Les rseaux locaux virtuels ( V la n )

1. LE CONCEPT DES RESEAUX PRIVES VIRTUELS (VLAN) : ............................................ 2 1.1 1.2 PRESENTATION : ................................................................................................................... 2 VLAN ET MODELE OSI : ........................................................................................................ 2

2. LES RESEAUX LOCAUX VIRTUELS DE NIVEAU 1 ET 2 : ................................................ 3 2.1 2.2 2.3 2.4 VLAN STATIQUES OU VLAN DE NIVEAU 1 : ............................................................................ 3 VLAN DYNAMIQUES OU VLAN DE NIVEAU 2 : ........................................................................ 5 AGREGATION DE VLAN OU TRUNKING : ................................................................................ 6 LE RESEAU DADMINISTRATION : .......................................................................................... 8

3. LE ROUTAGE ENTRE VLAN :.................................................................................................. 9 3.1 3.2 3.3 3.4 QUELLE EST LA PROBLEMATIQUE ? ....................................................................................... 9 ROUTAGE DES VLAN AVEC UN ROUTEUR OU VLAN DE NIVEAU 3 : ......................................... 9 LES COMMUTATEURS DE NIVEAU 3: .................................................................................... 10 LISTES DACCES DE CONTROLE DACCES : ........................................................................... 12

4. LES PROTOCOLES VRRP OU HSRP : .................................................................................. 13 4.1 4.2 4.3 4.4 4.5 4.6 ETATS DES LIEUX DANS LES RESEAUX ? .............................................................................. 13 PRESENTATION DES PROTOCOLES : ..................................................................................... 14 FONCTIONNEMENT : ............................................................................................................ 15 REPARTITION DE CHARGE : ................................................................................................. 15 PARAMETRAGE HSRP :....................................................................................................... 16 STRUCTURE DES PAQUETS HSRP : ...................................................................................... 16

5. EN RESUME :.............................................................................................................................. 17

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

1. Le concept des rseaux privs virtuels (vlan) :

1.1 Prsentation :

LAN 1

LAN 2

LAN 3

Segmentation traditionnelle : Constat : topologie physique et topologie logique sont troitement lies, c'est-dire que les postes informatiques sont regroups vers un seul et mme quipement. Ide : rajouter de linformatique de telle sorte obtenir des topologies physique et logique indpendantes tout en conservant des domaines de broadcast suffisamment petits afin de garantir la bande passante. _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ De plus les VLAN participent lutilisation efficace de la bande passante, car ils partagent le mme domaine de broadcast.
Rseau Acheminement des paquets
Liaison de donnes

Segmentation avec des Vlans : -

1.2

Vlan et modle OSI :

Le transport des donnes est surtout grer par les 3 couches basses du modles OSI. Lexprience a montr que la mise en uvre des rseaux privs virtuels doit tre faite travers ces 3 niveaux du modle.

Physique

On parle ___________________________________
J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc -2-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

2. Les rseaux Locaux Virtuels de niveau 1 et 2 :

2.1 Vlan statiques ou vlan de niveau 1 : 2.1.1 Principe

Matrice de commutation
Port 1 VLAN A Port 2 Port 3 VLAN B Port 4 Port n

Chaque ports du commutateur sont attribus un LAN virtuel diffrent et partagent les broadcast.

Les Vlan statiques sont ____________________________________________________ 2.1.2 Fonctionnement :

Liste des ports affects au vlan D-PU-405

On construit une table des rseaux privs virtuels qui sera alors consulte par le commutateur durant son fonctionnement.
J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc -3-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

Que fait alors le commutateur lorsquil reoit une trame sur un de ses ports ? Avantages : Les Vlan limitent les flux de trafic aux ports des membres du Vlan, Scurit : chaque groupe dutilisateur est isol et facile surveiller, Rduction du domaine de broadcast (limitation des broadcast), Ce principe est le plus utilis. Bien que lon puisse administrer distance cela ncessite un brassage et un reprage des ports sur commutateur (statique).

Inconvnients :

La mise en uvre et les tests des vlans statiques sont abords durant le TP. 2.1.3 Autre exemple dune table :

Le nom du vlan est renseigner pour faciliter ladministration

Toujours un vlan par dfaut Affectation dun identificateur VID: Vlan Identifier

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

-4-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

Exemple de configuration chez Cisco :

Deux tapes: 1. Cration des vlans

En entrant dans la

Switch# vlan database Switch(vlan)#vlan <ViD:numro du vlan> Switch(vlan)#vlan <ViD> name <nom administratif>

It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Comme dit plus haut ce mode est plus appropri daprs base des Vlans: Cisco

En mode de configuration globale:

Switch#conf t Switch(config)#vlan <ViD:numro du vlan> Switch(config-vlan)#name <nom administratif>

2. Affectation des interfaces

Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan <ViD>
Vlan statique et de Niveau 1

Mode daffectation

2.2

Vlan dynamiques ou vlan de niveau 2 :

Appartenance par adresse MAC

Base de donnes
Vlan 1
00-B0-c2-17-f3-bf 00-07-cb-17-d4-c2 00-07-c3-24-53-b2

Vlan 2
00-07-1A-17-f3-ff

LAN 1

00-20-cb-57-d4-ba 00-04-76-24-53-b6

LAN 2

_________________________________________________________________________ _________________________________________________________________________ ___________ Quand un appareil arrive sur un rseau, le commutateur auquel il est connect questionne une base de donnes sur le serveur de configuration de VLAN pour dterminer son appartenance un VLAN.
J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc -5-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

Avantages : Inconvnients : 2.3 Base de donnes maintenir, Charges supplmentaires sur les commutateurs et le rseau lors des changes dinformations. Pas de brassage et changement dynamiques, Notification en cas dutilisateur non reconnu,

Agrgation de Vlan ou trunking : 2.3.1 Principe :

Vlan A

Vlan A
Commutateur 1

Vlan B

Vlan A Vlan B

Commutateur 2

Commutateur 3

Vlan A

Vlan B

Vlan A

Vlan B

Trame IEEE802.1q : Etiquette dans la trame Ethernet Adresse destinataire Adresse source Etiquette ou tag 4 octets Type Donnes ..

L'apparition de l'agrgation (trunking) remonte aux origines des technologies radio et de tlphonie. Dans les technologies radio, une agrgation est une ligne de communication simple qui transporte plusieurs canaux de signaux radio. Pour les rseaux locaux, une agrgation est une connexion physique et logique entre deux commutateurs par lesquels le trafic rseau est achemin. Cela consiste mettre en uvre un marquage dans la trame Ethernet. Le standard IEEE 802.1P/Q dfinit la manire dinscrire une tiquette dans la trame Ethernet de manire reconnatre lappartenance de celle-ci un rseau local virtuel au niveau du port dun commutateur.

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

-6-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

2.3.1 Structure de la trame : Champ Fonction

Utiliss pour identifier le protocole de la balise insre. Dans le cas de la

Tag protocol identifier, balise 802.1Q la valeur de ce champ est fixe 0x8100. TPID, EtherType : 12 bits Priority : 3 bits

Ce champ fait rfrence au standard IEEE 802.1P. Sur 3 bits on peut coder 8 niveaux de priorits de 0 7. La notion de priorit dans les VLANs est sans rapport avec les mcanismes de priorit IP. Ces 8 niveaux sont utiliss pour fixer une priorit aux trames d'un VLAN relativement aux autres VLANs. Ce champ assure la compatibilit entre les adresses MAC Ethernet et Token Ring. Un commutateur Ethernet fixera toujours cette valeur 0. Si un port Ethernet reoit une valeur 1 pour ce champ, alors la trame ne sera pas propage puisqu'elle est destine un port sans balise (untagged port). Identifier le rseau local virtuel auquel appartient la trame.

Canonical Format Identifier : 1 bit

VLAN Identifier, vlan id, VID : 12 bits

2.3.1 Mise en uvre :

802.1Q

Commutateur

Vlan A

Vlan B

Quelque soit lquipement et son systme dexploitation : 1 : Il faut activer le mode, 2 : Affecter un port commun 3 : Annoncer les vlans transports par le port commum. Attention : Le port du commutateur sur lequel est effectu lagrgation devient alors un port partag sur tous les vlan mais il ne transporte aucun Vlan tant que ltape 3 nest pas effectue.

Chez Cisco :
Switch(config)#interface fa <num_int> Switch(config-if)#description <lien vers....> Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan <ViD>

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

-7-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

Chez un autre par exemple:

1: Activation du mode

2: Affectation du port partag (T)

3: Vlans transports ; par le port

La mise en uvre et les tests de lagrgation de port sont abords durant le TP. 2.4 Le rseau dadministration :

Un rseau dadministration est cre afin deffectuer des oprations de maintenance ou de surveillance sur linfrastructure de rseau. Il suffit ensuite de disposer dune station de supervision et dadministration.

C3

405

401

405

402

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

-8-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

3. Le routage entre Vlan :

3.1 Quelle est la problmatique ?

Par le principe mise en uvre nous navons aucune communication possible entre les vlan : Petit souci car dans un rseau nous avons des ressources commune entre les utilisateurs : accs internet, des serveurs ...

Srv
Vlan A ? Vlan B

Cela reste une solution dappoint car la communication entre Vlan reste impossible. Cest encore moins pratique pour les gros rseaux comme les rseaux de Campus. 3.2 La solution ? o Routage des Vlan avec un routeur ou vlan de niveau 3 :

Vlan A

Vlan A

Vlan B

Vlan C

Vlan A

Vlan B

Vlan C

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

-9-

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

Attention tous les routeurs ne prennent pas en charge le standard IEEE 802.1Q. Avec les routeurs Cisco il faut tre muni au minimum de la version 12.X et avoir suffisamment de mmoire vive ! On ralise alors des Vlan axs sur le protocole IP ou le sous rseau ou ladressage que lon appelle aussi Vlan de Niveau 3. Exemple de configuration avec un routeur Cisco :

Vl a nC
Fa 0/0.1

Vlan A
nB a l V
router#conf t router(config)#interface FaEthernet 0/0 router(config-if)#no shutdown router(config-subif)# router(config-subif)#description vlan A TAG 10 router(config-subif)#

Fa 0/0.2 Fa 0/0.3

router(config-subif)#ip address <adresse_IP> <mask> router(config-subif)#end ... router#

3.3

Les commutateurs de Niveau 3:

La solution dassocier un routeur logiciel ou matriel linfrastructure reste chre et lente. Actuellement la solution est le mise en place des commutateurs de N3. Issus de la technologie des routeurs, Le routage est effectu par des Asics ddis, Limitent les broadcasts aux sous-rseaux constitus (Vlan), Acclrent le routage IP entre les sous-rseaux, Assurent la commutation Niveau 2 pour les autres protocoles, Assurent la conversion 10/100/1000 Mbps,

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 10 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

3.3.1 Cas N 1 : Solution propritaire

Une table interne associe : les adresses IP + les adresses Mac + le port concern, Une trame entrante dclenche la consultation de la table IP, La trame est ensuite commute vers le port associ, Bnfice : Rapidit car PAS de Routage Intra-Subnet !!!

Exemple de configuration avec un commutateur Cisco : Trois tapes: 1. Cration des Vlans comme avec les commutateurs de N2 2. Affectation des Adresses IP au Vlan <ViD>
Switch(config)#interface Vlan <Vid> Switch(config-if)#ip address <addr> <mask> Switch(config-if)#no shutdown . Switch(config-if)#sh ip route

3.3.2 Cas N 2 : Solution 802.1q Le commutateur Niveau 3 doit savoir lire le champ de 4 octets.

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 11 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

2.1: Attribution de l@IP 2.2: devient @ IP de passerelle du Vlan

1: Cration des Vlans

Vlan A

Trois tapes: 1. Cration des Vlans comme avec les commutateurs de N2 2. Affectation des Adresses IP au Vlan <ViD> 3. Sur linterface du port trunck
Switch(config)#interface Ga <num_int> Switch(config-if)#description <lien vers....> Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan <ViD> Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#end

3.3.3 Cas N 3 : Solution dynamique 3.4 Le commutateur Niveau 3 utilise des protocoles de routage dynamique RIPv1v2/OSPF, Les Vlan IP sont automatiquement constitus en lisant ladresse source IP, Les tables de routage hardware sont constitues automatiquement, Le routage seffectue comme dans un routeur traditionnel.

Listes daccs de contrle daccs :

Par dfinition un routeur route. Donc il va transmettre tous les paquets changs entre les Vlan. Chaque groupe dutilisateur nest plus isol la scurit nest plus assure. Le rseau dadministration nest lui aussi plus isol. La solution ? Les listes de contrle daccs (ACL : Access Control List) qui tablissent des rgles de pare feu au sein des commutateurs de N3. Lanalyse dune ACL est aborde durant le TP.
J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 12 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

4. Les Protocoles VRRP ou HSRP :

4.1 Etats des lieux dans les rseaux ?

Dans les rseaux actuels nous avons beaucoup de Vlans N3 : Mais pourquoi? En aucun cas, un client ne doit pas tre en mesure de ne pas sortir de son domaine de broadcast pour atteindre une ressource Mise part ladresse IP de destination, quels sont les 2 paramtres rseau que doit avoir un client pour communiquer avec une ressource dun rseau tendu? Les rseaux actuels cest aussi de la haute disponibilit avec de la redondance : De liens, Dalimentations, Dquipements de N2, Dquipements de N3. Pb sur un mme rseau possibilit davoir 2 routeurs!!!!!

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 13 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

4.2

Prsentation des protocoles :

Pour rpondre ce besoin le standard Virtual Router Redundancy Protocol est n suite au dveloppement du protocole propritaire Cisco Hot Standby Router Protocol. En effet ils permettent la mise en place dun systme de redondance des routeurs afin que le trafic soit toujours assur mme en cas de panne dun routeur.

Vlan A Vlan B

Vlan A Vlan B

Vlan A Vlan B

Vlan A

Vlan B

Le schma ci-dessous peut tre quivalent la reprsentation logique :

Combien dadresses IP faudra t-il avoir de disponibles dans le rseau pour adresser correctement ces passerelles ? __________________________________________________________________

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 14 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

4.3

Fonctionnement :

Vlan A Vlan B

Vlan A Vlan B

Group = 0 est une valeur rserve, Group = 255 est pour le cas particulier ou il ne reste que deux adresses IP disponibles sur le sous rseau. Ladresse IP virtuelle est alors aussi une adresse IP relle.

Une fois configurs les deux routeurs schangent des paquets HELLO intervalles de temps rguliers (Hellotime pour HSRP). C'est--dire que le routeur en standby envoie ces paquets et tant que le routeur Master rpond dans un dlai imparti (Holdtime pour HSRP) il reste inactif. 4.4 Rpartition de charge :

Gi 0/1

Gi 0/1

Vlan A

Vlan B

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 15 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

4.5

Paramtrage HSRP :

switch # switch#conf t switch(config)#interface vlan <ViD> switch(config-if)#standby ? <0-255> authentication delay ip name preempt priority redirect timers track version group number Authentication HSRP initialisation delay Enable HSRP and set the virtual IP address Redundancy name string Overthrow lower priority Active routers Priority level Configure sending of ICMP Redirect messages with an HSRP virtual IP address as the gateway IP address Hello and hold timers Priority tracking HSRP versionswitch(config-if)#standby

switch(config-if)#standby ?

4.6

Structure des paquets HSRP :

Les routeurs appartenant un mme groupe HSRP communiquent via le port 1985 en UDP par multicast (224.0.0.2), ils changent des paquets ayant pour adresse source leurs adresses physiques. RFC : 2281

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 16 -

Les rseaux locaux virtuels Cours

Technologie

Dc.-07

5. En Rsum :
VLAN de niveau 1 Groupement de segments ou groupement de ports VLAN de niveau 2 Groupement selon les adresses MAC VLAN de niveau 3 Groupement de selon des informations de niveau 3 (adresses IP, protocoles)

VLAN 2 : sous-rseau 134.157.4.0 VLAN 3 : sous-rseau 134.157.8.0

et : 4o 802.1q

12 bits TPiD
(0x8100)

3 bits
Priority

1 bit
CFI (0)

12 bits
VLAN iD (TAG)

Le principal avantage : Ils permettent ladministrateur rseau dorganiser le LAN de manire logique et non physique. Cela signifie quun administrateur peut effectuer toutes les oprations suivantes:

J.Blanc - T MRIM - MONTAUBAN Vlan_E.doc

- 17 -