Académique Documents
Professionnel Documents
Culture Documents
: VIRTUEL LAN
En effet dans un réseau local la communication entre les différentes machines est régie par
l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des
limitations de l'architecture physique (contraintes géographiques, contraintes d'adressage, ...) en
définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à
des critères (adresses MAC, numéros de port, protocole, etc.).
•Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit un
réseau virtuel en fonction des ports de raccordement sur le commutateur .
•Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais
MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des
stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est
indépendant de la localisation de la station.
a) Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous
réseaux selon l'adresse IP source des datagrammes. Ce type de solution apporte une grande
souplesse dans la mesure où la configuration des commutateurs se modifie automatiquement en cas
de déplacement d'une station. En contrepartie une légère dégradation de performances peut se faire
sentir dans la mesure où les informations contenues dans les paquets doivent être analysées plus
finement.
b) Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau virtuel
par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les
machines utilisant le même protocole au sein d'un même réseau.
75
REALISATION CHAPITRE 01 : VIRTUEL LAN
- Sécurité : permettre de créer un ensemble logique isolé pour améliorer la sécurité. Le seul
moyen pour communiquer entre des machines appartenant à des VLANs différents est alors
de passer par un routeur. Donc gain en sécurité car les informations sont encapsulées dans
un niveau supplémentaire et éventuellement analysées
- Souplesse : Plus de souplesse pour l'administration et les modifications du réseau car toute
l'architecture peut être modifiée par simple paramétrage des commutateurs
76
REALISATION CHAPITRE 01 : VIRTUEL LAN
Station A
Serveur/hote Diffusion A
Diffusion A
Station de travail
Diffusion A
Station A
Station de travail
Tous les équipements S-
R
172.16.0.0
Diffusion A
Station de travail
Les VLAN permettent aux commutateurs de crée plusieurs domaines de diffusion au sien d’un
réseau commuté (voir figure 2). Remarquez que tous les utilisateurs appartenant à un groupe donné
(un service, en l’occurrence) sont maintenant regroupés dans le même VLAN. Tous les utilisateurs
de ce VLAN reçoivent les diffusion de tous les autres membres du VLAN, mais les membres des
autres VLAN ne les reçoivent pas. Chaque utilisateurs d’un VLAN donné est également dans le
même sous-réseau IP. Cette organisation diffère de celle de la figure 1, dans laquelle
l’emplacement physique de l’équipement déterminer le domaine de diffusion.
77
REALISATION CHAPITRE 01 : VIRTUEL LAN
3étage
2étage
Réseau
1étage Réseau Réseau RH R&D
ventes
Core Layer (le coeur du réseau) : fournit un backbone à haut débit (switch avec des ports
GigabitEthernet). L'objectif de cette couche est de permettre la commutation entre
différentes couches de distribution aussi vite que possible. Généralement cette partie est
assuré par de l'interconnexion de niveau 2 uniquement.
78
REALISATION CHAPITRE 01 : VIRTUEL LAN
Distribution Layer : implémente les politiques réseaux de l'entreprise (switch layer 3).
Cette couche se trouve entre le coeur du réseau et la couche d'accès aux réseaux, elle
interconnecte les switchs de la couche d'accès au réseau et fait la liaison avec le coeur de réseau
- Elle doit gérer les fonctionnalités de niveau 3 et mettre en place la politique de
sécurité
- Mettre en place les VLANs
- Faire le routage entre les VLANs
- Effectuer l'agrégation des routes
Access Layer : donne aux utilisateurs l'accès aux réseaux, Cette couche est généralement
composée de switchs niveau 2. Il Défini les VLANs afin d'interdire la propogation des
broadcasts et du multicast.
79
REALISATION CHAPITRE 01 : VIRTUEL LAN
1.Ajout d’un
Nouveau VLAN
80
REALISATION CHAPITRE 01 : VIRTUEL LAN
A la figure, nous ajoutons un nouveau VLAN à notre réseau commuté. Les étapes illustrées dans
cette figure sont les suivantes :
Par défaut, un commutateur catalyst est dans l’état « sans domaine d’administration » jusqu’à ce
qu’il reçoive une annonce pour un domaine sur un tronçon, ou jusqu’à ce que vous configurez un
domaine d’administration.
Pour adhérer un switch a un domaine on entre la commande suivante (voir plus déttaillé dans
chapitre 2)
Switch#configure terminal
switch (config)#vtp domain “nom du domaine”
note: (on note que le materiel utilisé dans notre apllication est fabriquer par l'enterprise CISCO)
4-2- Mode VTP
- server : Le mode VTP par défaut est le mode serveur, mais les VLAN ne sont pas propagés
sur le réseau tant qu’un domaine d’administration n’est pas spécifié ou appris. Un
commutateur catalyst fonctionnant en mode VTP serveur peut crée, modifier et supprimer
des VLAN et d’autres paramètres de configuration pour l’ensemble du domaine VTP. En
mode serveur, les configuration des VLAN sont sauvegardées en NVRAM. Quand vous
apportez une modification à la configuration d’un VLAN sur un serveurVTP, celle-ci est
propagée à tous les commutateurs du domaine. Les messages VTP sont distribués à tout le
domaine VTP au travers des liens "trunk".
- client : Les switches en mode client appliquent automatiquement les changements reçus du
domaine VTP. Un équipement exécutant un client VTP ne peut crée, modifier ni supprimer
des VLAN, et il n’enregistre pas les configurations en NVRAM. En mode client comme en
81
REALISATION CHAPITRE 01 : VIRTUEL LAN
mode serveur, les commutateurs synchronisent leurs configurations avec les commutateurs
ayant le numéro de révision le plus élevé dans le domaine VTP.
- transparent : En mode transparent, les modifications sont locales mais non distribuées. Un
commutateur fonctionnant en mode VTP transparent ne crée pas d’annonces VTP, ni ne
synchronise sa configuration de VLAN avec les informations qu’il reçoit des autres
commutateurs de son domaine d’administration. Il retransmet les annonces VTP reçus des
autres commutateurs appartenant au même domaine d’administration. Il peut crée,
supprimer et modifier des VLAN, mais les modifications ne sont pas propagées aux autres
commutateurs du domaine : elles n’affectent que le commutateur local.
Quand un nouveau switch est ajouté au domaine VTP, le numéro de révision de celui-ci doit être
réinitialisé pour éviter les conflits.
82
REALISATION CHAPITRE 01 : VIRTUEL LAN
Synchronise ses informations Synchronise ses informations Ne synchronise pas ses informations
de configuration des VLAN de configuration des VLAN de configurations des VLAN avec les
avec les autres commutateurs. avec les autres commutateurs. autres commutateurs.
Les configurations sont Les configurations ne sont pas Les configurations sont auvegardées
sauvegardées en NVRAM sauvegardées en NVRAM en NVRAM
Le catalyst peut créer des Le catalyst ne peut pas créer Le catalyst peut crée des VLANs
VLAN des VLAN
Le catalyst peut supprimer Le catalyst ne peut pas Le catalyst peut supprimer des
des VLAN supprimer de VLAN VLAN
Lors de l’installation de VTP sur un commutateur, il est important de choisir le mode approprié.
VTP étant un outil puissant, il peut écraser les configurations des VLAN sur certains commutateur
et provoquer des problèmes de réseau. La section suivante expliquer se phénomène. Vous devez
néanmoins savoir que le mode que vous choisissez peut éliminer ce risque. Vous devez choisir le
mode serveur pour le commutateur qui vous servira à créer, modifier et supprimer les VLAN. Le
serveur propagera ces informations aux autres commutateurs configurés comme serveurs ou
comme clients. Le mode client doit être installé sur tout commutateur ajouté au domaine VTP,
pour empêcher un éventuel écrasement d’un VLAN. Utilisez le mode transparent sur un
commutateur qui doit passer des annonces à d’autres commutateurs, et qui à également besoins
d’administrer indépendamment ces propres VLAN.
Pour configurer un switch en mode serveur, client ou transparent on utilise la commande suivante :
Switch#configure terminal
Switch (config) #vtp mode {server/ client/ transparent}
83
REALISATION CHAPITRE 01 : VIRTUEL LAN
4-3- Le trunk :
Dans le contexte de VLANs, le terme « trunk » indique un lien de réseau supportant des VLANs
multiples entre 2 commutateurs ou entre un commutateur et un routeur, cela fonctionne en utilisant
un protocole adapté. En effet pour tenir compte des raccordements multiples sur un lien, les trames
d'un VLAN doivent être identifiées avec un protocole commun.
- Le protocole IEEE 802.1Q ajoute une étiquette à l'en-tête du paquet Ethernet, la marquant
comme appartenant à un certain VLAN, ceci est la méthode préférée en 2007 et la seule
option valable dans un environnement avec des équipements de fournisseurs multiples.
- Il y a également un protocole propriétaire Cisco (de propriété industrielle Cisco) pour la
Virtualisation de réseau local (VLAN). Il est appelé : ISL "Inter Switch Link", il encapsule
la trame Ethernet avec sa propre encapsulation, et marque la trame comme appartenant à un
VLAN spécifique, dans un réseau composé d'équipement de commutation de la marque
Cisco.
Pour configurer un port en mode trunk sur un switch on utilise la commande suivante :
switch#configure terminal
switch(config)#interface fastethernet “slot/port”
switch (config-if)#switchport mode trunk
switch (config-if)#switchport trunk encapsulation {isl/dot1q/negotiate}
84
REALISATION CHAPITRE 01 : VIRTUEL LAN
Nous allons créer les vlans qui vont correspondre au réseau d’un service ou d’une direction :
switch#configure terminal
switch(config)#vlan “vlan_id”
switch(config)#name “nom du vlan”
Une fois nos vlan créés il nous faut attribuer les ports correspondants aux différents services sur les
Vlan.
Switch#configure terminal
Switch (config) #interface fastethernet “slot/port”
Switch (config-if) #switchport mode access
Switch (config-if) #switchport access vlan “vlan_id”
Pour chaque vlan crée correspond une interface VLAN, à la quelle on va attribué une adresse IP,
cette adresse IP sera la passerelle des postes client correspondant a ce VLAN.
Example:
Switch#configure terminal
Switch (config) # interface vlan 2
Switch (config-if) #ip address 10.26.104.1 255.255.255.0
6- L’utillisation du DHCP :
85
REALISATION CHAPITRE 01 : VIRTUEL LAN
nom DNS dans une application, les services DNS peuvent résoudre ce nom en une autre
information qui lui est associée, par exemple une adresse IP.
Le serveur DNS sert à faire une correspondance entre adresse IP et nom d’ordinateur sur le
réseau.
Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau.
Un service d'annuaire, tel que Active Directory, fournit des méthodes de stockage des données de
l'annuaire et met ces données à la disposition des utilisateurs et des administrateurs du réseau. Par
exemple, Active Directory stocke des informations sur les comptes d'utilisateurs, notamment les
noms, les mots de passe, les numéros de téléphone, etc. et permet à d'autres utilisateurs autorisés
du même réseau d'accéder à ces informations.
Le protocole DHCP est un standard TCP/IP conçu pour simplifier la gestion de la configuration
d'IP hôte. Le standard DHCP permet d'utiliser des serveurs DHCP comme une méthode de gestion
d'affectation dynamique d'adresses IP et d'autres détails de configuration correspondants pour les
clients DHCP de votre réseau.
Il convient d'attribuer à chaque ordinateur d'un réseau TCP/IP un nom d'ordinateur et une
adresse IP unique. L'adresse IP (avec son masque de sous-réseau associé) identifie l'ordinateur
hôte et le sous-réseau auquel il est associé. Lorsque vous déplacez un ordinateur vers un autre
sous-réseau, l'adresse IP doit être modifiée. DHCP vous permet d'affecter de manière
dynamique une adresse IP à un client à partir de la base de données d'une adresse IP du serveur
DHCP sur votre réseau local (voir figure 5).
86
REALISATION CHAPITRE 01 : VIRTUEL LAN
DHCP évite les erreurs de configuration dues au besoin de taper manuellement des valeurs sur
chaque ordinateur. De plus, DHCP permet d'empêcher les conflits d'adresses causés par une
adresse IP affectée précédemment réutilisée pour configurer un nouvel ordinateur sur le réseau.
De plus, le processus de renouvellement du bail DHCP vous permet de vous assurer que lorsque
les configurations de client doivent être régulièrement mises à jour (par exemple pour les
utilisateurs possédant des ordinateurs portables qui changent régulièrement d'emplacement), ces
modifications peuvent être apportées de manière efficace et automatique par les clients
communiquant directement avec les serveurs DHCP.
87
REALISATION CHAPITRE 01 : VIRTUEL LAN
- Durée d'un bail offert par le serveur. Le bail définit la durée d'utilisation de l'adresse IP
attribuée.
Avec un serveur DHCP installé et configuré sur un réseau, les clients DHCP peuvent obtenir
de manière dynamique leur adresse IP et les paramètres de configuration associés chaque fois
qu'ils ouvrent et se connectent au réseau. Les serveurs DHCP fournissent cette configuration sous
forme d'offre de bail d'adresse aux clients qui la demande.
Terme Description
étendue Une étendue est la plage consécutive complète des adresses IP probables
d'un réseau. Les étendues désignent généralement un sous-réseau
physique unique de votre réseau auquel sont offerts les services DHCP.
Les étendues constituent également pour le serveur le principal moyen
de gérer la distribution et l'attribution d'adresses IP et de tout autre
paramètre de configuration associé aux clients d réseau
plage d'exclusion Une plage d'exclusion est une séquence limitée d'adresses IP dans une
étendue, exclue des offres de service DHCP. Les plages d'exclusion
permettent de s'assurer que toutes les adresses de ces plages ne sont pas
offertes par le serveur aux clients DHCP de votre réseau.
Pool d’adresses Une fois que vous avez défini une étendue DHCP et appliqué des plages
88
REALISATION CHAPITRE 01 : VIRTUEL LAN
réservation Utilisez une réservation pour créer une affectation de bail d'adresse
permanente par le serveur DHCP. Les réservations permettent de
s'assurer qu'un périphérique matériel précis du sous-réseau peut toujours
utiliser la même adresse IP.
Lorsque vous avez défini les paramètres de configuration TCP/IP de base (adresse IP, masque
de sous-réseau et passerelle par défaut) des clients, la plupart ont aussi besoin que le serveur
DHCP leur fournisse d'autres informations par le biais des options DHCP. Les plus courantes sont
les suivantes :
Routeurs : Liste d'adresses IP préférées pour les routeurs du même sous-réseau que les
clients DHCP. Le client peut alors contacter ces routeurs selon ses besoins pour transférer
des paquets IP à destination d'hôtes distants!
Serveurs DNS : Adresse IP de serveurs de noms de domaines que les clients DHCP
peuvent contacter et utiliser pour résoudre une requête de nom d'hôte de domaine!
Domaine DNS : Spécifie le nom de domaine que les clients DHCP doivent utiliser pour
résoudre des noms non qualifiés pendant la résolution de noms de domaine DNS.
89
REALISATION CHAPITRE 01 : VIRTUEL LAN
Au niveau du switch Distribution, dans chaque interface vlan on configure l’adresse du serveur
DHCP, Via la command : ip helper-address
Example:
Switch#configure terminal
Switch (config) # interface vlan 2
switch (config-if)#ip address 10.26.104.1 255.255.255.0
switch (config-if)#ip helper-address 10.10.30.1
Dans tous les cas, le enable secret crypte le mot de passe en utilisant l'algorithme MD5
Dans le cas de l'utilisation des 2 commandes, c'est le enable secret qui sera prioritaire
L'accès avec le telnet au switch doit être sécurisé par un mot de passe :
90
REALISATION CHAPITRE 01 : VIRTUEL LAN
Switch#configure terminal
host (config) # line vty 0 4
host (config-line) # password mot_de_passe
host (config-line) # login
91
REALISATION CHAPITRE 01 : VIRTUEL LAN
Définition des adresses MAC autorisées sur un port, fixée l’adresse MAC :
Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre
92
REALISATION CHAPITRE 01 : VIRTUEL LAN
Soit on bloque toutes les trames avec des adresses MAC non connu et on laisse passer les autres
Soit un message dans le syslog et via SNMP est envoyé. De plus le compteur du nombre de
violation est incrémenté.
Switch (config-if) # switchport port-security violation restrict
93
REALISATION CHAPITRE 01 : VIRTUEL LAN
Access Control List (ACL), en français liste de contrôle d'accès, désigne en réseau, une liste des
adresses et ports autorisés ou interdits par un pare-feu.
Une ACL est une liste d'Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou
supprimant des droits d'accès à une personne ou un groupe
Une ACL sur un pare-feu, un routeur ou un switch filtrant, est une liste d'adresses ou de ports
(port logiciel correspondant à la couche de transport du modèle OSI) autorisés ou interdits par le
dispositif de filtrage.
Les Access Control List sont divisés en deux grandes catégories, l'ACL standard et l'ACL
étendue
94
REALISATION CHAPITRE 01 : VIRTUEL LAN
ACCESS LISTS:
IP Standard 1-99
IP Extended 100-199
IPX Standard 800-899
IPX Extended 900-999
IPX SAP Filters 1000-1099
8-3- IP STANDARD:
Pour appliquer les access list sur une interface en sortie on procède comme suivant :
8-4- IP EXTENDED:
Pour les access list étendu on spécifie l’adresse source, l’adresse destination, le protocole, et le
port
- Protocols: tcp, udp, icmp, ip entre autre
- l’adresse source puis l’adresse de destination
95
REALISATION CHAPITRE 01 : VIRTUEL LAN
- les ports peuvent être numériques ou nommées (23 ou telnet, 21 ou ftp, etc..)
Exemple :
Permettre le telnet de puis le réseau 133.12.0.0 vers le réseau 122.3.2.0
Config# access-list 101 permit tcp 133.12.0.0 0.0.255.255 122.3.2.0 0.0.0.255 eq telnet
Pour appliquer les access list sur une interface en sortie on procède comme suivant :
n° type description
96
REALISATION CHAPITRE 01 : VIRTUEL LAN
23 tcp telnet
bootps - Bootstrap Protocol Server, ce port est aussi utilisé par une
67 tcp
extension de bootp : DHCP, pour la recherche d'un serveur DHCP
bootpc - Bootstrap Protocol Client, ce port est aussi utilisé par une
68 tcp extension de bootp : DHCP, pour le dialogue entre le serveur
DHCP et le client (attribution d'un bail pour une adresse IP)
97
REALISATION CHAPITRE 01 : VIRTUEL LAN
135
tcp Lotus Notes
2
143
tcp Microsoft SQL Server
3
143
tcp Microsoft SQL Monitor
4
152
tcp Serveur Oracle
1
590
tcp VNC Server
0
808
tcp http alternatif (webcache)
0
98