Vous êtes sur la page 1sur 52

2SEAUX VIRTUELS

COURS URECCNRSFR

2SEAUX VIRTUELS
1997 : Jean-Paul Gautier
modifications
1998 : Jean-Paul Gautier

0LAN

Evolution des rseaux


Qu'est ce qu'un rseau virtuel (VLAN)
Les VLANs et les standards
Rgles de "design"
Administration des VLAN's

%VOLUTION DES RESSOURCES #05


Evolution
En 1980
En 1996

Vax 780
IBM Power Station 590 117
DEC 3000 model 800
SUN SS20
Intel Xpress Deskside

1 Mips
138
89
100

Autorisent les applications distribues

%VOLUTION DES APPLICATIONS


Bases auparavant sur du texte, elles incluent
maintenant la voix, les images, la vido
exemple : Mail avec MIME
WWW

De nouvelles exigences
Qualit de services (QoS)
Temps Rel ou Play-Back
Point point ou Multipoint
Vidoconfrence, enseignement distance, "kiosques"


,ES RSEAUX PARTAGS  CONTRAINTES

Les sous-rseaux sont lis aux hubs


Les utilisateurs sont groups gographiquement
Pas de scurit sur un segment
Plan d'adressage difficile
La mobilit entrane un changement d'addresse
2OUTEUR
(UB

(UB

,A COMMUTATION
Meilleur accs au mdia
bande passante ddie,
moins de conflits d'accs
collisions rduites

Le trafic est dirig vers la station


spcifie
Les "broadcast" sont diffuss plus
vite
L'volutivit reste un problme

#OMMUTATEUR

(UB

,E RSEAU LOCAL COMMUT

Domaines de collisions rduits


Intelligence dans le port du commutateur
Les frontires physiques disparaissent
Regroupement logique des utilisateurs
Meilleur contrle de la bande passante et des
changements dans le rseau
Centralisation de l'administration
Routeur pour la communication inter-rseau

#OMMUTATEUR

(UB

#OMMUTATEUR

2OUTEUR


4ECHNOLOGIES COMMUTES
Ethernet commut 10/100 Mbps
Gigabit Ethernet (IEE 802.3z)
Token ring commut 4/16 Mbps
FDDI/CDDI commut 100 Mbps
Caractristiques communes
Modes Half -Duplex & Full-Duplex
Cut-Through & Store and Forward
Commutateur = Pont multi-ports

ATM (155 Mbps, 622 Mbps, 2.4 Gbps), circuit virtuel




1UEST CE QUUN RSEAU VIRTUEL


Trois ncessits pour introduire le concept
Limiter les domaines de broadcast
Garantir la scurit
Permettre la mobilit des utilisateurs
5NE NOUVELLE MANIRE DEXPLOITER LA TECHNIQUE
DE LA COMMUTATION POUR DONNER PLUS DE
FLEXIBILIT AUX RSEAUX LOCAUX
C EST UN RSEAU LOGIQUE


1UEST CE QUUN RSEAU VIRTUEL

'ESTION
'ESTION
CENTRALISE
CENTRALISE

#OUCHE 
  2OUTAGE
2OUTAGEET
ET &ILTRAGE
&ILTRAGE
#OUCHE
#ONTRLEDD ACCS
ACCS #OMPTABILIT
#OMPTABILIT
#ONTRLE

)) ,, UTILISATEUR
UTILISATEUR APPARTIENT
APPARTIENT TOUJOURS
TOUJOURS
AU
AU 6,!.
6,!. LORS
LORSDE
DE DPLACEMENTS
DPLACEMENTS



1UEST CE QUUN RSEAU VIRTUEL

)DENTIFICATEUR
)DENTIFICATEUR DU
DU 6,!.
6,!.
32#
32# -!#
-!#
!DDRESS
!DDRESS
'ESTION
'ESTION
CENTRALISE
CENTRALISE

3ERVEUR
3ERVEUR
DD )DENTIFICATION
)DENTIFICATION

#OUCHE 
  2OUTAGE
2OUTAGEET
ET &ILTRAGE
&ILTRAGE
#OUCHE
#ONTRLEDD ACCS
ACCS #OMPTABILIT
#OMPTABILIT
#ONTRLE

)) ,, UTILISATEUR
UTILISATEUR APPARTIENT
APPARTIENT TOUJOURS
TOUJOURS
AU
AU 6,!.
6,!. LORS
LORSDE
DE DPLACEMENTS
DPLACEMENTS



,E RSEAU VIRTUEL 6,!.


Permet la gestion dynamique de la mobilit
Permet a des utilisateurs gographiquement disperss de partager
des donnes
Maintient la scurit
Conserve les domaines de broacast traditionnels des LANs
Requiert une couche 3 pour la communication entre VLANs



2SEAUX VIRTUELS  0LUSIEURS TYPES


RE 'NRATION DE LA TECHNOLOGIE 6,!.

RE 'NRATION DE LA TECHNOLOGIE 6,!.

VLANs de niveau 1
Groupe de segments
Vlan 1

Ports

Vlan 2

1
2
3
4
5
6
7
8



!PPARTENANCE PAR PORT


Association port-utilisateur
Association port-segment
Ne ncessite pas de recherche si
fait par des ASICs
Aucun paquet ne quitte son
domaine
Scurit maximale entre
VLANs
Facilement contrlable dans le
rseau

VLAN 2

VLAN 3

VLAN 1



0LUSIEURS 6,!.S PAR PORT 


Quand plusieurs clients sont derrire
le mme port
Ncessitent de rechercher les
adresses
Pas de filtarge des broadcasts sur les
segments partags
Beaucoup d'administration

#OMMUTATEUR

(UB

(UB

Broadcast sortant

#OMMUTATEUR



2SEAUX VIRTUELS  0LUSIEURS TYPES


RE 'NRATION DE LA TECHNOLOGIE 6,!.

VLANs de niveau 1
Groupe de segments
Vlan 1

Ports

1
2
3
4
5
6
7
8

Vlan 2

RE 'NRATION DE LA TECHNOLOGIE 6,!.

VLANs de niveau 2
Groupe dadresses Mac
Vlan 1
0525de78ad2c
0a20487541ed
0b4cf246371d
12df467852ce

Vlan 2
205678ae10a6
7247ef1dc52a
02602909a214
2084dcb1a705

Chaque adresse Mac appartient


un seul VLAN,
Plusieurs VLAN par port autoriss



!PPARTENANCE PAR ADRESSE -!#


Filtrage requis
IMPACT SUR LES PERFORMANCES

Echange des tables d'adresses des VLANs entre les


commutateurs
overhead d l'administration



2SEAUX VIRTUELS  0LUSIEURS TYPES


RE 'NRATION DE LA TECHNOLOGIE 6,!.

VLANs de niveau 1
Groupe de segments
Vlan 1

Ports

1
2
3
4
5
6
7
8

Vlan 2

RE 'NRATION DE LA TECHNOLOGIE 6,!.

VLANs de niveau 2
Groupe dadresses Mac
Vlan 1
0525de78ad2c
0a20487541ed
0b4cf246371d
12df467852ce

Vlan 2
205678ae10a6
7247ef1dc52a
02602909a214
2084dcb1a705

VLANs de niveau 3
Sous-rseau protocolaire (ex IP)
Vlan 1

Sous rseau IP 134.157.4

Vlan 2

Chaque adresse Mac appartient


un seul VLAN,
Plusieurs VLAN par port autoris

Sous rseau IP 134.157.8



!PPARTENANCE PAR SOUS RSEAU

VLAN 1

VLAN 2

IP Subnet 1

VLAN 3

IP Subnet 2

Novel Net 1



!PPARTENANCE PAR SOUS RSEAU


Domaine de broadcast de niveau 2 automatiquement
construit sur l'adresse de niveau 3.
Pas d'administration manuelle des VLANs
Uniquement avec les protocoles routables



"ILAN
Simplicit des VLANs par port (statique)
Facilit d'administration des VLANs par port
(dynamique)
Intrt des VLANs par sous-rseau pour les
protocoles routables et des VLANs par adresse MAC
pour les protocoles non routables
Administration centralise


5TILISATION DES 6,!.S AUJOURDHUI


Gestion du trafic broadcast et multicast
Centralisation des serveurs
administration, scurit

Isolement de certaines applications


protection du "backbone"

Administration centralise
groupes logiques d'utilisateurs
contrle de chaque utilisateur, chaque port, chaque commutateur


%VOLUTIONS
Automatisation des dplacements, des ajouts, des changements
serveurs de configuration
enregistrement
base de donnes centralise
requtes de configuration des commutateurs bases sur les nouvelles adresses MAC
enregistres.

Contrle
services sur les VLANs lis aux applications
accs bas sur des rgles centralises
requiert de "l'intelligence" dans les quipements

Rseaux de cellules ou de trames




#OMPOSANTS DES 6,!.S

Commutateurs
Routeurs
Serveurs
Administration



6,!. ET STANDARDS
Inter-VLAN

VLAN
Marquage des trames
(ex : ISL)

IEEE

MPOA

Propritaire
IEEE

LANE 1.0

Trames

Cellules
)%% $
)%% 
)%% Q



)%% $

4RANSPARENT "RIDGE

Prsence de ponts transparents aux stations.


Toutes les dcisions de routage, au niveau 2, sont
exclusivement faites par les ponts.
Un pont maintient une base de donnes pour
l aiguillage des trames : Forwarding Data Base
(FDB)



)%% $
4RANSPARENT "RIDGE
Infos
Infos relatives
relatives aux
aux
stations
stations actives
actives

Forwarding Data Base

chaque
chaque entre
entre est
est
associe

un
associe un
INACTIVE
INACTIVE TIMER
TIMER

Trame
Trame arrive
arrive sur
sur
le
port
1
vers
le port 1 vers @2
@2
DESTRUCTION
DESTRUCTION

@ station

port

@ station

port

Trame
Trame arrive
arrive sur
sur
le
port
2
vers
le port 2 vers @2
@2
TRANSMISSION
TRANSMISSION

Pont 1


Forwarding Data Base

P1

P2

Pont 2

P1

Indique
Indique le
le port
port de
de sortie
sortie

P2




)%% $

4RANSPARENT "RIDGE

Autoapprentissage
la mise en service : FDB vide
rception d une trame
@ source et le port d arrive dans la FDB
port de transmission inconnu : copie de la trame sur tous les
autres ports (mcanisme de FLOODING)
tous les segments sont concerns
=> convergence rapide du processus (spanning tree)



)%% $
,ES BOUCLES
0HASE D APPRENTISSAGE
2OUTEUR

3ERVEUR
3EGMENT 

#RATION D UNE ENTRE DANS LA &$"


"

"

3TATION

&LOODING

3EGMENT 

"

0ONT

"OUCLE

"

3EGMENT 

Solution au problme du bouclage : Algorithme du spanning Tree



3PANNING 4REE
"0$5
"RIDGE PROTOCOL $ATA 5NIT

"RIDGE 4YPES
Root Bridge
Designated Bridge

#ONCEPTS
0ORT 3TATES
Blocking
Listening
Learning
Forwarding

0ORT 4YPES
Root Port
Designated Ports


3PANNING 4REE

3EGMENT 
$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

&
&

&

2OOT 0ORT

"

3EGMENT 
&
$ESIGNATED "RIDGE

&

2OOT 0ORT
$ESIGNATED 0ORT

&

2OOT 0ORT

"

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT




3PANNING 4REE
3EGMENT 

$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

3EGMENT 
&
$ESIGNATED "RIDGE

&

&
&

2OOT 0ORT
$ESIGNATED 0ORT

2OOT "RIDGE
&

2OOT 0ORT

"

&

2OOT 0ORT

"

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT

5N PAR RSEAU
0ROCESSUS D LECTION
#ONFIRM%LU INTERVALLE RGULIER
#ONFIGURE LES TIMERS DES AUTRES PONTS
4OUS LES AUTRES PONTS CALCULENT LE CHEMIN LE PLUS COURT
VERS LE k ROOT BRIDGE { k LEAST ROOT PATH COST {



3PANNING 4REE
3EGMENT 

$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

2OOT 0ORT

&
&

&

2OOT 0ORT

"

3EGMENT 
&
$ESIGNATED "RIDGE

&

2OOT 0ORT

&

2OOT 0ORT

"

$ESIGNATED 0ORT

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT

5N PART PONT
0ORT AU k LEAST ROOT PATH COST {
)L REOIT TOUTES LES "0$5 ENVOYES
PAR LE k ROOT BRIDGE {
%TAT DU PORT  JAMAIS BLOQUANT


3PANNING 4REE
3EGMENT 

$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

$ESIGNATED "RIDGE

&
&

&

2OOT 0ORT

"

3EGMENT 
&
$ESIGNATED "RIDGE

&

2OOT 0ORT
$ESIGNATED 0ORT

&

2OOT 0ORT

"

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT

!U MOINS UN PAR SEGMENT  TRANSMET LES TRAMES SUR CHAQUE SEGMENT


,E ROOT BRIDGE EST TOUJOURS k $ESIGNATED BRIDGE { POUR LE SEGMENTS QU IL CONNECTE
4OUJOURS LE PONT AVEC LE PLUS COURT CHEMIN VERS LE k ROOT BRIDGE {


3PANNING 4REE
3EGMENT 

$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

&
&

$ESIGNATED PORT
&

2OOT 0ORT

"

3EGMENT 
&
$ESIGNATED "RIDGE

&

2OOT 0ORT
$ESIGNATED 0ORT

&

2OOT 0ORT

"

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT

0ORT CONNECTANT LE k $EIGNATED "RIDGE { AU SEGMENT


CHOISI
4OUS LES TRAFICS QUI SORTENT DU SEGMENT
4RANSMISSION DE "0$5 VERS LES AUTRES PONTS
*AMAIS DANS UN TAT BLOQUANT


3PANNING 4REE
3EGMENT 

$ESIGNATED 0ORT
2OOT "RIDGE
$ESIGNATED 0ORT

&
&

0ORT 3TATES
&

2OOT 0ORT

"

3EGMENT 
&
$ESIGNATED "RIDGE

&

2OOT 0ORT
$ESIGNATED 0ORT

&

2OOT 0ORT

"

3EGMENT 
"

"LOCKED 0ORT

& &ORWARDING 0ORT

"LOCKING  0AS DE TRAFIC TRAVERS CE PORT REOIT SEULEMENT LES "0$5


,ISTENING  0AS DE TRAFIC TRAVERS CE PORT STOPPE LES "0$5 REUES
,EARNING  0AS DE TRAFIC TRAVERS CE PORT CONSTRUIT SA &$"
&ORWARDING  4RAFIC UTILISATEUR TRANSMISSION ET RCEPTION DE "0$5


3PANNING 4REE
0ARAMTRES DE CONFIGURATION
Paramtres rseau

Paramtres lis au port

Hello interval
Frquence laquelle un designated port
envoie des BPDU, 2 s par dfault.

Forward delay
Passage de l tat listening, learning
l tat forwarding , 15 s par dfault

Max age
Pseudo TTL pour les BPDU

Bridge priority (per bridge)

Port cost
Cot de transmission d une trame sur un
segment
Path cost

cot total vers le root bridge


lors de l envoi d une BPDU, le port cost
du port prcdent qui a reu la BPDU est ajout

Par dfaut : 1000/Dbit en Mbps


10 Base T = 100, 100 Base FX, FDDI = 10, ATM = 6

Port priority

Intervalle 1-32768, valeur par dfaut 32768




3PANNING 4REE
3EGMENT 
$ESIGNATED 0ORT

0RIORITY 

2OOT "RIDGE
$ESIGNATED 0ORT

&
&

&

2OOT 0ORT

0RIORITY 

"

3EGMENT 

0RIORITY 
$ESIGNATED "RIDGE

&
&

2OOT 0ORT

&
"

$ESIGNATED 0ORT

2OOT 0ORT

0RIORITY 

3EGMENT 
"

0ORT 
0ORT 

"LOCKED 0ORT

& &ORWARDING 0ORT

!LL PORTS HAVE A COST OF 

-ESSAGES DE CHANGEMENT DE TOPOLOGIE


%N DIRECTION DU k ROOT BRIDGE {
%NVOYS CHAQUE TRANSITION D UN PORT
DANS L TAT k FORWARDING {


)%%% 
)%%% 

,AYER 

,AYER 

)%%% 

)%%% 
%THERNET

)%%% 
4OKEN 2ING

!.3) &$$) -!#

IEEE 802.10 correspond aux besoins de segmentation du trafic et de


scurit dans les rseaux LAN/MAN
la base, gestion des Groupes Ferms d'Abonns

Indpendance vis vis des quipements intermdiaires


Son utilisation semble tre limit FDDI


)%%% P
Extension de IEEE 802.1D pour le support dans les LANs "bridgs"
Classes de trafic
prioritisation du trafic dans les commutateurs
permettre le trafic temps rel dans les commutateurs
la priorit est allou
au niveau MAC sur le protocole (ex 802.3)
au niveau des adresses MAC des entits

pas de QoS, pas de contrle de flux

Filtrage dynamique du multicast


protocole GARP
'ENERIC !TTRIBUTE 2EGISTRATION 0ROTOCOL
identique IGMP mais au niveau 2
)NTERNET 'ROUP -ANAGEMENT 0ROTOCOL


)%%% 1
6IRTUAL "RIDGED ,OCAL !REA NETWORK
Standard VLAN pour des LAN commuts/bridgs
Construit sur IEEE 802.1D et IEEE 802.1P
Marquage des trames
Etiquette implicite
Pas d'tiquette dans la trame
Appartenante d'une trame un VLAN base sur son contenue (@MAC,@IP) et le port

Etiquette explicite
Etiquette dans la trame

Supporte la prioritisation
Draft Standard P802.1Q/D11


)%%% 1
6IRTUAL "RIDGED ,OCAL !REA NETWORK
Trame IEEE 802.3
 OCTETS

Prambule

 OCTET

SFD

 OCTETS

@ DEST

 OCTETS

 OCTETS

@ SCE

 OCTETS

  OCTETS

 OCTETS

Lg DATA

DATA

FCS

Tag Header

VID

User Priority

12 bits = 4096 identificateurs

VID VLAN Identifier

CFI Canonical Format Indicator



%TIQUETTE EXPLICITE
%TIQUETAGE  NIVEAU  SIMPLE MARQUAGE DES TRAMES
D S

FCS

D S

FCS

#OMMUTATEUR

#OMMUTATEUR

FCS

VD VS

#OMMUTATEUR

Source

FCS

6,!. )$

%TIQUETAGE  NIVEAUX  "ASE POUR -ULTIPROTOCOL /VER ,!.


/RIENT "ACKBONE

Etiquette fabrique
D S

D S

D S
VS

FCS
VD

#OMMUTATEUR

D S

FCS

Destination


2GLES DE DESIGN DES 6,!.


Questions ?
nombre d'utilisateurs ?
plan du campus
les utilisateurs qui partagent des donnes sont-ils
gographiqement proches ?
plan de cblage du campus
les changements sont-ils le fait de dpartements ou
d'utilisateurs isols ?
quel est le trafic sur le campus ?
les ressources sont centralises ou distribues ?
applications multimdia en perspectives ?


,E BACKBONE
Choix de la technologie
Fast ethernet
Gigabit ethernet
ATM 155 Mbps, 622 Mbps (PNNI Phase 1)

Ne doit jamais tre satur


rgle des 80/20
garantir un bon temps de rponse aux applications

Liens multiples
rpartition de charge
redondance

Evolution et stabilit
Spanning Tree par VLAN


,ES BROADCASTS
Les broadcasts et les multicasts interrompent tous les
matriels sur le rseau
traitement au niveau du CPU

Taille d'un domaine de broadcast


IP < 500 stations
la classe C est un moyen pratique de limitation

IPX < 300 stations


Appletalk < 200 stations


!CCS DES SERVEURS DAPPLICATIONS


Serveurs centraliss gographiquement
liaisons haut-dbit

Les groupes de travails, les services sont spars


logiquement avec des serveurs ddis.
Liens haut-dbit pour interconnecter les VLANs
Le routage et la scurit se font au niveau 3

Architecture indpendante des technologies


LAN, ATM


#AMPUS
!RCHITECTURE 6,!.
#OMMUTATEURS MULTI NIVEAUX , ,
#ONTRLE PAR k !CCESS ,ISTS {
3ERVICES HAUTE PERFORMANCE

,  , 0ERFORMANCE


 4RAFIC
4RAFIC
NON
NON LOCAL
LOCAL

6,!. 
3ERVEURS
3ERVEURS
3TRUCTURE
3TRUCTURE EXISTANTE
EXISTANTE


#AMPUS

!RCHITECTURE 6,!.

Les utilisateurs sont membres d un VLAN donn,


indpendamment des dplacements physiques.
Chaque VLAN peut avoir un jeu de rgles de scurit pour
l ensemble de ses membres.
Aujourdhui, le trafic est principalement local, les performances des
commutateurs de niveau 3 ne sont pas requises.



!DMINISTRATION DES 6,!.S


Disposer d'outils graphiques
"Drag & drop" pour la configuration des ports
Suivi de configuration par VLAN
travers le rseau
topologie par VLAN

Mise en oeuvre et configuration centralises


Configuration des liens redondants base sur des chemins
prfrentiels
Outils pour "rgler" le rseau
problme de la visibilit dans les rseaux commuts


!DMINISTRATION DES 6,!.S


Analyse de trafic
Surveillance active
Dfaillances
Rapports d'activit

RFC 2222
SNMP
SNMP v2

RFC 1098

RMON 2

SNMP

Statics group
History group
Alarm group
Hoast group
Host TopN group
Trafic matrix group
Filter Group
packet capture group
Event group
Token Ring group

SGMP

1987

1989

RMON

RFC 1271,1513,1757

Agents RMON
Sonde RMON
Port mirroring

1994