Cours3-VLAN-AdminRéseaux (Mode de Compatibilité)

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 36

Administration Des Réseaux

Informatiques

Cours 3 :
Les VLAN
Virtual Local Area Network

R. BENAINI
Plan

Définition VLAN
Types de VLAN
Interconnexion inter-VLAN
Exemple d’application
Définition VLAN
Un VLAN est un réseau local virtuel

L’emplacement géographique des éléments du VLAN


peut être quelconque, ce qui implique d’émuler un
réseau local, même si l’ensemble des clients est réparti
géographiquement sur plusieurs commutateurs

Un VLAN est doté de mécanismes assurant la diffusion


sélective des informations (Le standard 802.1q)

Notions de base:

• VLAN par défaut toujours présent (VLAN1)

• Technologie en standard sur les switchs


actuels

• Configuration au niveau de l’équipement


Organisation Réseau sans VLANs
Organisation Réseau avec VLANs
sur un seul commutateur

Les VLANs segmentent les réseaux


commutés de manière logique :
Sur la base des fonctions,
Des équipes de projet
Des applications de l’entreprise,
Etc.
Organisation Réseau avec VLANs
sur plusieurs commutateurs
Exemple des VLANs sur plusieurs
commutateurs
Differences entre LAN commuté et VLANs

Les VLANs permettent de controler les broadcast

Le dialogue inter-VLAN est assurée par les routeurs

Les VLANs augmentent la securité

Les VLANS regroupent les utilisateurs de manière


logique (workgroup)
Types de VLANs

Définitions par …

Numéro de port physique sur commutateur


(niveau 1)

Adresse MAC utilisée (niveau 2)

Adresse IP (adresse de niveau 3)

Par type de Protocole Réseau (niveau 3)


VLAN : Par numéro de port
Avantage :
performant en temps de traitement.

Inconvénient :
reconfigurer le VLAN en cas de changement de port pour un hôte.
Port 1.2

Switch 1 Port 1.1

Port 2.1

Port 1.3

Switch 2 Port 2.2

Switch 3 Port 2.4

Port 3.1 Port 2.3

Port 3.2 Port 3.2


VLAN : Par adresse MAC
Avantages :
indépendance de la localisation de la station
le déplacement d’un utilisateur entraîne une redéfinition
dynamique de la topologie du VLAN.

Inconvénient :
020701A3AD9F
La convergence Peut demander du temps

0321E487FAB3
Switch 1

O532FB0986FF

020765AB76FA
Switch 2

0E34569DF109

0564FA010367
Switch 3 02070123D9E4
045FB39983B2

09B64382B1F6 0A5581D9E456
VLAN : Par sous-réseaux IP
Avantages :
Permet la même souplesse que la solution à base de MAC

Inconvénient :
Utilise des équivalents de tables de routages mais sans protocole
192.168.1.64 de routage (OSPF ou RIP).

Switch 1 192.168.1.128

192.168.1.64

192.168.1.128

192.168.1.192
192.168.1.64 Switch 2

Switch 3 192.168.1.192

192.168.1.192

192.168.1.128
192.168.1.64
Vlan : par protocol
Du fait de l’hégémonie du protocole IP, cette solution tend
à disparaître.

IP

IPX
Switch 1

IP

IP

IPX
Switch 2
IP

Switch 3 IP
IPX

IPX

IP
VLAN - Démonstration
Situation 1 : VLAN par défaut

@MAC serveur @IP


@MAC Serveur ?
ARP Sniffer
A

ARP
Serveur N

ARP ARP ARP

VLAN PAR DEFAUT (VLAN1)


VLAN - Démonstration
Situation 1 : Serveur dans VLAN « 1 » , A & N dans VLAN DEFAULT

Sniffer
A

# vlan <id_vlan> name <nom_vlan>


Serveur N

VLAN 2 VLAN PAR DEFAUT (VLAN1)


VLAN - Démonstration
Situation 2 : Serveur dans VLAN « 1 » , A & N dans VLAN DEFAULT
Ping Serveur
@MAC Serveur ?
Destination unreachable
ARP Sniffer
A

Serveur N

ARP

VLAN 2 VLAN PAR DEFAUT (VLAN1)


VLAN - Démonstration
Situation 3 : Serveur & A dans VLAN « 1 » , N dans VLAN DEFAULT

Ping ok
Sniffer
A

Serveur N

VLAN 2 VLAN PAR DEFAUT (VLAN1)


Communication inter-VLAN

comment propager l’appartenance à un VLAN d’un


commutateur vers un autre ?

Problématique : lorsqu’une trame circule d’un commutateur à un


autre, comment identifier son appartenance à un vlan ?

2 techniques:
• Filtrage de trames (vieille technologie)
•‘Frame tagging’ (nouvelle méthode)
Filtrage de trames
(ancienne méthode)

• Utilise une table de filtrage


basée sur:
▫ l’adresse physique
(MAC) de la couche 2
▫ l’adresse logique (IP) de
la couche 3
▫ le type d’application

• Une table de filtrage par commutateur


• Échange des tables de filtrage entre les commutateurs
• Le commutateur prend l’action appropriée
Identification de trames (Frame tagging : 802.1 Q )
(nouvelle méthode)

Place un identificateur unique dans l’en-tête de trame

L’identificateur est retiré par le commutateur lorsqu’il


arrive au segment final (horizontal)

Utilise moins de ressources que le filtrage


Étiquette VLAN 802.1Q
• Extension du format Ethernet, ajout de 4 octets

• Type : « 0x8100 » pour le protocole 802.1Q


• 802.1Q :
Priority (3 bits)
CFI (1 bit) : utilisé seulement dans le cas de token ring
VID (12 bits) : VLAN ID
Qualité de service : 802.1p

Utilise trois premiers bits du champ de 4 octets (type) pour


la définition potentielle de 8 niveaux de priorités.

Non géré par les stations d’extrémité et pas gérés par tous
les commutateurs du marché.

Dans les faits, peu exploité …

La préférence va au champ ToS d’IPV4 et V6 (QoS Diffserv)


802.1Q – Démonstration

un extrait de capture, réalisée avec Wireshark, qui illustre les champs


de la balise IEEE 802.1Q.
802.1Q – Démonstration
802.1Q – Exemple
Trame Ethernet

PVID=20

Commutateur

PVID = 20
Port access Port trunk

Trame Ethernet VID =20 Trame Ethernet

Tag: champs 802.1q


802.1Q – Exemple
Tag: champs 802.1q

VID =20 Trame Ethernet


Port trunk

Commutateur

PVID= 20 Port untagged VLAN 20 autorisé, Port trunk

Trame Ethernet VID =20 Trame Ethernet

Tag: champs 802.1q


Communication inter-VLAN via un routeur
Overlapping VLANs

Un port peut
appartenir à plus
VLAN
Administratif +
Etudiant
d’un VLAN à la fois
VLAN Etudiant (E) VLAN Etudiant (E)

Nombre limité de
configurations
Serveur
étudiant

Serveur
administratif Problème de
sécurité physique

Étudiant Professeur Professeur Étudiant


Configuration de VLAN: Membership
Mode
1. Static access : A static-access port can belong to one VLAN
and is manually assigned. By default, all ports are static-access
ports assigned to VLAN 1.

2. Multi-VLAN : A multi-VLAN port can belong to up to 250


VLANs (some models only support 64 VLANs) and is manually
assigned. You cannot configure a multi-VLAN port when a trunk
is configured on the switch.

3. Trunk : Ex: ISL or 802.1q. A trunk is a member of all VLANs


in the VLAN database by default, but membership can be limited
by configuring the allowed-VLAN list.

config-if# switchport mode xxxxx (access, multi ou trunk)


Configuration de VLAN

Command Purpose

Step 1 Router# vlan Enter VLAN configuration mode.


database

Step 2 Router(vlan)# vlan Add an Ethernet VLAN.


vlan_id

Step 3 Router(vlan)# exit Update the VLAN database, propagate it throughout the
administrative domain, and return to privileged EXEC mode.

Step 4 Router# show vlan Verify the VLAN configuration.


name vlan_name
Exemple de Création d’un VLAN

Pour ajouter un VLAN à un commutateur,


entrez les commandes:

Switch#vlan database
Switch(vlan)# vlan 3
VLAN 3 added: Name: VLAN0003

Pour enlever un VLAN entièrement d'un


commutateur, entrez les commandes:

Switch#vlan database
Switch(vlan)#no vlan 3
Affectation des ports à un VLAN
Verification de la Configuration VLAN
Question ?

1. Peut-on associer une trame à plusieurs Vlan ?

2. Cela implique-t-il qu’un port de commutateur ne doit être


associée qu’à un seul Vlan ?

3. La carte réseau d’un poste peut-elle être associée à


plusieurs Vlan ?
Réponse

Peut-on associer une trame à plusieurs Vlan ?


Non. En effet une trame associée à un VLAN quelle que soit la méthode
d’association ne peut être adressée qu’a une carte réseau associée à ce VLAN.
l’entête 802.1Q n’admet qu’un seul identifiant VLAN (VID) pour une trame

Cela implique-t-il qu’un port de commutateur ne doit être associée qu’à un


seul Vlan ?
s’il n’est associé qu’à un seul Vlan comment répartir un Vlan sur plusieurs
commutateurs, car les ports d’interconnexion doivent pouvoir faire transiter des
trames en provenance de différents Vlan ? Mais si une trame non étiquetée
arrive sur ce port il doit pouvoir l’associer sans ambiguïté avec un VID. Dans la
pratique les ports seront affectés à un seul Vlan et les ports d’interconnexion
entre commutateurs à plusieurs Vlan.

La carte réseau d’un poste peut-elle être associée à plusieurs Vlan ?


Si oui comment savoir à quel Vlan appartient une trame émise par une telle carte
réseau ? Si non comment partager l’accès à des ressources communes entre
différentes Vlan ? Une réponse serait des Vlan de niveau 3
Résumé

Vous aimerez peut-être aussi