Académique Documents
Professionnel Documents
Culture Documents
Re16 TD2
Re16 TD2
__________________________________________________________________________________________
TD n2
Les rseaux locaux virtuels (VLAN)
Exercice 4 Topologie
Vous disposez dun routeur avec deux ports srie et un port Ethernet. Vous devez le connecter
un lien WAN vers votre fournisseur daccs Internet et quatre VLANs internes.
1. Que devez-vous vrifier sur le routeur avant de faire quoi que ce soit dautre ?
2. Quel type de configuration allez-vous donner linterface Ethernet ?
3. Vous avez choisi le marquage des trames 802.1q. Il ny a aucune erreur dans la
configuration du routeur, tous les cordons de brassage sont correctement positionns, et
pourtant, rien ne marche. Quel est la cause probable de lerreur ?
Routeu Routeu
SR 1 r SR 2 SR 1 r SR 2
trunk
Switch Switch
VLAN 1 VLAN 2 SR 1 SR 2
SR 1 SR 2
Exercice 6 Configuration
Un switch a t configur comme il est montr dans la figure ci dessus. Lhte 1 est connect
au port 0/4 avec ladresse IP 192.168.1.22/28. Lhte 2 est connect au port 0/5 avec ladresse
IP 192.168.1.33/28. Lhte 3 est connect au port 0/6 avec ladresse IP 192.168.1.30/28.
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP
__________________________________________________________________________________________
Exercice 7 Topologie
Exercice 8 Configuration
Rponses
Exercice 1 :
1. Ils permettent de saffranchir du lieu de connexion des postes, pour pouvoir les
grouper en domaines de broadcast selon leur fonction. Cela permet de concentrer les
communications lintrieur des VLANs.
2. La technique des VLANs est une technique de segmentation. Une fois spars en
groupes de travail, les ordinateurs se voient autoriss, par ladministrateur rseau,
uniquement les communications utiles au sens de la politique de scurit.
3. Switchs et routeurs
4. Aucun, les postes ne connaissent pas leur appartenace un VLAN.
5. En les interconnectant avec un routeur
6. Non :
dans le cas de lutilisation dun seul switch, on utilise les VLAN pour conomiser
des interfaces et des switchs :
Avec VLANs : Sans VLAN :
1 seule interface du routeur 2 interfaces du routeur
1 seul switch 2 switchs
Routeu Routeu
SR 1 r SR 2
SR 1 r SR 2
trunk
VLAN 1 VLAN 2 SR 1 SR 2
SR 1 SR 2
Avec VLANs :
Routeu
SR 1 r SR 2
trunk trunk
Switch Switch
Sans VLAN :
Routeu
SR 1 r SR 2
Switch Switch
SR 1 SR 2 SR 1 SR 2
7. Protocoles dtiquetage des trames : ISL ou 802.1q (802.10 pour FDDI et LANE pour
ATM) puis ventuellement VTP pour propager les tables MAC/VLAN de switch en
switch
8. Exemples :
quand un domaine de broadcast est trop grand, il faut le segmenter, les VLANs
sont une bonne solution
dans le cas dutilisateurs identifis par leur adresse MAC, quel que soit lendroit
o ils se connectent physiquement sur le rseau
partout o le cblage doit rester fig alors que la fonction des postes peut changer
en fonction des lutilisateur qui on attribue ces postes
Exercice 2 :
Types de VLAN :
statiques ou VLAN par port : facile mettre en oeuvre, difficile maintenir, peu
scurisant, sauf si vos ordinateurs sont absolument inamovibles
dynamiques ou VLAN par adresse MAC : plus difficile mettre en route (tables
dadresses MAC construire), mais plus facile maintenir. Plus scurisant car les
machines peuvent bouger.
il existe des VLAN dynamiques par adresse IP, ou VLAN de niveau 3, ils sont peu
utiliss car peu scurisant puisque l@IP est facilement paramtrable sur un
ordinateur.
Ce sont les VLANs dynamiques par adresse MAC qui sont, de loin, les plus utiliss.
Exercice 3 :
1. Il y a une table MAC par VLAN
2. A aucun, ils sont utiles pour propager tous les VLAN entre deux switch ou entre
un switch et un routeur
3. Il renvoie la trame uniquement aux ports participants au mme VLAN (y compris les
ports trunk, aprs tiquetage)
4. Il renvoie la trame tous les ports participants chacun des VLANs concerns
5. Une trame de broadcast de niveau 2 provenant dun port trunk porte lidentification
dun seul VLAN. Aprs dtiquetage, la trame est retransmise vers tous les ports
participants ce VLAN (y compris les ports trunk, mais sans dtiquetage)
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP
__________________________________________________________________________________________
Exercice 4 :
1. Il faut vrifier que le routeur dispose dune carte Fastethernet, sinon la dfinition de
sous-interfaces sera impossible. Il faut aussi que lIOS du routeur supporte les
fonctions attaches lutilisation des VLANs
2. Il faudra obligatoirement mettre l interface Ethernet en mode trunk
Exercice 5 :
Sans VLAN :
les trames de broadcast de niveau 2 sont visibles par toutes les machines, mme si
elles ne sont pas dans le mme rseau IP.
il suffit de changer d@IP pour changer de rseau, cest bien plus facile que de
changer d@MAC !
larchitecture nest pas propre, en ce sens que on ne sattend pas trouver des
rseaux diffrents interconnects par un switch !
Exercice 6 :
1 peut faire un ping sur 3 car ils sont dans le mme VLAN et dans le mme rseau
Exercice 7 :
Car ils ne sont pas dans le mme rseau
Exercice 8 :
Routeu
1r interface physique, mode trunk
dot1q (802.1q)
3 interfaces logiques
Le routeur routera le paquet vers la mme interface, mais avec ltiquette du VLAN 120,
condition quil satisfasse lACL !