Vous êtes sur la page 1sur 7

Segmentation des rseaux locaux

Philippe Latu

philippe.latu(at)inetdoc.net
http://www.inetdoc.net

Rsum
Les commutateurs sont aujourd'hui des outils essentiels dans la
conception des architectures rseau. La garantie sur la bande
passante dlivre par port a fortement contribu au dveloppement
des rseaux locaux. Pour autant, la commutation de trames Ethernet
associe aux rseaux virtuels (VLANs) peut-elle supplanter elle
seule le routage dans la gestion des rseaux ? Pour concevoir
correctement une architecture, il faut considrer les besoins en
application, les schmas de trac et la composition des groupes
logiques. Cet article donne quelques lments sur le choix entre
routage et commutation.

Table des matires


1. Copyright et Licence ............................................................................................................... 1
1.1. Meta-information .......................................................................................................... 1
2. Introduction ........................................................................................................................... 2
3. La commutation ..................................................................................................................... 2
3.1. Modles de propagation ................................................................................................ 2
3.2. O utiliser des commutateurs ? ..................................................................................... 3
4. Le routage .............................................................................................................................. 3
4.1. O utiliser des routeurs ? .............................................................................................. 4
5. Segmentation ......................................................................................................................... 4
5.1. Un commutateur segmente des domaines de collision .................................................... 4
5.2. Un routeur segmente des domaines de diffusion ............................................................ 5
5.3. Synthse ....................................................................................................................... 5
6. Exemple de conception ........................................................................................................... 6

1.Copyright et Licence
Copyright (c) 2000,2015 Philippe Latu.
Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.3 or any later version
published by the Free Software Foundation; with no Invariant Sections, no
Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included
in the section entitled "GNU Free Documentation License".
Copyright (c) 2000,2015 Philippe Latu.
Permission est accorde de copier, distribuer et/ou modifier ce document selon
les termes de la Licence de Documentation Libre GNU (GNU Free Documentation
License), version 1.3 ou toute version ultrieure publie par la Free Software
Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture,
et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence est
incluse dans la section intitule Licence de Documentation Libre GNU .

1.1.Meta-information
Cet article est crit avec DocBook1 XML sur un systme Debian GNU/Linux2. Il est disponible en version
imprimable au format PDF : lan-segmentation.pdf3.
1

http://www.docbook.org
http://www.debian.org
3
http://www.inetdoc.net/pdf/lan-segmentation.pdf
2

Segmentation des rseaux locaux

Segmentation des rseaux locaux

2.Introduction
D'aprs la modlisation OSI, c'est la couche rseau (niveau 3) qui assure l'interconnexion entre les
rseaux. La couche rseau gre donc le trac entre rseaux.

La conception des rseaux locaux a toujours t l'art de trouver le bon quilibre entre rapidit et qualit.
Les commutateurs rpondent parfaitement au critre rapidit tandis que les routeurs rpondent
parfaitement au critre qualit.
Voici donc une prsentation des deux techniques : commutation et routage, suivie d'une synthse sur
la segmentation des rseaux locaux.

3.La commutation
La technologie de commutation opre au niveau 2 du modle de rfrence OSI. La nouvelle popularit
des commutateurs peut tre vue comme la rsurgence de la technologie des ponts.
Tout comme un pont, le commutateur dcide de la redirection partir de l'adresse MAC contenue
dans chaque trame.
A la diffrence d'un pont, le commutateur redirige les donnes avec des temps d'attente trs courts
et des algorithmes intgrs directement dans ses composants.
La commutation permet de rpartir la bande passante la fois sur des segments partags et des
segments ddis.

3.1.Modles de propagation
Commutation cut-through
Elle dmarre le processus propagation partir de l'adresse MAC du destinataire avant que la totalit
de la trame soit reue. Avec ce modle, les temps d'attente sont aussi courts quelle que soit la
longueur des trames. Cependant, les trames errones sont transmises sans aucun contrle.
Commutation store and forward
La totalit de la trame est lue et valide avant sa retransmission. Ceci permet de supprimer les
trames corrompues et de dnir des ltres pour contrler le trac travers le commutateur. Les
temps d'attente augmentent avec la longueur des trames.

Segmentation des rseaux locaux

Segmentation des rseaux locaux

3.2.O utiliser des commutateurs ?

O utiliser la commutation ? - vue complte4


Les commutateurs doivent tre considrs comme fournisseurs de bande passante et non comme une
amlioration de la scurit et du contrle du rseau. Les besoins en bande passante proviennent :
du nombre toujours croissant du nombre de postes connects,
du dveloppement de la puissance des postes,
de l'mergence d'applications client/serveur de type Internet (courrier, serveurs Web, etc.),
du regroupement des serveurs au sein de fermes de serveurs.

4.Le routage
Les routeurs oprent au niveau 3 du modle de rfrence OSI. Ils ont beaucoup plus de fonctions
logicielles qu'un commutateur. En fonctionnant un niveau plus lev qu'un commutateur, un routeur
distingue les diffrents protocoles de la couche rseau : IP, IPX, AppleTalk, etc. Cette connaissance
permet au routeur de prendre des dcisions plus sophistiques de propagation.
Comme un commutateur, un routeur fournit aux utilisateurs une communication transparente
entre des segments individuels.
A la diffrence d'un commutateur, un routeur dtermine les limites logiques entre des groupes de
segments de rseaux.
Un routeur fournit un service de contrle d'accs parce qu'il ne transmet que le trac destin le
traverser. Pour accomplir ces tches, un routeur doit raliser 2 fonctions de base :
1.

Crer et maintenir une table de routage pour chaque protocole de routage. Ces tables sont mises
jour dynamiquement grce aux protocoles de routage.

2.

Identier le protocole contenu dans chaque paquet, extraire l'adresse de destination rseau et
prendre la dcision de propagation en fonction des donnes de la table de routage.

Les fonctionnalits tendues d'un routeur lui permettent de choisir le meilleur chemin partir de plus
d'lments qu'une simple adresse MAC : comptage des sauts, vitesse de transmission, cot, dlais
et conditions de trac.
4

http://www.inetdoc.net/articles/lan-segmentation/images/utiliser_commutation.png

Segmentation des rseaux locaux

Segmentation des rseaux locaux


Ces amliorations conduisent une meilleure scurit, une meilleure utilisation de la bande passante
et plus de contrle sur les oprations rseau. Cependant, les temps de traitement supplmentaires
peuvent rduire les performances comparativement un simple commutateur.

4.1.O utiliser des routeurs ?

O utiliser un routeur ? - vue complte5


Les routeurs sont conus pour grer les architectures rseau en assurant les besoins suivants :
1.

Segmenter les rseaux en domaines de diffusion isols. La hirarchie rsultante permet de


dlguer l'autorit et la gestion des rseaux.

2.

Filtrer intelligemment les paquets et supporter les chemins redondants en assurant une balance
de charge.

Dans l'exemple ci-dessus :


Les stations Ai et Bi bncient de liaisons ddies. Chacune dispose de la totalit de la bande
passante du rseau.
Les stations Ci et Di utilisent des liaisons partages. La bande passante totale est rpartie entre les
stations actives.
Le trac de diffusion des serveurs A et B ne traverse pas le routeur. La bande passante est prserve
entre les rseaux.

5.Segmentation
Les facults des commutateurs et des routeurs segmenter les rseaux sont une source de confusion.
Comme chacun des 2 dispositifs opre un niveau diffrent du modle OSI, chacun ralise un type
de segmentation diffrent.

5.1.Un commutateur segmente des domaines de collision


La segmentation au niveau 2 rduit le nombre de stations en comptition sur le mme rseau local.
Chaque domaine de collision possde la bande passante dlivre par le port du commutateur.
Les domaines de collisions appartiennent au mme domaine de diffusion.
5

http://www.inetdoc.net/articles/lan-segmentation/images/utiliser_routage.png

Segmentation des rseaux locaux

Segmentation des rseaux locaux

Segmenter avec un commutateur - vue complte6

5.2.Un routeur segmente des domaines de diusion


La segmentation au niveau 3 rduit le trac de diffusion en divisant le rseau en sous-rseaux
indpendants.

Segmenter avec un routeur - vue complte7

5.3.Synthse
C'est grce aux progrs de l'lectronique qui ont permis d'augmenter les densits d'intgration et les
frquences, que les commutateurs ont pu se dvelopper.
Dans le mme temps, les fonctions ralises par les routeurs n'ont cess d'augmenter en quantit et
en qualit. Il ne faut pas oublier que toute la scurit d'un systme d'information se joue sur les
quipements d'interconnexion. Une rgle de scurit sur une quipement rseau est value chaque
nouveau paquet tandis qu'une rgle de scurit applicative n'est value qu' l'authentication.
Il tait donc invitable que l'on aboutisse des quipements hybrides. Aujourd'hui, les routeurs les
plus performants associent une lectronique rapide (celle du commutateur) au niveau 2 et un logiciel
complet (les fonctions du routeur) au niveau 3.
Pour parvenir ce rsultat, on trouve 2 approches :
6
7

http://www.inetdoc.net/articles/lan-segmentation/images/domaine_collision.png
http://www.inetdoc.net/articles/lan-segmentation/images/domaine_diffusion.png

Segmentation des rseaux locaux

Segmentation des rseaux locaux


Les quipements haut de gamme.
Les tnors du march de l'interconnexion rseau proposent des appareils avec une lectronique de
commutation et de chiffrage spcique. Les fonctions de routage sont assures par des systmes
d'exploitation propritaires. C'est la solution la plus complte et la plus efcace mais elle a un cot
trs lev.
Les rseaux virtuels ou VLANs.
La norme IEEE 802.1Q permet une segmentation dynamique des sous-rseaux. C'est une solution
attrayante du point de vue gestion de parc mais incomplte du point de vue contrle d'accs. Il est
possible d'exploiter les informations des trames IEEE 802.1Q en les associant un adressage rseau
de niveau 3. On parle alors de routage inter-vlan.

6.Exemple de conception
En tenant compte des notions abordes ci-dessus, voici un exemple d'architecture faible cot. Il s'agit
de concilier la fourniture de bande passante pour le rseau local et le contrle d'accs pour le rseau
tendu.

Exemple de conception - vue complte8


Routeur GNU/Linux
Gnralement, les liaisons d'accs Internet ont un dbit maximum infrieur 10Mbps. Un chssis
serveur d'entre de gamme peut trs bien accueillir 4 interfaces :
Une liaison spcialise 2Mbps,
Une liaison Backup RNIS/ISDN 128Kbps,
2 interfaces Ethernet 10/100Mbps supportant le mode Full-Duplex qui permet d'atteindre les
200Mbps. C'est aussi au niveau de ces interfaces que le routage inter-VLAN permet de grer les
domaines de diffusion associs aux groupes de travail.
Une conguration comme celle-ci peut trs bien assumer toute la complexit des traitements de
contrle d'accs et dlguer la fourniture de bande passante au commutateur central.
Commutateur central
Toutes les fonctions d'aiguillage au niveau rseau (couche 3 OSI) tant assures par le routeur,
on peut se contenter d'une programmation par port du commutateur central pour dlimiter les
primtres l'intrieur du rseau local. Ces primtres peuvent correspondre :
des niveaux d'utilisation : choix d'applications ou de puissance de calcul,
des niveaux de scurit : ltrage des services.
8

http://www.inetdoc.net/articles/lan-segmentation/images/exemple_conception.png

Segmentation des rseaux locaux

Segmentation des rseaux locaux


Commutateur dpartemental
Comme ces commutateurs ou hubs sont situs l'intrieur des primtres, ils ne ncessitent pas
de programmation particulire. Ils hritent de la conguration ralise au niveau suprieur.

Segmentation des rseaux locaux