Service Routage et accs distant

S'applique : Windows Server 2008 R2 Le service Routage et accs distant (RRAS : Routing and Remote Access Service) prend en charge le routage rseau IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la connectivit dutilisateurs distants ou site site en utilisant des connexions de rseau priv virtuel (VPN) ou daccs distance.

Accs distance
La fonctionnalit daccs distance procure des services VPN permettant aux utilisateurs daccder en toute scurit des rseaux dentreprise par le biais dInternet comme sils taient connects directement. Elle permet galement aux travailleurs mobiles ou distants qui utilisent des liaisons de communication daccs distance daccder aux rseaux dentreprise.

Routage
RRAS est un routeur logiciel et une plateforme ouverte pour le routage et la mise en rseau. Il fournit des services de routage pouvant tre utiliss par les entreprises dans des environnements de rseau local (LAN) et de rseau tendu (WAN) ou sur Internet au moyen de connexions VPN scurises. Le routage est utilis pour les services de routage multi protocole de rseau local rseau local, rseau local rseau tendu, VPN, et traduction dadresses rseau.

Vue densemble de RRAS

Le service Routage et accs distant (RRAS) tire son nom des deux principaux services rseau quil fournit.

Routage
Un routeur est un priphrique qui gre le flux de donnes entre des segments rseau, ou sous-rseaux. Un routeur dirige les paquets entrants et sortants en fonction des informations sur ltat de ses propres interfaces rseau et dune liste de sources et destinations possibles pour le trafic rseau. En projetant le trafic rseau et les besoins en routage sur la base du nombre et du type de priphriques rseau et dapplications utiliss dans votre environnement, vous tes mme de prendre des dcisions mieux informes concernant lutilisation ventuelle dun routeur matriel ddi, dun routeur logiciel ou dune combinaison de ces deux solutions. En gnral, les routeurs matriels ddis grent mieux les exigences de routage plus fortes et les routeurs logiciels (moins coteux) grent des charges de routage plus lgres. Une solution de routage logicielle telle que RRAS dans cette version de Windows peut tre idale sur un petit rseau segment avec un trafic relativement faible entre les sous-rseaux. Les environnements rseau dentreprise qui ont un grand nombre de segments rseau et une large gamme dimpratifs de performances peuvent ncessiter divers routeurs matriels afin de remplir diffrents rles sur lensemble du rseau.

Accs distance
En configurant RRAS de faon agir comme serveur daccs distance, vous pouvez connecter des travailleurs distants ou mobiles aux rseaux de votre entreprise. Les utilisateurs distants peuvent travailler comme si leur ordinateur tait connect directement au rseau. Tous les services gnralement accessibles un utilisateur directement connect (y compris le partage de fichiers et dimprimantes, laccs aux serveurs Web et la messagerie) sont activs au moyen de la connexion daccs distance. Par exemple, sur un serveur RRAS, les clients peuvent utiliser lExplorateur Windows pour tablir des connexions des imprimantes et entre des lecteurs. Les lettres de lecteurs et les noms UNC (Universal Naming Convention) tant totalement pris en charge par laccs distance, la plupart des applications commerciales et personnalises fonctionnent sans modification. Un serveur RRAS propose deux diffrents types de connectivit daccs distance :

Rseau priv virtuel. Un rseau priv virtuel (VPN) est une connexion point point scurise sur un rseau public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spciaux, appels protocoles de tunnel, pour tablir une connexion un port sur un serveur VPN distant. Le serveur VPN accepte la connexion, authentifie lutilisateur et lordinateur se connectant, puis transfre les donnes entre le client VPN et le rseau de lentreprise. Comme les donnes transitent sur un rseau public, vous devez chiffrer les donnes envoyes sur la connexion pour garantir la confidentialit.

Accs rseau distance. Dans laccs rseau distance, un client daccs distance tablir une connexion tlphonique daccs distance un port physique sur un serveur daccs distance au moyen du service dun fournisseur de tlcommunications, tel quun tlphone analogique ou RNIS. Laccs rseau distance sur un tlphone analogique ou RNIS est une connexion physique directe entre le client daccs rseau distance et le serveur daccs rseau distance. Vous pouvez chiffrer les donnes envoyes sur la connexion, mais cela nest pas obligatoire car la ligne tlphonique est gnralement considre comme tant scurise.

Rfrences supplmentaires

Scnarios daccs distance courants Scnarios de routage courants Rseau priv virtuel Accs rseau distance Autorisations pour les utilisateurs de laccs distance Attribution dadresses IP Protocoles dauthentification de laccs distance Routage Stratgies rseau

Scnarios daccs distance courants

Lorsque vous excutez lAssistant Installation de RRAS, celui-ci vous invite choisir le chemin de configuration qui ressemble le plus la solution daccs distance que vous 3

souhaitez dployer. Si aucun des chemins de configuration de lAssistant ne rpond exactement vos besoins, vous pouvez choisir loption Configuration personnalise. Cependant, si vous choisissez cette option, vous devez configurer manuellement tous les lments de RRAS. Les solutions daccs distance les plus courantes incluent les connexions de rseau priv virtuel (VPN, Virtual Private Network), les connexions daccs distance et les connexions scurises entre deux rseaux privs.

Accs distance

Lorsque laccs distance est activ, RRAS autorise le trafic rseau entrant des clients VPN provenant dInternet ou des modems connects au systme tlphonique. Le trafic entrant est rout vers le rseau priv. Vous pouvez configurer sparment les types VPN pris en charge, le mode dauthentification des utilisateurs, comment ils sont autoriss accder aux serveurs daccs distance, et quelle configuration IP reoit lordinateur distant lorsquil se connecte.

Traduction dadresses rseau

Lorsque la traduction dadresses rseau (NAT) est active, RRAS autorise le trafic rseau sortant provenant des ordinateurs sur le rseau priv. Elle partage la connexion Internet et son adresse IP publique avec les ordinateurs sur le rseau priv par une traduction entre ladresse publique et les adresses IP et ports utiliss sur le rseau priv.

VPN et NAT

Dans ce scnario, RRAS assure la traduction dadresses rseau pour le rseau priv et accepte des connexions VPN des clients distants.

Connexion scurise entre deux rseaux privs

5

Un serveur RRAS sur le primtre dun rseau priv peut se connecter un serveur distant au moyen dun tunnel VPN. Les ordinateurs connects aux rseaux privs derrire les deux serveurs peuvent changer des donnes de faon scurise sur Internet. La connexion entre les deux serveurs peut tre permanente (toujours active) ou sur demande (connexion la demande).

Scnarios de routage courants

Vous pouvez utiliser les routeurs du logiciel RRAS dans de nombreuses topologies et configurations rseau diffrentes. Cette rubrique dcrit trois scnarios de routage typiques.

1) Scnario de routage simple

Lillustration suivante montre une configuration rseau simple avec un serveur RRAS qui connecte deux segments de rseau local (rseaux A et B). Dans cette configuration, aucun protocole de routage nest ncessaire car le routeur est connect tous les rseaux vers lesquels il doit router des paquets. Les routeurs configurent automatiquement les itinraires vers les rseaux auxquels ils sont directement connects.

2) Scnario routeurs multiples

Lillustration suivante montre une configuration de routeur plus complexe. Dans cette configuration, on distingue trois rseaux (rseaux A, B et C) et deux routeurs (routeurs 1 et 2). Le routeur 1 se trouve sur les rseaux A et B, et le routeur 2 sur les rseaux B et C. Le routeur 1 doit avertir le routeur 2 que le rseau A est accessible travers le routeur 1, et le routeur 2 doit avertir le routeur 1 que le rseau C est accessible travers le routeur 2. Ces informations sont communiques en utilisant un protocole de routage, telles que le protocole RIP (Routing Information Protocol) utilis pour IPv4.

Lorsquun utilisateur sur le rseau A souhaite communiquer avec un utilisateur sur le rseau C, lordinateur de lutilisateur sur le rseau A transfre le paquet au routeur 1. Le routeur 1 transfre ensuite le paquet au routeur 2. Le routeur 2 transfre ensuite le paquet lordinateur de lutilisateur sur le rseau C. Sans protocole de routage, un administrateur de rseau doit entrer des itinraires statiques dans les tables de routage du routeur 1 et du routeur 2. Les itinraires statiques ne se redimensionnent pas bien dans de plus grands rseaux ou ne sadaptent pas des modifications dans la topologie du rseau. Remarques Cette version de Windows prend uniquement en charge le routage statique pour IPv6 (Internet Protocol version 6).

3) Scnario de routage avec connexion la demande

8

Lillustration suivante montre une configuration de routeur qui utilise la connexion la demande. Les rseaux A et B sont spars gographiquement et, pour la quantit de trafic transfr entre eux, une liaison tendue loue (WAN) nest pas conomique. Le routeur 1 et le routeur 2 peuvent se connecter sur une ligne tlphonique analogique au moyen de modems (ou autre type de connectivit, tel que RNIS) aux deux extrmits. Lorsquun ordinateur sur le rseau A initie une communication avec un ordinateur sur le rseau B, le routeur 1 tablit une connexion avec le routeur 2. La connexion est maintenue tant que des paquets sont changs. Lorsque la connexion est inactive, le routeur 1 se dconnecte pour rduire les frais de connexion.

Rseau priv virtuel

9

Un rseau priv virtuel (VPN) est une connexion point point sur un rseau priv ou public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spciaux qualifis de protocoles de tunnel qui tablissent un canal scuris entre deux ordinateurs par lequel ils peuvent envoyer des donnes. Pour les deux ordinateurs participants, il existe une liaison point point ddie entre eux, alors quen ralit les donnes sont routes par Internet comme tout autre paquet. Dans un dploiement VPN classique, un client initie une connexion point point un serveur daccs distance par le biais dInternet. Le serveur daccs distance rpond lappel, authentifie lappelant et transfre les donnes entre le client VPN et le rseau priv de lorganisation. Pour muler une liaison point point, les donnes sont encapsules avec un en-tte. Len-tte fournit des informations de routage qui permettent aux donnes de traverser le rseau partag ou public afin datteindre leur point de terminaison. Pour muler une liaison prive, les donnes envoyes sont chiffres par souci de confidentialit. Pour plus dinformations sur les protocoles de tunnel pris en charge dans cette version de Windows, voir pages 15/18 Pour les conditions dinstallation, voir pages 13/14 Connexion VPN

Il existe deux types de connexions VPN :

10

VPN daccs distance

Une connexion daccs distance VPN permet un utilisateur travaillant domicile ou en dplacement daccder un serveur sur un rseau priv laide de linfrastructure fournie par un rseau public, tel quInternet. Du point de vue de lutilisateur, le VPN est une connexion point point entre lordinateur client et le serveur dune organisation. Linfrastructure du rseau partag ou public na aucune importance car elle apparat logiquement comme si les donnes taient envoyes sur une liaison ddie prive.

VPN de site site

Une connexion VPN de site site (souvent qualifie de connexion VPN de routeur routeur) permet une organisation davoir des connexions routes entre diffrentes succursales ou avec dautres organisations sur un rseau public tout en aidant maintenir la scurit des communications. Lorsque des rseaux sont connects par le biais dInternet, comme illustr sur la figure suivante, un routeur VPN transfre des paquets un autre routeur VPN par le biais dune connexion VPN. Pour les routeurs, la connexion VPN apparat logiquement comme une liaison de couche ddie de liaison de donnes. Une connexion VPN de site site connecte deux rseaux privs. Le serveur VPN fournit une connexion route au rseau auquel il est connect. Le routeur appelant sauthentifie auprs du routeur rpondant et, pour lauthentification mutuelle, le routeur rpondant sauthentifie auprs du routeur appelant. Dans une connexion VPN de site site, les paquets envoys de lun ou lautre routeur par le biais dune connexion VPN ne proviennent gnralement pas des routeurs. VPN reliant deux sites distants par le biais dInternet

Proprits des connexions VPN

Encapsulation. Les donnes prives sont encapsules avec un en-tte qui contient des informations de routage permettant aux donnes de traverser le rseau de transit. Authentification. Lauthentification des connexions VPN prend trois formes diffrentes : 1. Authentification de niveau utilisateur au moyen de lauthentification PPP (Point-to-Point Protocol). Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui tente dtablir la connexion laide dune

11

mthode dauthentification de niveau utilisateur PPP et vrifie que le client VPN dispose de lautorisation approprie. Si lauthentification mutuelle est utilise, le client VPN authentifie galement le serveur VPN, ce qui procure une protection contre les ordinateurs se faisant passer pour des serveurs VPN. 2. Authentification de niveau ordinateur laide du protocole IKE (Internet Key Exchange). Pour tablir une association de scurit (SA) IPsec (Internet Protocol security), le client VPN et le serveur VPN utilisent le protocole IKE pour changer des certificats dordinateurs ou une cl prpartage. Dans les deux cas, le client et le serveur VPN sauthentifient lun lautre au niveau ordinateur. Lauthentification par certificat dordinateur est une authentification beaucoup plus forte et est donc vivement recommande. Lauthentification de niveau ordinateur est utilis par des connexions L2TP (Layer Two Tunneling Protocol)/IPsec ou IKE version 2. 3. Authentification de lorigine des donnes et intgrit des donnes. Pour vrifier que les donnes envoyes sur la connexion VPN proviennent bien de lautre extrmit de la connexion et nont pas t modifies en transit, les donnes contiennent une somme de contrle de chiffrement base sur une cl de chiffrement connue uniquement de lexpditeur et du destinataire. Lauthentification de lorigine des donnes et lintgrit des donnes sont disponibles pour les connexions L2TP/IPsec et IKE version 2. Chiffrement des donnes. Pour assurer la confidentialit des donnes lorsquelles traversent le rseau partag ou public de transit, les donnes sont chiffres par lexpditeur et dchiffres par le destinataire. Le processus de chiffrement et de dchiffrement dpend de lutilisation dune cl de chiffrement commune par lexpditeur et le destinataire. Les paquets intercepts envoys sur la connexion VPN sur le rseau de transit sont incomprhensibles quiconque ne possde pas la cl de chiffrement commune. La longue de la cl de chiffrement est un paramtre de scurit important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de chiffrement. Toutefois, de telles techniques requirent davantage de puissance de traitement et de temps de calcul mesure que les cls de chiffrement augmentent en taille. Il est par consquent important dutiliser la taille de cl la plus leve possible afin de garantir la confidentialit des donnes.

Conditions dinstallation de RRAS en tant que serveur VPN

Vous devez effectuer les interventions suivantes avant de configurer un serveur RRAS devant agir comme serveur VPN daccs distance.

12

Identifiez linterface rseau qui assure la connexion Internet et celle qui assure la connexion au rseau priv. Durant la configuration, vous serez invit dterminer linterface rseau qui tablit la connexion Internet. Si vous spcifiez une interface incorrecte, le serveur VPN daccs distance ne fonctionnera pas correctement.

Dterminez si les clients distants recevront leurs adresses IP dun serveur DHCP du rseau priv ou directement du serveur VPN daccs distance que vous configurez. Si votre rseau priv comporte un serveur DHCP, le serveur VPN daccs distance peut prendre en bail 10 adresses la fois partir du serveur DHCP et affecter ces adresses des clients distants. Si vous ne disposez pas dun serveur DHCP sur le rseau priv, le serveur VPN daccs distance peut affecter des adresses IP des clients distants partir dun pool dadresses prdfinies. Vous devez configurer cette plage en fonction de votre infrastructure rseau. Pour plus dinformations, voir RRAS et DHCP (ventuellement en anglais) (http://go.microsoft.com/fwlink/? linkid=140605). Si vous utilisez DHCP, dterminez si des clients VPN peuvent envoyer des messages DHCP au serveur DHCP sur votre rseau priv. Si un serveur DHCP se trouve sur le mme sous-rseau que le serveur VPN daccs distance, les messages DHCP de clients VPN pourront atteindre le serveur DHCP une fois la connexion VPN tablie. Si un serveur DHCP se trouve sur un autre sous-rseau que le serveur VPN daccs distance, assurez-vous que le routeur situ entre ces deux sous-rseaux est en mesure de relayer les messages DHCP entre les clients et le serveur. Dterminez si les demandes de connexion mises par les clients VPN seront authentifies par un serveur RADIUS (Remote Authentication Dial-In User Service) ou par le serveur VPN daccs distance que vous configurez. Lajout dun serveur RADIUS se rvle utile si vous envisagez dinstaller plusieurs serveurs VPN daccs distance, points daccs sans fil ou autres clients RADIUS dans votre rseau priv. Pour plus dinformations, voir Serveur NPS (Network Policy Server) (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=139764). Vrifiez que tous les utilisateurs disposent dun compte dutilisateur configur pour permettre laccs distance. Pour quun utilisateur puisse se connecter au rseau, il doit possder un compte dutilisateur sur le serveur VPN daccs distance ou dans Active Directory Domain Services. Chaque compte dutilisateur prsent sur un serveur autonome ou sur un contrleur de domaine comporte des proprits qui dterminent si cet utilisateur peut se connecter. Sur un serveur autonome, vous pouvez dfinir ces proprits en cliquant avec le bouton droit sur le compte dutilisateur dans Utilisateurs et groupes locaux puis en cliquant sur Proprits. Sur un contrleur de domaine, cliquez avec le bouton droit sur le compte dutilisateur dans la console Utilisateurs et ordinateurs Active Directory, puis cliquez sur Proprits.

13

Protocoles de tunneling VPN

Le tunneling autorise lencapsulation dun paquet dun type de protocole dans le datagramme dun protocole diffrent. Par exemple, VPN utilise le protocole PPTP pour encapsuler les paquets IP sur un rseau public tel quInternet. Une solution VPN base sur le protocole PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol ou SSTP (Secure Socket Tunneling Protocol) peut tre configure.

14

Les protocoles PPTP, L2TP et SSTP dpendent en grande partie des fonctionnalits spcifies lorigine pour le protocole PPP (Point-to-Point Protocol). Ce dernier a t conu pour envoyer des donnes sur des connexions daccs distance ou des connexions point point ddies. Pour le protocole IP, le protocole PPP encapsule les paquets IP dans des trames PPP, puis transmet les paquets PPP encapsuls sur une liaison point point. Le protocole PPP a t dfini lorigine comme protocole utiliser entre un client daccs distance et un serveur daccs distance.

PPTP
Le protocole PPP autorise le chiffrement du trafic multi protocole, puis son encapsulation dans un en-tte IP devant tre envoy sur un rseau IP ou un rseau public IP tel quInternet. Le protocole PPTP peut tre utilis pour les connexions daccs distance et VPN de site site. Lors de lutilisation dInternet en tant que rseau public pour VPN, le serveur PPTP est un serveur VPN compatible PPTP avec une interface sur Internet et une autre interface sur lintranet.

Encapsulation
Le protocole PPTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le rseau. Il utilise une connexion TCP pour la gestion de tunnel et une version modifie de GRE (Generic Routing Encapsulation) pour encapsuler les trames PPP pour les donnes tunneles. Les charges utiles des trames PPP encapsules peuvent tre chiffres, compresses ou les deux. La figure suivante illustre la structure dun paquet PPTP contenant un datagramme IP. Structure dun paquet PPTP contenant un datagramme IP

Chiffrement
La trame PPP est chiffre avec MPPE (Microsoft Point-to-Point Encryption) au moyen de cls de chiffrement gnres partir du processus dauthentification MS-CHAP v2 ou EAPTLS. Les clients de rseau priv virtuel doivent utiliser le protocole dauthentification MSCHAP v2 ou EAP-TLS pour que les charges utiles des trames PPP soient chiffres. Le protocole PPTP tire parti du chiffrement PPP sous-jacent et encapsule une trame PPP prcdemment chiffre.

L2TP
Le protocole L2TP autorise le chiffrement du trafic multiprotocole, puis son envoi sur tout support prenant en charge la remise de datagramme point point, tel quIP ou ATM (Asynchronous Transfer Mode). Le protocole L2TP est une combinaison de PPTP et de L2F

15

(Layer 2 Forwarding), une technologie dveloppe par Cisco Systems, Inc. L2TP reprsente les meilleures fonctionnalits de PPTP et L2F. Contrairement PPTP, limplmentation Microsoft de L2TP nutilise pas MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP repose sur la scurit IPsec (Internet Protocol security) en mode Transport pour les services de chiffrement. La combinaison de L2TP et IPsec porte le nom de L2TP/IPsec. L2TP et IPsec doivent tous deux tre pris en charge par le client VPN et le serveur VPN. La prise en charge des clients pour L2TP est intgre aux clients daccs distance Windows Vista et Windows XP et la prise en charge de serveur VPN pour L2TP est intgre aux membres de la famille Windows Server 2008 et Windows Server 2003. L2TP est install avec le protocole TCP/IP.

Encapsulation
Lencapsulation des paquets L2TP/IPsec est constitue de deux couches :

Premire couche : encapsulation L2TP

Une trame PPP (un datagramme IP) est enveloppe dans un en-tte L2TP et un en-tte UDP. Structure dun paquet L2TP contenant un datagramme IP

Deuxime couche : encapsulation IPsec

Le message L2TP rsultant est ensuite envelopp avec un en-tte et un code de fin ESP (Encapsulating Security Payload) IPsec, un code de fin dauthentification IPsec qui fournit lintgrit de message et lauthentification, et un en-tte IP final. Dans len-tte IP se trouvent les adresses IP source et de destination qui correspondent au client VPN et au serveur VPN.

Chiffrement du trafic L2TP avec ESP IPsec

16

Chiffrement
Le message L2TP est chiffr avec DES (Data Encryption Standard) ou 3DES (Triple DES) au moyen de cls de chiffrement gnres partir du processus de ngociation IKE (Internet Key Exchange).

SSTP
SSTP (Secure Socket Tunneling Protocol) est un nouveau protocole de tunneling qui utilise le protocole HTTPS sur le port TCP 443 pour faire passer le trafic travers les pare-feu et les proxys Web qui peuvent bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP fournit un mcanisme permettant dencapsuler le trafic PPP sur le canal SSL du protocole HTTPS. Lutilisation de PPP permet la prise en charge de mthodes dauthentification fermes, telles quEAP-TLS. Le protocole SSL procure une scurit de niveau transport avec une ngociation de cls, un chiffrement et une vrification de lintgrit amliors. Lorsquun client tente dtablir une connexion VPN SSTP, le protocole SSTP tablit dabord une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets de protocole transitent en tant que charge utile de donnes.

Encapsulation
Le protocole SSTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le rseau. SSTP utilise une connexion TCP (sur le port 443) pour la gestion de tunnel, ainsi que des trames de donnes PPP.

Chiffrement
Le message SSTP est chiffr avec le canal SSL du protocole HTTPS.

Choix parmi les protocoles de tunneling

Lorsque vous choisissez parmi des solutions VPN daccs distance PPTP, L2TP/IPsec et SSTP, considrez les points suivants :

Le protocole PPTP peut tre utilis avec une large gamme de clients Microsoft, y compris Microsoft Windows 2000, Windows XP, Windows Vista et Windows

17

Server 2008. Contrairement L2TP/IPsec, PPTP ne ncessite pas lutilisation dune infrastructure cl publique (PKI). Grce au chiffrement, les connexions VPN PPTP assure la confidentialit des donnes (les paquets capturs ne peuvent pas tre interprts sans la cl de chiffrement). Les connexions VPN PPTP, en revanche, nassurent pas lintgrit des donnes (preuve que les donnes nont pas t modifies en transit), ni lauthentification de lorigine des donnes (preuve que les donnes ont t envoyes par lutilisateur autoris).

Le protocole L2TP peut tre utilis uniquement avec les ordinateurs Windows 2000, Windows XP ou Windows Vista. L2TP prend en charge les certificats dordinateurs ou une cl prpartage en guise de mthode dauthentification pour IPsec. Lauthentification de certificat dordinateur, la mthode dauthentification recommande, requiert une infrastructure PKI afin de dlivrer des certificats lordinateur serveur VPN et tous les ordinateurs clients VPN. Grce IPsec, les connexions VPN L2TP/IPsec assurent la confidentialit, lintgrit et lauthentification des donnes. Contrairement PPTP et SSTP, L2TP/IPsec autorise lauthentification dordinateur au niveau de la couche IPsec et lauthentification utilisateur au niveau de la couche PPP. Le protocole SSTP peut tre utilis uniquement avec les ordinateurs clients excutant Windows Vista Service Pack 1 (SP1) ou Windows Server 2008. Grce SSL, les connexions VPN SSTP assurent la confidentialit, lintgrit et lauthentification des donnes. Les trois types de tunnels transportent les trames PPP par-dessus la pile de protocoles rseau. Par consquent, les fonctionnalits communes de PPP, telles que les modles dauthentification, la ngociation IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la protection daccs rseau (NAP) demeurent identiques pour les trois types de tunnels.

Accs rseau distance

18

Laccs rseau distance est une technologie daccs distance disponible dans le cadre du service Routage et accs distant (RRAS). Laccs distance fournit une solution simple pour les entreprises qui souhaitent permettre aux employs daccder distance leurs comptes de messagerie lectronique dentreprise et de partager des fichiers depuis leur domicile ou autres emplacements en dehors du rseau dentreprise. Avec laccs distance, un client daccs distance peut utiliser linfrastructure de rseau tendu (WAN) pour se connecter un serveur daccs distance. Un client daccs distance utilise le systme tlphonique pour crer un circuit physique temporaire ou un circuit virtuel un port sur un serveur daccs distance. Une fois le circuit physique ou virtuel cr, le reste des paramtres de connexion peut tre ngoci. Laccs rseau distance prend en charge le routage de connexion la demande pour favoriser la rduction des cots tlphoniques.

Composants dune connexion daccs rseau distance

Une connexion daccs rseau distance est constitue des composants suivants :

Client daccs distance

Les clients daccs distance utilisant Windows, UNIX et Macintosh peuvent se connecter un serveur daccs distance RRAS.

Serveur daccs distance

Le serveur daccs distance RRAS accepte les connexions daccs rseau distance et transfre les paquets entre les clients daccs distance et le rseau auquel le serveur RRAS est connect.

quipement daccs rseau distance et infrastructure de rseau tendu

La connexion physique ou logique entre le serveur daccs distance et le client daccs distance est facilite par lquipement daccs rseau distance install sur le client daccs distance, le serveur daccs distance et linfrastructure de rseau tendu. La nature de lquipement daccs rseau distance et de linfrastructure de rseau tendu varie selon le type de connexion. Les sections suivantes dcrivent les mthodes les plus courantes daccs rseau distance :

19

Rseau tlphonique public commut (PSTN)

Le systme Rseau tlphonique public commut, galement appel POTS (Plain Old Telephone Service) ou PSTN (Public Switched Telephone Network) est le systme tlphonique analogique conu pour transporter les frquences minimales requises pour distinguer les voix humaines. Lquipement daccs rseau distance est compos dun modem analogique sur le client daccs distance et dau moins un modem analogique sur le serveur daccs distance. Pour les grandes organisations, le serveur daccs distance est attach une banque de modems contenant jusqu plusieurs centaines de modems. Le systme PSTN nayant pas t conu pour la transmission de donnes, sa vitesse de transmission est limite par rapport dautres mthodes de connexion. Connexion PSTN standard

Liaisons numriques V.90

La vitesse de transmisson maximale du systme PSTN dpend de la plage de frquences passes par les commutateurs PSTN et du rapport signal-bruit de la connexion. Le systme tlphonique analogique utilis de nos jours est analogique uniquement sur la boucle locale, lensemble de cbles qui connectent le client au commutateur PSTN central. Aprs avoir atteint le commutateur PSTN, le signal analogique est converti en un signal numrique. Lorsquun serveur RRAS est connect un central par le biais dun commutateur numrique bas sur T-Carrier ou RNIS plutt quun commutateur PSTN analogique, le rapport signal/bruit est plus lev en raison du plus faible nombre de conversions numriques analogiques et, par consquent, dun taux dchantillonnage plus lev. Avec cette technologique, nomme V.90, les clients daccs distance peuvent envoyer des donnes 33,6 kilobits par seconde (Kbits/s) et recevoir des donnes 56 Kbits/s. Aux tatsUnis, la vitesse de transmission maximale en rception est de 53 Kbps cause des rglementations relatives la puissance imposes par la FCC (Federal Communications Commission). Pour obtenir des vitesses V.90 :

Le client daccs distance doit utiliser un modem V.90.

20

Le serveur daccs distance doit utiliser un commutateur numrique V.90 et doit tre connect au rseau PSTN au moyen dune liaison numrique, telle que T-Carrier ou RNIS. Il ne peut pas y avoir de conversions analogiques/numriques dans le chemin entre le serveur daccs distance et le client daccs distance.

Connexion PSTN avec V.90

21

Autorisations pour les utilisateurs de laccs distance

Aprs linstallation du service Routage et accs distant (RRAS), vous devez spcifier les utilisateurs qui sont autoriss se connecter au serveur RRAS. Lautorisation RRAS est dtermine par les proprits daccs distant sur le compte dutilisateur, les stratgies rseau, ou les deux. Il nest pas ncessaire de crer de comptes dutilisateurs simplement pour les utilisateurs daccs distance. Les serveurs RRAS peuvent utiliser des comptes dutilisateurs existants dans les bases de donnes de comptes dutilisateurs. Dans Utilisateurs et groupes locaux et Utilisateurs et ordinateurs Active Directory, les comptes dutilisateurs comportent un onglet Appel entrant dans lequel vous pouvez configurer les autorisations daccs distant. Pour un grand nombre dutilisateurs, nous vous recommandons de configurer les stratgies rseau sur un serveur excutant NPS (Network Policy Server).

Scurit avant la connexion

Les tapes suivantes dcrivent ce qui se produit lors dune tentative de connexion dun client daccs distance un serveur RRAS configur pour utiliser lauthentification Windows : 1. Un client daccs distance tente de se connecter un serveur RRAS. 2. Le serveur envoie un dfi au client. 3. Le client envoie au serveur une rponse chiffre compose dun nom dutilisateur, dun nom de domaine et dun mot de passe. 4. Le serveur compare la rponse au contenu de la base de donnes de comptes dutilisateurs. 5. Si le compte est valide et que les informations dauthentification sont correctes, le serveur utilise les proprits dappel entrant du compte dutilisateur et les stratgies rseau pour autoriser la connexion. Sil sagit dune connexion daccs distance et si le rappel est activ, le serveur rompt la connexion, rappelle le client et continue le processus de ngociation de connexion. Remarques Les tapes 2 et 3 supposent que le client daccs distance et le serveur RRAS utilisent le protocole dauthentification MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) ou CHAP (Challenge Handshake Authentication Protocol). Lenvoi dinformations didentification du client varie pour dautres protocoles dauthentification. Si le serveur RRAS est membre dun domaine et que la rponse de lutilisateur ne contient pas de nom de domaine, le nom de domaine du serveur RRAS est utilis par dfaut. Si vous souhaitez utiliser un nom de domaine diffrent de celui du serveur RRAS, sur le client daccs distance, affectez la valeur de Registre suivante le nom du domaine que vous souhaitez utiliser : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\Control Protocols\BuiltIn\DefaultDomain

22

Attention Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant dapporter des modifications au Registre, il est conseill de sauvegarder toutes les donnes importantes stockes sur lordinateur.

Scurit aprs la connexion

Les informations didentification utilises pour laccs distance ne font que procurer un canal de communication vers le rseau cible. Le client ne se connecte pas au rseau suite ltablissement dune connexion daccs distance. Chaque fois que le client tente daccder une ressource rseau, il lui est demand de fournir des informations didentification. Sil ne rpond pas au dfi avec de bonnes informations didentification, la tentative daccs choue. Windows ajoute une fonctionnalit afin de simplifier laccs distance. Aprs une connexion russie, les clients daccs distance qui excutent Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 mettent en cache ces informations didentification en tant quinformations didentification par dfaut pour toute la dure de la connexion daccs distance. Lorsquune ressource rseau envoie un dfi au client daccs distance, celui-ci fournit les informations didentification mises en cache sans quil soit ncessaire lutilisateur de les entrer de nouveau.

23

Attribution dadresses IP
Lorsquun client daccs distance initie une connexion au serveur RRAS, il cre une interface logique temporaire (galement appele interface virtuelle ou carte rseau virtuelle) et demande que le serveur RRAS affecte une adresse IP cette interface logique. Les adresses IPV6 (Internet Protocol version 6) et IPv4 (Internet Protocol version 4) sont prises en charge. Pour plus dinformations, voir Adressage IPv6 (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140606) et Adressage IPv4 (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140607). Laffectation dadresses IP peut avoir lieu dune des manires suivantes :

partir dun serveur DHCP

Le serveur RRAS obtient les adresses IP affecter un client distant partir dun serveur DHCP sur lintranet. Il sagit de la mthode prfre pour laffectation dadresses IP. Le serveur RRAS se comporte comme un client DHCP pour le serveur DHCP et obtient 10 adresses IP la fois. mesure que les clients daccs distance se connectent au serveur RRAS, les adresses IP sont affectes aux clients laide du protocole IPCP (Internet Protocol Control Protocol). IPCP a le mme rle sur une liaison PPP que le protocole DHCP sur un rseaux Ethernet. DHCP peut tre utilis pour affecter des adresses IPv6 et IPv4. Si un serveur DHCP ne peut pas tre contact, le serveur RRAS affecte automatiquement des adresses IPv4 partir de la plage APIPA (Automatic Private Internet Protocol Addressing) 168.254.0.1 169.254.255.254. Si un serveur DHCP ne peut pas tre contact pour des adresses IPv6, laffectation de prfixes IPv6 configure sur le serveur RRAS est utilise par le client avec un ID dinterface gnr localement pour crer une adresse IPv6 routable.

partir dune plage dadresses configure par un serveur

Le serveur RRAS obtient ladresse IPv4 partir dun pool statique dadresses configur sur le serveur RRAS. Si vous configurez un pool dadresses statiques, nutilisez pas dadresses IP qui sont dj affectes des ordinateurs ou qui sont dans une plage que votre serveur DHCP pourrait affecter un autre ordinateur. Le pool peut tre compos de plages dadresses qui constituent un sous-ensemble dadresses du rseau IP auquel le serveur est connect ou un sous-ensemble distinct. Si les plages dadresses du pool dadresses IP statiques reprsentent un sous-ensemble diffrent, assurez-vous quil existe des itinraires vers les plages dadresses sur les routeurs de votre intranet, de sorte que le trafic vers linterface logique dun client distant soit transfr vers le serveur daccs distance. Pour IPv6, seul le prfixe est affect. LID dinterface est gnr automatiquement par le client, qui utilise ensuite la dcouverte du voisinage IPv6 pour garantir lunicit.

24

 partir dune adresse statique spcifie dans le compte dutilisateur

Vous pouvez configurer une adresse IP statique pour un client slectionn sous longlet Appel entrant du compte dutilisateur pour le client distant ou dans une stratgie rseau. Lorsquun client distant initie une connexion, cre une interface logique temporaire et demande ce que le serveur daccs distance affecte une adresse IP cette interface logique, le serveur daccs distance affecte les adresses IPv4 et IPv6 spcifies dans le compte dutilisateur du client distant. Cette mthode est idale pour un petit nombre dutilisateurs distants.

25

Protocoles dauthentification de laccs distance

Laccs distance dans cette version de Windows prend en charge les protocoles dauthentification daccs distance rpertoris dans le tableau suivant. Ils sont rpertoris dans un ordre de scurit dcroissant. Nous vous recommandons dutiliser les protocoles EAPO (Extensible Authentication Protocol) et MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2), et dviter lutilisation des protocoles CHAP (Challenge Handshake Authentication Protocol) et PAP (Password Authentication Protocol).

Protocole

Description Autorise lauthentification arbitraire dune connexion daccs distance grce lutilisation de modles dauthentification appels types EAP.

Niveau de scurit

EAP

EAP procure la scurit la plus leve grce la plus grande flexibilit dans les variantes dauthentification. Pour plus dinformations, voir EAP (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140608).

Prend en charge lauthentification mutuelle bidirectionnelle. Le MS-CHAP v2 fournit une scurit plus forte que CHAP. MSclient daccs distance Pour plus dinformations, voir MS-CHAP v2 CHAP v2 reoit une vrification (ventuellement en anglais) indiquant que le serveur (http://go.microsoft.com/fwlink/?linkid=140609). daccs distance quil appelle a accs au mot de passe de lutilisateur. CHAP est une amlioration par rapport au protocole PAP, dans la mesure o le mot de passe nest pas envoy sur la Utilise le schma de liaison PPP. CHAP requiert une version en texte clair du hachage MD5 (Message mot de passe afin de valider la rponse la stimulation. Digest 5) pour chiffrer CHAP nassure aucune protection contre lemprunt la rponse. didentit de serveur distant. Pour plus dinformations, voir CHAP (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140610). Utilise des mots de passe en texte clair. Gnralement utilis si le client daccs distance et le serveur PAP est le protocole dauthentification le moins sr. Il nassure aucune protection contre les attaques par relecture, lemprunt didentit de client distant ou lemprunt didentit de serveur distant. Pour plus dinformations, voir PAP (ventuellement en anglais)

CHAP

PAP

26

daccs distance ne peuvent pas ngocier de (http://go.microsoft.com/fwlink/?linkid=140611). forme de validation plus scurise.

Accs non authentifi

RRAS prend galement en charge laccs non authentifi, ce qui signifie quaucune information didentification utilisateur (nom dutilisateur et mot de passe) nest requise. Il existe des situations dans lesquelles laccs non authentifi est utile. Pour plus dinformations, voir Accs non authentifi (ventuellement en anglais) (http://go.microsoft.com/fwlink/? linkid=73649). Scurit Remarques Lorsque vous activez laccs non authentifi, les utilisateurs daccs distance sont connects sans envoyer aucune information didentification. Un client daccs distance non authentifi ne ngocie pas lutilisation dun protocole dauthentification commun durant le processus dtablissement de connexion et nenvoie pas de nom dutilisateur ou de mot de passe. Laccs non authentifi avec les clients daccs distance peut avoir lieu lorsque les protocoles dauthentification configurs par le client daccs distance ne correspondent pas ceux configurs sur le serveur daccs distance. Dans ce cas, lutilisation dun protocole dauthentification commun nest pas ngocie et le client daccs distance nenvoie ni nom dutilisateur ni mot de passe.

27

Routage
Le routage est le processus de rception dun paquet rseau du rseau connect une interface et son transfert au rseau connect une autre interface. 1. Routage IPv4 (ventuellement en anglais) pages 28 43 (http://go.microsoft.com/fwlink/?linkid=140614) 2. Routage IPv6 (ventuellement en anglais) pages 44 45 (http://go.microsoft.com/fwlink/?linkid=140615) 3. Routage statique (ventuellement en anglais) pages 46 47 (http://go.microsoft.com/fwlink/?linkid=140617) 4. Traduction dadresses rseau (ventuellement en anglais) pages 48 55 (http://go.microsoft.com/fwlink/?linkid=140619) 5. Routage de connexion la demande (ventuellement en anglais) pages 56 63 (http://go.microsoft.com/fwlink/?linkid=140603)

Quest-ce que le routage de monodiffusion IPv4 ?

Le routage de monodiffusion consiste transfrer le trafic destin un emplacement unique sur un rseau partir dun hte source vers un hte de destination au moyen de routeurs. Aujourdhui, la plupart du trafic rseau mondial seffectue par le biais du protocole IPv4 (Internet Protocol version 4) et la plupart du trafic initi par les utilisateurs sur les rseaux IPv4 est un trafic de monodiffusion. Le routage IP de monodiffusion a lieu sur tous les rseaux IP connects par des routeurs, y compris :

Un intranet IP non connect Internet Internet Les intranets connects Internet ou dautres intranets par le biais dInternet

Les systmes dexploitation les plus rpandus pour lesquels TCP/IP est le protocole rseau principal sont Windows et UNIX. Tout rseau Windows prend en charge le routage IP de monodiffusion. Cela comprend les rseaux qui utilisent uniquement des routeurs matriels, les rseaux qui utilisent des routeurs logiciels tels que le service Routage et accs distance inclus dans Windows Server 2008 ou les rseaux qui utilisent une combinaison de routeurs matriels et logiciels.

28

Fonctionnement du routage de monodiffusion IPv4

Composants rseau du routage IPv4 de monodiffusion
Le routage IP de monodiffusion est le processus de transfert de donnes sous la forme de paquets IP de monodiffusion sur un rseau IP partir dun nud source unique (ordinateur ou autre priphrique rseau) vers un nud de destination unique. Un routeur IP est un nud qui transfre des paquets IP entre des interfaces (qui peuvent tre des cartes rseau physiques ou des interfaces logiques telles que des tunnels) en fonction des informations stockes dans une base de donnes appele table de routage. La figure suivante illustre un rseau IP simple dans lequel a lieu le routage IP de monodiffusion.

Le tableau suivant dcrit chacun des composants de routage, tels que dfinis par lInternational Organization for Standardization (ISO), illustrs sur la figure.

Composant rseau

Description

Priphrique rseau qui ne peut pas transfrer de paquets IP. Les systmes finaux sont galement appels htes. Un ordinateur qui ne joue pas le rle de Systme final routeur est un exemple de systme final. (Collectivement, les htes et les routeurs portent le nom de nuds.) Systme intermdiaire Routeur Priphrique rseau qui peut transfrer des paquets IP qui ne lui sont pas adresss. Les ponts, les commutateurs et les routeurs sont des exemples de systmes intermdiaires. Systme intermdiaire utilis pour se connecter des segments rseau (sousrseaux) en fonction dun protocole de couche rseau commun tel quIP. Sur la figure prcdente, le systme intermdiaire est un routeur. Les routeurs incluent les catgories suivantes :

Routeurs matriels. Priphrique qui assure le routage en tant que fonction ddie et conu et optimis spcifiquement pour le routage. Par exemple, les routeurs fabriqus par Cisco Systems, Inc. sont

29

largement dploys dans les rseaux IP.

Routeurs logiciels. Ordinateur sur lequel le routage ne constitue que lun des nombreux processus excuts. Par exemple, un ordinateur excutant Windows Server 2008 avec le service Routage et accs distance activ est un routeur logiciel.

Un routeur peut tre configur de faon effectuer uniquement le routage statique, uniquement le routage dynamique ou, plus gnralement, principalement le routage dynamique complt par certains itinraires statiques configurs manuellement. Partie de linfrastructure rseau (rpteurs, concentrateurs, ponts ou commutateurs de couche 2) adjacente un systme intermdiaire et dont les ordinateurs et autres priphriques rseau partagent une adresse rseau commune appele ID rseau. galement appel segment rseau ou sousrseau.

Rseau

Lorsquun nud sur un rseau IP envoie un paquet IP de monodiffusion un nud sur un autre rseau, il transfre en gnral dabord le paquet un routeur. Celui-ci examine le paquet et utilise ladresse rseau de destination contenue dans len-tte de paquet pour dterminer laquelle des interfaces du routeur utiliser pour transfrer le paquet jusqu sa destination. Len-tte de couche rseau de tout paquet IPv4 envoy partir dun nud source vers un nud de destination sur un rseau IPv4 inclut les lments suivants :

Une adresse IPv4 source, qui contient un ID rseau source et un ID dhte source. Une adresse IPv4 de destination, qui contient un ID rseau de destination et un ID dhte de destination. Une valeur TTL (Time-To-Live), utilise pour empcher le paquet de circuler indfiniment sur le rseau. Le paramtre TTL commence une valeur maximale et dcrmente de un pour chaque liaison traverse ; si zro est atteint le paquet est rejet et un message est renvoy au nud expditeur do provenait le paquet. Remarque Le nombre de liaisons TTL (nombre de liaisons de couche interface rseau traverses pour atteindre une destination donne) est diffrent du nombre de sauts (nombre de routeurs traverss pour atteindre une destination). Le nombre de liaisons, qui correspond au nombre de segments rseau, est gal au nombre de sauts plus un. Par exemple, si deux nuds sont spars par cinq routeurs, le nombre de sauts est cinq mais le nombre de liaisons TTL est 6.

Fonctionnement de la table de routage IPv4

Sur un rseau IPv4, le protocole IP prend des dcisions de routage en consultant une base de donnes ditinraires appele table de routage IP. Chaque nud IP utilise sa propre table de routage pour stocker des informations relatives aux itinraires utilisables pour le transfert des

30

paquets IP de monodiffusion vers tout emplacement accessible. Un nud excutant Windows Server 2008 (ou Windows Vista) cre sa table de routage automatiquement en fonction de sa configuration TCP/IP actuelle, de ses entres de table de routage statique, des informations fournies par les protocoles de routage dynamique et des messages ICMP Redirection.

Table de routage IPv4

Chaque entre de la table de routage correspond un itinraire. Lorsquun nud IP doit transfrer un paquet IP, le protocole IP recherche dans la table de routage sur le nud un itinraire qui correspond le plus ladresse IP de destination mentionne dans le paquet. En rgle gnrale, le processus est le suivant :

Pour un hte IP. Un hte peut envoyer un paquet directement sa destination ou lui faire suivre un itinraire par dfaut {ID rseau : 0.0.0.0, Masque de sous-rseau : 0.0.0.0} pointant vers sa passerelle par dfaut. Une passerelle par dfaut est un routeur qui connecte des segments rseau IP distincts. Pour un routeur IP. Un routeur transfre un paquet en utilisant un itinraire statique explicite pour un segment rseau spcifique, un itinraire rsum, un itinraire dhte ou un itinraire par dfaut.

Exemple de table de routage

Un administrateur ou un utilisateur peut afficher ltat actuel de la table de routage IP sur un nud IP tout moment. Par exemple, considrez un nud configur comme suit :

Adresse IP : 157.54.27.90 Masque de sous-rseau : 255.255.240.0 Passerelle par dfaut : 157.54.16.1

Avec la notation de prfixe rseau, la paire adresse IP/masque de sous-rseau {157.54.27.90, 255.255.240.0} pour ce nud est exprime sous la forme 157.54.27.90/20. Le fait de taper route point une invite de commandes sur ce nud gnre la sortie indique dans la table suivante. Exemple de table de routage
Destination rseau Masque rseau Mtrique 0.0.0.0 0.0.0.0 127.0.0.0 255.0.0.0 157.54.16.0 255.255.240.0 157.54.27.90 255.255.255.255 157.54.255.255 255.255.255.255 224.0.0.0 240.0.0.0 255.255.255.255 255.255.255.255 Adr. passerelle 157.54.16.1 127.0.0.1 157.54.27.90 127.0.0.1 157.54.27.90 157.54.27.90 157.54.27.90 Adr. interface 20 1 20 20 20 20 1

157.54.27.90 127.0.0.1 157.54.27.90 127.0.0.1 157.54.27.90 157.54.27.90 157.54.27.90

Dans la sortie prcdente, la mtrique de routage dfinie 20 pour plusieurs lignes est la mtrique que le protocole TCP/IP Windows Server 2008 ou Windows Vista utilise pour une interface Ethernet 100-Mbps, pour une carte 802.11g ou pour une carte 802.11a. Le tableau

31

suivant rpertorie les critres utiliss par Windows Server 2008 ou Windows Vista pour affecter des mtriques des itinraires lis des interfaces rseau de diffrentes vitesses.

Mtriques affectes par la fonctionnalit de mtrique automatique

Vitesse de liaisons Suprieure 200 Mbps Mtrique 10

Suprieure 20 Mbps et infrieure ou gale 200 Mbps 20 Suprieure 4 Mbps et infrieure ou gale 20 Mbps Suprieure 500 Kbps et infrieure ou gale 4 Mbps Infrieure ou gale 500 Kbps 30 40 50

La fonctionnalit de mtrique automatique est active par dfaut par le biais de la case cocher Mtrique automatique sous longlet Paramtres IP sous les Paramtres TCP/IP avancs du protocole TCP/IP. Pour les passerelles par dfaut affectes par DHCP, vous pouvez outrepasser le comportement par dfaut qui consiste calculer automatiquement une mtrique pour litinraire par dfaut en fonction de la vitesse de la carte en utilisant loption DHCP spcifique Microsoft nomme Base mtrique du routeur par dfaut.

Comparaison table de routage/table de transfert

De nombreuses implmentations de routeur, y compris le service Routage et accs distance dans Windows Server 2008, utilisent la fois une table de routage et une table de transfert :

Table de routage. Stocke tous les itinraires depuis toutes les sources possibles. La commande netsh ro ip sh rtmr (autrement dit, netsh routing ip show rtmroutes) affiche la table de routage. Table de transfert. Utilise par le protocole IP pour transfrer les paquets. Les commandes route print et netsh ro ip sh rtmd (autrement dit, netsh routing ip show rtmdestinations) affichent la table de transfert IP.

Le service Routage et accs distance sur un routeur Windows Server 2008 assure la maintenance de la table de routage IP au moyen dun outil appel Gestionnaire de table de routage (abrg en rtm dans rtmroutes et rtmdestinations dans les commandes ci-dessus). Le Gestionnaire de table de routage met jour la table de transfert IP (contenue dans le protocole TCP/IP) en fonction des informations ditinraire entrant de plusieurs sources. Le contenu de la table de routage ne correspond pas ncessairement au contenu de la table de transfert.

32

Structure de la table de routage IPv4

Types ditinraires
Le tableau suivant dcrit les types ditinraires stocks dans une table de routage IP. Pour une description de chaque itinraire dans une table de routage relle, voir la table Itinraires dans une table de routage IP plus loin dans cette rubrique.

Types ditinraires stocks dans une table de routage IP

Type ditinraire Description Itinraire rseau Itinraire vers un ID rseau local spcifique. Cet itinraire identifie un local segment rseau directement connect au nud. (Itinraire rseau Pour un itinraire rseau local, la colonne Passerelle (parfois nomme Saut connect suivant) peut tre vide ou peut contenir ladresse IP de linterface sur ce directement) segment rseau. Itinraire vers un ID rseau distant spcifique. Cet itinraire identifie un segment rseau qui nest pas directement connect au nud mais qui est accessible par le biais dun ou plusieurs routeurs. Itinraire rseau distant Pour un itinraire rseau distant, la colonne Passerelle (Saut suivant) contient ladresse IP dun routeur local situ entre le nud et le rseau distant. Itinraire vers une adresse IP (ID rseau + ID dhte) sur le rseau. Au lieu dtre base simplement sur lID rseau, comme cest le cas pour un itinraire rseau local ou distant, la dcision de routage pour un itinraire hte est base sur la combinaison dID rseau et dID dhte. Pour un itinraire hte, la colonne Destination rseau contient ladresse IP de lhte Itinraire hte spcifi et la colonne Masque rseau est 255.255.255.255. En gnral, un itinraire hte est utilis pour crer un itinraire personnalis afin de contrler ou doptimiser des types de trafics rseau spcifiques. Itinraire utilis lorsquil nexiste aucun meilleur itinraire pour la destination dans la table de routage. Linclusion dun itinraire par dfaut dans la table de routage signifie quil nest pas ncessaire que celle-ci contienne des itinraires pour chaque ID rseau sur le rseau. Lutilisation dun itinraire par dfaut simplifie par consquent la configuration des htes ou des routeurs.

Itinraire par dfaut

Passerelles par dfaut et itinraires par dfaut

La configuration dune passerelle par dfaut cre un itinraire par dfaut dans la table de routage IP. Pour les nuds IP, la passerelle par dfaut (galement appele routeur par dfaut) est un routeur IP voisin qui transfre le trafic IP de monodiffusion pour le nud en fournissant une adresse IP de saut suivant (la colonne Passerelle dans la table de routage) et une interface (la colonne Interface dans la table de routage) pour toutes les destinations qui ne 33

se trouvent pas sur le sous-rseau local. Ladresse de passerelle par dfaut est ladresse IP dun routeur IP accessible directement.

La passerelle par dfaut sur un ordinateur excutant Windows Server 2008 ou Windows Vista est configure au moyen dune des mthodes suivantes :

Onglet Gnral des proprits TCP/IP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais dune configuration manuelle, la passerelle par dfaut est ladresse IP contenue dans le champ Passerelle par dfaut sous longlet Gnral de la page de proprits TCP/IP. Vous pouvez configurer plusieurs passerelles par dfaut en les ajoutant sous longlet Paramtres IP de la page Paramtres TCP/IP avancs des proprits TCP/IP. Onglet Configuration alternative des proprits TCP/IP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais dune option de configuration alternative configure par lutilisateur, la passerelle par dfaut est ladresse IP contenue dans le champ Passerelle par dfaut sous longlet Configuration alternative de la page de proprits TCP/IP. Vous ne pouvez spcifier quune seule passerelle par dfaut. La fonctionnalit de configuration alternative TCP/IP permet lordinateur de fonctionner sur deux rseaux, voire davantage (un configur avec des adresses IP statiques et un autre configur avec DHCP) sans reconfiguration des paramtres de carte rseau. Lorsque aucun serveur DHCP nest disponible, la connexion utilise la configuration spcifie sous longlet Configuration alternative. DHCP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais du protocole DHCP, la passerelle par dfaut est la valeur de la premire adresse IP dans loption DHCP Routeur. Loption DHCP Routeur spcifie une liste ordonne dune ou plusieurs passerelles par dfaut. Si vous utilisez un serveur DHCP bas sur Windows Server 2008, loption Routeur se trouve dans le volet Dtails dans larborescence de la console du composant logiciel enfichable DHCP sous Nom_Serveur\Nom_tendue\Scope Options. Dcouverte de routeur ICMP. Si vous souhaitez que le nud dcouvre automatiquement le meilleur routeur passerelle par dfaut disponible sur un sousrseau, vous pouvez configurer les nuds de ce sous-rseau pour quils utilisent la dcouverte de routeur ICMP. Les messages Sollicitation de routeur ICMP et les messages Publication de routage changs entre les routeurs et les htes permettent aux htes de dcouvrir de manire dynamique les routeurs locaux qui sont disponibles, ceux qui sont dsactivs et celui qui constitue actuellement la meilleure passerelle par dfaut utiliser sur un sous-rseau. Grce lutilisation de la dcouverte de routeur ICMP, un hte peut basculer automatiquement vers une autre passerelle par dfaut si sa passerelle par dfaut actuelle devient indisponible.

Champs et enregistrements dans la base de donnes de table de routage IP

Comme avec toute base de donnes, la comprhension de la table de routage implique de bien comprendre la relation entre les enregistrements (lignes) et les champs (colonnes) qui composent la table de routage IP. On saisira mieux cette relation au moyen dun exemple. Le tableau suivant contient les mmes informations que celles affiches dans l Exemple de

34

table de routage plus haut dans cette rubrique. Chaque ligne est libelle avec le type ditinraire pour cette entre.

Exemple dinformations stockes dans une table de routage IP

Type Destination rseau Masque rseau 0.0.0.0 255.0.0.0 Passerelle Interface Mtrique

Itinraire par dfaut 0.0.0.0 Itinraire rseau de 127.0.0.0 bouclage Itinraire rseau local (Itinraire rseau 157.54.16.0 connect directement) Itinraire hte local (Itinraire dadresse 157.54.27.90 IP locale) Itinraire de diffusion rseau

157.54.16.1 157.54.27.90 20 127.0.0.1 127.0.0.1 1

255.255.240.0

157.54.27.90 157.54.27.90 20

255.255.255.255 127.0.0.1

127.0.0.1

20

(Itinraire de 157.54.255.255 255.255.255.255 157.54.27.90 157.54.27.90 20 diffusion dirig vers tous les sousrseaux) Itinraire dadresse 224.0.0.0 de multidiffusion Itinraire de diffusion limite 240.0.0.0 157.54.27.90 157.54.27.90 20

255.255.255.255 255.255.255.255 157.54.27.90 157.54.27.90 1

Colonnes de la table de routage

Le tableau suivant dcrit chaque champ, ou colonne, de la table de routage IP.

Colonnes pour chaque entre de la table de routage

Colonne Description Contient lun des lments suivants :

Destination rseau

Adresse IP. Une adresse IP pour un itinraire hte. ID rseau. Un ID rseau bas sur la classe, de sous-rseau ou rsum.

Masque rseau Contient le masque de sous-rseau que le protocole IP applique ladresse IP

35

de destination. Si la destination et le masque de sous-rseau correspondent la destination rseau, litinraire constitue une correspondance pour la destination. Le processus est le suivant : 1. Le protocole IP effectue une opration binaire AND logique entre ladresse IP de destination du paquet et la valeur contenue dans la colonne Masque rseau. 2. Le rsultat est compar la valeur inscrite dans la colonne Destination rseau. 3. Lorsque le protocole IP compare chaque bit de ladresse IP de destination au bit correspondant dans le masque de sous-rseau, lopration AND binaire fonctionne comme suit : o Si les deux bits sont 1, le bit rsultant est 1. o Si les deux bits ne sont pas 1, le bit rsultant est 0. Exemples :

(Masque de sous-rseau)

Itinraire par dfaut. Le masque rseau de litinraire par dfaut est 0.0.0.0, ce qui se traduit par la valeur binaire 00000000 00000000 00000000 00000000. Lorsque le protocole IP effectue lopration AND entre une adresse IP de destination et ce masque de sous-rseau, le rsultat est constitu entirement de zros. Par consquent, aucun bit na besoin de correspondre et toute destination correspond litinraire par dfaut. Itinraire hte. Le masque rseau dun itinraire hte (un itinraire qui correspond une adresse IP spcifique) est 255.255.255.255, ce qui se traduit par la valeur binaire 11111111 11111111 11111111 11111111. Lorsque le protocole IP effectue lopration AND entre litinraire hte et ce masque de sous-rseau, seule une adresse IP de destination gale ladresse IP de litinraire hte correspond cet itinraire. Paquet avec ladresse IP 157.54.16.48. Lorsque le protocole IP effectue lopration AND entre 157.54.16.48 et le masque rseau pour litinraire rseau connect directement (dans cet exemple, 55.255.240.0), le rsultat est 157.54.16.0. Le masque de sous-rseau 255.255.240.0 requiert que tous les huit bits des deux premiers octets et les premiers quatre bits du troisime octet correspondent (240=11110000). Par consquent, la correspondance la plus proche pour ce paquet est le rseau connect directement (157.54.16.0/20).

Passerelle Contient soit ladresse IP dune carte rseau local pour les remises directes, (Saut suivant soit ladresse IP dun routeur IP (tel quun routeur passerelle par dfaut) sur le ou Adresse de segment rseau local pour les remises indirectes. Il sagit de ladresse IP transfert) utilise par le nud local pour transfrer le paquet IP. Interface Indique linterface rseau (carte rseau physique ou interface logique) qui sera utilise pour transfrer un paquet IP. 36

Indique le cot relatif des itinraires, de sorte que le meilleur itinraire parmi plusieurs itinraires possibles avec la meilleure correspondance vers la mme destination puisse tre slectionn. Sil existe plusieurs itinraires vers la mme destination avec des mtriques diffrentes, litinraire ayant la mtrique la plus faible est slectionn. Les mtriques peuvent exprimer la prfrence ditinraire de plusieurs manires :

Nombre de sauts. Indique le nombre de routeurs traverser pour atteindre un rseau de destination. Un ordinateur sur le sous-rseau local est un saut et chaque routeur travers aprs cela reprsente un saut supplmentaire. Dlai. Indique la dure ncessaire au paquet pour atteindre le rseau de destination. Le dlai fait rfrence la vitesse (les liaisons LAN ont un dlai plus court ; les liaisons WAN ont un dlai plus long) ou au niveau dencombrement du chemin daccs. Dbit. Indique la quantit de donnes pouvant tre envoyes sur le chemin daccs par seconde. Le dbit nindique pas ncessairement la vitesse de transmission de la liaison car une liaison Ethernet trs charge peut avoir un dbit infrieure celui dune liaison WAN de 64 kilobits par seconde (Kbps) inutilise. Fiabilit. Indique une mesure de la constance du chemin daccs. Certains types de liaisons sont plus susceptibles aux dfaillances. Par exemple, les liaisons WAN ligne alloue sont plus fiables que les lignes daccs distance.

Mtrique

RIP utilise une mtrique de nombre de sauts.

Lignes de la table de routage

Le tableau suivant dcrit chaque enregistrement, ou ligne, de la table de routage IP. Chaque ligne reprsente un itinraire. Dans la colonne Description, toutes les rfrences renvoient l Exemple de table de routage fourni plus haut.

Itinraires dans une table de routage IP

Itinraire Destination/Masque rseau (Notation de prfixe rseau) Description

0.0.0.0/0.0.0.0 Itinraire par dfaut (0.0.0.0/0, parfois crit 0/0)

Itinraire utilis sil nexiste aucun autre itinraire avec une meilleure correspondance pour ladresse de destination mentionne dans le paquet IP. Dans lexemple, le paquet IP est transfr 157.54.16.1 (la passerelle par dfaut) au moyen de linterface 157.54.27.90 (ladresse IP du nud).

37

127.0.0.0/255.0.0.0 Itinraire rseau de bouclage (127.0.0.0/8)

Itinraire utilis pour toute adresse IP de la forme 127.x.y.z (127.0.0.0 jusqu 127.255.255.255). Dans cet exemple, comme pour toute adresse IP comprise dans cette plage, le paquet IP est transfr ladresse IP de bouclage spciale 127.0.0.1 au moyen de linterface de bouclage. Itinraire utilis pour une adresse IP sur le sousrseau connect localement. Le paquet IP est transfr directement ladresse IP de destination (et non un routeur intermdiaire). Dans lexemple, le paquet IP est transfr sa destination au moyen de linterface affecte 15754.27.90 ; autrement dit, les colonnes Passerelle et Interface contiennent une adresse IP du nud, indiquant que le paquet sera envoy directement sa destination partir dune carte rseau laquelle est affecte une adresse IP sur ce nud. Itinraire utilis si ladresse IP mentionne dans le paquet est identique celle de lhte local. Le masque de sous-rseau 255.255.255.255 indique quil sagit dun itinraire hte. Dans cet exemple, comme pour toute adresse IP qui correspond lhte local, le paquet IP est transfr ladresse IP de bouclage 127.0.0.1 au moyen de linterface de bouclage. Itinraire utilis pour une adresse IP qui correspond ladresse de diffusion dirige vers tous les sous-rseaux. Le masque de sousrseau 255.255.255.255 indique quil sagit dun itinraire hte. Le paquet IP est transfr en tant que diffusion de niveau MAC vers les htes sur tous les sous-rseaux dun ID rseau sous-rseaux au moyen dune interface laquelle est affecte une adresse IP sur le nud local. Un itinraire de diffusion rseau existe uniquement si lID rseau local est obtenu partir dun ID rseau bas sur des classes.

Itinraire rseau connect directement (itinraire rseau local)

varie/varie

Itinraire hte local (Itinraire dadresse IP locale)

varie/255.255.255.255 (varie/32)

Itinraire de diffusion rseau varie/255.255.255.255 (Itinraire de diffusion dirig (varie/32) vers tous les sousrseaux)

224.0.0.0/240.0.0.0 Itinraire dadresse de multidiffusion (224.0.0.0/4) Itinraire utilis pour toutes les adresses IP de classe D rserves pour le trafic de multidiffusion. Le paquet de multidiffusion IP est transfr en tant que multidiffusion de

38

255.255.255.255/ Itinraire de diffusion limite 255.255.255.255 (255.255.255.255/32)

niveau MAC au groupe de multidiffusion au moyen dune interface laquelle est affecte une adresse IP sur le rseau local. Itinraire utilis pour une adresse IP qui correspond ladresse de diffusion limite. Le masque de sous-rseau 255.255.255.255 indique quil sagit dun itinraire hte. Le paquet IP est transfr en tant que diffusion de niveau MAC vers tous les htes sur le mme segment rseau au moyen dune interface laquelle est affecte une adresse IP sur le nud local. Litinraire de diffusion limite est utilis durant le processus de configuration DHCP, par exemple lorsquun client DHCP utilise ladresse de diffusion limite pour envoyer tout le trafic pendant quil attend que le serveur DHCP reconnaisse son bail dune adresse IP.

Consultation de la table de routage par le protocole IP

Lorsquun routeur ou un hte IP doit transfrer un paquet sa destination, le protocole IP consulte la table de routage sur ce nud afin de dterminer litinraire du paquet. Cette section rsume la manire dont le protocole IP consulte chaque ligne et colonne, puis fournit une description dtaille du processus de dtermination de litinraire.

Synopsis de la manire dont le protocole IP consulte la table de routage

Le tableau suivant rsume la manire dont le protocole IP utilise la table de routage IP.

Prsentation de lutilisation des lignes et colonnes de la table de routage par le protocole IP

Action Synthse des tapes Le protocole vrifie chaque itinraire dans la table afin de trouver celui ayant la meilleure correspondance. Les itinraires correspondant la destination varient du type ditinraire le plus spcifique au moins spcifique. Les itinraires ayant la correspondance la plus troite respectent lordre suivant : 1. Itinraire hte. 2. Itinraire reprsentant lID rseau dun sous-rseau local ou distant. 3. Itinraire reprsentant un ID rseau rsum. 4. Itinraire par dfaut.

Le protocole IP recherche sur chaque ligne

39

Le protocole IP utilise chaque colonne sur chaque ligne de la faon suivante : 1. Destination rseau et Masque rseau. Utilises conjointement pour dterminer si ladresse de destination dans le paquet IP correspond litinraire. Simultanment, le protocole IP utilise chaque colonne pour valuer chaque ligne 2. Mtrique. Utilise pour dterminer lentre correspondante slectionner si plusieurs itinraires correspondants sont dtects. 3. Passerelle et Interface. Utilises conjointement pour dterminer ladresse de saut suivant laquelle envoyer le paquet et linterface de saut suivant par le biais de laquelle transfrer le paquet. Trois dcisions de routage sont possibles :

Passer le paquet linterface de bouclage (si la destination du paquet est cet ordinateur ou est de la forme 124.x.y.z). Transfrer le paquet au moyen dune des cartes rseau connectes localement (si un itinraire correspondance troite a t trouv). Rejeter le paquet (si aucun itinraire correspondant na t trouv), puis (sur un hte) envoyer un message derreur en interne ou (sur un routeur) envoyer un message derreur lhte source.

Rsultat

La section suivante dcrit en dtail le processus par lequel le protocole IP dtermine la dcision de routage prendre.

Dtails de la prise de dcision relative au routage

Le protocole IP dtermine le meilleur itinraire vers une destination en comparant ladresse IP de destination mentionne dans le paquet chaque itinraire actuellement prsent dans la table de routage. Le processus dtaill est le suivant : 1. Dterminer si ladresse IP de destination du paquet correspond un ou plusieurs itinraires. Pour chaque entre de la table de routage, le protocole IP sur le nud effectue une opration AND binaire logique entre ladresse IP de destination du paquet et le masque de sous-rseau rpertori dans la colonne Masque rseau. Il compare la valeur obtenue la valeur inscrite dans la colonne Destination rseau :
o

Correspondance. Si un ou plusieurs itinraires correspondants sont trouvs, le protocole IP compile une liste des itinraires correspondants. Le protocole IP dtermine si un itinraire produit une correspondance de la manire suivante :

40

Itinraire hte. Tous les 32 bits correspondent ladresse IP de destination. Litinraire mne une seule adresse de destination. Itinraire reprsentant lID rseau dun sous-rseau local ou distant. Tous les bits de lID rseau correspondent ladresse IP de destination. Cet itinraire est soit un itinraire vers une destination sur le sous-rseau local, soit un itinraire vers une destination sur un rseau non local par le biais dun routeur. Itinraire reprsentant un ID rseau rsum. Tous les bits de lID rseau rsum correspondent ladresse IP de destination. Litinraire mne une destination sur lensemble de sous-rseaux rsum par cet itinraire rsum. Itinraire par dfaut. Tous les adresses IP de destination correspondent litinraire par dfaut. Il sagit de litinraire utilis lorsquil nexiste aucune correspondance plus spcifique. Aucune correspondance. Si aucun itinraire nest trouv (y compris aucun itinraire par dfaut), le protocole IP indique une condition derreur. Une condition aucune correspondance ne peut pas se produire sil existe un itinraire par dfaut. Si le nud est sur un hte, une erreur de routage IP est envoye en interne un protocole de couche suprieure (tel que TCP, UDP ou ICMP). Si le nud est un routeur, un message ICMP de destination inaccessible-hte inaccessible est envoy lhte source.

Pour plus dexemples illustrant lopration AND entre une adresse IP de destination et la valeur mentionne dans la colonne Masque rseau, voir la ligne Masque rseau dans le tableau Colonnes pour chaque entre de la table de routage dans Structure de la table de routage IPv4 plus haut dans cette rubrique. 2. Dterminer litinraire unique utiliser pour envoyer ou transfrer le paquet. Le rsultat du processus de dtermination de litinraire est le choix dun itinraire unique dans la table de routage : Si un seul itinraire a la correspondance la plus longue (la correspondance la plus longue est litinraire ayant le nombre le plus lev de bits dfinis 1 dans la colonne Masque rseau [le prfixe le plus long]), cet itinraire est slectionn. o Si plusieurs itinraires avec la correspondance la plus longue sont trouvs (par exemple plusieurs itinraires vers le mme ID rseau), le protocole IP slectionne litinraire ayant la mtrique la moins leve. o Sil existe plusieurs itinraires avec la correspondance la plus longue avec la mme mtrique la plus faible, le protocole IP slectionne litinraire associ linterface situe en premier dans lordre de liaison. Remarque Si un ordinateur possde plusieurs interfaces (cartes rseau), lordre de liaison est lordre dans lequel les services rseau accdent aux interfaces. Cet ordre reflte celui dans lequel le protocole TCP/IP est li chacune des interfaces. Pour modifier lordre de liaison relatif des interfaces sur un ordinateur excutant Windows Server 2008 ou Windows Vista, ouvrez Connexions rseau, slectionnez le menu Avanc, slectionnez Paramtres avancs, cliquez sur linterface dont vous souhaitez modifier lordre de
o

41

liaison, puis cliquez sur la flche Haut ou Bas selon les besoins. 3. Dterminer linterface et ladresse de saut suivant. Une fois quun itinraire a t slectionn, le protocole IP dtermine partir de lentre de table de routage ladresse IP de saut suivant et linterface (carte rseau physique ou port logique) utiliser pour transfrer le paquet : o Remise directe (vers le nud de destination). Si la destination est sur un sous-rseau directement connect lhte ou au routeur, le protocole IP remet le paquet au nud de destination. Dans ce cas, ladresse mentionne dans la colonne Passerelle est identique celle de la colonne Interface (ou la colonne Passerelle est vide) et ladresse IP de saut suivant est dfinie ladresse IP de destination mentionne dans le paquet IP. Linterface utilise est celle spcifie dans la colonne Interface de litinraire slectionn. L encore, si lon prend l Exemple de table de routage fourni plus haut, si le trafic est envoy 157.54.16.48, litinraire le plus spcifique est celui du rseau directement connect (157.54.16.0/20). Ladresse IP de saut suivant est dfinie ladresse IP de destination (157.54.16.48) et linterface utilise est la carte laquelle ladresse IP 157.54.27.90 a t affecte (linterface sur le nud local). Remise indirecte (au routeur suivant). Si la destination nest pas sur un sous-rseau directement connect au nud, le protocole IP remet le paquet un routeur voisin sur un sous-rseau directement connect, pour la suite du routage. Dans ce cas, ladresse mentionne dans la colonne Passerelle est diffrente de celle de la colonne Interface et ladresse IP de saut suivant est dfinie ladresse mentionne dans la colonne Passerelle. Linterface utilise est celle spcifie dans la colonne Interface de litinraire slectionn.

Par exemple, si le trafic est envoy 157.60.0.79, litinraire le plus spcifique est litinraire par dfaut (0.0.0.0/0). Ladresse IP de saut suivant est dfinie ladresse passerelle (157.54.16.1) et linterface utilise est, l encore, la carte laquelle ladresse IP 157.54.27.90 a t affecte (linterface sur le nud local). 4. Remise du paquet ARP. Le protocole IP remet le paquet, ladresse IP de saut suivant et linterface de saut suivant ARP. ARP rsout ladresse IP de saut suivant son adresse MAC et transfre le paquet, le cas chant, au saut suivant, qui est soit la destination, soit le routeur qui le transfrera sa destination.

Grer la table de routage IPv4

Sur un ordinateur excutant le service Routage et accs distance sur Windows Server 2008, il existe plusieurs mthodes pour grer la table de routage IP :

Lutilitaire de ligne de commande route, conu spcifiquement pour afficher et grer la table de routage IP. Le contexte IP de routage Netsh, qui inclut plusieurs commandes pour la gestion des itinraires IP. Le composant logiciel enfichable Routage et accs distance, qui affiche la table de routage avec une colonne supplmentaire rpertoriant la source partir de laquelle litinraire a t obtenu. Affichez la table de routage en cliquant avec le bouton droit 42

sur Routage IP/Itinraires statiques dans larborescence de la console, puis en slectionnant Afficher la table de routage IP. Outre la commande route print qui permet dafficher la table de routage, vous pouvez galement utiliser route pour ajouter, modifier ou supprimer des itinraires. La table de routage IP tant stocke dans la RAM et recre chaque redmarrage dun ordinateur, on utilise couramment route add avec loption -p pour ajouter un itinraire statique permanent, autrement dit un itinraire conserv mme aprs le redmarrage de lordinateur. Les itinraires permanents sont stocks dans le Registre. La table de routage IP affiche dans le composant logiciel enfichable Routage et accs distance inclut une colonne supplmentaire non affiche par la commande route print. Il sagit de la colonne Protocole, qui identifie la faon dont le routeur a appris chaque itinraire. Par exemple, Local identifie un itinraire sur le nud local ; Statique identifie un itinraire statique que ladministrateur a configur manuellement ; RIP identifie les itinraires dynamiques appris dautres routeurs configurs pour utiliser ce protocole de routage. La figure suivante illustre la table de routage IP sur un routeur Routage et accs distance Windows Server 2008.

IPv6 Routing
43

Routing is the process of forwarding packets between connected network segments. For Internet Protocol version 6 (IPv6)-based networks, routing provides forwarding capabilities between hosts that are located on separate segments within a larger IPv6-based network. An IPv6 packet contains both the source address of the sending host and the destination address of the receiving host. Unlike link-layer (layer 2) addresses, IPv6 addresses in the IPv6 header typically remain the same as the packet travels across an IPv6 network. Routing is the primary function of IPv6. IPv6 packets are exchanged and processed on each host by using IPv6 at the Internet layer. Above the IPv6 layer, transport services on the source host pass data in the form of TCP segments or UDP messages down to the IPv6 layer. The IPv6 layer creates IPv6 packets with source and destination address information that is used to route the data through the network. The IPv6 layer then passes packets down to the link layer, where IPv6 packets are converted into frames for transmission over network-specific media on a physical network. This process occurs in reverse order on the destination host. IPv6 layer services on each sending host examine the destination address of each packet, compare this address to a locally maintained routing table, and then determine what additional forwarding is required. IPv6 routers are attached to two or more IPv6 network segments that are enabled to forward packets between them.

IPv6 routers
IPv6 network segments, also known as links or subnets, are connected by IPv6 routers, which are devices that pass IPv6 packets from one link to another. A simple IPv6 network consisting of three links connected by routers is shown in the following figure.

IPv6 routers provide the primary means for joining together two or more physically separated IPv6 links. All IPv6 routers have the following characteristics:

IPv6 routers are physically multihomed hosts. A physically multihomed host is a network host that has two or more network adapters to connect to each physically separated link.

44

IPv6 routers provide packet forwarding for other IPv6 hosts. IPv6 routers are distinct from other hosts that use multihoming. An IPv6 router must be able to forward IPv6based communication between networks for other IPv6 network hosts.

You can implement IPv6 routers by using a variety of hardware and software products, including a computer running Windows Server 2008 R2 with the IPv6 protocol. Routers that are dedicated hardware devices running specialized software are common. Regardless of the type of IPv6 routers that you use, all IPv6 routing relies on a routing table to communicate between network segments.

IPv6 routing table

Every computer that runs IPv6 determines how to forward packets based on the contents of the IPv6 routing table. To display the IPv6 routing table, at the command prompt, type netsh interface ipv6 show route. Entries in the IPv6 routing table include:

An address prefix. The interface over which packets matching the address prefix are sent. A forwarding or next-hop address. A preference value used to select between multiple routes with the same prefix. The lifetime of the route. The specification of whether the route is published (advertised in a Routing Advertisement). The specification of how the route is aged. The route type.

The IPv6 routing table is built automatically, based on the current IPv6 configuration of your computer. When forwarding IPv6 packets, the routing table is searched by your computer for an entry that is the most specific match to the destination IPv6 address. A route for the linklocal prefix (FE80::/64) is not displayed. The default route (a route with a prefix of ::/0) is typically used to forward an IPv6 packet to a default router on the local link. Because the router that corresponds to the default router contains information about the network prefixes of the other IPv6 subnets within the larger IPv6 network, it forwards the packet to other routers until it is eventually delivered to the destination.

IPv4 - Itinraires statiques

45

Un rseau IP routage statique nutilise pas de protocoles de routage tels que RIP pour IP afin de communiquer les informations de routage entre les routeurs. Toutes les informations de routage sont stockes dans une table de routage statique sur chaque routeur. Vous devez vous assurer que chaque routeur dispose des itinraires appropris dans sa table de routage de sorte que le trafic puisse tre chang entre deux points de terminaison quelconques sur le rseau IP.

Lenvironnement routage statique

Un environnement IP routage statique convient un petit rseau IP statique chemin unique :

Un petit rseau comporte entre 2 et 10 rseaux. Chemin unique signifie quil ny a quun seul chemin daccs pour le transport des paquets entre deux points de terminaison quelconques sur le rseau. Statique signifie que la topologie du rseau ne change pas au fil du temps.

Les inconvnients du routage statique sont les suivants :

Aucune tolrance de pannes Si un routeur ou une liaison est dfectueux, les routeurs statiques ne dtectent pas la panne et nen informent pas les autres routeurs. Bien que cela soit problmatique sur les gros rseaux dentreprise, un petit bureau (avec deux routeurs et trois rseaux bass sur des liaisons LAN) ne tombe pas assez souvent en panne pour justifier le dploiement dune topologie multichemin et dun protocole de routage.

Charges administratives Si un nouveau rseau est ajout ou supprim du rseau, des itinraires vers ce nouveau rseau doivent tre ajouts ou supprims manuellement. Si un nouveau routeur est ajout, il doit tre configur correctement pour les itinraires du rseau.

Dploiement du routage statique

46

Si le routage statique convient votre rseau IP, vous pouvez effectuer les tapes suivantes pour le dployer : 1. Dessinez un plan de la topologie de votre rseau IP montrant les diffrents rseaux et le positionnement des routeurs et des htes (ordinateurs non-routeurs qui excutent le protocole TCP/IP). 2. Pour chaque rseau IP (un systme de cblage limit par un ou plusieurs routeurs), affectez un ID rseau IP unique (galement appel adresse rseau IP). 3. Affectez des adresses IP chaque interface de routeur. Il est courant daffecter les premires adresses IP dun rseau IP donn aux interfaces de routeurs. Par exemple, pour un IP rseau de 192.168.100.0 avec un masque de sous-rseau de 255.255.255.0, ladresse IP 192.168.100.1 est affecte linterface de routeur. 4. Pour les routeurs priphriques, configurez un itinraire par dfaut sur linterface qui possde un routeur voisin. Lutilisation ditinraires par dfaut sur les routeurs priphriques est facultative. 5. Pour chaque routeur non priphrique, compilez une liste ditinraires qui doivent tre ajouts comme itinraires statiques la table de routage de chaque routeur. Chaque itinraire est compos dun ID rseau de destination, dun masque de sous-rseau, dune adresse IP de passerelle (ou de transfert), dune mtrique (nombre de sauts de routeur pour atteindre le rseau) et de linterface utilise pour atteindre le rseau. 6. Pour les rseaux non priphriques, ajoutez les itinraires statiques compils ltape 5 chaque routeur. Vous pouvez ajouter des itinraires statiques au moyen de Routage et accs distance. 7. Une fois votre configuration termine, utilisez les commandes ping et tracert pour tester la connectivit entre les ordinateurs htes afin de vrifier tous les itinraires de routage.

Traduction dadresses rseau

Activer NAT

47

Quest-ce que la traduction dadresses rseau (NAT) ? Exemple de traduction dadresses rseau Adresses prives Internet Utilisation de NAT et VPN Diffrences entre la traduction dadresses rseau et le partage de connexion Internet

Activer NAT
Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs local ou un groupe quivalent.

Pour activer ladressage de traduction dadresses rseau

1. Ouvrez Routage et accs distance. 2. Dans larborescence de la console, cliquez sur NAT. O ?
o

Routage et accs distance/nom_serveur/[IPv4 ou IPv6]/NAT

3. Cliquez avec le bouton droit sur NAT, puis cliquez sur Proprits. 4. Sous longlet Attribution dadresses, activez la case cocher Attribuer les adresses IP automatiquement avec lallocateur DHCP. 5. (Facultatif) Pour allouer des clients DHCP sur le rseau priv, dans Adresse IP et masque, configurez la plage dadresses IP. 6. (Facultatif) Pour exclure des adresses de lallocation aux clients DHCP sur le rseau priv, cliquez sur Exclure, sur Ajouter, puis configurez les adresses.

Quest-ce que la traduction dadresses rseau (NAT) ?

48

La traduction dadresses rseau (NAT, Network Address Translation) permet de traduire les adresses IPv4 (Internet Protocol version 4) des ordinateurs dun rseau en adresses IPv4 des ordinateurs dun autre rseau. Un routeur IP compatible NAT dploy lendroit o un rseau priv (tel quun rseau dentreprise) rencontre un rseau public (tel quInternet) permet aux ordinateurs du rseau priv daccder des ordinateurs du rseau public grce ce service de traduction. La technologie NAT a t dveloppe afin de fournir une solution temporaire au problme dpuisement des adresses IPv4. Le nombre dadresses IPv4 globalement uniques (publiques) disponibles est beaucoup trop faible pour satisfaire la quantit sans cesse croissante dordinateurs ncessitant un accs Internet. Bien quil existe une solution long terme (le dveloppement des adresses IPv6 [Internet Protocol version 6]), celle-ci na pas encore t adopte grande chelle. La technologie NAT permet aux ordinateurs dun rseau dutiliser des adresses prives rutilisables pour se connecter des ordinateurs avec des adresses publiques globalement uniques sur Internet. Dans Windows Server 2008, le service Routage et accs distance prend en charge une solution NAT en autorisant la configuration facultative dun composant de protocole de routage qui fournit la traduction dadresses rseau. Les ordinateurs dun rseau priv peuvent accder un rseau public par le biais dun routeur compatible NAT qui excute le service Routage et accs distance. Tout le trafic qui quitte ou pntre sur le rseau priv doit transiter par un routeur compatible NAT. La traduction dadresses rseau est constitue des composants suivants :

Composant

Description Le serveur excutant le service Routage et accs distance sur lequel la traduction NAT est active traduit les adresses IP et les numros de ports TCP/UDP des paquets qui sont transfrs entre le rseau priv et Internet. Lordinateur de traduction dadresses rseau fournit des informations de configuration dadresses IP aux autres ordinateurs du rseau domestique. Le composant dadressage est un serveur DHCP simplifi qui alloue une adresse IP, un masque de sous-rseau, une passerelle par dfaut et ladresse IP dun serveur DNS. Vous devez configurer des ordinateurs du rseau domestique en tant que clients DHCP afin de recevoir la configuration IP automatiquement.

Traduction

Adressage

Lordinateur de traduction dadresses rseau devient le serveur DNS pour les autres ordinateurs du rseau domestique. Lorsque lordinateur de traduction Rsolution de dadresses rseau reoit des demandes de rsolution de noms, il les transfre au noms serveur DNS bas sur Internet pour lequel il est configur et renvoie les rponses lordinateur du rseau domestique.

49

Considrations supplmentaires
La traduction NAT incluant des composants dadressage et de rsolution de noms qui procurent des services DHCP et DNS pour des htes du rseau priv, vous ne pouvez pas excuter :

Le service DHCP sur lagent de relais DHCP si ladressage NAT est activ. Le service DNS si la rsolution de noms de mise en rseau TCP/IP NAT est active.

Exemple de traduction dadresses rseau

Si une petite entreprise utilise lID rseau 192.168.0.0 pour son intranet et que ladresse publique w1.x1.y1.z1 lui a t accorde par son Fournisseur de services Internet (FAI), le service de traduction dadresses rseau mappe toutes les adresses prives sur 192.168.0.0 ladresse IP w1.x1.y1.z1. Si plusieurs adresses prives sont mappes une seule adresse publique, le service NAT utilise des ports UDP et TCP choisis de manire dynamique pour distinguer un emplacement intranet dun autre. Remarque Lutilisation de w1.x1.y1.z1 et de w2.x2.y2.z2 a pour but de reprsenter les adresses IP publiques valides alloues par lIANA (Internet Assigned Numbers Authority) ou un FAI. Lillustration suivante constitue un exemple de lutilisation de la traduction dadresses rseau pour connecter de faon transparente un intranet Internet.

50

Si un utilisateur priv 192.168.0.10 utilise un navigateur Web pour se connecter au serveur Web w2.x2.y2.z2, lordinateur de lutilisateur cre un paquet IP avec les informations suivantes :

Adresse IP de destination : w2.x2.y2.z2 Adresse IP source : 192.168.0.10 Port de destination : Port TCP 80 Port source : Port TCP 1025

Ce paquet IP est ensuite transfr au protocole NAT, qui traduit les adresses du paquet sortant comme suit :

Adresse IP de destination : w2.x2.y2.z2 Adresse IP source : w1.x1.y1.z1 Port de destination : Port TCP 80 Port source : Port TCP 5000

Le protocole NAT conserve le mappage de {192.168.0.10, TCP 5000} {w1.x1.y1.z1, TCP 1025} dans une table. Le paquet IP traduit est envoy sur Internet. La rponse est renvoye et reue par le protocole NAT. rception, le paquet contient les informations dadresses publique suivantes :

Adresse IP de destination : w1.x1.y1.z1 Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 1025 Port source : Port TCP 80

Le protocole NAT vrifie sa table de traduction et mappe les adresses publiques des adresses prives et transfre le paquet lordinateur 192.168.0.10. Le paquet transfr contient les informations dadresses suivantes :

Adresse IP de destination : 192.168.0.10 Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 5000 Port source : Port TCP 80

Pour les paquets sortants du protocole NAT, ladresse IP source (une adresse prive) est mappe ladresse alloue par le FAI (une adresse publique) et les numros de ports TCP/UDP sont mapps un numro de port TCP/UDP diffrent. Pour les paquets entrants vers le protocole NAT, ladresse IP de destination (une adresse publique) est mappe ladresse intranet dorigine (une adresse prive) et les numros de ports TCP/UDP sont remapps leurs numros de ports TCP/UDP dorigine. Remarque

51

Les paquets qui contiennent ladresse IP uniquement dans len-tte IP sont correctement traduits par le service NAT. Les paquets qui contiennent ladresse IP dans la charge utile IP peuvent ne pas tre traduits correctement par le service NAT.

Adresses prives Internet

Pour communiquer sur Internet, vous devez utiliser des adresses qui ont t alloues par lIANA (Internet Assigned Numbers Authority). Les adresses alloues par lIANA peuvent recevoir du trafic en provenance demplacements Internet et portent le nom dadresses publiques. Une PME reoit en gnral une ou plusieurs adresses publiques dlivres par son Fournisseur de services Internet (FAI), auquel a t attribue une plage dadresses publiques. Pour permettre plusieurs ordinateurs de la PME de communiquer sur Internet, chaque ordinateur doit avoir sa propre adresse publique. Cet impratif cre une forte demande en adresses publiques, dont la quantit est limite. Pour rpondre cette demande, lIANA a tablit un modle de rutilisation dadresse en rservant des ID rseau pour les rseaux privs. Les ID de rseaux privs incluent :

10.0.0.0 avec le masque de sous-rseau 255.0.0.0 172.16.0.0 avec le masque de sous-rseau 255.240.0.0 192.168.0.0 avec le masque de sous-rseau 255.255.0.0

Pour plus dinformations sur les parties de lespace dadresse IP rserves aux intranets privs, voir la RFC 1918, Address Allocation for Private Internets (ventuellement en anglais). Toutes les adresses de cette plage portent le nom dadresses prives. Les adresses prives ne peuvent pas recevoir de trafic provenant demplacements Internet. Par consquent, si un intranet utilise des adresses prives et communique avec des emplacements Internet, ladresse prive doit tre traduire en adresse publique. Un traducteur dadresses rseau est plac entre un intranet qui utilise des adresses prives et Internet, qui utilise des adresses publiques. Les adresses prives des paquets sortants de lintranet sont traduites en adresses publiques par le service de traductions dadresses rseau (NAT, Network Address Translation). Les adresses publiques des paquets entrants en provenance dInternet sont traduites en adresses prives par le service NAT.

Utilisation de NAT et VPN

Une option de dploiement courante consiste utiliser la traduction dadresses rseau (NAT) sur lun ou les deux cts dune connexion qui relie des bureaux situs diffrents 52

emplacements gographiques. Le service Routage et accs distance dans Windows Server 2008 fournit deux types de connexions site site VPN. Le tableau suivant dcrit les circonstances dans lesquelles vous pouvez utiliser la traduction dadresses rseau avec une connexion VPN.

Type de connexion site site VPN

Possible dutiliser la traduction NAT ?

Description

VPN PPTP

Oui

Dans la plupart des cas, vous pouvez localiser les routeurs appelant PPTP derrire un routeur compatible NAT (ou configurer un ordinateur la fois comme routeur appelant et comme routeur compatible NAT) afin de permettre aux ordinateurs ayant des adresses prives sur un rseau domestique ou un rseau de petite entreprise de partager une mme connexion Internet. Avec une connexion VPN, la connexion de site site de la succursale au sige social est tunnele par le biais dInternet. La traduction dadresses rseau dans le service Routage et accs distance dans Windows Server 2008 inclut un diteur NAT capable de traduire de manire prcise les donnes tunneles PPTP.

VPN L2TP/IPsec

Avec les routeurs appelants ou rpondants Windows Server 2008, vous pouvez utiliser la fonctionnalit IPsec (Internet Protocol security) nomme NAT-T pour crer des connexions L2TP/IPsec sur des serveurs NAT. Lutilisation de NAT-T ncessite lexcution de Windows Server 2008 sur le routeur Oui, mais uniquement si appelant et sur le routeur rpondant (ou des routeurs vous utilisez la Cisco configurs de manire approprie). Avec NATfonctionnalit de T, les ordinateurs ayant des adresses prives cachs parcours NAT (NAT derrire un serveur NAT peuvent utiliser IPsec pour se Traversal, ou NAT-T) connecter un site distant si la mise jour NAT-T est IPsec. installe sur ces ordinateurs (pour les ordinateurs excutant Windows Vista ou Windows XP Professionnel Service Pack 1). Il nexiste aucun diteur NAT pour L2TP/IPsec ; la seule manire dutiliser la traduction NAT consiste implmenter la fonctionnalit NAT-T IPsec. Oui Les clients VPN et les serveurs VPN SSTP peuvent se trouver derrire un routeur compatible NAT.

SSTP

53

Diffrences entre la traduction dadresses rseau et le partage de connexion Internet

Le partage de connexion Internet (ICS, Internet Connection Sharing) procure une capacit de traduction rseau qui constitue une alternative celle fournie par la traduction dadresses rseau (NAT, Network Address Translation) dans Routage et accs distance. Le partage de connexion Internet sutilise en gnral sur les rseaux comptant entre deux et dix ordinateurs. Le partage de connexion Internet et la traduction dadresses rseau de Routage et accs distance partageant des pilotes communs, ils ne peuvent pas coexister sur le mme rseau. Pour connecter un rseau de petite entreprise ou un rseau domestique (SOHO) Internet, vous pouvez appliquer lune des deux mthodes suivantes : 1. Connexion route Pour une connexion route, le serveur excutant Routage et accs distance assume la fonction de routeur IP qui transfre les paquets entre les htes SOHO et les htes Internet. Bien que conceptuellement simple, une connexion route requiert une bonne connaissance de la configuration de routage et dadresses IP pour les htes SOHO et le serveur excutant Routage et accs distance. Cependant, les connexions routes autorisent tout le trafic IP entre les htes SOHO et les htes Internet. 2. Connexion traduite Pour une connexion traduite, le serveur excutant Routage et accs distance assume la fonction de traducteur dadresses rseau : un routeur IP qui traduit les adresses pour les paquets transfrs entre les htes SOHO et les htes Internet. On appelle cela la traduction dadresses rseau (NAT). Les connexions traduites qui utilisent un serveur excutant Routage et accs distance ncessitent moins de connaissances du routage et de ladressage IP et une configuration simplifie des htes SOHO. Cependant, les connexions traduites peuvent ne pas autoriser tout le trafic IP entre les htes SOHO et les htes Internet. Vous pouvez configurer une connexion traduite Internet en appliquant une des mthodes suivantes.

Vous pouvez utiliser la fonctionnalit Partage de connexion Internet de Connexions rseau. Vous pouvez utiliser le protocole de routage NAT fourni par le composant logiciel enfichable Routage et accs distance sur les serveurs excutant Windows Server 2008 et Routage et accs distance.

Les fonctionnalits Partage de connexion Internet et NAT procurent toutes deux des services de traduction, dadressage et de rsolution de noms aux htes SOHO. Le partage de connexion Internet est conu pour fournir une tape simple de configuration (une seule case cocher) afin de fournir une connexion traduite Internet pour tous les

54

ordinateurs du rseau SOHO. Toutefois, lorsquil est activ, le partage de connexion Internet nautorise pas la configuration au-del de celle des services et ports sur le rseau SOHO. Par exemple, le partage de connexion Internet est conu pour une adresse IP unique obtenue par le biais dun Fournisseur de services Internet (FAI) et ne vous permet pas de modifier la plage dadresses IP alloues aux htes SOHO. Le composant de protocole de routage NAT est conu pour fournir une flexibilit maximale dans la configuration du serveur excutant Routage et accs distance afin de fournir une connexion traduite Internet. Le composant de protocole de routage NAT requiert davantage dtapes de configuration, mais chaque tape peut tre personnalise. La plus grande partie de la configuration peut seffectuer laide de lAssistant Installation d'un serveur de routage et daccs distance. Le composant de protocole de routage NAT permet de spcifier des plages dadresses fournies par un FAI et de configurer la plage dadresses IP alloue aux htes SOHO. Le tableau suivant rsume les fonctionnalits et capacits du partage de connexion Internet et du composant de protocole de routage NAT.

Partage de connexion Internet Configuration par case cocher unique Adresse IP publique unique Plage dadresses fixe pour les htes SOHO

Traduction dadresses rseau Configuration manuelle Adresses IP publiques multiples Plage dadresses configurable pour les htes SOHO

Interface SOHO unique Interfaces SOHO multiples Remarque Le partage de connexion Internet est une fonctionnalit conue pour connecter des rseaux SOHO Internet. Le composant de protocole de routage NAT est conu pour connecter de petits ou moyens rseaux dentreprise Internet. Ni lun ni lautre nest conu pour :

la connexion directe entre rseaux SOHO ; la connexion de rseaux au sein dun intranet ; la connexion directe de rseaux de succursales un rseau dentreprise ; la connexion de rseaux de succursales un rseau dentreprise par le biais dInternet.

55

Routage de connexion la demande

Ajouter une interface de connexion la demande Quest-ce que le routage de connexion la demande ? Exemple de routage de connexion la demande Processus de connexion la demande

Ajouter une interface de connexion la demande

Les interfaces de connexion la demande connectent des routeurs sur des rseaux publics ou privs. Une interface de connexion la demande peut tre soit sur demande (active uniquement en cas de besoin), soit permanente (toujours connecte), et initier des connexions unidirectionnelles ou bidirectionnelles. Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs local ou un groupe quivalent.).

Pour ajouter une interface de connexion la demande

1. Ouvrez Routage et accs distance. 2. Dans larborescence de la console, cliquez sur Interfaces rseau. O ?
o

Routage et accs distance/nom_serveur/Interfaces rseau

3. Cliquez avec le bouton droit sur Interfaces rseau, puis cliquez sur Nouvelle interface de connexion la demande. 4. Suivez les instructions qui saffichent dans lAssistant Interface de connexion la demande.

56

Quest-ce que le routage de connexion la demande ?

Le routage la demande est le transfert de paquets entre des rseaux et sur des liaisons PPP (Point-to-Point Protocol), telles que des lignes tlphoniques analogiques et RNIS (Rseau Numrique Intgration de Services).

Comparaison routage la demande/accs distance

Le routage la demande est diffrent de laccs distance. Laccs distance tablit une connexion entre un utilisateur unique et un rseau. Le routage la demande tablit une connexion entre des rseaux. Toutefois, laccs distance et le routage la demande utilisent tous deux le protocole PPP pour ngocier et authentifier la connexion et encapsuler les donnes envoyes sur la connexion. Telles quimplmentes dans Routage et accs distance pour Windows Server 2008, les connexions daccs distance et la demande peuvent tre actives sparment mais partagent les lments suivants :

Comportement des proprits dappel entrant des comptes dutilisateurs. Scurit, y compris le chiffrement et les protocoles dauthentification. Utilisation des stratgies rseau. Utilisation de Windows ou du service RADIUS (Remote Authentication Dial-In User Service) comme fournisseur dauthentification. Configuration de lallocation des adresses IP. Utilisation de fonctionnalits PPP, telles que Microsoft Point-to-Point Compression (MPPC), Multilink Protocol (MP) et Bandwidth Allocation Protocol (BAP). Fonctionnalits de dpannage, y compris lenregistrement des vnements, lauthentification Windows ou RADIUS et la gestion de comptes, lenregistrement et le traage.

Routeurs et clients daccs distance

tant donn que le service de routage et laccs distance coexistent sur un serveur excutant Routage et accs distance, les routeurs et les clients daccs distance peuvent appeler le mme numro de tlphone. Le serveur excutant Routage et accs distance qui rpond lappel doit tre capable de distinguer un client daccs distance dun routeur qui appelle en vue de crer une connexion la demande. Pour que la distinction entre un client daccs distance et un routeur de connexion la demande soit possible, le nom dutilisateur fourni dans les informations dauthentification envoyes par le routeur appelant doit correspondre exactement au nom dune interface de connexion la demande sur le routeur qui rpond. Autrement, la connexion entrante est suppose tre une connexion daccs distance.

57

Composants dune connexion la demande

Une connexion la demande est constitue des composants suivants :

Routeur appelant, qui initie la connexion la demande. Routeur rpondant, qui accepte la connexion la demande initie par le routeur appelant. Support de connexion, soit un support physique, soit un support tunnel. Pour plus dinformations sur les supports de connexion, voir Support de connexion plus loin dans cette rubrique.

Composants dune connexion la demande

Composants communs pour les routeurs

Les composants suivants sont communs au routeur appelant et au routeur rpondant :

Routage et accs distance Port

Routage et accs distance

Le service Routage et accs distance sur le routeur appelant doit tre configur en tant que routeur de rseau local (LAN) et de rseau tendu (WAN) et configur pour lallocation dadresses IP et les mthodes dauthentification. Les adresses IP peuvent tre alloues au moyen du protocole DHCP (Dynamic Host Configuration Protocol) ou dun pool dadresses statiques.

Port
Un port est un canal de communication physique ou logique qui prend en charge une connexion PPP unique. Les ports physiques sont bass sur un quipement install dans le routeur appelant. Les ports VPN sont des ports logiques.

58

Composants du routeur appelant

Outre le service Routage et accs distance et un port, le routeur appelant est constitu des composants suivants :

Interface de connexion la demande Itinraire

Interface de connexion la demande

Une interface de connexion la demande configure sur le routeur appelant reprsente la connexion PPP et contient des informations de configuration, telles que le port utiliser, ladressage utilis pour crer la connexion (tel que le numro de tlphone), les mthodes dauthentification et de chiffrement, ainsi que les informations dauthentification.

Itinraire
Un itinraire IP dans les tables de routage du routeur appelant est configur de faon utiliser une interface de connexion la demande pour transfrer le trafic.

Composants du routeur rpondant

Outre le service Routage et accs distance et un port, le routeur rpondant est constitu des composants suivants :

Compte dutilisateur Interface de connexion la demande Itinraire

Remarque Les connexions bidirectionnelles et unidirectionnelles requirent diffrentes configurations pour le routeur rpondant. Pour plus dinformations sur les connexions bidirectionnelles et unidirectionnelles, voir Types de connexions la demande plus loin dans cette rubrique.

Compte dutilisateur
Pour authentifier le routeur appelant, les informations didentification du routeur appelant doivent tre vrifies par les proprits dun compte dutilisateur correspondant. Un compte dutilisateur pour le routeur appelant doit tre localement prsent ou disponible par le biais de la scurit Windows Server 2008. Si le routeur rpondant est configur pour lauthentification RADIUS, le serveur RADIUS doit avoir accs au compte dutilisateur du routeur appelant.

59

Le compte dutilisateur doit avoir les paramtres suivants :

Sous longlet Appel entrant, lautorisation daccs rseau est dfinie Autoriser laccs ou Contrler laccs via la Stratgie daccs distance. Sous longlet Gnral ou Compte, loption Lutilisateur doit changer le mot de passe la prochaine ouverture de session est dsactive et loption Le mot de passe nexpire jamais est active.

Pour une connexion unidirectionnelle, configurez les itinraires IP statiques qui sont ajouts la table de routage du routeur rpondant lorsque la connexion la demande est tablie.

Interface de connexion la demande

Pour les connexions bidirectionnelles, une interface de connexion la demande configure sur le routeur rpondant reprsente la connexion PPP au routeur appelant. Pour une connexion unidirectionnelle utilisant des itinraires statiques sur le compte dutilisateur du routeur appelant, une interface de connexion la demande sur le routeur rpondant na pas besoin dtre configure.

Itinraire
Pour les connexions bidirectionnelles, un itinraire IP dans les tables de routage du routeur appelant est configur de faon utiliser une interface de connexion la demande pour transfrer le trafic. Pour les connexions unidirectionnelles, vous pouvez configurer le compte dutilisateur du routeur appelant avec des itinraires IP statiques.

Support de connexion
La liaison PPP est tablie sur un support tunnel ou un support physique. Les supports physiques incluent RTC et RNIS. Les supports tunnels incluent PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol).

PPPoE
PPPoE est une mthode dencapsulation de trames PPP de sorte quelles puissent tre envoyes sur un rseau Ethernet. En utilisant le protocole PPPoE et un modem haut dbit, les clients de rseau local peuvent obtenir un accs individuel et authentifi des rseaux de donnes haut dbit.

60

Types de connexions la demande

Les connexions la demande peuvent tre permanentes ou sur demande, et unidirectionnelles ou bidirectionnelles. Ces caractristiques dterminent la configuration de linterface de connexion la demande.

Connexions sur demande et permanentes

Les connexions la demande sont soit sur demande, soit permanentes.

Connexions sur demande

Les connexions sur demande sont utilises lorsque le cot li lutilisation de la liaison de communication est sensible au temps. Par exemple, les frais dappels tlphoniques analogiques longue distance sont calculs la minute prs. Les connexions sur demande tablissent la connexion lorsque le trafic est transfr et linterrompent aprs une dure dinactivit configure. Le comportement de dconnexion aprs inactivit est configur sur le routeur appelant et sur le routeur rpondant.

Sur le routeur appelant, la dure de connexion aprs inactivit est dfinie sous longlet Gnral des proprits de linterface de connexion la demande. Sur le routeur rpondant, la dure de connexion aprs inactivit est dfinie dans la stratgie rseau utilise par la connexion la demande sur le serveur qui excute Network Policy Server (NPS).

Connexions permanentes
Les connexions permanentes utilisent une technologie de rseau tendu daccs distance lorsque le cot de la liaison est fixe et que la connexion peut tre active 24 heures sur 24. Parmi les exemples de technologies de rseau tendu pour les connexions la demande permanentes, on peut citer les appels locaux qui utilisent des lignes tlphoniques analogiques, les lignes analogiques loues et les lignes RNIS taux fixe. Si une connexion permanente est perdue, le routeur appelant tente immdiatement de rtablir la connexion. Le comportement de connexion permanente doit tre configur sur le routeur appelant et sur le routeur rpondant.

Connexions unidirectionnelles et bidirectionnelles

Les connexions la demande sont soit unidirectionnelles, soit bidirectionnelles.

Connexions bidirectionnelles
Avec les connexions bidirectionnelles, lun ou lautre routeur peut tre le routeur rpondant ou le routeur appelant, selon le routeur qui initie la connexion. Les deux routeurs doivent tre 61

configurs pour initier et accepter une connexion la demande. Vous utilisez des connexions bidirectionnelles lorsque le trafic provenant dun routeur ou lautre peut crer la connexion la demande. Les connexions la demande bidirectionnelles prsentent les impratifs suivants :

Les deux routeurs doivent tre configurs comme routeurs de rseau local et de rseau tendu. Des comptes dutilisateurs doivent tre ajouts pour les deux routeurs de sorte que les informations dauthentification du routeur appelant soit accdes et valides par le routeur rpondant. Les interfaces de connexion la demande doivent tre entirement configures sur les deux routeurs et inclure le numro de tlphone du routeur rpondant et les informations didentification de compte dutilisateur pour authentifier le routeur appelant. Des itinraires statiques doivent tre configurs sur les deux routeurs.

Pour que le routage la demande bidirectionnel fonctionne correctement, les noms des comptes dutilisateurs des routeurs appelants des deux cts doivent correspondre au nom dune interface de connexion la demande. Le tableau suivant montre un exemple de cette configuration. Exemple de configuration bidirectionnelle

Routeur Routeur de sige social Routeur de succursale

Nom du compte dutilisateur CorpHub

Nom de linterface de connexion la demande NewYorkRouter

NewYorkRouter

CorpHub

Pour une description du processus de connexion bidirectionnelle, voir Processus de connexion la demande.

Connexions unidirectionnelles
Avec les connexions unidirectionnelles, un routeur est toujours le routeur rpondant et lautre routeur est toujours le routeur appelant. La configuration de routage est simplifie car il nest pas ncessaire de configurer totalement les comptes dutilisateurs, les interfaces de connexion la demande et les itinraires IP statiques des deux cts de la connexion. Au lieu de configurer une interface de connexion la demande sur le routeur rpondant, des itinraires statiques sont ajouts aux proprits dappel entrant du compte dutilisateur du routeur appelant.

62

Si votre routeur rpondant est dans un domaine mixte Windows Server 2008 ou Windows Server 2003, les itinraires statiques sur le compte dutilisateur ne sont pas disponibles. Dans ce cas, les connexions unidirectionnelles prsentent les impratifs suivants :

Les deux routeurs doivent tre configurs comme routeurs de rseau local et de rseau tendu. Un compte dutilisateur doit tre ajout pour les informations dauthentification du routeur appelant. Une interface de connexion la demande doit tre configure sur le routeur appelant avec les informations didentification utilisateur du compte dutilisateur. Une interface de connexion la demande doit tre configure sur le routeur rpondant avec le mme nom que le compte dutilisateur utilis par le routeur appelant. Linterface de connexion la demande du routeur rpondant ntant pas utilise pour effectuer des appels sortants, elle nest pas configure avec le numro de tlphone du routeur appelant ni avec des informations didentification utilisateur valides.

63