Le Spanning Tree Protocol (STP) est un protocole fondamental de la couche 2 qui résout l'un des problèmes les plus critiques des réseaux Ethernet : les boucles de commutation. Sans STP, une infrastructure réseau redondante (c'est-à-dire comportant plusieurs chemins entre deux points) pourrait créer des boucles infinies qui paralyseraient rapidement le réseau.
STP a été initialement développé par Radia Perlman chez Digital Equipment Corporation (DEC) et a été standardisé par l'IEEE sous la référence 802.1D. Son principe de base consiste à :
- Désactiver logiquement certains liens redondants pour créer une topologie sans boucle (en forme d'arbre)
- Maintenir ces liens en veille pour les réactiver automatiquement en cas de défaillance d'un lien principal
- Recalculer dynamiquement cette topologie si la configuration du réseau change
Le premier objectif de STP est d'élire un pont racine (Root Bridge) qui servira de référence pour la construction de l'arbre. Cette élection se base sur la priorité de pont (Bridge Priority) et l'adresse MAC :
- Le commutateur ayant la plus petite valeur de priorité est élu pont racine
- En cas d'égalité, celui ayant la plus petite adresse MAC est choisi
- La priorité par défaut est généralement 32768 (0x8000) et peut être configurée par l'administrateur
Une fois le pont racine élu, chaque port d'un commutateur est assigné à l'un des états suivants :
- Port racine (Root Port) : Chaque commutateur (sauf le pont racine) possède un port racine qui représente le meilleur chemin vers le pont racine
- Port désigné (Designated Port) : Pour chaque segment réseau, un seul port est désigné pour transmettre le trafic (généralement celui qui offre le chemin le moins coûteux vers le pont racine)
- Port bloqué (Blocked Port) : Les ports qui ne sont ni racines ni désignés sont bloqués pour éviter les boucles
STP utilise le concept de coût de chemin pour déterminer les meilleurs chemins. Le coût est basé sur la vitesse des liens :
| Vitesse du lien |
Coût (802.1D-1998) |
Coût (802.1D-2004) |
| 10 Mbps |
100 |
2,000,000 |
| 100 Mbps |
19 |
200,000 |
| 1 Gbps |
4 |
20,000 |
| 10 Gbps |
2 |
2,000 |
| 100 Gbps |
N/A |
200 |
| 1 Tbps |
N/A |
20 |
Chaque port STP traverse une séquence d'états avant de transmettre activement du trafic :
- Blocking (20 sec par défaut) : Le port ne transmet pas de trames mais écoute les BPDU
- Listening (15 sec par défaut) : Le port n'apprend pas d'adresses MAC mais participe au processus STP
- Learning (15 sec par défaut) : Le port commence à apprendre les adresses MAC mais ne transmet pas encore de trames
- Forwarding : Le port est pleinement opérationnel, apprend les adresses MAC et transmet les trames
- Disabled : Le port est administrativement désactivé et ne participe pas au processus STP
Les commutateurs échangent des informations STP via des trames spéciales appelées BPDU :
- Configuration BPDU : Utilisées pour l'élection du pont racine et la détermination des rôles des ports
- TCN BPDU (Topology Change Notification) : Utilisées pour signaler les changements de topologie
Les BPDU sont généralement envoyées toutes les 2 secondes à l'adresse MAC multicast 01:80:C2:00:00:00.
RSTP est une évolution majeure de STP qui améliore considérablement le temps de convergence :
- Convergence en quelques secondes (contre 30-50 secondes pour STP)
- Simplification des états des ports (Discarding, Learning, Forwarding)
- Introduction de nouveaux rôles de ports (Alternate et Backup)
- Mécanisme de proposition/accord pour une transition plus rapide vers l'état Forwarding
- Compatibilité avec STP classique
MSTP étend les fonctionnalités de RSTP pour gérer efficacement les VLAN :
- Permet de créer plusieurs instances STP indépendantes, regroupant plusieurs VLAN
- Optimise l'utilisation des liens en répartissant les VLAN sur différents chemins
- Réduit le nombre de BPDUs nécessaires par rapport à la création d'une instance STP par VLAN
- Configuration par régions MST (Multiple Spanning Tree Regions)
Ces variantes propriétaires de Cisco permettent de créer une instance STP distincte pour chaque VLAN :
- PVST+ : Version de STP avec une instance par VLAN
- Rapid PVST+ : Version de RSTP avec une instance par VLAN
- Permet un équilibrage de charge entre les VLAN mais consomme plus de ressources CPU
Plusieurs mécanismes ont été développés pour protéger et optimiser le fonctionnement de STP :
- PortFast : Permet aux ports d'accès de passer directement à l'état Forwarding
- BPDUGuard : Désactive un port si des BPDU sont reçues sur un port PortFast
- BPDUFilter : Empêche l'envoi et la réception de BPDU sur certains ports
- RootGuard : Empêche un port de devenir port racine (protège la topologie contre les ponts racines non autorisés)
- LoopGuard : Prévient les boucles causées par des défaillances unidirectionnelles des liens
- UplinkFast : Permet une transition rapide vers un lien alternatif en cas de défaillance du lien principal
- BackboneFast : Réduit le temps de détection des défaillances indirectes du réseau
Le contrôle de flux permet d'éviter la congestion sur les réseaux Ethernet en régulant le débit des transmissions. Bien que les protocoles de couche supérieure (comme TCP) disposent de leurs propres mécanismes de contrôle de flux, la couche 2 offre également des solutions spécifiques.
La norme IEEE 802.3x définit un mécanisme de contrôle de flux par l'envoi de trames de pause :
- Lorsqu'un équipement (récepteur) détecte que ses tampons de réception atteignent un seuil critique, il envoie une trame de pause à l'émetteur
- La trame de pause indique une durée pendant laquelle l'émetteur doit cesser toute transmission
- L'émetteur respecte cette pause, évitant ainsi de saturer le récepteur
- Une fois la durée écoulée, l'émetteur peut reprendre ses transmissions
- Le récepteur peut envoyer une nouvelle trame de pause avec une durée nulle pour autoriser la reprise prématurée des transmissions
Les trames de pause sont des trames Ethernet spéciales :
- Adresse MAC destination : 01:80:C2:00:00:01 (adresse multicast réservée)
- EtherType : 0x8808 (MAC Control)
- Opcode : 0x0001 (PAUSE)
- Paramètre de temps : Durée de la pause en unités de 512 bits-time (temps nécessaire pour transmettre 512 bits)
- Fonctionne uniquement en mode full-duplex
- Agit sur tout le trafic, sans distinction de priorité ou de flux
- Peut affecter des flux qui ne contribuent pas à la congestion
Le PFC est une évolution du mécanisme de pause qui permet un contrôle de flux sélectif basé sur les priorités :
- Permet de suspendre uniquement certaines classes de trafic (jusqu'à 8 classes de priorité)
- Maintient le trafic des autres classes de service
- Élément clé des réseaux Converged Enhanced Ethernet (CEE) et Data Center Bridging (DCB)
- Réseaux FCoE (Fibre Channel over Ethernet)
- Réseaux iSCSI à haute performance
- Environnements de stockage convergés
- Réseaux nécessitant une qualité de service (QoS) avancée
Dans les réseaux Ethernet obsolètes en half-duplex, le mécanisme de "backpressure" était utilisé pour le contrôle de flux :
- Le récepteur congestionné génère artificiellement des collisions
- Ces collisions forcent l'émetteur à entrer dans l'algorithme de backoff exponentiel
- L'émetteur réduit alors progressivement son débit d'émission
- Ce mécanisme est désormais largement obsolète avec la généralisation des réseaux full-duplex
La sécurité au niveau de la couche 2 est souvent négligée, mais elle constitue un élément crucial de toute stratégie de sécurité réseau, car de nombreuses attaques ciblent spécifiquement les vulnérabilités à ce niveau.
L'IEEE 802.1X est une norme qui permet l'authentification des équipements voulant se connecter à un réseau local.
L'architecture 802.1X implique trois entités principales :
- Supplicant : Le dispositif client demandant l'accès au réseau
- Authenticator : Le commutateur ou point d'accès qui contrôle l'accès physique au réseau
- Authentication Server : Généralement un serveur RADIUS qui contient les informations d'authentification
- Le port du commutateur est initialement dans un état "non autorisé" et bloque tout trafic sauf les messages 802.1X (EAPOL - EAP Over LAN)
- Le supplicant envoie une demande d'accès
- L'authenticator transmet cette demande au serveur d'authentification
- Un échange d'informations d'authentification a lieu (identifiant/mot de passe, certificat, etc.)
- En cas de succès, le port passe en état "autorisé" et permet le trafic normal
- En cas d'échec, le port reste dans l'état "non autorisé" ou est placé dans un VLAN invité ou restreint
- Contrôle d'accès granulaire (au niveau du port)
- Intégration avec différentes méthodes d'authentification (mot de passe, certificat, biométrie, etc.)
- Peut être combiné avec d'autres mécanismes de sécurité comme le NAC (Network Access Control)
MACsec (Media Access Control Security) est une norme fournissant un chiffrement, une intégrité et une authentification des données au niveau de la couche 2.
- Chiffrement AES-GCM (Galois/Counter Mode) 128 ou 256 bits
- Protection contre les attaques de type man-in-the-middle au niveau couche 2
- Authentification de chaque trame
- Vérification de l'intégrité des données
- Protection contre les attaques par rejeu
- Compatible avec les équipements ne supportant pas MACsec
¶ Domaines d'application
- Liaisons entre commutateurs d'infrastructure critiques
- Connexions entre centres de données
- Réseaux d'entreprise avec des exigences de confidentialité élevées
- Environnements réglementés (finance, santé, défense)
DHCP Snooping est une fonction de sécurité qui filtre les messages DHCP non fiables :
- Distingue les ports "de confiance" (connectés à des serveurs DHCP légitimes) et "non fiables"
- Bloque les réponses DHCP provenant de ports non fiables
- Crée une table de liaison DHCP (DHCP binding table) associant adresses MAC, adresses IP, ports et VLAN
- Sert de base à d'autres fonctions de sécurité
DAI protège contre les attaques par empoisonnement ARP :
- Vérifie la validité des paquets ARP par rapport à la table de liaison DHCP
- Rejette les paquets ARP non conformes
- Maintient un historique des violations
- Peut être configuré pour autoriser certaines adresses IP statiques
IPSG empêche l'usurpation d'adresse IP :
- Filtre le trafic IP en fonction de la table de liaison DHCP et/ou d'adresses IP configurées statiquement
- Crée dynamiquement des ACL (Access Control Lists) sur les ports pour autoriser uniquement certaines adresses IP sources
- Fonctionne en tandem avec DHCP Snooping et DAI
Les Private VLAN (PVLAN) permettent une isolation au sein même d'un VLAN, offrant plusieurs niveaux de cloisonnement :
- Port Promiscuous : Peut communiquer avec tous les autres ports du PVLAN
- Port Isolated : Peut communiquer uniquement avec les ports promiscuous
- Port Community : Peut communiquer avec les ports promiscuous et les autres ports de la même communauté
- Primary VLAN : VLAN principal qui contient tous les ports du PVLAN
- Isolated VLAN : Sous-VLAN où les ports sont complètement isolés les uns des autres
- Community VLAN : Sous-VLAN où les ports peuvent communiquer entre eux et avec le VLAN primaire
- Hôtels et résidences avec accès Internet partagé
- Hébergements mutualisés (co-location)
- Clouds privés multi-locataires
Limite le taux de paquets broadcast, multicast ou unicast inconnus pour éviter les tempêtes de diffusion :
- Définit un seuil en pourcentage de la bande passante ou en paquets par seconde
- Peut être configuré pour simplement surveiller, générer des alertes, ou bloquer le trafic excessif
Limite les adresses MAC autorisées sur un port :
- Mode statique : Liste d'adresses MAC explicitement autorisées
- Mode dynamique : Apprentissage automatique des premières adresses MAC (nombre configurable)
- Actions configurables en cas de violation (shutdown, restrict, protect)
- Protège la topologie STP contre les modifications non autorisées
- Empêche les équipements utilisateur de perturber la hiérarchie STP
Les protocoles de détection de voisinage permettent aux équipements réseau de découvrir automatiquement leurs voisins directement connectés et d'obtenir des informations sur leurs capacités.
CDP est un protocole propriétaire développé par Cisco permettant aux équipements Cisco de découvrir leurs voisins directs.
- Fonctionne au niveau de la couche 2 (indépendant des protocoles de couche 3)
- S'exécute sur presque tous les équipements Cisco
- Envoie des annonces périodiques (par défaut toutes les 60 secondes)
- Conserve les informations pendant 180 secondes par défaut
- Utilise l'adresse multicast 01:00:0C:CC:CC:CC
- Identifiant du périphérique voisin (nom d'hôte)
- Modèle et numéro de série
- Adresses réseau (IP, IPv6)
- Version du système d'exploitation
- Interfaces connectées
- Capacités du périphérique (routeur, switch, etc.)
- Domaine VTP (VLAN Trunking Protocol)
- VLAN natif
- Consommation électrique (pour les appareils PoE)
- CDP peut divulguer des informations sensibles (versions OS, modèles, etc.)
- Devrait être désactivé sur les ports exposés (connexions externes, ports utilisateurs)
- Peut être ciblé par des attaques d'analyse et de reconnaissance
LLDP est l'équivalent standardisé de CDP, ouvert et interopérable entre équipements de différents constructeurs.
- Standard IEEE 802.1AB
- Fonctionne sur pratiquement tous les équipements réseau modernes
- Similaire à CDP mais avec une syntaxe et des commandes différentes
- Utilise l'adresse multicast 01:80:C2:00:00:0E
- Période d'annonce par défaut de 30 secondes
- Durée de conservation des informations par défaut de 120 secondes
- LLDP-MED (Media Endpoint Discovery) : Extension pour les équipements de téléphonie IP et les applications multimédia
- Fournit des capacités supplémentaires comme :
- Découverte automatique de politiques VLAN
- Détection de localisation (pour services d'urgence)
- Gestion avancée de l'alimentation PoE
- Inventaire des actifs
| Caractéristique |
CDP |
LLDP |
| Standard |
Propriétaire (Cisco) |
IEEE 802.1AB |
| Interopérabilité |
Équipements Cisco uniquement |
Multi-vendeurs |
| Période d'annonce par défaut |
60 secondes |
30 secondes |
| Durée de conservation |
180 secondes |
120 secondes |
| Adresse multicast |
01:00:0C:CC:CC:CC |
01:80:C2:00:00:0E |
| Support téléphonie IP |
Intégré |
Via LLDP-MED |
| Détection de duplex mismatch |
Oui |
Non |
Les protocoles de détection de voisinage ont de nombreuses applications pratiques :
- Documentation et cartographie automatique : Génération de diagrammes réseau et d'inventaires
- Dépannage : Identification rapide des connexions et des configurations incorrectes
- Gestion des changements : Validation des connexions avant et après des modifications
- Provisionnement automatique : Configuration dynamique des ports en fonction des équipements connectés
- Audit de sécurité : Détection d'équipements non autorisés
Les technologies de tunneling en couche 2 permettent d'encapsuler et de transporter des trames Ethernet à travers des réseaux qui ne seraient normalement pas capables de les transmettre directement (comme Internet ou des réseaux IP).
L2TP est un protocole de tunneling qui permet de transporter des trames PPP (Point-to-Point Protocol) à travers des réseaux IP.
- Combinaison des fonctionnalités de L2F (Layer 2 Forwarding, Cisco) et PPTP (Point-to-Point Tunneling Protocol, Microsoft)
- Standardisé dans RFC 2661
- Ne fournit pas de chiffrement par lui-même (souvent utilisé avec IPsec pour la sécurité)
- Utilise UDP port 1701 comme protocole de transport
- Établit deux types de connexions : tunnel de contrôle et sessions de données
- L2TP encapsule les données PPP
- IPsec chiffre et authentifie l'ensemble du paquet L2TP
- Offre une forte sécurité tout en conservant les avantages de L2TP
- Largement supporté par les clients VPN natifs (Windows, macOS, iOS, Android)
- VPN d'accès distant sécurisés
- Connexions entre sites distants nécessitant une transparence de couche 2
- Scénarios où le NAT (Network Address Translation) est utilisé
VXLAN est une technologie d'encapsulation qui étend les VLAN traditionnels en permettant la création de réseaux de couche 2 isolés sur une infrastructure de couche 3.
- Défini dans RFC 7348
- Permet jusqu'à 16 millions de réseaux isolés (contre 4096 pour les VLAN traditionnels)
- Utilise l'encapsulation MAC-in-UDP
- Utilise le port UDP 4789 par défaut
- Ajoute un en-tête de 8 octets contenant un VNI (VXLAN Network Identifier) de 24 bits
- Un VTEP (VXLAN Tunnel Endpoint) encapsule la trame Ethernet d'origine
- La trame encapsulée est transportée via le réseau IP (underlay)
- Le VTEP de destination désencapsule la trame et la délivre au destinataire final
- Les VTEP maintiennent des tables de correspondance entre adresses MAC et VTEP distants
- Surpasse la limite des 4096 VLAN
- Isole le trafic des locataires dans les environnements multi-locataires
- Permet la mobilité des machines virtuelles entre différents centres de données
- Supporte le routage et la commutation distribuée
- Centres de données virtualisés
- Clouds publics et privés
- Réseaux Software-Defined (SDN)
NVGRE est une technologie concurrente de VXLAN, principalement soutenue par Microsoft.
- Utilise le protocole GRE (Generic Routing Encapsulation) pour encapsuler les trames Ethernet
- Identifiant de réseau virtuel de 24 bits (similaire au VNI de VXLAN)
- Ne fragmente pas les paquets (ce qui peut poser des problèmes avec certains équipements réseau)
| Aspect |
VXLAN |
NVGRE |
| Encapsulation |
MAC-in-UDP |
MAC-in-GRE |
| Port de transport |
UDP 4789 |
Protocole IP 47 |
| Identification réseau |
VNI (24 bits) |
Tenant Network ID (24 bits) |
| Support matériel |
Large |
Plus limité |
| Équilibrage de charge |
Bon (ports UDP source/dest) |
Limité (pas de ports) |
| Principaux partisans |
VMware, Cisco, Arista |
Microsoft, HP |
- Successeur potentiel de VXLAN et NVGRE
- Format extensible avec des options TLV (Type-Length-Value)
- Support natif de la segmentation des locataires
- Porté par VMware, Microsoft, Intel et Red Hat
- Développé par Nicira (acquis par VMware)
- Utilise un format d'en-tête similaire à TCP pour bénéficier des optimisations matérielles
- N'établit pas réellement de connexion TCP (d'où "stateless")
- Conçu pour les environnements virtualisés à haute performance
- Étend les services MPLS au-delà du réseau principal
- Permet d'offrir des services L2VPN et L3VPN sur des réseaux IP standard
- Utilisé par les opérateurs pour étendre leurs services gérés
La QoS (Quality of Service) au niveau de la couche 2 permet de prioriser et de gérer différemment les flux de trafic en fonction de leur importance ou de leurs exigences spécifiques.
IEEE 802.1p définit un mécanisme de priorisation des trames Ethernet basé sur un champ de 3 bits dans l'en-tête des trames VLAN IEEE 802.1Q.
- Fait partie de l'en-tête 802.1Q (Tag Control Information)
- Utilise 3 bits, permettant 8 niveaux de priorité (0-7)
- Valeurs standard de priorité :
| Priorité |
Utilisation typique |
Description |
| 7 (111) |
Contrôle réseau |
Trafic critique pour le maintien du réseau |
| 6 (110) |
Contrôle interwork |
Trafic de contrôle entre réseaux |
| 5 (101) |
Voix |
Applications vocales sensibles au délai et à la gigue |
| 4 (100) |
Vidéo |
Vidéoconférence et streaming vidéo |
| 3 (011) |
Applications critiques |
Applications métier importantes |
| 2 (010) |
Excellent effort |
Trafic important mais non critique |
| 0 (000) |
Best effort |
Trafic normal sans exigences particulières |
| 1 (001) |
Background |
Transferts en arrière-plan, moindre priorité |
- Requiert que les trames soient taguées 802.1Q (ne fonctionne pas sur des liens sans VLAN)
- Limité à 8 niveaux de priorité
- Ne garantit pas de bande passante spécifique
- Ne traverse pas les frontières de domaine de broadcast (à moins d'être mappé vers une QoS de couche 3)
Les commutateurs implémentent divers mécanismes pour traiter les trames en fonction de leur priorité.
- Les commutateurs modernes disposent de plusieurs files d'attente matérielles par port (généralement 4 ou 8)
- Les trames sont placées dans différentes files selon leur priorité 802.1p
- Le nombre de files varie selon les modèles de commutateurs
-
Strict Priority Queuing (SP) : Les files de priorité supérieure sont toujours servies avant les files inférieures
- Avantage : Garantit le traitement du trafic prioritaire
- Inconvénient : Risque de famine pour les files de priorité inférieure
-
Weighted Round Robin (WRR) : Alloue un pourcentage de bande passante à chaque file
- Avantage : Évite la famine des files de faible priorité
- Inconvénient : Le trafic prioritaire peut subir des délais
-
Weighted Fair Queuing (WFQ) : Alloue la bande passante en fonction du poids et de la taille des paquets
- Avantage : Traitement plus équitable entre les flux
- Inconvénient : Plus complexe à implémenter en matériel
-
Deficit Weighted Round Robin (DWRR) : Amélioration de WRR qui tient compte de la taille variable des trames
- Avantage : Meilleure équité entre les files avec des tailles de trame différentes
- Inconvénient : Complexité accrue
-
Tail Drop : Méthode la plus simple - les nouvelles trames sont rejetées lorsque la file est pleine
- Inconvénient : Peut provoquer une synchronisation globale TCP
-
Random Early Detection (RED) : Commence à rejeter des paquets de manière aléatoire avant que la file soit pleine
- Avantage : Évite la synchronisation globale TCP
- Variante : Weighted RED (WRED) qui prend en compte la priorité des paquets
-
Explicit Congestion Notification (ECN) : Extension de RED qui marque les paquets plutôt que de les rejeter
- Requiert une compatibilité aux deux extrémités de la connexion
- Permet une réduction du débit sans perte de paquets
Pour une QoS de bout en bout, les mécanismes de couche 2 doivent s'intégrer avec ceux de couche 3.
Pour une QoS de bout en bout, les mécanismes de couche 2 doivent s'intégrer avec ceux de couche 3.
- Les valeurs 802.1p (0-7) peuvent être mappées vers des valeurs DSCP (Differentiated Services Code Point)
- Ce mapping est généralement configuré sur les routeurs et commutateurs de couche 3
- Permet une cohérence de la QoS à travers les frontières de couche 2/3
- Points du réseau où la classification QoS est appliquée ou réappliquée
- Généralement situés à la périphérie du réseau, près des utilisateurs
- Empêche les utilisateurs finaux de définir abusivement des priorités élevées
La QoS de couche 2 est particulièrement utile dans plusieurs scénarios :
- Téléphonie IP et VoIP : Priorisation du trafic vocal sensible à la latence
- Vidéoconférence : Garantie de bande passante et faible gigue
- Centres de données : Séparation du trafic de stockage, de gestion et d'application
- Réseaux industriels : Priorisation des communications de contrôle critiques
- Backbone d'entreprise : Différenciation entre trafic métier critique et trafic internet général
Les réseaux Metro Ethernet étendent les technologies Ethernet traditionnellement limitées aux LAN vers des réseaux métropolitains (MAN) et même des réseaux étendus (WAN).
Metro Ethernet utilise les technologies Ethernet comme base pour fournir des services de connectivité entre sites distants, remplaçant progressivement les technologies traditionnelles comme SONET/SDH, ATM et Frame Relay.
- Familiarité de la technologie Ethernet
- Économies significatives par rapport aux technologies WAN traditionnelles
- Scalabilité de 10 Mbps à 100 Gbps
- Facilité d'intégration avec les réseaux LAN existants
- Flexibilité dans les modèles de déploiement et de facturation
- Support naturel des applications IP
- UNI (User-Network Interface) : Point de connexion entre l'équipement client et le réseau du fournisseur
- EVC (Ethernet Virtual Connection) : Chemin logique entre deux ou plusieurs UNI
- MEN (Metro Ethernet Network) : Réseau du fournisseur transportant les services Ethernet
Le MEF (Metro Ethernet Forum) définit plusieurs types de services Ethernet standardisés :
- Service point-à-point reliant deux UNI
- Équivalent Ethernet d'une ligne louée traditionnelle
- Deux variantes :
- EPL (Ethernet Private Line) : Bande passante dédiée, sans multiplexage au niveau UNI
- EVPL (Ethernet Virtual Private Line) : Permet le multiplexage de plusieurs EVCs sur un même UNI
- Service multipoint-à-multipoint connectant plusieurs sites
- Simule un grand LAN Ethernet partagé entre tous les sites
- Deux variantes :
- EP-LAN (Ethernet Private LAN) : Service LAN privé sans multiplexage au niveau UNI
- EVP-LAN (Ethernet Virtual Private LAN) : Permet le multiplexage de plusieurs services sur un même UNI
- Service en topologie hub-and-spoke (racine et feuilles)
- Les sites "feuilles" peuvent communiquer avec le(s) site(s) "racine" mais pas entre eux
- Particulièrement adapté aux applications multicast, services centralisés, et réseaux de distribution
- Fournit une connexion d'accès à un autre service de réseau
- Utilisé pour étendre la portée des services Metro Ethernet via des partenariats entre opérateurs
Plusieurs technologies peuvent être utilisées pour implémenter les services Metro Ethernet :
- Utilise des commutateurs Ethernet durcis, conçus pour les environnements opérateur
- Support de fonctionnalités avancées comme OAM, protection, synchronisation
- Utilise des LSP (Label Switched Paths) pour transporter le trafic Ethernet
- VPLS (Virtual Private LAN Service) pour les services E-LAN
- VPWS (Virtual Private Wire Service) pour les services E-Line
- H-VPLS (Hierarchical VPLS) pour les déploiements à grande échelle
- Aussi appelé "MAC-in-MAC"
- Encapsule les trames client complètes dans une nouvelle trame Ethernet
- Sépare les domaines MAC client et opérateur
- Supporte jusqu'à 16 millions de services
- Extension de PBB avec des capacités d'ingénierie de trafic
- Chemin déterministe à travers le réseau (contrairement au comportement par défaut d'apprentissage/inondation)
- Support de protection et restauration rapide
Les services Metro Ethernet sont définis par plusieurs attributs :
¶ Bande passante
- CIR (Committed Information Rate) : Bande passante garantie
- EIR (Excess Information Rate) : Bande passante supplémentaire disponible si le réseau n'est pas congestionné
- CBS (Committed Burst Size) : Taille maximale de rafale garantie
- EBS (Excess Burst Size) : Taille maximale de rafale excédentaire
- Latence (Frame Delay) : Temps de transit d'une trame à travers le réseau
- Gigue (Frame Delay Variation) : Variation de la latence
- Perte de trames (Frame Loss Ratio) : Pourcentage de trames perdues
- Disponibilité du service : Pourcentage de temps où le service est opérationnel
Les technologies CPL permettent de transmettre des données numériques sur les lignes électriques existantes, transformant le réseau électrique en réseau de données de couche 2.
Le CPL exploite les câbles électriques existants pour transporter des signaux de données à haute fréquence, parallèlement au courant électrique à 50/60 Hz.
- Modulation porteuse : Les données sont modulées sur des fréquences porteuses élevées (généralement entre 2 et 86 MHz)
- Multiplexage par répartition orthogonale de la fréquence (OFDM) : Divise le spectre disponible en multiples sous-porteuses
- Couplage/découplage : Injection et extraction des signaux haute fréquence sur/depuis le réseau électrique
- Correction d'erreurs avancée : Pour faire face aux perturbations électriques
Le CPL opère principalement au niveau des couches 1 et 2 du modèle OSI :
- Couche physique : Modulation/démodulation des signaux
- Couche liaison : Adressage MAC, détection de collision, contrôle d'accès au média
¶ Normes et standards CPL
Plusieurs standards coexistent pour les technologies CPL :
- HomePlugAV : Jusqu'à 200 Mbps (IEEE 1901)
- HomePlugAV2 : Jusqu'à 1-2 Gbps
- Utilise le spectre 2-86 MHz
- Chiffrement AES 128 bits
- Coexistence via coordination du temps d'accès au média
- Standard unifié pour CPL, lignes téléphoniques et câbles coaxiaux
- Débits jusqu'à 1 Gbps
- Utilise le spectre 2-100 MHz
- Gestion dynamique du spectre
- Coexistence avec d'autres technologies CPL
- Standard IEEE basé sur HomePlugAV
- Two PHYs : FFT OFDM et Wavelet OFDM
- Mécanismes de coexistence entre systèmes incompatibles
- Support de QoS basé sur 802.1p
¶ G3-PLC et PRIME (CPL bande étroite)
- Utilisés principalement pour les applications de compteurs intelligents et smartgrid
- Fonctionnent dans les bandes 3-500 kHz (adaptés aux longues distances)
- Débits faibles (quelques centaines de kbps)
- Conçus pour une haute fiabilité et une faible consommation
Les réseaux CPL peuvent être déployés dans différentes configurations :
- Point à point : Connexion directe entre deux adaptateurs CPL
- Architecture étoile : Plusieurs adaptateurs connectés à un adaptateur central
- Maillage : Tous les adaptateurs peuvent communiquer entre eux (selon la phase électrique)
- Adaptateurs CPL : Convertissent les signaux Ethernet en signaux CPL et vice-versa
- Répéteurs CPL : Amplifient et régénèrent le signal pour couvrir de plus grandes distances
- Filtres : Éliminent les interférences et améliorent les performances
- Phases électriques : Les signaux CPL traversent difficilement les différentes phases électriques
- Distance : Les performances diminuent avec la distance (généralement limitées à 300m)
- Bruits électriques : Les appareils électriques peuvent générer des interférences
- Filtres et parasurtenseurs : Peuvent bloquer les signaux CPL
Les technologies CPL sont utilisées dans divers contextes :
- Extension de la couverture réseau sans nouveaux câbles
- Backhaul pour les points d'accès Wi-Fi (systèmes mesh hybrides)
- Connectivité pour les appareils IoT et domotiques
- Réseaux temporaires ou pour événements
- Connexion d'équipements dans des zones difficiles à câbler
- Systèmes de surveillance et de contrôle d'accès
- Compteurs intelligents
- Automatisation de la distribution électrique
- Surveillance et gestion des réseaux électriques
- Éclairage public intelligent
- Communications internes dans les véhicules
- Recharge intelligente des véhicules électriques
- Systèmes de divertissement embarqués
Bien que techniquement situé entre les couches 2 et 3, le protocole ARP est fondamental pour comprendre le fonctionnement des réseaux IP sur Ethernet, car il fait le lien entre l'adressage IP (couche 3) et l'adressage MAC (couche 2).
ARP (Address Resolution Protocol) permet de résoudre dynamiquement les adresses MAC correspondant à des adresses IP connues sur un réseau local.
- Un hôte A souhaite communiquer avec un hôte B dont il connaît l'adresse IP mais pas l'adresse MAC
- L'hôte A vérifie d'abord sa table ARP locale (cache)
- Si l'adresse n'est pas dans le cache, l'hôte A diffuse une requête ARP sur le réseau local
- Tous les hôtes reçoivent la requête, mais seul l'hôte B (possédant l'adresse IP recherchée) répond
- L'hôte B envoie une réponse ARP unicast contenant son adresse MAC
- L'hôte A stocke cette information dans son cache ARP et peut désormais communiquer directement avec B
Les messages ARP ont une structure simple :
- Hardware Type (2 octets) : Type de matériel réseau (1 pour Ethernet)
- Protocol Type (2 octets) : Type de protocole (0x0800 pour IPv4)
- Hardware Address Length (1 octet) : Longueur de l'adresse matérielle (6 pour MAC)
- Protocol Address Length (1 octet) : Longueur de l'adresse protocole (4 pour IPv4)
- Operation (2 octets) : Type d'opération (1=requête, 2=réponse)
- Sender Hardware Address (variable) : Adresse MAC de l'expéditeur
- Sender Protocol Address (variable) : Adresse IP de l'expéditeur
- Target Hardware Address (variable) : Adresse MAC du destinataire (inconnue dans une requête)
- Target Protocol Address (variable) : Adresse IP du destinataire
Le Proxy ARP permet à un routeur de répondre aux requêtes ARP pour des hôtes situés sur un autre réseau :
- Le routeur répond avec sa propre adresse MAC aux requêtes ARP destinées à des adresses IP qu'il peut router
- Permet la communication entre hôtes de sous-réseaux différents sans configuration explicite de routage sur les hôtes
- Utile dans certains environnements mais peut masquer des problèmes de configuration
Une requête ou réponse ARP non sollicitée, où l'adresse IP source et cible sont identiques :
- Utilisations :
- Annoncer un changement d'adresse MAC (par exemple après migration de machine virtuelle)
- Détecter les conflits d'adresses IP
- Mettre à jour les caches ARP des autres hôtes après reconfiguration
- Faciliter le basculement dans les configurations de haute disponibilité
- Table associant adresses IP et adresses MAC
- Entrées dynamiques (apprises par le processus ARP)
- Entrées statiques (configurées manuellement)
- Durée de vie (TTL) des entrées dynamiques (généralement 2-4 minutes sous Windows, 5-15 minutes sous Linux)
- Entrées obsolètes : Peuvent causer des problèmes de connectivité après reconfiguration d'un hôte
- Empoisonnement ARP : Technique d'attaque consistant à envoyer des réponses ARP falsifiées
- Tempêtes ARP : Grand nombre de requêtes ARP pouvant saturer le réseau
- Échec de résolution : Peut indiquer des problèmes de configuration IP, de filtrage, ou de matériel
- Permet à un hôte de découvrir sa propre adresse IP à partir de son adresse MAC
- Largement remplacé par BOOTP puis DHCP
- Défini dans RFC 903
- Utilisé dans les réseaux Frame Relay et ATM
- Permet de découvrir l'adresse IP associée à un DLCI (Data Link Connection Identifier)
- Défini dans RFC 2390
- Variantes conçues pour contrer les attaques par empoisonnement ARP
- Utilisent souvent des mécanismes cryptographiques pour authentifier les messages ARP
- Pas de standard unique largement adopté
IPv6 remplace ARP par le protocole NDP (Neighbor Discovery Protocol), qui offre des fonctionnalités similaires mais avec des améliorations significatives :
- NDP fait partie intégrante du protocole IPv6 (utilise ICMPv6)
- Utilise des adresses multicast spécifiques plutôt que le broadcast
- Inclut détection d'adresses dupliquées
- Intègre la découverte de routeurs et la détection d'inaccessibilité des voisins
- Plus efficace et plus sécurisé (avec les extensions SEND - SEcure Neighbor Discovery)
La couche liaison (niveau 2) du modèle OSI constitue le fondement des communications réseau locales modernes, avec Ethernet comme protocole dominant. Les technologies et protocoles présentés dans ce document complémentaire offrent une vision approfondie des mécanismes avancés qui assurent le bon fonctionnement, la sécurisation et l'optimisation des réseaux au niveau de la couche 2.
La maîtrise de ces concepts est essentielle pour les administrateurs et architectes réseau confrontés à des problématiques de plus en plus complexes dans les infrastructures convergées actuelles. De la prévention des boucles avec STP à la sécurisation avec 802.1X et MACsec, en passant par la virtualisation avec VLAN et les technologies d'overlay, ces mécanismes forment un ensemble cohérent qui permet de construire des réseaux performants, évolutifs et résilients.
L'avenir de la couche 2 s'oriente vers une intégration toujours plus poussée avec les couches supérieures, notamment dans le cadre des architectures SDN (Software-Defined Networking) et la virtualisation des fonctions réseau (NFV), tout en conservant les principes fondamentaux qui ont fait le succès d'Ethernet depuis plus de 40 ans.