Vous êtes sur la page 1sur 34

Fonctionnalits

avances des VLANs


APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
-
Ingnieurs2000
IR - 3me anne
-
Fvrier 2005

Expos de Nouvelles Technologies Rseaux 1


Fonctionnalits avances des VLANs

Table des matires

VLAN

802.1q

802.1s

802.1x

2
VLAN - Thorie 1/2

Dfinition : Virtual Local Area Network


Utilit : Plusieurs rseaux virtuels sur un mme rseau physique

VLAN A VLAN B LAN A LAN B

3
VLAN - Thorie 2/2

Notions essentielles :

VLAN par dfaut toujours prsent

Technologie en standard sur les switchs actuels

Configuration au niveau de lquipement

3 types de VLAN :

par port Niveau 1

par adresse MAC Niveau 2

par sous-rseau / protocole Niveau 3

4
VLAN niveau 1

VLAN de niveau 1 VLAN par port

1 port du switch dans 1 VLAN

configurable au niveau de lquipement

90% des VLAN sont des VLAN par port

VLAN PAR DEFAUT


VLAN A VLAN B

5
VLAN niveau 2

VLAN de niveau 2 VLAN par adresse MAC

VLAN en fonction des adresses MAC

configurable au niveau de lquipement

+ indpendance de la localisation de la station

- difficults de poser des rgles de filtrages prcises

6
VLAN niveau 3

VLAN de niveau 3 VLAN par sous-rseau ou par protocole

VLAN en fonction des adresses IP sources des datagrammes


ou du type de protocole

configurable au niveau de lquipement

+ sparation des flux

- dgradation des performances

7
VLAN - Dmonstration

Situation 1 : VLAN DEFAULT

@MAC serveur
Serveur
? @IP
ARP Sniffer
Adrien

ARP
Serveur Nicolas

ARP ARP ARP

VLAN PAR DEFAUT


8
VLAN - Dmonstration

Situation 1 : VLAN DEFAULT

Ping serveur
ok
ICMP Sniffer
Adrien

ICMP
Serveur Nicolas

ICMP ICMP

VLAN PAR DEFAUT


9
VLAN - Dmonstration

Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

Sniffer
Adrien

# vlan <id_vlan> name <nom_vlan>


Serveur # vlan <id_vlan> untagged <nport> Nicolas

VLAN A VLAN PAR DEFAUT


10
VLAN - Dmonstration

Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

Ping serveur :
@MAC Serveur ?
Destination unreachable
ARP Sniffer
Adrien

Serveur Nicolas

ARP

VLAN A VLAN PAR DEFAUT


11
VLAN - Dmonstration

Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

Sniffer
Adrien

Serveur # vlan <id_vlan> untagged <nport> Nicolas

VLAN A VLAN PAR DEFAUT


12
VLAN - Dmonstration

Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

Ping ok
Sniffer
Adrien

Serveur Nicolas

VLAN A VLAN PAR DEFAUT


13
VLAN - Avantages

Performances :

Permet des utilisateurs loigns gographiquement de


partager des donnes

Limite la diffusion des broadcasts

Scurit :

Sparation des flux entre diffrents groupes dutilisateurs

Finances :

1 seul quipement pour plusieurs rseaux

14
802.1Q - Problmatique 1/2

Notion de vlan au niveau du commutateur

Mais jusqu prsent, aucune notion de vlan au niveau


Ethernet ni des niveaux suprieurs

Donc comment propager lappartenance un VLAN dun


commutateur vers un autre ?

Problmatique : lorsquune trame circule dun commutateur un


autre, comment identifier son appartenance un vlan ?

15
802.1Q - Problmatique 2/2

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

16
802.1Q - Thorie 1/2

Objectif : Transport de plusieurs VLANs sur un lien unique,


par exemple :

Commutateurs / Commutateurs
Commutateurs / Serveurs

Cela implique donc :

ncessit de dfinir les mmes VLANs sur chaque


commutateurs (mme VLAN Id)

les trames doivent tre tagges lors du transfert

17
802.1Q - Thorie 2/3

Tags sur les trames

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

VLAN A

18
802.1Q - Thorie 3/3

Extension du format Ethernet, ajout de 4 octets

Type : 0x8100 pour le protocole 802.1Q


802.1Q :
Priority (3 bits)
CFI (1 bit)
VID (12 bits) 19
802.1Q Dmonstration 1

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

Nicolas Serveur 20
802.1Q Dmonstration 2

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

Nicolas Serveur 21
802.1Q Dmonstration 3

# vlan <id_vlan> tagged <nport>

Adrien

DEFAULT VLAN VLAN A

Tag 802.1Q

DEFAULT VLAN VLAN A

Nicolas Serveur 22
802.1Q - Dmonstration 4

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

Nicolas Serveur 23
802.1Q Dmonstration Snif Snif

Adrien

Sniffer
DEFAULT VLAN VLAN A

Tag 802.1Q

Nicolas DEFAULT VLAN VLAN A

Serveur 24
802.1s - Introduction

Architecture rseau des entreprises importantes :

nombreux vlans
802.1Q
redondance de niveau 2 : STP
liens souvent surdimensionns

=> avantages des vlans et du STP : 802.1s

25
802.1s - Thorie

802.1s = MSTP = PVST

Une instance STP par vlan au lieu dune par boite

Complexe mettre en place (au niveau conception)

Technologie rcente, pas encore supporte par tous les


matriels

26
802.1s Objectifs / Limitations

Objectifs :

- Meilleure utilisation des liens


- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue

Limitations :

- Matriels limits en nombre dinstances


- Peu de softs snmp savent grer 802.1s

27
802.1s Exemple sans MSTP (1/2)

1/ Configuration VLANs R vlan vert


vlan bleu
2/ Configuration 802.1q vlan rouge
3/ Configuration STP

vlan vert
vlan vert
vlan bleu
vlan bleu
vlan rouge
vlan rouge

28
802.1s Exemple avec MSTP (2/2)

1/ Configuration instances R
2/ Configuration mapping
Instance #1 : vlan vert
3/ Configuration root bridges
Instance #2 : vlan bleu
Instance #3 : vlan rouge

R
R

Instance #1 : vlan vert


Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #2 : vlan bleu
Instance #3 : vlan rouge
Instance #3 : vlan rouge
29
802.1x - Introduction

Permet llaboration de mcanismes dauthentification et


dautorisation pour laccs au rseau

Se dveloppe grce au WiFi

Norme dveloppe lorigine pour les VLANs

=> Attribution dun VLAN en fonction de lidentification

30
802.1x - Architecture

Serveur
Client 802.1x
Switch daccs

Supplicant Authenticator Authentication Server

Avant authentification : seul trafic ncessaire lauthentification est permis


Aprs authentification : tout trafic

31
802.1x - Protocoles

Serveur Radius
Client 802.1x
Switch daccs

EAPoL Radius

EAP au dessus du rseau local : EAPOL (EAP over LAN)


EAP peut encapsuler plusieurs types de protocoles dauthentification :
MD5
TLS
TTLS
Le commutateur joue le rle de relais

Le protocole Radius encapsule les messages EAP


Le serveur Radius pourra sappuyer soit sur sa base de donne interne,
soit sur un annuaire LDAP

32
802.1x Dmonstration

Adrien

Serveur FreeRadius Switch


Nicolas

Le fichier
Activer radiusd.conf
lauthentification 802.1x sur le port 23
ajouter lauthentification
aaa port-access authenticator 23 eap
Standard sous XP, SP3 sous 2000
aaa port-access authenticator active
Le fichier client.conf Xsupplicant sous Linux
Dfinir le serveur
Vrification radius,
des la cl dchange
authentifications et le
dclarer
protocole
Switch1#les
de switchs
showqui feront des
communication
port-access requtes vers le serveur
authenticator
radius-server host 10.0.0.1
Le fichier users
radius-server key clerezo
aaa contient les informations
authentication de chaque utilisateur
port-access eap-radius
- login
- mot de passe
- vlan affect 33
- etc
Ze End

34