Fonctionnalités

avancées des VLANs

APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
-
Ingénieurs2000
IR - 3ème année
-
Février 2005

Exposé de « Nouvelles Technologies Réseaux » 1

Fonctionnalités avancées des VLANs

Table des matières

• VLAN

• 802.1q

• 802.1s

• 802.1x

2
 VLAN - Théorie 1/2

Définition : Virtual Local Area Network

Utilité : Plusieurs réseaux virtuels sur un même réseau physique

VLAN A VLAN B LAN A LAN B

3
 VLAN - Théorie 2/2

Notions essentielles :

• VLAN par défaut toujours présent

• Technologie en standard sur les switchs actuels

• Configuration au niveau de l’équipement

3 types de VLAN :

• par port  Niveau 1

• par adresse MAC  Niveau 2

• par sous-réseau / protocole  Niveau 3

4
 VLAN – niveau 1

VLAN de niveau 1  VLAN par port

 1 port du switch dans 1 VLAN

 configurable au niveau de l’équipement

 90% des VLAN sont des VLAN par port

VLAN PAR DEFAUT

VLAN A VLAN B

5
 VLAN – niveau 2

VLAN de niveau 2  VLAN par adresse MAC

 VLAN en fonction des adresses MAC

 configurable au niveau de l’équipement

+ indépendance de la localisation de la station

- difficultés de poser des règles de filtrages précises

6
 VLAN – niveau 3

VLAN de niveau 3  VLAN par sous-réseau ou par protocole

 VLAN en fonction des adresses IP sources des datagrammes

ou du type de protocole

 configurable au niveau de l’équipement

+ séparation des flux

- dégradation des performances

7
 VLAN - Démonstration

Situation 1 : VLAN DEFAULT

@MAC Serveur
serveur 
? @IP
ARP Sniffer
Adrien

ARP
Serveur Nicolas

ARP ARP ARP

VLAN PAR DEFAUT

8
 VLAN - Démonstration

Situation 1 : VLAN DEFAULT

Ping serveur
ok
ICMP Sniffer
Adrien

ICMP
Serveur Nicolas

ICMP ICMP

VLAN PAR DEFAUT

9
 VLAN - Démonstration

Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT

Sniffer
Adrien

# vlan <id_vlan> name <nom_vlan>

Serveur # vlan <id_vlan> untagged <n°port> Nicolas

VLAN A VLAN PAR DEFAUT

10
 VLAN - Démonstration

Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT

Ping serveur :
@MAC Serveur ?
 Destination unreachable
ARP Sniffer
Adrien

Serveur Nicolas

ARP

VLAN A VLAN PAR DEFAUT

11
 VLAN - Démonstration

Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT

Sniffer
Adrien

Serveur # vlan <id_vlan> untagged <n°port> Nicolas

VLAN A VLAN PAR DEFAUT

12
 VLAN - Démonstration

Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT

Ping ok
Sniffer
Adrien

Serveur Nicolas

VLAN A VLAN PAR DEFAUT

13
 VLAN - Avantages

Performances :

• Permet à des utilisateurs éloignés géographiquement de

partager des données

• Limite la diffusion des broadcasts

Sécurité :

• Séparation des flux entre différents groupes d’utilisateurs

Finances :

• 1 seul équipement pour plusieurs réseaux

14
 802.1Q - Problématique 1/2

 Notion de vlan au niveau du commutateur

 Mais jusqu’à présent, aucune notion de vlan au niveau

Ethernet ni à des niveaux supérieurs

 Donc comment propager l’appartenance à un VLAN d’un

commutateur vers un autre ?

Problématique : lorsqu’une trame circule d’un commutateur à un

autre, comment identifier son appartenance à un vlan ?

15
 802.1Q - Problématique 2/2

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

16
 802.1Q - Théorie 1/2

Objectif : Transport de plusieurs VLANs sur un lien unique,

par exemple :

 Commutateurs / Commutateurs
 Commutateurs / Serveurs

• Cela implique donc :

 nécessité de définir les mêmes VLANs sur chaque

commutateurs (même VLAN Id)

 les trames doivent être taggées lors du transfert

17
 802.1Q - Théorie 2/3

Tags sur les trames

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

VLAN A

18
 802.1Q - Théorie 3/3

• Extension du format Ethernet, ajout de 4 octets

• Type : « 0x8100 » pour le protocole 802.1Q

• 802.1Q :
Priority (3 bits)
CFI (1 bit)
19
VID (12 bits)
 802.1Q – Démonstration 1

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

20
Nicolas Serveur
 802.1Q – Démonstration 2

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

21
Nicolas Serveur
 802.1Q – Démonstration 3

# vlan <id_vlan> tagged <n°port>

Adrien

DEFAULT VLAN VLAN A

Tag 802.1Q

DEFAULT VLAN VLAN A

22
Nicolas Serveur
 802.1Q - Démonstration 4

Adrien

DEFAULT VLAN VLAN A

DEFAULT VLAN VLAN A

23
Nicolas Serveur
 802.1Q – Démonstration Snif Snif

Adrien

Sniffer
DEFAULT VLAN VLAN A

Tag 802.1Q

Nicolas DEFAULT VLAN VLAN A

24
Serveur
 802.1s - Introduction

Architecture réseau des entreprises importantes :

• nombreux vlans
• 802.1Q
• redondance de niveau 2 : STP
• liens souvent surdimensionnés

=> avantages des vlans et du STP : 802.1s

25
 802.1s - Théorie

• 802.1s = MSTP = PVST

• Une instance STP par vlan au lieu d’une par boite

• Complexe à mettre en place (au niveau conception)

• Technologie récente, pas encore supportée par tous les

matériels

26
 802.1s – Objectifs / Limitations

Objectifs :

- Meilleure utilisation des liens

- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue

Limitations :

- Matériels limités en nombre d’instances

- Peu de softs snmp savent gérer 802.1s

27
 802.1s – Exemple sans MSTP (1/2)

1/ Configuration VLANs R vlan vert

vlan bleu
2/ Configuration 802.1q vlan rouge
3/ Configuration STP

vlan vert
vlan vert
vlan bleu
vlan bleu
vlan rouge
vlan rouge

28
 802.1s – Exemple avec MSTP (2/2)

1/ Configuration instances
2/ Configuration mapping
3/ Configuration root bridges
R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge

R
R

Instance #1 : vlan vert

Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #2 : vlan bleu
Instance #3 : vlan rouge
Instance #3 : vlan rouge
29
 802.1x - Introduction

• Permet l’élaboration de mécanismes d’authentification et

d’autorisation pour l’accès au réseau

• Se développe grâce au WiFi

• Norme développée à l’origine pour les VLANs

=> Attribution d’un VLAN en fonction de l’identification

30
 802.1x - Architecture

Serveur
Client 802.1x
Switch d’accès

Supplicant Authenticator Authentication Server

• Avant authentification : seul trafic nécessaire à l’authentification est permis

• Après authentification : tout trafic

31
 802.1x - Protocoles

Serveur Radius
Client 802.1x
Switch d’accès

EAPoL Radius

• EAP au dessus du réseau local : EAPOL (EAP over LAN)

• EAP peut encapsuler plusieurs types de protocoles d’authentification :
• MD5
• TLS
• TTLS
• Le commutateur joue le rôle de relais

• Le protocole Radius encapsule les messages EAP

• Le serveur Radius pourra s’appuyer soit sur sa base de donnée interne,
soit sur un annuaire LDAP

32
 802.1x – Démonstration

Adrien

Serveur FreeRadius Switch

Nicolas

•Le fichier
‘ Activer ‘radiusd.conf’
l’authentification 802.1x sur le port 23 ’
ajouter l’authentification
aaa port-access authenticator 23eap
• Standard sous XP, SP3 sous 2000
aaa port-access authenticator active
• Le fichier ‘client.conf’ • Xsupplicant sous Linux
‘ Définir le serveur
‘ Vérification radius,
des la clé d’échange
authentifications ’ et le
déclarer
protocole les
Switch1#de switchs
showqui feront des
communication ’ requêtes
port-access vers le serveur
authenticator
radius-server host 10.0.0.1
• Le fichier ‘users’
radius-server key clerezo
aaa contient les informations
authentication de chaque utilisateur
port-access eap-radius
- login
- mot de passe
- vlan affecté 33
- etc…
Ze End 

34