Académique Documents
Professionnel Documents
Culture Documents
Lan Segmentation PDF
Lan Segmentation PDF
Philippe Latu
philippe.latu(at)inetdoc.net
http://www.inetdoc.net
Rsum
1.Copyright et Licence
Copyright (c) 2000,2015 Philippe Latu.
Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.3 or any later version
published by the Free Software Foundation; with no Invariant Sections, no
Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included
in the section entitled "GNU Free Documentation License".
1.1.Meta-information
Cet article est crit avec DocBook1 XML sur un systme Debian GNU/Linux2. Il est disponible en version imprimable au format
PDF : lan-segmentation.pdf3.
2.Introduction
D'aprs la modlisation OSI, c'est la couche rseau (niveau 3) qui assure l'interconnexion entre les rseaux. La couche rseau
gre donc le trac entre rseaux.
1
http://www.docbook.org
2
http://www.debian.org
3
http://www.inetdoc.net/pdf/lan-segmentation.pdf
La conception des rseaux locaux a toujours t l'art de trouver le bon quilibre entre rapidit et qualit. Les commutateurs
rpondent parfaitement au critre rapidit tandis que les routeurs rpondent parfaitement au critre qualit.
Voici donc une prsentation des deux techniques : commutation et routage, suivie d'une synthse sur la segmentation des
rseaux locaux.
3.La commutation
La technologie de commutation opre au niveau 2 du modle de rfrence OSI. La nouvelle popularit des commutateurs
peut tre vue comme la rsurgence de la technologie des ponts.
Tout comme un pont, le commutateur dcide de la redirection partir de l'adresse MAC contenue dans chaque trame.
A la diffrence d'un pont, le commutateur redirige les donnes avec des temps d'attente trs courts et des algorithmes
intgrs directement dans ses composants.
La commutation permet de rpartir la bande passante la fois sur des segments partags et des segments ddis.
3.1.Modles de propagation
Commutation cut-through
Elle dmarre le processus propagation partir de l'adresse MAC du destinataire avant que la totalit de la trame soit
reue. Avec ce modle, les temps d'attente sont aussi courts quelle que soit la longueur des trames. Cependant, les trames
errones sont transmises sans aucun contrle.
4.Le routage
Les routeurs oprent au niveau 3 du modle de rfrence OSI. Ils ont beaucoup plus de fonctions logicielles qu'un
commutateur. En fonctionnant un niveau plus lev qu'un commutateur, un routeur distingue les diffrents protocoles de
la couche rseau : IP, IPX, AppleTalk, etc. Cette connaissance permet au routeur de prendre des dcisions plus sophistiques
de propagation.
Comme un commutateur, un routeur fournit aux utilisateurs une communication transparente entre des segments
individuels.
A la diffrence d'un commutateur, un routeur dtermine les limites logiques entre des groupes de segments de rseaux.
Un routeur fournit un service de contrle d'accs parce qu'il ne transmet que le trac destin le traverser. Pour accomplir
ces tches, un routeur doit raliser 2 fonctions de base :
1. Crer et maintenir une table de routage pour chaque protocole de routage. Ces tables sont mises jour dynamiquement
grce aux protocoles de routage.
2. Identier le protocole contenu dans chaque paquet, extraire l'adresse de destination rseau et prendre la dcision de
propagation en fonction des donnes de la table de routage.
Les fonctionnalits tendues d'un routeur lui permettent de choisir le meilleur chemin partir de plus d'lments qu'une
simple adresse MAC : comptage des sauts, vitesse de transmission, cot, dlais et conditions de trac.
Ces amliorations conduisent une meilleure scurit, une meilleure utilisation de la bande passante et plus de
contrle sur les oprations rseau. Cependant, les temps de traitement supplmentaires peuvent rduire les performances
comparativement un simple commutateur.
1. Segmenter les rseaux en domaines de diffusion isols. La hirarchie rsultante permet de dlguer l'autorit et la
gestion des rseaux.
2. Filtrer intelligemment les paquets et supporter les chemins redondants en assurant une balance de charge.
Les stations Ai et Bi bncient de liaisons ddies. Chacune dispose de la totalit de la bande passante du rseau.
Les stations Ci et Di utilisent des liaisons partages. La bande passante totale est rpartie entre les stations actives.
Le trac de diffusion des serveurs A et B ne traverse pas le routeur. La bande passante est prserve entre les rseaux.
5.Segmentation
Les facults des commutateurs et des routeurs segmenter les rseaux sont une source de confusion. Comme chacun des 2
dispositifs opre un niveau diffrent du modle OSI, chacun ralise un type de segmentation diffrent.
5
http://www.inetdoc.net/articles/lan-segmentation/images/utiliser_routage.png
5.3.Synthse
C'est grce aux progrs de l'lectronique qui ont permis d'augmenter les densits d'intgration et les frquences, que les
commutateurs ont pu se dvelopper.
Dans le mme temps, les fonctions ralises par les routeurs n'ont cess d'augmenter en quantit et en qualit. Il ne faut
pas oublier que toute la scurit d'un systme d'information se joue sur les quipements d'interconnexion. Une rgle de
scurit sur une quipement rseau est value chaque nouveau paquet tandis qu'une rgle de scurit applicative n'est
value qu' l'authentication.
Il tait donc invitable que l'on aboutisse des quipements hybrides. Aujourd'hui, les routeurs les plus performants
associent une lectronique rapide (celle du commutateur) au niveau 2 et un logiciel complet (les fonctions du routeur) au
niveau 3.
Pour parvenir ce rsultat, on trouve 2 approches :
6.Exemple de conception
En tenant compte des notions abordes ci-dessus, voici un exemple d'architecture faible cot. Il s'agit de concilier la
fourniture de bande passante pour le rseau local et le contrle d'accs pour le rseau tendu.
Routeur GNU/Linux
Gnralement, les liaisons d'accs Internet ont un dbit maximum infrieur 10Mbps. Un chssis serveur d'entre de
gamme peut trs bien accueillir 4 interfaces :
2 interfaces Ethernet 10/100Mbps supportant le mode Full-Duplex qui permet d'atteindre les 200Mbps. C'est aussi au
niveau de ces interfaces que le routage inter-VLAN permet de grer les domaines de diffusion associs aux groupes
de travail.
Une conguration comme celle-ci peut trs bien assumer toute la complexit des traitements de contrle d'accs et
dlguer la fourniture de bande passante au commutateur central.
Commutateur central
Toutes les fonctions d'aiguillage au niveau rseau (couche 3 OSI) tant assures par le routeur, on peut se contenter
d'une programmation par port du commutateur central pour dlimiter les primtres l'intrieur du rseau local. Ces
primtres peuvent correspondre :
Commutateur dpartemental
Comme ces commutateurs ou hubs sont situs l'intrieur des primtres, ils ne ncessitent pas de programmation
particulire. Ils hritent de la conguration ralise au niveau suprieur.
8
http://www.inetdoc.net/articles/lan-segmentation/images/exemple_conception.png