Table des matires

1
Quelques notions sur les rseaux locaux Ethernet ........................................ 2
Correspondance entre modlisation OSI et standard
Ethernet 2
Dfinitions et rles .............................................................................................................................. 3
Introduction aux VLAN ................................................................................... 4
Dfinitions .................................................................................................................................................. 4
Lintrt Des VLAN ............................................................................................................................. 5
Ensemble Logique ........................................................................................................................ 6
VLANS : mise en uvre ..................................................................................................... 7
Segmentation / filtrage .................................................................................................... 8
VLANS : quoi cela sert-il ? ...................................................................................... 9

Types de VLAN : ............................................................................................. 10

Vlan de niveau 1 ..................................................................................................................................... 10
Vlan de niveau 2 ................................................................................................................................. 11
Vlan de niveau 3 ............................................................................................................................ 12
Les VLAN se font de deux manires.................................................................................. 14

Les Normes ....................................................................................................... 15

Le protocole 802.1Q ............................................................................................................................. 15
Le protocole 802.1X .......................................................................................................................... 16
Le protocole 802.1P ....................................................................................................................... 20
Conclusions ...................................................................................................... 21
 2
Quelques notions sur les rseaux locaux Ethernet :

Aujourd'hui, un rseau local repose presque systmatiquement sur la technologie Ethernet. Il hrite
donc des caractristiques de cette technologie. Les deux notions cl dans ce contexte sont collision
et diffusion.
Une collision intervient lorsque deux htes d'un rseau mettent simultanment sur un mdia
partag. On appelle domaine de collision un sous-ensemble du rseau l'intrieur duquel les htes
sont en comptition pour accder un mme mdia ou canal de communication. Plus le nombre
d'htes prsents dans un mme domaine de collision est important, plus la frquence des collisions
augmente et plus les performances se dgradent. Pour garantir les meilleures conditions de
communication, on cherche donc rduire au maximum l'tendue du domaine de collision.
Sur les rseaux filaires actuels, les domaines de collision ne posent plus aucun problme depuis que
l'on utilise des commutateurs. Nous verrons pourquoi dans la section suivante. La diffusion est un
mcanisme d'annonce gnrale qui assure que tous les htes d'un rseau local reoivent les trames
de diffusion mises par n'importe quel autre hte de ce mme rseau. On appelle domaine de
diffusion un rseau l'intrieur duquel tous les htes peuvent mettre et doivent recevoir des trames
de diffusion. Comme dans le cas prcdent, plus le nombre d'htes prsents dans le domaine de
diffusion est important,plus les performances se dgradent. L encore, pour garantir les meilleures
conditions de communication,on cherche rduire raisonnablement l'tendue du domaine de
diffusion. C'est prcisment sur le dimensionnement des domaines de diffusion que le dbat sur le
choix du niveau d'interconnexion entre rseaux locaux intervient. Le document Segmentation des
rseaux locaux apporte un premier niveau d'clairage.Voyons comment on dlimite les domaines de
collision et de diffusion en faisant la correspondance entre les dfinitions donnes par la
modlisation OSI et le standard Ethernet. Une fois cette correspondance faite, les units de donnes
manipules par les quipements d'interconnexion permettent de dfinir les bornes de ces domaines.

Correspondance entre modlisation OSI et standard Ethernet :

Depuis plus de deux dcennies, la modlisation OSI sert de rfrence la description des couches
orientes transmission de l'information. Elle est prsente de faon plus dtaille dans le support
Modlisations rseau5.
Les spcifications des rseaux Ethernet sont elles aussi publies depuis plus de deux dcennies par
l'Institute of Electrical and Electronics Engineers. Elles sont accessibles la page IEEE 802.3:
ETHERNET6. Si on fait correspondre le modle OSI et le standard Ethernet, ce sont les couches
physique et une moiti de la couche liaison qui nous intressent.
 Aujourdhui une entreprise peut occuper tout un immeuble et avoirs plusieurs
secteurs rpartis dans chaque niveau de limmeuble utilisant les mmes ressources.
3
On peut retrouver par exemple le service comptabilit au premier niveau, au
troisime niveau et au dernier niveau de limmeuble.
Etant dans le mme rseau bien sr ses activits sont disperses, pour pallier cela il
ya naissance des Vlan pour faciliter le travail de ladministrateur. En premier lieu
nous allons voir quelques dfinitions des diffrents lments qui feront lobjet de ce
document.
Dfinitions et rles :
a. Domaines de diffusion :
Cest la zone logique dun rseau informatique compose de tous les ordinateurs et
les quipements de communication qui peuvent tre contacts en envoyant une
trame l'adresse de diffusion de la couche liaison.
Les vlan permettent de sparer virtuellement un commutateur en plusieurs domaines
de diffusion
b. Domaines de collision :
Un domaine de collision est une zone logique d'un rseau informatique o les
paquets de donnes peuvent entrer en collision entre eux, dans un rseau Ethernet.
Un commutateur ou un routeur cre des domaines de collisions par ports.
Finalement un domaine de diffusion contient des domaines de collision.
c. Requte ARP :
Cest un protocole qui permet de connatre ladresse MAC dun hte partir de son
adresse IP.
d. Commutateur :
Un commutateur est un quipement qui ne diffuse pas les trames. Il met en relation
les seuls postes concerns par lchange, avant de rmettre les trames le
commutateur vrifie que si le support de communication est libre, il vite aussi les
collisions contrairement un concentrateur.
e. Hub : reoit linformation et le diffuse tous ces ports.
f. Switch :
C'est un quipement qui est capable d'apprendre et de retenir les adresses MAC qui
se prsentent sur chacun de ses ports. Hormis les trames de diffusion qui seront
systmatiquement rpercutes sur tous les ports, il ne laissera communiquer entre
eux que les ports concerns par un dialogue entre deux nuds. C'est sa fonction
principale de pont Ethernet.
 4
Introduction aux VLAN :
Dfinitions :

On a vu qu'un rseau local (LAN) est dfini par un domaine de diffusion dans lequel tous les htes
reoivent les messages de diffusion mis par n'importe quel autre hte du rseau. Par dfinition, un
rseau local est dlimit par une interface d'quipement de niveau 3 du modle OSI (couche rseau).
Gnralement, un rseau local (LAN) est dfini par un domaine de diffusion. Tous les htes d'un
rseau localreoivent les messages de diffusion mis par n'importe quel autre hte de ce rseau. Par
dfinition, un rseau local est dlimit par des quipements fonctionnant au niveau 3 du modle OSI :
la couche rseau. Un rseau local virtuel (VLAN) est un rseau local (LAN) distribu sur des
quipements fonctionnant au niveau 2 du modle OSI : la couche liaison. priori, il n'est donc plus
ncessaire d'avoir recours un quipement de niveau 3 pour borner le rseau local. Cette
formulation bute sur une fonction difficile contourner : l'interconnexion des rseaux locaux. Ds que
l'on a besoin de communiquer entre domaines de diffusion, il est absolument ncessaire de passer par
les fonctions de routage du niveau rseau du modle OSI.
Le rseau local est distribu sur diffrents quipements via des liaisons ddies appeles trunks. Un
trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs rseaux
virtuels. Les trames qui traversent le trunk sont compltes avec un identificateur de rseau local
virtuel (VLAN id). Grce cette identification, les trames sont conserves dans un mme VLAN (ou
domaine de diffusion). Les trunks peuvent tre utiliss :
entre deux commutateurs C'est le mode de distribution des rseaux locaux le plus courant.
entre un commutateur et un hte C'est le mode de fonctionnement surveiller troitement. Un hte qui
supporte le trunking a la possibilit d'analyser le trafic de tous les rseaux locaux virtuels.
Enfin, il ne faut pas oublier que tous les VLANs vhiculs dans le mme trunk partagent la bande
passante du mdia utilis. Si un trunk utilise un lien 100Mbps Full-Duplex, la bande passante de tous
les VLANs associs est limite ces 100Mbps Full-Duplex.

Figure 1 : Exemple d'architecture D'un LAN

 5
Lintrt Des VLAN :
La technique des VLANs (Virtual Local Area Network) permet de donner au rseau larchitecture
logique souhaite par ladministrateur, en le librant de certaines contraintes physiques.
Cest une technique de segmentation, qui participe donc la scurit.
Cependant, les protocoles utiliss ne sont pas spcialement conus pour tre scuriss .
Il faut donc utiliser cette technique quand elle est vraiment utile, et matriser les consquences sur
la scurit du rseau.

Figure 2.1: L'intrt des VLANs

Les VLANs doivent tre utiliss pour :
regrouper des postes selon un critre logique et non plus gographique
grer correctement la mobilit des postes
contrler la taille des domaines de broadcast
Leur utilisation nest pas motive par des raisons lies la scurit, mais larchitecture
La conception dune architecture bien pense, avec si besoin lutilisation des VLAN est le
prrequis une bonne gestion de la scurit

Figure 2.2: L'intrt des VLANs

 6
Ensemble Logique :

Les VLANs doivent tre utiliss pour cloisonner un rseau indpendamment de la rpartition
gographique des postes

On peut crer des ensembles de machines, cohrents au sens :

de lutilisation qui en est faite (groupes de travail)

Figure 3.1: Ensemble Logique dun VLAN

On peut crer des ensembles de machines, cohrents :

au sens de la scurit :
identification et gestion des droits
On peut utiliser l@MAC ou le couple login/mdp pour mettre les utilisateurs qui
se connectent dans le VLAN qui correspond leurs droits
Figure 3.2: 1er Mthode pour scuriser un VLAN login/mdp

1er Etape : 2me Etape :

 7
On peut crer des ensembles de machines, cohrents :
au sens de la scurit :

accs aux trames de broadcast (visibles avec un sniffer)

Un utilisateur malveillant peut utiliser un sniffer pour dcoder des trames de

broadcast qui ne le concernent pas. Pire encore, un switch peut, si sa table
dadresses MAC lui impose, retransmettre une trame unicast sur toutes ses
interfaces.

Figure 4.1: 2me Mthode pour scuriser un VLAN

VLANS : mise en uvre :

La dfinition des VLANs se fait sur les quipements dinterconnexion de

niveau 2 (switchs).

Les quipements terminaux ignorent leur appartenance un

VLAN.

Les switchs ont donc un IOS qui permet de mettre jour une
micro base de donnes.

Cela peut se faire par le branchement dune console en

mode texte directement sur switch.

Certains switch contiennent un mini serveur web qui

permet de paramtrer les VLANs (entre autres choses).

Un switch peut donc avoir une adresse IP .

 8
Segmentation / filtrage :

La technique des VLANs est une technique de niveau 2.

Elle permet de crer des domaines de broadcast qui correspondent aux ensembles logiques dfinis
par ladministrateur.

La segmentation cre des groupes spars strictement.

La sparation peut tre rendue permable par lutilisation dun routeur ceci qui conduit alors
attribuer des rseaux IP diffrents pour chaque VLAN.

Figure 5.1: Sparation Logique des domaines de Broadcast

Lutilit de cette technique de segmentation rside dans la possibilit de faire du routage avec
filtres entre les segments ainsi crs

Ainsi, mme si il sagit dune technique de

niveau 2, son utilisation est motive par des
raisons sattachant au niveau 3.

Cest le switch qui spare en diffrents VLANs, cest

le routeur qui autorise les communications utiles entre
ces VLANs
 9
VLANS : quoi cela sert-il ?
Figure 6.2: La Segmentation

Rseau logique, non tributaire de lemplacement physique

Les domaines de broadcast sont dfinis administrativement

Les utilisateurs sont affects par logiciel aux diffrents VLANs

Un switch contient donc un IOS et une base de donnes montrant lappartenance aux VLANs
Figure 6.2: La Segmentation
 10
Types de VLAN :

Il existe quatre types de VLAN :

Les Vlan par port (Vlan de niveau 1) :

On affecte chaque port des commutateurs un VLAN. Lappartenance dune trame un VLAN
est alors dtermine par la connexion de la carte rseau un port du commutateur. Les ports sont
donc affects statiquement un VLAN.Si on dplace physiquement une station il faut dsaffecter
son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on
dplace logiquement une station (on veut la changer de Vlan) il faut modifier laffectation du port
au Vlan.
Chaque port physique du commutateur est configur par ladministrateur du rseau pour
appartenir un (plusieurs ?) VLAN, et toute machine (ou ensemble de machines) qui se trouve
branche sur ce port fera partie de ce VLAN. Cest le mode de fonctionnement le plus simple et le
plus dterministe, cest dire celui o potentiellement les dfauts de logiciel sont le moins
probable. Ce type de rseaux virtuels na rien de bien innovant. Au bon vieux temps, lorsque les
quipements rseau taient simples et fiables, on faisait dj des VLAN par port tout simplement
en construisant des rseaux physiquement spars, chacun ayant son cblage et ses propres
quipements actifs. Cest bien le branchement physique sur un port dun concentrateur plutt
quun port dun autre concentrateur qui dterminait lappartenance un rseau.
On peut se risquer comparer les VLAN par port la construction de rseaux spars .
 11
Les Vlan par adresse MAC (Vlan de niveau 2) :

On affecte chaque adresse MAC un VLAN.Lappartenance dune trame un VLAN est

dtermine par son adresse MAC. En fait il sagit, partir de lassociation Mac/VLAN, daffecter
dynamiquement les ports des commutateurs chacun des VLAN en fonction de ladresse MAC de
lhte qui met sur ce port.L'intrt principal de ce type de VLAN est l'indpendance vis--vis de
la localisation gographique. Si une station est dplace sur le rseau physique, son adresse
physique ne changeant pas, elle continue dappartenir au mme VLAN (ce fonctionnement est
bien adapt l'utilisation de machines portables).Si on veut changer de Vlan il faut modifier
lassociation Mac / Vlan.
Le critre dappartenance un VLAN nest plus li au port sur lequel la machine est connecte,
mais un ou plusieurs critres lis la nature de trafic gnr par cette machine. On va par
exemple dfinir lappartenance un VLAN un protocole particulier : un VLAN pour IP, un autre
VLAN pour le trafic Appletalk. Si lintrt du VLAN par protocole nest pas vident lorsque son
rseau t bien conu ds le dpart et quil nutilise pas des protocoles bizarres, on peut imaginer
quelques situations dans lesquelles le VLAN par protocole peut aider faire progresser le
fonctionnement du rseau. Imaginons un rseau de campus qui est fortement maill et rout
(plutt que commut). Ce rseau utilise les protocoles IP et Appletalk. Pour eux tout se passe bien,
parce que par conception ces deux protocoles sont adapts aux rseaux routs. Ajoutons
maintenant sur ce rseau dentreprise un protocole rseau de mauvaise qualit qui na pas t
conu pour tre rout (le lecteur mettra ici le nom du protocole non rout quil dteste le plus).
Que peut-on faire ? Construire un deuxime rseau physique pour ce protocole ? Trop coteux.
Cest ici que le VLAN par protocole a son intrt : ladministrateur du rseau va dfinir un VLAN
qui recueillera le trafic correspondant au protocole choisi. Le commutateur va analyser et trier
chaque trame quil reoit afin de la placer dans le VLAN qui lui correspond.La gestion et
ladministration de ce type de VLAN peuvent tre compliques et ne rpondent pas aux mmes
besoins de scurit que le VLAN par port (en fait je dirais que cela ne rpond pas vraiment des
besoins de scurit).
 12
Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

On affecte une adresse de niveau 3 un VLAN. Lappartenance dune trame un VLAN est
alors dtermine par ladresse de niveau 3 ou suprieur quelle contient (le commutateur doit
donc accder ces informations).En fait, il sagit partir de lassociation adresse niveau 3
VLAN daffecter dynamiquement les ports des commutateurs chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accdant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le
Vlan de niveau 2. Le critre dappartenance un VLAN nest plus li un protocole o une
localisation sur le rseau, mais
un identifiant de la machine et plus particulirement de sa carte rseau. Avec de lethernet cest
ladresse MAC de
la carte qui peut tre lidentifiant, et cest justement ce que de nombreux produits du march
permettent de faire.
Lintrt de cette configuration est la banalisation de chaque prise informatique du rseau.
Aussitt un poste .
VLAN par port

13

VLAN par @MAC

VLAN par port

 14
Les VLAN se font de deux manires :

Attribution statique (niveau 1)

C'est la mthode la plus simple et aussi la moins souple, qui consiste attribuer un port du

SWITCH un VLAN donn, en configurant statiquement le SWITCH.

Attribution dynamique (niveaux > 1)

Cest la mthode qui fait appel 802.1x et un procd d'authentification(serveur
dauthentification RADIUS). Il faut disposer dun switch capable denvoyer un serveur
dauthentification ladresse MAC de la station connecte un port, en guise de "login/password". Si
l'adresse MAC est connue (Authentification russie), le serveur pourra envoyer au SWITCH le numro du
VLAN attach la station. Cette mthode est plus souple, puisqu'une station donne pourra se connecter
sur n'importe quel port, elle se retrouvera toujours sur le VLAN qui lui convient.

Fonctionnement des ports :

Il existe trois modes daccs au port :
Mode daccs
Mode trunk (tiquetage de trame)
Mode dynamique ou automatique

Une autre mthode pour

dfinir des Vlan :
On trouve dans la littrature des rfrences au Vlan par protocoles.
Cest dire quon associe une trame un Vlan en fonction du protocole quelle
transporte. Ce protocole peut tre un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk
.etc
Mais on peut trouver aussi des
Vlan construits partir de
protocole suprieur (notamment
H320). On parle quelquefois de
Vlan par rgles ou par types de
service.
Enfin lapparition du Wi-fi
pose des problmes de scurit
que les Vlan peuvent rsoudre.
Ainsi une solution base sur des
Vlan par SSID est envisageable.
 15
Les Normes :

Dploiement et transport des Vlans:

Le protocole 802.1Q:
Historique :

La norme 802.1q est ne en 1998 pour rpondre un besoin de normalisation sur le transport des Vlans.

Description de la norme :

Elle dfinit, en premier lieu, l'ajout de 2 octets dans la trme ethernet. Ces deux octets ajoutent plusieurs
champs pour rpondre plusieurs besoins. La norme dfinit alors sur la trame ethernet le champ VPID
0x8100 pour dsigner la trame 802.1q. La principale fonction de la norme est de transporter les Vlans sur
le rseau, pour permettre deux machines d'un mme Vlan de communiquer au travers un nombre non
dfinit d'quipement rseau.
La norme 802.1q prvoit galement un mcanisme de prioritisation de flux. Cette prioritisation est dfinie
par la norme 802.1p.
Un champ protocole dfinit sur 1 bit est prvu pour pouvoir utiliser le 802.1q aussi bien sur ethernet que
sur TokenRing.
Enfin, le champ Vlan ID permet de fixer un identifiant sur 12 bits d'un Vlan.
Architecture d'un commutateur 802.1Q:
Un commutateur respectant la norme 802.1q se dcompose en trois couches :
- La couche configuration qui permet d'crire les informations dans la MIB et s'occupe des commandes
d'administrations de l'OS implment sur le switch.
- La couche dfinition automatique et propagation. Cette couche est charg d'enregistrer les Vlans
prsents sur les diffrents ports du switch et d'avertir le reste du rseau de l'appartenance du switch au
Vlan. Il doit donc pour cela maintenir plusieurs tables jour, que nous dtaillerons plus tard.
- La couche relais qui, comme son nom l'indique relais les informations qu'il collecte sur ses ports.
La partie la plus importante dans le protocole 802.1q est la dfinition automatique et propagation. On
rappelle qu'on appelle "trunk" un lien transportant plusieurs Vlans.
Transport statique:
Il est possible de configurer le 802.1q la main pour permettre de transporter les Vlans. Pour cela, il faut
configurer chaque port se trouvant sur le chemin d'un port tagu d'un Vlan un autre. IL faut de plus
rpeter l'opration pour chaque lien dfini. On peut comprendre que le processus s'avre long et
fastidieux. La norme prvoit donc un mcanisme qui tague les ports automatiquement suivant les Vlans
dclars.
 16
Contrle d'accs:

Le protocole 802.1X:
Historique :

Le 802 .1x est un standard mis en place en juin 2001 par lIEEE, et fait partie du groupe des
protocoles IEEE 802 (802.1). Ce standard provient du besoin de sauthentifier ds laccs physique
au rseau. Ce besoin sest particulirement fait sentir dans le domaine du WIFI, o les cls de
cryptage WEP ne sont pas trs efficaces, do lide dune authentification physique ds les bornes.
Cette norme 802.1x fut donc dveloppe aussi pour les VLAN et sappuie sur toutes les normes de
niveau 2 comme le 802.5 (Token Ring), le 802.3 (Ethernet), mais galement sur le WIFI. LIEEE
souhaitait donc standardiser un mcanisme de relais dauthentification au niveau 2.

Objectif :

Lobjectif du 802.1x est dautoriser laccs physique un rseau local aprs une phase
dauthentification, peu importe le systme de transmission utilis. Le mcanisme dauthentification
de laccs au rseau se fait lors de la connexion physique ( en gnral connexion sur un rseau
Ethernet), avant mme tout autre mcanisme dauto-configuration tel que DHCP pour lattribution
dynamique des adresses IP.
En plus de cela, le 802.1x va apporter des avantages considrables au niveau de ladministration du
rseau, notamment par laffectation dynamique des VLAN en fonction des caractristiques de cette
authentification.

Principe Gnral :

Le 802.1x sappuie sur un protocole particulier : lEAP (Extensible Authentification Protocol) dcrit
par la suite. Le standard sappuie sur des mcanismes dauthentification existants.
Il se base sur 3 entits :

le systme authentifier ou supplicant :

Il sagit en gnral dun poste de travail, ventuellement dun serveur. Le point daccs au rseau
varie donc selon ce dernier. Le point daccs physique peut tre une prise RJ45. Le point daccs
logique est par exemple le 802.11.

le systme authentificateur ou Authentificator System :

Ce systme sert de relais. Il sagit dun quipement rseau, comme une borne sans fil pour le WIFI,
un routeur,
Cet quipement gre un PAE (Port Access Entity) qui sera dcrit aprs, qui permettra au supplicant
daccder ou non aux ressources du rseau.
le systme authentificateur ou authentification serveur :
Ce serveur dauthentification est en gnral un serveur Radius. Selon la requte du supplicant, ce
serveur dtermine les services auxquels le demandeur a accs.
 17
Mcanisme Gnral :
Le supplicant souhaite accder aux ressources du rseau. Mais pour cela il va devoir sauthentifier.
Le systme authentificateur gre cet accs via le PAE. Il se comporte comme un relais, comme un
proxy entre lentit qui souhaite tre sur le rseau et le serveur dauthentification.
Le supplicant va dialoguer avec le serveur via le relais, grce au protocole EAP. Si lauthentification
russit, le serveur donne au demandeur laccs aux ressources via le systme authentificateur et son
PAE.
La structure du 802.1x sappuie donc sur 4 couches :
o Couche mdia : le Token Ring, lEthernet, ..
o Couche protocole : lEAP, protocole didentification
o Couche mthode dauthentification : elle sappuie sur les mots de passe, les certificats.
o Couche infrastructures qui comporte le matriel dauthentification comme le serveur Radius .
Lutilisation du 802.1x en Wifi permettra lauthentification du demandeur, le contrle daccs aux
bornes et la distribution des cls WEP.
Mais attention, il faut que le 802.1x soit bien implment sur les diffrentes machines. Si les
implmentations sur les bornes et serveurs sont disponibles, il nen est pas de mme chez les postes
clients. Le 802.1x est maintenant de plus en plus intgr avec le systme dexploitation.

Transport Dynamique:

Le 802.1x dans les environements filaires et la gestion de Vlan dynamique :

Comme prsent en introduction, ce protocole vient en remplacement du WEP, jug trop faible.
Fortement implment dans les sytmes sans fil, le 802.1x connat aujourdhui un dploiement de
plus en plus large dans les environnements filiaires. En effet il permet une authentification au rseau
local li aux caractristiques de la personne et non la prise physique o est racord lutilisateur.
Dans un contexte dentreprises de plus en plus accs sur la mobilit on comprend bien le rel enjeu
de ce protocole.
Dans le protocole 802.1x, il est possible, grace la centralisation des profils au niveau des serveurs
RADIUS, de mettre en place des services supplmentaires comme l'affectation dynamique de VLAN.
Les VLANs configuration dynamique vont permettre de ne pas avoir reconfigurer les
commutateurs dans le cas o un utilisateur est dplac (ce qui est ncessaire dans le cas de VLAN
affects par port).
Un port peut tre plac de faon dynamique dans un VLAN en fonction de la russite ou de lchec
de lauthentification.
Laffectation dynamique des VLANs est un paramtre qui se configure sur le serveur RADIUS.
Sur un port configur en 802.1x, nous avons les 3 comportements dattribution suivants :

VLAN daccs du port :

Authentification choue dun client,

Authentification russie dun client mais pas daffectation dynamique sur le serveur RADIUS,
Connexion dun client sans authentification (sans Guest VLAN).
 18
Guest VLAN :

Connexion dun client ne supportant pas lauthentification

LAN spcifique lutilisateur :

Authentification russie dun client, affectation du vlan dfinie au niveau du serveur RADIUS pour
lutilisateur ou le groupe.
Le Guest VLAN accueille uniquement les utilisateurs qui ne font pas de requte dauthentification. Il
ninclut pas les checs dauthentification.

Avantages :

Protection :

Etant donn qu'il assure une validation de l'accs au mdium, il s'occupe ainsi en amont des
intrusions sur le rseau.
Ceci est trs important de nos jours, notamment dans le cadre des rseaux sans fils, qui sont de
vritables portes ouvertes .De plus, les technologies de scurit employes par dfaut (filtrage
d'adresse MAC, mise en place de cl WEP) sont trs vulnrables.
A linverse des protections WEP par exemple, le 802.1x par ladoption de cls de cryptage
dynamiques par utilisateur et par session ninterdit pas les attaques de force brute mais les rend
pratiquement impossible.

Pour rappel :

Une attaque de force brute consiste essayer successivement toutes les valeurs possibles.
En 802.1x les cls de session sont dynamique par utilisateur et par session. Lorsque lutilisateur se
dplace, une nouvelle session est rejoue, et la cl change, mme si cele est compltement
transparent pour lutilisateur.
Le protocole 802.1x rduit aussi les attaques du type Man in the middle.

Gestion :

Le 802.1x en permettant une base de comptes unique, simplifie le travail des administrateurs. Il
permet lutilisateur dutiliser les mmes identifiants de connexion pour tous les accs avec ou sans
fil au rseau sans modification de configuration.
Il permet aussi de grer les comptes utilisateurs partir de bases existantes comme les bases LDAP
par exemple.
Le standart 802.1x apporte mobilit et transparence (selon le typed'authentification choisi). En effet,
le supplicant peut se brancher n'importe quelle prise ou borne.
Il permet aussi lattribution de Vlan dynamiques ce qui renforce encore la flexibilit du systme. Et
rduit les cots de dplacement en supprimant la rattribution manuelle de port.
 19
Inconvnients :

Une des principales faiblesses vient du fait que rien nempche un utilisateur de mettre un hub
quipement transparent 802.1x et de faire bnficier dautres utilisateurs de son ouverture de
session. Cette faiblesse est dtourne par les constructeurs qui bloquent le port ethernet lorsque
ladresse MAC de lquipement connect change.
Les faiblesses du 802.1x peuvent aussi provenir de lEAP utilise (voir chapitre correspondant).
Le client qui ne suporte pas le 802.1x, ne peux pas acceder au rseau, sauf configuration spciale
dun accs minimum.
La mise en place du 802.1x sur le rseau, impose davoir du matriel neuf, implmentant le
protocole.
A noter : aujourdhui la plupart des quipements rseaux supportent le 802.1x.

Mise en place du 802.1x :

Ct Supplicant :

Pour cette opration il faut se rapporter aux spcificits du systmes d'exploitation.

La mise en place du 802.1x du cot client nest pas complique. Il suffit dactiver les paramtres
correspondants au niveau de la carte rseau. (Bien sur il faut que la carte rseau supporte le 802.1x) Il
suffit alors de choisir sa mthode d'authentification EAP et de renseigner les paramtres
d'authentification.

Ct authentificateur :

Avant toute mise en place de la norme, il faut s'assurer du support de celle-ci sur tous les
quipements actifs du rseau.
Ensuite il faut entrer en mode configuration du terminal et entrer les lignes de commande
correspondantes lactivation du protocole.

Ct Authentication Server :

Cration d'un profil et mise en place de droits.

Pour effectuer cette opration, il faut se rfrer au manuel de l'interface web de configuration du
serveur.

Affectation dynamique de VLAN :

Elle se base sur la modification de trois paramtres :

o Tunnel-Type (064): VLAN

o Tunnel-Medium-Type (065): 802
o Tunnel-Private-Group-ID (081): { nom du VLAN }
 20
Affectation dynamique d'adresses IP :

Ct RADIUS, option IP Assignement:

Attribution dune adresse IP statique pour un utilisateur.

Mise en place dun lien vers un pool DHCP, pour un utilisateur ou un groupe.

Ct quipement de routage:

Mise en place de loption ip dhcp-helper vers le pool dadresses.

Evolutions :

Lune des modifications importantes du protocole introduit la notion dauthentification mutuelle.

Authentification mutuelle :

Lorsque le client est lui-mme un fournisseur de service rseau (ex un commutateur a brancher sur un
autre commutateur), il a besoin dtre sre que le port 802.1x auquel il sadresse est bien un port de
confiance. Lauthentification mutuelle met en uvre une double authentification, o les rles sont
changs, chacun jouant successivement le rle de lauthentificateur et de lauthentifi.

Les contrles de flux :

La norme 802.1P :

IEEE 802.1p dfinit les 3 bits d'un champ contenu dans l'en-tte d'une trame Ethernet, utilis pour
marquer les trames d'un rseau IEEE 802.1. Il dtermine la priorit, valeur entre 0 et 7 inclus, qui
peut tre utilise par un mcanisme de Qualit de service (Quality of Service ou QoS) pour
diffrencier les flux.
IEEE P802.1p est galement le nom d'un groupe de travail actif durant la priode 1995-1998, dont
l'objectif consistait ajouter au standard IEEE 802.1D une acclration par classe de trafic (traffic
class expediting) et un filtrage dynamique de la multi-diffusion (dynamic multicast filtering).
Essentiellement, il a fourni un mcanisme de qualit de service au niveau 2, Media Access Control
(MAC). Le travail du groupe, sur les nouvelles classes de priorit et le Generic Attribute Registration
Protocol (GARP), n'a pas t publi sparment, mais a t incorpor dans IEEE 802.1D-1998,
rvision majeure du standard.
Principes :

Le 802.1p est une extention du 802.1q permettant d'offrir un mecanisme de prioritisation des trmes
au niveau LAN. Pour cela, il s'appuie sur le champ priorit de la trame 802.1q dfinit sur 3 bits. Il
existe deux utilisations du 802.1p, la premire dans le cadre du GMRP et le deuxime dans un
mcanisme de classe de service.
 21
Le mcanisme de GMRP :

Le GMRP est un protocole de multicast quivalent l'IGMP mais au niveau 2. Ce protocole tant
assez complexe.
Le mcanisme de classe de service.
La deuxime utilisation du 802.1p consiste buffriser les trames et mettre des plus prioritaires
aux moins prioritaires. Cette solution est trs basique puisquelle ne garantit aucun dbit et n'assure
aucun contrle de flux.
Les classes de services ne sont pas dfinies dans l'ordre numrique (de 0 7) mais dans un ordre
diffrent.
802.1p dfinit 8 classes de service diffrentes, qui sont disponibles, et habituellement exprime dans
les 3 bits du champ priorit utilisateur (user_priority) dans l'en-tte IEEE 802.1Q ajout la trame.
La manire dont le trafic sera ensuite gr, en fonction de la classe laquelle il sera affect, n'est pas
dfini et reste du ressort des choix d'implmentation.
Toutefois, lIEEE a publi une vaste gamme de recommandations :

Figure 10: Recommandation publi par IEEE

Conclusions : Lavenir des VLANs

Les Vlans sont aujourd'hui en pleine expansion dans le monde de l'entreprise pour
rpondre des LANs de plus en plus grand et des services de plus en plus diversifis.
De nouvelles ides ont rcemment vu le jour dans une utilisation plus complexe des
Vlans et les constructeurs continuent travailer sur des implmentations de la norme.
L'avenir des Vlans est nanmoins menac long terme par l'arriv de l'IPV6 qui
limitera grandement leur utilisation.
1
Mta-Information :
Ce expos est crit avec Microsoft Word. Il est disponible en Version imprimable au format PDF Introduction aux
VLAN.pdf.

1
inter-vlan.routing.pdf
Appert-Bouvet-Chaveron-VLAN.pdf
https://fr.wikipedia.org/
CCNA 3 Chapitre