Les Virtual LAN

F. Nolot 2008

1
 Les Virtual LAN

Introduction
F. Nolot 2008

2
 Architecture d'un rseau

Pour sparer, sur un rseau global, les rles de chacun

Solution classique : utilisation de sous-rseaux diffrents
F. Nolot 2008

3
 Problme !

Et si nous devons attribuer les mmes rles des utilisateurs, mais

rpartie sur des btiments diffrents ?
Obligation de faire de multiples sous-rseaux !
F. Nolot 2008

4
 Autres problmes

Les sous-rseaux multiples ne rsolvent pas les problmes suivants

:
Limiter la propagation de problme de niveau 2 ou 3 sur le rseau
Limiter les domaines de broadcast
Limiter unknown MAC unicasttrafic
Quand un switch ne connait pas l'adresse MAC d'une destination
Contenir les trames de multicast qui sont propages sur tous les ports
du switch
Difficult d'administration d'un rseau mal organis
Limiter les ventuels problmes de scurit
F. Nolot 2008

5
 Une solution : Les Rseaux Locaux Virtuels
(VLAN)

Objectifs des VLAN

Avoir des fonctions de la couche 3 avec la vitesse de la couche 2
Faciliter la gestion de la mobilit des postes
Supprimer la possibilit de communication entre certaines parties du
rseau, scuris des domaines
Pouvoir facilement attribuer des autorisations diffrentes, en fonction
des droits et rles de chaque groupe de personnes
F. Nolot 2008

6
 Dfinitions

Un rseau local (LAN)

est dfini par un domaine de diffusion
Limit par des quipements fonctionnant au niveau 3 du modle OSI : la
couche rseau
Un rseau local virtuel (VLAN) est un LAN distribu sur des quipements
fonctionnant au niveau 2 du modle OSI : la couche liaison (Ethernet)
A priori, nous n'avons plus besoin d'avoir recours un quipement de
niveau 3 pour dlimiter le LAN
Les VLAN sont distribus sur diffrents quipements via des liaisons ddies
entre-eux appeles trunk
Un trunk est une connexion physique unique sur laquelle on transmet le
trafic de plusieurs rseaux virtuels
F. Nolot 2008

7
 Exemple d'architectures non rflchies !
F. Nolot 2008

8
 Regroupement fonctionnel en sous-rseaux
F. Nolot 2008

9
 Avantages du regroupement

Facilit d'administration
Minimise les risques de duplication d'IP
Rduit les tables de routage
F. Nolot 2008

10
 Prconisation

Permettre d'attribuer des blocs de 4, 8, 16, 32 ou 64 rseaux

contigu dans building distribution et access switch block donns
Permet ainsi de faciliter la summarization dans une adresse plus large
Avoir une continuit des IP au sein d'un Building Distribution Layer
et Building Access layer
Avoir un sous-rseau par VLAN
viter les masques variables pour viter les ventuelles erreurs
d'administration
F. Nolot 2008

11
 F. Nolot 2008

Exemple

12
 F. Nolot 2008

Exemple

13
 F. Nolot 2008

Exemple

14
 Interconnection technologie
F. Nolot 2008

15
 Dterminer les quipements et liens

Building Access layer to Distribution Layer

Un rapport de 20:1 : les liens peuvent tre dimensionns 1/20 du total
de la bande passante
Distribution to core layer
Un rapport infrieur 4:1 (autre dit, 1/4 du total de la bande passante
ncessaire)
Entre quipement du core layer
Essayer d'avoir des liens d'une capacit suffisante pour tout le trafic
Ces conseils ne doivent pas tre appliqus sur les server farms, ou
bien sur le edge distribution modules ou si des applications
spcifiques ont besoin d'un dbit important
F. Nolot 2008

Ces estimations ont t faites dans le cadre de communication depuis

des end-user en access layer

16
 Prendre en compte la source de trafic

Plusieurs types de trafic

Management : BPDU, CDP, SNMP, RMON
Tlphonie IP
Multicast : musique d'attente de ToIP, streaming video, routage
dynamique
Donnes normales : http, smtp, sql, ...
Scavenger class : trafic qui gnre un flux important
F. Nolot 2008

17
 End-to-end VLAN

Un VLAN est affect un port d'un switch

F. Nolot 2008

18
 Caractristiques du End-to-End VLAN

VLAN gographiquement rparti sur le rseau

Les utilisateurs sont regroups dans des VLAN, quelque soit leur
emplacement
Mme si un utilisateur se dplace, il sera toujours dans le mme
VLAN
Un utilisateur est associ un VLAN
Chaque VLAN possde son propre sous-rseau
F. Nolot 2008

19
 Motivation du End-to-End VLAN

Scurit : limiter les accs

Regrouper les utilisateurs avec le mme rle, quelque soit leur
emplacement gographique
Appliqu de la QoS sur certains trafics et donc certains VLANs
Mais
Chaque quipement doit avoir la mme VLAN database
Comme le trafic d'un VLAN donne passe par tous les quipements,
mme ceux qui n'ont aucun port sur ce VLAN, difficult
troubleshooter en cas de problme
F. Nolot 2008

20
 Rgle du 80/20 ?

Avant :
80% du trafic doit tre local au rseaux et 20% seulement pour les
ressource extrieure, passant par le core layer
Avec les VLAN et les applications client-serveur, ce n'est plus vrifi
Les servers farms sont interconnects au core layer et
gographiquement centraliss
De plus en plus de consolidation de serveurs et d'accs Internet
Maintenant :
La rgle du 20/80 est appliqu
20% de trafic est local et 80% extrieur
F. Nolot 2008

21
 Les VLAN locaux

Ils sont localiss dans une seule armoire de rpartition

F. Nolot 2008

22
 Avantages des VLAN locaux

Le flux rseau est prvisible car localis dans les couches access,
distribution ou core layer
Possibilit d'avoir une redondance de chemin avec les algo PVST ou
MSTP
Haute disponibilit
Finite failure domain
Scalable design
F. Nolot 2008

23
 Les VLAN

Configuration
F. Nolot 2008

24
 Les VLAN IDs

Les identifiants des VLAN font parti de 2 plages

Les normal-range ID
Les extended-range ID
Les normal-range ID
De 1 1005
Utilis dans les rseaux des petites et moyennes entreprises
Les identifiants 1002 1005 sont rservs aux protocoles Token Ring et
FDDI
Les VLAN 1, 1002 et 1005 sont crs par dfaut, ils ne peuvent tre
supprims
Les configurations des VLAN sont stockes dans un fichier, appel
F. Nolot 2008

vlan.dat en mmoire flash du switch

25
 Les VLAN IDs

Les extended VLANs

Plage comprise entre 1006 et 4094
Supporte moins de fonctionnalit que le normal range VLAN
Les switch Catalyst 2950 et 2960 supportent un maximum de 255
VLAN normal et tendu, simultan
Par contre, l'augmentation du nombre de VLAN sur un switch
dgrade les performances de celui-ci
F. Nolot 2008

26
 Les diffrents modes

A un VLAN est associ un ID

Chaque port d'un switch appartient un VLAN
Cette affectation peut tre
Statique
Cf 3.1.3.1 CCNA 4.0 LAN Switching
Dynamique
Peut utilis dans les rseaux
Ncessite un VLAN Membership Policy Server (VMPS)
L'affectation un VLAN se fait en fonction de l'adresse MAC d'une
machine
Dans le cas d'un Voice VLAN, il ne faut pas oublier que tout le
F. Nolot 2008

rseau doit le supporter

Gestion de la priorit de ces flux sur les autres

27
 Cration d'un VLAN

A chaque changement ou cration de VLAN, le numro de rvision de VTP (si

mis en place) augmente
Pour associer un port un VLAN, il faut qu'il devienne un access port
Un port devient access port soit de faon statique, soit de faon
dynamique
Un access port est
Associ un VLAN unique, qui existe sinon le port ne forwardera pas de
trame
F. Nolot 2008

Association dynamique grce aux adresses MAC connu sur un VLAN

Membership Policy Server (VMPS)

28
 Les commandes
F. Nolot 2008

29
 Utilisation des trunks

Les trunk peuvent tre utiliss

Entre 2 commutateurs
C'est le mode de distribution des rseaux locaux le plus courant
Entre un commutateur et un hte
Si un hte supporte le trunking, il a la possibilit d'analyser le trafic
de tous les rseaux locaux virtuels
Entre un commutateur et un routeur
Permet d'accder aux fonctionnalits de routage entre des VLAN
2 types de protocoles pour les trunk
Cisco Inter-Switch Link (ISL)
IEEE 802.1q
F. Nolot 2008

30
 VLAN type Cisco Inter-Switch Link (ISL VLAN)

Technique dveloppe pour les quipements Cisco.

La trame originale est compltement encapsule dans des trames
ISL
Ajout d'une en-tte de 26 octets et d'une en-queue (CRC) de 4 octets
Support de multiples protocoles de niveau 2 (Ethernet, Token Ring,
ATM, FDDI)
Support de PVST (Spanning Tree)
N'utilise pas de VLAN Natif
Solution surtout utilise dans le Voice over IP des quipements
Cisco
Technique non compatible avec les standards IEEE 802.1Q
F. Nolot 2008

31
 Format de la trame ISL

DA : destination address (40 bit) adresse multicast 0x01-00-0C-00-00 ou

0x03-00-0c-00-00 qui indique que c'est une trame ISL
Type : Ethernet (0000), Token Ring (0001), FDDI (0010) ou ATM (0011)
User : (4 bits) extension du champ Type ou bien priorit Ethernet 0, la plus
basse et 3 la plus haute. Pour Ethernet le bit 0 et 1 sont utilis pour la
F. Nolot 2008

priorit

32
 Format de la trame ISL

SA : (48 bits) source MAC adresse

LEN : (16 bits) longueur sans DA, Type, User, SA, LEN et CRC
AAAA03 : Standard Subnetwork Access Protocol (SNAP) et 802.2 logical link
control (LLC) header
F. Nolot 2008

HSA (high bits of source address): 3 premiers octets du SA

VID : (15 bits) seulement les 10 derniers bit sont utiliss (donc 1024 VLANs)

33
 Format de la trame ISL

BPDU : (1 bit) indique si c'est une trame BPDU de spanning tree mais aussi
si la trame encapsule est du CDP, du VTP
INDX : (16 bits) utilis pour faire du diagnostic, indique l'index du port
source du packet s'il existe sur le switch
RES : (16 bits) rserv pour Token Ring et FDDI
F. Nolot 2008

34
 VLAN IEEE 802.1Q

Standard qui fournit un mcanisme trs rpandu, implant dans de

nombreux quipements de marques diffrentes
L'en-tte de la trame est complte par une balise de 4 octets
F. Nolot 2008

VLAN2 VLAN3
VLAN1

35
 Fonctionnalits

Support d'Ethernet et Token Ring

Jusque 4096 VLANs
Les protocoles de Spanning Tree CST, MSTP et RSTP sont supports
Point-to-Multipoint topologie
Support des trames non tag, via le VLAN natif
Support de la QoS
Supporte la ToIP
F. Nolot 2008

36
 La trame Ethernet 802.3

8 6 6 2 0-1500 4
Adr. de Adr.
Prambule Longueur Donnes FCS
dest. source

Le champ Type est remplac par le champ longueur

Pour viter des problmes de compatibilit, IEEE a dcid de
considrer ce champ comme indiquant une longueur si la valeur est
<= 1500 sinon c'est le type de donnes transportes
F. Nolot 2008

37
 Les tags 802.1q
F. Nolot 2008

38
 La trame IEEE 802.1Q

EtherType ou Tag Protocol IDentifier (TPID)

12 bits utiliss pour identifier le protocole de la balise insre. Pour une
balise 802.1q, la valeur est fixe 0x8100
Priority
3 bits pour coder 8 niveaux de priorit. Aucun rapport avec les priorits
sur IP. Uniquement pour mettre des priorits entre les trames de
certains VLAN par rapport d'autres
Canonical Format Identifier ou Token Ring Encapsulation Flag
1 bit pour la compatibilit entre les adresses MAC Ethernet et Token
Ring. Un commutateur Ethernet fixe toujours cette valeur 0. Si une
trame avec la valeur 1 pour ce champ arrive, celle-ci ne sera pas
propage
VID (ou VLAN Identifier)
F. Nolot 2008

12 bits qui permettent de dfinir l'appartenance de la trame un VLAN,

au maximum 4094 VLAN possibles
39
 Fonctionnement

Quand une trame non 802.1q arrive sur un port trunk 802.1q
Le tag est ignor et le paquet est commut niveau 2 comme une trame
Ethernet standard
Pour accepter les trames 802.1q, il faut que l'quipement accepte
des MTU de 1522 ou plus
MTU Ethernet classique 1518 octets + 28 bits (4 octets)
La MTU ne doit pas tre > 1600 octets
F. Nolot 2008

40
 Les types de VLAN

Actuellement, sur un rseau, plusieurs VLAN sont distingus

(3.1.2.3 Lan Switching)
Les Data VLAN
Ne vhiculent que des donnes utilisateurs
Le Default VLAN
Le VLAN dans lequel un switch, la livraison se trouve
Chez Cisco, c'est le VLAN 1 et il ne peut pas tre chang
Les protocoles CDP et les spanning tree sont associs ce VLAN
Le Management VLAN
C'est le VLAN qui est utilis pour configurer les swicths.
Le Voice VLAN
F. Nolot 2008

Le Native VLAN
C'est le VLAN associ au port trunk 802.1Q qui a la capacit de
vhiculer les donnes marques ou pas par un identifiant de VLAN 41
 Le VLAN Natif
F. Nolot 2008

42
 Le Voice VLAN

La VoIP ncessite des impratifs afin de pouvoir assurer une qualit

suffisante sur le trafic vocal
Garantir une bande passante suffisante
Transmettre en priorit ces flux
Etre capable de router ces flux vers des zones congestionnes du
rseau
Avoir un dlai infrieur 150 ms travers le rseau
F. Nolot 2008

43
 Trunking configuration commands
F. Nolot 2008

44
 Trunking configuration

Configuration statique
Conseill de le faire en statique quand c'est possible
Configuration dynamique via Dynamic Trunking Protocol (DTP)
Protocole utilis par les switchs Cisco Catalyst
Ngocie automatiquement les liens trunk
5 modes de fonctionnements
Dynamic auto : bas sur les requtes de ngociation des switchs
voisins
Dynamic Desirable : envoie l'information que le port veut tre en
mode trunk. Passe trunk si l'interface du voisin peut galement
passer trunk
F. Nolot 2008

Trunk : devient trunk, sans regarder ni l'tat du switch voisin, ni les

requtes DTP
Access : trunk non autoris
Nonegociate : empche l'interface de gnrer des trames DTP 45
 Config. DTP possibles
F. Nolot 2008

46
 Visualisation le mode DTP d'un port
F. Nolot 2008

47
 Configuration du trunk

Mettre isl la place de dot1q pour utiliser le protocole ISL

F. Nolot 2008

Non support sur les 2950 et 2960

Visualisation de l'tat d'un port :
show interfaces fastEthernet 0/5 switchport
48
 Les Virtual LAN

Propagation des VLAN

F. Nolot 2008

49
 Les domaines VTP

Les VLAN peuvent tre regroups en domaine

Tous les VLAN partagent ainsi les mmes informations globales : VLAN
number, nom et description
Un switch ne peut appartenir qu' un seul domaine
Les mises jour VTP ne sont changes qu'entre switch d'un mme
domaine
F. Nolot 2008

50
 Le protocole VTP

VTP est un protocole de niveau 2, d'changes d'information

Existence de 3 versions diffrentes
Permet de grer l'ajout, la suppression et les changements de nom
Protocole propritaire Cisco
Fonctionne sur les VLAN 1 1005 uniquement jusque la version 2
Informations changes uniquement via les ports trunk
Dans un mme domaine, toutes les versions de VTP doivent tre
identiques
F. Nolot 2008

51
 Fonctionnement VTP

Chaque switch est dans un mode VTP particulier

Cela dtermine la gestion des mises jour
La version 2 de VTP
Supporte Token Ring
Propage les mises jour VTP de type, longueur ou valeur non reconnus
Transfre les mises jour provenant de switch en mode transparent,
sans regarder le numro de version de la rvision
La version 3 supporte
Les VLAN tendus
La cration et diffusion des VLAN privs
F. Nolot 2008

Les instances VLAN et la propagation des MST

La protection de la base VLAN en cas d'erreur accidentelle
Fonctionne avec la version 1 et 2
52
 Les modes VTP
F. Nolot 2008

53
 F. Nolot 2008

VTP Pruning

54
 Les changes VTP

VLAN 1 non ligible au pruning

Echange d'informations toutes les 5 minutes ou aprs une
modification d'une configuration
Utilise des trames de multicast sur le VLAN 1
L'lment critique est le numro de rvision dans le VLAN
Initialement 0
Incrment de 1 chaque modification sur le serveur VTP
Si le numro de rvision reu est suprieur celui enregistr, la
configuration reu est enregistr
F. Nolot 2008

55
 Les 3 types de messages VTP

Summary advertisements : chang toutes les 300 secondes ou

quand une mise jour a lieu
Dans ce message figurent au moins le domain d'administration, la
version VTP, le nom du domaine, le numro de rvision de la
configuration, un time stamp et le nombre de subset
advertisements
Subset advertisement : envoy la suite d'un summary
advertisement rsultat d'une modification de la base VLAN
Contient les changements effectus
Un subset advertisement pour chaque VID modifi
Advertisement request depuis les clients : envoy quand un switch
rclame les informations pour mettre jour sa base VLAN
F. Nolot 2008

Quand un switch voit un message summary avec une revison suprieur

la sienne, il demande la nouvelle configuration
Le Serveur retourne un summary et un subset advertisements
56
 Configuration VTP

Show vtp permet de visualiser la configuration

Dans un mme domain VTP, tous les switchs doivent avoir le mme
nom de domaine VTP et mot de passe (optionnel)
Mettre le switch en client quand ajouter une architecture existante
Par dfaut, il est serveur
Commandes de base
vtp domain
vtp password
vtp v2-mode
vtp mode client, vtp mode server ou vtp mode transparent
show vtp status, show vtp counters, show vlan
F. Nolot 2008

Par dfaut, VTP mode est server, VTP domain name et password sont none et
VTP trap disabled (pour communiquer le statut VTP via SNMP)

57
 Les Virtual LAN

Les erreurs classiques

F. Nolot 2008

58
 Exemple 1

Quelle configuration permet d'obtenir une liaison trunk ?

F. Nolot 2008

59
 Rsolution de problmes

La ngociation Trunk se fait par DTP, en point point

Quand DTP est utilis, s'assurer d'avoir le mme VTP domain
DTP est propritaire Cisco donc non compatible avec d'autres
quipements
Conseiller dans ce cas de le dsactiver
Soit faire un
switchport mode access
switchport mode trunk
Ou switchport mode nonnegociate
Et dfinir le protocole trunk, si besoin d'un trunk
switchport trunk encapsulation dot1q (ou isl)
F. Nolot 2008

60
 Rsolution de problmes

Sur une configuration Server, Client et transparent

Avoir le mme domaine VTP
Avoir la mme version de VTP
Avoir au moins un server
Vrifier l'existance d'un trunk
Avoir le mme mot de passe, si dfini
S'assurer qu'un mauvais numro de rvision d'un switch ajout n'a
pas gnr un crasement de la bonne configuration
Un switch client peut effacer la config du switch server si son numro de
rvision est suprieur celui du switch serveur
F. Nolot 2008

61