humain ne peut surveiller et optimiser un tel système en temps réel. L'IA apporte la
capacité de traiter ces volumes de données pour détecter des anomalies, prédire des
pannes et automatiser des actions correctives avec une rapidité et une précision
inaccessibles à un opérateur humain.
1.
AIOps (Artificial Intelligence for IT Operations) désigne l'application des techniques d'IA et
de machine learning à l'exploitation des systèmes IT et réseaux. L'objectif central est de
faire évoluer la gestion réseau d'un mode réactif, où l'on répond aux pannes après
qu'elles se sont produites et ont impacté les utilisateurs, vers un mode prédictif et
autonome, où les problèmes sont détectés et résolus avant même que les utilisateurs en
soient affectés.
La détection prédictive des pannes est l'une des applications les plus valorisées de
l'AIOps. Elle repose sur l'analyse en continu de séries temporelles de métriques
(utilisation CPU des équipements, taux d'occupation mémoire, latence des liaisons, taux de

perte de paquets, température des composants) à l'aide d'algorithmes de machine learning
tels que les réseaux de neurones récurrents LSTM (Long Short-Term Memory), les
modèles de prévision de séries temporelles Prophet, ou les méthodes de détection
d'anomalies par isolation forests. Ces algorithmes apprennent les comportements
normaux de l'infrastructure et signalent toute déviation significative, permettant d'intervenir
préventivement.
La corrélation d'événements résout un problème différent mais tout aussi critique : la
multiplication des alertes. Un réseau complexe peut générer des milliers d'alertes par
heure, la grande majorité étant des symptômes d'un même problème sous-jacent. Un
équipement cœur de réseau défaillant peut, par exemple, déclencher simultanément des
centaines d'alertes sur les équipements qui en dépendent. L'AIOps associe
automatiquement ces alertes corrélées, identifie la cause racine (Root Cause Analysis, RCA)
et ne présente à l'opérateur qu'un seul incident structuré avec son diagnostic. Cette
réduction du bruit d'alertes (alert fatigue) est essentielle pour maintenir l'efficacité des
équipes opérationnelles.
Au-delà de la détection, la remédiation autonome représente le stade le plus avancé de
l'AIOps. Le système n'alerte plus seulement, il agit : redémarrage automatique d'un
service défaillant, basculement sur un lien de secours, modification dynamique d'une
règle de qualité de service, isolation automatique d'un équipement dont le comportement
réseau indique une compromission. Ces actions sont encadrées par des runbooks
(procédures automatisées) validés au préalable par les équipes, limitant les risques
d'erreur.
Parmi les plateformes AIOps qui font référence sur le marché, Cisco ThousandEyes se
distingue par sa capacité à surveiller l'expérience réseau de bout en bout, depuis le poste
utilisateur jusqu'à l'application cloud en passant par le réseau de l'opérateur et Internet,
permettant de localiser précisément où dans la chaîne un problème se produit. Juniper
Mist AI apporte l'AIOps spécifiquement aux réseaux Wi-Fi et Ethernet Juniper, avec une
détection d'anomalies et une RCA automatique très appréciées des administrateurs.
Aruba Central (HPE) offre une gestion cloud avec AIOps pour les réseaux campus. Des
plateformes d'observabilité plus génériques comme Datadog, Dynatrace et New Relic
couvrent l'ensemble de l'infrastructure, du réseau aux applications.
Capacity planning prédictif
L'AIOps permet également un capacity planning (planification de capacité) prédictif : en
analysant les tendances historiques de croissance du trafic, les événements calendaires
(campagnes marketing, fêtes, rentrée scolaire) et les projets de l'entreprise, le système
prédit quand les liens ou les équipements atteindront leurs limites et recommande les
renforcements nécessaires avant que les performances ne se dégradent. Cette approche
remplace les audits de capacité semestriels par une surveillance continue et proactive.
? Notes

V – PERSPECTIVES 99
2.
L'Intent-Based Networking (IBN, réseau piloté par l'intention) représente une évolution
fondamentale dans la philosophie de configuration et de gestion des réseaux. Pendant
des décennies, configurer un réseau signifiait se connecter manuellement à chaque
équipement, ligne de commande par ligne de commande, pour définir les VLANs, les
règles de routage, les ACLs et les politiques de qualité de service. Cette approche est
laborieuse, source d'erreurs humaines, et surtout déconnectée des objectifs métier réels.
L'IBN renverse cette logique : l'administrateur exprime ce qu'il veut obtenir en termes
fonctionnels, et le système se charge de déterminer comment le réaliser et de le déployer
automatiquement sur l'ensemble du réseau.
Le cycle de fonctionnement de l'IBN s'articule en quatre étapes complémentaires.
La première est la capture de l'intention : l'administrateur décrit son objectif en
termes métier, par exemple « tous les utilisateurs du département Finance doivent
accéder au serveur ERP avec une latence maximale de 50 ms et une bande
passante garantie de 10 Mbps, et aucun autre département ne doit avoir accès à ce
serveur ». Cette intention peut être saisie via une interface graphique, des
formulaires structurés, ou de plus en plus via du langage naturel interprété par un
LLM.
La deuxième étape est la traduction : le système IBN traduit automatiquement
cette intention déclarative en configurations réseau concrètes, création des VLANs
appropriés, définition des ACLs de filtrage, configuration des règles QoS sur
chaque équipement concerné, paramétrage des politiques de segmentation.
La troisième étape est l'activation : ces configurations sont déployées
automatiquement sur tous les équipements du réseau via des protocoles
d'automatisation standardisés tels que NETCONF, RESTCONF ou OpenConfig,
sans intervention manuelle sur chaque équipement.
La quatrième étape, l'assurance, est peut-être la plus innovante : le système
vérifie en continu que le réseau réel respecte bien l'intention déclarée. Si un
événement, panne d'équipement, modification non autorisée, saturation d'un lien,
crée un écart entre l'état souhaité et l'état réel, le système alerte immédiatement et
peut appliquer des actions correctives automatiques pour rétablir la conformité.
Deux implémentations IBN font référence sur le marché. Cisco DNA Center (renommé
Catalyst Center) est la plateforme IBN de référence pour les réseaux d'entreprise. Elle
intègre la segmentation basée sur des groupes d'utilisateurs (SGT, Scalable Group Tags),
permettant de définir des politiques d'accès indépendantes de la topologie physique du
réseau. Juniper Apstra est une solution IBN orientée datacenter, construite autour d'un
modèle de données unifié appelé "blueprint" qui décrit l'état désiré du datacenter et valide
en temps réel la conformité du réseau à cet état déclaré.
? Notes

LLMs et configuration réseau en langage naturel
Les grands modèles de langage (LLM) commencent à être intégrés dans les interfaces
IBN pour permettre une configuration réseau en langage naturel. Cisco AI Assistant,
Juniper Marvis et Aruba Copilot utilisent des LLMs pour interpréter des requêtes comme «
bloque l'accès de la caméra de surveillance à Internet mais autorise-la à envoyer ses
images au serveur de stockage local » et les traduire en configurations réseau précises.
Cette approche abaisse considérablement le seuil de compétence technique nécessaire
pour administrer un réseau complexe.
3.
Le network slicing (découpage réseau) est l'une des capacités les plus innovantes de la 5G
Standalone (SA). Il permet de créer plusieurs réseaux virtuels indépendants, appelés
slices, sur la même infrastructure physique 5G, chacun étant optimisé pour un cas
d'usage spécifique avec des caractéristiques de performance garanties. Sans l'IA,
l'allocation des ressources entre ces slices serait statique et inefficace. L'IA pilote
l'allocation dynamique en temps réel, en redistribuant les ressources radio, de transport et
cœur de réseau selon la charge instantanée et les SLAs contractuels de chaque slice.
Trois grandes catégories de slices 5G correspondent aux cas d'usage définis par le
standard 3GPP.
Le slice eMBB (enhanced Mobile BroadBand) est optimisé pour le haut débit :
streaming vidéo 8K, téléchargement massif de fichiers, réalité virtuelle. L'IA y
maximise le débit agrégé en allouant dynamiquement les ressources radio
disponibles.
Le slice URLLC (Ultra-Reliable Low-Latency Communications) est optimisé
pour la latence ultra-faible, inférieure à 1 ms, destiné aux applications critiques que
sont la chirurgie robotisée à distance, les véhicules autonomes communicants et la
robotique industrielle en temps réel. L'IA y garantit les SLAs en prioritisant
systématiquement ce slice sur les autres en cas de congestion.
Le slice mMTC (massive Machine-Type Communications) est conçu pour
connecter un très grand nombre d'objets IoT à faible consommation d'énergie :
capteurs agricoles, compteurs intelligents, suivi logistique. L'IA y gère les cycles de
réveil et d'endormissement des millions de capteurs pour optimiser la
consommation du réseau radio.
i Network slicing 5G SA en France
Le network slicing 5G Standalone est déployé progressivement par les opérateurs français pour les
entreprises industrielles. Orange Business Services, SFR Business et Bouygues Telecom Entreprises
proposent des offres de network slicing privé pour les usines et les sites industriels souhaitant
bénéficier de garanties de qualité de service que le réseau 5G public partagé ne peut pas offrir.
? Notes

V – PERSPECTIVES 101
4.
Au-delà de l'AIOps et de l'IBN, les LLMs (Large Language Models, grands modèles de
langage) transforment plus largement la manière dont les ingénieurs réseau interagissent
avec les équipements et diagnostiquent les problèmes. Ces modèles, entraînés sur
d'immenses corpus de documentation technique, de bases de connaissances et de logs
réseau, peuvent aujourd'hui répondre à des questions complexes en langage naturel,
analyser des fichiers de configuration, détecter des erreurs de paramétrage et générer
automatiquement des scripts d'automatisation.
L'assistant Cisco AI Assistant for Security, intégré dans les plateformes Cisco XDR et
SecureX, analyse les incidents de sécurité, explique les alertes en langage naturel
compréhensible par les non-spécialistes, et propose des actions de remédiation
concrètes. L'assistant Juniper Marvis Virtual Network Assistant va plus loin encore dans le
diagnostic : il répond à des questions opérationnelles précises comme « Pourquoi les
utilisateurs de la salle de conférence A ont-ils une mauvaise expérience Wi-Fi ce matin ?
» et remonte automatiquement aux causes : canal radio saturé, point d'accès voisin en
cours de redémarrage, pic de consommation de bande passante par une application de
sauvegarde.
La génération automatique de code d'automatisation constitue un autre apport majeur des
LLMs pour les équipes réseau. Un ingénieur décrivant en français ce qu'il souhaite
automatiser, par exemple "vérifier chaque nuit que tous les switchs du réseau ont bien
leur port 80 désactivé et envoie un rapport par email", peut obtenir un script Ansible ou
Python fonctionnel en quelques secondes, que le LLM génère, documente et explique.
Cette capacité démocratise l'automatisation réseau dans des équipes qui ne disposent
pas de compétences de développement avancées.
L'analyse des logs de sécurité par LLM ouvre également des perspectives importantes.
Un fichier de log d'un pare-feu peut contenir des millions de lignes sur une seule journée.
Un LLM spécialisé peut analyser ce volume en quelques minutes, identifier des patterns
d'attaque subtils (tentatives de brute-force lentes, mouvements latéraux furtifs, exfiltration
de données par petits paquets), et produire un rapport structuré avec les incidents classés
par criticité, réduisant drastiquement le temps d'investigation des équipes SOC (Security
Operations Center).
? Notes

L'informatique quantique représente à la fois la menace la plus sérieuse jamais connue
pour la sécurité des communications numériques et, paradoxalement, une opportunité
pour développer de nouvelles formes de communications intrinsèquement sécurisées.
Comprendre cet enjeu est devenu indispensable pour les professionnels des réseaux, car
la migration des infrastructures vers des solutions résistantes aux ordinateurs quantiques
est un chantier qui doit s'engager maintenant, bien avant que les machines quantiques
capables de menacer les algorithmes actuels n'existent.
1.
Les ordinateurs quantiques exploitent des phénomènes de la mécanique quantique, la
superposition (un qubit peut représenter simultanément 0 et 1) et l'intrication (deux qubits
peuvent être corrélés indépendamment de la distance), pour effectuer certaines classes de
calculs exponentiellement plus rapidement que les meilleurs ordinateurs classiques. Ce
n'est pas simplement une question de vitesse : certains problèmes mathématiques qui
nécessiteraient des milliards d'années sur les ordinateurs actuels pourraient être résolus
en quelques heures par un ordinateur quantique suffisamment puissant.
L'algorithme de Shor, proposé par le mathématicien Peter Shor en 1994, est au cœur
de la menace. Il permet théoriquement à un ordinateur quantique de factoriser en temps
polynomial des grands entiers, c'est-à-dire de trouver les facteurs premiers d'un nombre
de plusieurs centaines de chiffres en un temps raisonnable.
Or, c'est précisément ce problème de factorisation qui fonde la sécurité de
l'algorithme RSA, utilisé pour chiffrer la quasi-totalité des communications sur Internet :
• connexions HTTPS
• VPN IPsec
• SSH
• signatures de certificats numériques
• protocoles TLS.
Un ordinateur quantique capable d'exécuter l'algorithme de Shor à grande échelle
rendrait ces protections instantanément obsolètes.
L'algorithme de Grover, autre algorithme quantique fondamental, réduit par deux la
sécurité effective des algorithmes de chiffrement symétrique. Concrètement, AES-128
offrirait contre un attaquant quantique une sécurité équivalente à seulement 64 bits,
considérée comme insuffisante. La parade est simple : doubler la taille des clés
symétriques. AES-256 reste ainsi sûr même contre les ordinateurs quantiques, à
condition que son implémentation soit correcte.
L'état de l'art en 2025 montre que les ordinateurs quantiques existants sont encore loin de
pouvoir menacer les cryptosystèmes actuels. Les machines disponibles sont des
systèmes NISQ (Noisy Intermediate-Scale Quantum) : elles comportent entre quelques
dizaines et quelques centaines de qubits physiques, mais ces qubits sont très sensibles
aux perturbations extérieures (bruit quantique) et n'incorporent pas encore de correction
d'erreurs quantiques efficace. Le processeur Willow de Google (105 qubits, 2024) a

V – PERSPECTIVES 103
démontré une supériorité quantique sur des tâches spécifiques de calcul, mais ces tâches
n'ont pas d'application cryptographique directe. Les experts estiment qu'un ordinateur
quantique capable de casser RSA-2048 nécessiterait environ 4 000 qubits logiques faulttolerant,
ce qui correspond à des millions de qubits physiques avec correction d'erreurs,
un horizon estimé entre 2030 et 2040.
⚠ La stratégie « Harvest Now, Decrypt Later »
Même si les ordinateurs quantiques capables de casser RSA n'existent pas encore, des acteurs
malveillants (États-nations, groupes criminels sophistiqués) collectent dès aujourd'hui les
communications chiffrées en transit, dans l'intention de les déchiffrer ultérieurement quand les
ordinateurs quantiques seront disponibles. Cette stratégie « Harvest Now, Decrypt Later » (capturer
maintenant, déchiffrer plus tard) justifie une migration urgente vers la cryptographie post-quantique
pour toute donnée ayant une durée de sensibilité supérieure à 5-10 ans : secrets industriels, données
médicales, communications diplomatiques, propriété intellectuelle.
2.
La cryptographie post-quantique (PQC) désigne l'ensemble des algorithmes
cryptographiques conçus pour résister aux attaques d'un ordinateur quantique, tout en
fonctionnant sur des ordinateurs classiques ordinaires. Contrairement à la cryptographie
quantique (qui exige une infrastructure physique spéciale), la PQC est un ensemble
d'algorithmes logiciels qui peuvent être déployés sur les infrastructures existantes,
serveurs, routeurs, navigateurs, smartphones, simplement par mise à jour logicielle.
Ces algorithmes reposent sur des problèmes mathématiques différents de ceux menacés
par l'algorithme de Shor. Plutôt que la factorisation d'entiers ou le logarithme discret, ils
s'appuient sur des problèmes liés aux réseaux euclidiens (lattice-based cryptography), aux
codes correcteurs d'erreurs, aux fonctions de hachage ou aux systèmes multivariables.
Ces problèmes sont considérés difficiles même pour les ordinateurs quantiques, au moins
avec notre compréhension actuelle de la mécanique quantique.
Le NIST américain a conduit entre 2016 et 2024 un long processus de standardisation
internationale des algorithmes PQC, avec participation mondiale des cryptographes
académiques et industriels. En août 2024, le NIST a publié les premiers standards
officiels de cryptographie post-quantique. Le standard FIPS 203 (ML-KEM, issu de
l'algorithme CRYSTALS-Kyber) fournit un mécanisme d'encapsulation de clés (KEM) basé
sur les réseaux euclidiens, qui remplacera RSA et ECDH pour l'échange de clés dans
TLS. Le standard FIPS 204 (ML-DSA, issu de CRYSTALS-Dilithium) fournit un schéma de
signature numérique pour remplacer RSA et ECDSA dans les certificats. Le standard
FIPS 205 (SLH-DSA, issu de SPHINCS+) fournit une alternative de signature basée sur les
fonctions de hachage, dont la sécurité repose sur des hypothèses mathématiques plus
conservatives.
La migration vers la PQC est un chantier de longue haleine qui ne peut pas s'improviser.
Les organisations doivent d'abord conduire un inventaire cryptographique complet :
identifier tous les systèmes utilisant des algorithmes vulnérables (RSA, ECDSA, ECDH, DH),
les données qu'ils protègent et leur durée de sensibilité. Puis vient le déploiement
d'algorithmes hybrides, qui combinent l'algorithme classique existant et le nouvel
algorithme PQC en parallèle : si l'un est compromis, l'autre protège encore. Cette

approche hybride permet une migration progressive sans casser la compatibilité avec les
systèmes qui ne supportent pas encore la PQC. Enfin, la dépréciation progressive des
algorithmes classiques s'échelonnera entre 2026 et 2030 pour les infrastructures
critiques.
3.
i État du déploiement PQC en 2025
Les navigateurs Chrome et Firefox testent les algorithmes hybrides TLS (X25519Kyber768, combinant
Curve25519 et Kyber). Cloudflare, Google et Amazon CloudFront supportent expérimentalement le
PQC dans TLS 1.3. L'ANSSI française a publié ses recommandations de migration PQC en 2024,
prescrivant l'adoption des standards NIST. La NSA américaine impose la migration PQC pour les
systèmes de défense à partir de 2025.
La QKD (Quantum Key Distribution, distribution quantique de clés) est une approche
fondamentalement différente de la PQC. Tandis que la PQC est un ensemble
d'algorithmes logiciels dont la sécurité repose sur des hypothèses mathématiques (aussi
solides soient-elles), la QKD exploite les lois physiques de la mécanique quantique pour
garantir la sécurité des échanges de clés de manière prouvée par la physique : toute
tentative d'interception d'une clé QKD modifie inévitablement les photons transmis,
rendant l'interception détectable. Autrement dit, la QKD ne repose pas sur la difficulté de
résoudre un problème mathématique, mais sur l'impossibilité physique de mesurer un état
quantique sans le perturber.
Le protocole BB84, conçu par Charles Bennett et Gilles Brassard en 1984, est le
protocole QKD fondateur. Il encode des bits de clé sur la polarisation de photons uniques
envoyés sur une fibre optique. Émetteur et récepteur comparent publiquement leurs
bases de mesure (sans révéler les valeurs) pour extraire une clé commune. Si un espion
(Eve) a intercepté les photons pour les mesurer, ses perturbations introduisent des erreurs
détectables dans la clé, révélant la compromission. Le protocole E91 (Arthur Ekert, 1991)
utilise quant à lui des paires de photons intriqués pour une sécurité encore plus robuste
théoriquement.
Les déploiements QKD dans le monde illustrent l'intérêt des États pour cette technologie.
La Chine a déployé le réseau QKD le plus étendu au monde, reliant Pékin à Shanghai sur
2 000 km et opérant le satellite quantique Micius depuis 2016, qui a démontré la QKD à
plus de 7 000 km via l'espace. L'Union Européenne finance le projet EuroQCI (European
Quantum Communication Infrastructure) pour déployer un réseau paneuropéen de
communication quantique sécurisée d'ici 2027. En France, Orange, Thales et le CEA
conduisent des projets pilotes de réseaux QKD métropolitains.
La QKD présente cependant des limitations importantes qui en font aujourd'hui une
solution complémentaire à la PQC plutôt qu'un remplacement universel. La distance
maximale sur fibre optique sans répéteur quantique est typiquement limitée à une
centaine de kilomètres, au-delà de laquelle les pertes de photons deviennent
rédhibitoires. Les répéteurs quantiques, qui devraient pallier cette limitation, sont encore à
l'état de recherche. Le coût des équipements QKD (plusieurs dizaines à centaines de milliers
d'euros par nœud) et la nécessité d'une infrastructure dédiée limitent le déploiement aux
communications gouvernementales et financières les plus sensibles.

V – PERSPECTIVES 105
4.
Au-delà de la QKD point à point, la recherche travaille sur un concept beaucoup plus
ambitieux : l'Internet quantique, un réseau permettant de distribuer l'intrication quantique
entre nœuds distants à travers le monde. Un tel réseau permettrait non seulement des
communications parfaitement sécurisées de bout en bout, mais aussi le calcul quantique
distribué, permettant à plusieurs ordinateurs quantiques de coopérer sur des calculs
impossibles pour une machine individuelle, et la métrologie quantique, avec des horloges
atomiques synchronisées à distance avec une précision inégalée.
Les composants d'un Internet quantique présentent des défis scientifiques considérables.
Les mémoires quantiques doivent stocker des états quantiques pendant des durées
suffisamment longues pour permettre la synchronisation des nœuds. Les répéteurs
quantiques doivent amplifier les signaux quantiques sans les mesurer (ce qui détruirait
l'information quantique), en utilisant des techniques d'entrelacement par swapping et de
purification d'intrication. Les convertisseurs de fréquence quantiques doivent adapter les
longueurs d'onde des photons aux fenêtres de transmission optimales des fibres
optiques. Les premières démonstrations de répéteurs quantiques fonctionnels ont eu lieu
en 2023-2024 dans les laboratoires de TU Delft aux Pays-Bas et d'Harvard aux États-
Unis, marquant des étapes importantes vers cet objectif à long terme.
i Quantum Flagship européen
L'Union Européenne finance le programme Quantum Flagship avec un milliard d'euros sur la période
2018-2028, incluant des projets de réseaux quantiques, d'ordinateurs quantiques, de capteurs
quantiques et de simulation quantique. La Commission Européenne considère les réseaux
quantiques comme une infrastructure stratégique pour la souveraineté numérique de l'Europe, au
même titre que les câbles sous-marins ou les satellites Galileo.
Pendant deux décennies, l'évolution dominante du secteur informatique a été la
centralisation : les applications, les données et les traitements ont migré vers des
datacenters de plus en plus grands et de plus en plus éloignés des utilisateurs finaux,
c'est le cloud computing. Cette centralisation présente des avantages considérables en
termes d'économies d'échelle, de disponibilité et de facilité de gestion. Mais elle se heurte
à une contrainte physique insurmontable : la vitesse de la lumière. La latence
incompressible entre un terminal et un datacenter situé à plusieurs centaines de
kilomètres, typiquement 20 à 100 ms aller-retour, est invisible pour une page web ou un
email, mais rédhibitoire pour une application chirurgicale à distance, un véhicule
autonome qui doit freiner en moins de 10 ms, ou une ligne de production robotisée
nécessitant une synchronisation à la milliseconde.
L'edge computing (informatique en périphérie, ou informatique de bordure) apporte la
réponse à cette contrainte en rapprochant le traitement des données de leur source.
Plutôt que d'envoyer toutes les données vers le cloud central pour les traiter et renvoyer
les résultats, on traite localement tout ce qui peut l'être, et on n'envoie vers le cloud que
les données agrégées ou les informations réellement utiles à une analyse globale. Cette
approche réduit la latence, consomme moins de bande passante réseau, préserve la

confidentialité des données sensibles (qui ne quittent pas les locaux de l'entreprise) et
permet un fonctionnement dégradé en cas de coupure de la connexion cloud.
1.
L'edge computing ne désigne pas un emplacement unique mais une hiérarchie de
niveaux de traitement, chacun offrant un compromis différent entre la proximité à la
source et la puissance de calcul disponible.
Le DEVICE EDGE représente le traitement directement sur l'objet source : un
microcontrôleur embarqué dans un capteur industriel, un processeur dédié dans
une caméra de surveillance intelligente, ou une puce de traitement du signal dans
un équipement médical portable. Le domaine TinyML (machine learning embarqué)
permet d'exécuter des modèles d'inférence IA directement sur ces microcontrôleurs
à très faible consommation d'énergie, pour des applications comme la détection de
mots-clés vocaux, la classification d'images ou la détection d'anomalies vibratoires
sur des machines industrielles.
Le NEAR EDGE correspond aux passerelles IoT, serveurs de rack locaux et PC
industriels situés dans l'usine, le bâtiment ou la station de base 5G. Ces
équipements peuvent agréger et prétraiter les données de dizaines à milliers de
capteurs, exécuter des algorithmes de contrôle en boucle fermée avec des latences
de quelques millisecondes, et stocker localement les données d'une journée de
production avant de les envoyer vers le cloud en dehors des heures de pointe.
Le FAR EDGE, ou REGIONAL EDGE, correspond à des points de présence (PoP)
situés à proximité des utilisateurs : datacenters de périphérie de quelques dizaines
de serveurs déployés par les opérateurs télécoms dans les villes moyennes, colocations
proches des zones industrielles, ou nœuds MEC (Multi-Access Edge
Computing) intégrés aux stations de base 5G. Ces nœuds offrent des latences de 5
à 15 ms et peuvent héberger des applications exigeantes comme le rendu
graphique 3D pour la réalité augmentée, l'analyse vidéo en temps réel ou le cache
de contenu local.
Enfin, le cloud central, les hyperscalers AWS, Azure, Google Cloud, reste indispensable
pour l'entraînement des modèles IA sur de grands volumes de données, les analyses
globales agrégées, le stockage à long terme et les applications qui ne nécessitent pas de
faible latence. Dans une architecture moderne, les quatre niveaux coexistent et travaillent
de concert, chaque traitement étant exécuté au niveau le plus approprié.
? Notes

V – PERSPECTIVES 107
2.
Le MEC (Multi-Access Edge Computing), standardisé par l'ETSI depuis 2014, est une
architecture qui place des capacités de calcul et de stockage directement à la périphérie
du réseau d'accès 5G, physiquement dans ou à proximité immédiate des stations de base
(gNB). Cette proximité permet d'offrir des latences inférieures à 5 ms entre les applications
et les équipements connectés, ce qui est impossible à atteindre en passant par le cœur
du réseau et le cloud.
Les applications MEC les plus prometteuses se concentrent dans trois domaines.
Dans l'industrie 4.0, les caméras de vision artificielle positionnées sur les lignes
de production envoient leurs flux vidéo au serveur MEC de l'usine, qui effectue en
temps réel le contrôle qualité par réseau de neurones convolutifs, détecte les
défauts à la milliseconde et déclenche l'éjection des pièces défectueuses. La
latence vers le cloud serait trop élevée pour une ligne de production cadencée à
plusieurs dizaines de pièces par seconde.
Dans le domaine des véhicules connectés, le standard V2X (Vehicle to
Everything) permet aux véhicules de communiquer avec l'infrastructure routière, les
feux de circulation et les autres véhicules. Le serveur MEC situé à proximité d'un
carrefour peut agréger les informations de tous les véhicules approchants, calculer
en moins de 10 ms les recommandations de vitesse ou de trajectoire pour éviter les
collisions, et les retransmettre aux véhicules. Une latence de 50 ms via le cloud
central ne permettrait pas cette réactivité vitale.
La réalité augmentée d'entreprise tire également profit du MEC : des lunettes AR
légères (Microsoft HoloLens, RealWear) qui ne disposent pas de puissance de calcul
suffisante pour le rendu 3D complexe délèguent ce traitement au serveur MEC, qui
renvoie le flux vidéo enrichi en quelques millisecondes. Un technicien de
maintenance peut ainsi voir en superposition les schémas de câblage d'une
machine sans avoir à consulter une documentation papier.
3.
Les CDN (Content Delivery Networks, réseaux de distribution de contenu) sont des réseaux
mondiaux de serveurs distribués qui mettent en cache les contenus statiques et
dynamiques au plus proche des utilisateurs finaux. Nés dans les années 1990 pour
distribuer des pages web et des images, ils sont devenus en 2025 des infrastructures
critiques qui transportent plus de 70 % du trafic Internet mondial, incluant le streaming
vidéo, les APIs, les mises à jour logicielles et la protection contre les attaques DDoS.
Le principe fondamental d'un CDN est simple : plutôt que tous les utilisateurs du monde
entier se connectent au serveur d'origine d'une application, ce qui créerait une latence
élevée pour les utilisateurs distants et une surcharge massive du serveur, le CDN réplique
le contenu sur des centaines ou milliers de points de présence (PoP) répartis
géographiquement. Quand un utilisateur demande une ressource, il est redirigé vers le
PoP le plus proche, qui lui répond en quelques millisecondes depuis son cache local.
Cloudflare illustre l'évolution récente vers des plateformes d'edge computing complètes.
? Notes

Avec plus de 300 PoPs dans plus de 100 pays, Cloudflare combine la distribution de
contenu avec
• La protection DDoS (capable d'absorber des attaques dépassant 2 Tbps)
• Le pare-feu applicatif (WAF), le Zero Trust Network Access (Cloudflare Access)
• L'exécution de code au bord via Cloudflare Workers plus récemment. Cette
dernière fonctionnalité permet aux développeurs d'exécuter du code JavaScript
ou WebAssembly directement dans les PoPs Cloudflare, à moins de 50 ms de
n'importe quel utilisateur dans le monde, sans serveur à gérer.
Akamai, pionnier fondé en 1998, exploite l'un des réseaux les plus étendus avec plus de 4
000 PoPs et 340 000 serveurs distribués. Sa position lui permet d'offrir des services de
sécurité étendus au-delà du CDN, notamment suite à l'acquisition de Guardicore pour la
microsegmentation réseau. AWS CloudFront, intégré à l'écosystème AWS, permet aux
développeurs d'exécuter du code à la périphérie via Lambda@Edge et CloudFront
Functions, avec une intégration native avec les autres services AWS. Fastly se distingue
par sa capacité de purge de cache quasi-instantanée (moins de 150 ms pour propager
une invalidation à l'ensemble du réseau), critique pour les éditeurs de presse qui publient
du contenu en continu.
La transition vers IPv6 est l'un des chantiers les plus importants et les plus prolongés de
l'histoire d'Internet. Décidée dans les années 1990 face à la croissance prévisible du
nombre d'appareils connectés, la migration est encore en cours en 2025, plus de vingt
ans après la publication du standard RFC 2460. Comprendre pourquoi cette transition est
à la fois urgente et complexe est essentiel pour appréhender l'architecture des réseaux
modernes.
1.
IPv4, conçu en 1981, offre un espace d'adressage de 2³² adresses, soit environ 4,3
milliards d'adresses IP uniques. Ce nombre paraissait astronomique en 1981,
lorsqu'Internet ne comptait que quelques centaines d'ordinateurs. Il est aujourd'hui
dramatiquement insuffisant face à l'explosion des terminaux connectés : smartphones,
tablettes, objets connectés IoT, véhicules, équipements industriels. Le monde compte
aujourd'hui plus de 15 milliards d'appareils connectés pour seulement 4,3 milliards
d'adresses IPv4 possibles.
L'épuisement s'est concrétisé par étapes. Le 3 février 2011, l'IANA (Internet Assigned
Numbers Authority) alloua les cinq derniers blocs /8 d'adresses IPv4 de son pool global,
marquant l'épuisement officiel du stock central.
Les registres régionaux (RIR) ont successivement épuisé leurs réserves :
• APNIC en 2011
• RIPE NCC (Europe) en 2012
• ARIN (Amérique du Nord) en 2015
• LACNIC et AFRINIC peu après.

V – PERSPECTIVES 109
Depuis lors, il n'existe plus d'adresses IPv4 publiques disponibles en allocation normale,
seules des adresses recyclées ou issues du marché secondaire peuvent être obtenues.
Face à cette pénurie, deux mécanismes palliatifs ont été massivement déployés. Le NAT
(Network Address Translation) permet à de nombreux appareils d'un réseau privé de
partager une seule adresse IP publique. C'est pour cette raison que votre box Internet a
une adresse publique, tandis que tous les appareils de votre domicile ont des adresses
privées (192.168.x.x, 10.x.x.x). Le NAT fonctionne bien pour les connexions sortantes, mais
il introduit des complications pour les protocoles peer-to-peer, la VoIP, les jeux en ligne et
les connexions entrantes. Le CGNAT (Carrier-Grade NAT), déployé par les FAI, va encore
plus loin en faisant partager la même adresse IPv4 publique à plusieurs abonnés
différents, créant un double NAT qui complique encore davantage les diagnostics et
certains usages.
Un marché secondaire des adresses IPv4 s'est développé face à la pénurie. Les
organisations disposant de vastes blocs d'adresses non utilisées (universités américaines
qui avaient reçu des blocs /8 complets dans les années 1980, entreprises en liquidation)
les revendent à des prix qui ont atteint 40 à 60 dollars par adresse en 2025, soit 40 000 à
60 000 dollars pour un bloc /24 de 256 adresses. Ces coûts élevés constituent une
incitation économique forte à la migration vers IPv6.
2.
IPv6 offre un espace d'adressage de 2¹²⁸ adresses, soit 340 sextillions d'adresses, de
quoi attribuer plusieurs milliards d'adresses à chaque grain de sable de la Terre. Au-delà
de l'espace d'adressage, IPv6 apporte des améliorations architecturales importantes :
l'en-tête IP simplifié accélère le traitement par les routeurs, le multicast natif remplace le
broadcast IPv4 de manière plus efficace, l'autoconfiguration stateless (SLAAC) permet à un
appareil de se configurer automatiquement sans serveur DHCP, et la mobilité IPv6 (RFC
6275) maintient les connexions actives lors des changements de réseau.
Le déploiement mondial d'IPv6 progresse significativement, même si des disparités
importantes subsistent entre pays et types de réseaux. L'Inde est devenue le leader
mondial de l'adoption IPv6 avec environ 70 % du trafic, grâce au déploiement massif par
l'opérateur Jio d'un réseau 4G/5G nativement IPv6 pour plusieurs centaines de millions
d'abonnés. Les États-Unis affichent environ 55 % d'adoption, tirés par Comcast, T-Mobile
et les grands services web (Google, Netflix, Facebook ont activé IPv6 depuis plusieurs
années). L'Allemagne approche également 55 %, Deutsche Telekom ayant massivement
déployé IPv6 sur ses réseaux fixes et mobiles.
La France se situe autour de 40 % d'adoption en 2025. Free est en avance avec environ
60 % de son trafic en IPv6, ayant été le premier FAI français à activer IPv6 par défaut sur
ses Freebox. Orange, SFR et Bouygues Telecom ont progressivement activé le dualstack
(IPv4 et IPv6 simultanément) sur leurs offres FTTH. La moyenne mondiale s'établit
autour de 45 % selon les statistiques APNIC et Google, mais cette moyenne masque de
grandes disparités : l'Afrique reste globalement en dessous de 10 %, freinée par des
équipements réseaux plus anciens et des coûts de migration.
? Notes

Région / Pays
Adoption
IPv6 (2025)
Situation
Inde ~70 % Leader mondial, réseau Jio natif IPv6
États-Unis ~55 % Comcast, T-Mobile, Google, Netflix déployés
Allemagne ~55 % Deutsche Telekom en tête
France ~40 % Free leader (~60 %), offres FTTH dual-stack
Japon ~45 % NTT, KDDI, SoftBank déployés
Chine ~30 % China Mobile, progression rapide
Afrique <10 % En développement, équipements anciens
Moyenne
mondiale
~45 % Source : APNIC / Google IPv6 Statistics 2025
Pour les réseaux d'entreprise, la migration IPv6 est souvent plus lente que pour les
réseaux grand public, car elle implique la mise à jour de nombreux systèmes internes :
adressage des serveurs, règles de pare-feux, scripts d'automatisation, systèmes de
supervision, annuaires LDAP. Le dual-stack, où chaque équipement dispose
simultanément d'une adresse IPv4 et d'une adresse IPv6, est la stratégie de transition
recommandée : elle permet d'adopter IPv6 progressivement sans perturber les services
IPv4 existants.
? Préparer son réseau à IPv6
Tout nouveau déploiement réseau en 2025 doit être conçu nativement dual-stack. Les équipements
achetés aujourd'hui seront encore en service dans 10 ans, quand IPv4 sera probablement déprécié
dans de nombreuses zones. Vérifier la compatibilité IPv6 de tous les équipements (pare-feux, sondes
de supervision, annuaires, systèmes de sauvegarde) avant de déployer. La gestion des préfixes IPv6
dans une entreprise nécessite une réflexion sur le plan d'adressage : contrairement à IPv4, il est
inutile de compter ses adresses, mais il est essentiel de structurer les préfixes de manière
hiérarchique pour faciliter l'agrégation dans les tables de routage.
? Notes

V – PERSPECTIVES 111
Pendant quarante ans, les satellites de télécommunications ont tous été placés en orbite
géostationnaire (GEO), à environ 36 000 km d'altitude. À cette altitude, un satellite tourne à
la même vitesse que la Terre et semble immobile dans le ciel, ce qui permet à une
antenne fixe de le pointer en permanence. Cette stabilité a un prix : la distance impose
une latence aller-retour d'environ 550 à 600 ms, rendant ces satellites inutilisables pour
les applications interactives (visioconférence, jeux, VoIP). La nouvelle génération de
constellations en orbite basse change fondamentalement ce paradigme.
1.
Les satellites en orbite basse (LEO, Low Earth Orbit), entre 300 et 2 000 km d'altitude, ne
peuvent pas rester fixes par rapport à un point sur Terre : ils se déplacent rapidement et
passent au-dessus d'un observateur fixe en quelques minutes. Pour offrir une couverture
continue, il faut donc des centaines à des milliers de satellites fonctionnant en
constellation, se relayant pour couvrir chaque point du globe à tout moment. Ces
mégaconstellations réduisent la latence à 20-60 ms, comparable à une bonne connexion
ADSL ou 4G, tout en offrant une couverture mondiale, y compris sur les océans, dans les
zones montagneuses et dans les régions rurales les plus isolées.
Starlink, opéré par SpaceX d'Elon Musk, est la constellation commerciale la plus
avancée de loin. Lancée progressivement depuis 2019, elle comptait plus de 6 800
satellites actifs en 2025, couvrant plus de 100 pays. SpaceX a réussi à réduire
drastiquement le coût de lancement grâce à ses fusées Falcon 9 réutilisables, permettant
d'atteindre une cadence de déploiement sans précédent. Les offres commerciales Starlink
couvrent plusieurs segments : l'offre résidentielle à environ 50 euros par mois pour 50 à
200 Mbps avec une latence de 20 à 60 ms, l'offre Business pour les entreprises avec des
débits garantis jusqu'à 500 Mbps et des SLAs, et les offres Maritime et Aviation pour les
navires et aéronefs. En 2024-2025, Starlink a lancé un service Direct to Cell permettant
aux smartphones standards (sans antenne spéciale) de se connecter directement aux
satellites, en partenariat avec T-Mobile aux États-Unis.
OneWeb, renommé Eutelsat LEO suite à la fusion avec l'opérateur satellite européen
Eutelsat, exploite une constellation de 648 satellites à 1 200 km d'altitude. Orientée
principalement vers les entreprises, les opérateurs de transport maritime et les
gouvernements, OneWeb offre une couverture mondiale avec des latences de 50 à 80
ms. Amazon Kuiper, la constellation de Jeff Bezos, a commencé son déploiement en
2024 et vise le service commercial en 2025-2026 avec une constellation de plus de 3 000
satellites, ce qui devrait intensifier la concurrence et la pression sur les prix. AST
SpaceMobile développe quant à elle une approche radicalement différente : des satellites
de grande taille capable de communiquer directement avec des smartphones standards
sans modification, ciblant les 3 milliards d'habitants de zones sans couverture cellulaire.
? Notes

Constellation Opérateur Satellites (2025) Latence Statut
Starlink SpaceX >6 800 20–40 ms Commercial
mondial, 100+ pays
OneWeb
(Eutelsat)
Eutelsat ~648 50–80 ms Commercial B2B et
maritime
Amazon Kuiper Amazon ~300 en
déploiement
30–50 ms Lancement
commercial 2025–
26
AST
SpaceMobile
AST ~30 (pilote) ~50 ms Direct-to-device,
pilote 2025
i Starlink dans les zones blanches françaises
Starlink joue un rôle crucial dans les zones blanches françaises (Alpes, Pyrénées, Massif Central,
zones rurales isolées) où ni la fibre ni la 4G ne sont disponibles. Il est éligible à certaines aides
publiques pour les collectivités non couvertes. Il a aussi prouvé son importance stratégique lors de
crises humanitaires : il a fourni la connectivité à l'Ukraine dès le début du conflit en 2022, au Maroc
après le séisme de 2023, et constitue une solution de redondance WAN pour les entreprises et
collectivités souhaitant se prémunir contre les coupures de leur connexion terrestre principale.
2.
La nouvelle génération de satellites géostationnaires (HTS, High Throughput Satellites)
modernise également les satellites GEO traditionnels. En utilisant des faisceaux multiples
de petite taille (spot beams) qui réutilisent les mêmes fréquences dans différentes zones
géographiques, ces satellites atteignent des capacités totales de plusieurs centaines de
Gbps, soit dix à vingt fois plus que leurs prédécesseurs. Le satellite Eutelsat KONNECT
VHTS, lancé en 2023, offre 500 Gbps de capacité totale sur l'Europe, avec des débits
jusqu'à 100 Mbps pour les utilisateurs finaux, ciblant les zones blanches européennes qui
ne sont pas encore couvertes par le FTTH. SES exploite sa constellation O3b mPOWER
en orbite MEO (8 000 km) avec une latence intermédiaire d'environ 150 ms, offrant des
débits très élevés pour les entreprises, navires et plateformes pétrolières.
? Notes

V – PERSPECTIVES 113
Le cloud computing a profondément reconfiguré l'architecture des réseaux d'entreprise.
Lorsque les applications vivaient dans le datacenter de l'entreprise, le réseau WAN avait
pour principale mission d'interconnecter les sites entre eux et de les relier au datacenter
central. Aujourd'hui, les applications d'une entreprise sont dispersées entre plusieurs
clouds publics (AWS, Azure, Google Cloud), des applications SaaS (Salesforce, Microsoft
365, ServiceNow) et parfois encore quelques serveurs locaux. Les réseaux doivent
s'adapter à cette dispersion radicale des ressources.
1.
Les trois grands hyperscalers, AWS, Microsoft Azure et Google Cloud Platform, ont
construit des réseaux backbone privés planétaires qui rivalisent aujourd'hui avec les
meilleures infrastructures des opérateurs de télécommunications. Ces réseaux
représentent un investissement de plusieurs dizaines de milliards de dollars chacun et
constituent un avantage compétitif considérable.
AWS exploite 33 régions géographiques avec 105 zones de disponibilité, interconnectées
par un backbone privé global comprenant plus de 25 câbles sous-marins dédiés ou coinvestis.
AWS Direct Connect permet aux entreprises de se connecter directement au
réseau AWS depuis leurs locaux via des connexions dédiées (1 à 100 Gbps), en
s'affranchissant du réseau public Internet pour leurs échanges avec le cloud, ce qui
améliore les performances et la prévisibilité de la latence. AWS Cloud WAN offre une
solution pour gérer un réseau hybride mondial, sites distants, datacenters locaux et
régions AWS, depuis une console d'administration unifiée.
Microsoft Azure, avec plus de 60 régions mondiales, dispose d'un réseau backbone de
quelque 200 000 km de fibres terrestres et sous-marines, dont les câbles Grace Hopper
(reliant les États-Unis à l'Europe et au Royaume-Uni) et AEC (Amérique-Europe-Caraïbes).
Azure ExpressRoute offre des connexions dédiées de 50 Mbps à 100 Gbps pour les
entreprises. Google Cloud exploite également un réseau privé parmi les plus étendus au
monde, incluant les câbles sous-marins Equiano (reliant l'Europe à l'Afrique occidentale) et
Dunant (Atlantique Nord). Ces investissements massifs dans les câbles sous-marins font
des hyperscalers des acteurs majeurs de l'infrastructure physique d'Internet.
2.
La généralisation des architectures microservices et des conteneurs (Docker,
Kubernetes) impose de nouvelles exigences aux réseaux au sein même des clusters
d'applications. Là où une application monolithique n'avait que quelques connexions
réseau, une application microservices peut générer des milliers d'appels réseau internes
par seconde entre ses composants. Gérer ces flux de manière fiable, sécurisée et
observable est devenu un défi en soi.
Le service mesh (maillage de services) répond à ce défi en ajoutant une couche
d'infrastructure transparente qui gère toutes les communications entre microservices :
équilibrage de charge, chiffrement mTLS (mutual TLS) automatique pour sécuriser chaque

appel interne, gestion des timeouts et des reprises en cas d'erreur (circuit breaker pattern),
et collecte de traces distribuées pour l'observabilité. Les solutions Istio, Linkerd et Consul
Connect déploient des proxys sidecar (processus auxiliaires) à côté de chaque instance de
microservice, interceptant et gérant le trafic de manière transparente pour les
développeurs.
eBPF (extended Berkeley Packet Filter) est une technologie du noyau Linux qui
révolutionne la gestion réseau dans les environnements cloud-native. Elle permet
d'exécuter des programmes vérifiés et sandboxés directement dans l'espace noyau Linux,
sans modifier le code du noyau lui-même et sans la surcharge d'un processus userspace.
Cilium utilise eBPF pour implémenter les politiques réseau Kubernetes avec des
performances quasi-natives, en remplaçant iptables par un plan de données eBPF
beaucoup plus efficace. Cloudflare utilise eBPF pour son load balancing et sa protection
DDoS. Facebook a développé Katran, un load balancer L4 basé sur eBPF capables de
traiter des millions de paquets par seconde par cœur de processeur.
L'Infrastructure as Code (IaC) applique les meilleures pratiques du développement
logiciel, versionnement dans Git, revue de code, tests automatisés, déploiement continu,
à la gestion de l'infrastructure réseau. Terraform, développé par HashiCorp, est devenu
l'outil de référence pour décrire de manière déclarative l'infrastructure cloud souhaitée
dans des fichiers de configuration, puis provisionner automatiquement les ressources
correspondantes sur AWS, Azure, GCP et les équipements réseau de nombreux
constructeurs. Ansible, outil d'automatisation agentless de Red Hat, est très répandu pour
la configuration des équipements réseau physiques : un playbook Ansible peut configurer
en quelques minutes des centaines de switches et routeurs de manière cohérente et
reproductible.
1.
Alors que la 5G est encore en cours de déploiement dans de nombreux pays, la
recherche et développement sur la 6G est déjà très avancée. L'UIT (Union Internationale
des Télécommunications) a formalisé en 2023 la vision IMT-2030 qui définit les objectifs de
performance de la 6G pour un déploiement commercial envisagé autour de 2030 (objectifs
IMT‐2030 non encore atteints en production). Ces objectifs sont d'une ambition
considérable : débit de crête d'un Terabit par seconde (soit 50 fois celui de la 5G), latence
inférieure à 0,1 ms (dix fois plus faible que la 5G), densité de connexions de 10 millions
d'appareils par km² et une efficacité énergétique cent fois supérieure à la 5G.
Les technologies envisagées pour atteindre ces performances explorent plusieurs pistes
en parallèle. Les bandes térahertz (THz, entre 100 GHz et 10 THz) offrent des largeurs de
bande gigantesques pour des débits de l'ordre du Tbps, mais souffrent d'une atténuation
atmosphérique extrême qui limite leur portée à quelques mètres ou dizaines de mètres au
mieux. Leur usage sera probablement limité à des environnements confinés, intérieurs de
bâtiments, halls industriels, datacenters, où la courte portée n'est pas un obstacle.
Les RIS (Reconfigurable Intelligent Surfaces, surfaces intelligentes reconfigurables)
constituent l'une des innovations les plus originales de la 6G. Ce sont des surfaces
composées de milliers d'éléments réflecteurs passifs ou semi-actifs, intégrées dans les

V – PERSPECTIVES 115
murs, les plafonds ou les façades de bâtiments, capables de réfléchir et de diriger les
ondes radio vers les utilisateurs avec une précision millimétrique. Elles transforment
l'environnement passif en un amplificateur et réflecteur programmable, permettant de
couvrir des zones d'ombre ou d'améliorer la qualité du signal sans déployer des
équipements actifs supplémentaires.
L'ISAC (Integrated Sensing and Communications, communication et détection intégrées) est
une autre caractéristique fondamentale de la 6G. Plutôt que d'utiliser des systèmes
séparés pour les communications et pour la détection (radars, lidars, systèmes de
localisation), la 6G utilisera les mêmes signaux radio à la fois pour transmettre des
données et pour « sentir » l'environnement : détecter des objets, estimer des vitesses et
des trajectoires, cartographier des espaces. Cette fusion offre des possibilités immenses
pour les véhicules autonomes, les villes intelligentes et la réalité augmentée.
Paramètre 5G (objectif 3GPP) 6G (objectif IMT-2030)
Débit de crête 20 Gbps 1 Tbps
Débit expérience utilisateur 100 Mbps 1 Gbps
Latence plan utilisateur <1 ms <0,1 ms
Densité de connexions 1 M appareils/km² 10 M appareils/km²
Fiabilité 99,9999 % 99,99999 %
Efficacité énergétique ×10 vs 4G ×100 vs 5G
Localisation 10 cm (intérieur) <1 cm (sub-centimétrique)
i Programmes de R&D 6G
L'Union Européenne finance les projets Hexa-X et Hexa-X-II (programme Horizon Europe, 25
partenaires industriels et académiques). La Corée du Sud vise un lancement commercial 6G en 2028
pour les JO d'hiver. Le Japon cible 2030 dans sa Beyond 5G/6G Promotion Strategy. La Chine est très
active en dépôts de brevets 6G via son IMT-2030 Promotion Group. La commercialisation mondiale
est attendue autour de 2030–2032.
? Notes

2.
La norme Wi-Fi 7 (IEEE 802.11be, EHT, Extremely High Throughput) a été finalisée en 2024
et les premiers équipements certifiés sont disponibles sur le marché. Elle apporte des
améliorations substantielles par rapport au Wi-Fi 6E, répondant aux besoins croissants en
bande passante des applications de réalité virtuelle, de streaming 8K et de bureau à
distance haute qualité.
L'innovation majeure du Wi-Fi 7 est le MLO (Multi-Link Operation), qui permet à un
appareil d'utiliser simultanément plusieurs bandes de fréquences, 2,4 GHz, 5 GHz et 6
GHz en même temps. Jusqu'au Wi-Fi 6E, un appareil ne pouvait utiliser qu'une seule
bande à la fois et devait basculer d'une bande à l'autre. Avec le MLO, les données
peuvent être envoyées simultanément sur plusieurs liens, ce qui augmente le débit
agrégé et améliore la latence par évitement automatique des interférences : si la bande 5
GHz est congestionnée, le trafic est automatiquement déporté sur la bande 6 GHz, sans
interruption perceptible.
Le Wi-Fi 7 introduit également des canaux de 320 MHz dans la bande 6 GHz, doublant la
largeur des canaux par rapport au Wi-Fi 6E (160 MHz). Combiné à la modulation 4096-
QAM (4K-QAM), qui encode davantage de bits par symbole au prix d'une sensibilité
accrue au bruit, le débit théorique maximal atteint 46 Gbps sur 16 flux spatiaux. En
pratique, les déploiements réels atteignent plusieurs Gbps dans des conditions
favorables, ce qui suffit largement pour tous les usages actuels et futurs prévisibles.
i Informations
en 2025–2026, les déploiements du Wi-Fi 7 restent essentiellement sur des sites pilotes et des
équipements haut de gamme.
La prochaine norme Wi-Fi 8 (IEEE 802.11bn) est déjà en cours de définition au sein du
groupe de travail IEEE, avec un horizon de finalisation vers 2027-2028. Les objectifs
déclarés incluent un débit supérieur à 100 Gbps grâce à l'utilisation de bandes de
fréquences encore plus larges et à des innovations sur la couche physique. Wi-Fi 8
devrait également renforcer la coordination multi-points d'accès (multi-AP coordination)
pour offrir une expérience homogène dans les déploiements denses.
3.
La consommation énergétique des réseaux de télécommunications est devenue un enjeu
environnemental et économique majeur. L'ensemble des réseaux et datacenters
représente aujourd'hui environ 2 à 3 % de la consommation électrique mondiale, et cette
part croît avec le déploiement de la 5G, la multiplication des objets IoT et l'explosion du
trafic vidéo et de l'IA. L'entraînement d'un grand modèle de langage comme GPT-4
consomme l'équivalent de la consommation annuelle de plusieurs centaines de ménages.
Face à ces réalités, l'efficacité énergétique est devenue un critère de conception essentiel
des réseaux modernes.
Dans les réseaux radio 5G, les équipements de nouvelle génération intègrent des
mécanismes sophistiqués de mise en veille dynamique (sleep mode) des antennes :
lorsqu'aucun trafic n'est détecté sur une cellule pendant quelques millisecondes, les
émetteurs radio peuvent être mis en veille partielle ou totale, réduisant la consommation

V – PERSPECTIVES 117
électrique de 60 à 80 % en dehors des heures de pointe. Nokia, Ericsson et Huawei ont
publié des feuilles de route ambitieuses pour réduire la consommation par bit transmis de
50 à 80 % d'ici 2030, en combinant ces optimisations logicielles avec des progrès dans
les technologies de semi-conducteurs.
Dans les datacenters, le refroidissement représente une part majeure de la
consommation totale.
Les hyperscalers adoptent des solutions innovantes pour réduire ce poste
• Le refroidissement liquide direct (DLC, Direct Liquid Cooling), où des fluides
caloporteurs circulent directement au contact des processeurs les plus
thermiques, notamment les GPUs utilisés pour l'entraînement des modèles IA
• L'immersion cooling, où des serveurs entiers sont immergés dans des liquides
diélectriques non conducteurs
• La récupération de chaleur pour alimenter les réseaux de chaleur urbains voisins,
transformant la chaleur des serveurs en ressource utile plutôt qu'en déchet.
Google, Microsoft et Amazon ont tous trois pris des engagements publics sur la neutralité
carbone ou la compensation carbone de leurs opérations, via des Power Purchase
Agreements (PPA) avec des producteurs d'énergies renouvelables. Google revendique
alimenter ses datacenters à 100 % d'énergie sans carbone en temps réel d'ici 2030. La
gestion logicielle de la consommation des équipements réseau, Cisco EnergyWise,
Juniper Energy Framework, permet d'adapter dynamiquement la consommation à la
charge réelle, en désactivant les ports inutilisés ou en réduisant la fréquence des
processeurs de routage en période creuse.
4.
Les réseaux privés 5G (également appelés 5G campus networks) permettent aux
entreprises et organisations de déployer leur propre infrastructure 5G dans leurs locaux,
sans dépendre d'un opérateur public. Cette approche offre des garanties de qualité de
service, de sécurité et de confidentialité que les réseaux 5G publics partagés ne peuvent
pas fournir, et une indépendance totale vis-à-vis des incidents du réseau public.
Dans le modèle de déploiement autonome, l'entreprise déploie l'intégralité de
l'infrastructure 5G, stations de base (gNB), cœur de réseau 5G SA (5G Standalone Core),
dans ses locaux. Les données de l'entreprise ne quittent jamais le site. La bande
passante est entièrement dédiée aux usages de l'entreprise. La latence atteint moins de 5
ms entre les équipements du site. Ce modèle est particulièrement pertinent pour les
usines avec des lignes de production automatisées, les ports et aéroports avec des
besoins logistiques intensifs, les mines et carrières en zones sans couverture publique, et
les hôpitaux avec des exigences strictes de confidentialité des données médicales.
En Europe, l'Allemagne a été pionnière en allouant dès 2019 une bande de fréquences
dédiée (3,7-3,8 GHz) aux réseaux privés 5G industriels, ce qui a permis à des entreprises
comme Volkswagen, BMW ou Siemens de déployer leurs propres réseaux 5G dans leurs
usines. La France avance plus progressivement sur ce sujet, l'ARCEP ayant lancé des
consultations sur l'attribution de fréquences locales pour les industriels en 2024, avec des
premières attributions attendues en 2025-2026.
? Notes

Convergence Wi-Fi 6E et 5G privé
Dans un réseau privé moderne, Wi-Fi 6E et 5G privé ne sont pas en compétition mais
complémentaires. Le Wi-Fi 6E couvre les espaces de bureau, les zones d'entrepôt fixes
et les salles de réunion à moindre coût. La 5G privé couvre les zones extérieures, les
équipements mobiles en déplacement (AGV, Automated Guided Vehicles, chariots élévateurs
automatisés), et les applications nécessitant des garanties de latence et de disponibilité
que le Wi-Fi ne peut pas offrir en environnement industriel perturbé.
5.
Le SASE (Secure Access Service Edge), concept formalisé par le cabinet d'analyse Gartner
en 2019, est devenu en 2025 l'architecture de référence pour les réseaux d'entreprise
distribués. Son émergence répond à une transformation profonde du contexte réseau des
organisations : les utilisateurs travaillent depuis partout (bureau, domicile, déplacements),
les applications sont dans le cloud (SaaS, IaaS), et les données traversent des réseaux
qu'on ne contrôle plus. Le modèle traditionnel, tout le trafic converge vers le datacenter
central qui héberge le pare-feu et les proxys, est devenu inadapté, car il crée des goulots
d'étranglement et détériore l'expérience utilisateur.
Le SASE converge en un service cloud unifié deux familles de fonctionnalités qui
étaient historiquement séparées.
Côté réseau, le SD-WAN gère intelligemment les liens WAN multiples (MPLS,
Internet haut débit, 4G/5G), en sélectionnant en temps réel le lien le plus performant
pour chaque flux selon sa nature (voix, vidéo, données critiques)
Côté sécurité, le ZTNA (Zero Trust Network Access) remplace le VPN traditionnel en
appliquant le principe "ne jamais faire confiance, toujours vérifier" : plutôt
qu'accorder un accès complet au réseau après authentification, chaque accès à
chaque application est vérifié individuellement selon l'identité de l'utilisateur, la
posture de sécurité de son terminal et le contexte de la connexion.
Les autres composants du SASE complètent cette protection :
• Le CASB (Cloud Access Security Broker) offre une visibilité et un contrôle sur
les usages des applications SaaS (partage fichiers, applications non autorisées)
• Le SWG (Secure Web Gateway) filtre le trafic web sortant et protège contre les
malwares
• Le FWaaS (Firewall as a Service) délivre les fonctions de pare-feu NGFW
depuis le cloud, sans nécessiter d'équipement physique dans chaque agence
• Le DLP (Data Loss Prevention) surveille les données en transit pour prévenir
les fuites d'informations sensibles.
En 2025, les quatre principaux acteurs du marché SASE selon le Magic Quadrant Gartner
sont Palo Alto Networks (Prisma SASE), Zscaler, Cisco (combinant Umbrella et Meraki SD-
WAN) et Netskope. Cato Networks se distingue par son architecture 100 % cloud-native,
construite dès l'origine autour du SASE sans couches logicielles héritées. L'évolution en
cours voit le SASE converger avec l'IAM (Identity and Access Management) et le XDR
(Extended Detection and Response) pour former la SSE (Security Service Edge), qui traite
la sécurité comme une couche continue autour des utilisateurs et des données,
indépendamment de leur localisation.

V – GLOSSAIRE 119
VI. GLOSSAIRE DES TERMES
RÉSEAU
Ce glossaire rassemble les termes fondamentaux et les acronymes utilisés tout au long
du cours sur les réseaux informatiques. Il constitue un outil de référence rapide pour
l'étudiant et le professionnel. Les entrées sont classées par ordre alphabétique et
couvrent à la fois les concepts historiques (signalés par ⚠) qui restent indispensables à la
compréhension de l'évolution des réseaux, et les technologies actuelles ou émergentes
de 2025-2026 telles que le SD-WAN, la cryptographie post-quantique, l'edge computing,
le Wi-Fi 7 et les architectures SASE.
? Convention de lecture
Terme technologie substantiellement
anglais historique (gras)
mis
suivi
à ou jour
de obsolète, sa
par
traduction
rapport maintenue au
française
glossaire pour quand sa original. valeur elle pédagogique. existe, puis de ★ la = définition. terme nouveau ⚠ = ou
Standard IEEE définissant le marquage des trames Ethernet pour les réseaux VLAN. Un
champ de 4 octets (tag) est inséré dans l'en-tête Ethernet, dont 12 bits d'identifiant VLAN
(VID — 4 096 VLANs possibles). Indispensable pour la segmentation logique des réseaux
d'entreprise.
(Acknowledgement) : Message envoyé pour confirmer la bonne réception de données
sans erreur. Mécanisme fondamental du protocole TCP garantissant la fiabilité des
transmissions.
Artificial Intelligence for IT Operations. Application de l'IA et du machine learning à
l'exploitation IT et réseaux, pour automatiser la détection prédictive des pannes (LSTM,
isolation forests), leur corrélation (RCA — Root Cause Analysis) et leur résolution
autonome. Exemples : Cisco ThousandEyes, Juniper Mist AI, Aruba Central.

(American National Standard Institute) : Organisation américaine non gouvernementale
fondée en 1918, membre de l'ISO, chargée de proposer et publier des normes dans les
domaines de l'informatique et des télécommunications.
(Application Programming Interface) : Interface de programmation exposant les
fonctionnalités d'un service à d'autres applications, via des primitives, des bibliothèques
ou des appels HTTP/REST. Les APIs REST (JSON/HTTP) sont le standard dominant
pour l'interconnexion des services web et cloud modernes.
APPLET JAVA
Petit programme Java exécuté dans un navigateur web depuis un serveur distant. Les
applets ont été abandonnés dans tous les navigateurs modernes pour des raisons de
sécurité, remplacés par JavaScript, WebAssembly et les APIs web natives.
(Address Resolution Protocol) : Protocole établissant la correspondance entre une
adresse IP (couche 3) et une adresse MAC physique (couche 2). Une requête ARP est un
broadcast local ne traversant pas les routeurs. ARP est propre à IPv4 ; IPv6 utilise NDP
(Neighbor Discovery Protocol).
ARPANET
Réseau expérimental créé en 1969 par l'agence militaire américaine ARPA, ancêtre direct
d'Internet. Premier réseau à commutation de paquets opérationnel à grande échelle, il a
servi de banc d'essai pour les protocoles TCP/IP jusqu'à son intégration dans le NSFNET
en 1990.
(American Standard Code for Information Interchange) : Code d'encodage de caractères
sur 7 bits (128 caractères), étendu à 8 bits par IBM en 1981 (256 caractères incluant
lettres accentuées et caractères graphiques). Aujourd'hui complété par l'Unicode/UTF-8
qui supporte tous les caractères de toutes les langues.
ATM
(Asynchronous Transfer Mode) : Technique de commutation de cellules de taille fixe (53
octets) permettant de multiplexer voix, vidéo et données avec garanties de QoS. Déployé
dans les cœurs de réseaux d'opérateurs dans les années 1990-2000. Largement
remplacé par MPLS et Ethernet haut débit.

V – GLOSSAIRE 121
Réseau à très haut débit servant d'artère principale reliant entre eux plusieurs sousréseaux
ou sites. Aujourd'hui basé sur Ethernet 100G/400G et DWDM (Dense
Wavelength Division Multiplexing) sur fibre optique.
Capacité maximale de débit d'un lien ou réseau, exprimée en bits par seconde (bps,
Mbps, Gbps, Tbps). À distinguer du débit réel (throughput), qui tient compte des
surcharges protocolaires et des conditions de transmission.
(Border Gateway Protocol, RFC 4271) : Protocole de routage dynamique utilisé entre
systèmes autonomes (AS) sur Internet. Protocole de routage d'Internet lui-même,
maintenant une table de routage globale d'environ 900 000 préfixes. BGP4 est la version
actuelle ; BGP4+ supporte IPv6.
(Binary Digit) : Unité élémentaire d'information en informatique. Un bit vaut 0 ou 1. La plus
petite unité compréhensible par un système numérique. 8 bits forment un octet (byte en
anglais).
(Bits Per Second) : Unité de mesure du débit d'une liaison. Multiples : Kbps (kilobits/s),
Mbps (mégabits/s), Gbps (gigabits/s), Tbps (térabits/s). À ne pas confondre avec les
octets par seconde (B/s = 8 × bps).
BRIDGE / PONT
Équipement réseau interconnectant deux segments au niveau 2 OSI, sur la base des
adresses MAC. Aujourd'hui remplacé par les switches (commutateurs), qui offrent les
mêmes fonctions avec des performances bien supérieures grâce à leur table CAM et à
leurs ports dédiés en full-duplex.

Message envoyé simultanément à tous les équipements d'un segment réseau ou d'un
VLAN. L'adresse de diffusion IPv4 d'un sous-réseau se termine par 255. Les broadcasts
ne traversent pas les routeurs. IPv6 n'utilise pas de broadcast mais du multicast.
Logiciel permettant d'accéder aux ressources du Web et d'afficher les pages
HTML/CSS/JavaScript. Les navigateurs modernes (Chrome, Firefox, Edge, Safari)
supportent HTML5, WebAssembly, WebRTC et les APIs web avancées.
Terme anglais désignant un défaut de conception dans un logiciel ou un matériel, pouvant
provoquer un comportement inattendu ou incorrect. Un bug de sécurité exploitable est
appelé vulnérabilité.
Zone mémoire (RAM, disque ou serveur distant) stockant temporairement des données
récemment utilisées pour accélérer les accès futurs. Les CDN (Content Delivery
Networks) utilisent des caches distribués géographiquement pour réduire la latence des
contenus web.
(Cloud Access Security Broker) : Composant SASE assurant la visibilité et le contrôle des
accès aux applications SaaS (Microsoft 365, Salesforce, Google Workspace). Détecte les
usages non autorisés, applique les politiques de sécurité et prévient les fuites de
données.
CCITT
Comité Consultatif International pour le Télégraphe et la Téléphonie. Organisme de
normalisation des télécommunications dépendant de l'UIT, siégeant à Genève. Remplacé
en 1993 par l'UIT-T (Union Internationale des Télécommunications — Secteur de la
Normalisation).
(Content Delivery Network) : Réseau mondial de serveurs distribués mettant en cache les
contenus (pages web, vidéos, APIs) au plus proche des utilisateurs, réduisant la latence

V – GLOSSAIRE 123
et la charge sur les serveurs d'origine. Les CDN modernes (Cloudflare, Akamai, AWS
CloudFront, Fastly) intègrent également des fonctions d'edge computing, DDoS mitigation
et WAF.
CERT ★
(Computer Emergency Response Team) : Organisme chargé de la réponse aux incidents
de cybersécurité. Fondé en 1988 par DARPA suite au ver Morris. En France : ANSSI et
CERT-FR coordonnent la réponse aux cybermenaces nationales.
(Carrier-Grade NAT) : NAT mutualisé chez le FAI permettant à plusieurs abonnés de
partager la même adresse IPv4 publique. Déployé pour faire face à la pénurie d'adresses
IPv4. Crée un double NAT compliquant les diagnostics, la traçabilité judiciaire et certains
services peer-to-peer.
(Classless Inter-Domain Routing) : Format de notation des adresses IP et masques
introduit en 1993, remplaçant le système de classes A/B/C rigide. Notation slash :
192.168.1.0/24 signifie 24 bits de partie réseau. Permet une allocation plus efficace et
réduit la taille des tables de routage globales.
Unité logicielle légère encapsulant une application et ses dépendances dans un
environnement isolé et portable, partageant le noyau du système hôte (contrairement à
une machine virtuelle). Docker est le runtime de conteneurs le plus répandu. Kubernetes
orchestre les conteneurs à grande échelle.
COOKIES ★
Petits fichiers texte créés par un serveur web et stockés dans le navigateur client,
permettant de maintenir un état entre des sessions HTTP (authentification, préférences,
panier). Le RGPD impose d'obtenir le consentement avant de déposer des cookies non
strictement nécessaires.
CSMA/CD
(Carrier Sense Multiple Access / Collision Detection) : Protocole d'accès au médium
d'Ethernet classique (IEEE 802.3) en mode half-duplex. Les équipements écoutent avant
d'émettre et détectent les collisions. Obsolète dans les réseaux switched modernes où
chaque port opère en full-duplex dédié.

Unité de données autonome d'un réseau à commutation de paquets, contenant toutes les
informations nécessaires à son acheminement (adresses source et destination). Chaque
datagramme peut emprunter un chemin différent vers la destination. Modèle fondateur
d'IP (Internet Protocol).
(Dynamic Host Configuration Protocol, RFC 2131) : Protocole attribuant automatiquement
les paramètres réseau aux équipements (adresse IP, masque, passerelle, DNS). Ports
UDP 67 (serveur) et 68 (client). DHCPv6 est la version pour IPv6, souvent combinée avec
l'autoconfiguration SLAAC.
(DomainKeys Identified Mail) : Standard d'authentification des emails ajoutant une
signature cryptographique dans l'en-tête, permettant au serveur destinataire de vérifier
que l'email provient du domaine déclaré et n'a pas été altéré. Complémentaire de SPF et
DMARC.
(Domain-based Message Authentication, Reporting and Conformance) : Standard
combinant SPF et DKIM pour définir la politique de traitement des emails non authentifiés
(quarantaine ou rejet) et générer des rapports d'abus à destination de l'administrateur du
domaine.
DNS / SYSTÈME DE NOMS DE DOMAINE ★
(Domain Name System) : Annuaire distribué d'Internet traduisant les noms de domaine
(www.example.com) en adresses IP. Architecture hiérarchique : serveurs racine →
serveurs TLD (.com, .fr…) → serveurs autoritaires → résolveurs des FAI. Port UDP/TCP
53. DNSSEC ajoute la validation cryptographique des réponses.
(DNS Security Extensions, RFC 4033-4035) : Extension du DNS ajoutant des signatures
cryptographiques aux réponses pour prévenir les attaques par empoisonnement de cache
(cache poisoning). DoH (DNS over HTTPS) et DoT (DNS over TLS) chiffrent également
les requêtes DNS pour préserver la confidentialité.

V – GLOSSAIRE 125
Action de copier des fichiers depuis un serveur distant vers un équipement local via un
réseau. Le débit descendant (download speed) désigne la vitesse de réception.
L'opération inverse (envoi vers un serveur) est l'upload.
(Extended Berkeley Packet Filter) : Technologie du noyau Linux permettant d'exécuter
des programmes vérifiés et sandboxés dans l'espace noyau, sans modifier le code source
du noyau. Révolutionne l'observabilité réseau (Cilium), le load balancing (Cloudflare,
Facebook Katran) et la sécurité (Tetragon) dans les environnements cloud-native.
Architecture informatique rapprochant le traitement des données de leur source (capteurs
IoT, robots industriels, véhicules) plutôt que de tout centraliser dans le cloud. Réduit la
latence pour les applications temps réel, diminue la consommation de bande passante
WAN et améliore la résilience en cas de coupure réseau.
ETHERNET ★
Technologie de réseau local (LAN) standardisée par l'IEEE (802.3). Évolution des débits :
10 Mbps → 100 Mbps (Fast Ethernet) → 1 Gbps (Gigabit Ethernet) → 10/25/40/100/400
Gbps (datacenters). Standard LAN filaire dominant dans les entreprises, intégrant le PoE
(Power over Ethernet) pour l'alimentation des équipements.
(Frequently Asked Questions) : Document rassemblant les questions les plus
fréquemment posées sur un sujet, avec leurs réponses. Format standard pour la
documentation en ligne.
FDDI
(Fiber Distributed Data Interface) : Norme de réseau local en double anneau sur fibre
optique fonctionnant à 100 Mbps. Standard des années 1990 pour les backbones de
campus. Totalement remplacé par Ethernet Gigabit et 10 GbE depuis les années 2000.

★
Système renforçant la sécurité entre un réseau interne et un réseau non sûr (Internet), en
filtrant le trafic selon des règles définissant ce qui est autorisé. Types : filtrage stateless
(paquets), stateful (connexions), WAF (applicatif), NGFW (Next Generation Firewall :
inspection SSL/TLS, IPS, sandboxing). Composant central de toute architecture de
sécurité réseau.
FLOW CONTROL / CONTRÔLE DE FLUX ★
Mécanisme régulant le débit entre un émetteur et un récepteur pour éviter la saturation.
En TCP : fenêtre glissante et contrôle de congestion (slow start, CUBIC, BBR). En
Ethernet : protocole PAUSE (802.3x) et PFC (Priority Flow Control, 802.1Qbb) pour les
réseaux convergés.
FTP ★
(File Transfer Protocol) : Protocole de transfert de fichiers (ports TCP 20/21). FTP
transmet les identifiants et données en clair — à éviter sur Internet. Remplacé par SFTP
(via SSH, port 22) ou FTPS (FTP sur TLS) pour les échanges sécurisés.
(Fiber to the Home) : Déploiement de la fibre optique directement jusqu'au logement,
offrant des débits symétriques de 1 à plusieurs Gbps. Solution d'accès haut débit de
référence en France, déployée via PON (GPON/XGS-PON). Plan France Très Haut Débit
: couverture 100 % du territoire d'ici 2025-2027.
★
Mode de communication permettant l'émission et la réception simultanées sur le même
lien. Les réseaux Ethernet commutés modernes fonctionnent en full-duplex, éliminant les
collisions CSMA/CD. Opposé : half-duplex (émission et réception alternées).
GATEWAY / PASSERELLE ★
Équipement assurant l'interconnexion entre réseaux utilisant des protocoles différents, en
effectuant des conversions (niveaux 4 à 7 OSI). Exemples : passerelles VoIP (PSTN vers
SIP/IP), passerelles IoT (protocoles propriétaires vers IP), passerelles cloud (réseau local
vers VPC cloud).

V – GLOSSAIRE 127
(Gigabit Passive Optical Network, ITU-T G.984) : Norme de réseau d'accès fibre passive
partageant une fibre entre 64 abonnés grâce à des coupleurs optiques passifs (sans
alimentation). Débit descendant 2,5 Gbps, montant 1,2 Gbps. Technologie dominante
dans les déploiements FTTH français.
HDLC
(High Level Data Link Control) : Protocole de couche 2 orienté bit, fonctionnant en mode
synchrone avec contrôle de redondance cyclique. Base de nombreux protocoles WAN
historiques (SDLC/SNA, LAP-B/X.25, LAP-D/ISDN). Remplacé par Ethernet et MPLS
dans les réseaux modernes.
Unité de mesure de fréquence (Hz) correspondant à un cycle par seconde. Multiples :
kHz, MHz, GHz, THz. En réseaux, la fréquence caractérise les bandes radio (Wi-Fi
2,4/5/6 GHz, 5G sub-6 GHz, 5G mmWave 26-40 GHz, 6G térahertz).
HTML ★
(HyperText Markup Language) : Langage de balisage standard pour la création de pages
web. HTML5 (2014) introduit des capacités multimédia natives (audio, vidéo, canvas,
WebSockets, Web Workers), réduisant la dépendance aux plugins. Interprété par les
navigateurs en combinaison avec CSS et JavaScript.
HTTP ★
(HyperText Transfer Protocol) : Protocole applicatif de transfert de pages web (port 80 /
443 en HTTPS). HTTP/2 améliore les performances par multiplexage des requêtes.
HTTP/3 utilise QUIC (sur UDP) pour réduire encore la latence et améliorer la résilience
aux pertes de paquets.
HUB / CONCENTRATEUR
Équipement de couche 1 (physique) régénérant et redistribuant le signal électrique sur
tous ses ports, créant un domaine de collision partagé. Totalement remplacé par les
switches dans tous les réseaux modernes.

(Internet Architecture Board) : Organisme supervisant l'architecture technique d'Internet et
coordonnant les activités de l'IETF (Internet Engineering Task Force, éditeur des RFC) et
de l'IRTF (Internet Research Task Force).
(Intent-Based Networking) : Architecture réseau dans laquelle l'administrateur exprime
son objectif en termes métier (l'intention), et le système le traduit automatiquement en
configurations déployées sur l'ensemble du réseau (activation), puis vérifie en continu la
conformité (assurance). Exemples : Cisco Catalyst Center, Juniper Apstra.
(Institute of Electrical and Electronics Engineers) : Principal organisme de normalisation
pour les technologies électriques et informatiques. Éditeur des standards réseau IEEE
802 : 802.3 (Ethernet), 802.11 (Wi-Fi), 802.1Q (VLAN), 802.1X (authentification réseau),
802.3af/at/bt (PoE).
IMAP ★
(Internet Message Access Protocol, RFC 3501) : Protocole d'accès aux emails sur un
serveur distant, maintenant les messages sur le serveur et synchronisant l'état entre
plusieurs appareils. Port 143 / 993 (IMAPS/TLS). Remplace avantageusement POP3 pour
les utilisateurs multi-appareils.
IP ★
(Internet Protocol) : Protocole de couche réseau (couche 3 OSI) assurant l'adressage et le
routage des paquets. IPv4 (RFC 791, 32 bits, ~4,3 milliards d'adresses, espace épuisé) et
IPv6 (RFC 2460, 128 bits, quasi-illimité). Le protocole universel d'Internet.
(Internet Protocol version 6, RFC 2460) : Successeur d'IPv4 offrant 2¹²⁸ adresses (340
sextillions). Adresses sur 128 bits en hexadécimal séparées par « : » (ex. 2001:db8::1).
Autoconfiguration SLAAC, multicast natif, en-tête simplifié. Adoption mondiale ~45 % en
2025 ; France ~40 %.

V – GLOSSAIRE 129
IRC
(Internet Relay Chat) : Protocole de messagerie instantanée en temps réel par canaux
thématiques. Très populaire dans les années 1990-2000. Largement remplacé par Slack,
Discord, Microsoft Teams et les messageries mobiles.
ISDN / RNIS
(Integrated Services Digital Network / Réseau Numérique à Intégration de Services) :
Réseau numérique permettant voix, données et images sur lignes téléphoniques (64
Kbps par canal B). Totalement remplacé par la fibre optique, l'ADSL et les accès mobiles
4G/5G.
(Internet Service Provider) : Prestataire proposant l'accès à Internet via son infrastructure
(fibre, ADSL, mobile) moyennant abonnement. Fournit également email, hébergement,
VoIP, IPTV. En France : Orange, SFR, Bouygues Telecom, Free.
JAVA ★
Langage de programmation orienté objet créé par Sun Microsystems (1995). Principe «
write once, run anywhere » via la JVM (Java Virtual Machine). Très utilisé pour les
applications d'entreprise côté serveur, les applications Android et les systèmes
embarqués.
(K8s) Plateforme open source d'orchestration de conteneurs créée par Google (2014).
Automatise le déploiement, la mise à l'échelle, l'équilibrage de charge et la gestion des
applications conteneurisées dans des clusters de serveurs. Standard de facto pour les
architectures cloud-native.

(Link Aggregation Control Protocol, IEEE 802.3ad/802.1AX) : Protocole regroupant
plusieurs liens physiques Ethernet en un seul lien logique (LAG — Link Aggregation
Group), augmentant la bande passante et assurant la redondance en cas de panne d'un
lien physique.
LAN ★
(Local Area Network) : Réseau informatique couvrant une zone géographique réduite
(bâtiment, campus) à haut débit. Basé sur Ethernet (filaire) et Wi-Fi (sans fil). Débits
typiques en 2025 : 1 Gbps vers les postes de travail, 10/25/100 Gbps dans les cœurs de
réseau.
LINUX ★
Système d'exploitation libre basé sur Unix, créé en 1991 par Linus Torvalds. Distribué
sous licence GPL. Omniprésent dans les serveurs (>70 % des serveurs web), les
systèmes cloud (AWS, Azure, GCP), les équipements réseau, les smartphones (Android)
et les supercalculateurs.
(Medium Access Control) : Sous-couche inférieure de la couche 2 OSI gérant l'accès au
médium. Chaque interface réseau possède une adresse MAC unique sur 48 bits (6 octets
hexadécimaux, ex. 00:1A:2B:3C:4D:5E) attribuée par le fabricant (OUI — Organizationally
Unique Identifier).
(Multi-Access Edge Computing) : Architecture ETSI plaçant des capacités de calcul et de
stockage à la périphérie du réseau d'accès 5G (dans ou près des stations de base gNB),
offrant des latences inférieures à 5 ms. Applications : industrie 4.0 (vision artificielle,
contrôle qualité), V2X (véhicules connectés), réalité augmentée.
MIB ★
(Management Information Base) : Base de données hiérarchique décrivant les objets
gérables d'un équipement réseau, utilisée par SNMP. Structurée en arborescence OID
(Object Identifier). La MIB-II (RFC 1213) définit les objets standard ; les constructeurs
étendent cette base avec des MIBs propriétaires.

V – GLOSSAIRE 131
MIME ★
(Multipurpose Internet Mail Extensions) : Standard étendant le format des emails pour
transporter des contenus non-ASCII : pièces jointes (images, audio, documents), textes
encodés, jeux de caractères. Utilisé aussi par HTTP pour indiquer le type de contenu
(Content-Type : text/html, application/json…).
MODEM ★
(MOdulateur/DEModulateur) : Dispositif convertissant les signaux numériques en signaux
analogiques pour la transmission (et inversement). Intégré dans les box des FAI
modernes (modem ADSL, ONT — Optical Network Terminal pour la fibre FTTH).
(MultiProtocol Label Switching) : Technique d'acheminement des paquets réseau basée
sur des étiquettes plutôt que sur l'analyse des adresses IP, permettant des VPNs
d'opérateurs avec QoS garantie et ingénierie du trafic. Utilisé dans les cœurs de réseaux
d'opérateurs. Progressivement concurrencé par le SD-WAN sur Internet.
(Network Address Translation) : Mécanisme permettant à plusieurs équipements d'un
réseau privé de partager une seule adresse IP publique. Pallie la pénurie d'adresses IPv4
mais complique les protocoles peer-to-peer. Rendu inutile par IPv6 qui rétablit la
connectivité bout en bout.
Ensemble des conventions et règles de bonne conduite dans les communications
électroniques (emails, forums, réseaux sociaux). Contraction de « Net » et « Etiquette ».
Principes : politesse, concision, respect de la vie privée, éviter les majuscules excessives.
NFS ★
(Network File System) : Protocole développé par Sun Microsystems permettant l'accès et
l'utilisation de fichiers distants comme s'ils étaient locaux. Standard sur Unix/Linux. NFSv4
(RFC 7530) améliore la sécurité et les performances. Concurrent de SMB/CIFS
(Windows).

Unité d'information correspondant à 8 bits. Un octet peut représenter 256 valeurs (0 à
255). Les adresses IPv4 sont composées de 4 octets. En anglais, l'équivalent courant est
« byte ».
(Open Systems Interconnection) : Modèle de référence en 7 couches défini par l'ISO pour
standardiser les communications réseau : 1-Physique, 2-Liaison, 3-Réseau, 4-Transport,
5-Session, 6-Présentation, 7-Application. Modèle théorique de référence ; en pratique, la
suite TCP/IP utilise 4 couches (accès réseau, Internet, transport, application).
(Open Shortest Path First, RFC 2328) : Protocole de routage dynamique à état de liens
(link-state) utilisé dans un système autonome. Chaque routeur construit une carte
complète du réseau (LSDB) et calcule les meilleures routes via l'algorithme de Dijkstra.
Convergence rapide, supporte VLSM et CIDR. OSPFv3 pour IPv6.
PABX ★
(Private Automatic Branch eXchange) : Autocommutateur téléphonique privé gérant les
appels internes d'une entreprise et leur connexion au réseau public. Les PABX modernes
sont des IPBX (IP-PBX) fonctionnant sur le protocole SIP (Session Initiation Protocol),
intégrant la téléphonie dans les réseaux IP.
Unité de transmission dans un réseau à commutation de paquets. Comprend un en-tête
(adresses source et destination, numéro de séquence, protocole) et une charge utile
(données). La taille maximale d'un paquet IP est la MTU (Maximum Transmission Unit) : 1
500 octets par défaut sur Ethernet.
PDH
(Plesiochronous Digital Hierarchy) : Hiérarchie de multiplexage numérique des opérateurs
historiques (E1 2 Mbps à E4 140 Mbps en Europe). Remplacée par SDH puis par
Ethernet et DWDM sur fibre optique.

V – GLOSSAIRE 133
Attaque par ingénierie sociale usurpant l'identité d'une entité de confiance (banque,
opérateur, administration) par email ou SMS pour subtiliser des identifiants, coordonnées
bancaires ou déclencher un malware. Le spear phishing cible une personne précise avec
un message personnalisé.
Utilitaire réseau utilisant le protocole ICMP pour tester l'accessibilité d'un hôte distant et
mesurer la latence aller-retour (RTT — Round Trip Time). Outil de diagnostic
fondamental. Commande : ping <adresse_IP ou nom_de_domaine>.
(Power over Ethernet, IEEE 802.3af/at/bt) : Technologie alimentant électriquement des
équipements (téléphones IP, caméras IP, points d'accès Wi-Fi, capteurs IoT) via le câble
Ethernet, sans alimentation secteur dédiée. PoE (802.3af) : 15,4 W — PoE+ (802.3at) :
30 W — PoE++ (802.3bt) : jusqu'à 90 W.
POP3 ★
(Post Office Protocol 3) : Protocole de récupération des emails depuis un serveur de
messagerie (port 110 / 995 en TLS). POP3 télécharge et supprime les messages du
serveur par défaut. Avantageusement remplacé par IMAP pour les utilisateurs multiappareils.
(Post-Quantum Cryptography) : Algorithmes cryptographiques résistants aux attaques
d'ordinateurs quantiques (algorithmes de Shor et Grover), fonctionnant sur des
ordinateurs classiques. Standards NIST publiés en 2024 : ML-KEM/Kyber (FIPS 203),
ML-DSA/Dilithium (FIPS 204), SLH-DSA/SPHINCS+ (FIPS 205). Destinés à remplacer
RSA, ECDSA et ECDH.
PROXY / SERVEUR MANDATAIRE ★
Serveur intermédiaire s'interposant entre les clients d'un réseau interne et les serveurs
externes. Relaie les requêtes HTTP/HTTPS, met en cache les contenus populaires, filtre
les URLs indésirables et anonymise les connexions. Les proxys inverses (Nginx,
HAProxy, Cloudflare) protègent les serveurs d'applications.

(Quantum Key Distribution) : Technologie utilisant les lois de la physique quantique pour
distribuer des clés cryptographiques avec une sécurité prouvée physiquement : toute
interception est détectable car elle perturbe les photons transmis. Principal protocole :
BB84 (1984). Complémentaire à la PQC pour les communications gouvernementales et
financières ultra-sensibles.
(Quality of Service) : Ensemble de mécanismes garantissant des niveaux de performance
(débit minimum, latence, gigue, taux de perte) pour certains trafics prioritaires (voix sur IP,
vidéoconférence, applications critiques). Mécanismes : marquage DSCP, policing,
shaping, files de priorité (FIFO, WFQ, LLQ).
Logiciel malveillant chiffrant les fichiers d'un système et exigeant une rançon en
cryptomonnaie pour fournir la clé de déchiffrement. Principale menace cyber pour les
entreprises, hôpitaux et collectivités depuis 2015. Propagation par phishing, exploitation
de vulnérabilités ou supply chain attack.
RFC ★
(Request for Comments) : Documents techniques publiés par l'IETF définissant les
standards, protocoles et bonnes pratiques d'Internet (TCP/IP, HTTP, DNS, SMTP,
IPv6…). Librement consultables sur rfc-editor.org. Les RFC constituent la documentation
de référence de tous les protocoles Internet.
Règlement européen (2016/679, en vigueur depuis 2018) encadrant la collecte, le
traitement et la conservation des données personnelles. Impose transparence,
consentement explicite, droit à l'oubli et à la portabilité. Sanctions jusqu'à 4 % du CA
mondial ou 20 M€. Supervisé par les CNIL nationales.
RIP ★
(Routing Information Protocol) : Protocole de routage dynamique à vecteur de distance,
utilisant le nombre de sauts comme métrique (maximum 15). Simple mais lent à
converger. Remplacé par OSPF et EIGRP dans la grande majorité des réseaux
d'entreprise. RIPng est la version IPv6.

V – GLOSSAIRE 135
ROUTEUR ★
Équipement réseau opérant au niveau 3 OSI (réseau), acheminant les paquets IP entre
différents réseaux selon sa table de routage (routes statiques ou dynamiques via RIP,
OSPF, BGP). Les routeurs modernes intègrent des fonctions pare-feu, VPN, QoS, SD-
WAN et sont souvent virtualisés (vRouter).
(Secure Access Service Edge) : Architecture convergeant fonctions réseau (SD-WAN) et
sécurité cloud (ZTNA, CASB, SWG, FWaaS, DLP) en un service unifié délivré depuis le
cloud. Formalisé par Gartner en 2019. Répond aux organisations dont les utilisateurs
travaillent partout et les applications sont dans le cloud. Acteurs : Palo Alto Prisma,
Zscaler, Cisco, Cato Networks.
SDH
(Synchronous Digital Hierarchy) : Standard de transmission numérique synchrone sur
fibre optique (STM-1 : 155 Mbps à STM-256 : 40 Gbps). Successeur de PDH dans les
réseaux d'opérateurs. Aujourd'hui largement remplacé par OTN (Optical Transport
Network) et DWDM.
(Software-Defined Wide Area Network) : Architecture WAN utilisant le contrôle logiciel
centralisé pour gérer intelligemment plusieurs liaisons WAN hétérogènes (MPLS, Internet,
4G/5G), en sélectionnant le meilleur chemin en temps réel. Principaux acteurs : Cisco
Viptela, VMware VeloCloud, Fortinet, Cato Networks.
(Service Level Agreement) : Contrat définissant les engagements de qualité de service
d'un prestataire : débit garanti, disponibilité (uptime ≥ 99,9 % ou 99,99 %), latence
maximale, temps de rétablissement (MTTR/RTO). Fondamental dans les accès WAN
professionnels et les services cloud.
SMB ★
(Server Message Block) : Protocole de partage de fichiers, imprimantes et ressources
réseau sur Windows (et Linux via Samba). SMB 3.1.1 (Windows 10/Server 2016) intègre
le chiffrement des données en transit et des améliorations de performance (multichannel,
compression).

SMTP ★
(Simple Mail Transfer Protocol) : Protocole d'envoi et de transfert des emails (port 25
entre serveurs, 587 pour les clients). Utilisé conjointement avec SPF, DKIM et DMARC
pour l'authentification. Les connexions modernes utilisent STARTTLS ou SMTPS (port
465) pour le chiffrement.
SNMP ★
(Simple Network Management Protocol) : Protocole de supervision et d'administration des
équipements réseau (routeurs, switches, serveurs) via UDP port 161 (requêtes) / 162
(traps). SNMPv3 ajoute authentification et chiffrement. Complété par des systèmes
d'observabilité modernes (Prometheus, Grafana, OpenTelemetry).
SPAM ★
Messages électroniques non sollicités envoyés en masse. Peut véhiculer virus,
ransomwares ou conduire vers des sites de phishing. Les filtres anti-spam modernes
combinent analyse heuristique, réputation IP/domaine, SPF/DKIM/DMARC et intelligence
artificielle.
(Sender Policy Framework) : Standard d'authentification des emails publiant dans le DNS
la liste des serveurs autorisés à envoyer pour un domaine. Permet de lutter contre
l'usurpation d'identité (spoofing) et le spam. À combiner avec DKIM et DMARC pour une
protection complète.
SQL ★
(Structured Query Language) : Langage standardisé d'interrogation et de manipulation
des bases de données relationnelles (SELECT, INSERT, UPDATE, DELETE). Normalisé
par l'ISO. Les injections SQL (SQLi) constituent une des principales vulnérabilités des
applications web insuffisamment sécurisées.
(Secure Shell, RFC 4251) : Protocole d'accès distant sécurisé (port 22). Chiffrement fort
(AES, ChaCha20), authentification par clé publique/privée (RSA, Ed25519), intégrité
(HMAC). Remplace entièrement Telnet. Supporte aussi le transfert de fichiers (SFTP,
SCP) et le tunneling de ports.

V – GLOSSAIRE 137
SSL
(Secure Sockets Layer) : Précurseur de TLS, développé par Netscape. SSL 2.0 et 3.0
sont obsolètes avec des vulnérabilités critiques (POODLE, DROWN). Tous les
déploiements doivent utiliser TLS 1.2 minimum, TLS 1.3 de préférence.
(Spanning Tree Protocol IEEE 802.1D / Rapid STP 802.1w) : Protocole de couche 2
éliminant les boucles dans les réseaux Ethernet redondants en bloquant logiquement
certains ports. RSTP converge en moins d'une seconde contre plusieurs dizaines de
secondes pour STP classique. MSTP (802.1s) supporte plusieurs instances par VLAN.
STREAMING ★
Diffusion de contenus multimédia (audio, vidéo) en temps réel via Internet, sans
téléchargement préalable complet. Protocoles : HLS, DASH, RTMP. Le streaming vidéo
représente environ 65 % du trafic Internet mondial. Les CDN distribuent le contenu depuis
des serveurs proches de l'utilisateur pour réduire la latence.
TCP/IP ★
(Transmission Control Protocol / Internet Protocol) : Suite de protocoles constituant la
base d'Internet. IP (couche 3) assure l'adressage et le routage. TCP (couche 4) assure la
fiabilité par acquittements et contrôle de congestion. UDP offre un transport sans
connexion pour les applications temps réel.
(Time Division Multiplexing) : Technique de multiplexage divisant le temps de
transmission en intervalles (time slots) alloués à chaque canal. Base de la hiérarchie
PDH/E1 et du standard SONET/SDH des opérateurs téléphoniques historiques.
TELNET
Protocole d'accès distant en mode terminal (port 23), transmettant toutes les données en
clair y compris les mots de passe. Totalement remplacé par SSH pour l'administration des
systèmes et équipements réseau. Désactivé par défaut sur tous les équipements
modernes.

(Transport Layer Security) : Protocole cryptographique assurant confidentialité
(chiffrement), intégrité (HMAC) et authentification (certificats X.509) des communications
Internet. Successeur de SSL. TLS 1.3 (RFC 8446, 2018) est la version recommandée.
Utilisé dans HTTPS, SMTPS, IMAPS, LDAPS, VPN SSL.
TOKEN RING / ANNEAU À JETON
Technologie de réseau local développée par IBM fonctionnant à 4 ou 16 Mbps, utilisant
un jeton circulant sur l'anneau pour arbitrer l'accès. Concurrent historique d'Ethernet dans
les années 1980-1990. Totalement remplacé par les switches Ethernet depuis les années
2000.
TRACEROUTE ★
Utilitaire réseau (traceroute Unix/Linux, tracert Windows) affichant le chemin suivi par les
paquets IP de la source à la destination, avec la latence de chaque saut (routeur
intermédiaire). Outil de diagnostic fondamental pour localiser goulets d'étranglement et
pannes réseau.
UDP ★
(User Datagram Protocol, RFC 768) : Protocole de transport sans connexion, sans
acquittement et sans garantie de livraison ou d'ordre. Privilégié pour les applications
temps réel (VoIP, streaming, DNS, jeux en ligne, DHCP) où la latence prime sur la
fiabilité. QUIC (HTTP/3) est basé sur UDP.
Secteur de normalisation de l'UIT (agence de l'ONU). Publie les Recommandations UIT-T
définissant les standards de télécommunications internationaux (G.711 voix, G.703 E1,
X.25, V.35). Successeur du CCITT depuis 1993.
URL ★
(Uniform Resource Locator) : Adresse unique identifiant une ressource sur Internet.
Format : protocole://hôte:port/chemin?paramètres (ex.
https://www.example.com/page?id=1). Les URLs utilisent le DNS pour résoudre les noms
d'hôtes en adresses IP.

V – GLOSSAIRE 139
(Virtual Local Area Network, IEEE 802.1Q) : Segmentation logique d'un réseau physique
en plusieurs réseaux virtuels indépendants, définis par configuration logicielle sur les
switches. Améliore la sécurité (isolation du trafic), réduit le domaine de broadcast et
simplifie la gestion sans modifier le câblage physique.
VPN / RÉSEAU PRIVÉ VIRTUEL ★
(Virtual Private Network) : Tunnel chiffré créant une connexion sécurisée sur un réseau
public (Internet). Types : IPsec (site à site, IKEv2), SSL/TLS VPN (accès distant),
WireGuard (moderne, ChaCha20/Poly1305, noyau Linux 5.6+). Le VPN traditionnel est
progressivement remplacé par ZTNA dans les architectures SASE.
(Wide Area Network) : Réseau informatique couvrant une grande étendue géographique
(nationale, internationale). Technologies WAN : lignes dédiées, MPLS opérateur, SD-
WAN sur Internet, liaisons satellite LEO (Starlink). Débits : de quelques Mbps (accès
ADSL/satellite) à plusieurs Tbps (backbones opérateurs).
(Web Real-Time Communication) : APIs JavaScript permettant des communications peerto-peer
directement dans le navigateur (voix, vidéo, transfert de données), sans plugin.
Basé sur UDP/SRTP/DTLS. Utilisé par Google Meet, Discord et les plateformes de
visioconférence web.
(IEEE 802.11ax) : Sixième génération de Wi-Fi (2019/2021). Innovations : OFDMA, MU-
MIMO 8×8, BSS Coloring, TWT (IoT). Wi-Fi 6E étend la norme à la bande 6 GHz (canaux
de 160 MHz sans encombrement). Débit théorique maximal 9,6 Gbps.
(IEEE 802.11be — EHT) : Septième génération de Wi-Fi, finalisée en 2024. Innovation
majeure : MLO (Multi-Link Operation) — utilisation simultanée des bandes 2,4, 5 et 6
GHz. Canaux de 320 MHz, modulation 4096-QAM. Débit théorique maximal 46 Gbps.

WWW / TOILE MONDIALE ★
(World Wide Web) : Système d'information hypertexte fonctionnant sur Internet, inventé
par Tim Berners-Lee au CERN en 1991. Repose sur HTML, HTTP et les URLs. Plus d'un
milliard de sites web actifs. La distinction entre « Internet » (l'infrastructure) et « le Web »
(un service parmi d'autres fonctionnant sur Internet) est fondamentale.
(10 Gigabit-capable Symmetric PON, ITU-T G.9807) : Évolution du GPON offrant 10
Gbps symétriques (montant et descendant) sur la même fibre. Déployé par les opérateurs
français pour les nouvelles installations FTTH depuis 2022, permettant les offres
commerciales multi-gigabits.
XML ★
(Extensible Markup Language) : Langage de balisage structuré développé par le W3C
pour définir des formats de données interopérables et personnalisés. Utilisé dans les
échanges de données (SOAP, NETCONF/YANG, fichiers de configuration). Concurrencé
par JSON pour les APIs REST modernes.
Modèle de sécurité réseau abandonnant le périmètre de confiance implicite (« tout ce qui
est dans le réseau d'entreprise est sûr ») au profit du principe « ne jamais faire confiance,
toujours vérifier ». Chaque utilisateur et terminal est authentifié et autorisé pour chaque
accès. Mis en œuvre via ZTNA, MFA renforcé et microsegmentation.
(Zero Trust Network Access) : Composant SASE remplaçant le VPN traditionnel. Chaque
accès à une application est vérifié individuellement selon l'identité (MFA), la posture de
sécurité du terminal (MDM) et le contexte. Principe du moindre privilège : l'utilisateur
n'accède qu'aux ressources nécessaires, jamais à l'ensemble du réseau.

V – GLOSSAIRE 141
i Protocoles fondamentaux
TCP/IP · UDP · IP v4/v6 · HTTP/2/3 · TLS 1.3 · DNS · DHCP · ARP · OSPF · BGP · MPLS · SSH · SMTP ·
IMAP · FTP/SFTP
i Sécurité
ZTNA · SASE · TLS · PQC · QKD · SPF · DKIM · DMARC · CASB · SWG · Firewall / NGFW · Ransomware ·
Phishing · Zero Trust
i LAN et accès
Ethernet · VLAN (802.1Q) · STP/RSTP · LACP · PoE/PoE+ · Wi-Fi 6/6E · Wi-Fi 7 · LLC · MAC
i WAN et cloud
WAN · SD-WAN · MPLS · VPN · FTTH · GPON · XGS-PON · CDN · Edge Computing · MEC · Container ·
Kubernetes
i IA, automatisation et tendances
AIOps · IBN · 5G · eBPF · RGPD · SLA · WebRTC · Zero Trust
i Organismes de normalisation
IEEE · IETF · ANSI · ETSI · UIT-T · IAB · CERT / ANSSI

Tous les efforts ont été faits, et le temps nécessaire consacré, pour que cet ouvrage soit aussi fiable et rigoureux que
possible. Cependant, ni l'auteur, ni l'éditeur ne sauraient être tenus pour responsable des conséquences de son utilisation
ou des atteintes au droit des brevets ou des personnes qui pourraient résulter de cette utilisation.
Toute reproduction, même partielle de cet ouvrage, et par quelque procédé que ce soit, est interdite sans autorisation
préalable de iOs (acquisition de licences possible sur le site) et passible d'une peine prévue par la loi sur la protection des
droits d'auteur.

Dépôt légal 2 ème Trim 2026
ISBN : 978 2 491902 16 2
Ce support de cours aborde de manière progressive et structurée les fondements des
réseaux informatiques : architecture des réseaux locaux et étendus, normes et
protocoles associés, équipements d'interconnexion et médias physiques.
Il traite également des technologies sans fil, de la fibre optique, des réseaux mobiles, de
l'Internet des objets et des services Internet.
Chaque notion est explicitée, illustrée et mise en contexte afin de permettre une
appropriation durable des concepts.
Ce manuel vient en complément de la formation menée par votre formateur.
Des emplacements sont prévus sur chaque page pour prendre des notes afin de bien
se souvenir des recommandations de ce dernier.
Existent aussi
Word 2024 Faire un document
Excel 2024 Faire un tableau
Power Bi Desktop, Power Bi Saas – Power Bi mobiles
Windows 11, Utilisation, personnalisation, Windows 10, Utilisation
Word 2019 1 er niveau faire un document, 2 ème niveau écrire un livre, un rapport, 2 ème
niveau le modèle, le mailing
Excel 2019 1 er niveau faire un tableau, 2 ème niveau tableaux croisés, base de données,
2 ème niveau graphiques, consolidation, plan, solveur, fonctions financières
Access 2019 1 er niveau utiliser interroger une base, 2 ème niveau créer une application
Powerpoint 2019, Faire une présentation
Outlook 2019, Messagerie, calendrier, contacts…
Joomla, Faire un site Web
Sage paie 100 v6, sage compta 100 v10, sage gescom100
Sage i7 Paie & Rh V9, Sage i7 Comptabilité V8.x, Sage i7 Gestion commerciale V8
Windows 10, 2 ème niveau configuration
Word 2016, 1 er niveau utilisation, 2 ème niveau document long, 2 ème niveau publipostage
Excel 2016, 1 er niveau utilisation, 2 ème niveau plan-liaisons-solveur-fonctions -macros,
2 ème niveau base de données-hypothèses-fonctions
Access 2016, 1 er niveau utilisation, 2 ème niveau programmation
Outlook 2016, Powerpoint 2016
Maintenance micro…
129 rue du Maréchal Foch
14750 Saint Aubin sur Mer
ios@ios.fr - www.ios.fr/