Vlan PDF

Plan de cours
VESIS
Rseaux : Concepts de base et la terminologie (30min)

VLAN (4:30H)
Dfinition et caractristiques
Les VLANs simples
VLAN tagging : 802.1Q
Routage entre les VLANs
Les VLANs avancs
Agrgation de liens (Link aggregation ou Trunking)
Spanning Tree (30m)
802.1D Standard Spanning Tree (STP)
802.1w Rapid Spanning Tree (RSTP)
802.1s Multiple Spanning Tree (MSTP)
QoS ou Qualit de Service (30m)
Concepts gnraux
Les modles de la QoS
VOIP et QoS
Exemple dimplmentation de la QoS sur les commutateurs
Securit (30m)
Concepts de scurit
Les attaques et les mcanismes de dfense
Note : Dans cette prsentation, la plupart des exemples de configuration est base sur des commutateurs Omniswitch
dAlcatel. Nous mentionnons ces exemples dans lunique but de vous donner quelques ides sur comment les
concepts que nous dcrivons peuvent tre dploys pratiquement. En fait, nous constatons que limplmentation
et mme la configuration de ces concepts sont relativement similaires dun quipementier un autre, ceci
quelques fonctionnalits prs.
Roshanak Partovi, rpartovi@novesis.com
N
Rseaux : Concepts de base et la
terminologie
Historique
Terminologie
Modle OSI
Type de trafic : Unicast, multicast et broadcast
Equipements de rseau
Concepts
LAN
Domaine de diffusion
VLAN
VESIS
Historique
VESIS
Des technologies 10Base- aux technologies 10Gb/s.

Des transceivers passifs aux commutateurs intelligents niveau 3.
1970
2000
3
Evolution des quipements de rseau
VESIS
Des technologies 10Base- aux technologies 10Gb/s.

Des transceivers passifs aux commutateurs intelligents niveau 3.
Aujourdhui les commutateurs de niveau 3 fournissent des
fonctionnalits avances comme :
Des niveaux de performance trs levs grce limplmentation des
fonctions de routage dans les ASICS.
Support pour un ventail de types de VLAN : par port, par protocole,
authentifi, etc.
Fonctions de scurit intgres.
Hirarchisation de trafic et mcanismes de la QoS intgre.
Management et fonctions de logging (historique des vnements).
Modle OSI
Switches
Switches
Hubs
Hubs
VESIS
Source http://www.frameip.com/osi/
Les adresses unicast, broadcast et multicast
VESIS
Ladresse de broadcast reprsente tous les postes connects sur un LAN

ou plus prcisment sur un domaine de diffusion.
Ladresse de broadcast IP : 255.255.255.255.
Ladresse de broadcast MAC : FF:FF:FF:FF:FF:FF.
Les adresses multicast reprsentent un groupe de postes dans un rseau.

Le bloc rserv dadresses multicast IP : 224.0.0.0.0-224.255.255.255.
Les adresses MAC correspondantes : 01:00:5E:00:00:00 01:00:5E:7F:FF:FF.
Une adresse unicast reprsente un seul poste ou interface physique dans

un rseau.
Exemple dadresse unicast IP : 10.1.1.12
Exemple dadresse MAC correspondante : 1F:1A:2B:BA:CD:EF
La transmission des trames unicast,

broadcast ou multicast dans un rseau
Trame
type
Broadcast
Multicast (*)
Unicast
Commutateur
Transmet sur tous les
ports.
Transmet sur tous les
ports.
Transmet sur le port o
le poste rside (**).
VESIS
Routeur
Ne transmet pas.
Ne transmet pas.
Transmet selon la
Table de routage (***).
(*) Dans lhypothse que la fonction multicast de commutateur ou de

routeur nest pas active.
(**) Aprs la phase dapprentissage de ladresse et que cette adresse
est ajoute la table des adresses
(***) Le routeur examine seulement les trames broadcast ou celles
qui qui sont adresses ladresse MAC de son interface.
Le tableau ci-dessus souligne la diffrence de comportement entre un

routeur et un commutateur face une trame destine une adresse
broadcast, multicast ou unicast.
Un segment Ethernet
VESIS
LAN
RH
R&D
PROD
Les limitations dun segment Ethernet :
Le nombre de postes sur chaque segment
La longueur du segment
Problmes de congestion
Toutes les trames, unicast ou broadcast, envoyes par chaque PC sont
vues par les autres.
Les besoins en scurit, fiabilit et performance suggrent la ncessit
de segmenter le trafic.
La segmentation peut tre effectue au niveau 2 ou 3 ou aux deux
niveaux en mme temps.
Domaine de diffusion
VESIS
LAN
RH
R&D
PROD
Un domaine de diffusion est un domaine o toutes les trames de

broadcast (trames destines FF:FF:FF:FF:FF:FF) sont vues par tous
les postes qui y sont connects.
Equipements de niveau 1
VESIS
Transceiver
Hub
Repeater
Admin
Production
Admin
Production
Un quipement de niveau 1 rpte tout le trafic quil reoit, que ce soit

unicast, multicast or broadcast, sur tous ses ports.
Ce mode de fonctionnement affecte la bande passante libre et peut dtriorer
la performance du rseau.
Un commutateur (niveau 2) amliore la performance en transmettant le trafic
unicast uniquement sur le port o ladresse MAC de destination rside.
10
Commutateurs de niveau 2
VESIS
Switch Forwarding table

Mac-A
Mac-B
...
Port 1
Port 2
p1
A
Admin
Switch
p2
p3
C
Production
Seul le trafic de type broadcast ou unicast avec une adresse MAC de

destination inconnue est transmis sur tous les ports.
Le trafic unicast avec une adresse MAC de destination connue est transmis
uniquement sur le port appropri.
Il est souhaitable et mme ncessaire pour un rseau plus complexe de
restreindre le domaine de diffusion en crant des sous rseaux chacun
reprsentant un domaine de diffusion plus petit.
La communication entre ces sous-rseaux est accomplie par un routeur.
11
Routeur
VESIS
Admin and R&D

Switch-building B
Router
Building-B
Routing table router A

Network address
Next hop
IP-B
IP-First floor
Direct
IP-Second floor Direct
IP-Building-B
IP-B
IP-A
IP1
Network
first floor
Router
Building-A
Switch-first floor
Admin and R&D
IP2
Switch-second floor
Network
second floor
Admin and R&D
Le trafic de type broadcast est contenu dans son sous-rseau.

Les sous-rseaux communiquent entre eux par le moyen des routeurs.
Si le rseau contient plus quun routeur, les routeurs utilisent des protocoles de routage pour
connatre les rseaux distants.
Problme : Les frontires physiques ne correspondent pas toujours aux frontires logiques.
Solution : Les VLANs.
12
N
VLAN
Dfinition et caractristiques
Les VLANs simples
VLAN tagging : 802.1Q
Routage entre les VLANs
Les VLANs avancs
Agrgation de liens (Link aggregation ou
Trunking)
VESIS
VLAN : Dfinition et caractristiques
VESIS
VLANs sont utiliss pour segmenter le trafic.

Cette segmentation est effectue par le logiciel du commutateur.
Elimine le besoin de changer physiquement la connexion au rseau
ou son emplacement dun poste en cas de son ajout ou sa
suppression /de un VLAN.
Si lassociation dune trame son VLAN est prserve de bout-enbout, la scurit dun rseau bas sur les VLANs nest pas moins
fiable que celle dun rseau purement physique.
VLANs statiques : Le raccordement dun port un VLAN est
statique.
VLANs dynamiques : Le raccordement dun port un VLAN est
bas sur le trafic.
VLANs authentifis.
14
VLANs par port
VESIS
Un lien physique par VLAN ou un seul lien avec 802.1Q.

Switch first-floor
R&D
P2, 3, 7
Admin
P1, 5, 6
P10
P12
Switch
P10
P14
second-floor
Broadcast domain
or VLan R&D
R&D
VLan Id 200 P1, 2, 3
Broadcast domain
Or VLan Admin
VLan Id 100
Admin
P4, 5, 6
La configuration sur le commutateur first-floor peut ressembler :

>vlan 100 name admin port default 1,5,6
>vlan 200 name R&D port default 2,3,7
15
VLAN Tagging : 802.1Q
VESIS
Mcanisme permettant de multiples VLANs de partager dune

manire transparente le mme lien physique tout en respectant
ltanchit des VLANs.
La segmentation 802.1Q est effectue moyennant lajout dun tag
la trame.
Le tag permet la trame dtre identifie comme venant dun VLAN
ou tant destine un VLAN.
16
VLAN Tagging : 802.1Q
Tagged
Ethernet Frame
6 bytes
6 bytes
Dest MAC
Source MAC
16 bits
802.1Q Tag
C
TPI
802.1p
8100 Priority bits F
I
802.1Q Tag
4 bytes
3 bits
1 bit
2 bytes
64-1500 bytes
Protocol Type
Data
VESIS
VLan Id
12 bits
802.1Q Tag (32 bits)

Tag protocol Identifier (16 bits) : Les 12 premiers bits sont utiliss pour identifier le
protocole de la balise insre. Dans le cas de la balise 802.1Q la valeur de ce
champ est fixe 0x8100.
Bits de priorit (3 bits)
Canonical format identifier or CFI (1) : TokenRing or Ethernet
VLan Id (12bits) : Il est possible de coder 4094 (2^12-2) VLANs avec ce champ.
Plus grande que la taille maximale spcifie pour la trame Ethernet traditionnelle.
17
VLANs et 802.1Q
Switch first-floor
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Id 200
VLan Admin
VLan Id 100
VESIS
Switch second-floor
R&D
P1, 2, 3
Admin
P4, 5, 6

>vlan 100 802.1q port 8
>vlan 200 802.1q port 8
18
Routage entre VLANs moyennant

un routeur externe
Si le routeur implmente le
802.1q, un seul lien suffit.
Dans le cas contraire, un
lien physique par VLAN
est requis.
VESIS
External Router
P1 P2
Switch first-floor
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Admin
P1 P4
Switch second-floor
R&D
P1, 2, 3
Admin
P4, 5, 6
19
Routage entre VLANs moyennant les

fonctionnalits de niveau 3 du commutateur
Switch first-floor
R
10.1.1.1
VESIS
Switch second-floor
11.1.1.1
R&D
P2, 3, 7
Admin
P1, 5, 6
802.1Q
P8
VLan R&D
VLan Id 200
VLan Admin
VLan Id 100
R&D
P1, 2, 3
Default GW
10.1.1.1
Default GW
11.1.1.1
Admin
P4, 5, 6

>vlan 100 802.1q port 8
>vlan 200 802.1q port 8
>ip interface admin-if address 10.1.1.1 vlan 100
>ip interface R&D-if address 11.1.1.1 vlan 200
20
VLANs avancs
VESIS
Le concept de port mobile.

Rgles de VLANs dynamiques : le raccordement de port au VLAN dpend
du trafic.
Le type de rgle dtermine quel type de trafic initie le raccordement
dynamique dun port un VLAN. Si une trame du trafic reu sur un port
satisfait une des rgles dfinies, le port devient membre du VLAN
correspondant.
Rgles par DHCP : Gnrique, base sur MAC ou bloc de MAC
Adresse, ou Port.
Rgle par Mac
Rgle par adresse rseau
Rgle par protocole
Rgle par port
Rgles conditionnelles : Conditions bases sur MAC-port-Adresse IPport-protocole
VLANs authentifis
Un port peut-il tre membre de plusieurs VLANs ?
21
Ports mobile et mobile tagging (I)

Rules
Vlan 2 IP
Vlan 3 IPX
Vlan 4 with tagging enabled
Vlan 5 ip address
VESIS
Mobile ports
P1
P2
Les ports mobiles sont les seuls tre ligibles pour un raccordement
dynamique de VLAN.
Selon le trafic, les rgles dfinies ou le VLAN ID tag, un port mobile peut
devenir membre de plusieurs VLANs.
Example de configuration
> vlan port mobile 1
> vlan 4 mobile-tag enable
Note : La notion de Ports mobile et mobile tagging fait partie de la terminologie dAlcatel pour les Omniswitchs,
cependant il est possible que vous retrouviez le mme concept sous un nom diffrent auprs dautres quipementiers.
22
Port mobile et mobile tagging (II)
VESIS
Un port mobile peut devenir membre de plusieurs VLANs sous les

conditions suivantes :
Le port mobile reoit des trames sans tag, mais qui satisfont une ou
plusieurs des rgles dynamiques. Par exemple, si un port mobile reoit
des trames IP et IPX et quil existe une rgle par protocole IP en VLAN
10 et une rgle par protocole IPX en VLAN 20, le port mobile est
dynamiquement raccord aux deux VLANs.
Le port mobile reoit des trames avec des tags 802.1Q qui indiquent
des VLANs avec mobile tagging activ. Par exemple si le port
mobile reoit des trames avec des tags pour des VLANs 10, 20 et 30 et
que ces VLANs ont le mobile tagging activ, le port mobile sera
raccord dynamiquement aux VLANs 10, 20 et 30.
23
Rgle par adresse rseau
VESIS
DHCP server
Switch
R&D
The traffic is assigned to the VLAN admin, if the

received traffic has a source IP address in the
Admin subnet.
/to
from 0
,
c
i
AdminP traff 0.1.1.
I
1
net
sub
Il y deux types de rgles par adresse rseau : IP et IPX.

La rgle par adresse IP qui dtermine le raccordement du port bas sur
ladresse IP du poste.
La rgle par adresse IPX qui dtermine le raccordement du port bas sur
le rseau IPX du poste et le type dencapsulation utilis.
Exemple de configuration
> vlan 100 name admin ip 10.1.1.0 255.255.255.0
24
Rgle par DHCP (I)
VESIS
DHCP server
Switch
If the DHCP traffic satisfies the DHCP rule the

port temporarily is assigned to the VLAN Start-Up.
affic
Admin
Start-Up
P tr
DHC
Quel VLAN pour un PC qui vient de booter et qui na pas encore une adresse
IP?
Les rgles par DHCP sont utilises pour classifier le trafic DHCP dans le but
de transmettre et recevoir les trames DHCP entre le client et le serveur.
Le port sort du VLAN DHCP lorsque le processus de DHCP est termin.
Le poste a maintenant une adresse IP, mais ne fait partie daucun VLAN.
Pour quil puisse communiquer avec le rseau, il est ncessaire que son trafic
satisfasse une rgle dynamique afin dtre raccord un autre VLAN.
25
Rgle par DHCP (II)
VESIS
DHCP server
Switch
, from/to
ic
ff
a
r
t
P
I
10.1.1.0
subnet
Admin
The port is dropped out of the start-Up VLan.

It will join VLan Admin as it satisfies another
VLan rule.
Start-Up
Les rgles par DHCP peuvent tre gnriques ou bases sur ladresse MAC
ou bloc de MAC ou port.
> vlan 200 name Start-Up dhcp mac range 00:DA:95:00:59:10 00:DA:95:00:59:9F
> vlan 100 name admin ip 10.1.1.0 255.255.255.0
26
Rgle par MAC
VESIS
DHCP server
The port is assigned to the VLAN admin, if the

received traffic has the source MAC address as
specified in the rule.
Switch
R&D
Admin
Le port est raccord au VLAN, si ladresse MAC du poste correspond

celle spcifie dans la rgle.
Exemple de configuration pour la rgle par bloc de MAC :
> vlan 100 name admin mac range 00:00:da:00:00:01 00:00:da:00:00:09
27
Rgle par protocole
VESIS
DHCP server

received traffic is IP.
Switch
R&D
Admin
c
raffi
IP t
Le port est raccord au VLAN, si le protocole utilis par le poste correspond

celui spcifi dans la rgle. Les protocoles possibles sont : IP, IPX,
AppleTalk, DECNet ou selon un critre dfini par lusager.
Exemple de configuration :
> vlan 100 name admin protocol ip
> vlan 200 name R&D protocol dsapssap f0/f0
28
Rgle par port
VESIS
PRINTER
The port is assigned to

the VLANs admin and R&D,
only for their outgoing broadcast
traffic.
P2
R&D
Switch
Admin
Avec la rgle par port, le trafic nest pas requis pour initier un raccordement
dynamique de port mobile au VLAN.
Ces rgles sont utilises le plus souvent pour des quipements passifs
comme les imprimantes, qui ont besoin de faire partie de VLan afin de
recevoir le trafic transmis par le VLan (exemple : les requtes dimpression).
Enfin, la rgle par port sapplique seulement au trafic sortant et ne classifie
pas le trafic entrant.
> vlan 100 name admin port 2
> vlan 200 name R&D port 2
29
Rgles conditionnelles
VESIS
DHCP server
Switch
R&D
p5

traffic is received on port 2 AND has the source IP
and MAC address as specified in the rule.
Admin
Le port est raccord au VLAN, si toutes les conditions spcifies dans la

rgle sont satisfaites.
Le critre est bas sur une combinaison des conditions concernant
ladresse MAC- le port ladresse IP ou le protocole.
Exemple de configuration :
> vlan 100 name admin binding mac-ip-port 00:00:da:59:0c:12 21.0.0.10 5
30
Authenticated VLANs
VESIS
Source [alcatel-man]
Les VLANs authentifis contrlent laccs des usagers aux ressources

rseau bas sur une procdure de login et le raccordement de lusager un
VLAN.
31
IEEE 802.1X
VESIS
802.1X permet aux postes physiques connects sur un commutateur dtre

authentifis en utilisant le protocole EAP (Extended Authentication Protocol).
Si lauthentification russit et que le serveur dauthentification a retourn
dans sa rponse un VLAN Id, le port sera assign au VLAN correspondant.
32
Agrgation de liens (I)
VESIS
One logical link of 300Mbps

VLAN 2
VLAN 3
Switch B
Switch C
VLAN 2
VLAN 3
802.1Q
Applied to the above logical link
Lagrgation de liens permet la combinaison de plusieurs liens physiques en

un lien virtuel offrant la somme des bandes passantes des liens qui le
constituent. Ce lien virtuel peut tre considr comme un lien physique
part entire. Il est possible de le configurer de la mme manire que pour les
ports physiques avec des fonctionnalits de type : VLAN, 802.1Q, QoS, etc.
33
Agrgation de liens (II)
VESIS
Avantages
La rpartition de charges et la redondance.
Bande passante modulaire.
Deux types
Agrgation de liens statique : souvent propritaire avec des
restrictions sur les paramtres de port chaque bout.
Agrgation de liens dynamique base sur IEEE 802.3ad LACP
(Link Aggregation Control Protocol). Le protocole ngocie les
paramtres optimaux pour les deux bouts.
34
VESIS
Protocole Spanning Tree

802.1D Spanning Tree Standard (STP)
802.1w Spanning Tree Rapide (RSTP)
802.1s Spanning Tree Multiple (MSTP)
Les commutateurs face des

boucles rseaux
PC-A
Mac-A
Switch 1
Forwarding table
Mac-A
Mac-A
...
Port 1
Port 2
Port 1
Port 1
switch1
switch2
Port 2
Port 2
LAN1
VESIS
Switch 2
Forwarding table
Mac-A
Mac-A
...
Port 2
Port 1
LAN2
DA: mac-a SA: mac-b ......
PC-B
On parle de boucle dans un rseau, lorsquil y a plus dun chemin de

communication entre deux nuds. Dans un rseau commut, les boucles
rendent le rseau indisponible cause de :
Les temptes de diffusion ou de broadcast.
Le trafic Unicast qui boucle.
Cependant, un bon rseau doit aussi inclure une redondance des matriels
pour fournir un chemin alternatif en cas de panne.
La solution ce problme est le protocole spanning tree.
36
Spanning Tree
VESIS
Il est utilis pour crer une topologie sans boucle dans un rseau
commut.
Lalgorithme a un temps de convergence dapprox. 30 sec, temps
pendant lequel la communication reste bloque.
Un changement de topologie peut initier lexcution de lalgorithme,
ce qui peut causer une interruption temporaire du trafic.
Le protocole spanning tree est bas sur des normes dveloppes
par IEEE et a volu pour rpondre aux nouveaux besoins des
rseaux commuts :
802.1D Standard Spanning Tree Algorithm and Protocol (STP)
802.1w Rapid Spanning Tree Algorithm and Protocol (RSTP)
802.1s Multiple Spanning Tree Algorithm and Protocol (MSTP)
37
802.1D Spanning Tree (I)
VESIS
Root Bridge
Switch A
0:00-00-00-00-00-0A
P1 P2
Bridge ID
Designated
ports
10Mbps
Path cost = 10
100MPS
Path cost = 1
Root
Path cost = 10
P1
Switch B
Root Port
P1
P2
Root port
0:00-00-00-00-00-0B
100Mbps
Path cost = 1
Designated
P2
port
Switch C
0:00-00-00-00-00-0C
Designated
Bridge for
LAN BC
38
802.1D Spanning Tree (II)
VESIS
Vue gnrale de lalgorithme
Les BPDUs (Bridge PDU) transportent des informations du protocole et sont changs
rgulirement entre les commutateurs. Le but principal est de dterminer quels ports doivent se
bloquer afin dliminer les boucles rseau.
La topologie sans boucle que lalgorithme cre est une topologie en arbre avec la racine un
commutateur lu root bridge. Lalgorithme en outre garantit que le chemin entre un noeud et la
racine est le chemin le plus court (en terme du cot ou de la bande passante). Le calcul de cette
topologie passe par :
Llection de root bridge pour le domaine de diffusion :

Le commutateur avec le plus petit Bridge ID est le root bridge.
La slection de designated bridge pour chaque segment :

Cest le commutateur qui fournit le chemin le plus court du segment jusqu la racine. Le port
de ce commutateur sur le segment en question sappelle designated port.
Le choix de rootport pour chaque commutateur :

Chaque commutateur non-root va slectionner un root port qui aura le chemin le plus court
vers la racine.
Les root ports ou designated ports vont passer en mode Forwarding.
Tous les ports autres que root ports ou designated ports vont passer en mode Blocking.
39
802.1D Spanning Tree (III)
VESIS
Les modes des ports sur des commutateurs en spanning tree :

Disabled, Blocking, Listening, Learning et Forwarding
Le temps de convergence de lalgorithme aprs un changement

de topologie est de lordre de 30 seconds.
Rapid spanning tree 802.1W a t dvelopp dans le but de
raccourcir ce temps de convergence.
802.1W peut converger en moins dune seconde.
40
Et un peu de la posie
VESIS
Radia Perlman, linventeur de lalgorithme, la rsum dans un pome intitul

"Algorhyme (une adaptation de "Trees", par Joyce Kilmer) :
I think that I shall never see

A graph more lovely than a tree.
A tree whose crucial property
Is loop-free connectivity.
A tree which must be sure to span
So packets can reach every LAN.
First the Root must be selected
By ID it is elected.
Least cost paths from Root are traced
In the tree these paths are placed.
A mesh is made by folks like me
Then bridges find a spanning tree.
41
VLANs multiples avec une seule instance

de spanning tree pour tous les VLANs
VLAN 2
VLAN 2
VLAN 3
Switch B
VESIS
Switch A
802.1Q
Switch C
VLAN 2
VLAN 3
Il y a une seule instance de Spanning tree pour tous les VLANs.

Problme
Un changement de topologie dans un des VLANs affecte tous les autres.
Cette instance de spanning tree na aucune connaissance des VLANs individuels
ni de leurs topologies.
Dans certaines topologies, le trafic lintrieur dun VLAN peut tre interrompu
cause des ports bloqus par spanning tree.
Solution possible
Une instance de spanning tree par VLAN.
42
VLANs multiples avec une instance

de spanning tree par VLAN
VLAN 2
VESIS
Switch A
BPDU-vlan2
VLAN 2
VLAN 3
Switch B
BPDU-vlan3
802.1Q
Switch C
VLAN 2
VLAN 3
Chaque VLAN a sa propre instance de spanning tree.

Chaque instance de spanning tree cre une topologie sans boucle sur la base de la
topologie du VLAN auquel elle est associe.
Problme
Le protocole spanning tree introduit un overhead dans le rseau d lchange
rgulier des BPDUs et lexcution de son algorithme. Une instance de spanning
tree par VLAN multiplie ce problme par le nombre de VLANs.
Solution : Multiple spanning tree protocol 802.1s.
43
802.1s Spanning Tree Multiple
STG1: VLAN 1-10

STG2: VLAN 11-20
VESIS
VLAN 1-20
Switch A
Blocked for VLAN 1-20
80
2.1
Q
Q
2.1
80
VLAN 1-20
Switch B
802.1Q
Switch C
VLAN 1-20
STG1: Root Bridge

STG2: Root Bridge
Le protocole Spanning Tree Mutiple (MST) permet ladministrateur de distribuer des

VLANs dun rseau commut entre plusieurs instances de spanning tree.
Chacune de ces instances est appele un Spanning Tree Group (STG).
44
Spanning Tree et la distribution de charge

STG1: VLAN 1-10
STG2: VLAN 11-20
Switch A
80
2.1
Q
Q
2.1
0
8
Switch B
STG1: Root Bridge
VESIS
VLAN 1-20
VLAN 1-20
802.1Q
Switch C
VLAN 1-20
STG2: Root Bridge
Avoir plusieurs instances de spanning tree dans un rseau et une slection judicieuse
(par configuration) de root bridge pour chaque instance, offre la possibilit de la
distribution de charge entre les commutateurs et sur les liens qui les interconnectent.
45
VESIS
QoS
Concepts gnraux
Les modles de la QoS
802.1p
IntServ
DiffServ
VOIP et QoS
Exemple dimplmentation de la QoS sur des
commutateurs
Concepts gnraux
VESIS
La qualit de service (QoS) se rfre la qualit de la transmission

et la disponibilit de service. Elle est mesurable et dans certains cas
garantie dans le cadre dun SLA (service level agreement).
Mieux supporte par des rseaux commutation de circuit comme
PSTN, ISDN et ATM que par des rseaux commutation de
paquets.
Les paramtres typiques de la QoS :
La bande passante
La gigue
La perte de paquet
Le dlai
La QoS bout-en-bout ncessite une forme de management bout-enbout de ressources rseau et le contrle de lacceptation des flux
entrants (Call Admission Control ou CAC).
47
Les normes pour le support de la QoS

dans un rseau commut : 802.1p
Tagged
Ethernet Frame
6 bytes
6 bytes
Dest MAC
Source MAC
802.1Q Tag
4 bytes
802.1Q Tag
C
TPI
802.1p
8100 Priority bits F
I
16 bits
3 bits
1 bit
2 bytes
64-1500 bytes
Protocol Type
Data
VESIS
VLAN Id
12 bits
La norme au niveau 2
802.1p
Identifie la priorit de la trame au niveau 2.
Comprhensible par des commutateurs au niveau 2.
Un commutateur qui implmente 802.1p, classifie et traite le trafic selon
la priorit indique.
48

dans un rseau commut : Intserv
VESIS
Les normes au niveau 3

IETF IntServ (Integrated services)
Dfinit une architecture globale pour la QoS bout-en-bout.
Spcifie un certain nombre de classes de service.
Lapplication doit signaler au rseau les caractristiques du trafic quelle injecte,
ainsi que le niveau de la QoS dont elle a besoin.
Selon ce modle, les lments du rseau doivent tre capables deffectuer le
CAC, le contrle et la classification pour les flux entrant, et de grer les files
dattente et lordonnancement pour le trafic sortant.
IETF RSVP (Resource Reservation Protocol) est un protocole de

signalisation qui a t dfini par un groupe de travail diffrent. Il permet aux
applications de signaler leurs besoins en QoS au rseau et initie la
rservation des ressources qui y sont ncessaires.
Problme dextensibilit (ou monte en charge) si les rservations sont
effectues au niveau de chaque flux individuel.
49

dans un rseau commut : DiffServ (I)
VESIS
Les normes au niveau 3 ou niveau IP

IETF DiffServ (Differentiated services)
Divise le trafic en un petit nombre de classes. Les ressources sont alors
alloues par classe.
La classe de chaque paquet est indique directement dans le paquet, au
contraire du modle IntServ o un protocole de signalisation tait
ncessaire pour communiquer aux nuds intermdiaires quels flux de
trafic avaient besoin dun traitement de QoS spcial.
Un domaine Diffserv est un rseau o le comportement par saut (PerHop-Behaviour ou PHB) est rgi par les mme rgles de classification et
de correspondance.
Les tables de correspondance sont dfinies pour garantir la cohrence
de la QoS entre un domaine DiffServ et le reste du monde.
50

dans un rseau commut : DiffServ (II)
IP Frame Header
4 bits
4 bits
Version
Length
8 bits
TOS
Type of service
DSCP
Differentiated Services
Code Point
6 bits
VESIS
16 bits
Total length
The rest of the IP header
Currently unused
2 bits
DSCP identifie un comportement par saut (per-hop-behaviour). Jusqu 64 code

DSCP peuvent tre dfinis. Exemple de comportement par saut :
Best effort ou le traitement par dfaut
Expedited Forwarding
Les paquets doivent tre transmis avec un dlai et perte minimum.
Assured Forwarding
AFxy, o x slectionne une file dattente et y dtermine la priorit de la
classe (drop precedence) lintrieur de la file dattente.
51
VOIP et QoS (I) source [qos-melin]
VESIS
La qualit de la voix dpend de

La qualit de lencodage
La voix est chantillonne 8kHz. Soit un chantillon toutes les 125
microsecondes. Avec chaque chantillon cod sur 8 bits, le dbit
binaire est de 64kb/s. De nombreux algorithmes de compression
permettent de rduire ce besoin en bande passante 16, 8 et mme
4kb/s. Cette compression a un impact sur la qualit peru de la voix.
Lacceptabilit par loreille humaine des diffrents algorithmes est
dfinie selon le critre MOS (Mean Operational Score).
Les algorithmes de compression ou Codec : Les plus utiliss sont
G.729, G.711.
52
VOIP et QoS (II) source [qos-melin]
VESIS
La qualit de la voix dpend de

La qualit de lencodage.
Le dlai : 0-300 ms, en excluent loverhead li aux algorithmes de
CODEC, le dlai dacheminement ne doit pas dpasser le 200ms.
La gigue : Cest la variation des dlais dacheminement gnre
par la variation de charge du rseau. Pour compenser la gigue on
peut utiliser des buffers du ct du rcepteur, cependant ces
buffers ont comme effet non souhait daugmenter le dlai.
La perte des paquets : La transmission des informations
redondantes peut aider lutter contre ce problme.
Echo : Le phnomne dcho devient sensible aux dlais
suprieur 50ms.
53
VOIP et QoS (III)
VESIS
Est-ce que IP est adapt au transport de la voix?

Caractristiques de IP
Protocole niveau 3 sans connexion.
Des paquets appartenant au mme flux peuvent emprunter des
chemins diffrents.
Nest pas initialement conu pour le transport des applications temps
rel.
De nouvelles normes sont dfinies pour combler ces lacunes.
54
VOIP et QoS (IV)
VESIS
DiffServ Domain
Expedited Forwarding: Voice.
Best Effort : Data
IP phone
Call server
Integrated switch
in the IP phone
vlan
voice
vlan
data
L3 Switch
Routed
Network
Physical links
Virtual links - - - - -
Exemple de mcanisme de la QoS pour le support de la VOIP

DiffServ
Classe de trafic associ la voix : Premium.
PHB : Expedited forwarding.
55
Une implmentation typique de la QoS Source [alcatel-man]
VESIS
Aujourdhui la plupart des commutateurs fournit le support de la

QoS par le biais des files dattente et de lordonnancement pour le
trafic sortant.
La configuration de la QoS se fait en utilisant des rgles de QoS ou
QoS policy.
Policy = (Condition, Action).
La condition spcifie les paramtres que le commutateur examinera
dans les flux entrant.
Laction spcifie ce que doit faire le commutateur si un flux entrant
satisfait la condition indique dans le QoS policy.
56
Exemples de conditions dans un QoS Policy
VESIS
Niveau 1
Port source, group de ports sources, port de destination, group de ports
de destination.
Niveau 2
MAC source, groupe de MAC source, MAC destination, groupe de MAC
destination, 802.1p, ethertype, VLAN source.
Niveau 3
Protocole IP, IP source, IP multicast, IP destination, group de rseau
multicast, ToS, DSCP, Type de ICMP, Code de ICMP.
Niveau 4
port source TCP/UDP , port de destination TCP/UDP, service, groupe
de service, flag TCP.
57
Exemples dactions dans un QoS policy
VESIS
Accept/Drop
Laction consiste accepter ou rejeter le flux de trafic.
Priority
Laction consiste assigner une priorit spcifique entre 0 et 7
aux flux de trafic. Cette priorit indique au commutateur la file
dattente de sortie utiliser pour la transmission de ce flux.
802.1p ToS/DSCP stamping and mapping.
Maximum Bandwidth
Spcifie le maximum de la bande passante pour le flux.
Cette action est utilise pour le contrle du flux entrant.
58
La configuration dun QoS policy Source [alcatel-man]
VESIS
> policy condition cond3 source ip 10.10.2.3
> policy action action2 priority 7
> policy rule my_rule condition cond3 action action2
Avec my_rule le trafic avec la source adresse IP 10.10.2.3 va tre trait avec la
priorit 7 et transmis la file dattente de sortie correspondante cette priorit
(dans le cas de OS6850/9000).
59
N
Scurit
Scurit
Concepts de scurit
Les attaques et les mcanismes de
dfense
Au niveau 2
Au niveau 3
VESIS
Scurit
VESIS
Les techniques utilises par les pirates rseaux sont devenues de plus en
plus sophistiques avec une porte grandissant des dommages.
Le modle OSI, (ainsi quun rseau qui y est bas) est seulement aussi
robuste que son lien le plus faible et pour cette raison donc une attention
gale devrait tre apporte n'importe laquelle de ses couches pour
s'assurer que sa structure entire est solide. Source [Cisco-vlan-security]
Risque = niveau de menace * niveau de vulnrabilit * valeur de lactif. Source
[tao-nsm]
Le but est de minimiser le risque.

La condition de base est que le rseau doit tre dfendable.
Les rseaux dfendables sont ceux :
Qui sont physiquement protgs et qui sont inventoris.
Qui sont conus avec les concepts de surveillance faisant partie intgrante de la
conception. Les mcanismes de surveillance intgrs permettent une
identification de ltat du rseau en tat normal, ce qui peut tre utilis comme
une rfrence pour la dtection des anomalies.
Qui limite la libert de manuvre des intrus.
61
Le nombre de fois que quelque chose

dinintressant se passe est en soi intressant. Source [tao-nsm]
VESIS
Les caractristiques des intrus :

Quelques uns dentre eux sont plus malins que vous.
La plupart est imprvisible.
Tt ou tard, la prvention finit par chouer.

Les mcanismes de dfense sont bass sur :
La collecte des statistiques et des donnes des rseaux, leur analyse et
lenvoi de rapport ladministrateur en cas de problme.
La dtection et rponse aux intrusions.
Limplmentation des procdures dvaluation, de protection, de
dtection et de rponse.
62
Menaces et zones de surveillance Source [tao-nsm]
VESIS
Inernet
Monitoring zones
Boundary
Router
Wireless
Network
Access
Point
data collection
FW
DMZ
Switch
DMZ
network
Internal
Switch
Internal
Network
Exemple de dispositif ou
mcanisme de collecte
de trafic :
Concentrateur de ports
ou hub
Miroirisation de port ou
port mirroring
TAP (Test Access Port)

Equipement spcialis
pour la surveillance
applicative
Pirates externes venant de lInternet.

Pirates externes venant des segments de rseau sans fil.
Pirates internes venant des segments de rseau filaire.
Pirates internes venant des segments de rseau sans fil.
63
Attaques au niveau 2Source [cisco-vlan-sec]
VESIS
Pourquoi sinquiter des attaques au niveau 2?

Parce quen compromettant une couche infrieure dans le modle
OSI, il est possible de directement affecter les couches suprieures
sans quelles remarquent une anomalie.
Exemples dattaques au niveau 2 :
MAC Flooding Attack: surcharge le commutateur avec plusieurs
adresses MAC pour que sa table dadresses soit compltement
remplie. Ce dernier se comporte alors comme un simple
concentrateur et diffuse les trames tous les postes du rseau. Ces
trames peuvent alors tre interceptes par des pirates avec un
Sniffer.
Double-Encapsulated 802.1Q/Nested VLAN Attack
Cette attaque permet lusager dun VLAN daccder sans autorisation
un autre VLAN (Fuite entre VLANs).
64
Examples of layer 2 attacks (continued)
VESIS
Source [cisco-vlan-sec]
ARP Poisoning ou Spoofing

Le pirate trompe l'ordinateur cibl de l'utilisateur en utilisant son propre
adresse MAC au lieu de celle de la passerelle de rseau. Source [wiki]
Le trafic de lordinateur cibl vers son passerelle sera alors envoy vers
le poste de pirate. Le pirate son tour envoie ce trafic vers le passerelle
pour que tout se passe inaperu.
65
Examples of layer 2 attacks (continued)
VESIS
Attaque par spanning tree

Cette attaque consiste espionner les BPDU pour obtenir les dtails
comme le port Id, bridge Id etc. Puis le pirate gnre des
Configuration/Topology Change Acknowledgement BPDUs annonant
quil est maintenant le root bridge.
La consquence de cette attaque peut tre une panne complte ou
intermittente du rseau d au fonctionnement erron du spanning tree.
66
Attaques au niveau 3 Source [Cisco-QoS]
VESIS
Attaques du type dni de service

Spoofing
Le pirate prtend fournir un service lgitime, mais fournit en fait des
informations trompeuses ses clients.
La solution est le dploiement des technologies dauthentification et
de chiffrement.
Flooding
Le pirate gnre des trames destines au serveur dans le but
dpuiser ses ressources.
La solution passe par la dtection et le rejet du trafic illgitime ou
par lutilisation des mcanismes de la QoS.
67
Exemple dattaque du type dni de service Source [wiki]
VESIS
SYN Flood
Le pirate inonde le serveur par des paquets TCP/SYN. Le serveur
rpond chacun de ces paquets en ouvrant une connexion semiouverte et attend la rponse TCP/ACK de la part du client pour chacune
de ces connexions. Ces connexions semi-ouvertes consomme des
ressources serveurs et limite sa capacit rpondre aux requtes
lgitimes.
Ces attaques peuvent cibler toute sorte dquipement connect sur

le rseau : les routeurs, les commutateurs, les serveurs web, mail,
DNS, etc.
Dans ce type d'attaque les pirates se dissimulent parfois grce
des machine-rebonds, utilises l'insu de leurs propritaires. Des
machine-rebonds, sont contrlables par un pirate aprs infection par
un programme de type porte drobe ou cheval deTroie.
68
Exemples de mcanismes de protection
VESIS
Au niveau de ladministration de rseau

Accs authentifi aux quipements rseau pour les administrateurs.
Et interdiction daccs pour les autres ou un accs limit dpendant du
profile dusager.
Au niveau 1
Accs physique scuris aux quipements de rseau.
Au niveau 2
Authentification des usagers et des postes avant quils puissent accder
au rseau, base sur 802.1x ou des VLANs authentifis.
Restriction daccs au reseau pour les postes selon les rgles de
participation aux VLANs.
Limiter le temps pendant lequel lapprentissage des adresses MAC est
permis.
Dfinir une mthode pour faire face au trafic non autoris.
Au niveau 3 et au dessus typiquement les pare-feux et les IDS (Intrusion
detection systmes) sont dploys.
Cependant pour rpondre aux problmes grandissant de la scurit des
rseaux, il faudra dfinir et implmenter un systme de surveillance rseaux
dont font partie les mcanismes dcrits ci-dessus.
69
Prcisions sur les pare-feux source [wiki]
VESIS
Un pare-feu est un dispositif logiciel ou matriel qui filtre le flux de

donnes sur un rseau informatique.
Il existe plusieurs classes de pare-feu:
Pare-feu sans tats (stateless firewall)
Effectue un filtrage basique des paquets.
Chaque paquet est examin indpendamment des autres.
Pare-feu tats (statefull firewall)
La trace des sessions et connexions est conserve.
Les dcisions de filtrage dpendent ne seulement de chaque paquet
mais aussi de ltat des connexions.
Le pare-feu doit connatre les protocoles pour pouvoir dtecter des
anomalies dans les changes.
70
Prcisions sur les pare-feux source [wiki]
VESIS
Pare-feu applicatif
Le filtrage applicatif est comme son nom l'indique ralis au niveau
de la couche Application.
Cela implique que le pare-feu connaisse toutes les rgles
protocolaires des protocoles qu'il doit filtrer.
Pare-feu authentifiant
Un pare-feu authentifiant ralise lauthentification des connexions
passant travers le filtre IP. L'administrateur peut ainsi dfinir les
rgles de filtrage par utilisateur et non plus par IP, et suivre l'activit
rseau par utilisateur.
Pare-feu personnel
71
Prcisions sur les IDS source [wiki]
VESIS
Intrusion Detection System ou IDS est un mcanisme destin

reprer des activits anormales ou suspectes sur la cible analyse
(un rseau ou un hte).
Il existe deux grandes familles distinctes dIDS :
Les N-IDS (Network Based Intrusion Detection System), qui surveillent
l'tat de la scurit au niveau du rseau.
Sappuie sur des bibliothques de signature dattaques.
Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'tat
de la scurit au niveau des htes.
S'appuie sur une analyse comportementale.
Un H-IDS se comporte comme un daemon ou un service standard
sur un systme hte qui dtecte une activit suspecte en sappuyant
sur une norme.
Un autre type d'H-IDS cherche les intrusions dans le noyau
(kernel) du systme, et les modifications qui y sont apportes.
72
Annexe - Rfrences
VESIS
[alcatel-man]
Alcatel Omniswitches User Manuals
[nortel-man]
Nortel ERS8600 User Manuals
[cisco-qos]
End-to-End QoS Network Design, 2005, Tim Szigeti & Christina Hattingh, Cisco
Press
[cisco-vlan-sec]
VLAN Security white Paper, Cisco Systems
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper0918
6a008013159f.shtml
[cisco-voip] QoS for VOIP white paper, Cisco Systems
http://www.cisco.com/en/US/tech/tk652/tk698/technologies_white_paper09186a0080
0d6b73.shtml
[qos-melin]
Qualit de service sur IP, 2001, Jean-Louis Mlin, Eyrolles
[tao-nsm]
The Tao of network security monitoring, 2006, Richard Bejtlich, Addison Wesley
[wiki] Wikipedia http://en.wikipedia.org/wiki/
73

Vlan PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Vlan PDF

Transféré par

Droits d'auteur :

Formats disponibles

Plan de cours

Rseaux : Concepts de base et la terminologie (30min)

Des technologies 10Base- aux technologies 10Gb/s.

Evolution des quipements de rseau

Des technologies 10Base- aux technologies 10Gb/s.

Roshanak Partovi, rpartovi@novesis.com

Les adresses unicast, broadcast et multicast

Ladresse de broadcast reprsente tous les postes connects sur un LAN

Les adresses multicast reprsentent un groupe de postes dans un rseau.

Une adresse unicast reprsente un seul poste ou interface physique dans

Roshanak Partovi, rpartovi@novesis.com

La transmission des trames unicast,

(*) Dans lhypothse que la fonction multicast de commutateur ou de

Le tableau ci-dessus souligne la diffrence de comportement entre un

Roshanak Partovi, rpartovi@novesis.com

Roshanak Partovi, rpartovi@novesis.com

Un domaine de diffusion est un domaine o toutes les trames de

Roshanak Partovi, rpartovi@novesis.com

Un quipement de niveau 1 rpte tout le trafic quil reoit, que ce soit

Roshanak Partovi, rpartovi@novesis.com

Switch Forwarding table

Seul le trafic de type broadcast ou unicast avec une adresse MAC de

Roshanak Partovi, rpartovi@novesis.com

Admin and R&D

Routing table router A

Admin and R&D

Admin and R&D

Le trafic de type broadcast est contenu dans son sous-rseau.

Roshanak Partovi, rpartovi@novesis.com

VLAN : Dfinition et caractristiques

VLANs sont utiliss pour segmenter le trafic.

Roshanak Partovi, rpartovi@novesis.com

VLANs par port

Un lien physique par VLAN ou un seul lien avec 802.1Q.

La configuration sur le commutateur first-floor peut ressembler :

Roshanak Partovi, rpartovi@novesis.com

VLAN Tagging : 802.1Q

Mcanisme permettant de multiples VLANs de partager dune

Roshanak Partovi, rpartovi@novesis.com

VLAN Tagging : 802.1Q

802.1Q Tag (32 bits)

Roshanak Partovi, rpartovi@novesis.com

La configuration sur le commutateur first-floor peut ressembler :

Roshanak Partovi, rpartovi@novesis.com

Routage entre VLANs moyennant

Roshanak Partovi, rpartovi@novesis.com

Routage entre VLANs moyennant les

La configuration sur le commutateur first-floor peut ressembler :

Roshanak Partovi, rpartovi@novesis.com

Le concept de port mobile.

Roshanak Partovi, rpartovi@novesis.com

Ports mobile et mobile tagging (I)

Port mobile et mobile tagging (II)

Un port mobile peut devenir membre de plusieurs VLANs sous les

Roshanak Partovi, rpartovi@novesis.com

Rgle par adresse rseau

The traffic is assigned to the VLAN admin, if the

Il y deux types de rgles par adresse rseau : IP et IPX.

Roshanak Partovi, rpartovi@novesis.com

Rgle par DHCP (I)

If the DHCP traffic satisfies the DHCP rule the

Roshanak Partovi, rpartovi@novesis.com

Rgle par DHCP (II)