« Dis, c’est moi ou le réseau rame aujourd’hui ? » ── Cet article s’adresse à la personne à qui l’on pose cette question au bureau. Voyez si l’une de ces situations vous parle.
- Chaque lundi à 9 h, tout devient poussif dans toute l’entreprise
- Une équipe ou un coin précis du bureau a toujours des problèmes
- À l’instant où vous vous connectez au VPN, non seulement les systèmes internes mais la simple navigation web se traîne
- Les chiffres du test de débit sont bons, et pourtant tout semble indéniablement lent
Mettons une chose au clair d’emblée : « lent » ne veut pas forcément dire « le tuyau est trop étroit ». La lenteur réseau a sa galerie de suspects habituels, chacun défini par la couche qui est engorgée ── et chacun présente des symptômes différents. Le monde regorge de lenteurs qu’aucune augmentation de débit ne corrigera jamais.
Ceci n’est pas un manuel de configuration. C’est une carte des endroits où chercher. En prenant pour cadre le réseau d’une PME typique, nous couvrirons :
- Comment décomposer « lent » en trois problèmes distincts (§1)
- DNS ── le blocage avant même que quoi que ce soit ne commence (§2)
- Commutateurs et broadcasts ── quand le marmonnement d’une machine atteint tout le monde (§3)
- VPN ── quand le trafic de tous est aspiré dans un seul tunnel (§4)
- DHCP, NAT et numéros de port ── quand les registres d’adresses s’épuisent (§5)
- Une routine de diagnostic en 5 étapes pour praticiens (§6)
Pour chaque suspect, nous prendrons le chemin le plus court vers le pourquoi de la lenteur. Aucune connaissance pointue en configuration n’est requise ── la relation de cause à effet est la seule chose à emporter.
Cet article prolonge notre série « comment votre PC fonctionne vraiment » (adresses IP, DNS et pare-feu). Après le PC isolé, nous élargissons pour la première fois la focale au réseau de toute une organisation.
1. Décomposer « lent » en trois problèmes ── débit, latence et perte
1-1. Trois lenteurs, trois maladies différentes
« Lent », ce sont en réalité trois choses différentes sous le même manteau. Cette décomposition en trois traverse tout l’article.
Les trois sortes de « lent »
① Débit (largeur de route) Combien de données passent à la fois
└ Si engorgé : téléchargements poussifs, tout le monde ralenti aux heures de pointe
② Latence (aller-retour) Le temps pour qu'une donnée arrive et revienne
└ Si engorgé : chaque clic est suivi d'un temps mort
③ Perte (données perdues) L'attente du renvoi de ce qui s'est perdu
└ Si engorgé : visioconférences hachées, lenteurs aléatoires
- Débit (largeur de la route) : la quantité de données par seconde ── le nombre de voies. Trop peu, et c’est l’embouteillage ; route vide, aucun problème. C’est pourquoi le manque de débit porte le visage du « lent uniquement aux heures de pointe »
- Latence : le temps d’aller-retour jusqu’à l’autre bout. Sans rapport avec la largeur ── elle dépend de la distance et du nombre d’étapes en chemin. C’est pourquoi la latence porte le visage du « quoi que je fasse, le premier instant est lourd »
- Perte (packet loss) : une partie des données envoyées s’évapore en route. Le réseau renvoie discrètement ce qui s’est perdu, mais cette attente de renvoi porte le visage du « d’habitude ça va, mais parfois tout se met à saccader » et du « l’image et le son se hachent »
1-2. Remonter des symptômes vers la cause
| Ce que l’on ressent | Premier suspect | Section |
|---|---|---|
| Long entre le clic et le début d’affichage de la page | Latence ou résolution de noms | §2 DNS |
| Une équipe ou une zone est lente sur tout | Couche 2 (commutateurs, broadcasts) | §3 |
| Tout ralentit sur le VPN | Un itinéraire détourné | §4 VPN |
| Lent à heures fixes ── au début de journée, à midi | Débit ou épuisement | §5 |
| Seules les visioconférences se hachent | Perte, qualité du Wi-Fi | §1 / §6 |
ping (une commande qui mesure le temps d’aller-retour) et un test de débit ne mesurent pas la même chose. ping mesure la ② latence ; un test de débit mesure surtout le ① débit. Voilà pourquoi « le test de débit est rapide mais tout semble lent » est un état du monde parfaitement cohérent.
2. Le blocage avant que tout commence ── DNS
2-1. Ce qui se passe toujours avant qu’une page s’ouvre
Avant que votre navigateur puisse récupérer une page, il doit effectuer la résolution de noms (la requête qui convertit un nom de domaine en adresse IP ── la véritable adresse postale). Son fonctionnement est cartographié dans notre article sur le DNS, mais pour un réseau d’entreprise, un seul fait compte :
Tant que la résolution de noms n’est pas terminée, pas un seul octet de la vraie conversation ne démarre.
Donc quand le DNS s’engorge, aucun débit n’y changera rien ── le « premier instant après chaque clic » devient lourd, à coup sûr. Ce n’est ni le ① débit ni la ③ perte ; c’est une lenteur d’avant la communication.
2-2. Pourquoi le DNS du bureau s’engorge
Dans un bureau typique, chaque PC envoie ses requêtes à un serveur DNS interne (souvent un forwarder ── un employé de guichet qui transmet ── tournant sur un équipement partagé), qui les relaie vers le DNS externe. Si ce guichetier manque de puissance ou croule sous la charge, le « premier instant » de tous les salariés s’alourdit en même temps.
Le mode de panne est encore plus vicieux. Les requêtes DNS ont des délais d’attente de plusieurs secondes, et quand le premier serveur DNS reste muet, le client épuise ces secondes avant d’interroger le second. « Ça se fige quelques secondes avant de s’ouvrir ── mais une fois ouvert, c’est rapide. » Ce symptôme est la signature classique de l’attente DNS.
Quelqu’un dit « le réseau est lent », vous lancez un test de débit, et les chiffres reviennent sains. Un test de débit ne résout un nom qu’une seule fois : la lenteur DNS n’y laisse presque aucune trace. Si le symptôme est « seul le démarrage est lent », ce qu’il faut mesurer, c’est la résolution de noms ── pas le débit.
3. Le marmonnement d’une machine atteint tout le monde ── commutateurs et broadcasts
3-1. Le commutateur en une phrase ── un distributeur intelligent
Le commutateur, ou switch (le boîtier qui regroupe plusieurs appareils en un LAN), qui vit sous les bureaux et dans les armoires de brassage, n’est pas une simple multiprise. Il apprend quel appareil habite derrière quel port et livre les données uniquement au port où se trouve réellement le destinataire. Voilà pourquoi, en temps normal, le téléchargement géant de votre voisin n’écrase pas votre trafic.
Et puisqu’on confond souvent commutateurs et routeurs : « le commutateur gère le trafic à l’intérieur d’un réseau ; le routeur relie un réseau à un autre » ── cette ligne suffit ici.
3-2. Mais les broadcasts atteignent tout le monde, toujours
L’intelligence du commutateur connaît une exception : le broadcast (un appel adressé à tout le réseau ── « le propriétaire de cette adresse est-il là ? »). Le destinataire étant « tout le monde », le commutateur doit l’inonder par tous les ports, quoi qu’il ait appris.
Trafic normal : ne va qu'au port de destination
PC-A ──→ [commutateur] ──→ PC-B
×──→ PC-C (pas envoyé)
×──→ PC-D (pas envoyé)
Broadcast : inonde tous les ports, toujours
PC-A ──→ [commutateur] ──→ PC-B
├──→ PC-C
└──→ PC-D … à tout le réseau
Les broadcasts font partie du fonctionnement normal d’un réseau. Le problème, c’est le volume. Dans un immense réseau plat ── tout un étage câblé en un seul réseau sans frontières internes ── les « untel est-il là ? » de centaines de machines parviennent à tout le monde, en continu. Imaginez une salle de classe où chacun est forcé d’écouter les marmonnements de tous les autres. Chaque machine ne fait que chuchoter, mais des centaines de chuchotements font un vrai vacarme.
3-3. La tempête de broadcast ── le coupable classique de l’effondrement total
Plus dangereuse encore : la tempête de broadcast. Quand des commutateurs se retrouvent accidentellement câblés en boucle, le trafic adressé à tous tourne dans l’anneau en se multipliant jusqu’à saturer le réseau. « Soudain, dans toute l’entreprise, tout est lent au point de ne presque plus se connecter » ── ce symptôme du pire cas a un coupable classique, et c’est celui-ci.
La cause n’est généralement pas un matériel défaillant, mais le petit switch sauvage sous le bureau de quelqu’un. Une personne bien intentionnée relie deux prises libres avec un câble qui traînait, ou branche deux fois au mur un switch personnel ── et une boucle est née.
3-4. Mini-explication : qu’est-ce qu’un masque de sous-réseau ?
L’heure est venue de récupérer un terme. Le masque de sous-réseau est la valeur qui marque où passe la frontière dans une adresse IP ── quelle part nomme le réseau, et quelle part nomme la machine individuelle. Il exprime exactement la même chose que la notation /24 (CIDR) de notre article sur les adresses IP, simplement écrite autrement (255.255.255.0).
Et dans le contexte de ce chapitre, voici ce que cela signifie : un sous-réseau, c’est la portée d’un broadcast. Découper un réseau en sous-réseaux, c’est « diviser la salle de classe en pièces plus petites pour que les marmonnements portent moins loin ». Voilà précisément pourquoi le découpage en sous-réseaux est le remède classique au problème du réseau plat bruyant.
4. Le trafic de tous dans un seul tunnel ── VPN
4-1. Mini-explication : qu’est-ce qu’un VPN ?
Un VPN (Virtual Private Network) construit un tunnel chiffré entre votre PC à la maison (ou en déplacement) et le réseau de l’entreprise, faisant se comporter votre machine comme si elle était branchée sur une prise Ethernet du bureau. Sa raison d’être est double : personne sur le chemin (votre FAI, le Wi-Fi public) ne peut regarder à l’intérieur, et vous pouvez atteindre de l’extérieur les systèmes réservés à l’interne.
4-2. Le détour du tunnel intégral ── pourquoi « c’est plus lent à la maison qu’au bureau »
Ce qui compte pour la lenteur, c’est que les tunnels ont deux modes de fonctionnement.
Tunnel intégral : tout le trafic passe par le bureau
PC maison ━━ VPN ━━→ Bureau ──→ Internet ──→ site vidéo
(chiffré) (consomme la ligne de l'entreprise, aller et retour)
Tunnel divisé : seul le trafic vers le bureau emprunte le tunnel
PC maison ━━ VPN ━━→ Bureau (systèmes internes uniquement)
└─────────→ Internet ──→ site vidéo (en direct)
- Tunnel intégral (full tunnel) : tout ── destination bureau comme destination internet ── est d’abord transporté jusqu’à l’entreprise, puis ressort de là. Confortable côté sécurité, mais même la simple navigation web emprunte l’itinéraire physiquement plus long « maison → bureau → site → bureau → maison » (la ② latence grimpe). Pire : la navigation de tous les télétravailleurs conflue sur l’unique ligne internet de l’entreprise ── aux heures de pointe, le ① débit s’engorge aussi
- Tunnel divisé (split tunnel) : seul le trafic vers les systèmes internes entre dans le tunnel ; le reste part directement de la maison. Le détour et la confluence disparaissent ── en échange, l’entreprise voit moins le trafic. Un compromis
« Quand je me connecte au VPN, même la navigation ordinaire ralentit, pas seulement les systèmes internes » ── ce symptôme est presque à coup sûr le détour du tunnel intégral plus la confluence.
4-3. Le chiffrement ── la commission fixe
Une chose encore : le VPN prélève des frais fixes appelés chiffrement et encapsulation (sceller vos données dans une enveloppe chiffrée pour le transport). L’enveloppe occupe de la place que la charge utile aurait pu utiliser, et sceller puis desceller prend du temps de calcul. En temps normal, vous ne le remarquez pas ── mais quand une foule de télétravailleurs converge vers un boîtier VPN vieillissant, la capacité de traitement de l’appareil lui-même devient le goulot d’étranglement. « La mollesse du lundi matin s’est avérée être un embouteillage devant le boîtier VPN » ── cette histoire se termine très souvent ainsi.
5. Quand les registres d’adresses s’épuisent ── DHCP, NAT et numéros de port
Les suspects jusqu’ici relevaient tous du « un point de l’itinéraire est engorgé ». La dernière famille est différente : des registres qui se remplissent ── une lenteur qui survient alors que chaque équipement fonctionne exactement comme prévu.
5-1. Mini-explication : qu’est-ce que DHCP ?
DHCP est le mécanisme qui prête automatiquement une adresse IP à tout appareil rejoignant le réseau. Si votre PC peut communiquer dès qu’il rejoint le Wi-Fi, c’est qu’en coulisses un serveur DHCP lui dit « voici ton adresse ». Le stock d’adresses prêtables (le pool) a un plafond, et chaque prêt a une durée (la période de bail).
Son lien avec la lenteur est simple. À mesure que s’empilent téléphones personnels, équipements de salles de réunion et objets connectés, le pool s’assèche ── et les appareils nouvellement arrivés n’obtiennent plus d’adresse du tout. Le symptôme : des machines qui ne peuvent pas rejoindre le réseau, ou mettent un temps anormal à le faire. Il y a une place pour elles, mais plus d’adresse à leur remettre.
5-2. Mini-explication : qu’est-ce que NAT ? Qu’est-ce qu’un numéro de port ?
NAT est le mécanisme qui permet à toute la foule d’adresses IP privées du bureau de partager une (ou quelques) IP publiques, en traduisant entre les deux mondes. Il est déjà apparu deux fois dans cette série ── comme « l’adresse intérieure vs l’adresse tournée vers l’extérieur » dans l’article sur les adresses IP, et comme le « Mur 1 » dans l’article sur le pare-feu. Ici, concentrons-nous sur l’unique point qui compte pour la lenteur.
Ce point repose sur les numéros de port (les « guichets » numérotés, de 0 à 65535, qui subdivisent une même adresse IP). Un équipement NAT consigne « quelle conversation de quelle machine interne utilise quel port côté extérieur » dans un registre de paires IP + port (la table NAT, ou table de sessions).
5-3. Ce qui arrive quand le registre est plein
Le registre de l'équipement NAT (conceptuel) Conversation interne Guichet côté extérieur 192.168.1.23 : 51344 → 203.0.113.5 : 40001 192.168.1.47 : 50122 → 203.0.113.5 : 40002 192.168.1.88 : 49873 → 203.0.113.5 : 40003 ... ... (Fini. Quand c'est plein ↓ ) Nouvelle conversation ──→ impossible à consigner : n'ouvre pas / lignes anciennes effacées, coupures
Le travail moderne, c’est un seul PC qui tient de quelques dizaines à plusieurs centaines de conversations simultanées (un seul onglet d’application cloud en représente plusieurs). Le registre gonfle du simple fait des effectifs × usage du cloud ── et une fois plein, on obtient « seules les nouvelles connexions échouent », « les connexions de longue durée tombent soudainement » et « une instabilité générale » : une lenteur qui ne ressemble en rien à une panne. Si les ennuis ont commencé juste après une croissance des effectifs ou un déploiement massif d’outils SaaS, cette famille de l’épuisement mérite un examen sérieux.
6. La routine de diagnostic du praticien ── où regarder d’abord
Pour finir, replions toute la carte en une routine d’inspection en 5 étapes. Restez dans le cadre des règles de votre entreprise et de vos propres prérogatives ── sonder les machines d’autrui ou les serveurs d’autres entreprises est strictement hors limites.
- 1Délimiter le périmètreVous seul ? Une équipe ? Toute l’entreprise ? Le périmètre est votre liste de suspects (vous seul → votre matériel ou le Wi-Fi ; une équipe → §3 ; toute l’entreprise → §2, §4, §5).
- 2ping pour la latence et la perteVers un appareil interne et vers un hôte externe. Le temps d’aller-retour (②) et les pertes (③) deviennent ici des chiffres.
- 3Vérifier si seule la résolution de noms est lenteSi nslookup met des secondes à répondre ── ou si seul le premier essai échoue ── §2 est le suspect numéro un.
- 4Comparer les itinérairesPlus rapide VPN coupé ? Réglé en passant au filaire ? L’itinéraire que vous avez retiré (§4, Wi-Fi) est votre coupable.
- 5Corréler avec l’heure de la journéeReproductible en début de journée ou à midi → débit ou épuisement (§5). « Lent à toute heure » → itinéraire ou configuration.
Les étapes 2 et 3 tiennent chacune en une seule ligne.
ping -c 10 192.168.1.1 # vers la passerelle interne : surveiller l'aller-retour et le loss%nslookup example.com # la vitesse (et la réussite) de la résolution de noms elle-mêmeLes chiffres relevés pendant la panne ne disent pas grand-chose seuls. La valeur est dans l’écart avec la normale. Sauvegardez la sortie de ces mêmes commandes un jour où tout va bien ── c’est la pièce de « supervision » au meilleur rendement qu’un praticien puisse mettre en place.
Résumé ── l’essentiel en 4 lignes
- Décomposez « lent » en débit (largeur), latence (aller-retour) et perte (données perdues), et les symptômes se mettent à désigner la couche coupable
- « Seul le premier instant est lent » → DNS. « Une zone est totalement à l’arrêt » → les broadcasts (une boucle). « Tout ralentit sur le VPN » → le détour du tunnel intégral. Symptômes et suspects s’apparient de façon fiable
- Les pools DHCP et les registres NAT se remplissent. Sans la moindre panne, un réseau ralentit du seul fait de la croissance des effectifs et de l’usage du cloud
- Le diagnostic suit périmètre → ping → résolution de noms → itinéraire → heure de la journée. Des notes prises un jour sain sont la meilleure préparation qui soit
Le système d’adressage vit dans Qu’est-ce qu’une adresse IP ?, la résolution de noms dans Qu’est-ce que le DNS ?, et la défense contre le trafic entrant dans Que se passe-t-il sans pare-feu ?. Avec cet article, le tableau complet du « réseau d’entreprise » se relie en une seule carte.
FAQ
Q1. Ajouter des bornes Wi-Fi accélérera-t-il les choses ?
R. Uniquement quand la cause est un Wi-Fi faible ou saturé. Sur la carte de cet article, le sans-fil joue sur le ① débit et la ③ perte. Si le symptôme est « le premier instant est lent » (§2) ou « lent seulement sur le VPN » (§4), aucun nombre de bornes n’y changera rien. Identifiez la couche avec le diagnostic du §6 avant de dépenser.
Q2. Pourquoi tout semble-t-il lent alors que le test de débit est rapide ?
R. Un test de débit mesure surtout le ① débit ── et de surcroît vers le serveur le plus proche et le mieux placé. La ② latence, la ③ perte, l’attente DNS et les détours du VPN n’y laissent presque aucune trace. Le travail quotidien est dominé par « de petits messages faisant des dizaines d’allers-retours » : la latence et la résolution de noms façonnent le ressenti bien plus que le débit.
Q3. Le VPN doit-il rester activé en permanence ?
R. La politique de l’entreprise prime. Structurellement parlant, un tunnel intégral activé en permanence signifie « tout le trafic fait le détour par le bureau, tout le temps » ── une surtaxe de lenteur permanente (§4). En face, les bénéfices de sécurité et de gestion sont réels : c’est un véritable arbitrage vitesse contre contrôle. Si la gêne est forte, la démarche constructive est de demander à l’équipe réseau si le tunnel divisé est envisageable.
Q4. Tout cela arrive-t-il aussi sur un réseau domestique ?
R. En version réduite, oui. Votre box tient elle aussi un registre NAT (§5) et, avec quelques dizaines d’appareils, il peut s’épuiser. Idem pour le pool DHCP. Le problème de broadcast du §3, lui, n’émerge presque jamais avec le parc d’un foyer. Si « seules les visioconférences se hachent, même à la maison », le chemin le plus court est de suspecter la ③ perte ── autrement dit, la qualité du Wi-Fi.
Q5. Quelle est la première brique de supervision qui vaille la peine ?
R. Avant tout outil sérieux : faites ce que dit l’Astuce du §6 et conservez la sortie de ping et nslookup d’un jour sain. Cela ne coûte rien et vous achète la chose la plus précieuse pendant une panne ── l’écart avec la normale. À l’étape suivante, même un montage trivial qui pingue la passerelle à intervalles réguliers et consigne les résultats suffit amplement à établir la corrélation horaire (§5, la famille du débit).
Laisser un commentaire