Académique Documents
Professionnel Documents
Culture Documents
Vlan PDF
Vlan PDF
VESIS
Note : Dans cette prsentation, la plupart des exemples de configuration est base sur des commutateurs Omniswitch
dAlcatel. Nous mentionnons ces exemples dans lunique but de vous donner quelques ides sur comment les
concepts que nous dcrivons peuvent tre dploys pratiquement. En fait, nous constatons que limplmentation
et mme la configuration de ces concepts sont relativement similaires dun quipementier un autre, ceci
quelques fonctionnalits prs.
Roshanak Partovi, rpartovi@novesis.com
N
Rseaux : Concepts de base et la
terminologie
Historique
Terminologie
Modle OSI
Type de trafic : Unicast, multicast et broadcast
Equipements de rseau
Concepts
LAN
Domaine de diffusion
VLAN
VESIS
Historique
VESIS
1970
Roshanak Partovi, rpartovi@novesis.com
2000
3
VESIS
Modle OSI
Switches
Switches
Hubs
Hubs
VESIS
Source http://www.frameip.com/osi/
VESIS
Commutateur
Transmet sur tous les
ports.
Transmet sur tous les
ports.
Transmet sur le port o
le poste rside (**).
VESIS
Routeur
Ne transmet pas.
Ne transmet pas.
Transmet selon la
Table de routage (***).
Un segment Ethernet
VESIS
LAN
RH
R&D
PROD
Les limitations dun segment Ethernet :
Le nombre de postes sur chaque segment
La longueur du segment
Problmes de congestion
Toutes les trames, unicast ou broadcast, envoyes par chaque PC sont
vues par les autres.
Les besoins en scurit, fiabilit et performance suggrent la ncessit
de segmenter le trafic.
La segmentation peut tre effectue au niveau 2 ou 3 ou aux deux
niveaux en mme temps.
Domaine de diffusion
VESIS
LAN
RH
R&D
PROD
Equipements de niveau 1
VESIS
Transceiver
Hub
Repeater
Admin
Production
Admin
Production
10
Commutateurs de niveau 2
VESIS
...
Port 1
Port 2
p1
A
Admin
Switch
p2
p3
C
Production
11
Routeur
VESIS
Router
Building-B
Next hop
IP-B
IP-First floor
Direct
IP-Second floor Direct
IP-Building-B
IP-B
IP-A
IP1
Network
first floor
Router
Building-A
Switch-first floor
IP2
Switch-second floor
Network
second floor
12
N
VLAN
Dfinition et caractristiques
Les VLANs simples
VLAN tagging : 802.1Q
Routage entre les VLANs
Les VLANs avancs
Agrgation de liens (Link aggregation ou
Trunking)
VESIS
VESIS
14
VESIS
R&D
P2, 3, 7
Admin
P1, 5, 6
P10
P12
Switch
P10
P14
second-floor
Broadcast domain
or VLan R&D
R&D
VLan Id 200 P1, 2, 3
Broadcast domain
Or VLan Admin
VLan Id 100
Admin
P4, 5, 6
15
VESIS
16
Tagged
Ethernet Frame
6 bytes
6 bytes
Dest MAC
Source MAC
16 bits
802.1Q Tag
C
TPI
802.1p
8100 Priority bits F
I
802.1Q Tag
4 bytes
3 bits
1 bit
2 bytes
64-1500 bytes
Protocol Type
Data
VESIS
VLan Id
12 bits
17
VLANs et 802.1Q
Switch first-floor
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Id 200
VLan Admin
VLan Id 100
VESIS
Switch second-floor
R&D
P1, 2, 3
Admin
P4, 5, 6
18
VESIS
External Router
P1 P2
Switch first-floor
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Admin
P1 P4
Switch second-floor
R&D
P1, 2, 3
Admin
P4, 5, 6
19
VESIS
Switch second-floor
11.1.1.1
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Id 200
VLan Admin
VLan Id 100
R&D
P1, 2, 3
Default GW
10.1.1.1
Default GW
11.1.1.1
Admin
P4, 5, 6
20
VLANs avancs
VESIS
21
Vlan 2 IP
Vlan 3 IPX
Vlan 4 with tagging enabled
Vlan 5 ip address
VESIS
Mobile ports
P1
P2
Les ports mobiles sont les seuls tre ligibles pour un raccordement
dynamique de VLAN.
Selon le trafic, les rgles dfinies ou le VLAN ID tag, un port mobile peut
devenir membre de plusieurs VLANs.
Example de configuration
> vlan port mobile 1
> vlan 4 mobile-tag enable
Note : La notion de Ports mobile et mobile tagging fait partie de la terminologie dAlcatel pour les Omniswitchs,
cependant il est possible que vous retrouviez le mme concept sous un nom diffrent auprs dautres quipementiers.
Roshanak Partovi, rpartovi@novesis.com
22
VESIS
23
VESIS
DHCP server
Switch
R&D
Exemple de configuration
> vlan 100 name admin ip 10.1.1.0 255.255.255.0
24
VESIS
DHCP server
Switch
Admin
Start-Up
P tr
DHC
Quel VLAN pour un PC qui vient de booter et qui na pas encore une adresse
IP?
Les rgles par DHCP sont utilises pour classifier le trafic DHCP dans le but
de transmettre et recevoir les trames DHCP entre le client et le serveur.
Le port sort du VLAN DHCP lorsque le processus de DHCP est termin.
Le poste a maintenant une adresse IP, mais ne fait partie daucun VLAN.
Pour quil puisse communiquer avec le rseau, il est ncessaire que son trafic
satisfasse une rgle dynamique afin dtre raccord un autre VLAN.
25
VESIS
DHCP server
Switch
, from/to
ic
ff
a
r
t
P
I
10.1.1.0
subnet
Admin
Start-Up
Les rgles par DHCP peuvent tre gnriques ou bases sur ladresse MAC
ou bloc de MAC ou port.
Exemple de configuration
> vlan 200 name Start-Up dhcp mac range 00:DA:95:00:59:10 00:DA:95:00:59:9F
> vlan 100 name admin ip 10.1.1.0 255.255.255.0
26
VESIS
DHCP server
Switch
R&D
Admin
27
VESIS
DHCP server
Switch
R&D
Admin
c
raffi
IP t
28
VESIS
PRINTER
P2
R&D
Switch
Admin
Avec la rgle par port, le trafic nest pas requis pour initier un raccordement
dynamique de port mobile au VLAN.
Ces rgles sont utilises le plus souvent pour des quipements passifs
comme les imprimantes, qui ont besoin de faire partie de VLan afin de
recevoir le trafic transmis par le VLan (exemple : les requtes dimpression).
Enfin, la rgle par port sapplique seulement au trafic sortant et ne classifie
pas le trafic entrant.
Exemple de configuration
> vlan 100 name admin port 2
> vlan 200 name R&D port 2
29
Rgles conditionnelles
VESIS
DHCP server
Switch
R&D
p5
Admin
30
Authenticated VLANs
VESIS
Source [alcatel-man]
31
IEEE 802.1X
VESIS
Source [alcatel-man]
32
VESIS
Switch B
Switch C
VLAN 2
VLAN 3
802.1Q
Applied to the above logical link
33
VESIS
Avantages
La rpartition de charges et la redondance.
Bande passante modulaire.
Deux types
Agrgation de liens statique : souvent propritaire avec des
restrictions sur les paramtres de port chaque bout.
Agrgation de liens dynamique base sur IEEE 802.3ad LACP
(Link Aggregation Control Protocol). Le protocole ngocie les
paramtres optimaux pour les deux bouts.
34
VESIS
Switch 1
Forwarding table
Mac-A
Mac-A
...
Port 1
Port 2
Port 1
Port 1
switch1
switch2
Port 2
Port 2
LAN1
VESIS
Switch 2
Forwarding table
Mac-A
Mac-A
...
Port 2
Port 1
LAN2
DA: mac-a SA: mac-b ......
PC-B
36
Spanning Tree
VESIS
Il est utilis pour crer une topologie sans boucle dans un rseau
commut.
Lalgorithme a un temps de convergence dapprox. 30 sec, temps
pendant lequel la communication reste bloque.
Un changement de topologie peut initier lexcution de lalgorithme,
ce qui peut causer une interruption temporaire du trafic.
Le protocole spanning tree est bas sur des normes dveloppes
par IEEE et a volu pour rpondre aux nouveaux besoins des
rseaux commuts :
802.1D Standard Spanning Tree Algorithm and Protocol (STP)
802.1w Rapid Spanning Tree Algorithm and Protocol (RSTP)
802.1s Multiple Spanning Tree Algorithm and Protocol (MSTP)
37
VESIS
Root Bridge
Switch A
0:00-00-00-00-00-0A
P1 P2
Bridge ID
Designated
ports
10Mbps
Path cost = 10
100MPS
Path cost = 1
Root
Path cost = 10
P1
Switch B
Root Port
P1
P2
Root port
0:00-00-00-00-00-0B
100Mbps
Path cost = 1
Designated
P2
port
Switch C
0:00-00-00-00-00-0C
Designated
Bridge for
LAN BC
38
VESIS
Les BPDUs (Bridge PDU) transportent des informations du protocole et sont changs
rgulirement entre les commutateurs. Le but principal est de dterminer quels ports doivent se
bloquer afin dliminer les boucles rseau.
La topologie sans boucle que lalgorithme cre est une topologie en arbre avec la racine un
commutateur lu root bridge. Lalgorithme en outre garantit que le chemin entre un noeud et la
racine est le chemin le plus court (en terme du cot ou de la bande passante). Le calcul de cette
topologie passe par :
Tous les ports autres que root ports ou designated ports vont passer en mode Blocking.
39
VESIS
40
Et un peu de la posie
VESIS
41
VLAN 2
VLAN 3
Switch B
VESIS
Switch A
802.1Q
Switch C
VLAN 2
VLAN 3
42
VESIS
Switch A
BPDU-vlan2
VLAN 2
VLAN 3
Switch B
BPDU-vlan3
802.1Q
Switch C
VLAN 2
VLAN 3
43
VESIS
VLAN 1-20
Switch A
Blocked for VLAN 1-20
80
2.1
Q
Q
2.1
80
VLAN 1-20
Switch B
802.1Q
Switch C
VLAN 1-20
44
Switch A
Blocked for VLAN 1-10
80
2.1
Q
Q
2.1
0
8
Switch B
STG1: Root Bridge
VESIS
VLAN 1-20
VLAN 1-20
802.1Q
Switch C
VLAN 1-20
Avoir plusieurs instances de spanning tree dans un rseau et une slection judicieuse
(par configuration) de root bridge pour chaque instance, offre la possibilit de la
distribution de charge entre les commutateurs et sur les liens qui les interconnectent.
45
VESIS
QoS
Concepts gnraux
Les modles de la QoS
802.1p
IntServ
DiffServ
VOIP et QoS
Exemple dimplmentation de la QoS sur des
commutateurs
Concepts gnraux
VESIS
47
6 bytes
6 bytes
Dest MAC
Source MAC
802.1Q Tag
4 bytes
802.1Q Tag
C
TPI
802.1p
8100 Priority bits F
I
16 bits
3 bits
1 bit
2 bytes
64-1500 bytes
Protocol Type
Data
VESIS
VLAN Id
12 bits
La norme au niveau 2
802.1p
Identifie la priorit de la trame au niveau 2.
Comprhensible par des commutateurs au niveau 2.
Un commutateur qui implmente 802.1p, classifie et traite le trafic selon
la priorit indique.
48
VESIS
49
VESIS
50
4 bits
4 bits
Version
Length
8 bits
TOS
Type of service
DSCP
Differentiated Services
Code Point
6 bits
VESIS
16 bits
Total length
Currently unused
2 bits
51
VESIS
52
VESIS
53
VESIS
54
VESIS
DiffServ Domain
Expedited Forwarding: Voice.
Best Effort : Data
IP phone
Call server
Integrated switch
in the IP phone
vlan
voice
vlan
data
L3 Switch
Routed
Network
Physical links
Virtual links - - - - -
55
VESIS
56
VESIS
Source [alcatel-man]
Niveau 1
Port source, group de ports sources, port de destination, group de ports
de destination.
Niveau 2
MAC source, groupe de MAC source, MAC destination, groupe de MAC
destination, 802.1p, ethertype, VLAN source.
Niveau 3
Protocole IP, IP source, IP multicast, IP destination, group de rseau
multicast, ToS, DSCP, Type de ICMP, Code de ICMP.
Niveau 4
port source TCP/UDP , port de destination TCP/UDP, service, groupe
de service, flag TCP.
57
VESIS
Source [alcatel-man]
Accept/Drop
Laction consiste accepter ou rejeter le flux de trafic.
Priority
Laction consiste assigner une priorit spcifique entre 0 et 7
aux flux de trafic. Cette priorit indique au commutateur la file
dattente de sortie utiliser pour la transmission de ce flux.
802.1p ToS/DSCP stamping and mapping.
Maximum Bandwidth
Spcifie le maximum de la bande passante pour le flux.
Cette action est utilise pour le contrle du flux entrant.
58
VESIS
Exemple de configuration
> policy condition cond3 source ip 10.10.2.3
> policy action action2 priority 7
> policy rule my_rule condition cond3 action action2
Avec my_rule le trafic avec la source adresse IP 10.10.2.3 va tre trait avec la
priorit 7 et transmis la file dattente de sortie correspondante cette priorit
(dans le cas de OS6850/9000).
Roshanak Partovi, rpartovi@novesis.com
59
N
Scurit
Scurit
Concepts de scurit
Les attaques et les mcanismes de
dfense
Au niveau 2
Au niveau 3
VESIS
Scurit
VESIS
Les techniques utilises par les pirates rseaux sont devenues de plus en
plus sophistiques avec une porte grandissant des dommages.
Le modle OSI, (ainsi quun rseau qui y est bas) est seulement aussi
robuste que son lien le plus faible et pour cette raison donc une attention
gale devrait tre apporte n'importe laquelle de ses couches pour
s'assurer que sa structure entire est solide. Source [Cisco-vlan-security]
Risque = niveau de menace * niveau de vulnrabilit * valeur de lactif. Source
[tao-nsm]
61
VESIS
62
VESIS
Inernet
Monitoring zones
Boundary
Router
Wireless
Network
Access
Point
data collection
FW
DMZ
Switch
DMZ
network
Internal
Switch
Internal
Network
Exemple de dispositif ou
mcanisme de collecte
de trafic :
Concentrateur de ports
ou hub
Miroirisation de port ou
port mirroring
63
VESIS
64
VESIS
Source [cisco-vlan-sec]
65
VESIS
66
VESIS
Flooding
Le pirate gnre des trames destines au serveur dans le but
dpuiser ses ressources.
La solution passe par la dtection et le rejet du trafic illgitime ou
par lutilisation des mcanismes de la QoS.
67
VESIS
SYN Flood
Le pirate inonde le serveur par des paquets TCP/SYN. Le serveur
rpond chacun de ces paquets en ouvrant une connexion semiouverte et attend la rponse TCP/ACK de la part du client pour chacune
de ces connexions. Ces connexions semi-ouvertes consomme des
ressources serveurs et limite sa capacit rpondre aux requtes
lgitimes.
68
VESIS
69
VESIS
70
VESIS
Pare-feu applicatif
Le filtrage applicatif est comme son nom l'indique ralis au niveau
de la couche Application.
Cela implique que le pare-feu connaisse toutes les rgles
protocolaires des protocoles qu'il doit filtrer.
Pare-feu authentifiant
Un pare-feu authentifiant ralise lauthentification des connexions
passant travers le filtre IP. L'administrateur peut ainsi dfinir les
rgles de filtrage par utilisateur et non plus par IP, et suivre l'activit
rseau par utilisateur.
Pare-feu personnel
71
VESIS
72
Annexe - Rfrences
VESIS
[alcatel-man]
Alcatel Omniswitches User Manuals
[nortel-man]
Nortel ERS8600 User Manuals
[cisco-qos]
End-to-End QoS Network Design, 2005, Tim Szigeti & Christina Hattingh, Cisco
Press
[cisco-vlan-sec]
VLAN Security white Paper, Cisco Systems
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper0918
6a008013159f.shtml
[cisco-voip] QoS for VOIP white paper, Cisco Systems
http://www.cisco.com/en/US/tech/tk652/tk698/technologies_white_paper09186a0080
0d6b73.shtml
[qos-melin]
Qualit de service sur IP, 2001, Jean-Louis Mlin, Eyrolles
[tao-nsm]
The Tao of network security monitoring, 2006, Richard Bejtlich, Addison Wesley
[wiki] Wikipedia http://en.wikipedia.org/wiki/
73