Académique Documents
Professionnel Documents
Culture Documents
Philippe Latu
philippe.latu(at)inetdoc.net
http://www.inetdoc.net
Rsum
Les commutateurs sont aujourd'hui des outils essentiels dans la
conception des architectures rseau. La garantie sur la bande passante
dlivre par port a fortement contribu au dveloppement des rseaux
locaux. Pour autant, la commutation de trames Ethernet associe aux
rseaux virtuels (VLANs) peut-elle supplanter elle seule le routage dans
la gestion des rseaux ? Pour concevoir correctement une architecture,
il faut considrer les besoins en application, les schmas de trafic et la
composition des groupes logiques. Cet article donne quelques lments
sur le choix entre routage et commutation.
1
1
1
2
2
2
3
3
4
4
4
4
5
1.Copyright et Licence
Copyright (c) 2000,2014 Philippe Latu.
Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.3 or any later version
published by the Free Software Foundation; with no Invariant Sections, no
Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included
in the section entitled "GNU Free Documentation License".
Copyright (c) 2000,2014 Philippe Latu.
Permission est accorde de copier, distribuer et/ou modifier ce document selon
les termes de la Licence de Documentation Libre GNU (GNU Free Documentation
License), version 1.3 ou toute version ultrieure publie par la Free Software
Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture,
et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence est
incluse dans la section intitule Licence de Documentation Libre GNU .
1.1.Meta-information
1
Cet article est crit avec DocBook XML sur un systme Debian GNU/Linux . Il est disponible en version
3
imprimable au format PDF : lan-segmentation.pdf .
2.Introduction
D'aprs la modlisation OSI, c'est la couche rseau (niveau 3) qui assure l'interconnexion entre les rseaux.
La couche rseau gre donc le trafic entre rseaux.
1
2
3
http://www.docbook.org
http://www.debian.org
http://www.inetdoc.net/pdf/lan-segmentation.pdf
La conception des rseaux locaux a toujours t l'art de trouver le bon quilibre entre rapidit et qualit. Les
commutateurs rpondent parfaitement au critre rapidit tandis que les routeurs rpondent parfaitement
au critre qualit.
Voici donc une prsentation des deux techniques : commutation et routage, suivie d'une synthse sur la
segmentation des rseaux locaux.
3.La commutation
La technologie de commutation opre au niveau 2 du modle de rfrence OSI. La nouvelle popularit des
commutateurs peut tre vue comme la rsurgence de la technologie des ponts.
Tout comme un pont, le commutateur dcide de la redirection partir de l'adresse MAC contenue dans
chaque trame.
A la diffrence d'un pont, le commutateur redirige les donnes avec des temps d'attente trs courts et des
algorithmes intgrs directement dans ses composants.
La commutation permet de rpartir la bande passante la fois sur des segments partags et des segments
ddis.
3.1.Modles de propagation
Commutation cut-through
Elle dmarre le processus propagation partir de l'adresse MAC du destinataire avant que la totalit de
la trame soit reue. Avec ce modle, les temps d'attente sont aussi courts quelle que soit la longueur des
trames. Cependant, les trames errones sont transmises sans aucun contrle.
Commutation store and forward
La totalit de la trame est lue et valide avant sa retransmission. Ceci permet de supprimer les trames
corrompues et de dfinir des filtres pour contrler le trafic travers le commutateur. Les temps d'attente
augmentent avec la longueur des trames.
http://www.inetdoc.net/articles/lan-segmentation/images/utiliser_commutation.png
4.Le routage
Les routeurs oprent au niveau 3 du modle de rfrence OSI. Ils ont beaucoup plus de fonctions logicielles
qu'un commutateur. En fonctionnant un niveau plus lev qu'un commutateur, un routeur distingue les
diffrents protocoles de la couche rseau : IP, IPX, AppleTalk, etc. Cette connaissance permet au routeur de
prendre des dcisions plus sophistiques de propagation.
Comme un commutateur, un routeur fournit aux utilisateurs une communication transparente entre des
segments individuels.
A la diffrence d'un commutateur, un routeur dtermine les limites logiques entre des groupes de segments
de rseaux.
Un routeur fournit un service de contrle d'accs parce qu'il ne transmet que le trafic destin le traverser.
Pour accomplir ces tches, un routeur doit raliser 2 fonctions de base :
1.
Crer et maintenir une table de routage pour chaque protocole de routage. Ces tables sont mises jour
dynamiquement grce aux protocoles de routage.
2.
Identifier le protocole contenu dans chaque paquet, extraire l'adresse de destination rseau et prendre
la dcision de propagation en fonction des donnes de la table de routage.
Les fonctionnalits tendues d'un routeur lui permettent de choisir le meilleur chemin partir de plus
d'lments qu'une simple adresse MAC : comptage des sauts , vitesse de transmission, cot, dlais et
conditions de trafic.
Ces amliorations conduisent une meilleure scurit, une meilleure utilisation de la bande passante et plus
de contrle sur les oprations rseau. Cependant, les temps de traitement supplmentaires peuvent rduire
les performances comparativement un simple commutateur.
Les routeurs sont conus pour grer les architectures rseau en assurant les besoins suivants :
1.
Segmenter les rseaux en domaines de diffusion isols. La hirarchie rsultante permet de dlguer
l'autorit et la gestion des rseaux.
2.
Filtrer intelligemment les paquets et supporter les chemins redondants en assurant une balance de
charge.
http://www.inetdoc.net/articles/lan-segmentation/images/utiliser_routage.png
5.Segmentation
Les facults des commutateurs et des routeurs segmenter les rseaux sont une source de confusion. Comme
chacun des 2 dispositifs opre un niveau diffrent du modle OSI, chacun ralise un type de segmentation
diffrent.
5.3.Synthse
C'est grce aux progrs de l'lectronique qui ont permis d'augmenter les densits d'intgration et les
frquences, que les commutateurs ont pu se dvelopper.
Dans le mme temps, les fonctions ralises par les routeurs n'ont cess d'augmenter en quantit et en
qualit. Il ne faut pas oublier que toute la scurit d'un systme d'information se joue sur les quipements
d'interconnexion. Une rgle de scurit sur une quipement rseau est value chaque nouveau paquet
tandis qu'une rgle de scurit applicative n'est value qu' l'authentification.
Il tait donc invitable que l'on aboutisse des quipements hybrides. Aujourd'hui, les routeurs les plus
performants associent une lectronique rapide (celle du commutateur) au niveau 2 et un logiciel complet (les
fonctions du routeur) au niveau 3.
Pour parvenir ce rsultat, on trouve 2 approches :
6
7
http://www.inetdoc.net/articles/lan-segmentation/images/domaine_collision.png
http://www.inetdoc.net/articles/lan-segmentation/images/domaine_diffusion.png
6.Exemple de conception
En tenant compte des notions abordes ci-dessus, voici un exemple d'architecture faible cot. Il s'agit de
concilier la fourniture de bande passante pour le rseau local et le contrle d'accs pour le rseau tendu.
Routeur GNU/Linux
Gnralement, les liaisons d'accs Internet ont un dbit maximum infrieur 10Mbps. Un chssis
serveur d'entre de gamme peut trs bien accueillir 4 interfaces :
Une liaison spcialise 2Mbps,
Une liaison Backup RNIS/ISDN 128Kbps,
2 interfaces Ethernet 10/100Mbps supportant le mode Full-Duplex qui permet d'atteindre les 200Mbps.
C'est aussi au niveau de ces interfaces que le routage inter-VLAN permet de grer les domaines de
diffusion associs aux groupes de travail.
Une configuration comme celle-ci peut trs bien assumer toute la complexit des traitements de contrle
d'accs et dlguer la fourniture de bande passante au commutateur central.
Commutateur central
Toutes les fonctions d'aiguillage au niveau rseau (couche 3 OSI) tant assures par le routeur, on peut
se contenter d'une programmation par port du commutateur central pour dlimiter les primtres
l'intrieur du rseau local. Ces primtres peuvent correspondre :
des niveaux d'utilisation : choix d'applications ou de puissance de calcul,
des niveaux de scurit : filtrage des services.
Commutateur dpartemental
Comme ces commutateurs ou hubs sont situs l'intrieur des primtres, ils ne ncessitent pas de
programmation particulire. Ils hritent de la configuration ralise au niveau suprieur.
http://www.inetdoc.net/articles/lan-segmentation/images/exemple_conception.png