Professional Documents
Culture Documents
Les principes
La ralisation
Les standards
Un scnario de mise en uvre
Exemple de configuration dquipements
Les principes
- longtemps, la solution a consist introduire des routeurs entre les
diffrents domaines logiques avec pour effet :
- diminution du domaine de broadcast
- filtrage de niveau 3 entre stations
- cots assez levs en matriels et gros problmes de
connexion des utilisateurs (brassage des prises rseaux,
attribution des adresses IP, etc.)
-charge dadministration non ngligeable
-Problme de mobilit des postes
- Ide : construire un rseau logique sur un rseau physique partag
Notion de rseau virtuel (Vlan)
La ralisation
Segmentation dun lment de commutation en diffrents sous-ensembles
ne pouvant pas communiquer entre eux directement
- Adressages de niveau 3 distincts pour chaque sous-ensemble
- Passage oblig par un quipement de routage
- Possibilit de filtrer les flux entre domaines
Segmentation base sur diffrents principes :
- Vlan par ports
- Vlan par adresse MAC
- Vlan de niveau 3
- Vlan par utilisateurs
La ralisation (1)
Vlan par port :
- 1 port <--> 1 Vlan (quelques prcisions plus tard )
- table de correspondance dans le commutateur entre ports et Vlans
- configuration simple
Forwarding DataBase (FDB) :
Routeur
- mise en uvre la plus rpandue
- degr de fiabilit assez important si la
VLAN
PORT
gestion des quipements et des prises
2
1,2,3,4,5
rseaux est bien faite
3
6,7
4
etc.
24
Vlan 2
Vlan 3
Vlan 4
Etc.
8,9
etc.
La ralisation (2)
Vlan par adresse MAC :
- lappartenance un Vlan est fonction de ladresse MAC des stations
- correspondance dans le commutateur entre adresses MAC et Vlans
- plusieurs Vlans possibles par port du commutateur (mais on perd alors
une partie de la confidentialit en se remettant dans le cas dun rseau plat)
- configuration complexe due la gestion des adresses MAC
- mise en uvre pas trop rpandue sauf peut-tre dans des contextes particuliers
- degr de confiance limit : on peut usurper ladresse MAC des serveurs importants
- idal pour les postes nomades
Vlan de niveau 3 :
- analyse dans les trames de niveau 2 des informations de niveau 3 : adresses
IP, type de protocole (IP, IPX), etc.
- correspondance dans le commutateur entre informations de niveau 3 et Vlans
- plusieurs Vlans possibles par port du commutateur (mmes restrictions que pour
les Vlans par adresses MAC)
- gestion idale pour les postes nomades
- mise en uvre pas trop rpandue
- degr de confiance limit : le mme que celui dune adresse IP !
La ralisation (3)
Vlan par utilisateur :
-norme 802.1x : Port Based Network Access Control
EAP (Extensible Authentication Protocol)
- mise en uvre par modification du poste de lutilisateur : demande
dauthentification sur le rseau lors du dmarrage du poste
( En standard pour Windows 2000 ( SP4) , Win XP , MacOS 10.3 )
Client libre existant pour linux (xsupplicant)
- mcanisme souvent coupl avec Radius, etc.
- gestion idale pour les postes nomades
- mise en uvre peu rpandue
- degr de confiance fonction du mode dauthentification utilis
- De plus en plus utilis pour les rseaux sans fils
Les standards
Normalisation IEEE 802.1Q
Mise en uvre du principe de Frame Tagging de Cisco (1995)
Insertion dans une trame Ethernet de 4 octets supplmentaires :
Taille maximale : 1518 (normale) ou 1522 (tagge)
7 octets
Prambule
SFD
6
@Destination
6
@Source
TPID
TCI
Type ou
Longueur
0800 (IP)
46-1500
Donnes
2-30
Donnes ventuelles
FCS
3 bits
FCS
4
RIF
Tag Control Identifier
1 bit
12 bits
Vlan Identifier
Un peu de vocabulaire
quipements Aware et Unaware :
- Les stations ou les quipements sachant interprter la norme 802.1Q sont
qualifis de aware (quipements ayant la connaissance)
- Les autres quipements sont dits unaware
Connexions de 3 types possibles :
- lien d'accs simple : lien typiquement utilis par les quipements "unaware"
- lien Trunk : lien inter-commutateurs permettant de vhiculer les
informations
entre Vlans sur des commutateurs diffrents (aware par dfinition)
- lien hybride : lien acceptant aussi bien des quipements aware que
unaware
Exemple de topologie
Routeur inter-Vlans
24
4 5
Vlan 2
Architecture physique
Architecture logique
Lien TRUNK
11
12
bl e
sd
ep
u
is
l
ex
tr
ieu
Routeur
Serveurs Intranet
Vi
si
Restriction du routage
Accds en interne
Utilisateurs
Utilisateurs
Postes utilisateurs
Utilisateurs
Utilisateurs
Accds en interne
Extrieur
Routeur
Commutateur-Routeur
Vlan A
DMZ
lments de commutation
Classe C prive
Vlan B
Classe C officielle
Utilisateurs
Utilisateurs
Utilisateurs
Utilisateurs
Utilisateurs
Utilisateurs
Vlan C
Administration
Utilisateurs
Utilisateurs
Vlan D
Equipe Recherche
Classes C prives
Vlan E
Salle TP
FastEth0/0.1 : 192.168.1.1
FastEth0/0.2 : 192.168.2.1
FastEth0/0.3 : 192.169.1.1
24
Commutateur Cisco 2924
Vlan 2
Vlan 3
Vlan 4
16
VLAN 2
VLAN 3
VLAN 4
Quelques remarques
Mieux vaut viter lutilisation du VLAN 1
Passage de 802.1Q ISL
- Sur le commutateur :
Int FastEthernet0/24
switchport trunk encapsulation isl
- Sur le routeur :
Int FastEthernet0/0.4
Encapsulation isl 4
10/04/2006
82
Conclusion
Les Vlans sont une rponse bien adapte la problmatique de la sparation
des communauts dutilisateurs sur un rseau local
La mise en uvre est relativement simple (mais fonction tout de mme de la
taille du rseau !) et facilite les tches dadministration
Un soin tout particulier doit tre apport la mise en uvre selon le type de
Vlans (par port, par adresse MAC, protocoles ou bien utilisateurs)
Il faut tout de mme faire attention :
la technologie des Vlans nest pas exempte de problmes de scurit :
problmes dimplmentation, gestion et attribution des numros de Vlans, etc.