Diapositive 1 - PowerPoint PPT Presentation

About This Presentation
Title:

Diapositive 1

Description:

D finition : Virtual Local Area Network. Utilit : Plusieurs r seaux virtuels sur un m me ... standard sur les switchs actuels. Configuration au niveau de ... – PowerPoint PPT presentation

Number of Views:56
Avg rating:3.0/5.0
Slides: 35
Provided by: diam
Category:

less

Transcript and Presenter's Notes

Title: Diapositive 1


1
Fonctionnalités avancées des VLANs
APPERT Fabien BOUVET Adrien CHAVERON
Nicolas - Ingénieurs2000 IR - 3ème
année - Février 2005
Exposé de Nouvelles Technologies Réseaux
2
Fonctionnalités avancées des VLANs
Table des matières
  • VLAN
  • 802.1q
  • 802.1s
  • 802.1x

3
VLAN - Théorie 1/2
Définition Virtual Local Area Network
Utilité Plusieurs réseaux virtuels sur un
même réseau physique
4
VLAN - Théorie 2/2
  • Notions essentielles
  • VLAN par défaut toujours présent
  • Technologie en standard sur les switchs actuels
  • Configuration au niveau de léquipement
  • 3 types de VLAN
  • par port ? Niveau 1
  • par adresse MAC ? Niveau 2
  • par sous-réseau / protocole ? Niveau 3

5
VLAN niveau 1
VLAN de niveau 1 ? VLAN par port ? 1 port du
switch dans 1 VLAN ? configurable au niveau de
léquipement ? 90 des VLAN sont des VLAN par
port
6
VLAN niveau 2
VLAN de niveau 2 ? VLAN par adresse MAC ? VLAN
en fonction des adresses MAC ? configurable au
niveau de léquipement indépendance de la
localisation de la station difficultés de
poser des règles de filtrages précises
7
VLAN niveau 3
VLAN de niveau 3 ? VLAN par sous-réseau ou par
protocole ? VLAN en fonction des adresses IP
sources des datagrammes ou du type de
protocole ? configurable au niveau de
léquipement séparation des flux
dégradation des performances
8
VLAN - Démonstration
Situation 1 VLAN DEFAULT
_at_MAC Serveur ?
_at_MAC serveur ? _at_IP
Sniffer
ARP
Adrien
ARP
Serveur
Nicolas
ARP
ARP
ARP
VLAN PAR DEFAUT
9
VLAN - Démonstration
Situation 1 VLAN DEFAULT
Ping serveur
Ping ok
Sniffer
ICMP
Adrien
ICMP
Serveur
Nicolas
ICMP
ICMP
VLAN PAR DEFAUT
10
VLAN - Démonstration
Situation 2 Serveur dans VLAN A , Adrien
Nicolas dans VLAN DEFAULT
Sniffer
Adrien
vlan ltid_vlangt name ltnom_vlangt
vlan ltid_vlangt untagged ltnportgt
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
11
VLAN - Démonstration
Situation 2 Serveur dans VLAN A , Adrien
Nicolas dans VLAN DEFAULT
Ping serveur ? Destination unreachable
_at_MAC Serveur ?
Sniffer
ARP
Adrien
Serveur
Nicolas
ARP
VLAN A
VLAN PAR DEFAUT
12
VLAN - Démonstration
Situation 3 Serveur Adrien dans VLAN A ,
Nicolas dans VLAN DEFAULT
Sniffer
Adrien
vlan ltid_vlangt untagged ltnportgt
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
13
VLAN - Démonstration
Situation 3 Serveur Adrien dans VLAN A ,
Nicolas dans VLAN DEFAULT
Ping ok
Sniffer
Adrien
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
14
VLAN - Avantages
  • Performances
  • Permet à des utilisateurs éloignés
    géographiquement de partager des données
  • Limite la diffusion des broadcasts
  • Sécurité
  • Séparation des flux entre différents groupes
    dutilisateurs
  • Finances
  • 1 seul équipement pour plusieurs réseaux

15
802.1Q - Problématique 1/2
  • Notion de vlan au niveau du commutateur
  • Mais jusquà présent, aucune notion de vlan au
    niveau Ethernet ni à des niveaux supérieurs
  • Donc comment propager lappartenance à un VLAN
    dun commutateur vers un autre ?
  • Problématique lorsquune trame circule dun
    commutateur à un autre, comment identifier son
    appartenance à un vlan ?

16
802.1Q - Problématique 2/2
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
17
802.1Q - Théorie 1/2
  • Objectif Transport de plusieurs VLANs sur un
    lien unique, par exemple
  • Commutateurs / Commutateurs
  • Commutateurs / Serveurs
  • Cela implique donc
  • nécessité de définir les mêmes VLANs sur chaque
    commutateurs (même VLAN Id)
  • les trames doivent être taggées lors du transfert

18
802.1Q - Théorie 2/3
Tags sur les trames
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
19
802.1Q - Théorie 3/3
  • Extension du format Ethernet, ajout de 4 octets
  • Type  0x8100  pour le protocole 802.1Q
  • 802.1Q
  • Priority (3 bits)
  • CFI (1 bit)
  • VID (12 bits)

20
802.1Q Démonstration 1
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
21
802.1Q Démonstration 2
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
22
802.1Q Démonstration 3
vlan ltid_vlangt tagged ltnportgt
Adrien
VLAN A
DEFAULT VLAN
Tag 802.1Q
DEFAULT VLAN
VLAN A
Nicolas
Serveur
23
802.1Q - Démonstration 4
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
24
802.1Q Démonstration Snif Snif
Adrien
Sniffer
VLAN A
DEFAULT VLAN
Tag 802.1Q
DEFAULT VLAN
VLAN A
Nicolas
Serveur
25
802.1s - Introduction
  • Architecture réseau des entreprises importantes
  • nombreux vlans
  • 802.1Q
  • redondance de niveau 2 STP
  • liens souvent surdimensionnés
  • gt avantages des vlans et du STP  802.1s

26
802.1s - Théorie
  • 802.1s MSTP PVST
  • Une instance STP par vlan au lieu dune par
    boite
  • Complexe à mettre en place (au niveau
    conception)
  • Technologie récente, pas encore supportée par
    tous les matériels

27
802.1s Objectifs / Limitations
  • Objectifs 
  • - Meilleure utilisation des liens
  • Temps de convergence de 3 secondes
  • Redondance de niveau 2 accrue
  • Limitations 
  • - Matériels limités en nombre dinstances
  • - Peu de softs snmp savent gérer 802.1s

28
802.1s Exemple sans MSTP (1/2)
vlan vert vlan bleu vlan rouge
1/ Configuration VLANs
2/ Configuration 802.1q
3/ Configuration STP
vlan vert vlan bleu vlan rouge
vlan vert vlan bleu vlan rouge
29
802.1s Exemple avec MSTP (2/2)
1/ Configuration instances
2/ Configuration mapping
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
3/ Configuration root bridges
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
30
802.1x - Introduction
  • Permet lélaboration de mécanismes
    dauthentification et dautorisation pour laccès
    au réseau
  • Se développe grâce au WiFi
  • Norme développée à lorigine pour les VLANs
  • gt Attribution dun VLAN en fonction de
    lidentification

31
802.1x - Architecture
  • Avant authentification seul trafic nécessaire
    à lauthentification est permis
  • Après authentification tout trafic

32
802.1x - Protocoles
Serveur Radius
Client 802.1x
Switch daccès
  • EAP au dessus du réseau local EAPOL (EAP over
    LAN)
  • EAP peut encapsuler plusieurs types de
    protocoles dauthentification 
  • MD5
  • TLS
  • TTLS
  • Le commutateur joue le rôle de relais
  • Le protocole Radius encapsule les messages EAP
  • Le serveur Radius pourra sappuyer soit sur sa
    base de donnée interne,
  • soit sur un annuaire LDAP

33
802.1x Démonstration
Adrien
Switch
Serveur FreeRadius
Nicolas
  • Le fichier radiusd.conf
  • ajouter lauthentification eap
  • Le fichier client.conf
  • déclarer les switchs qui feront des requêtes vers
    le serveur
  • Le fichier users
  • contient les informations de chaque utilisateur
  • - login
  • - mot de passe
  • - vlan affecté
  • - etc

Activer lauthentification 802.1x sur le port
23 aaa port-access authenticator 23 aaa
port-access authenticator active Définir le
serveur radius, la clé déchange et le protocole
de communication radius-server host
10.0.0.1 radius-server key clerezo aaa
authentication port-access eap-radius
  • Standard sous XP, SP3 sous 2000
  • Xsupplicant sous Linux

Vérification des authentifications Switch1
show port-access authenticator
34
Ze End ?
Write a Comment
User Comments (0)
About PowerShow.com