Notions de switching

1. Latence

Dfinition
La latence, parfois appele dlai, est le temps que prend une trame (ou un paquet) pour voyager
entre la station d'origine (nud) et la destination finale sur le rseau.
Causes :
Dlai carte rseau
Premirement, il y a le temps ncessaire la carte rseau d'origine pour placer des impulsions
lectriques sur le fil et le temps ncessaire la carte rseau rceptrice pour interprter ces
impulsions. On parle parfois, dans ce cas, de dlai de carte rseau (il s'agit gnralement d'un dlai
de 1 microseconde pour les cartes rseau 10BaseT).
Dlai propagation
Vient ensuite le dlai de propagation proprement dit, qui se produit lorsque le signal prend le temps,
quoique trs court, ncessaire son dplacement sur le fil (environ 0,556 microseconde par 100
mtres pour du cble UTP de catgorie 5). Plus le cble est long, plus le dlai de propagation est
important. De mme, plus la vitesse de propagation nominale, ou NVP, du cble est faible, plus le
dlai de propagation est important.
Dlais units couches 1, 2 ou 3
Enfin, du temps de latence est ajout en fonction des units rseau (qu'elles soient de couche 1, 2 ou
3) ajoutes sur la voie entre deux htes en communication, ainsi que de leur configuration. Il convient
galement de tenir compte du temps de transmission rel (priode pendant laquelle l'hte transmet
effectivement des bits) pour bien comprendre la notion de synchronisation dans le domaine des
rseaux.
Dure d'un bit
= l'unit de base au cours de laquelle UN bit est envoy.
Pour que les dispositifs lectroniques ou optiques soient en mesure de reconnatre un 1 ou un 0
binaire, il doit y avoir une priode minimale durant laquelle le bit est " ouvert " ou " ferm ".
Si la dure d'un bit est de 100ns (Ethernet 10 Mbits/s) alors pour

Taille d'un trame (Octet)Temps de transmission (microseconde)

64
51,2
512
410
1000
800
1518
1214
(trame X 8 X 100ns)/1000 = temps de transmission en microsecondes

2. Les rpteurs
Les rpteurs sont des lments de couche 1 qui rgnrent le signal avant de le transmettre.
Les rpteurs autorisent des distances de bout en bout suprieures
Les rpteurs augmentent le domaine de collision
Les rpteurs augmentent le domaine de broadcast

3. Full-Duplex
Le commutateur Ethernet full duplex tire parti des deux paires de fils du cble grce l'tablissement
d'une connexion directe entre l'metteur (TX) une extrmit du circuit et le rcepteur (RX) l'autre
extrmit. Lorsque les deux stations sont connectes de cette faon, un domaine sans collision
est cr, car la transmission et la rception des donnes s'effectuent sur deux circuits non
concurrents.
En rgle gnrale, Ethernet utilise seulement entre 50 et 60 % de la bande passante de 10 Mbits/s
disponible en raison des collisions et de la latence. Le mode Ethernet full duplex offre 100 % de la
bande passante dans les deux directions. Cela produit un dbit potentiel de 20 Mbits/s : 10 Mbits/s
en transmission et 10 Mbits/s en rception.

4. Pourquoi segmenter un LAN ?

La segmentation permet d'isoler le trafic ente les segments
Elle augmente la bande passante disponible pour chaque utilisateur en crant des domaines de
collisions plus petits.

5. Le matriel
Les ponts

Les ponts sont des units de couche 2 qui acheminent des trames de donnes en fonction des
adresses MAC contenues dans les trames. De plus, les ponts sont transparents pour les autres units
du rseau.
Les ponts " apprennent " la segmentation d'un rseau en crant des tables d'adresses qui renferment
l'adresse de chacune des units du rseau, ainsi que le segment utiliser pour atteindre cette unit.
moins d'utilisateurs par segment
Un pont est considr comme une unit de type " Store and Forward " parce qu'il doit examiner le
champ adresse de destination et calculer le code de redondance cyclique (CRC) dans le champ de
squence de contrle de trame avant de transmettre ladite trame vers tous les ports. Ils augmentent
la latence de 10 30%
Les routeurs
Un routeur fonctionne au niveau de la couche rseau et fonde toutes ses dcisions en matire
d'acheminement des donnes entre les segments sur l'adresse de niveau protocole de la couche
rseau.
Les commutateurs
Un commutateur peut segmenter un LAN en microsegments, qui sont des segments hte
unique. Cela a pour effet de crer des domaines sans collision partir d'un grand domaine de
collision. ( ! domaine de broadcast identique). + Latence faible
Dans une implmentation Ethernet commute, la bande passante disponible peut atteindre prs de
100 %. Chaque ordinateur branch sur port dispose d'une bande passante maximale de point point.
L'un des inconvnients des commutateurs est leur prix, plus lev que celui des concentrateurs.

6. La commutation
Deux activits de base

- La commutation de trames de donnes - Cette opration se produit lorsqu'une trame qui est
parvenue au niveau d'un mdia d'entre est transmise un mdia de sortie.
- La gestion des oprations de commutation - Un commutateur cre et gre des tables de
commutation.
En rgle gnrale, les ponts assurent la commutation au niveau logiciel, les commutateurs au niveau
matriel.
La commutation de couche 2 et de couche 3
La commutation est un processus qui consiste prendre une trame entrante sur une interface et
l'acheminer par une autre interface. Les routeurs utilisent la commutation de couche 3 pour acheminer
un paquet ; les commutateurs (units de couche 2) utilisent la commutation de couche 2 pour
acheminer les trames
Dans le cas de la commutation de couche 2, les trames sont commutes en fonction des adresses
MAC. Dans le cas de la commutation de couche 3, les trames sont commutes selon les informations
de couche rseau.
Contrairement la commutation de couche 3, la commutation de couche 2 ne regarde pas l'intrieur
d'un paquet pour y trouver les informations de couche rseau. La commutation de couche 2 regarde
l'adresse MAC de destination contenue dans une trame. Elle envoie les informations la bonne
interface, si elle connat l'emplacement de l'adresse de destination. La commutation de couche 2 cre
et met jour une table de commutation qui consigne les adresses MAC associes chaque port ou
interface.
Si le commutateur de couche 2 ne sait pas o envoyer la trame, il l'envoie par tous ses ports au
rseau pour connatre la bonne destination. Lorsque la rponse est renvoye, le commutateur prend
connaissance de l'emplacement de la nouvelle adresse et ajoute les informations la table de
commutation.
Comment un commutateur prend-il connaissance des adresses ?
Apprend l'emplacement d'une station en examinant l'adresse d'origine.
Envoie par tous les ports (sauf sur le port d'origine) lorsque l'adresse de destination est un broadcast,
un multicast ou inconnue.
Achemine les donnes lorsque la destination est situe sur une interface diffrente.
Filtre les donnes lorsque la destination est situe sur la mme interface.
Les avantages de la commutation LAN
Rduction du nombre de collision
Plusieurs communications simultanes
Liaisons montantes (Uplink) simultanes
Amlioration des rponses du rseau
Hausse de la productivit de l'utilisateur
Economie et souplesse de gestion
Deux modes de commutation
Store and Forward
La trame entire doit tre reue avant de pouvoir tre achemine. Les adresses de destination
et/ou d'origine sont lues et des filtres sont appliqus avant que la trame ne soit achemine. De
la latence se produit pendant la rception de la trame ; la latence est plus leve dans le cas des

grandes trames, car la trame entire est plus longue lire. La dtection d'erreurs est leve, car le
commutateur dispose de beaucoup de temps pour vrifier les erreurs en attendant de recevoir toute la
trame.
Cut-through
Le commutateur lit l'adresse de destination avant d'avoir reu toute la trame. La trame est
ensuite achemine avant d'avoir t entirement reue. Ce mode rduit la latence de la transmission
et dtecte peu d'erreurs de commutation LAN. " FastForward " et " Fragment Free " sont deux
types de commutation " Cut-through ".
Mode de commutation " FastForward "
Ce mode de commutation offre le plus faible niveau de latence en acheminant un paquet ds
rception de l'adresse de destination. Comme le mode de commutation " FastForward " commence
l'acheminement avant que le paquet entier n'ait t reu, il peut arriver que des paquets relays
comportent des erreurs. Bien que cela ne se produise qu'occasionnellement et que l'adaptateur
rseau de la destination rejette le paquet dfectueux lors de sa rception, le trafic superflu peut tre
jug inacceptable dans certains environnements. Utilisez le mode Fragment Free pour rduire le
nombre de paquets qui sont achemins avec des erreurs. En mode FastForward, la latence est
mesure partir du premier bit reu jusqu'au premier bit transmis (c'est la mthode du premier entr,
premier sorti).
Mode de commutation Fragment Free
Ce mode de commutation filtre les fragments de collision, qui constituent la majorit des erreurs de
paquet, avant que l'acheminement ne puisse commencer. Dans le cas d'un rseau qui fonctionne
correctement, les fragments de collision doivent tre d'une taille infrieure 64 octets. Tout fragment
d'une taille suprieure 64 octets constitue un paquet valide et est habituellement reu sans erreur.
En mode de commutation Fragment Free, le paquet reu doit tre jug comme n'tant pas un
fragment de collision pour tre achemin. Selon ce mode, la latence est mesure en fonction du
premier entr, premier sorti.

7. STP (Spanning Tree Protocol)

1. Assure la commutation des trames de broadcast

2. Empche les boucles
3. Permet les liaisons redondantes
4. Elague (pruning) la topologie un arbre d'acheminement (spanning tree) minimal
5. Supporte les changements topologique et les pannes d'unit
Les 5 tats du STP
1. Blocage - Aucune trame achemine, units BPDU entendues
2. coute - Aucune trame achemine, coute des trames
3. Apprentissage - Aucune trame achemine, apprentissage des adresses
4. Acheminement - Trames achemines, apprentissage d'adresses
5. Dsactivation - Aucune trame achemine, aucune unit BPDU entendue

Le protocole Spanning Tree

Le protocole Spanning Tree (STP) est un protocole de couche 2
(liaison de donnes) conu pour les switches et les bridges. La
spcification de STP est dfinie dans le document IEEE 802.1d.
Sa principale fonction est de s'assurer qu'il n'y a pas de
boucles dans un contexte de liaisons redondantes entre des
matriels de couche 2. STP dtecte et dsactive des boucles de
rseau et fourrnit un mcanisme de liens de backup. Il permet
de faire en sorte que des matriels compatibles avec le
standard ne fournissent qu'un seul chemin entre deux stations
d'extrmit.
Spanning-Tree rpond la problmatique de trames dupliques dans un environnement de liaisons
redondantes (section 1). Le fonctionnement est bas sur la slection d'un bridge Root et de calculs
des chemins les plus courts vers ce bridge (section 2). Les ports des bridges rencontrent cinq tats
dont le "Blocking" qui ne transfre pas de trames de donne et le "Forwarding" qui transfre les
trames de donne (section 3). Quelques commandes essentielles sont retenir, mais elles peuvent
tre lgrement diffrentes sur les OS (section 4).

1. Problmatique
Dans un contexte de liaisons redondantes sans STP deux problmes peuvent survenir :
1. Des temptes de broadcast : lorsque des trames de broadcast sont envoyes (FF-FF-FF-FF-FFFF en destination), les switchs les renvoient par tous les ports. Les trames circulent en boucles et sont
multiplies. Les trames n'ayant pas de dure de vie (TTL comme les paquets IP), elles peuvent
tourner indfiniment.

2. Une instabilit des tables MAC : quand une trame, mme unicast, parvient aux switches
connects en redondance, le port du switch associ l'origine risque d'tre erron. Une boucle est
susceptible d'tre cre.

Dans cet exemple, le PC1 envoie une trame au PC2. Les deux commutateurs recoivent la trame sur
leur port 0/2 et associent ce port l'adresse mac de PC1. Si l'adrese de PC2 est inconnue, les deux
commutateurs transfrent la trame travers leur port 0/1. Les commutateurs recoivent respectivement
ces trames inversment et associent l'adresse MAC de PC1 au port 0/1. Ce processus peut se rpter
indfiniment.

2. Fonctionnement de STP
Bien qu'une topologie physique puisse fournir de multiple chemins dans un contexte de redondance et
ainsi amliorer la fiabilit d'un rseau, STP cre un chemin sans boucle bas sur le chemin le plus
court. Ce chemin est tabli en fonction de la somme des cots de liens entre les switchs, ce cot tant
bas sur la vitesse d'un port. Aussi, un chemin sans boucle suppose que certains ports soient bloqus
et pas d'autres. STP change rgulirement des informations (appeles des BPDU - Bridge
Protocol Data Unit) afin qu'une ventuelle modification de topologie puisse tre adapte sans boucle.
1. Slection d'un switch Root
Le switch Root sera le point central de l'arbre STP. Le switch qui aura l'ID la plus faible sera celui qui
sera lu Root. L'ID du switch comporte deux parties, d'une part, la priorit (2 octets) et, d'autre part,
l'adresse MAC (6 octets). La priorit 802.1d est d'une valeur de 32768 par dfaut (ce sont des
multiples de 4096 sur 16 bits). par exemple, un switch avec une priorit par dfaut de32768 (8000
Hex) et une adresse MAC 00 :A0 :C5:12:34:56, prendra l'ID 8000:00A0 :C512:3456. On peut changer
la priorit d'un switch avec la commande :
(config)#spanning-tree [vlan vlan-id] priority priority

Sur un switch Root, tous les ports sont des ports dsigns, autrement dit, ils sont en tat
forwarding , il envoient et reoivent le trafic.
2. Slection d'un port Root pour les switch non-root.
Chaque switch non-root va slectionner un port Root qui aura le chemin le plus court vers le switch
Root. Normalement, un port Root est en tat forwarding .

Vitesse du lien

Cot Plage de cot recommande

4Mbps

250

100 to 1000

10Mbps

100

50 to 600

16Mbps

62

40 to 400

100Mbps

19

10 to 60

1Gbps

3 to 10

10Gbps

1 to 5

S'il s'agit d'un port d'accs [1], la commande de configuration est :

(config-if)#spanning-tree cost cost
S'il s'agit d'un port de tronc, la commande de configuration est :
(config-if)#spanning-tree vlan vlan-id cost cost
A noter aussi qu'en cas de cot gaux, c'est la priorit la plus faible (d'une valeur de 0 255) qui
emporte le choix (elle est de 128 par dfaut) en dterminant l'ID du port compos de 2 octets (priorit
+ numro STP du port) :
Sur des ports d'accs :
(config-if)#spanning-tree port-priority priority
Sur des ports de tronc :
(config-if)#spanning-tree vlan vlan-id port-priority priority
3. Slection d'un port dsign pour chaque segment
Pour chaque segment d'un Lan (domaine de collision), il y a un port dsign. Le port dsign est celui
qui a le chemin le plus court vers le bridge Root. Les ports dsigns sont normalement en tant
forwarding , autrement dit, envoient et reoivent du trafic de donnes. Si plus d'un port sur un
mme segment a le mme cot vers le switch Root, le port du switch qui l'ID la plus faible est choisi.
Tous les autres sont des ports non-dsigns en tat blocking .
En bref,

1 switch Root par rseau dont tous les ports sont dsigns

1 port Root par switch non-root

1 port dsign par domaine de collision
tous les autres ports sont non-dsigns
Aussi, on peut rsumer les liaisons :

Port

<->

Port

Etats

<->

Etats

Switch

<->

Root

<->

Dsign

Forwarding <->

Forwarding Non-root <->

Root

Dsign

<->

Root

Forwarding <->

Forwarding Non-root <->

Non-root

Dsign

<->

Non-dsign

Forwarding <->

Blocking

Non-root

Non-root <->

Switch

Une animation flash illustre le principe de fonctionnement de STP

3. Diffrents tats STP

Cinq tats de ports peuvent rencontrs sur un port STP. Chaque tat comporte un dlai. En voici les
proprits.

L'age maximal de 20 secondes par dfaut est le temps maximal avec que STP effectue de nouveaux
calculs quand une interface ne reoit plus de BPDUs. Le temps de forwarding de 15 secondes par
dfaut est le temps de passage d'un tat "listening" "learning" et de "learning" "forwarding". Aussi,
la frquence d'envoi de BPDUs Hello est de 2 secondes par dfaut.
Etat Blocking
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
N'envoie pas de BPDUs reus de son systme
Rpond SNMP
Etat Listening
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Learning
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
Intgre les emplacements de station dans sa MAC table (apprentissage)

Reoit les BPDUs et les transmet son systme

Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Forwarding
Commute toutes les trames de donnes venant du segment attach
Commute toutes les trames de donnes venant d'un autre port de transfert
Intgre les emplacements de station dans sa MAC table (apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Disabled
Cet tat est similaire l'tat blocking sauf que le port est considr physiquement non
oprationnel (shut down ou problme physique).

4. Quelques commandes
Pour le diagnostic :
#show spanning-tree [?]
Dsactivation de STP :
(config)#no spanning-tree vlan vlan-id
Ports Portfast :
La configuration d'une interface en "Portfast" (passage directe de l'tat "blocking" l'tat "forwarding"
uniquement pour les segments qui ne connectent pas de switches) :
(config-if)#spanning-tree portfast
Priorit du switch :
(config)#spanning-tree [vlan vlan-id] priority priority
Cot et priorit d'un port :
(config-if)#spanning-tree [vlan vlan-id] cost cost
(config-if)#spanning-tree [vlan vlan-id] port-priority priority
Paramtres de timing :
(config)#spanning-tree [vlan vlan-id] max-age seconds
6 200 secondes
(config)#spanning-tree [vlan vlan-id] forward-time seconds
4 200 secondes
(config)#spanning-tree [vlan vlan-id] hello-time seconds
1 10 secondes

Notions sur les VLANs

Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la sparation logique entre,
d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 liaison de donnes fournis par
les commutateurs. Cet article reprend les notions ncessaires la bonne comprhension de cette technologie.

FONCTIONNEMENT D'UN LAN

Au sein d'un LAN dfini comme une infrastructure commute, soit un rseau compos de commutateurs,
toutes les interfaces htes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE
802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des htes afin de
transfrer rapidement le trafic. Sur ces rseaux, on connat du trafic unicast ( destination d'un seul
hte), du trafic de broadcast (diffusion, destination de tous les htes) et du trafic multicast(
destination de certains htes). Un commutateur transfre le trafic de diffusion et multicast travers tous
ses ports sauf celui d'origine; un routeur filtre le trafic de diffusion en ne le transfrant pas.

LAN VIRTUEL (VLAN)

Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commute. Une
infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera
comme n'importe quel LAN distinct. Concrtement, les ports du commutateur prennent un identifiant
VLAN. Cet identifiant logique dfinit l'tendue du domaine de diffusion : le trafic de diffusion ne sera
transfr que sur les ports ayant le mme identifiant. Autrement dit, par exemple, le trafic de diffusion
venant d'un port appartenant au VLAN 66 ne se sera transfr que sur les ports ayant pour attribution le
VLAN 66. La sparation fonctionnelle entre deux ports ayant des identifiants VLAN diffrents correspond
une sparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports
du commutateur, soit l'infrastructure physique elle-mme.
La virtualisation d'un LAN consiste en la sparation logique entre, d'une part, l'infrastructure
physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que dcrit plus haut
indpendante de l'infrastructure physique. Cette technologie s'intgre pleinement dans les marchs des

environnements virtualiss, des dploiements de rseaux sans fil, de la VoIP, des passerelles Internet
d'entreprise et familiales.

Cette fonctionnalit peut tre tendue sur des ports de commutateurs distants travers toute
l'infrastructure. Dans ce cas, les commutateurs devront transporter entre eux du trafic appartenant
plusieurs VLANs sur une ou plusieurs liaisons spcifiques ...

TRUNKS OU LIAISON D'AGRGATION

... Les ports d'une liaison qui agrgent le trafic de plusieurs VLANs s'appellent un Trunk chez le
constructeur Cisco Systems et liaison d'agrgation chez d'autres. Sur ce type de liaison, le
commutateur ajoute des champs supplmentaires dans ou autour de la trame Ethernet. Ils servent
notamment distinguer le trafic de VLANs diffrents car ils contiennent entre autres le numro
d'identification du VLAN.

Deux protocoles de Trunk ou de liaison d'agrgation VLAN peuvent tre rencontrs. Il agissent
tout deux au niveau de la couche 2 liaison de donnes . Ils oprent sous les couches TCP/IP.

Inter-Switch Link (ISL) : protocole propritaire Cisco qui encapsule la trame d'origine avec un entte spcifique qui contient entre autres le numro de VLAN et un nouveau champ FCS. Il est
indpendant de la technologie sous-jacente. Il est de moins en moins rencontr au profit de IEEE
802.1q.

IEEE 802.1q : Standardis et interoprable, il ajoute une tiquette dans l'en-tte de la trame (un
ensemble de champs juste aprs le champ d'adresse MAC d'origine). Cette tiquette a une taille de 4
octets ou 32 bits dont 12 bits sont consacrs au numro de VLAN. Le standard supporte les
technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que
protocole de pontage (bridging, IEEE 802.1). Vu que la trame sera modifie, le commutateur
recalculera la valeur du champ CRC/FCS.

IEEE 802.1q est actuellement la technologie standardise et dominante sur le march

indpendamment des constructeurs .

ENCAPSULATION
Quand est-ce que cette encapsulation IEEE 802.1q intervient ? Un hte A veut joindre un hte L connect
un commutateur distant. Les commutateurs sont interconnects par une liaison d'agrgation . La
trame ne sera tiquete seulement si elle quitte le commutateur sur un port qui connecte une liaison
d'agrgation. Lors de la livraison locale de la trame la station destinataire, elle sort du port du
commutateur sans tiquette.
Si le standard est largement disponible sur les commutateurs d'entreprise, les htes tels que les serveurs
ou du matriel embarqu peuvent annoncer le support de la technologie en fonction des pilotes
dvelopps pour l'interface physique. Alors que les systmes d'exploitation Linux/BSD supportent un
grand nombre de cartes, les cartes Intel sont bien supportes sous Microsoft Windows ; elles sont
proposes d'emble par les grands assembleurs comme HP ou Dell.
Le trafic de diffusion comme celui de multicast sera port la destination de tous les ports ayant le
mme identifiant VLAN, travers des ports de liaison d'agrgation . Les htes connects un port d'un

identifiant VLAN diffrent ne seront pas affectes par ce trafic. En ce sens, la taille des domaines de
diffusion peut tre contrle sur une infrastructure commute des fins de performance,
d'administration du trafic, des machines et des utilisateurs.

DOMAINE IP ET VLANS
Comme dans tout LAN, le rseau IP est homogne et correspond un adressage marqu par un prfixe et
un masque de rseau. Au sein d'un LAN, toutes les interfaces qui participent l'Internet Protocol dans la
perspective de communiquer entre des rseaux diffrents partagent le mme adressage. Un routeur
constitue la limite d'un VLAN comme celle d'un LAN. Donc, pour que des VLANs communiquent ensembles,
en tant que rseaux logiques diffrents, une fonction de routage est ncessaire. On parle dans la
littrature de routage inter-VLAN. Cette fonction peut tre remplie par des plate-formes d'entreprise
comme les routeurs d'accs, des routeurs Linux/BSD ou des commutateurs LAN disposant d'un logiciel de
routage. Les routeurs sont capables de transfrer du trafic de VLANs diffrents partir d'un seul port
physique reconnu comme port d'agrgation VLAN.

CONCLUSION
D'un point de vue technique, la technologie VLAN permet de dployer des architectures plus souples,
fournissant plus de services qu'un LAN classique en combinaison d'autres protocoles et technologies.
Voici quelques exemples non-exhaustifs qui permettent de grer dynamiquement les utilisateurs et les
applications sur les plus basses couches de la communication.

Fonctionnalit de Qualit de Service (QoS), notamment grce IEEE 802.1p en perspective d'une
diffrenciation trafic selon les applications (voix, vido, etc.);

Le support du protocole Spanning-Tree et ses variantes (STP, MST, RSTP, PVST, PVST+, PVRST+, UDLD) ainsi
que les protocoles de contrle (CDP, VTP, DTP, etc.);

Une srie de protocoles connexes utiles ou moins, propritaires ou standardiss comme VTP, DTP, PaGP,
Etherchannel, etc.;

Le support d'une authentification sur les ports (IEEE 802.1x/EAP) en vue d'authentifier les utilisateurs
dynamiquement et de leur appliquer des paramtres de scurit adapts en les plaant dynamiquement
dans un VLAN soumis une politique de filtrage;

Il sera possible de ponter/commuter les VLANs entre eux, de rpartir la charge entre plusieurs liaisons
d'agrgation de manire redondante, d'encapsuler plusieurs tiquettes dans plusieurs tiquettes (double,
triple, voire quadruple).

Scurit Wifi : les bases

En cours de rdaction

I. LA NATURE "INSCURISE" DES RSEAUX SANS FIL

Utilisant les ondes radios pour transmettre le signal, les rseaux sans fils sont naturellement inscuriss.
La propagation des ondes travers les airs ne connait pas le confinement localis et "physiquement
protg" des rseaux filaires.
Dans cette perspective, il semblait lgitime et suffisant d'introduire dans le standard IEEE 802.11 un
protocole de scurit assurant autant d'intimit qu'un fil ... Le WEP ( Wired Equivalent Privacy) n'a
d'ailleurs que cette seule prtention.
D'un point de vue pragmatique, les implmentations sans fil sont couramment laisses sans aucune
mesure de scurit. Mise en oeuvre facile et rapide, omission justifie ou non, ignorance sont des
lments qui expliquent cet tat de fait. Il suffit de se promener en rue avec un client wifi pour
constater que l'on peut se connecter l'Internet et aux rseaux locaux sans aucune difficult.
A ce titre, la principale menace des rseaux sans fil est celle du "man-in-the-middle" : une attaque
partir de l'intrieur d'un rseau local. Elle se concrtisera par la prsence de "points d'accs voyous"
("rogue APs") ou de clients wifi espions. Ces "intrus" peuvent tre placs dlibrment avec une volont
de nuisance. Mais le plus grand danger viendrait plutt des utilisateurs, remplis des meilleures intentions,
qui placent du matriel actif pour leur confort personnel ou mme professionnel.
Egalement, on citera des attaques bien plus aises et efficaces mettre en oeuvre telles que :

l'attaque par interfrence rendant un rseau sans fil inoprant en polluant l'espace d'ondes aussi puissantes
sur le mme canal utilis;

l'attaque du dni de service en tentant d'envoyer des trames de contrle qui rendent les services ou le
matriel hors d'usage.

Aussi, la dfinition d'un SSID ou d'un filtrage MAC sur le point d'accs ne constituent en rien une scurit
suffisante :

un logiciel tel que Netstumbler (http://www.netstumbler.com/) ou le logiciel airodump-ng de la

suite aircrack-ng permet de connaitre le SSID mme lorsqu'il est cach;

une coute du traffic permet de prendre connaissance d'adresses MAC autorises (l'en-tte de trame
contenant les adresses MAC ne sont pas encrypts par le WEP) et de les usurper (spoofing).
D'un autre point de vue, les logiciels (firmware, pilotes, systmes d'exploitation) peuvent prsenter des
dfauts de conception et des failles exploitables.
Enfin, on verra ci-dessous que le protocole WEP n'est pas exempt de faiblesses, ce n'est pas une
nouveaut. Sans comptence particulire, une attaque WEP peut tre mene uniquement avec des
logiciels libres (voir Attaques WEP simple).
Quoi qu'il en soit , pour les petites entreprises ou la maison, le WEP sera mieux que rien. Toutefois, le
WPA-PSK est largement disponible aujourd'hui et il augmentera considrablement la scurit de ces petits
rseaux.

II. PRSENTATION BRVE DU PROTOCOLE WEP

Le WEP (Wired Equivalent Privacy) est le protocole initial de scurit des rseaux WIFI. Il est dclar dans
le document IEEE 802.11. Le standard dfinit des mthodes d'authentification et d'encryption.

II.a. Authentification
En matire d'authentification, on trouvera deux mthodes :

L'authentification ouverte. Il s'agit d'une authentification nulle, pour le principe. Celle-ci consiste
seulement fournir le bon SSID (Service Set ID).

L'authentification partage. Chaque intervenant dispose d'une mme cl WEP. Le point d'accs envoie un
message en clair au client qui rpond avec un message crypt avec la cl WEP. Dans ce cas seul le client
authentifie le point d'accs. Il s'agit d'uneauthentification asymtrique.

II.b. Encryption
"Le cryptage consiste prendre un message, dit en clair , et le soumettre un algorithme
mathmatique pour produire un texte crypt . Le dcryptage est la transformation inverse. Les
algorithmes de cryptage se servent le plus souvent d'une valeur, appele cl, qui sert crypter et
dcrypter les donnes.
Le cryptage WEP utilise le chiffrement continu RC4 invent par Ron Rivest de RSA Data Security, Inc.
(RSADSI). L'algorithme de cryptage RC4 est un chiffrement en continu symtrique qui supporte les cls de
longueur variable.
Le chiffrement en continu consiste excuter la fonction de cryptage ou de dcryptage sur une unit du
texte en clair (dans ce cas, la trame 802.11b).
Dans le cryptage symtrique, la cl est un lment d'information qui doit tre partag par les units
d'extrmit pour raliser le cryptage et le dcryptage.
RC4 autorise une cl de longueur variable, qui peut atteindre 256 octets contrairement d'autres
algorithmes dont la cl a une longueur fixe. L'IEEE a spcifi que les units 802.11 devaient supporter les
cls de 40 bits, avec la possibilit d'accepter des cls plus longues. Plusieurs constructeurs proposent le
cryptage WEP 128 bits dans leurs solutions WLAN.
Le protocole WEP est un chiffrement en continu, et il est indispensable de disposer d'un mcanisme pour
garantir que le mme texte en clair ne gnrera pas le mme texte crypt. L'IEEE a stipul l'utilisation
d'un vecteur d'initialisation (IV) qui doit tre concatn avec la cl symtrique avant de gnrer le texte
crypt en continu.
Ce vecteur d''initialisation est un nombre de 24 bits qui prend donc une valeur entre 0 et 16 777 215.
L'IEEE
suggre mais n'exige pas de modifier le vecteur d'initialisation pour chaque trame. Comme l'metteur
gnre le vecteur d'initialisation sans schma ni calendrier prdfini, ce vecteur doit tre envoy en clair
au rcepteur, dans la partie d'en-tte de la trame de donnes 802.11. Le rcepteur peut ensuite
concatner le vecteur d'initialisation reu avec la cl WEP (la cl de base) stocke localement pour
dcrypter la trame de donnes.
Comme le montre la figure suivante, l'algorithme RC4 ne crypte pas le texte en clair lui-mme mais sert
gnrer un flux de cl unique pour la trame de donnes 802.11 concerne en reprenant le vecteur

d'initialisation et la cl de base comme cl de cryptage. Le flux de cl unique ainsi obtenu est ensuite
combin avec le texte en clair et le tout est transform par une fonction mathmatique appele XOR qui
produit le texte chiffr."

Partie tire de Cisco SAFE : Description dtaille de la scurit pour les rseaux locaux sans fil

II.c. La faiblesse du WEP

II.c.1. Une cl statique
Une premire faiblesse de la scurit de base du WIFI est la gestion et la distribution des cls. Un
administrateur devra configurer la mme cl WEP sur tous les clients Wifi d'un rseau local. On notera
que l'identification se fondra seulement sur les priphriques et non sur les utilisateurs.
Primo, la cl WEP unique ne permettra pas d'attribuer des ressources en fonction d'un profil utilisateur.
Secundo, un priphique Wifi drob remet en cause l'ensemble de la scurit d'un rseau local en
obligeant l'administrateur reconfigurer l'ensemble des clients. Cette dernire remarque est valable pour
tout mcanisme cl partage dont WPA-PSK.

II.c.2. Les attaques FMS - attaques passives

"Les cryptoanalystes Fluhrer, Mantin et Shamir (FMS) ont dcouvert des faiblesses inhrentes
l'algorithme RC4 de programmation des cls. Or l'algorithme RC4 utilis par WEP se sert d'un vecteur
d'initialisation de 24 bits et ne renouvelle pas les cls de cryptage de manire dynamique.
Fluhrer, Mantin et Shamir ont pu montrer que ces faiblesses pouvaient avoir des applications pratiques
dans le dcryptage des trames 802.11 qui utilisent WEP. Cette attaque se concentre sur une classe largie
de vecteurs d'initialisation faibles qui peuvent tre gnrs par RC4 et met en vidence les mthodes qui
permettent de casser la cl en utilisant certaines formes rcurrentes des vecteurs d'initialisation.
L'attaque appele attaque FMS est pragmatique, mais le plus dconcertant est quelle est totalement
passive. L'attaque FMS prsente la drivation thorique d'une cl WEP sur un ventail de paquets entre
100 000 et 1 000 000 crypts avec la mme cl."
Des informations techniques sur l'attaque FMS peuvent tre obtenues sur :

http://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.html

http://www.cs.umd.edu/~waa/wireless.html

http://www.securiteinfo.com/crypto/802_11.shtml

En amliorant les attaques statistiques mise en oeuvre par Korek avec du trafic captur, on obtient
d'excellents rsultats.

II.c.3 Les attaques actives par rejeu

Supposons qu'un attaquant connaisse exactement le texte clair d'un message crypt. Il peut utiliser cette
connaissance pour construire des paquets crypts. La procdure implique qu'il construise un nouveau
message en calculant la somme de contrle en l'occurence CRC-32 et en appliquant des changements
minimes (bits flips) sur le trafic crypt original pour changer le texte en clair. Ce paquet peut tre
accept par le point d'accs ou une station mobile lgitime.
On peut aussi mener une attaque plus insidieuse qui vise changer quelques bits dans le message et
d'adapter correctement le CRC sans aucune connaissance du paquet pour en obtenir une version crypte
correcte. Par exemple, il pourrait tre possible avec une connaissance partielle d'altrer des commande
shell d'une session Telnet.
On peut encore aller plus loin. Un attaquant ne connait rien d'une trame capture mais pourra comme
expliqu plus haut modifier les bits d'adresses IP de destination et l'envoyer par une passerelle sur
l'Internet. Vu que ce trafic quitte le rseau sans fil, il sera envoy en clair sur l'inter-rseau.

IV. SOLUTIONS
Aujourd'hui, on peut dire que la scurit sans fil est meilleure que les services fournis par dfaut sur le
fil. Les solutions proposes aujourd'hui proposent toutes une authentification 802.11 ouverte :

solution
WPA Home ou WPA-PSK

authentification
Open

Encryption
TKIP (PreSharedKey)

standard 802.11
IEEE 802.11i

WPA2 Home ou WPA2-PSK Open

TKIP ou AES (PreSharedKey) IEEE 802.11i

WPA Enterprise

EAP/802.1x

TKIP

WPA2 Enterprise

EAP/802.1x

TKIP ou AES (PreSharedKey) IEEE 802.11i

IEEE 802.11i

Les solutions pour les petits rseaux utilisent une cl partage avec du TKIP (grosso modo du WEP
amlior) ou de l'AES avc authentification nulle et pour de plus grosses implmentation on peut utiliser
une authentification des utilisateurs par un serveur Radius avec EAP/802.1x.
Encryption
Authentification

PEAP MS-chapv2
Tunnel TLS pralable Oui

EAp-fast
Oui

eap-tls
Oui

leap
Non

PEAP MS-chapv2

EAp-fast

eap-tls

leap

Autorisation Radius

Oui, MS-ISA, Cisco ACS,

Juniper Odyssey (anc. Funk), Oui, Cisco ACS
MeetingHouse (nouv. Cisco)

Oui, ouvert Oui, Cisco ACS

Serveur de certificat

Oui

Non

Oui

Non

Certificat ct serveur Oui

Non

Oui

Non

Certificat ct client Non

Non

Oui

Non

Crdits utiliss

Mot de passe Windows, ...

Mot de passe Windows

DB d'authentification
Standardisation
Pilotes
Avantages
Dsavantages

Indicateurs LED sur le matriel Wifi

Les indicateurs LED peuvent tre utiliss pour diagnostiquer des problmes de communication et des erreurs.
Nous proposons un tableau rcapitulatif pour les adaptateurs Aironet et le point d'accs 1200.

SUR L'ADAPTATEUR CLIENT AIRONET

Link Integrity/Power LED (vert) - Ce LED s'allume quand l'adapteur reoit de la tension et clignote
lentement si l'adaptateur est connect au rseau

Link Activity LED (brun)- Ce LED clignote rapidement quand l'adaptateur reoit et transmet des donnes.
Quand il clignote rptitivement d'une certaine manire, il indique une condition d'erreur.

Table 3-1 LED Operating Messages

LED Vert
Operations
normales

Clignotement
rapide

LED Brun
Clignotement
rapide

Condition
La tension est reue,
self-test est OK,
l'adaptateur cherche un

rseau.

Clignotement lent

Clignotement
continuel ou lent

Eteint

Allum
continuellement

Eteint

Clignotement

L'adaptateur est associ

rapide

un AP.

Clignotement

L'adaptateur transmet et
reoit des donnes tant
qu'il est associ un AP.

Clignotement

L'adaptateur est en

rapide

"power save mode".

Clignotement
rapide

L'adaptateur est en "ad

hoc mode".

Eteint

L'adaptateur n'est pas

aliment et une erreur est
survenue.

Eteint

1 clignotement 2secondes
d'intervalle

Problme de RAM.

2 clignotements
Eteint
Conditions
d'erreurs
Eteint

Eteint

rapides, 2-secondes
de pause

Problme Flash.

3 clignotements
rapides, 2-secondes
de pause

Problme de firmware.
Recharger le firmware.

4 clignotements

Erreur d'adresse MAC

rapides, 2-secondes
de pause

(Erreur de lecture).
Recharger le firmware.

5 clignotements
Eteint

rapides, 2-secondes
de pause

Erreur de couche PHY.

6 clignotements
Eteint

rapides, 2-secondes
de pause

Firmware incompatible.
Charger le bon firmware.

LE POINT D'ACCS 1200

L'indicateur Ethernet concerne le trafic sur le rseau filaire. Cet indicateur est normalement vert quand
un cble est connect au point d'accs. Il clignote quand du trafic transite sur le cble. Il est teint quand
le point d'accs n'est pas connect au rseau filaire.

L'indicateur Status donne le statut oprationnel. Une couleur verte rgulire signifie que l'AP est associ
au moins avec un client. Une couleur verte qui clignote signifie que l'AP fonctionne normalement mais
qu'aucun client ne lui est associ.

L'indicateur Radio clignote en vert quand il y a une activit radio. En temps normal, le LED est teint.

Message
type

Statut de

Ethernet
indicator

Status
indicator

Radio
indicator

Vert

Vert

Brun

Rouge

Meaning

Test mmoire DRAM

memory.

chargement de
dmmarrage

Test d'initialisation de la
carte;

Vert

Vert

clignotant

clignotant

Brun

Vert

Test d'initialisation
Ethernet.

Vert

Vert

Vert

Dmarrage IOS.

Vert

Au moins un client est

associ.

Association
status

Aucun client n'est

-

Operating

Test mmoire Flash

Vert
clignotant

Vert

Vert

associ; Regarder aux

paramtres SSID et
scurit.

Vert

L'interface Radio envoie

clignotant

et transmet des paquets.

La liaison Ethernet est

oprationnelle.
L'interface Ethernet
envoie et transmet des
paquets.

status
Vert
clignotant

Rouge

Rouge

Rouge

Rouge

Echec du systme de
fichier.

Rouge

Rouge

Echec Ethernet lors de la

rcupration de l'image.

Brun

Vert

Brun

Boot Loader
Errors

Echec du test de
mmoire DRAM.

Erreur de l'environnment
de dmarrage.

Vert

Rouge

Brun

Brun

Brun

Echec de dmarrage.

Brun

Essais maximum ou
tampon rempli sur

Operation
Errors

Pas de fichiers d'image

Rouge

Brun
clignotant

Vert

Brun
clignotant

clignotant

IOS.

l'interface Radio.

Erreurs de
transmission/rception
sur l'interface Ethernet.

Alerte gnrale.

Remise zro des

Configuration
Reset

Brun

options de configuration
aux paramtres par
dfaut 'usine'.
Echec du firmware

Failure

Firmware
Upgrade

Rouge

Rouge

Rouge

Rouge

failure; essayer de
dconnecter et de
reconnecter la tension.
Chargement d'une
nouvelle image du
firmware.