Vous êtes sur la page 1sur 13

VIRTUAL LAN

Pourquoi vlan ?

Optimisation des performances du rseau passe entre autres par la


segmentation rseau. Faire du vlan consiste sparer de faon virtuelle ou
logique les flux du rseau afin de scuriser les accs.

On a la segmentation de niveau deux et la segmentation de niveau trois. On


sintresse la segmentation de niveau 2 qui est faite par les commutateurs
(switch) vlan

Intrt des vlan

Avoir un rseau modulable

Rduire le domaine de broadcast

Augmenter la scurit sur le rseau

Exemple

NB : tous les commutateurs ne supporte pas le vlan. Quelques exemples de


commutateur supportant le vlan, on a cisco catalyse 2960, 3750, 2950. On parle
de commutateur vlan inform.

Configuration des Vlans au niveau dun commutateur

Page 1
Nous ne disposons pas de commutateur virtuel pouvant faire du vlan cest
pourquoi nous allons transformer notre routeur en switch grce la
commande vlan database

cration des vlan 10 (cisco) et 20 (linux) sur le switch: le routeur R1 3745


sera utilis dans notre TP comme switch.

La commande show vlan-switch ou show vlan brief nous permet de


voir les vlan crs et de constater aussi que par dfaut les ports sont dans le
vlan natif vlan 1le confirme:

Page 2
Nous allons configurer les paramtres TCP/IP de nos machines: nous allons
utiliser des routeurs comme machines dans notre TP pour les tests de
connectivit

machine1 172.16.0.1/24

machine2 172.16.0.2/24

Test de connectivit: entre machine1 et machine2

Page 3
NB: prendre soin d'activer les interfaces au niveau du switch.

On remarque donc que nos deux machines communiquent entre elles vu qu'elles
appartiennent tous au vlan1. Nous allons prsent mettre la machine1 dans le
vlan 10 et la machine2 dans le vlan20 puis tester la connectivit:

Cration du VLAN sur le commutateur et affectation des ports au Vlan


correspondant
- On passe en mode privilge
- en mode configuration laide de la commande configure terminal
- on indique le Vlan suivi de son nom.
- On affecte les diffrents ports au vlan. Pour ce faire il faut indiquer les
ports concerns et leur associer le vlan correspondant

Sur le switch:

NB :

- Switchport access permet dajouter linterface ou les interfaces prcises


dans un vlan.
- on peut affecter un vlan plusieurs interfaces.

(config)#interface range fastEthernet 0/5-8 (interface fa0/5 fa0/8)

donn.

Page 4
La commande show vlan-switch nous montre bien les ports
appartenant au diffrents vlan

Test de connectivit entre machine1 et machine2 aprs affectation des ports aux
vlans.

On remarque que lorsque les machines appartiennent des vlans diffrents elles
ne communiquent plus entre elles. Pour autoriser des vlans diffrents
communiquer, on fait du routage inter-vlan

Page 5
Routage inter-vlan:

Soit l'architecture ci dessous:

Nous allons utiliser dans ce TP, le routeur 3745 comme switch et le routeur
7200 pour le routage intervlan:

NB: les machines appartenant au vlan 10 sont dans le rseau


192.168.10.0/24 et ceux du vlan 20 sont dans le rseau 192.168.20.0/24

Cration des VLAN 10 et 20 sur le RouteurSwitch

RouteurSwitch# vlan database


RouteurSwitch(vlan)# vlan 10 name cisco
RouteurSwitch(vlan)# vlan 20 name linux
NB: La commande "show" excute en mode vlan database permet d'avoir
des informations

Page 6
Affectation du port f1/0 au vlan 10 et du port f1/1 au vlan 20:

RouteurSwitch(config)#interface fastethernet1/0
RouteurSwitch(config-if)#switchport access vlan 10
RouteurSwitch(config-if)#exit
RouteurSwitch(config)#interface fastethernet1/1
RouteurSwitch(config-if)#switchport access vlan 20
dfinir l'interface f1/2 du Routeurswitch comme trunk(car cest un seul
port qui est partag)

Crer des sous-interfaces au niveau de l'interface f0/0 du RouteurInterVlan


Au niveau de f0/0 du RouteurVlan:

Sous- interface fa0/0.10 pour le vlan 10

Page 7
Sous- interface fa0/0.20 pour le vlan 20

NB on naffecte pas dadresse IP linterface principale fa0/0 toutefois il faut


lactiver. De plus, il faut faire lencapsulation avant de prciser ladresse IP des
sous-interfaces. Lencapsulation dot1Q (norme 802.1Q) se fait au niveau des
sous interfaces. Elle permet en fait dajouter des tiquettes spciales aux trames
pour identifier le Vlan auquel elles appartiennent.

Les machines du vlan 10 indiqueront comme passerelle ladresse IP de


linterface fa0/0.10 et celles du vlan 20 indiqueront ladresse de linterface
fa0/0.20

Les utilisateurs des diffrents vlan peuvent prsent changer bien


quappartenant des vlan diffrents (on peut le tester en faisant un ping)

Page 8
AUTHENTIFICATION ET ATTRIBUTION DUN VLAN

Un utilisateur se connecte au rseau, il doit sauthentifier afin quil soit mis


dans son vlan

Scnario :

Le switch se prsente comme un authenticator et il relaie donc les


informations dauthentification de lutilisateur vers le serveur radius du
rseau, lui a son tour va interroger lannuaire Ldap pour vrification des
informations reues. En cas de conformit, il envoie au switch les
informations ncessaire pour quil intgre lutilisateur dans son vlan adquat
sinon lutilisateur reoit un message dchec dauthentification.

Sous fedora

On suppose que nous disposons dj dun annuaire ldap

- installer freeradius
- Ensuite laide de la commande suivante
- #rpm -qa|grep freeradius . vous verrez afficher une ligne similaire
freeradius-ldap qui montre que le module ldap de freeradius a t bien
install sinon installez ce paquet.
- dans /etc/open/ldapSchema, vous vrifiez la prsence du fichier
radiusldap.schema
- Editez le fichier /etc/openldap/slapd.conf et indiquez lannuaire ldap
quil doit recevoir des requtes dauthentification venant de radius. Pour
cela, ajoutez un include /etc/openldap/schema/Radiusldap.schema

Page 9
-
NB : Ne modifiez aucun lment schma dfini dans les fichiers schma
installs par OpenLDAP.

Dans votre fichier.ldif (dans notre cas userradius.ldif) dans lequel vous
dfinissez vos utilisateurs, prcisez que lauthentification se fera par radius

- Il faut clairement tablir le mapping entre radius et ldap.


Editez /etc/raddb/modules/ldap, dans la section ldap, spcifiez le basedn
server, le filter et le password attribute

Page 10
Page 11
- Editez le fichier /etc/raddb/ldap.attrmap

Page 12
Sous fedora les trois dernires lignes en gras existe dj. Au cas o vous
ne les aurez pas ,ajoutez-les.

Enfin dans /etc/raddb/site-enable/inner-tunnel activer ldap de la section


authorize en le dcommentant

Page 13