VLAN

Télécharger au format ppt, pdf ou txt
Télécharger au format ppt, pdf ou txt
Vous êtes sur la page 1sur 34

Fonctionnalits

avances des VLANs


APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
Ingnieurs2000
IR - 3me anne
Fvrier 2005

Expos de Nouvelles Technologies Rseaux

Fonctionnalits avances des VLANs


Table des matires

VLAN
802.1q
802.1s
802.1x

VLAN - Thorie 1/2

Dfinition :

Virtual Local Area Network

Utilit : Plusieurs rseaux virtuels sur un mme rseau physique

VLAN A

VLAN B

LAN A

LAN B

VLAN - Thorie 2/2

Notions essentielles :
VLAN par dfaut toujours prsent
Technologie en standard sur les switchs actuels
Configuration au niveau de lquipement
3 types de VLAN :
par port Niveau 1
par adresse MAC Niveau 2
par sous-rseau / protocole Niveau 3
4

VLAN niveau 1

VLAN de niveau 1 VLAN par port


1 port du switch dans 1 VLAN
configurable au niveau de lquipement
90% des VLAN sont des VLAN par port

VLAN PAR DEFAUT


VLAN A

VLAN B

VLAN niveau 2

VLAN de niveau 2 VLAN par adresse MAC


VLAN en fonction des adresses MAC
configurable au niveau de lquipement

+ indpendance de la localisation de la station


- difficults de poser des rgles de filtrages prcises

VLAN niveau 3

VLAN de niveau 3 VLAN par sous-rseau ou par protocole


VLAN en fonction des adresses IP sources des datagrammes
ou du type de protocole
configurable au niveau de lquipement

sparation des flux

dgradation des performances

VLAN - Dmonstration
Situation 1 : VLAN DEFAULT

@MAC serveur
Serveur
? @IP
ARP

Sniffer

Adrien

ARP
Serveur

Nicolas

ARP

ARP

ARP

VLAN PAR DEFAUT


8

VLAN - Dmonstration
Situation 1 : VLAN DEFAULT

Ping serveur
ok
ICMP

Adrien

Sniffer

ICMP
Serveur

Nicolas

ICMP

ICMP

VLAN PAR DEFAUT


9

VLAN - Dmonstration
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

Adrien

Serveur

# vlan <id_vlan> name <nom_vlan>


# vlan <id_vlan> untagged <nport>

VLAN A

Sniffer

Nicolas

VLAN PAR DEFAUT


10

VLAN - Dmonstration
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

ARP

Adrien

Ping serveur :
@MAC Serveur ?
Destination unreachable
Sniffer

Serveur

Nicolas

ARP

VLAN A

VLAN PAR DEFAUT


11

VLAN - Dmonstration
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

Adrien

Serveur

# vlan <id_vlan> untagged <nport>

VLAN A

Sniffer

Nicolas

VLAN PAR DEFAUT


12

VLAN - Dmonstration
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

Ping ok
Adrien

Serveur

Sniffer

Nicolas

VLAN A

VLAN PAR DEFAUT


13

VLAN - Avantages

Performances :
Permet des utilisateurs loigns gographiquement de
partager des donnes
Limite la diffusion des broadcasts

Scurit :
Sparation des flux entre diffrents groupes dutilisateurs

Finances :
1 seul quipement pour plusieurs rseaux
14

802.1Q - Problmatique 1/2

Notion de vlan au niveau du commutateur


Mais jusqu prsent, aucune notion de vlan au niveau
Ethernet ni des niveaux suprieurs
Donc comment propager lappartenance un VLAN dun
commutateur vers un autre ?
Problmatique : lorsquune trame circule dun commutateur un
autre, comment identifier son appartenance un vlan ?

15

802.1Q - Problmatique 2/2

DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

16

802.1Q - Thorie 1/2

Objectif : Transport de plusieurs VLANs sur un lien unique,


par exemple :
Commutateurs / Commutateurs
Commutateurs / Serveurs

Cela implique donc :


ncessit de dfinir les mmes VLANs sur chaque
commutateurs (mme VLAN Id)
les trames doivent tre tagges lors du transfert

17

802.1Q - Thorie 2/3


Tags sur les trames

DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

VLAN A

18

802.1Q - Thorie 3/3


Extension du format Ethernet, ajout de 4 octets

Type : 0x8100 pour le protocole 802.1Q


802.1Q :
Priority (3 bits)
CFI (1 bit)
VID (12 bits)

19

802.1Q Dmonstration 1

Adrien
DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

Nicolas

Serveur

20

802.1Q Dmonstration 2

Adrien
DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

Nicolas

Serveur

21

802.1Q Dmonstration 3
# vlan <id_vlan> tagged <nport>

Adrien
DEFAULT VLAN

VLAN A

Tag 802.1Q
DEFAULT VLAN

Nicolas

VLAN A

Serveur

22

802.1Q - Dmonstration 4

Adrien
DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

Nicolas

Serveur

23

802.1Q Dmonstration Snif Snif

Adrien
Sniffer
DEFAULT VLAN

VLAN A

Tag 802.1Q
Nicolas

DEFAULT VLAN

VLAN A

Serveur

24

802.1s - Introduction

Architecture rseau des entreprises importantes :

nombreux vlans
802.1Q
redondance de niveau 2 : STP
liens souvent surdimensionns

=> avantages des vlans et du STP : 802.1s

25

802.1s - Thorie

802.1s = MSTP = PVST


Une instance STP par vlan au lieu dune par boite
Complexe mettre en place (au niveau conception)
Technologie rcente, pas encore supporte par tous les
matriels

26

802.1s Objectifs / Limitations

Objectifs :
- Meilleure utilisation des liens
- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue

Limitations :
- Matriels limits en nombre dinstances
- Peu de softs snmp savent grer 802.1s

27

802.1s Exemple sans MSTP (1/2)

1/ Configuration VLANs
2/ Configuration 802.1q

vlan vert
vlan bleu
vlan rouge

3/ Configuration STP

vlan vert
vlan bleu
vlan rouge

vlan vert
vlan bleu
vlan rouge
28

802.1s Exemple avec MSTP (2/2)


1/ Configuration instances
2/ Configuration mapping
3/ Configuration root bridges

R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge

R
R

Instance #1 : vlan vert


Instance #2 : vlan bleu
Instance #3 : vlan rouge

Instance #1 : vlan vert


Instance #2 : vlan bleu
Instance #3 : vlan rouge

29

802.1x - Introduction

Permet llaboration de mcanismes dauthentification et


dautorisation pour laccs au rseau
Se dveloppe grce au WiFi
Norme dveloppe lorigine pour les VLANs
=> Attribution dun VLAN en fonction de lidentification

30

802.1x - Architecture

Client 802.1x

Supplicant

Serveur
Switch daccs

Authenticator

Authentication Server

Avant authentification : seul trafic ncessaire lauthentification est permis


Aprs authentification : tout trafic
31

802.1x - Protocoles

Client 802.1x

Serveur Radius
Switch daccs

EAPoL

Radius

EAP au dessus du rseau local : EAPOL (EAP over LAN)


EAP peut encapsuler plusieurs types de protocoles dauthentification :
MD5
TLS
TTLS
Le commutateur joue le rle de relais
Le protocole Radius encapsule les messages EAP
Le serveur Radius pourra sappuyer soit sur sa base de donne interne,
soit sur un annuaire LDAP
32

802.1x Dmonstration
Adrien
Serveur FreeRadius

Switch

Nicolas

Le fichier
radiusd.conf
Activer
lauthentification
802.1x sur le port 23
ajouter
lauthentification
eap
aaa port-access authenticator 23
Standard sous XP, SP3 sous 2000
aaa port-access authenticator active
Xsupplicant sous Linux
Le fichier
client.conf
Dfinir
le serveur
radius,
la cl dchange
et le
Vrification
des
authentifications

dclarer
les
feront des
vers le serveur
protocole
de switchs
communication
requtes
Switch1#
showqui
port-access
authenticator
radius-server host 10.0.0.1
Le fichier users
radius-server
key clerezo
les informations
de chaque utilisateur
aaa contient
authentication
port-access
eap-radius
- login
- mot de passe
- vlan affect
33
- etc

Ze End

34

Vous aimerez peut-être aussi