Title: Diapositive 1
1Fonctionnalités avancées des VLANs
APPERT Fabien BOUVET Adrien CHAVERON
Nicolas - Ingénieurs2000 IR - 3ème
année - Février 2005
Exposé de Nouvelles Technologies Réseaux
2Fonctionnalités avancées des VLANs
Table des matières
- VLAN
- 802.1q
- 802.1s
- 802.1x
3VLAN - Théorie 1/2
Définition Virtual Local Area Network
Utilité Plusieurs réseaux virtuels sur un
même réseau physique
4VLAN - Théorie 2/2
- Notions essentielles
- VLAN par défaut toujours présent
- Technologie en standard sur les switchs actuels
- Configuration au niveau de léquipement
- 3 types de VLAN
- par port ? Niveau 1
- par adresse MAC ? Niveau 2
- par sous-réseau / protocole ? Niveau 3
5VLAN niveau 1
VLAN de niveau 1 ? VLAN par port ? 1 port du
switch dans 1 VLAN ? configurable au niveau de
léquipement ? 90 des VLAN sont des VLAN par
port
6VLAN niveau 2
VLAN de niveau 2 ? VLAN par adresse MAC ? VLAN
en fonction des adresses MAC ? configurable au
niveau de léquipement indépendance de la
localisation de la station difficultés de
poser des règles de filtrages précises
7VLAN niveau 3
VLAN de niveau 3 ? VLAN par sous-réseau ou par
protocole ? VLAN en fonction des adresses IP
sources des datagrammes ou du type de
protocole ? configurable au niveau de
léquipement séparation des flux
dégradation des performances
8VLAN - Démonstration
Situation 1 VLAN DEFAULT
_at_MAC Serveur ?
_at_MAC serveur ? _at_IP
Sniffer
ARP
Adrien
ARP
Serveur
Nicolas
ARP
ARP
ARP
VLAN PAR DEFAUT
9VLAN - Démonstration
Situation 1 VLAN DEFAULT
Ping serveur
Ping ok
Sniffer
ICMP
Adrien
ICMP
Serveur
Nicolas
ICMP
ICMP
VLAN PAR DEFAUT
10VLAN - Démonstration
Situation 2 Serveur dans VLAN A , Adrien
Nicolas dans VLAN DEFAULT
Sniffer
Adrien
vlan ltid_vlangt name ltnom_vlangt
vlan ltid_vlangt untagged ltnportgt
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
11VLAN - Démonstration
Situation 2 Serveur dans VLAN A , Adrien
Nicolas dans VLAN DEFAULT
Ping serveur ? Destination unreachable
_at_MAC Serveur ?
Sniffer
ARP
Adrien
Serveur
Nicolas
ARP
VLAN A
VLAN PAR DEFAUT
12VLAN - Démonstration
Situation 3 Serveur Adrien dans VLAN A ,
Nicolas dans VLAN DEFAULT
Sniffer
Adrien
vlan ltid_vlangt untagged ltnportgt
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
13VLAN - Démonstration
Situation 3 Serveur Adrien dans VLAN A ,
Nicolas dans VLAN DEFAULT
Ping ok
Sniffer
Adrien
Serveur
Nicolas
VLAN A
VLAN PAR DEFAUT
14VLAN - Avantages
- Performances
- Permet à des utilisateurs éloignés
géographiquement de partager des données - Limite la diffusion des broadcasts
- Sécurité
- Séparation des flux entre différents groupes
dutilisateurs
- Finances
- 1 seul équipement pour plusieurs réseaux
15802.1Q - Problématique 1/2
- Notion de vlan au niveau du commutateur
- Mais jusquà présent, aucune notion de vlan au
niveau Ethernet ni à des niveaux supérieurs - Donc comment propager lappartenance à un VLAN
dun commutateur vers un autre ? - Problématique lorsquune trame circule dun
commutateur à un autre, comment identifier son
appartenance à un vlan ?
16802.1Q - Problématique 2/2
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
17802.1Q - Théorie 1/2
- Objectif Transport de plusieurs VLANs sur un
lien unique, par exemple - Commutateurs / Commutateurs
- Commutateurs / Serveurs
- Cela implique donc
- nécessité de définir les mêmes VLANs sur chaque
commutateurs (même VLAN Id) - les trames doivent être taggées lors du transfert
18802.1Q - Théorie 2/3
Tags sur les trames
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
19802.1Q - Théorie 3/3
- Extension du format Ethernet, ajout de 4 octets
- Type 0x8100 pour le protocole 802.1Q
- 802.1Q
- Priority (3 bits)
- CFI (1 bit)
- VID (12 bits)
20802.1Q Démonstration 1
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
21802.1Q Démonstration 2
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
22802.1Q Démonstration 3
vlan ltid_vlangt tagged ltnportgt
Adrien
VLAN A
DEFAULT VLAN
Tag 802.1Q
DEFAULT VLAN
VLAN A
Nicolas
Serveur
23802.1Q - Démonstration 4
Adrien
VLAN A
DEFAULT VLAN
DEFAULT VLAN
VLAN A
Nicolas
Serveur
24802.1Q Démonstration Snif Snif
Adrien
Sniffer
VLAN A
DEFAULT VLAN
Tag 802.1Q
DEFAULT VLAN
VLAN A
Nicolas
Serveur
25802.1s - Introduction
- Architecture réseau des entreprises importantes
- nombreux vlans
- 802.1Q
- redondance de niveau 2 STP
- liens souvent surdimensionnés
- gt avantages des vlans et du STP 802.1s
26802.1s - Théorie
- 802.1s MSTP PVST
- Une instance STP par vlan au lieu dune par
boite - Complexe à mettre en place (au niveau
conception) - Technologie récente, pas encore supportée par
tous les matériels
27802.1s Objectifs / Limitations
- Objectifs
- - Meilleure utilisation des liens
- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue
- Limitations
- - Matériels limités en nombre dinstances
- - Peu de softs snmp savent gérer 802.1s
28802.1s Exemple sans MSTP (1/2)
vlan vert vlan bleu vlan rouge
1/ Configuration VLANs
2/ Configuration 802.1q
3/ Configuration STP
vlan vert vlan bleu vlan rouge
vlan vert vlan bleu vlan rouge
29802.1s Exemple avec MSTP (2/2)
1/ Configuration instances
2/ Configuration mapping
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
3/ Configuration root bridges
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
vlan vert vlan bleu vlan rouge
Instance 1 Instance 2 Instance 3
30802.1x - Introduction
- Permet lélaboration de mécanismes
dauthentification et dautorisation pour laccès
au réseau - Se développe grâce au WiFi
- Norme développée à lorigine pour les VLANs
- gt Attribution dun VLAN en fonction de
lidentification
31802.1x - Architecture
- Avant authentification seul trafic nécessaire
à lauthentification est permis - Après authentification tout trafic
32802.1x - Protocoles
Serveur Radius
Client 802.1x
Switch daccès
- EAP au dessus du réseau local EAPOL (EAP over
LAN) - EAP peut encapsuler plusieurs types de
protocoles dauthentification - MD5
- TLS
- TTLS
- Le commutateur joue le rôle de relais
- Le protocole Radius encapsule les messages EAP
- Le serveur Radius pourra sappuyer soit sur sa
base de donnée interne, - soit sur un annuaire LDAP
33802.1x Démonstration
Adrien
Switch
Serveur FreeRadius
Nicolas
- Le fichier radiusd.conf
- ajouter lauthentification eap
- Le fichier client.conf
- déclarer les switchs qui feront des requêtes vers
le serveur - Le fichier users
- contient les informations de chaque utilisateur
- - login
- - mot de passe
- - vlan affecté
- - etc
Activer lauthentification 802.1x sur le port
23 aaa port-access authenticator 23 aaa
port-access authenticator active Définir le
serveur radius, la clé déchange et le protocole
de communication radius-server host
10.0.0.1 radius-server key clerezo aaa
authentication port-access eap-radius
- Standard sous XP, SP3 sous 2000
- Xsupplicant sous Linux
Vérification des authentifications Switch1
show port-access authenticator
34Ze End ?