VLANs

Les principes

La réalisation

Les standards

Un scénario de mise en œuvre

Exemple de configuration d’équipements

 Les principes

- longtemps, la solution a consisté à introduire des routeurs entre les

différents domaines logiques avec pour effet :
- diminution du domaine de ‘broadcast’
- filtrage de niveau 3 entre stations
- coûts assez élevés en matériels et gros problèmes de
connexion des utilisateurs (brassage des prises réseaux,
attribution des adresses IP, etc.)
-charge d’administration non négligeable
-Problème de mobilité des postes

- Idée : construire un réseau logique sur un réseau physique partagé

Notion de réseau virtuel (Vlan)

 La réalisation
Segmentation d’un élément de commutation en différents sous-ensembles
ne pouvant pas communiquer entre eux directement
- Adressages de niveau 3 distincts pour chaque sous-ensemble
- Passage obligé par un équipement de routage
- Possibilité de filtrer les flux entre domaines

Segmentation basée sur différents principes :

- Vlan par ports

- Vlan par adresse MAC
- Vlan de niveau 3
- Vlan par utilisateurs
 La réalisation (1)
Vlan par port :
- 1 port <--> 1 Vlan (quelques précisions plus tard …)
- table de correspondance dans le commutateur entre ports et Vlans
- configuration simple
- mise en œuvre la plus répandue Routeur Forwarding DataBase (FDB) :

- degré de fiabilité assez important si la VLAN PORT

gestion des équipements et des prises 2 1,2,3,4,5
réseaux est bien faite 3 6,7
4 8,9
etc. etc.
24

1 2 3 4 5 6 7 8 9

Vlan 2 Vlan 3 Vlan 4 Etc.

 La réalisation (2)
Vlan par adresse MAC :

- l’appartenance à un Vlan est fonction de l’adresse MAC des stations

- correspondance dans le commutateur entre adresses MAC et Vlans
- plusieurs Vlans possibles par port du commutateur (mais on perd alors
une partie de la confidentialité en se remettant dans le cas d’un réseau à plat)
- configuration complexe due à la gestion des adresses MAC
- mise en œuvre pas trop répandue sauf peut-être dans des contextes particuliers
- degré de confiance limité : on peut usurper l’adresse MAC des serveurs importants
- idéal pour les postes nomades

Vlan de niveau 3 :
- analyse dans les trames de niveau 2 des informations de niveau 3 : adresses
IP, type de protocole (IP, IPX), etc.
- correspondance dans le commutateur entre informations de niveau 3 et Vlans
- plusieurs Vlans possibles par port du commutateur (mêmes restrictions que pour
les Vlans par adresses MAC)
- gestion idéale pour les postes nomades
- mise en œuvre pas trop répandue
- degré de confiance limité : le même que celui d’une adresse IP !
 La réalisation (3)
Vlan par utilisateur :

-norme 802.1x : Port Based Network Access Control

EAP (Extensible Authentication Protocol)
- mise en œuvre par modification du poste de l’utilisateur : demande
d’authentification sur le réseau lors du démarrage du poste
( En standard pour Windows 2000 ( SP4) , Win XP … , MacOS 10.3 )
Client libre existant pour linux (xsupplicant)
- mécanisme souvent couplé avec Radius, etc.
- gestion idéale pour les postes nomades
- mise en œuvre peu répandue
- degré de confiance fonction du mode d’authentification utilisé
- De plus en plus utilisé pour les réseaux sans fils
 Les standards
Normalisation IEEE 802.1Q
Mise en œuvre du principe de « Frame Tagging » de Cisco (1995)
Insertion dans une trame Ethernet de 4 octets supplémentaires :
Taille maximale : 1518 (normale) ou 1522 (taggée)

7 octets 1 6 6 2 2 2 46-1500 4
Type ou
Préambule SFD @Destination @Source TPID TCI Longueur Données FCS
0800 (IP)
2-30 4
Tag Protocol Identifier
0x8100 pour Ethernet RIF Données éventuelles FCS

Tag Control Identifier

Exemple utilisation : routage entre annea

Si bit à 1

3 bits 1 bit 12 bits

Canonical Format Indicator
User Priority : 802.1P Vlan Identifier
 Un peu de vocabulaire
Équipements « Aware » et « Unaware » :

- Les stations ou les équipements sachant interpréter la norme 802.1Q sont

qualifiés de « aware» (équipements «ayant la connaissance»)
- Les autres équipements sont dits “unaware”

Connexions de 3 types possibles :

- lien d'accès simple : lien typiquement utilisé par les équipements "unaware"
- lien Trunk : lien inter-commutateurs permettant de véhiculer les
informations
entre Vlans sur des commutateurs différents («aware» par définition)
- lien hybride : lien acceptant aussi bien des équipements «aware» que
«unaware»
 Exemple de topologie
- filtrage des communautés sur le routeur
Routeur inter-Vlans
- « Spanning Tree » pour gérer les boucles

24
Lien TRUNK

1 2 3 4 5 6 7 1 3 8 11 12

Vlan 2 Vlan 3 Spanning Tree (802.1D) Vlan 2 Vlan 3 Vlan 4 Etc.

Architecture physique
Architecture logique
 Un scénario de mise en œuvre (1)
Réseau d’origine, sans Vlans :
Extérieur (Campus, Renater, etc.)

r
ieu
tér
’ex
l
Protection par filtrage

isu
ep
Routeur

sd
Serveurs « Internet ou Extranet »
bl e
si Serveurs « Intranet »
Vi

Invisibles depuis l’extérieur

Éléments de commutation
Restriction du routage

Accédés en interne

Utilisateurs Utilisateurs

Postes utilisateurs
Accédés en interne
Utilisateurs Utilisateurs
Un scénario de mise en œuvre (2)
Une démarche de mise en place de Vlans :

 créer un VLAN réservé aux serveurs externes (zone “semi-ouverte” : DMZ)

 créer un VLAN pour les communautés d’utilisateurs « hors SI », c’est-à-dire n’ayant pas
vocation à travailler directement sur le système d’information du site (salles de formation,
etc.)
 créer un ou plusieurs VLANs pour les utilisateurs « SI », c’est-à-dire travaillant directement
sur le système d’information
 mettre en place pour chaque VLAN une classe d’adresse privée, non routable et donc non
visible depuis l’extérieur, ou bien attribuer une plage d’adresse dans la ou les classes C
actuellement utilisées (“ subnetting ”). La classe d’adresse officielle est en général réservée
aux équipements de la DMZ
 mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque
communauté) afin de sécuriser l’accès aux services
 mettre en place éventuellement (si l’option adresse non routables a été choisie) un mécanisme
de translation d’adresse attribuant une adresse routable différente pour chaque communauté
et des adresses fixes pour les serveurs accessibles depuis l’extérieur (DMZ)
 Un scénario de mise en œuvre (3)
Réseau d’origine, avec Vlans :
Extérieur
Translation éventuelle de certaines adresses vers l’extérieur
Filtrage des flux provenant de l’extérieur
Serveurs de communication à vocation externe Routeur

Serveurs à vocation interne

Commutateur-Routeur
Vlan A
Éléments de commutation
DMZ Vlan B
Classe C privée
Classe C officielle

Filtrage des échanges entre Vlans

Utilisateurs Utilisateurs Utilisateurs

Utilisateurs
Utilisateurs Utilisateurs
Utilisateurs Utilisateurs
Utilisateurs
Vlan C Vlan D Vlan E
Classes C privées
Administration Equipe Recherche Salle TP
 Une configuration concrète (1)
La maquette :
3 sous interfaces FastEthernet :
Routeur • FastEth0/0.1 : 192.168.1.1
Cisco 3640 • FastEth0/0.2 : 192.168.2.1
• FastEth0/0.3 : 192.169.1.1

Lien Trunk 802.1Q ou ISL

24

Commutateur Cisco 2924

1 2 3 4 5 6 7 8 9 16

Vlan 2 Vlan 3 Vlan 4 Port redirigé pour analyse de trafic

 Une configuration concrète (2)
Les commandes sur le routeur :

interface FastEthernet0/0
no ip address
no ip directed-broadcast

interface FastEthernet0/0.1
encpasulation dot1q 2 VLAN 2
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip directed-broadcast

interface FastEthernet0/0.2
encpasulation dot1q 3 VLAN 3
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip directed-broadcast

interface FastEthernet0/0.3
encpasulation dot1q 4 VLAN 4
ip address 192.169.1.1 255.255.255.0
no ip redirects
no ip directed-broadcast
Une configuration concrète (3)
Les commandes sur le switch :

interface FastEthernet0/1
switchport access vlan 2 Affectation des ports aux différents Vlans
interface FastEthernet0/2
switchport access vlan 3
interface FastEthernet0/3
switchport access vlan 4
interface FastEthernet0/15
interface FastEthernet0/16
port monitor FastEthernet0/1 Redirection de port pour faire de l’analyse de réseau
switchport access vlan 3 La redirection ne peut se faire que pour un même Vlan
interface FastEthernet0/17
interface FastEthernet0/18
interface FastEthernet0/23
interface FastEthernet0/24 Lien Trunk vers le routeur
switchport mode trunk
interface VLAN2
no ip address
no ip route-cache
interface VLAN3 On peut affecter une adresse IP à un Vlan pour l’administrer
ip address 192.168.1.2 255.255.255.0
no ip route-cache
 Quelques remarques
Mieux vaut éviter l’utilisation du VLAN 1
Passage de 802.1Q à ISL
- Sur le commutateur :

Int FastEthernet0/24
switchport trunk encapsulation isl

- Sur le routeur :

Int FastEthernet0/0.4
Encapsulation isl 4

Restriction des Vlans autorisés sur un lien trunk :

switchport trunk allowed vlan 2, 100-200, 1002-1005

10/04/2006 82
 Conclusion

Les Vlans sont une réponse bien adaptée à la problématique de la séparation

des communautés d’utilisateurs sur un réseau local

La mise en œuvre est relativement simple (mais fonction tout de même de la

taille du réseau !) et facilite les tâches d’administration

Un soin tout particulier doit être apporté à la mise en œuvre selon le type de
Vlans (par port, par adresse MAC, protocoles ou bien utilisateurs)
Il faut tout de même faire attention :
la technologie des Vlans n’est pas exempte de problèmes de sécurité :
problèmes d’implémentation, gestion et attribution des numéros de Vlans, etc.