Vous êtes sur la page 1sur 20

VLAN

LASFAR Salim-ABBASSI
abdelkebir-BELASSOULI
kanza-BENAFKIR Abdellah
VLAN (Virtual Local Area Network) : ensemble de ports
formant un rseau local virtuel (logique) et non physique.

LP-R2SI:
Administration des
rseaux et scurit
sous Linux.

Encadr Par : Mr M.EL KIRAM

Dfinition dun VLAN :


VLAN (Virtual Local Area Network) : ensemble de ports formant un rseau
local virtuel (logique) et non physique.

Inconvnient : il faut la fois autant de commutateurs et de liens


d'interconnexions que de rseaux.
C'est pour cela que l'on s'est dirig vers le VLAN.

VLAN par port :


On attribue un numro de VLAN chaque ou plusieurs ports du
commutateur.

Configuration de VLAN par port :

Configuration des VLAN :


Schma utilis :

Cration de VLAN :

Affectation de VLAN au interface :

Cration dune liaison TRUNK entre les deux switchs :

La suppression dun vlan :

Annuler lappartenance dune interface a un VLAN :

Une vue sur les VLAN en bref :

Une vue gnrale sur les VLANs :

Une vue sur un VLAN par son ID :

Configuration de VTP :
VTP ou VLAN Trunking Protocol :

Protocole utilis pour configurer et administrer les VLANs sur les


priphriques Cisco. Il fonctionne sur les switches Cisco dans un de ces 3
modes :
client.
serveur.
transparent.
Si le numro de rvision reu par un switch client est plus grand que celui
en cours, la nouvelle configuration est applique.

Nous allons commencer par configurer le Switch 0. Ce dernier sera notre


serveur VTP qui va permettre aux autres Switch configurer en mode client de
rcuprer les Vlans du rseau dclars dans le Switch0 :

Maintenant nous configurons les deux Switchs 1 en mode client, il va apprendre


les Vlans automatiquement grce aux messages envoys par le serveur VTP :

Configuration de Switch 0 :

Configuration de Switch 1:

On constat que le switch mode client a rcupr les VLANs configur au niveau
de switch 0 .

Teste de connectivit des VLANs :

On voit que le ping passe par le protocole ICMP entre le serveur1 et le serveur0
Par contre il ne passe pas entre le serveur1 et laptop0 car les serveurs sont dans
le mme vlan et les laptop sont aussi dans un autre vlan.

VLAN par adresse MAC :


On attribue un numro de VLAN chaque ou plusieurs adresses MAC.

Principe :
Le Vlan de niveau segmente le rseau en fonction de l'adresse MAC de
l'utilisateur. On associe ainsi des adresses des Vlans pour permettre un
utilisateur de se dplacer sans pour autant changer de profil. Ce type de
Vlan est gnralement utilis pour regrouper les utilisateurs par service.
ce type de Vlan permet de regrouper au sein d'un mme lien et de les
transporter sur le rseau (voir norme 802.1q).

Les avantages :
Les Vlans de niveau 2 permettent une scurit au niveau de l'adresse
MAC, c'est dire qu'un pirate souhaitant se connecter sur le Vlan devra
au pralable rcuprer une adresse MAC du Vlan pour pouvoir entrer.
Les Vlans de niveau 2 offrent des possibilits de centralisation des tables
Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour
connaitre les informations ncessaires une adresse MAC donne.

Les inconvnients :

Le Vlan de niveau 2 offre une scurit moindre que le Vlan par port de par
la possibilit de spoofer l'adresse MAC. De plus, il n'y a pas de contrle de
flux prvu ce qui ncessite un bon dimensionnement du rseau.

Le VMPS (VLAN Membership Policy Server) :


Qu'est ce que le VMPS ?
La gestion de Vlans est devenu fastidieuse et rbarbative sur grand site
htrogne, il a alors fallu trouver une solution pour automatiser cette
gestion. Le Vmps est un service, cre par Cisco, charg de faire
correspondre un Vlan une (ou plusieurs) adresse Mac et s'impose donc
comme la solution.

Comprendre le VMPS :
La gestion dynamique des Vlans passe tout d'abord par la comprhension
d'une architecture rseau bas sur les Vlans de niveau 2, du protocole
VTP (Vlan Trunking Protocol), puis par l'tude du protocole VQP (Vlan
Query Protocol).
Le protocole VTP (Vlan Trunking Protocol) :

L'utilisation du protocole VTP est obligatoire sur le rseau sur lequel on


veut dployer une solution VMPS. EN effet, ce dernier utilisera le nom de
domaine VTP lors de l'change de paquets entre le serveur VMPS et les
commutateurs clients.
Le protocole VQP :

Le protocole VQP est un protocole qui permet au switch client


d'interroger un serveur VMPS avec des informations sur les stations
enregistres et leur Vlan associ. Ainsi le switch client pourra associer le
port avec le bon VLAN. Le serveur VMPS est le plus souvent un switch ou
un routeur Cisco, mais il existe galement des serveurs " libres " (dont le
code source est consultable et modifiable) destin aux machines Unix
(Linux et Solaris).
Le Vmps est donc bas sur une architecture client/serveur et permet de

grer dynamiquement les assignations de Vlan en fonction d'adresses


MAC (Media Access Control). Lorsqu'une machine se connecte un port,
le switch rcupre son adresse MAC et se connecte au serveur VMPS afin
de vrifier le droit d'accs de cette machine. Lorsque celle-ci est autorise,

le serveur envoie au client le Vlan dans lequel cette machine doit se


connecter. Le switch place donc le port dans le bon Vlan et la machine a
donc accs au rseau.

Le serveur VMPS peut tre accompagn de serveur secondaire pour


prendre le relai en cas de panne ou pour simplement quilibrer la charge
(load-balancing).
Le serveur utilise une base de donnes contenant les adresses MAC des
clients, le Vlan correspondant et d'autres rgles permettant de donner le
droit un utilisateur de se connecter. Normalement cette base de donnes
est tlcharge par le serveur VMPS partir d'un serveur TFTP (Trivial
File Transfert Protocol), qui peut tre situ n'importe o sur le rseau.
Cette base de donnes est charge dans le serveur chaque
dmarrage/redmarrage de celui-ci.

Configuration de VLAN par @ MAC :


Attribution dune adresse IP au switch :
On peut attribuer une adresse ip au switch:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.10 255.255.255.0
Switch(config-if)#no shutdown

Configuration dun serveur VMPS sur un switch Client :


Commande
Etape 1 Switch# configure
terminal

Description
Entrer au global configuration mode.

Etape 2 Switch(config)# vmps Spcifies ladresse IP ou bien le nom


server
de switch qui sera un serveur VMPS
{ipaddress |
primaire.
hostname} primary
Etape 3 Switch(config)# vmps Spcifie ladresse IP ou bien le nom de
server
switch qui sera un serveur VMPS
{ipaddress |
secondaire .
hostname}
Etape 4 Switch(config)# end

Returner au mode privilege.

Etape 5 Switch# show vmps

Vrifier le serveur VMPS.

Exemple :

Rsultat de La commande #show vmps :

Configuration des ports dynamique sur un switch client


VMPS :
Commande

Description

Step 1 Switch# configure

Entrer au mode de configuration


globale.

Step 2 Switch(config)#

Enter au mode interface et spcifier


le port configur.

Step 3 Switch(config-if)#

Configur le port en mode access.

Step 4 Switch(config-if)#

. Configure le port comme ligible


pour le vlan dynamique access.

Step 5 Switch(config-if)# end

Returner au mode privilege.

Step 6 Switch# show interface

Vrifier linterface.

terminal

interface interface
switchport mode
access

switchport access
vlan dynamic

interface
switchport

Exemple :

NB - Laffectation de plusieurs ports au VLAN dynamique peut seffectuer comme suit :


Switch1 (config)# interface range fastethernet

0/2

Switch(config-if)# switchport access vlan dynamic

Reconfirme VLAN Memberships :


Commande

Description

Step 1 Switch# vmps

Reconfirmer les ports dynamique


membership.

Step 2 Switch# show vmps

Verifier le statut de reconfirmation des


vlan dynamique.

reconfirm

Configur lintervalle de reconfirmation :


Commande

Description

Step 1 Switch# configure

Entrer au mode de configuration


globale.

Step 2 Switch(config)# vmps

Spcifie le nombre des minutes entre


les reconfirmations de VLAN
dynamique membership.

Step 3 Switch(config)# end

Returner au mode privilege.

Step 4 Switch# show vmps

Vrifier le statut de reconfirmation


des VLAN dynamique.

terminal

reconfirm minutes

Exemple :

Configur lintervalle de Retry :


Commande

Description

Step 1 Switch# configure

Entrer au mode de configuration


globale.

Step 2 Switch(config)# vmps

Spcifie le count de retry pour VPQ ,


par dfaut cest 3, le pool cest entre 1
et 10.

Step 3 Switch(config)# end

Returner au mode privilege.

Step 4 Switch# show vmps

Vrifier le count de retry.

terminal

retry count

Exemple :

Installation dun serveur VMPS sous lunix :


Prrequis VMPS :

Un domaine VTP valide (Configuration du VTP)


Si pas de switch Cisco >= sries 4000, un serveur sous linux
Linux ex: ubuntu install sur le serveur
Avoir install la plateforme GCC
Le serveur doit avoir une IP sur le sous rseau d'administration des
switch
Paquet source d'OpenVMPS : http://sourceforge.net/projects/vmps/

Installation VMPS sur Linux :

Ouvrir un session en "root"


Installer GCC : # apt-get install GCC
Copier en SCP ou WGET le paquet source OpenVMPS
Dtarrer le fichier dans un rpertoire (ex: /opt/vmpsd)
Procder l'installation avec
# ./configure
# make
# make install
Ouvrir le fichier : /usr/local/etc/vlan.db
Suivre les indication du fichier exemple ci-dessous :

Retour a ltat initial :


suppression du fichier dinformations de la base de donnes VLAN :
Dans Flash, les informations de la base de donnes VLAN sont stockes sparment
des fichiers de configuration dans vlan.dat. Pour supprimer le fichier VLAN, excutez
la commande delete flash:vlan.dat.

suppression du fichier de configuration initiale du commutateur de la


mmoire vive non volatile (NVRAM) :
Switch#erase startup-config