La couche 2 du modèle OSI, appelée couche Liaison (Data Link Layer), constitue un élément fondamental dans l'architecture des réseaux informatiques. Elle se situe entre la couche physique (couche 1) et la couche réseau (couche 3), jouant un rôle d'interface essentiel entre le matériel brut et les protocoles de routage.
- PDU (Protocol Data Unit) : La trame (frame)
- Fonction principale : Établissement d'une liaison fiable entre équipements directement connectés
- Protocole dominant : Ethernet (IEEE 802.3)
- Rôle clé : Connexion des machines pour former un réseau local (LAN)
- Premier impératif : Identification unique des machines pour permettre la communication
La couche 2 répond à la question fondamentale : "Comment puis-je envoyer des données de manière fiable à une machine directement connectée au même média de transmission que moi ?"
L'adresse MAC (Media Access Control) est l'élément d'identification essentiel au niveau de la couche 2.
- Autres appellations : Adresse physique, adresse Ethernet, UAA (Universally Administered Address), BIA (Burned-In Address), MAC-48 ou EUI-48
- Nature : Identifiant numérique inscrit de façon permanente dans le matériel d'une carte réseau (NIC - Network Interface Card)
- Unicité : Par défaut, chaque adresse MAC est unique au monde (sauf modification manuelle)
- Structure : 48 bits (6 octets) représentés conventionnellement en hexadécimal
- Format : Six groupes de deux chiffres hexadécimaux, séparés par ":" ou "-" (exemple : 01:23:45:67:89:AB ou 01-23-45-67-89-AB)
L'adresse MAC de 48 bits peut être décomposée en deux parties principales :
- OUI (Organizationally Unique Identifier) : Les 24 premiers bits (3 premiers octets) qui identifient le fabricant de la carte réseau
- NIC Specific : Les 24 derniers bits (3 derniers octets) qui forment un numéro de série unique attribué par le fabricant
Dans le premier octet, deux bits ont une signification particulière :
- Le bit 0 (bit le moins significatif du premier octet) : 0 pour une adresse unicast, 1 pour une adresse multicast
- Le bit 1 (deuxième bit le moins significatif du premier octet) : 0 pour une adresse globalement unique (strictement respectée), 1 pour une adresse localement administrée (modifiable)
Les adresses MAC ne se limitent pas à l'Ethernet, mais sont utilisées par de nombreuses technologies réseau :
- Réseaux sans fil Wi-Fi (IEEE 802.11)
- Bluetooth
- Token Ring (IEEE 802.5)
- La plupart des réseaux normalisés en IEEE 802.xx
- ATM (Asynchronous Transfer Mode)
- CPL (Courants Porteurs en Ligne)
Plusieurs adresses MAC ont des fonctions spécifiques dans les réseaux :
- FF:FF:FF:FF:FF:FF : Adresse de broadcast - destinée à toutes les machines du réseau
- 01:00:0C:CC:CC:CC : Utilisée par le Cisco Discovery Protocol (CDP)
- 01:80:C2:00:00:00 : Réservée pour le Spanning Tree Protocol (STP)
- 33:33:xx:xx:xx:xx : Adresses multicast pour IPv6
- 01:00:5E:xx:xx:xx : Adresses multicast pour IPv4
- 00:00:0C:07:AC:xx : Adresses pour HSRP (Hot Standby Router Protocol)
- 00:00:5E:00:01:xx : Adresses pour VRRP (Virtual Router Redundancy Protocol)
La trame Ethernet est l'unité de données au niveau de la couche 2. Sa structure précise est essentielle pour comprendre le fonctionnement de la communication réseau.
- Préambule (PRE) : 7 octets de valeur 10101010 (0xAA) - Élément de synchronisation entre émetteur et récepteur
- Délimiteur de début de trame (SFD) : 1 octet de valeur 10101011 (0xAB) - Signal indiquant le début imminent de la trame
- Adresse MAC destination : 6 octets - Identifie le destinataire de la trame
- Adresse MAC source : 6 octets - Identifie l'expéditeur de la trame
- Type/Longueur (EtherType) : 2 octets - Indique soit le protocole de niveau supérieur, soit la longueur des données
- Données : De 46 à 1500 octets - Le contenu utile de la trame
- FCS (Frame Check Sequence) ou CRC (Cyclic Redundancy Check) : 4 octets - Permet la vérification d'intégrité de la trame
La longueur totale d'une trame Ethernet standard varie entre 64 et 1518 octets. Les trames de moins de 64 octets sont appelées "runt frames" et sont considérées comme invalides.
Le champ EtherType de 2 octets a une interprétation différente selon sa valeur :
- Valeur ≤ 1500 (0x05DC) : Indique la longueur des données en octets
- Valeur > 1500 : Indique le protocole encapsulé dans la trame
Les valeurs d'EtherType sont normalisées et enregistrées auprès de l'IEEE. Quelques valeurs courantes :
- 0x0800 : IPv4
- 0x0806 : ARP (Address Resolution Protocol)
- 0x8100 : Trame VLAN (IEEE 802.1Q)
- 0x86DD : IPv6
- 0x8808 : Ethernet Flow Control
- 0x8847 : MPLS unicast
- 0x8870 : Jumbo Frames (jusqu'à 9000 octets)
Le MTU standard d'Ethernet est de 1500 octets, ce qui signifie que le champ de données ne peut pas dépasser cette taille. Des technologies comme les Jumbo Frames permettent d'augmenter cette limite jusqu'à 9000 octets, mais tous les équipements du réseau doivent supporter cette extension.
Le commutateur (switch) est l'équipement réseau principal opérant au niveau de la couche 2. Il est fondamentalement différent d'un concentrateur (hub) qui fonctionne uniquement au niveau de la couche 1.
- Fonction principale : Transfert des trames Ethernet au sein d'un domaine de diffusion unique
- Nature : Équipement actif intelligent (contrairement au hub qui est passif)
- Architecture : Segmentation du réseau en domaines de collision indépendants
- Avantages : Réduction des collisions, meilleure utilisation de la bande passante
- Fonctionnalités avancées possibles : PoE, VLAN, QoS, STP, SNMP, agrégation de liens (LACP)...
Le switch utilise l'adresse MAC de destination contenue dans l'en-tête de la trame pour déterminer vers quel port envoyer la trame. Pour ce faire, il maintient une table d'association entre adresses MAC et ports physiques, appelée table CAM (Content-Addressable Memory).
La table CAM (Content-Addressable Memory) est une mémoire spécialisée qui permet au switch de stocker et rechercher rapidement les correspondances entre adresses MAC et ports physiques.
Chaque entrée de la table contient typiquement :
- Port : Numéro du port physique où la machine est connectée
- Adresse MAC : Adresse de la machine connectée à ce port
- TTL (Time To Live) : Durée de validité de l'entrée, généralement en secondes
Le switch remplit sa table CAM de manière dynamique en "apprenant" les adresses MAC sources des trames qu'il reçoit. Lorsqu'une trame arrive sur un port, le switch :
- Examine l'adresse MAC source
- Ajoute ou met à jour l'entrée correspondante dans sa table CAM
- Consulte l'adresse MAC destination pour déterminer le port de sortie
Le switch peut fonctionner selon deux modes principaux :
- Mode direct (Cut-Through) : Le switch commence à transmettre la trame dès qu'il a lu l'adresse de destination, sans attendre de recevoir la trame complète. Avantage : latence réduite. Inconvénient : possibilité de propager des trames erronées.
- Mode différé (Store and Forward) : Le switch attend de recevoir la trame complète, vérifie son intégrité via le CRC avant de la transmettre. Avantage : élimination des trames corrompues. Inconvénient : latence légèrement plus élevée.
Le mode de fonctionnement des commutateurs présente plusieurs failles de sécurité potentielles :
- MAC spoofing (usurpation d'adresse MAC) : Un attaquant peut modifier son adresse MAC pour usurper l'identité d'une autre machine du réseau
- MAC flooding : Envoi massif de trames avec des adresses MAC aléatoires pour saturer la table CAM, ce qui force le switch à passer en mode "hub" et à diffuser toutes les trames sur tous les ports
- Broadcast storm : Génération excessive de trames broadcast qui sont relayées par tous les switches du réseau, pouvant causer une congestion totale
Les VLAN (Virtual Local Area Networks) permettent de diviser un réseau physique en plusieurs réseaux logiques isolés, fonctionnant comme s'ils étaient sur des switches physiquement séparés.
- Définition : Subdivision d'un LAN physique en plusieurs LAN virtuels
- Configuration : Logicielle, sans nécessité de modifier le câblage physique
- Isolation : Les VLAN sont étanches entre eux au niveau 2
- Avantages : Sécurité améliorée, réduction des domaines de broadcast, flexibilité, optimisation des performances
Le mode le plus simple de configuration des VLAN, aussi appelé mode ACCESS :
- Chaque port du switch est assigné à un seul VLAN
- Une machine connectée à un port appartient au VLAN de ce port
- Le PVID (Port VLAN ID) identifie le VLAN auquel appartient le port
- Chaque VLAN possède sa propre table CAM
La norme IEEE 802.1Q définit un mécanisme d'étiquetage (tagging) des trames pour permettre le transport de plusieurs VLAN sur un même lien physique :
- Principe : Modification de la trame Ethernet pour y insérer un tag (étiquette) identifiant le VLAN
- Structure du tag 802.1Q : 4 octets insérés entre l'adresse MAC source et le champ EtherType
- TPID (Tag Protocol Identifier) : 2 octets, valeur 0x8100
- TCI (Tag Control Information) : 2 octets, comprenant :
- Priorité (3 bits) : Niveau de priorité de la trame pour la QoS
- CFI (Canonical Format Indicator) (1 bit)
- VID (VLAN Identifier) (12 bits) : Identifiant du VLAN (0-4095)
- ACCESS : Port appartenant à un seul VLAN, les trames ne sont pas taguées
- TRUNK : Port transportant le trafic de plusieurs VLAN, les trames sont taguées pour identifier leur VLAN d'appartenance
- HYBRID : Port pouvant être configuré pour transporter à la fois des trames taguées et non taguées
Le Wake-on-LAN est une technologie standardisée en 1997 permettant le démarrage à distance d'un ordinateur en veille via le réseau :
- Principe : Envoi d'une trame Ethernet spéciale appelée "Magic Packet"
- Structure du Magic Packet : 6 octets de valeur FF suivis de 16 répétitions de l'adresse MAC de la machine cible
- Prérequis : La fonction WoL doit être activée dans le BIOS/UEFI et les paramètres du système d'exploitation
- Applications : Maintenance à distance, optimisation de la consommation énergétique
Le PoE permet de transmettre simultanément des données et une alimentation électrique sur un même câble Ethernet :
- Norme initiale : IEEE 802.3af (2003) - jusqu'à 15,4W
- Extensions :
- IEEE 802.3at (PoE+, 2009) - jusqu'à 30W
- IEEE 802.3bt (PoE++, 2018) - jusqu'à 60-100W selon les types
- Tension : Environ 48V DC
- Dispositifs alimentés : Téléphones IP, points d'accès Wi-Fi, caméras IP, afficheurs, etc.
- Avantages : Installation simplifiée (un seul câble), déploiement dans des zones sans alimentation, centralisation de l'alimentation secourue
- Type 1 (802.3af) : 15,4W à la source, 12,95W disponibles pour l'appareil
- Type 2 (802.3at/PoE+) : 30W à la source, 25,5W disponibles
- Type 3 (802.3bt/PoE++) : 60W à la source, 51W disponibles
- Type 4 (802.3bt/PoE++) : 100W à la source, 71W disponibles
- Injecteur PoE : Permet d'ajouter l'alimentation PoE sur une liaison Ethernet standard
- Splitter PoE : Sépare les données et l'alimentation pour connecter un appareil non-PoE à une liaison PoE
L'agrégation de liens permet de regrouper plusieurs ports physiques pour former une seule liaison logique à plus haut débit et/ou redondante :
- Norme principale : IEEE 802.3ad (LACP - Link Aggregation Control Protocol)
- Objectifs :
- Augmentation de la bande passante au-delà des limites d'un seul lien
- Redondance pour la tolérance aux pannes
- Répartition de charge
- Modes LACP :
- Passif : Répond aux sollicitations mais n'initie pas de négociation
- Actif : Initie et répond aux négociations LACP
Le Wi-Fi est l'implémentation sans fil la plus répandue des réseaux de niveau 2, définie par la norme IEEE 802.11.
| Norme |
Année |
Fréquence |
Débit théorique max |
Technologie |
| 802.11b |
1999 |
2,4 GHz |
11 Mbps |
DSSS |
| 802.11a |
1999 |
5 GHz |
54 Mbps |
OFDM |
| 802.11g |
2003 |
2,4 GHz |
54 Mbps |
OFDM |
| 802.11n |
2009 |
2,4/5 GHz |
600 Mbps |
MIMO, canaux 40 MHz |
| 802.11ac |
2013 |
5 GHz |
1,3 Gbps+ |
MU-MIMO, canaux 80/160 MHz |
| 802.11ax (Wi-Fi 6) |
2019 |
2,4/5/6 GHz* |
9,6 Gbps |
OFDMA, 1024-QAM |
| 802.11be (Wi-Fi 7) |
2024 |
2,4/5/6 GHz |
30-46 Gbps |
MLO, 4096-QAM, canaux 320 MHz |
| 802.11ad (WiGig) |
2012 |
60 GHz |
7 Gbps |
Très courte portée |
*La bande 6 GHz n'est disponible que pour le Wi-Fi 6E, qui est une extension du Wi-Fi 6 (802.11ax)
- SISO (Single Input Single Output) : Une seule antenne en émission et réception
- MIMO (Multiple Input Multiple Output) : Plusieurs antennes en émission et réception
- MU-MIMO (Multi-User MIMO) : Communication simultanée avec plusieurs appareils
- Avantages MIMO : Augmentation du débit, meilleure portée, réduction des interférences
- Bande 2,4 GHz : 14 canaux (1-14) dont seulement 3 non-chevauchants (1, 6, 11)
- Bande 5 GHz : Plus de 20 canaux non-chevauchants
- Largeur des canaux :
- Standards : 20 MHz
- 802.11n : 40 MHz (bond-channel)
- 802.11ac/ax : 80 et 160 MHz
- Interface réseau Wi-Fi : Carte ou adaptateur permettant à un appareil de se connecter à un réseau sans fil
- Point d'accès (AP) : Équipement central d'un réseau Wi-Fi en mode infrastructure
- Pont (Bridge) Wi-Fi : Établit une liaison sans fil entre deux segments de réseau
- Routeur Wi-Fi : Combine les fonctions de point d'accès et de routeur
- Mode Ad-hoc (IBSS - Independent Basic Service Set) : Communication directe entre les appareils sans point d'accès
- Mode Infrastructure :
- BSS (Basic Service Set) : Un point d'accès et ses clients
- ESS (Extended Service Set) : Plusieurs points d'accès partageant le même SSID, permettant l'itinérance (roaming)
- Avec contrôleur : Gestion centralisée des points d'accès pour les déploiements professionnels
La sécurité des réseaux Wi-Fi repose sur plusieurs mécanismes complémentaires :
-
Identifiants administrateurs : Modification des identifiants par défaut pour l'administration
-
SSID : Possibilité de masquer le SSID (non-diffusion)
-
Filtrage MAC : Restriction d'accès basée sur les adresses MAC des clients
-
Chiffrement : Plusieurs standards de sécurité par ordre de robustesse :
- WPA3 : Le plus récent et sécurisé (2018)
- WPA2 + AES : Recommandé pour la plupart des réseaux
- WPA2 + TKIP/AES : Mode mixte pour la compatibilité
- WPA + TKIP : Obsolète mais encore supporté
- WEP : Fondamentalement vulnérable, à proscrire
- Ouvert : Aucun chiffrement, déconseillé
-
WPS (Wi-Fi Protected Setup) : Mécanisme de configuration simplifié, mais présentant des vulnérabilités potentielles
Les interfaces réseau présentent une grande disparité de débits selon les technologies employées. Une synthèse complète est disponible sur Wikipedia (List of interface bit rates).
¶ Quelques ordres de grandeur
| Interface |
Débit théorique |
| Ethernet 10Base-T |
10 Mbps |
| Fast Ethernet (100Base-TX) |
100 Mbps |
| Gigabit Ethernet (1000Base-T) |
1 Gbps |
| 10 Gigabit Ethernet |
10 Gbps |
| 40/100 Gigabit Ethernet |
40/100 Gbps |
| Wi-Fi 6 (802.11ax) |
Jusqu'à 9,6 Gbps |
| Bluetooth 5.2 |
Jusqu'à 2 Mbps |
| USB 3.2 Gen 2x2 |
20 Gbps |
| Thunderbolt 4 |
40 Gbps |
| HDMI 2.1 |
48 Gbps |
La couche Liaison (niveau 2) constitue l'épine dorsale de tous les réseaux locaux, établissant les bases de l'adressage et de la communication fiable entre équipements. Qu'il s'agisse des réseaux filaires traditionnels avec Ethernet ou des technologies sans fil comme le Wi-Fi, les principes fondamentaux restent les mêmes : identification unique des équipements, formatage des données en trames, et transmission fiable sur le média partagé.
L'évolution constante des technologies de niveau 2 permet d'augmenter les débits, d'améliorer la sécurité et d'étendre les fonctionnalités des réseaux, tout en maintenant une compatibilité ascendante avec les équipements existants.