A. ÉQUIPEMENTS D'INTERCONNEXION
Un réseau informatique ne se limite pas aux hôtes (ordinateurs, serveurs, imprimantes). Il comprend également des équipements d'interconnexion dont le rôle est d'acheminer, filtrer ou convertir les données entre les différents segments. Ces équipements sont classés selon le niveau du modèle OSI auquel ils interviennent, ce qui détermine leur intelligence et leurs capacités de traitement.
A. ÉQUIPEMENTS D'INTERCONNEXION
On appelle équipements d'interconnexion les matériels connectés au réseau qui ne sont pas des hôtes. Ils portent une appellation différente selon leur niveau d'intelligence ou le rôle qu'ils jouent. Chaque génération d'équipements correspond à un niveau supérieur d'analyse du trafic réseau.
ℹ Vue d’ensemble de l’équipement réseau
L’infrastructure réseau d’une entreprise moderne s’appuie sur plusieurs familles d’équipements complémentaires. Au niveau de l’accès, les commutateurs (switches) connectent les postes utilisateurs, téléphones IP, points d’accès Wi‑Fi et objets connectés, souvent via des ports 1 Gbit/s alimentés en PoE. Plus en amont, des switches d’agrégation et des routeurs assurent le routage inter‑VLAN, l’interconnexion avec le WAN et l’application de politiques de sécurité (listes de contrôle d’accès, QoS, filtrage). Des pare‑feux dédiés, des contrôleurs Wi‑Fi et des appliances spécialisées (VPN, proxy, IDS/IPS) complètent l’ensemble pour sécuriser les flux et superviser le fonctionnement global du réseau.
1. Répétiteur (Repeater)
Les répétiteurs travaillent au niveau 1 du modèle OSI (couche physique). Ils relient deux segments entre eux, lisent les impulsions électriques sur leur entrée pour un type de support donné (fibre optique, coaxial, paires torsadées) et génèrent des impulsions remises en forme et amplifiées, après régénération de l'horloge et resynchronisation.
Fonctions du répétiteur :
· Permet d'étendre la longueur du réseau au-delà des 500 m d'un tronçon (4 répéteurs maximum entre deux nœuds) sans dégradation significative du signal.
· Amplifie et régénère le signal numérique.
· Isole un tronçon défaillant (partitioning) — par exemple en cas de rupture de câble.
· Adapte deux médias Ethernet différents (fibre, coaxial, Thick Ethernet vers Thin Ethernet).
ℹ Domaine de collision
Tous les segments attachés à un répéteur font partie du même domaine de collision. Cela signifie qu'une collision sur un segment se propage sur tous les segments reliés. Le répétiteur n'apporte donc aucune segmentation logique du trafic.
Les causes de dégradation du signal que le répéteur corrige sont : la distance, les pertes dues au temps de propagation, les interférences électromagnétiques, le type de câble et la bande passante.
Utilisations courantes du répéteur : réseaux Ethernet coaxiaux (10Base5, 10Base2), hubs (répéteurs multiports 10/100BaseT), réseaux Token Ring (chaque ordinateur y joue le rôle de répéteur en transmettant le jeton au suivant).
⚠ Répéteurs — équipements historiques
Les répéteurs autonomes et les hubs (répéteurs multiports) ont été presque entièrement remplacés par les commutateurs (switches) dans les réseaux modernes. L'utilisation de répéteurs coaxiaux est devenue anecdotique avec la disparition du câblage coaxial dans les LAN. On rencontre encore des répéteurs de signal dans les liaisons longue distance (télécoms, fibre optique amplifiée — amplis EDFA).
2. Bridge (Pont)
Les ponts travaillent au niveau 2 du modèle OSI (couche trame). Ils maintiennent les messages sur un segment ou les font transiter vers un autre, en fonction des adresses source et destination contenues dans les trames. Ils permettent notamment d'interconnecter deux réseaux de même architecture physique tout en segmentant les domaines de collision.
On peut distinguer deux algorithmes de filtrage principaux :
n Spanning Tree (Ethernet) : le bridge écoute les réseaux connectés sur chacun de ses ports et construit une table des adresses MAC (niveau 2) de toutes les stations connectées. Il ne transfère les trames que vers le port où se trouve la destination. Le routage dans un réseau multi-bridge se fait par l'échange de BPDU (Bridge Protocol Data Unit) entre bridges : ces trames permettent à tous les bridges de se connaître, d'élire un Root Bridge (priorité maximale), de désigner les bridges de secours et d'éviter les boucles. Ce protocole est l'ancêtre de STP/RSTP/MSTP traité dans la section LAN.
n Source Routing (Token Ring) : pour découvrir la route la plus performante, le bridge émet des trames spécifiques "route discovery". Les bridges intermédiaires compatibles y insèrent des informations de routage. La première trame qui revient à l'émetteur décrit la route la plus efficace, information qui sera ensuite insérée dans chaque trame de données.
Les ponts permettent de séparer les trafics (segmentation) et de bloquer parasites et collisions entre segments. Les trames de broadcast sont cependant diffusées sur tous les segments. Les bridges sont transparents aux protocoles de niveau supérieur. Certains bridges hybrides (BROUTER) utilisent des protocoles propriétaires permettant de partager le trafic sur plusieurs lignes simultanément (load balancing).
ℹ Bridge transparent
Un bridge n'ayant pas d'adresse MAC propre visible sur le réseau (transparent), il doit mémoriser les adresses de toutes les stations connectées. Sa mémoire doit être dimensionnée en conséquence. Les bridges séparent les domaines de collision mais pas les domaines de broadcast — ce rôle appartient aux routeurs.
3. Routeurs
Les routeurs travaillent au niveau 3 du modèle OSI (couche réseau) et s'occupent du routage des unités de données (datagrammes IP). Ils permettent d'interconnecter des réseaux de types différents. C'est l'outil le plus élaboré pour acheminer les données : le routeur est quasiment un ordinateur à part entière, capable de décoder les trames jusqu'à retrouver l'adresse IP de destination et de diriger l'information dans la bonne direction.
Dans une interconnexion de réseaux, chaque réseau ayant sa propre identité, la sécurité est cruciale. Il va falloir filtrer en fonction de leurs provenances et destinations les données entrantes et sortantes. Selon la complexité du réseau à protéger, la conception de ces contrôles et leur maintenance sont plus ou moins difficiles.
a) Routage
Le routage permet de déterminer où envoyer un datagramme.
Trois processus fondamentaux font partie d'un système de routage :
· La machine hôte doit savoir quand et comment communiquer avec un routeur (passerelle par défaut).
· Le routeur doit être capable de déterminer un chemin d'accès vers le réseau distant (table de routage, protocoles de routage).
· Le routeur du réseau de destination doit savoir se connecter à la machine hôte.
· Un protocole de routage effectue les tâches suivantes :
· Décrire le coût d'une route en fonction de la métrique (nombre de sauts, bande passante, délai, fiabilité).
· Supporter plusieurs routes actives entre deux réseaux (load balancing, routes de secours).
· Propager correctement les informations de routage entre routeurs.
· Réduire le trafic réseau lié au protocole de routage même (convergence rapide).
· Gérer des fonctions de sécurité pour se prémunir des fausses annonces (route poisoning, authentication MD5/SHA).
b) Fonctionnement général
Les routeurs travaillent sur les adresses logiques IP. Ils communiquent entre eux et peuvent échanger des informations avec d'autres périphériques ou des stations. Au fur et à mesure que le nombre de réseaux s'accroît, la tâche du routeur devient plus complexe.
Les routeurs reliant des réseaux de différents types, la grande difficulté réside dans cette dépendance aux protocoles. Des routeurs multi-protocoles ont vu le jour, pouvant supporter dans une même machine une grande variété de protocoles. Les routeurs modernes sont capables de router IP, MPLS, et divers protocoles de couche 2 encapsulés.
c) Types de routage
On distingue le routage statique (tables configurées manuellement, simples mais sans adaptation aux pannes) et le routage dynamique.
Deux grands algorithmes de routage dynamique :
n Distance Vector — RIP (Bellman-Ford) : basé sur le nombre de sauts (meilleure route = minimum de « hop »). Chaque routeur connaît pour chaque destination le nombre de sauts par l'échange d'informations avec ses voisins directs (RIP v1/v2, EIGRP). Simple mais lent à converger et limité à 15 sauts (RIP).
n Link State — OSPF : détermine la meilleure route en fonction du coût de la liaison (bande passante, délai). Chaque routeur construit une carte complète de la topologie du réseau (LSDB — Link State Database) par l'échange de LSA (Link State Advertisement). Convergence rapide, pas de limite de sauts, supporte les hiérarchies (zones OSPF). Protocole standard ouvert le plus utilisé dans les réseaux d'entreprise.
n BGP (Border Gateway Protocol) : protocole de routage inter-domaines utilisé sur Internet pour l'échange de routes entre opérateurs (AS — Autonomous System). C'est le protocole qui fait fonctionner Internet mondial.
d) Tables de routage
Les algorithmes de routage IP utilisent sur chaque machine une table de routage Internet (IP Routing Table). Cette table contient les informations relatives aux différentes destinations possibles et la manière de les atteindre. À chaque fois que le logiciel IP d'une passerelle ou d'une machine doit transmettre un datagramme, il consulte la table de routage pour déterminer où l'envoyer.
Fig. 1 — Exemple de table de routage : un paquet à destination de B6 prend la sortie A3
Les tables de routage contiennent les adresses réseaux mais pas la totalité des adresses IP, pour des raisons d'espace mémoire et de mise à jour. Si aucune route spécifique n'apparaît dans la table pour une destination, les procédures de routage envoient le datagramme à une passerelle par défaut (Default Gateway).
e) Routage centralisé vs distribué
n Routage centralisé : un nœud central reçoit les informations de tous les composants du réseau et conçoit les tables de routage selon des algorithmes déterminés. Ses critères peuvent être : le coût des liaisons, le débit demandé, le délai de transit, le nombre de nœuds à traverser, la sécurité, l'occupation mémoire. Simple à administrer mais point de défaillance unique (SPOF).
n Routage distribué : chaque routeur calcule ses routes de manière autonome par échange avec ses voisins. C'est le principe de RIP, OSPF, BGP. L'envoi asynchrone des tables (dès qu'une variation significative est détectée) permet une mise à jour en quasi-temps réel, au prix d'une charge supplémentaire sur le réseau (paquets de contrôle).
f) Caractéristiques techniques
Un routeur nécessite une table de routage stockée en RAM (DRAM/SRAM) pour la vitesse d'accès et sur disque/flash pour la persistance.
Les caractéristiques techniques des routeurs varient selon les gammes :
n Routeurs d'accès (PME/SOHO) : 1-4 interfaces WAN/LAN, débit 100 Mbps–1 Gbps, fonction NAT, pare-feu intégré, Wi-Fi optionnel.
n Routeurs d'entreprise (edge) : 4-24 interfaces, débit 1–10 Gbps, support MPLS, VPN IPsec/SSL, QoS avancée.
n Routeurs cœur de réseau (core) : 10–400 Gbps par port, commutation matérielle (ASICs/FPGAs), plusieurs Tbps de capacité de commutation totale. Exemples : Cisco ASR 9000, Juniper PTX.
⚡ Routeurs virtuels et SD-WAN
La virtualisation des réseaux a donné naissance aux routeurs logiciels (vRouter) : des instances logicielles pouvant tourner sur des serveurs standard (x86) ou dans le cloud. Le SD-WAN (Software-Defined WAN) découple le plan de contrôle du plan de données, permettant de gérer centralement les politiques de routage sur des liens WAN hétérogènes (MPLS, 4G/5G, Internet). Les principales solutions SD-WAN sont Cisco Viptela, VMware VeloCloud, Fortinet, Cato Networks.
4. Passerelles (Gateways)
Le terme passerelle est un terme générique qui désigne un équipement de niveau supérieur ou égal à la couche 3. Il autorise l'interconnexion « intelligente » de réseaux hétérogènes en convertissant les messages d'un format de réseau à un autre dans les deux sens.
Selon le contexte, une passerelle peut désigner :
n Une passerelle de protocoles : convertit les protocoles entre deux réseaux de nature différente (ex. passerelle SNA/IP pour interconnecter des mainframes IBM avec des réseaux TCP/IP).
n Une passerelle applicative (proxy) : opère au niveau 7, comprend le contenu des échanges pour effectuer des traitements spécifiques (inspection, filtrage, cache, translation).
n Une passerelle VoIP (Voice over IP) : convertit les appels téléphoniques classiques (RTC) en paquets IP et vice versa.
n Une passerelle IoT : agrège les données de capteurs (protocoles Zigbee, Z-Wave, LoRa) et les transmet vers Internet via IP.
5. Hubs (Concentrateurs)
Le hub (Host Unit Broadcast), aussi appelé concentrateur, est un petit appareil permettant la connexion de plusieurs ordinateurs entre eux via des câbles Ethernet RJ-45. Les hubs sont au centre des configurations en étoile et assurent l'interconnexion des différentes branches.
Un hub peut être considéré comme un « prisme » électrique : tous les paquets émis sur un segment ou appareil connecté à l'un des ports sont répercutés sur tous les autres ports. Les hubs ne regardent pas le contenu des trames, ils se contentent de répéter l'information. N'effectuant aucune analyse du contenu, ils travaillent au niveau 1 (physique) du modèle OSI.
Conséquences pratiques : tous les ports d'un hub partagent le même domaine de collision, la bande passante est partagée entre tous les équipements connectés et les performances se dégradent rapidement avec le nombre d'utilisateurs.
⚠ Hubs — équipements obsolètes
Les hubs ont été entièrement remplacés par les commutateurs (switches) dans les réseaux modernes. Il est désormais impossible d'acheter un hub 10/100 Mbps neuf pour usage professionnel. Les hubs USB (qui partagent la bande passante USB) restent courants pour les périphériques, mais leur principe est différent des hubs réseau.
6. Commutateurs (Switches)
La différence fondamentale avec le hub est que le commutateur sait quels ordinateurs sont connectés sur chacun de ses ports. Ainsi, s'il reçoit une trame pour l'ordinateur X, il ne l'envoie qu'à l'ordinateur X et pas aux autres. Il commute l'entrée des données vers la sortie où se trouve l'ordinateur concerné.
Les commutateurs analysent le contenu de la trame, repèrent l'adresse MAC de destination et envoient la trame vers le bon port. Cette table de correspondance MAC/port est construite dynamiquement par auto-apprentissage (MAC address table ou CAM table).
Caractéristiques techniques des commutateurs :
· Fonctionnent aux niveaux 2 (L2 switch) ou 3 (L3 switch / switch routeur) du modèle OSI.
· Chaque port constitue un domaine de collision distinct : plus de collision entre ports.
· Peuvent être autosensing 10/100/1000/10000 Mbps avec négociation automatique duplex.
· Permettent de configurer des VLAN (Virtual LAN) pour segmenter logiquement le réseau.
· Supportent l'agrégation de liens (LACP 802.3ad) pour augmenter la bande passante ou assurer la redondance.
· Les commutateurs de niveau 3 peuvent router entre les VLAN sans passer par un routeur externe (inter-VLAN routing), ce qui en fait des équipements polyvalents en cœur de réseau d'entreprise.
⚡ Commutateurs modernes et SDN
Les commutateurs modernes supportent des capacités de commutation de plusieurs centaines de Gbps à plusieurs Tbps (Tbps backplane). Le SDN (Software-Defined Networking) découple le plan de contrôle du plan de données : le commutateur OpenFlow devient un simple équipement de forwarding piloté par un contrôleur centralisé (OpenDaylight, ONOS). Cette approche est massivement utilisée dans les datacenters (spine-leaf architecture) et les réseaux des opérateurs cloud (hyperscalers).
7. Architectures de réseau d'entreprise
a) Architecture access / distribution / core
En entreprise, l'architecture traditionnelle des réseaux s'organise en trois couches hiérarchiques. La couche accès connecte directement les postes de travail, les téléphones IP et les points d'accès Wi-Fi ; elle gère les VLANs, le PoE et les politiques de sécurité par port. La couche distribution agrège les switchs d'accès d'un étage ou d'un bâtiment, assure le routage inter-VLAN et applique les politiques de qualité de service. La couche cœur de réseau (core) assure le transport à haute vitesse entre les blocs de distribution et vers les datacenters ou les accès Internet, avec une priorité absolue donnée à la disponibilité et aux performances.
b) Architecture leaf-spine en datacenter
Dans les datacenters et les infrastructures cloud privées, le modèle hiérarchique à trois niveaux cède la place à l'architecture leaf-spine, mieux adaptée aux flux est-ouest (serveur à serveur) qui dominent les charges de travail virtualisées et conteneurisées. Chaque switch leaf (accès serveurs) est connecté à tous les switchs spine (cœur) sans exception, ce qui garantit un chemin de deux sauts maximum entre deux serveurs quelconques et supprime les goulots d'étranglement liés à l'agrégation verticale. Cette topologie facilite également l'extension horizontale : ajouter de la capacité revient à raccorder un nouveau leaf à tous les spines existants, sans restructurer l'ensemble du réseau.