RRAS Et VPN
RRAS Et VPN
RRAS Et VPN
S'applique : Windows Server 2008 R2 Le service Routage et accs distant (RRAS : Routing and Remote Access Service) prend en charge le routage rseau IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la connectivit dutilisateurs distants ou site site en utilisant des connexions de rseau priv virtuel (VPN) ou daccs distance.
Accs distance
La fonctionnalit daccs distance procure des services VPN permettant aux utilisateurs daccder en toute scurit des rseaux dentreprise par le biais dInternet comme sils taient connects directement. Elle permet galement aux travailleurs mobiles ou distants qui utilisent des liaisons de communication daccs distance daccder aux rseaux dentreprise.
Routage
RRAS est un routeur logiciel et une plateforme ouverte pour le routage et la mise en rseau. Il fournit des services de routage pouvant tre utiliss par les entreprises dans des environnements de rseau local (LAN) et de rseau tendu (WAN) ou sur Internet au moyen de connexions VPN scurises. Le routage est utilis pour les services de routage multi protocole de rseau local rseau local, rseau local rseau tendu, VPN, et traduction dadresses rseau.
Routage
Un routeur est un priphrique qui gre le flux de donnes entre des segments rseau, ou sous-rseaux. Un routeur dirige les paquets entrants et sortants en fonction des informations sur ltat de ses propres interfaces rseau et dune liste de sources et destinations possibles pour le trafic rseau. En projetant le trafic rseau et les besoins en routage sur la base du nombre et du type de priphriques rseau et dapplications utiliss dans votre environnement, vous tes mme de prendre des dcisions mieux informes concernant lutilisation ventuelle dun routeur matriel ddi, dun routeur logiciel ou dune combinaison de ces deux solutions. En gnral, les routeurs matriels ddis grent mieux les exigences de routage plus fortes et les routeurs logiciels (moins coteux) grent des charges de routage plus lgres. Une solution de routage logicielle telle que RRAS dans cette version de Windows peut tre idale sur un petit rseau segment avec un trafic relativement faible entre les sous-rseaux. Les environnements rseau dentreprise qui ont un grand nombre de segments rseau et une large gamme dimpratifs de performances peuvent ncessiter divers routeurs matriels afin de remplir diffrents rles sur lensemble du rseau.
Accs distance
En configurant RRAS de faon agir comme serveur daccs distance, vous pouvez connecter des travailleurs distants ou mobiles aux rseaux de votre entreprise. Les utilisateurs distants peuvent travailler comme si leur ordinateur tait connect directement au rseau. Tous les services gnralement accessibles un utilisateur directement connect (y compris le partage de fichiers et dimprimantes, laccs aux serveurs Web et la messagerie) sont activs au moyen de la connexion daccs distance. Par exemple, sur un serveur RRAS, les clients peuvent utiliser lExplorateur Windows pour tablir des connexions des imprimantes et entre des lecteurs. Les lettres de lecteurs et les noms UNC (Universal Naming Convention) tant totalement pris en charge par laccs distance, la plupart des applications commerciales et personnalises fonctionnent sans modification. Un serveur RRAS propose deux diffrents types de connectivit daccs distance :
Rseau priv virtuel. Un rseau priv virtuel (VPN) est une connexion point point scurise sur un rseau public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spciaux, appels protocoles de tunnel, pour tablir une connexion un port sur un serveur VPN distant. Le serveur VPN accepte la connexion, authentifie lutilisateur et lordinateur se connectant, puis transfre les donnes entre le client VPN et le rseau de lentreprise. Comme les donnes transitent sur un rseau public, vous devez chiffrer les donnes envoyes sur la connexion pour garantir la confidentialit.
Accs rseau distance. Dans laccs rseau distance, un client daccs distance tablir une connexion tlphonique daccs distance un port physique sur un serveur daccs distance au moyen du service dun fournisseur de tlcommunications, tel quun tlphone analogique ou RNIS. Laccs rseau distance sur un tlphone analogique ou RNIS est une connexion physique directe entre le client daccs rseau distance et le serveur daccs rseau distance. Vous pouvez chiffrer les donnes envoyes sur la connexion, mais cela nest pas obligatoire car la ligne tlphonique est gnralement considre comme tant scurise.
Rfrences supplmentaires
Scnarios daccs distance courants Scnarios de routage courants Rseau priv virtuel Accs rseau distance Autorisations pour les utilisateurs de laccs distance Attribution dadresses IP Protocoles dauthentification de laccs distance Routage Stratgies rseau
souhaitez dployer. Si aucun des chemins de configuration de lAssistant ne rpond exactement vos besoins, vous pouvez choisir loption Configuration personnalise. Cependant, si vous choisissez cette option, vous devez configurer manuellement tous les lments de RRAS. Les solutions daccs distance les plus courantes incluent les connexions de rseau priv virtuel (VPN, Virtual Private Network), les connexions daccs distance et les connexions scurises entre deux rseaux privs.
Accs distance
Lorsque laccs distance est activ, RRAS autorise le trafic rseau entrant des clients VPN provenant dInternet ou des modems connects au systme tlphonique. Le trafic entrant est rout vers le rseau priv. Vous pouvez configurer sparment les types VPN pris en charge, le mode dauthentification des utilisateurs, comment ils sont autoriss accder aux serveurs daccs distance, et quelle configuration IP reoit lordinateur distant lorsquil se connecte.
Lorsque la traduction dadresses rseau (NAT) est active, RRAS autorise le trafic rseau sortant provenant des ordinateurs sur le rseau priv. Elle partage la connexion Internet et son adresse IP publique avec les ordinateurs sur le rseau priv par une traduction entre ladresse publique et les adresses IP et ports utiliss sur le rseau priv.
VPN et NAT
Dans ce scnario, RRAS assure la traduction dadresses rseau pour le rseau priv et accepte des connexions VPN des clients distants.
Un serveur RRAS sur le primtre dun rseau priv peut se connecter un serveur distant au moyen dun tunnel VPN. Les ordinateurs connects aux rseaux privs derrire les deux serveurs peuvent changer des donnes de faon scurise sur Internet. La connexion entre les deux serveurs peut tre permanente (toujours active) ou sur demande (connexion la demande).
Lorsquun utilisateur sur le rseau A souhaite communiquer avec un utilisateur sur le rseau C, lordinateur de lutilisateur sur le rseau A transfre le paquet au routeur 1. Le routeur 1 transfre ensuite le paquet au routeur 2. Le routeur 2 transfre ensuite le paquet lordinateur de lutilisateur sur le rseau C. Sans protocole de routage, un administrateur de rseau doit entrer des itinraires statiques dans les tables de routage du routeur 1 et du routeur 2. Les itinraires statiques ne se redimensionnent pas bien dans de plus grands rseaux ou ne sadaptent pas des modifications dans la topologie du rseau. Remarques Cette version de Windows prend uniquement en charge le routage statique pour IPv6 (Internet Protocol version 6).
Lillustration suivante montre une configuration de routeur qui utilise la connexion la demande. Les rseaux A et B sont spars gographiquement et, pour la quantit de trafic transfr entre eux, une liaison tendue loue (WAN) nest pas conomique. Le routeur 1 et le routeur 2 peuvent se connecter sur une ligne tlphonique analogique au moyen de modems (ou autre type de connectivit, tel que RNIS) aux deux extrmits. Lorsquun ordinateur sur le rseau A initie une communication avec un ordinateur sur le rseau B, le routeur 1 tablit une connexion avec le routeur 2. La connexion est maintenue tant que des paquets sont changs. Lorsque la connexion est inactive, le routeur 1 se dconnecte pour rduire les frais de connexion.
Un rseau priv virtuel (VPN) est une connexion point point sur un rseau priv ou public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spciaux qualifis de protocoles de tunnel qui tablissent un canal scuris entre deux ordinateurs par lequel ils peuvent envoyer des donnes. Pour les deux ordinateurs participants, il existe une liaison point point ddie entre eux, alors quen ralit les donnes sont routes par Internet comme tout autre paquet. Dans un dploiement VPN classique, un client initie une connexion point point un serveur daccs distance par le biais dInternet. Le serveur daccs distance rpond lappel, authentifie lappelant et transfre les donnes entre le client VPN et le rseau priv de lorganisation. Pour muler une liaison point point, les donnes sont encapsules avec un en-tte. Len-tte fournit des informations de routage qui permettent aux donnes de traverser le rseau partag ou public afin datteindre leur point de terminaison. Pour muler une liaison prive, les donnes envoyes sont chiffres par souci de confidentialit. Pour plus dinformations sur les protocoles de tunnel pris en charge dans cette version de Windows, voir pages 15/18 Pour les conditions dinstallation, voir pages 13/14 Connexion VPN
10
Encapsulation. Les donnes prives sont encapsules avec un en-tte qui contient des informations de routage permettant aux donnes de traverser le rseau de transit. Authentification. Lauthentification des connexions VPN prend trois formes diffrentes : 1. Authentification de niveau utilisateur au moyen de lauthentification PPP (Point-to-Point Protocol). Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui tente dtablir la connexion laide dune
11
mthode dauthentification de niveau utilisateur PPP et vrifie que le client VPN dispose de lautorisation approprie. Si lauthentification mutuelle est utilise, le client VPN authentifie galement le serveur VPN, ce qui procure une protection contre les ordinateurs se faisant passer pour des serveurs VPN. 2. Authentification de niveau ordinateur laide du protocole IKE (Internet Key Exchange). Pour tablir une association de scurit (SA) IPsec (Internet Protocol security), le client VPN et le serveur VPN utilisent le protocole IKE pour changer des certificats dordinateurs ou une cl prpartage. Dans les deux cas, le client et le serveur VPN sauthentifient lun lautre au niveau ordinateur. Lauthentification par certificat dordinateur est une authentification beaucoup plus forte et est donc vivement recommande. Lauthentification de niveau ordinateur est utilis par des connexions L2TP (Layer Two Tunneling Protocol)/IPsec ou IKE version 2. 3. Authentification de lorigine des donnes et intgrit des donnes. Pour vrifier que les donnes envoyes sur la connexion VPN proviennent bien de lautre extrmit de la connexion et nont pas t modifies en transit, les donnes contiennent une somme de contrle de chiffrement base sur une cl de chiffrement connue uniquement de lexpditeur et du destinataire. Lauthentification de lorigine des donnes et lintgrit des donnes sont disponibles pour les connexions L2TP/IPsec et IKE version 2. Chiffrement des donnes. Pour assurer la confidentialit des donnes lorsquelles traversent le rseau partag ou public de transit, les donnes sont chiffres par lexpditeur et dchiffres par le destinataire. Le processus de chiffrement et de dchiffrement dpend de lutilisation dune cl de chiffrement commune par lexpditeur et le destinataire. Les paquets intercepts envoys sur la connexion VPN sur le rseau de transit sont incomprhensibles quiconque ne possde pas la cl de chiffrement commune. La longue de la cl de chiffrement est un paramtre de scurit important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de chiffrement. Toutefois, de telles techniques requirent davantage de puissance de traitement et de temps de calcul mesure que les cls de chiffrement augmentent en taille. Il est par consquent important dutiliser la taille de cl la plus leve possible afin de garantir la confidentialit des donnes.
12
Identifiez linterface rseau qui assure la connexion Internet et celle qui assure la connexion au rseau priv. Durant la configuration, vous serez invit dterminer linterface rseau qui tablit la connexion Internet. Si vous spcifiez une interface incorrecte, le serveur VPN daccs distance ne fonctionnera pas correctement.
Dterminez si les clients distants recevront leurs adresses IP dun serveur DHCP du rseau priv ou directement du serveur VPN daccs distance que vous configurez. Si votre rseau priv comporte un serveur DHCP, le serveur VPN daccs distance peut prendre en bail 10 adresses la fois partir du serveur DHCP et affecter ces adresses des clients distants. Si vous ne disposez pas dun serveur DHCP sur le rseau priv, le serveur VPN daccs distance peut affecter des adresses IP des clients distants partir dun pool dadresses prdfinies. Vous devez configurer cette plage en fonction de votre infrastructure rseau. Pour plus dinformations, voir RRAS et DHCP (ventuellement en anglais) (http://go.microsoft.com/fwlink/? linkid=140605). Si vous utilisez DHCP, dterminez si des clients VPN peuvent envoyer des messages DHCP au serveur DHCP sur votre rseau priv. Si un serveur DHCP se trouve sur le mme sous-rseau que le serveur VPN daccs distance, les messages DHCP de clients VPN pourront atteindre le serveur DHCP une fois la connexion VPN tablie. Si un serveur DHCP se trouve sur un autre sous-rseau que le serveur VPN daccs distance, assurez-vous que le routeur situ entre ces deux sous-rseaux est en mesure de relayer les messages DHCP entre les clients et le serveur. Dterminez si les demandes de connexion mises par les clients VPN seront authentifies par un serveur RADIUS (Remote Authentication Dial-In User Service) ou par le serveur VPN daccs distance que vous configurez. Lajout dun serveur RADIUS se rvle utile si vous envisagez dinstaller plusieurs serveurs VPN daccs distance, points daccs sans fil ou autres clients RADIUS dans votre rseau priv. Pour plus dinformations, voir Serveur NPS (Network Policy Server) (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=139764). Vrifiez que tous les utilisateurs disposent dun compte dutilisateur configur pour permettre laccs distance. Pour quun utilisateur puisse se connecter au rseau, il doit possder un compte dutilisateur sur le serveur VPN daccs distance ou dans Active Directory Domain Services. Chaque compte dutilisateur prsent sur un serveur autonome ou sur un contrleur de domaine comporte des proprits qui dterminent si cet utilisateur peut se connecter. Sur un serveur autonome, vous pouvez dfinir ces proprits en cliquant avec le bouton droit sur le compte dutilisateur dans Utilisateurs et groupes locaux puis en cliquant sur Proprits. Sur un contrleur de domaine, cliquez avec le bouton droit sur le compte dutilisateur dans la console Utilisateurs et ordinateurs Active Directory, puis cliquez sur Proprits.
13
14
Les protocoles PPTP, L2TP et SSTP dpendent en grande partie des fonctionnalits spcifies lorigine pour le protocole PPP (Point-to-Point Protocol). Ce dernier a t conu pour envoyer des donnes sur des connexions daccs distance ou des connexions point point ddies. Pour le protocole IP, le protocole PPP encapsule les paquets IP dans des trames PPP, puis transmet les paquets PPP encapsuls sur une liaison point point. Le protocole PPP a t dfini lorigine comme protocole utiliser entre un client daccs distance et un serveur daccs distance.
PPTP
Le protocole PPP autorise le chiffrement du trafic multi protocole, puis son encapsulation dans un en-tte IP devant tre envoy sur un rseau IP ou un rseau public IP tel quInternet. Le protocole PPTP peut tre utilis pour les connexions daccs distance et VPN de site site. Lors de lutilisation dInternet en tant que rseau public pour VPN, le serveur PPTP est un serveur VPN compatible PPTP avec une interface sur Internet et une autre interface sur lintranet.
Encapsulation
Le protocole PPTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le rseau. Il utilise une connexion TCP pour la gestion de tunnel et une version modifie de GRE (Generic Routing Encapsulation) pour encapsuler les trames PPP pour les donnes tunneles. Les charges utiles des trames PPP encapsules peuvent tre chiffres, compresses ou les deux. La figure suivante illustre la structure dun paquet PPTP contenant un datagramme IP. Structure dun paquet PPTP contenant un datagramme IP
Chiffrement
La trame PPP est chiffre avec MPPE (Microsoft Point-to-Point Encryption) au moyen de cls de chiffrement gnres partir du processus dauthentification MS-CHAP v2 ou EAPTLS. Les clients de rseau priv virtuel doivent utiliser le protocole dauthentification MSCHAP v2 ou EAP-TLS pour que les charges utiles des trames PPP soient chiffres. Le protocole PPTP tire parti du chiffrement PPP sous-jacent et encapsule une trame PPP prcdemment chiffre.
L2TP
Le protocole L2TP autorise le chiffrement du trafic multiprotocole, puis son envoi sur tout support prenant en charge la remise de datagramme point point, tel quIP ou ATM (Asynchronous Transfer Mode). Le protocole L2TP est une combinaison de PPTP et de L2F
15
(Layer 2 Forwarding), une technologie dveloppe par Cisco Systems, Inc. L2TP reprsente les meilleures fonctionnalits de PPTP et L2F. Contrairement PPTP, limplmentation Microsoft de L2TP nutilise pas MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP repose sur la scurit IPsec (Internet Protocol security) en mode Transport pour les services de chiffrement. La combinaison de L2TP et IPsec porte le nom de L2TP/IPsec. L2TP et IPsec doivent tous deux tre pris en charge par le client VPN et le serveur VPN. La prise en charge des clients pour L2TP est intgre aux clients daccs distance Windows Vista et Windows XP et la prise en charge de serveur VPN pour L2TP est intgre aux membres de la famille Windows Server 2008 et Windows Server 2003. L2TP est install avec le protocole TCP/IP.
Encapsulation
Lencapsulation des paquets L2TP/IPsec est constitue de deux couches :
16
Chiffrement
Le message L2TP est chiffr avec DES (Data Encryption Standard) ou 3DES (Triple DES) au moyen de cls de chiffrement gnres partir du processus de ngociation IKE (Internet Key Exchange).
SSTP
SSTP (Secure Socket Tunneling Protocol) est un nouveau protocole de tunneling qui utilise le protocole HTTPS sur le port TCP 443 pour faire passer le trafic travers les pare-feu et les proxys Web qui peuvent bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP fournit un mcanisme permettant dencapsuler le trafic PPP sur le canal SSL du protocole HTTPS. Lutilisation de PPP permet la prise en charge de mthodes dauthentification fermes, telles quEAP-TLS. Le protocole SSL procure une scurit de niveau transport avec une ngociation de cls, un chiffrement et une vrification de lintgrit amliors. Lorsquun client tente dtablir une connexion VPN SSTP, le protocole SSTP tablit dabord une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets de protocole transitent en tant que charge utile de donnes.
Encapsulation
Le protocole SSTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le rseau. SSTP utilise une connexion TCP (sur le port 443) pour la gestion de tunnel, ainsi que des trames de donnes PPP.
Chiffrement
Le message SSTP est chiffr avec le canal SSL du protocole HTTPS.
Le protocole PPTP peut tre utilis avec une large gamme de clients Microsoft, y compris Microsoft Windows 2000, Windows XP, Windows Vista et Windows
17
Server 2008. Contrairement L2TP/IPsec, PPTP ne ncessite pas lutilisation dune infrastructure cl publique (PKI). Grce au chiffrement, les connexions VPN PPTP assure la confidentialit des donnes (les paquets capturs ne peuvent pas tre interprts sans la cl de chiffrement). Les connexions VPN PPTP, en revanche, nassurent pas lintgrit des donnes (preuve que les donnes nont pas t modifies en transit), ni lauthentification de lorigine des donnes (preuve que les donnes ont t envoyes par lutilisateur autoris).
Le protocole L2TP peut tre utilis uniquement avec les ordinateurs Windows 2000, Windows XP ou Windows Vista. L2TP prend en charge les certificats dordinateurs ou une cl prpartage en guise de mthode dauthentification pour IPsec. Lauthentification de certificat dordinateur, la mthode dauthentification recommande, requiert une infrastructure PKI afin de dlivrer des certificats lordinateur serveur VPN et tous les ordinateurs clients VPN. Grce IPsec, les connexions VPN L2TP/IPsec assurent la confidentialit, lintgrit et lauthentification des donnes. Contrairement PPTP et SSTP, L2TP/IPsec autorise lauthentification dordinateur au niveau de la couche IPsec et lauthentification utilisateur au niveau de la couche PPP. Le protocole SSTP peut tre utilis uniquement avec les ordinateurs clients excutant Windows Vista Service Pack 1 (SP1) ou Windows Server 2008. Grce SSL, les connexions VPN SSTP assurent la confidentialit, lintgrit et lauthentification des donnes. Les trois types de tunnels transportent les trames PPP par-dessus la pile de protocoles rseau. Par consquent, les fonctionnalits communes de PPP, telles que les modles dauthentification, la ngociation IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) et la protection daccs rseau (NAP) demeurent identiques pour les trois types de tunnels.
Laccs rseau distance est une technologie daccs distance disponible dans le cadre du service Routage et accs distant (RRAS). Laccs distance fournit une solution simple pour les entreprises qui souhaitent permettre aux employs daccder distance leurs comptes de messagerie lectronique dentreprise et de partager des fichiers depuis leur domicile ou autres emplacements en dehors du rseau dentreprise. Avec laccs distance, un client daccs distance peut utiliser linfrastructure de rseau tendu (WAN) pour se connecter un serveur daccs distance. Un client daccs distance utilise le systme tlphonique pour crer un circuit physique temporaire ou un circuit virtuel un port sur un serveur daccs distance. Une fois le circuit physique ou virtuel cr, le reste des paramtres de connexion peut tre ngoci. Laccs rseau distance prend en charge le routage de connexion la demande pour favoriser la rduction des cots tlphoniques.
19
20
Le serveur daccs distance doit utiliser un commutateur numrique V.90 et doit tre connect au rseau PSTN au moyen dune liaison numrique, telle que T-Carrier ou RNIS. Il ne peut pas y avoir de conversions analogiques/numriques dans le chemin entre le serveur daccs distance et le client daccs distance.
21
22
Attention Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant dapporter des modifications au Registre, il est conseill de sauvegarder toutes les donnes importantes stockes sur lordinateur.
23
Attribution dadresses IP
Lorsquun client daccs distance initie une connexion au serveur RRAS, il cre une interface logique temporaire (galement appele interface virtuelle ou carte rseau virtuelle) et demande que le serveur RRAS affecte une adresse IP cette interface logique. Les adresses IPV6 (Internet Protocol version 6) et IPv4 (Internet Protocol version 4) sont prises en charge. Pour plus dinformations, voir Adressage IPv6 (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140606) et Adressage IPv4 (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140607). Laffectation dadresses IP peut avoir lieu dune des manires suivantes :
24
25
Protocole
Description Autorise lauthentification arbitraire dune connexion daccs distance grce lutilisation de modles dauthentification appels types EAP.
Niveau de scurit
EAP
EAP procure la scurit la plus leve grce la plus grande flexibilit dans les variantes dauthentification. Pour plus dinformations, voir EAP (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140608).
Prend en charge lauthentification mutuelle bidirectionnelle. Le MS-CHAP v2 fournit une scurit plus forte que CHAP. MSclient daccs distance Pour plus dinformations, voir MS-CHAP v2 CHAP v2 reoit une vrification (ventuellement en anglais) indiquant que le serveur (http://go.microsoft.com/fwlink/?linkid=140609). daccs distance quil appelle a accs au mot de passe de lutilisateur. CHAP est une amlioration par rapport au protocole PAP, dans la mesure o le mot de passe nest pas envoy sur la Utilise le schma de liaison PPP. CHAP requiert une version en texte clair du hachage MD5 (Message mot de passe afin de valider la rponse la stimulation. Digest 5) pour chiffrer CHAP nassure aucune protection contre lemprunt la rponse. didentit de serveur distant. Pour plus dinformations, voir CHAP (ventuellement en anglais) (http://go.microsoft.com/fwlink/?linkid=140610). Utilise des mots de passe en texte clair. Gnralement utilis si le client daccs distance et le serveur PAP est le protocole dauthentification le moins sr. Il nassure aucune protection contre les attaques par relecture, lemprunt didentit de client distant ou lemprunt didentit de serveur distant. Pour plus dinformations, voir PAP (ventuellement en anglais)
CHAP
PAP
26
daccs distance ne peuvent pas ngocier de (http://go.microsoft.com/fwlink/?linkid=140611). forme de validation plus scurise.
27
Routage
Le routage est le processus de rception dun paquet rseau du rseau connect une interface et son transfert au rseau connect une autre interface. 1. Routage IPv4 (ventuellement en anglais) pages 28 43 (http://go.microsoft.com/fwlink/?linkid=140614) 2. Routage IPv6 (ventuellement en anglais) pages 44 45 (http://go.microsoft.com/fwlink/?linkid=140615) 3. Routage statique (ventuellement en anglais) pages 46 47 (http://go.microsoft.com/fwlink/?linkid=140617) 4. Traduction dadresses rseau (ventuellement en anglais) pages 48 55 (http://go.microsoft.com/fwlink/?linkid=140619) 5. Routage de connexion la demande (ventuellement en anglais) pages 56 63 (http://go.microsoft.com/fwlink/?linkid=140603)
Un intranet IP non connect Internet Internet Les intranets connects Internet ou dautres intranets par le biais dInternet
Les systmes dexploitation les plus rpandus pour lesquels TCP/IP est le protocole rseau principal sont Windows et UNIX. Tout rseau Windows prend en charge le routage IP de monodiffusion. Cela comprend les rseaux qui utilisent uniquement des routeurs matriels, les rseaux qui utilisent des routeurs logiciels tels que le service Routage et accs distance inclus dans Windows Server 2008 ou les rseaux qui utilisent une combinaison de routeurs matriels et logiciels.
28
Le tableau suivant dcrit chacun des composants de routage, tels que dfinis par lInternational Organization for Standardization (ISO), illustrs sur la figure.
Composant rseau
Description
Priphrique rseau qui ne peut pas transfrer de paquets IP. Les systmes finaux sont galement appels htes. Un ordinateur qui ne joue pas le rle de Systme final routeur est un exemple de systme final. (Collectivement, les htes et les routeurs portent le nom de nuds.) Systme intermdiaire Routeur Priphrique rseau qui peut transfrer des paquets IP qui ne lui sont pas adresss. Les ponts, les commutateurs et les routeurs sont des exemples de systmes intermdiaires. Systme intermdiaire utilis pour se connecter des segments rseau (sousrseaux) en fonction dun protocole de couche rseau commun tel quIP. Sur la figure prcdente, le systme intermdiaire est un routeur. Les routeurs incluent les catgories suivantes :
Routeurs matriels. Priphrique qui assure le routage en tant que fonction ddie et conu et optimis spcifiquement pour le routage. Par exemple, les routeurs fabriqus par Cisco Systems, Inc. sont
29
Routeurs logiciels. Ordinateur sur lequel le routage ne constitue que lun des nombreux processus excuts. Par exemple, un ordinateur excutant Windows Server 2008 avec le service Routage et accs distance activ est un routeur logiciel.
Un routeur peut tre configur de faon effectuer uniquement le routage statique, uniquement le routage dynamique ou, plus gnralement, principalement le routage dynamique complt par certains itinraires statiques configurs manuellement. Partie de linfrastructure rseau (rpteurs, concentrateurs, ponts ou commutateurs de couche 2) adjacente un systme intermdiaire et dont les ordinateurs et autres priphriques rseau partagent une adresse rseau commune appele ID rseau. galement appel segment rseau ou sousrseau.
Rseau
Lorsquun nud sur un rseau IP envoie un paquet IP de monodiffusion un nud sur un autre rseau, il transfre en gnral dabord le paquet un routeur. Celui-ci examine le paquet et utilise ladresse rseau de destination contenue dans len-tte de paquet pour dterminer laquelle des interfaces du routeur utiliser pour transfrer le paquet jusqu sa destination. Len-tte de couche rseau de tout paquet IPv4 envoy partir dun nud source vers un nud de destination sur un rseau IPv4 inclut les lments suivants :
Une adresse IPv4 source, qui contient un ID rseau source et un ID dhte source. Une adresse IPv4 de destination, qui contient un ID rseau de destination et un ID dhte de destination. Une valeur TTL (Time-To-Live), utilise pour empcher le paquet de circuler indfiniment sur le rseau. Le paramtre TTL commence une valeur maximale et dcrmente de un pour chaque liaison traverse ; si zro est atteint le paquet est rejet et un message est renvoy au nud expditeur do provenait le paquet. Remarque Le nombre de liaisons TTL (nombre de liaisons de couche interface rseau traverses pour atteindre une destination donne) est diffrent du nombre de sauts (nombre de routeurs traverss pour atteindre une destination). Le nombre de liaisons, qui correspond au nombre de segments rseau, est gal au nombre de sauts plus un. Par exemple, si deux nuds sont spars par cinq routeurs, le nombre de sauts est cinq mais le nombre de liaisons TTL est 6.
30
paquets IP de monodiffusion vers tout emplacement accessible. Un nud excutant Windows Server 2008 (ou Windows Vista) cre sa table de routage automatiquement en fonction de sa configuration TCP/IP actuelle, de ses entres de table de routage statique, des informations fournies par les protocoles de routage dynamique et des messages ICMP Redirection.
Pour un hte IP. Un hte peut envoyer un paquet directement sa destination ou lui faire suivre un itinraire par dfaut {ID rseau : 0.0.0.0, Masque de sous-rseau : 0.0.0.0} pointant vers sa passerelle par dfaut. Une passerelle par dfaut est un routeur qui connecte des segments rseau IP distincts. Pour un routeur IP. Un routeur transfre un paquet en utilisant un itinraire statique explicite pour un segment rseau spcifique, un itinraire rsum, un itinraire dhte ou un itinraire par dfaut.
Avec la notation de prfixe rseau, la paire adresse IP/masque de sous-rseau {157.54.27.90, 255.255.240.0} pour ce nud est exprime sous la forme 157.54.27.90/20. Le fait de taper route point une invite de commandes sur ce nud gnre la sortie indique dans la table suivante. Exemple de table de routage
Destination rseau Masque rseau Mtrique 0.0.0.0 0.0.0.0 127.0.0.0 255.0.0.0 157.54.16.0 255.255.240.0 157.54.27.90 255.255.255.255 157.54.255.255 255.255.255.255 224.0.0.0 240.0.0.0 255.255.255.255 255.255.255.255 Adr. passerelle 157.54.16.1 127.0.0.1 157.54.27.90 127.0.0.1 157.54.27.90 157.54.27.90 157.54.27.90 Adr. interface 20 1 20 20 20 20 1
Dans la sortie prcdente, la mtrique de routage dfinie 20 pour plusieurs lignes est la mtrique que le protocole TCP/IP Windows Server 2008 ou Windows Vista utilise pour une interface Ethernet 100-Mbps, pour une carte 802.11g ou pour une carte 802.11a. Le tableau
31
suivant rpertorie les critres utiliss par Windows Server 2008 ou Windows Vista pour affecter des mtriques des itinraires lis des interfaces rseau de diffrentes vitesses.
Suprieure 20 Mbps et infrieure ou gale 200 Mbps 20 Suprieure 4 Mbps et infrieure ou gale 20 Mbps Suprieure 500 Kbps et infrieure ou gale 4 Mbps Infrieure ou gale 500 Kbps 30 40 50
La fonctionnalit de mtrique automatique est active par dfaut par le biais de la case cocher Mtrique automatique sous longlet Paramtres IP sous les Paramtres TCP/IP avancs du protocole TCP/IP. Pour les passerelles par dfaut affectes par DHCP, vous pouvez outrepasser le comportement par dfaut qui consiste calculer automatiquement une mtrique pour litinraire par dfaut en fonction de la vitesse de la carte en utilisant loption DHCP spcifique Microsoft nomme Base mtrique du routeur par dfaut.
Table de routage. Stocke tous les itinraires depuis toutes les sources possibles. La commande netsh ro ip sh rtmr (autrement dit, netsh routing ip show rtmroutes) affiche la table de routage. Table de transfert. Utilise par le protocole IP pour transfrer les paquets. Les commandes route print et netsh ro ip sh rtmd (autrement dit, netsh routing ip show rtmdestinations) affichent la table de transfert IP.
Le service Routage et accs distance sur un routeur Windows Server 2008 assure la maintenance de la table de routage IP au moyen dun outil appel Gestionnaire de table de routage (abrg en rtm dans rtmroutes et rtmdestinations dans les commandes ci-dessus). Le Gestionnaire de table de routage met jour la table de transfert IP (contenue dans le protocole TCP/IP) en fonction des informations ditinraire entrant de plusieurs sources. Le contenu de la table de routage ne correspond pas ncessairement au contenu de la table de transfert.
32
Types ditinraires
Le tableau suivant dcrit les types ditinraires stocks dans une table de routage IP. Pour une description de chaque itinraire dans une table de routage relle, voir la table Itinraires dans une table de routage IP plus loin dans cette rubrique.
se trouvent pas sur le sous-rseau local. Ladresse de passerelle par dfaut est ladresse IP dun routeur IP accessible directement.
La passerelle par dfaut sur un ordinateur excutant Windows Server 2008 ou Windows Vista est configure au moyen dune des mthodes suivantes :
Onglet Gnral des proprits TCP/IP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais dune configuration manuelle, la passerelle par dfaut est ladresse IP contenue dans le champ Passerelle par dfaut sous longlet Gnral de la page de proprits TCP/IP. Vous pouvez configurer plusieurs passerelles par dfaut en les ajoutant sous longlet Paramtres IP de la page Paramtres TCP/IP avancs des proprits TCP/IP. Onglet Configuration alternative des proprits TCP/IP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais dune option de configuration alternative configure par lutilisateur, la passerelle par dfaut est ladresse IP contenue dans le champ Passerelle par dfaut sous longlet Configuration alternative de la page de proprits TCP/IP. Vous ne pouvez spcifier quune seule passerelle par dfaut. La fonctionnalit de configuration alternative TCP/IP permet lordinateur de fonctionner sur deux rseaux, voire davantage (un configur avec des adresses IP statiques et un autre configur avec DHCP) sans reconfiguration des paramtres de carte rseau. Lorsque aucun serveur DHCP nest disponible, la connexion utilise la configuration spcifie sous longlet Configuration alternative. DHCP. Si vous souhaitez que le nud obtienne sa configuration dadresse IP par le biais du protocole DHCP, la passerelle par dfaut est la valeur de la premire adresse IP dans loption DHCP Routeur. Loption DHCP Routeur spcifie une liste ordonne dune ou plusieurs passerelles par dfaut. Si vous utilisez un serveur DHCP bas sur Windows Server 2008, loption Routeur se trouve dans le volet Dtails dans larborescence de la console du composant logiciel enfichable DHCP sous Nom_Serveur\Nom_tendue\Scope Options. Dcouverte de routeur ICMP. Si vous souhaitez que le nud dcouvre automatiquement le meilleur routeur passerelle par dfaut disponible sur un sousrseau, vous pouvez configurer les nuds de ce sous-rseau pour quils utilisent la dcouverte de routeur ICMP. Les messages Sollicitation de routeur ICMP et les messages Publication de routage changs entre les routeurs et les htes permettent aux htes de dcouvrir de manire dynamique les routeurs locaux qui sont disponibles, ceux qui sont dsactivs et celui qui constitue actuellement la meilleure passerelle par dfaut utiliser sur un sous-rseau. Grce lutilisation de la dcouverte de routeur ICMP, un hte peut basculer automatiquement vers une autre passerelle par dfaut si sa passerelle par dfaut actuelle devient indisponible.
34
table de routage plus haut dans cette rubrique. Chaque ligne est libelle avec le type ditinraire pour cette entre.
Itinraire par dfaut 0.0.0.0 Itinraire rseau de 127.0.0.0 bouclage Itinraire rseau local (Itinraire rseau 157.54.16.0 connect directement) Itinraire hte local (Itinraire dadresse 157.54.27.90 IP locale) Itinraire de diffusion rseau
255.255.240.0
157.54.27.90 157.54.27.90 20
255.255.255.255 127.0.0.1
127.0.0.1
20
(Itinraire de 157.54.255.255 255.255.255.255 157.54.27.90 157.54.27.90 20 diffusion dirig vers tous les sousrseaux) Itinraire dadresse 224.0.0.0 de multidiffusion Itinraire de diffusion limite 240.0.0.0 157.54.27.90 157.54.27.90 20
Destination rseau
Adresse IP. Une adresse IP pour un itinraire hte. ID rseau. Un ID rseau bas sur la classe, de sous-rseau ou rsum.
35
de destination. Si la destination et le masque de sous-rseau correspondent la destination rseau, litinraire constitue une correspondance pour la destination. Le processus est le suivant : 1. Le protocole IP effectue une opration binaire AND logique entre ladresse IP de destination du paquet et la valeur contenue dans la colonne Masque rseau. 2. Le rsultat est compar la valeur inscrite dans la colonne Destination rseau. 3. Lorsque le protocole IP compare chaque bit de ladresse IP de destination au bit correspondant dans le masque de sous-rseau, lopration AND binaire fonctionne comme suit : o Si les deux bits sont 1, le bit rsultant est 1. o Si les deux bits ne sont pas 1, le bit rsultant est 0. Exemples :
(Masque de sous-rseau)
Itinraire par dfaut. Le masque rseau de litinraire par dfaut est 0.0.0.0, ce qui se traduit par la valeur binaire 00000000 00000000 00000000 00000000. Lorsque le protocole IP effectue lopration AND entre une adresse IP de destination et ce masque de sous-rseau, le rsultat est constitu entirement de zros. Par consquent, aucun bit na besoin de correspondre et toute destination correspond litinraire par dfaut. Itinraire hte. Le masque rseau dun itinraire hte (un itinraire qui correspond une adresse IP spcifique) est 255.255.255.255, ce qui se traduit par la valeur binaire 11111111 11111111 11111111 11111111. Lorsque le protocole IP effectue lopration AND entre litinraire hte et ce masque de sous-rseau, seule une adresse IP de destination gale ladresse IP de litinraire hte correspond cet itinraire. Paquet avec ladresse IP 157.54.16.48. Lorsque le protocole IP effectue lopration AND entre 157.54.16.48 et le masque rseau pour litinraire rseau connect directement (dans cet exemple, 55.255.240.0), le rsultat est 157.54.16.0. Le masque de sous-rseau 255.255.240.0 requiert que tous les huit bits des deux premiers octets et les premiers quatre bits du troisime octet correspondent (240=11110000). Par consquent, la correspondance la plus proche pour ce paquet est le rseau connect directement (157.54.16.0/20).
Passerelle Contient soit ladresse IP dune carte rseau local pour les remises directes, (Saut suivant soit ladresse IP dun routeur IP (tel quun routeur passerelle par dfaut) sur le ou Adresse de segment rseau local pour les remises indirectes. Il sagit de ladresse IP transfert) utilise par le nud local pour transfrer le paquet IP. Interface Indique linterface rseau (carte rseau physique ou interface logique) qui sera utilise pour transfrer un paquet IP. 36
Indique le cot relatif des itinraires, de sorte que le meilleur itinraire parmi plusieurs itinraires possibles avec la meilleure correspondance vers la mme destination puisse tre slectionn. Sil existe plusieurs itinraires vers la mme destination avec des mtriques diffrentes, litinraire ayant la mtrique la plus faible est slectionn. Les mtriques peuvent exprimer la prfrence ditinraire de plusieurs manires :
Nombre de sauts. Indique le nombre de routeurs traverser pour atteindre un rseau de destination. Un ordinateur sur le sous-rseau local est un saut et chaque routeur travers aprs cela reprsente un saut supplmentaire. Dlai. Indique la dure ncessaire au paquet pour atteindre le rseau de destination. Le dlai fait rfrence la vitesse (les liaisons LAN ont un dlai plus court ; les liaisons WAN ont un dlai plus long) ou au niveau dencombrement du chemin daccs. Dbit. Indique la quantit de donnes pouvant tre envoyes sur le chemin daccs par seconde. Le dbit nindique pas ncessairement la vitesse de transmission de la liaison car une liaison Ethernet trs charge peut avoir un dbit infrieure celui dune liaison WAN de 64 kilobits par seconde (Kbps) inutilise. Fiabilit. Indique une mesure de la constance du chemin daccs. Certains types de liaisons sont plus susceptibles aux dfaillances. Par exemple, les liaisons WAN ligne alloue sont plus fiables que les lignes daccs distance.
Mtrique
Itinraire utilis sil nexiste aucun autre itinraire avec une meilleure correspondance pour ladresse de destination mentionne dans le paquet IP. Dans lexemple, le paquet IP est transfr 157.54.16.1 (la passerelle par dfaut) au moyen de linterface 157.54.27.90 (ladresse IP du nud).
37
Itinraire utilis pour toute adresse IP de la forme 127.x.y.z (127.0.0.0 jusqu 127.255.255.255). Dans cet exemple, comme pour toute adresse IP comprise dans cette plage, le paquet IP est transfr ladresse IP de bouclage spciale 127.0.0.1 au moyen de linterface de bouclage. Itinraire utilis pour une adresse IP sur le sousrseau connect localement. Le paquet IP est transfr directement ladresse IP de destination (et non un routeur intermdiaire). Dans lexemple, le paquet IP est transfr sa destination au moyen de linterface affecte 15754.27.90 ; autrement dit, les colonnes Passerelle et Interface contiennent une adresse IP du nud, indiquant que le paquet sera envoy directement sa destination partir dune carte rseau laquelle est affecte une adresse IP sur ce nud. Itinraire utilis si ladresse IP mentionne dans le paquet est identique celle de lhte local. Le masque de sous-rseau 255.255.255.255 indique quil sagit dun itinraire hte. Dans cet exemple, comme pour toute adresse IP qui correspond lhte local, le paquet IP est transfr ladresse IP de bouclage 127.0.0.1 au moyen de linterface de bouclage. Itinraire utilis pour une adresse IP qui correspond ladresse de diffusion dirige vers tous les sous-rseaux. Le masque de sousrseau 255.255.255.255 indique quil sagit dun itinraire hte. Le paquet IP est transfr en tant que diffusion de niveau MAC vers les htes sur tous les sous-rseaux dun ID rseau sous-rseaux au moyen dune interface laquelle est affecte une adresse IP sur le nud local. Un itinraire de diffusion rseau existe uniquement si lID rseau local est obtenu partir dun ID rseau bas sur des classes.
varie/varie
varie/255.255.255.255 (varie/32)
Itinraire de diffusion rseau varie/255.255.255.255 (Itinraire de diffusion dirig (varie/32) vers tous les sousrseaux)
224.0.0.0/240.0.0.0 Itinraire dadresse de multidiffusion (224.0.0.0/4) Itinraire utilis pour toutes les adresses IP de classe D rserves pour le trafic de multidiffusion. Le paquet de multidiffusion IP est transfr en tant que multidiffusion de
38
niveau MAC au groupe de multidiffusion au moyen dune interface laquelle est affecte une adresse IP sur le rseau local. Itinraire utilis pour une adresse IP qui correspond ladresse de diffusion limite. Le masque de sous-rseau 255.255.255.255 indique quil sagit dun itinraire hte. Le paquet IP est transfr en tant que diffusion de niveau MAC vers tous les htes sur le mme segment rseau au moyen dune interface laquelle est affecte une adresse IP sur le nud local. Litinraire de diffusion limite est utilis durant le processus de configuration DHCP, par exemple lorsquun client DHCP utilise ladresse de diffusion limite pour envoyer tout le trafic pendant quil attend que le serveur DHCP reconnaisse son bail dune adresse IP.
39
Le protocole IP utilise chaque colonne sur chaque ligne de la faon suivante : 1. Destination rseau et Masque rseau. Utilises conjointement pour dterminer si ladresse de destination dans le paquet IP correspond litinraire. Simultanment, le protocole IP utilise chaque colonne pour valuer chaque ligne 2. Mtrique. Utilise pour dterminer lentre correspondante slectionner si plusieurs itinraires correspondants sont dtects. 3. Passerelle et Interface. Utilises conjointement pour dterminer ladresse de saut suivant laquelle envoyer le paquet et linterface de saut suivant par le biais de laquelle transfrer le paquet. Trois dcisions de routage sont possibles :
Passer le paquet linterface de bouclage (si la destination du paquet est cet ordinateur ou est de la forme 124.x.y.z). Transfrer le paquet au moyen dune des cartes rseau connectes localement (si un itinraire correspondance troite a t trouv). Rejeter le paquet (si aucun itinraire correspondant na t trouv), puis (sur un hte) envoyer un message derreur en interne ou (sur un routeur) envoyer un message derreur lhte source.
Rsultat
La section suivante dcrit en dtail le processus par lequel le protocole IP dtermine la dcision de routage prendre.
Correspondance. Si un ou plusieurs itinraires correspondants sont trouvs, le protocole IP compile une liste des itinraires correspondants. Le protocole IP dtermine si un itinraire produit une correspondance de la manire suivante :
40
Itinraire hte. Tous les 32 bits correspondent ladresse IP de destination. Litinraire mne une seule adresse de destination. Itinraire reprsentant lID rseau dun sous-rseau local ou distant. Tous les bits de lID rseau correspondent ladresse IP de destination. Cet itinraire est soit un itinraire vers une destination sur le sous-rseau local, soit un itinraire vers une destination sur un rseau non local par le biais dun routeur. Itinraire reprsentant un ID rseau rsum. Tous les bits de lID rseau rsum correspondent ladresse IP de destination. Litinraire mne une destination sur lensemble de sous-rseaux rsum par cet itinraire rsum. Itinraire par dfaut. Tous les adresses IP de destination correspondent litinraire par dfaut. Il sagit de litinraire utilis lorsquil nexiste aucune correspondance plus spcifique. Aucune correspondance. Si aucun itinraire nest trouv (y compris aucun itinraire par dfaut), le protocole IP indique une condition derreur. Une condition aucune correspondance ne peut pas se produire sil existe un itinraire par dfaut. Si le nud est sur un hte, une erreur de routage IP est envoye en interne un protocole de couche suprieure (tel que TCP, UDP ou ICMP). Si le nud est un routeur, un message ICMP de destination inaccessible-hte inaccessible est envoy lhte source.
Pour plus dexemples illustrant lopration AND entre une adresse IP de destination et la valeur mentionne dans la colonne Masque rseau, voir la ligne Masque rseau dans le tableau Colonnes pour chaque entre de la table de routage dans Structure de la table de routage IPv4 plus haut dans cette rubrique. 2. Dterminer litinraire unique utiliser pour envoyer ou transfrer le paquet. Le rsultat du processus de dtermination de litinraire est le choix dun itinraire unique dans la table de routage : Si un seul itinraire a la correspondance la plus longue (la correspondance la plus longue est litinraire ayant le nombre le plus lev de bits dfinis 1 dans la colonne Masque rseau [le prfixe le plus long]), cet itinraire est slectionn. o Si plusieurs itinraires avec la correspondance la plus longue sont trouvs (par exemple plusieurs itinraires vers le mme ID rseau), le protocole IP slectionne litinraire ayant la mtrique la moins leve. o Sil existe plusieurs itinraires avec la correspondance la plus longue avec la mme mtrique la plus faible, le protocole IP slectionne litinraire associ linterface situe en premier dans lordre de liaison. Remarque Si un ordinateur possde plusieurs interfaces (cartes rseau), lordre de liaison est lordre dans lequel les services rseau accdent aux interfaces. Cet ordre reflte celui dans lequel le protocole TCP/IP est li chacune des interfaces. Pour modifier lordre de liaison relatif des interfaces sur un ordinateur excutant Windows Server 2008 ou Windows Vista, ouvrez Connexions rseau, slectionnez le menu Avanc, slectionnez Paramtres avancs, cliquez sur linterface dont vous souhaitez modifier lordre de
o
41
liaison, puis cliquez sur la flche Haut ou Bas selon les besoins. 3. Dterminer linterface et ladresse de saut suivant. Une fois quun itinraire a t slectionn, le protocole IP dtermine partir de lentre de table de routage ladresse IP de saut suivant et linterface (carte rseau physique ou port logique) utiliser pour transfrer le paquet : o Remise directe (vers le nud de destination). Si la destination est sur un sous-rseau directement connect lhte ou au routeur, le protocole IP remet le paquet au nud de destination. Dans ce cas, ladresse mentionne dans la colonne Passerelle est identique celle de la colonne Interface (ou la colonne Passerelle est vide) et ladresse IP de saut suivant est dfinie ladresse IP de destination mentionne dans le paquet IP. Linterface utilise est celle spcifie dans la colonne Interface de litinraire slectionn. L encore, si lon prend l Exemple de table de routage fourni plus haut, si le trafic est envoy 157.54.16.48, litinraire le plus spcifique est celui du rseau directement connect (157.54.16.0/20). Ladresse IP de saut suivant est dfinie ladresse IP de destination (157.54.16.48) et linterface utilise est la carte laquelle ladresse IP 157.54.27.90 a t affecte (linterface sur le nud local). Remise indirecte (au routeur suivant). Si la destination nest pas sur un sous-rseau directement connect au nud, le protocole IP remet le paquet un routeur voisin sur un sous-rseau directement connect, pour la suite du routage. Dans ce cas, ladresse mentionne dans la colonne Passerelle est diffrente de celle de la colonne Interface et ladresse IP de saut suivant est dfinie ladresse mentionne dans la colonne Passerelle. Linterface utilise est celle spcifie dans la colonne Interface de litinraire slectionn.
Par exemple, si le trafic est envoy 157.60.0.79, litinraire le plus spcifique est litinraire par dfaut (0.0.0.0/0). Ladresse IP de saut suivant est dfinie ladresse passerelle (157.54.16.1) et linterface utilise est, l encore, la carte laquelle ladresse IP 157.54.27.90 a t affecte (linterface sur le nud local). 4. Remise du paquet ARP. Le protocole IP remet le paquet, ladresse IP de saut suivant et linterface de saut suivant ARP. ARP rsout ladresse IP de saut suivant son adresse MAC et transfre le paquet, le cas chant, au saut suivant, qui est soit la destination, soit le routeur qui le transfrera sa destination.
Lutilitaire de ligne de commande route, conu spcifiquement pour afficher et grer la table de routage IP. Le contexte IP de routage Netsh, qui inclut plusieurs commandes pour la gestion des itinraires IP. Le composant logiciel enfichable Routage et accs distance, qui affiche la table de routage avec une colonne supplmentaire rpertoriant la source partir de laquelle litinraire a t obtenu. Affichez la table de routage en cliquant avec le bouton droit 42
sur Routage IP/Itinraires statiques dans larborescence de la console, puis en slectionnant Afficher la table de routage IP. Outre la commande route print qui permet dafficher la table de routage, vous pouvez galement utiliser route pour ajouter, modifier ou supprimer des itinraires. La table de routage IP tant stocke dans la RAM et recre chaque redmarrage dun ordinateur, on utilise couramment route add avec loption -p pour ajouter un itinraire statique permanent, autrement dit un itinraire conserv mme aprs le redmarrage de lordinateur. Les itinraires permanents sont stocks dans le Registre. La table de routage IP affiche dans le composant logiciel enfichable Routage et accs distance inclut une colonne supplmentaire non affiche par la commande route print. Il sagit de la colonne Protocole, qui identifie la faon dont le routeur a appris chaque itinraire. Par exemple, Local identifie un itinraire sur le nud local ; Statique identifie un itinraire statique que ladministrateur a configur manuellement ; RIP identifie les itinraires dynamiques appris dautres routeurs configurs pour utiliser ce protocole de routage. La figure suivante illustre la table de routage IP sur un routeur Routage et accs distance Windows Server 2008.
IPv6 Routing
43
Routing is the process of forwarding packets between connected network segments. For Internet Protocol version 6 (IPv6)-based networks, routing provides forwarding capabilities between hosts that are located on separate segments within a larger IPv6-based network. An IPv6 packet contains both the source address of the sending host and the destination address of the receiving host. Unlike link-layer (layer 2) addresses, IPv6 addresses in the IPv6 header typically remain the same as the packet travels across an IPv6 network. Routing is the primary function of IPv6. IPv6 packets are exchanged and processed on each host by using IPv6 at the Internet layer. Above the IPv6 layer, transport services on the source host pass data in the form of TCP segments or UDP messages down to the IPv6 layer. The IPv6 layer creates IPv6 packets with source and destination address information that is used to route the data through the network. The IPv6 layer then passes packets down to the link layer, where IPv6 packets are converted into frames for transmission over network-specific media on a physical network. This process occurs in reverse order on the destination host. IPv6 layer services on each sending host examine the destination address of each packet, compare this address to a locally maintained routing table, and then determine what additional forwarding is required. IPv6 routers are attached to two or more IPv6 network segments that are enabled to forward packets between them.
IPv6 routers
IPv6 network segments, also known as links or subnets, are connected by IPv6 routers, which are devices that pass IPv6 packets from one link to another. A simple IPv6 network consisting of three links connected by routers is shown in the following figure.
IPv6 routers provide the primary means for joining together two or more physically separated IPv6 links. All IPv6 routers have the following characteristics:
IPv6 routers are physically multihomed hosts. A physically multihomed host is a network host that has two or more network adapters to connect to each physically separated link.
44
IPv6 routers provide packet forwarding for other IPv6 hosts. IPv6 routers are distinct from other hosts that use multihoming. An IPv6 router must be able to forward IPv6based communication between networks for other IPv6 network hosts.
You can implement IPv6 routers by using a variety of hardware and software products, including a computer running Windows Server 2008 R2 with the IPv6 protocol. Routers that are dedicated hardware devices running specialized software are common. Regardless of the type of IPv6 routers that you use, all IPv6 routing relies on a routing table to communicate between network segments.
An address prefix. The interface over which packets matching the address prefix are sent. A forwarding or next-hop address. A preference value used to select between multiple routes with the same prefix. The lifetime of the route. The specification of whether the route is published (advertised in a Routing Advertisement). The specification of how the route is aged. The route type.
The IPv6 routing table is built automatically, based on the current IPv6 configuration of your computer. When forwarding IPv6 packets, the routing table is searched by your computer for an entry that is the most specific match to the destination IPv6 address. A route for the linklocal prefix (FE80::/64) is not displayed. The default route (a route with a prefix of ::/0) is typically used to forward an IPv6 packet to a default router on the local link. Because the router that corresponds to the default router contains information about the network prefixes of the other IPv6 subnets within the larger IPv6 network, it forwards the packet to other routers until it is eventually delivered to the destination.
Un rseau IP routage statique nutilise pas de protocoles de routage tels que RIP pour IP afin de communiquer les informations de routage entre les routeurs. Toutes les informations de routage sont stockes dans une table de routage statique sur chaque routeur. Vous devez vous assurer que chaque routeur dispose des itinraires appropris dans sa table de routage de sorte que le trafic puisse tre chang entre deux points de terminaison quelconques sur le rseau IP.
Un petit rseau comporte entre 2 et 10 rseaux. Chemin unique signifie quil ny a quun seul chemin daccs pour le transport des paquets entre deux points de terminaison quelconques sur le rseau. Statique signifie que la topologie du rseau ne change pas au fil du temps.
Aucune tolrance de pannes Si un routeur ou une liaison est dfectueux, les routeurs statiques ne dtectent pas la panne et nen informent pas les autres routeurs. Bien que cela soit problmatique sur les gros rseaux dentreprise, un petit bureau (avec deux routeurs et trois rseaux bass sur des liaisons LAN) ne tombe pas assez souvent en panne pour justifier le dploiement dune topologie multichemin et dun protocole de routage.
Charges administratives Si un nouveau rseau est ajout ou supprim du rseau, des itinraires vers ce nouveau rseau doivent tre ajouts ou supprims manuellement. Si un nouveau routeur est ajout, il doit tre configur correctement pour les itinraires du rseau.
46
Si le routage statique convient votre rseau IP, vous pouvez effectuer les tapes suivantes pour le dployer : 1. Dessinez un plan de la topologie de votre rseau IP montrant les diffrents rseaux et le positionnement des routeurs et des htes (ordinateurs non-routeurs qui excutent le protocole TCP/IP). 2. Pour chaque rseau IP (un systme de cblage limit par un ou plusieurs routeurs), affectez un ID rseau IP unique (galement appel adresse rseau IP). 3. Affectez des adresses IP chaque interface de routeur. Il est courant daffecter les premires adresses IP dun rseau IP donn aux interfaces de routeurs. Par exemple, pour un IP rseau de 192.168.100.0 avec un masque de sous-rseau de 255.255.255.0, ladresse IP 192.168.100.1 est affecte linterface de routeur. 4. Pour les routeurs priphriques, configurez un itinraire par dfaut sur linterface qui possde un routeur voisin. Lutilisation ditinraires par dfaut sur les routeurs priphriques est facultative. 5. Pour chaque routeur non priphrique, compilez une liste ditinraires qui doivent tre ajouts comme itinraires statiques la table de routage de chaque routeur. Chaque itinraire est compos dun ID rseau de destination, dun masque de sous-rseau, dune adresse IP de passerelle (ou de transfert), dune mtrique (nombre de sauts de routeur pour atteindre le rseau) et de linterface utilise pour atteindre le rseau. 6. Pour les rseaux non priphriques, ajoutez les itinraires statiques compils ltape 5 chaque routeur. Vous pouvez ajouter des itinraires statiques au moyen de Routage et accs distance. 7. Une fois votre configuration termine, utilisez les commandes ping et tracert pour tester la connectivit entre les ordinateurs htes afin de vrifier tous les itinraires de routage.
Activer NAT
47
Quest-ce que la traduction dadresses rseau (NAT) ? Exemple de traduction dadresses rseau Adresses prives Internet Utilisation de NAT et VPN Diffrences entre la traduction dadresses rseau et le partage de connexion Internet
Activer NAT
Pour mener bien cette procdure, il est ncessaire dappartenir au groupe Administrateurs local ou un groupe quivalent.
3. Cliquez avec le bouton droit sur NAT, puis cliquez sur Proprits. 4. Sous longlet Attribution dadresses, activez la case cocher Attribuer les adresses IP automatiquement avec lallocateur DHCP. 5. (Facultatif) Pour allouer des clients DHCP sur le rseau priv, dans Adresse IP et masque, configurez la plage dadresses IP. 6. (Facultatif) Pour exclure des adresses de lallocation aux clients DHCP sur le rseau priv, cliquez sur Exclure, sur Ajouter, puis configurez les adresses.
La traduction dadresses rseau (NAT, Network Address Translation) permet de traduire les adresses IPv4 (Internet Protocol version 4) des ordinateurs dun rseau en adresses IPv4 des ordinateurs dun autre rseau. Un routeur IP compatible NAT dploy lendroit o un rseau priv (tel quun rseau dentreprise) rencontre un rseau public (tel quInternet) permet aux ordinateurs du rseau priv daccder des ordinateurs du rseau public grce ce service de traduction. La technologie NAT a t dveloppe afin de fournir une solution temporaire au problme dpuisement des adresses IPv4. Le nombre dadresses IPv4 globalement uniques (publiques) disponibles est beaucoup trop faible pour satisfaire la quantit sans cesse croissante dordinateurs ncessitant un accs Internet. Bien quil existe une solution long terme (le dveloppement des adresses IPv6 [Internet Protocol version 6]), celle-ci na pas encore t adopte grande chelle. La technologie NAT permet aux ordinateurs dun rseau dutiliser des adresses prives rutilisables pour se connecter des ordinateurs avec des adresses publiques globalement uniques sur Internet. Dans Windows Server 2008, le service Routage et accs distance prend en charge une solution NAT en autorisant la configuration facultative dun composant de protocole de routage qui fournit la traduction dadresses rseau. Les ordinateurs dun rseau priv peuvent accder un rseau public par le biais dun routeur compatible NAT qui excute le service Routage et accs distance. Tout le trafic qui quitte ou pntre sur le rseau priv doit transiter par un routeur compatible NAT. La traduction dadresses rseau est constitue des composants suivants :
Composant
Description Le serveur excutant le service Routage et accs distance sur lequel la traduction NAT est active traduit les adresses IP et les numros de ports TCP/UDP des paquets qui sont transfrs entre le rseau priv et Internet. Lordinateur de traduction dadresses rseau fournit des informations de configuration dadresses IP aux autres ordinateurs du rseau domestique. Le composant dadressage est un serveur DHCP simplifi qui alloue une adresse IP, un masque de sous-rseau, une passerelle par dfaut et ladresse IP dun serveur DNS. Vous devez configurer des ordinateurs du rseau domestique en tant que clients DHCP afin de recevoir la configuration IP automatiquement.
Traduction
Adressage
Lordinateur de traduction dadresses rseau devient le serveur DNS pour les autres ordinateurs du rseau domestique. Lorsque lordinateur de traduction Rsolution de dadresses rseau reoit des demandes de rsolution de noms, il les transfre au noms serveur DNS bas sur Internet pour lequel il est configur et renvoie les rponses lordinateur du rseau domestique.
49
Considrations supplmentaires
La traduction NAT incluant des composants dadressage et de rsolution de noms qui procurent des services DHCP et DNS pour des htes du rseau priv, vous ne pouvez pas excuter :
Le service DHCP sur lagent de relais DHCP si ladressage NAT est activ. Le service DNS si la rsolution de noms de mise en rseau TCP/IP NAT est active.
50
Si un utilisateur priv 192.168.0.10 utilise un navigateur Web pour se connecter au serveur Web w2.x2.y2.z2, lordinateur de lutilisateur cre un paquet IP avec les informations suivantes :
Adresse IP de destination : w2.x2.y2.z2 Adresse IP source : 192.168.0.10 Port de destination : Port TCP 80 Port source : Port TCP 1025
Ce paquet IP est ensuite transfr au protocole NAT, qui traduit les adresses du paquet sortant comme suit :
Adresse IP de destination : w2.x2.y2.z2 Adresse IP source : w1.x1.y1.z1 Port de destination : Port TCP 80 Port source : Port TCP 5000
Le protocole NAT conserve le mappage de {192.168.0.10, TCP 5000} {w1.x1.y1.z1, TCP 1025} dans une table. Le paquet IP traduit est envoy sur Internet. La rponse est renvoye et reue par le protocole NAT. rception, le paquet contient les informations dadresses publique suivantes :
Adresse IP de destination : w1.x1.y1.z1 Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 1025 Port source : Port TCP 80
Le protocole NAT vrifie sa table de traduction et mappe les adresses publiques des adresses prives et transfre le paquet lordinateur 192.168.0.10. Le paquet transfr contient les informations dadresses suivantes :
Adresse IP de destination : 192.168.0.10 Adresse IP source : w2.x2.y2.z2 Port de destination : Port TCP 5000 Port source : Port TCP 80
Pour les paquets sortants du protocole NAT, ladresse IP source (une adresse prive) est mappe ladresse alloue par le FAI (une adresse publique) et les numros de ports TCP/UDP sont mapps un numro de port TCP/UDP diffrent. Pour les paquets entrants vers le protocole NAT, ladresse IP de destination (une adresse publique) est mappe ladresse intranet dorigine (une adresse prive) et les numros de ports TCP/UDP sont remapps leurs numros de ports TCP/UDP dorigine. Remarque
51
Les paquets qui contiennent ladresse IP uniquement dans len-tte IP sont correctement traduits par le service NAT. Les paquets qui contiennent ladresse IP dans la charge utile IP peuvent ne pas tre traduits correctement par le service NAT.
10.0.0.0 avec le masque de sous-rseau 255.0.0.0 172.16.0.0 avec le masque de sous-rseau 255.240.0.0 192.168.0.0 avec le masque de sous-rseau 255.255.0.0
Pour plus dinformations sur les parties de lespace dadresse IP rserves aux intranets privs, voir la RFC 1918, Address Allocation for Private Internets (ventuellement en anglais). Toutes les adresses de cette plage portent le nom dadresses prives. Les adresses prives ne peuvent pas recevoir de trafic provenant demplacements Internet. Par consquent, si un intranet utilise des adresses prives et communique avec des emplacements Internet, ladresse prive doit tre traduire en adresse publique. Un traducteur dadresses rseau est plac entre un intranet qui utilise des adresses prives et Internet, qui utilise des adresses publiques. Les adresses prives des paquets sortants de lintranet sont traduites en adresses publiques par le service de traductions dadresses rseau (NAT, Network Address Translation). Les adresses publiques des paquets entrants en provenance dInternet sont traduites en adresses prives par le service NAT.
emplacements gographiques. Le service Routage et accs distance dans Windows Server 2008 fournit deux types de connexions site site VPN. Le tableau suivant dcrit les circonstances dans lesquelles vous pouvez utiliser la traduction dadresses rseau avec une connexion VPN.
Description
VPN PPTP
Oui
Dans la plupart des cas, vous pouvez localiser les routeurs appelant PPTP derrire un routeur compatible NAT (ou configurer un ordinateur la fois comme routeur appelant et comme routeur compatible NAT) afin de permettre aux ordinateurs ayant des adresses prives sur un rseau domestique ou un rseau de petite entreprise de partager une mme connexion Internet. Avec une connexion VPN, la connexion de site site de la succursale au sige social est tunnele par le biais dInternet. La traduction dadresses rseau dans le service Routage et accs distance dans Windows Server 2008 inclut un diteur NAT capable de traduire de manire prcise les donnes tunneles PPTP.
VPN L2TP/IPsec
Avec les routeurs appelants ou rpondants Windows Server 2008, vous pouvez utiliser la fonctionnalit IPsec (Internet Protocol security) nomme NAT-T pour crer des connexions L2TP/IPsec sur des serveurs NAT. Lutilisation de NAT-T ncessite lexcution de Windows Server 2008 sur le routeur Oui, mais uniquement si appelant et sur le routeur rpondant (ou des routeurs vous utilisez la Cisco configurs de manire approprie). Avec NATfonctionnalit de T, les ordinateurs ayant des adresses prives cachs parcours NAT (NAT derrire un serveur NAT peuvent utiliser IPsec pour se Traversal, ou NAT-T) connecter un site distant si la mise jour NAT-T est IPsec. installe sur ces ordinateurs (pour les ordinateurs excutant Windows Vista ou Windows XP Professionnel Service Pack 1). Il nexiste aucun diteur NAT pour L2TP/IPsec ; la seule manire dutiliser la traduction NAT consiste implmenter la fonctionnalit NAT-T IPsec. Oui Les clients VPN et les serveurs VPN SSTP peuvent se trouver derrire un routeur compatible NAT.
SSTP
53
Vous pouvez utiliser la fonctionnalit Partage de connexion Internet de Connexions rseau. Vous pouvez utiliser le protocole de routage NAT fourni par le composant logiciel enfichable Routage et accs distance sur les serveurs excutant Windows Server 2008 et Routage et accs distance.
Les fonctionnalits Partage de connexion Internet et NAT procurent toutes deux des services de traduction, dadressage et de rsolution de noms aux htes SOHO. Le partage de connexion Internet est conu pour fournir une tape simple de configuration (une seule case cocher) afin de fournir une connexion traduite Internet pour tous les
54
ordinateurs du rseau SOHO. Toutefois, lorsquil est activ, le partage de connexion Internet nautorise pas la configuration au-del de celle des services et ports sur le rseau SOHO. Par exemple, le partage de connexion Internet est conu pour une adresse IP unique obtenue par le biais dun Fournisseur de services Internet (FAI) et ne vous permet pas de modifier la plage dadresses IP alloues aux htes SOHO. Le composant de protocole de routage NAT est conu pour fournir une flexibilit maximale dans la configuration du serveur excutant Routage et accs distance afin de fournir une connexion traduite Internet. Le composant de protocole de routage NAT requiert davantage dtapes de configuration, mais chaque tape peut tre personnalise. La plus grande partie de la configuration peut seffectuer laide de lAssistant Installation d'un serveur de routage et daccs distance. Le composant de protocole de routage NAT permet de spcifier des plages dadresses fournies par un FAI et de configurer la plage dadresses IP alloue aux htes SOHO. Le tableau suivant rsume les fonctionnalits et capacits du partage de connexion Internet et du composant de protocole de routage NAT.
Partage de connexion Internet Configuration par case cocher unique Adresse IP publique unique Plage dadresses fixe pour les htes SOHO
Traduction dadresses rseau Configuration manuelle Adresses IP publiques multiples Plage dadresses configurable pour les htes SOHO
Interface SOHO unique Interfaces SOHO multiples Remarque Le partage de connexion Internet est une fonctionnalit conue pour connecter des rseaux SOHO Internet. Le composant de protocole de routage NAT est conu pour connecter de petits ou moyens rseaux dentreprise Internet. Ni lun ni lautre nest conu pour :
la connexion directe entre rseaux SOHO ; la connexion de rseaux au sein dun intranet ; la connexion directe de rseaux de succursales un rseau dentreprise ; la connexion de rseaux de succursales un rseau dentreprise par le biais dInternet.
55
Ajouter une interface de connexion la demande Quest-ce que le routage de connexion la demande ? Exemple de routage de connexion la demande Processus de connexion la demande
3. Cliquez avec le bouton droit sur Interfaces rseau, puis cliquez sur Nouvelle interface de connexion la demande. 4. Suivez les instructions qui saffichent dans lAssistant Interface de connexion la demande.
56
Comportement des proprits dappel entrant des comptes dutilisateurs. Scurit, y compris le chiffrement et les protocoles dauthentification. Utilisation des stratgies rseau. Utilisation de Windows ou du service RADIUS (Remote Authentication Dial-In User Service) comme fournisseur dauthentification. Configuration de lallocation des adresses IP. Utilisation de fonctionnalits PPP, telles que Microsoft Point-to-Point Compression (MPPC), Multilink Protocol (MP) et Bandwidth Allocation Protocol (BAP). Fonctionnalits de dpannage, y compris lenregistrement des vnements, lauthentification Windows ou RADIUS et la gestion de comptes, lenregistrement et le traage.
57
Routeur appelant, qui initie la connexion la demande. Routeur rpondant, qui accepte la connexion la demande initie par le routeur appelant. Support de connexion, soit un support physique, soit un support tunnel. Pour plus dinformations sur les supports de connexion, voir Support de connexion plus loin dans cette rubrique.
Port
Un port est un canal de communication physique ou logique qui prend en charge une connexion PPP unique. Les ports physiques sont bass sur un quipement install dans le routeur appelant. Les ports VPN sont des ports logiques.
58
Itinraire
Un itinraire IP dans les tables de routage du routeur appelant est configur de faon utiliser une interface de connexion la demande pour transfrer le trafic.
Remarque Les connexions bidirectionnelles et unidirectionnelles requirent diffrentes configurations pour le routeur rpondant. Pour plus dinformations sur les connexions bidirectionnelles et unidirectionnelles, voir Types de connexions la demande plus loin dans cette rubrique.
Compte dutilisateur
Pour authentifier le routeur appelant, les informations didentification du routeur appelant doivent tre vrifies par les proprits dun compte dutilisateur correspondant. Un compte dutilisateur pour le routeur appelant doit tre localement prsent ou disponible par le biais de la scurit Windows Server 2008. Si le routeur rpondant est configur pour lauthentification RADIUS, le serveur RADIUS doit avoir accs au compte dutilisateur du routeur appelant.
59
Sous longlet Appel entrant, lautorisation daccs rseau est dfinie Autoriser laccs ou Contrler laccs via la Stratgie daccs distance. Sous longlet Gnral ou Compte, loption Lutilisateur doit changer le mot de passe la prochaine ouverture de session est dsactive et loption Le mot de passe nexpire jamais est active.
Pour une connexion unidirectionnelle, configurez les itinraires IP statiques qui sont ajouts la table de routage du routeur rpondant lorsque la connexion la demande est tablie.
Itinraire
Pour les connexions bidirectionnelles, un itinraire IP dans les tables de routage du routeur appelant est configur de faon utiliser une interface de connexion la demande pour transfrer le trafic. Pour les connexions unidirectionnelles, vous pouvez configurer le compte dutilisateur du routeur appelant avec des itinraires IP statiques.
Support de connexion
La liaison PPP est tablie sur un support tunnel ou un support physique. Les supports physiques incluent RTC et RNIS. Les supports tunnels incluent PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol).
PPPoE
PPPoE est une mthode dencapsulation de trames PPP de sorte quelles puissent tre envoyes sur un rseau Ethernet. En utilisant le protocole PPPoE et un modem haut dbit, les clients de rseau local peuvent obtenir un accs individuel et authentifi des rseaux de donnes haut dbit.
60
Sur le routeur appelant, la dure de connexion aprs inactivit est dfinie sous longlet Gnral des proprits de linterface de connexion la demande. Sur le routeur rpondant, la dure de connexion aprs inactivit est dfinie dans la stratgie rseau utilise par la connexion la demande sur le serveur qui excute Network Policy Server (NPS).
Connexions permanentes
Les connexions permanentes utilisent une technologie de rseau tendu daccs distance lorsque le cot de la liaison est fixe et que la connexion peut tre active 24 heures sur 24. Parmi les exemples de technologies de rseau tendu pour les connexions la demande permanentes, on peut citer les appels locaux qui utilisent des lignes tlphoniques analogiques, les lignes analogiques loues et les lignes RNIS taux fixe. Si une connexion permanente est perdue, le routeur appelant tente immdiatement de rtablir la connexion. Le comportement de connexion permanente doit tre configur sur le routeur appelant et sur le routeur rpondant.
Connexions bidirectionnelles
Avec les connexions bidirectionnelles, lun ou lautre routeur peut tre le routeur rpondant ou le routeur appelant, selon le routeur qui initie la connexion. Les deux routeurs doivent tre 61
configurs pour initier et accepter une connexion la demande. Vous utilisez des connexions bidirectionnelles lorsque le trafic provenant dun routeur ou lautre peut crer la connexion la demande. Les connexions la demande bidirectionnelles prsentent les impratifs suivants :
Les deux routeurs doivent tre configurs comme routeurs de rseau local et de rseau tendu. Des comptes dutilisateurs doivent tre ajouts pour les deux routeurs de sorte que les informations dauthentification du routeur appelant soit accdes et valides par le routeur rpondant. Les interfaces de connexion la demande doivent tre entirement configures sur les deux routeurs et inclure le numro de tlphone du routeur rpondant et les informations didentification de compte dutilisateur pour authentifier le routeur appelant. Des itinraires statiques doivent tre configurs sur les deux routeurs.
Pour que le routage la demande bidirectionnel fonctionne correctement, les noms des comptes dutilisateurs des routeurs appelants des deux cts doivent correspondre au nom dune interface de connexion la demande. Le tableau suivant montre un exemple de cette configuration. Exemple de configuration bidirectionnelle
NewYorkRouter
CorpHub
Pour une description du processus de connexion bidirectionnelle, voir Processus de connexion la demande.
Connexions unidirectionnelles
Avec les connexions unidirectionnelles, un routeur est toujours le routeur rpondant et lautre routeur est toujours le routeur appelant. La configuration de routage est simplifie car il nest pas ncessaire de configurer totalement les comptes dutilisateurs, les interfaces de connexion la demande et les itinraires IP statiques des deux cts de la connexion. Au lieu de configurer une interface de connexion la demande sur le routeur rpondant, des itinraires statiques sont ajouts aux proprits dappel entrant du compte dutilisateur du routeur appelant.
62
Si votre routeur rpondant est dans un domaine mixte Windows Server 2008 ou Windows Server 2003, les itinraires statiques sur le compte dutilisateur ne sont pas disponibles. Dans ce cas, les connexions unidirectionnelles prsentent les impratifs suivants :
Les deux routeurs doivent tre configurs comme routeurs de rseau local et de rseau tendu. Un compte dutilisateur doit tre ajout pour les informations dauthentification du routeur appelant. Une interface de connexion la demande doit tre configure sur le routeur appelant avec les informations didentification utilisateur du compte dutilisateur. Une interface de connexion la demande doit tre configure sur le routeur rpondant avec le mme nom que le compte dutilisateur utilis par le routeur appelant. Linterface de connexion la demande du routeur rpondant ntant pas utilise pour effectuer des appels sortants, elle nest pas configure avec le numro de tlphone du routeur appelant ni avec des informations didentification utilisateur valides.
63