Partie 02

Liaisons, câbles & topologies

Du câble RJ45 aux fibres optiques multiplexĂ©es, tout ce qui transporte physiquement les bits. Comprendre les supports physiques est essentiel pour diagnostiquer les problèmes et choisir le bon matériel.

Topologies réseau

Topologie Description Avantages Inconvénients
Bus Tous sur un câble coaxial partagé Simple, peu de câble Panne du bus = réseau mort, collisions
Anneau Chaque hôte en boucle (Token Ring) Pas de collision (jeton) Panne d'un hôte = coupure totale
Étoile Tous reliés à un switch central Panne isolée, facile à gérer Dépend du nœud central
Étoile étendue Switches reliés à un switch central Standard entreprise, scalable Coût plus élevé
Maillé complet Chaque nœud connecté à tous les autres Redondance maximale Coût exponentiel
Maillé partiel Redondance sur liens critiques uniquement Bon compromis coût/résilience Plus complexe à configurer
Hiérarchique 3 couches Accès → Distribution → Core Standard Cisco entreprise, scalable Nécessite plus de matériel
🏢Modèle 3 couches Cisco : Access (connexion des postes + PoE) → Distribution (agrégation, routage inter-VLAN, STP root) → Core (commutation ultrarapide entre sites, zéro filtrage).

Diagrammes visuels des topologies

Bus T T PC1 PC2 PC3 PC4 Câble coaxial partagé (T = terminateur)
Anneau (Ring) PC1 PC2 PC3 PC4 PC5 Jeton circule dans un sens unique
Étoile (Star) Switch PC1 PC2 PC3 PC4 PC5
Étoile étendue SW-A SW-B PC1 PC2 PC3 PC4 PC5 PC6 -- trunk --
Maillé (Mesh) R1 R2 R3 R4 Chaque noeud connecté à tous
Hiérarchique 3 couches CORE L3 rapide DISTRIB. DISTRIB. L3 / STP ACC-1 ACC-2 ACC-3 ACC-4 PC PC PC PC Core → Distribution → Access → Postes

Daisy chaining (cascade de switches)

Le daisy chaining consiste à connecter des switches en série, comme une chaîne : Switch A → Switch B → Switch C → Switch D. Chaque switch est relié au suivant, et un PC branché sur le dernier switch doit traverser tous les intermédiaires pour atteindre le serveur.

Pourquoi c'est une mauvaise pratique :
Latence cumulée — chaque switch ajoute un délai de traitement (store-and-forward). 4 switches en série = 4x la latence.
Point de défaillance unique — si le Switch B tombe, les Switches C et D sont isolés.
Bande passante partagée — tout le trafic des switches en aval transite par un seul lien montant — goulot d'étranglement garanti.
📚Recommandation Cisco : ne jamais dépasser 3 switches en cascade (Access → Distribution → Core). Au-delà, le temps de convergence STP explose et la latence devient inacceptable. Privilégiez toujours une topologie en étoile avec un switch central (core).
✗ Daisy chain (mauvais) SW-A SW-B SW-C SW-D hop 1 hop 2 hop 3 PC PC PC → SW-D → SW-C → SW-B → SW-A = 3 hops de latence ✓ Étoile (recommandé) CORE SW-A SW-B SW-C SW-D Chaque switch à 1 hop du core — pas de dépendance en série

STP — empêcher les boucles réseau

Dans un réseau comportant des liens redondants (topologie maillée ou multiples liens trunk), les trames peuvent boucler indéfiniment car la couche 2 ne dispose d'aucun TTL. Chaque switch rediffuse la trame sur tous ses ports, qui la renvoient au switch précédent, créant ainsi une tempĂȘte de broadcast (broadcast storm) capable de saturer le réseau en quelques secondes.

STP (IEEE 802.1D — Spanning Tree Protocol) résout ce problème en trois étapes : il élit un Root Bridge (le switch de référence), calcule le chemin le plus court de chaque switch vers le root, puis place les ports redondants en état Blocking. Si un lien actif tombe, STP reconverge et débloque un port de secours. RSTP (802.1w — Rapid STP) effectue cette convergence beaucoup plus vite (~1–2 s contre 30–50 s pour le STP classique).

SW1 Root Bridge SW2 SW3 Forwarding Forwarding Blocked = Forwarding = Blocked (port désactivé par STP)
💡Packet Tracer : les voyants orange sur les ports d'un switch indiquent que STP est en cours de convergence. Il faut attendre ~30 s (STP classique) ou ~2 s (RSTP) pour qu'ils passent au vert (Forwarding). Vous pouvez accélérer ce délai en activant RSTP : spanning-tree mode rapid-pvst

Câbles Ethernet — structure et blindage

Un câble Ethernet contient 4 paires de fils torsadés (8 conducteurs). La torsion réduit les crosstalk. Le blindage ajoute une protection supplémentaire contre les interférences extérieures.

Coupes transversales des 4 types de blindage

U/UTP (UTP) Aucun blindage Cat5e, Cat6 F/UTP (FTP) Feuille alu globale Cat6A Feuille Al S/FTP Feuille/paire + tresse Cat7 / Cat7A SF/FTP Feuille/paire + feuille+tresse Cat8 — protection max Bleu Orange Vert Marron Blindage alu Tresse

Notation normalisée ISO/IEC 11801

La norme utilise la notation XX/YZZ : blindage global / blindage par paire + type. U = non blindé, F = feuille aluminium, S = tresse, TP = twisted pair.

Code Blindage global Blindage par paire Nom courant Quand l'utiliser
U/UTP Aucun Aucun UTP Bureau, domicile, environnement calme
F/UTP Feuille aluminium Aucun FTP Environnement légèrement bruité
U/FTP Aucun Feuille aluminium Réduction du crosstalk entre paires
SF/UTP Tresse + feuille Aucun STP / S-FTP Industrie, forte perturbation électromagnétique
S/FTP Tresse Feuille aluminium S/FTP Cat7, data center, haute performance
SF/FTP Tresse + feuille Feuille aluminium Cat8, protection maximale — usines, serveurs
Mise à la terre obligatoire pour les câbles blindés ! Un FTP/STP non mis à la terre (ou mal mis à la terre) se comporte comme une antenne et aggrave les interférences au lieu de les réduire. La continuité de terre doit être assurée sur tout le parcours : connecteurs → câbles de brassage → baies métalliques → rail PE.

Mise à la terre d'un câble blindé

câble F/UTP ou S/FTP (blindage alu) RJ45 blindé métal Patch panel blindé Terre PE Baie blindée → rail PE Blindage relié à la terre aux deux extrémités (règle d'or) Continuité obligatoire : fiche métallique → câble blindé → panneau blindé → baie métallique → rail PE → terre du bâtiment

Connecteurs et formes physiques

Connecteur Usage Support Notes
RJ45 Ethernet LAN standard Cat5e – Cat8 TP 8 broches (8P8C), le plus répandu au monde
RJ45 blindé Ethernet blindé F/UTP, S/FTP Cat6A+ Coque métallique pour continuité du blindage vers la terre
GG45 Haute catégorie Cat7 / Cat7A Compatible RJ45 + 4 contacts supplémentaires pour 10G
TERA Cat7A industriel Cat7A S/FTP Blindage 4 paires indépendantes, rare en France
SFP Transceiver 1 Gbit/s Fibre ou câble DAC cuivre Hot-swappable, fibre LC ou DAC jusqu'à 7 m
SFP+ Transceiver 10 Gbit/s Fibre ou DAC cuivre Standard data center et backbones entreprise
QSFP+ 40 Gbit/s (4×10G) Fibre OM3/OM4 Quad SFP — cœurs de réseau, data centers
QSFP28 100 Gbit/s (4×25G) Fibre OM4 / OS2 Standard 100G moderne dans les switches haut de gamme
LC Connecteur fibre optique Fibre SM ou MM Le plus courant sur fibre — petite taille, verrouillage clic
SC Connecteur fibre optique Fibre SM ou MM Plus grand, carré, souvent en patch panel optique
Catégorie Débit max Bande passante Distance Blindage usuel Notes
Cat3 10 Mbit/s 16 MHz 100 m UTP 10BASE-T — obsolète
Cat5 100 Mbit/s 100 MHz 100 m UTP 100BASE-TX — encore en place
Cat5e 1 Gbit/s 100 MHz 100 m UTP / F/UTP Standard minimum actuel ✓
Cat6 10 Gbit/s 250 MHz 55 m (10G) / 100 m (1G) U/UTP ou F/UTP Le plus courant en bureaux ✓
Cat6A 10 Gbit/s 500 MHz 100 m F/UTP ou U/FTP Data centers, PoE++, recommandé ✓
Cat7 10 Gbit/s 600 MHz 100 m S/FTP (GG45) Peu adopté malgré les specs
Cat7A 40 Gbit/s 1000 MHz 50 m S/FTP Data centers haute densité
Cat8 40 Gbit/s 2000 MHz 30 m SF/FTP (RJ45) Top of Rack (switches → serveurs)

Fibre optique — ADSL — Câble

Technologie Support Débit ↓ Débit ↑ Distance Latence
ADSL2+ Cuivre téléphonique 1–20 Mbit/s 0,5–1 Mbit/s ≤5 km du NRA 20–80 ms
VDSL2 Cuivre téléphonique 30–100 Mbit/s 10–30 Mbit/s ≤500 m répartiteur 10–30 ms
FTTH (fibre) Fibre optique monomode 300 Mbit/s–10 Gbit/s Symétrique Plusieurs km 1–5 ms
Câble DOCSIS 3.1 Coaxial HFC Jusqu'à 1 Gbit/s 50–100 Mbit/s Réseau TV câblé 5–15 ms
5G fixe Radio mobile 50–1000 Mbit/s Variable Zone couverte 10–50 ms

VLANs — segmentation logique du réseau

Qu'est-ce qu'un VLAN et pourquoi ?

🏢Analogie simple : Imaginez un grand open space (= 1 switch, 1 domaine de broadcast). Tout le monde entend tout le monde, c'est le bazar. Les VLANs, c'est comme ajouter des cloisons pour créer des bureaux séparés. Les personnes dans le bureau RH ne peuvent pas entendre celles du bureau IT, même si elles partagent le même bâtiment (switch).

Un VLAN (Virtual Local Area Network) segmente logiquement un switch physique en plusieurs réseaux isolés. Des machines branchées sur le même switch peuvent être complètement isolées comme si elles étaient sur des switches différents.

Avantages des VLANs

  • Sécurité — Isolation des départements : le service comptabilité ne voit pas le trafic du service IT.
  • Performance — Réduction des broadcast storms : un broadcast VLAN 10 ne touche que les ports VLAN 10, pas tout le switch.
  • Flexibilité — Déplacer un utilisateur d'un VLAN à un autre sans changer de câblage : on change juste le VLAN du port.

Comment fonctionnent les VLANs

Chaque port est assigné à un VLAN (port access). Quand un PC est branché sur le port 3, et que ce port est dans le VLAN 10, alors ce PC fait partie du VLAN 10.

Les VLANs sont isolés entre eux. Un PC dans le VLAN 10 ne peut PAS communiquer avec un PC dans le VLAN 20, même s'ils sont sur le même switch. Pour communiquer, il faut un routeur (couche 3).

Le switch maintient une table MAC séparée par VLAN. Il sait que MAC AA:BB:CC est sur le port 3 dans le VLAN 10, et que MAC DD:EE:FF est sur le port 7 dans le VLAN 20.

VLAN ID : 1 à 4094. Le VLAN 1 est le VLAN par défaut — tous les ports y appartiennent à la sortie d'usine. Ne jamais utiliser le VLAN 1 en production (risque de sécurité).

Visualisation : un switch, deux VLANs

Switch 24 ports (8 représentés) P1 P2 P3 P4 P5 P6 P7 P8 ✗ Isolés ! VLAN 10 — RH VLAN 20 — IT PC-RH1 PC-RH2 PC-IT1 PC-IT2 ← Broadcast VLAN 10 → Ne touche QUE les ports 1-4 Bloqué !
💡PC-RH1 (VLAN 10, port 1) envoie un broadcast → le switch le transmet UNIQUEMENT aux ports 2, 3 et 4 (aussi VLAN 10). PC-IT1 sur le port 5 (VLAN 20) ne reçoit rien. C'est comme si les deux groupes étaient sur des switches physiques différents.

Trunk 802.1Q — transporter plusieurs VLANs sur un lien

Un trunk est un lien qui transporte le trafic de plusieurs VLANs entre deux switches ou entre un switch et un routeur. Sans trunk, il faudrait un câble physique par VLAN — impossible en pratique.

Le tag 802.1Q

Le standard IEEE 802.1Q insère un tag de 4 octets dans la trame Ethernet pour identifier le VLAN d'origine. Le switch de réception lit ce tag pour savoir vers quel VLAN rediriger la trame.

Trame Ethernet : [MAC dst][MAC src][EtherType][Données][FCS]
Trame 802.1Q :   [MAC dst][MAC src][0x8100][PCP 3b|DEI 1b|VLAN ID 12b][EtherType][Données][FCS]
                                    ↑————— Tag 802.1Q (4 octets) —————↑

 • 0x8100 = Tag Protocol Identifier (indique « cette trame est taggée »)
 • PCP (3 bits) = Priority Code Point (QoS)
 • DEI (1 bit) = Drop Eligible Indicator
 • VLAN ID (12 bits) = identifiant du VLAN (1–4094)
Trunk 802.1Q entre deux switches Switch 1 — Bâtiment A V10 V10 V20 V20 TRUNK 802.1Q V10 tag V20 tag Switch 2 — Bâtiment B V10 V10 V20 V20 PC-RH PC-IT PC-RH PC-IT Les trames VLAN 10 et VLAN 20 circulent sur le même câble grâce au tag 802.1Q

VLAN natif

Le VLAN natif est le VLAN dont les trames passent sans tag sur le trunk. Par défaut, c'est le VLAN 1. Si un attaquant envoie une trame sans tag, elle sera interprétée comme étant dans le VLAN natif — c'est la base de l'attaque VLAN hopping.

Sécurité : Changez toujours le VLAN natif (ex: VLAN 999) et ne l'utilisez pour aucun trafic utilisateur. Commande Cisco : switchport trunk native vlan 999
Port access : appartient à 1 seul VLAN (connexion d'un PC). Port trunk : transporte tous les VLANs taggés (lien switch↔switch ou switch↔routeur).

Routage inter-VLAN

Les VLANs sont isolés par conception. Un PC dans le VLAN 10 (sous-réseau 192.168.10.0/24) ne peut pas parler à un PC dans le VLAN 20 (192.168.20.0/24) sans passer par un équipement de couche 3 (routeur ou switch L3). Deux méthodes existent :

Méthode 1 : Router-on-a-stick (routeur sur un bâton)

Un seul lien physique trunk entre le switch et le routeur. Le routeur crée des sous-interfaces (une par VLAN) sur son interface physique. Chaque sous-interface a sa propre adresse IP (passerelle du VLAN).

Router(config)# interface fa0/0.10
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0

Router(config)# interface fa0/0.20
Router(config-subif)# encapsulation dot1q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router-on-a-stick Routeur fa0/0 Trunk fa0/0.10 192.168.10.1 fa0/0.20 192.168.20.1 Switch L2 PC-RH VLAN 10 192.168.10.10 PC-IT VLAN 20 192.168.20.10 trafic inter-VLAN via routeur

Méthode 2 : Switch L3 avec SVI

Un switch de couche 3 (L3) peut router directement entre VLANs grâce aux SVI (Switch Virtual Interfaces). Plus rapide qu'un routeur externe car le routage se fait en hardware (ASIC). Pas de goulot d'étranglement sur un seul lien trunk.

Switch(config)# ip routing

Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown

Switch(config)# interface vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# no shutdown
🚀Router-on-a-stick vs Switch L3 : Le router-on-a-stick est adapté aux petits réseaux (<50 postes). Pour les réseaux d'entreprise, le switch L3 est toujours préféré : routage hardware, pas de lien trunk unique comme goulot d'étranglement, et convergence plus rapide.

Bonnes pratiques VLAN

Pratique Recommandation
VLAN 1 Ne jamais l'utiliser pour du trafic utilisateur — VLAN de gestion uniquement. Tous les ports inutilisés doivent être placés dans un VLAN « poubelle » (ex: VLAN 999).
VLAN natif Changer le VLAN natif (ex: VLAN 999) pour éviter les attaques VLAN hopping. Commande : switchport trunk native vlan 999
Nommage Toujours nommer les VLANs pour la lisibilité. Commandes : vlan 10 puis name RH, vlan 20 puis name IT
Documentation Tenir un tableau VLAN ↔ sous-réseau ↔ passerelle à jour. Ex: VLAN 10 = 192.168.10.0/24 = passerelle .1
Trunk Ne laisser passer que les VLANs nécessaires sur chaque trunk. Commande : switchport trunk allowed vlan 10,20,30 (et pas « all »)
Ports inutilisés Désactiver (shutdown) et placer dans un VLAN non routé (ex: VLAN 999). Un port ouvert = une porte d'entrée potentielle.
📋Exemple de tableau de documentation VLAN :
VLAN 10 — RH — 192.168.10.0/24 — Passerelle : 192.168.10.1
VLAN 20 — IT — 192.168.20.0/24 — Passerelle : 192.168.20.1
VLAN 30 — Invités — 10.0.30.0/24 — Passerelle : 10.0.30.1 (accès Internet uniquement)
VLAN 99 — Gestion — 192.168.99.0/24 — Passerelle : 192.168.99.1 (SSH switches)
VLAN 999 — Poubelle — pas de sous-réseau — ports inutilisés

Wi-Fi — tous les standards 802.11

Standard Nom Année Bandes Débit max théorique Innovations clés
802.11b 1999 2,4 GHz 11 Mbit/s Premier Wi-Fi grand public, DSSS
802.11g 2003 2,4 GHz 54 Mbit/s OFDM, compatible 802.11b
802.11n Wi-Fi 4 2009 2,4 + 5 GHz 600 Mbit/s MIMO 4×4, canal 40 MHz
802.11ac Wi-Fi 5 2013 5 GHz 3,5 Gbit/s MU-MIMO, canal 80/160 MHz, 256-QAM
802.11ax Wi-Fi 6 2019 2,4 + 5 GHz 9,6 Gbit/s OFDMA, BSS Coloring, TWT, 1024-QAM
802.11ax Wi-Fi 6E 2021 + 6 GHz 9,6 Gbit/s 59 canaux 80 MHz sur 6 GHz vierge
802.11be Wi-Fi 7 2024 2,4+5+6 GHz 46 Gbit/s MLO multi-link, canal 320 MHz, 4096-QAM
2,4 GHz
Portée ↑↑ — 3 canaux non-chevauchants (1/6/11) — Très encombré
5 GHz
Portée ↓ — 23 canaux — Bon débit — Peu encombré
6 GHz
Portée ↓↓ — 59 canaux 80 MHz — Quasi vierge — Wi-Fi 6E/7