VLANs

Les principes
La ralisation
Les standards
Un scnario de mise en uvre
Exemple de configuration dquipements

Les principes
- longtemps, la solution a consist introduire des routeurs entre les
diffrents domaines logiques avec pour effet :
- diminution du domaine de broadcast
- filtrage de niveau 3 entre stations
- cots assez levs en matriels et gros problmes de
connexion des utilisateurs (brassage des prises rseaux,
attribution des adresses IP, etc.)
-charge dadministration non ngligeable
-Problme de mobilit des postes
- Ide : construire un rseau logique sur un rseau physique partag
Notion de rseau virtuel (Vlan)

La ralisation
Segmentation dun lment de commutation en diffrents sous-ensembles
ne pouvant pas communiquer entre eux directement
- Adressages de niveau 3 distincts pour chaque sous-ensemble
- Passage oblig par un quipement de routage
- Possibilit de filtrer les flux entre domaines
Segmentation base sur diffrents principes :
- Vlan par ports
- Vlan par adresse MAC
- Vlan de niveau 3
- Vlan par utilisateurs

La ralisation (1)
Vlan par port :
- 1 port <--> 1 Vlan (quelques prcisions plus tard )
- table de correspondance dans le commutateur entre ports et Vlans
- configuration simple
Forwarding DataBase (FDB) :
Routeur
- mise en uvre la plus rpandue
- degr de fiabilit assez important si la
VLAN
PORT
gestion des quipements et des prises
2
1,2,3,4,5
rseaux est bien faite
3
6,7
4
etc.

24

Vlan 2

Vlan 3

Vlan 4

Etc.

8,9
etc.

La ralisation (2)
Vlan par adresse MAC :
- lappartenance un Vlan est fonction de ladresse MAC des stations
- correspondance dans le commutateur entre adresses MAC et Vlans
- plusieurs Vlans possibles par port du commutateur (mais on perd alors
une partie de la confidentialit en se remettant dans le cas dun rseau plat)
- configuration complexe due la gestion des adresses MAC
- mise en uvre pas trop rpandue sauf peut-tre dans des contextes particuliers
- degr de confiance limit : on peut usurper ladresse MAC des serveurs importants
- idal pour les postes nomades

Vlan de niveau 3 :
- analyse dans les trames de niveau 2 des informations de niveau 3 : adresses
IP, type de protocole (IP, IPX), etc.
- correspondance dans le commutateur entre informations de niveau 3 et Vlans
- plusieurs Vlans possibles par port du commutateur (mmes restrictions que pour
les Vlans par adresses MAC)
- gestion idale pour les postes nomades
- mise en uvre pas trop rpandue
- degr de confiance limit : le mme que celui dune adresse IP !

La ralisation (3)
Vlan par utilisateur :
-norme 802.1x : Port Based Network Access Control
EAP (Extensible Authentication Protocol)
- mise en uvre par modification du poste de lutilisateur : demande
dauthentification sur le rseau lors du dmarrage du poste
( En standard pour Windows 2000 ( SP4) , Win XP , MacOS 10.3 )
Client libre existant pour linux (xsupplicant)
- mcanisme souvent coupl avec Radius, etc.
- gestion idale pour les postes nomades
- mise en uvre peu rpandue
- degr de confiance fonction du mode dauthentification utilis
- De plus en plus utilis pour les rseaux sans fils

Les standards
Normalisation IEEE 802.1Q
Mise en uvre du principe de Frame Tagging de Cisco (1995)
Insertion dans une trame Ethernet de 4 octets supplmentaires :
Taille maximale : 1518 (normale) ou 1522 (tagge)

7 octets

Prambule

SFD

6
@Destination

6
@Source

TPID

TCI

Type ou
Longueur
0800 (IP)

46-1500
Donnes
2-30

Tag Protocol Identifier

0x8100 pour Ethernet

Donnes ventuelles

FCS

Exemple utilisation : routage entre annea

Si bit 1

3 bits

FCS
4

RIF
Tag Control Identifier

1 bit

Canonical Format Indicator

User Priority : 802.1P

12 bits
Vlan Identifier

Un peu de vocabulaire
quipements Aware et Unaware :
- Les stations ou les quipements sachant interprter la norme 802.1Q sont
qualifis de aware (quipements ayant la connaissance)
- Les autres quipements sont dits unaware
Connexions de 3 types possibles :
- lien d'accs simple : lien typiquement utilis par les quipements "unaware"
- lien Trunk : lien inter-commutateurs permettant de vhiculer les
informations
entre Vlans sur des commutateurs diffrents (aware par dfinition)
- lien hybride : lien acceptant aussi bien des quipements aware que
unaware

Exemple de topologie
Routeur inter-Vlans

24

4 5

Vlan 2

Architecture physique
Architecture logique

- filtrage des communauts sur le routeur

- Spanning Tree pour grer les boucles

Lien TRUNK

Vlan 3 Spanning Tree (802.1D)

11

12

Vlan 2 Vlan 3 Vlan 4 Etc.

Un scnario de mise en uvre (1)

Rseau dorigine, sans Vlans :

bl e
sd
ep
u

is
l

ex
tr
ieu

Extrieur (Campus, Renater, etc.)

Routeur

Serveurs Intranet

Vi
si

Serveurs Internet ou Extranet

Protection par filtrage

Invisibles depuis lextrieur

lments de commutation

Restriction du routage

Accds en interne

Utilisateurs

Utilisateurs

Postes utilisateurs
Utilisateurs

Utilisateurs

Accds en interne

Un scnario de mise en uvre (2)

Une dmarche de mise en place de Vlans :
crer un VLAN rserv aux serveurs externes (zone semi-ouverte : DMZ)
crer un VLAN pour les communauts dutilisateurs hors SI , cest--dire nayant pas
vocation travailler directement sur le systme dinformation du site (salles de formation,
etc.)
crer un ou plusieurs VLANs pour les utilisateurs SI , cest--dire travaillant directement
sur le systme dinformation
mettre en place pour chaque VLAN une classe dadresse prive, non routable et donc non
visible depuis lextrieur, ou bien attribuer une plage dadresse dans la ou les classes C
actuellement utilises ( subnetting ). La classe dadresse officielle est en gnral rserve
aux quipements de la DMZ
mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque
communaut) afin de scuriser laccs aux services
mettre en place ventuellement (si loption adresse non routables a t choisie) un mcanisme
de translation dadresse attribuant une adresse routable diffrente pour chaque communaut
et des adresses fixes pour les serveurs accessibles depuis lextrieur (DMZ)

Un scnario de mise en uvre (3)

Rseau dorigine, avec Vlans :

Extrieur

Translation ventuelle de certaines adresses vers lextrieur

Serveurs de communication vocation externe

Filtrage des flux provenant de lextrieur

Routeur

Serveurs vocation interne

Commutateur-Routeur

Vlan A
DMZ

lments de commutation

Classe C prive

Vlan B

Classe C officielle

Filtrage des changes entre Vlans

Utilisateurs

Utilisateurs

Utilisateurs
Utilisateurs

Utilisateurs

Utilisateurs
Utilisateurs

Vlan C
Administration

Utilisateurs

Utilisateurs

Vlan D
Equipe Recherche

Classes C prives

Vlan E
Salle TP

Une configuration concrte (1)

La maquette :

3 sous interfaces FastEthernet :

Routeur
Cisco 3640

FastEth0/0.1 : 192.168.1.1
FastEth0/0.2 : 192.168.2.1
FastEth0/0.3 : 192.169.1.1

Lien Trunk 802.1Q ou ISL

24
Commutateur Cisco 2924

Vlan 2

Vlan 3

Vlan 4

16

Port redirig pour analyse de trafic

Une configuration concrte (2)

Les commandes sur le routeur :
interface FastEthernet0/0
no ip address
no ip directed-broadcast
interface FastEthernet0/0.1
encpasulation dot1q 2
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip directed-broadcast
interface FastEthernet0/0.2
encpasulation dot1q 3
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip directed-broadcast
interface FastEthernet0/0.3
encpasulation dot1q 4
ip address 192.169.1.1 255.255.255.0
no ip redirects
no ip directed-broadcast

VLAN 2

VLAN 3

VLAN 4

Une configuration concrte (3)

Les commandes sur le switch :
interface FastEthernet0/1
switchport access vlan 2
Affectation des ports aux diffrents Vlans
interface FastEthernet0/2
switchport access vlan 3
interface FastEthernet0/3
switchport access vlan 4
interface FastEthernet0/15
interface FastEthernet0/16
port monitor FastEthernet0/1 Redirection de port pour faire de lanalyse de rseau
switchport access vlan 3
La redirection ne peut se faire que pour un mme Vlan
interface FastEthernet0/17
interface FastEthernet0/18
interface FastEthernet0/23
interface FastEthernet0/24 Lien Trunk vers le routeur
switchport mode trunk
interface VLAN2
no ip address
no ip route-cache
interface VLAN3
On peut affecter une adresse IP un Vlan pour ladministrer
ip address 192.168.1.2 255.255.255.0
no ip route-cache

Quelques remarques
Mieux vaut viter lutilisation du VLAN 1
Passage de 802.1Q ISL
- Sur le commutateur :
Int FastEthernet0/24
switchport trunk encapsulation isl
- Sur le routeur :
Int FastEthernet0/0.4
Encapsulation isl 4

Restriction des Vlans autoriss sur un lien trunk :

switchport trunk allowed vlan 2, 100-200, 1002-1005

10/04/2006

82

Conclusion
Les Vlans sont une rponse bien adapte la problmatique de la sparation
des communauts dutilisateurs sur un rseau local
La mise en uvre est relativement simple (mais fonction tout de mme de la
taille du rseau !) et facilite les tches dadministration
Un soin tout particulier doit tre apport la mise en uvre selon le type de
Vlans (par port, par adresse MAC, protocoles ou bien utilisateurs)
Il faut tout de mme faire attention :
la technologie des Vlans nest pas exempte de problmes de scurit :
problmes dimplmentation, gestion et attribution des numros de Vlans, etc.