2 e6 vlan-vtp-routage-inter-vlans-stadium_company

Epreuve E6 – Parcours de professionnalisation

BTS SIO option SISR

Apprenti : TOUCHANI Sofiane Période : 01/09/2012 au 31/08/2014

Portefeuille de compétences

Situation :

Besoin : Restructuration du réseau de StadiumCompany : Lors de ma formation, j'ai dû mettre en place

une segmentation de réseaux ainsi qu’un routage inter-vlan dans le cadre de mon PPE (StadiumComapny).

- Les VLANs permettent d'isoler des domaines de diffusions en séparant les réseaux. La sécurité du

réseau principal s'en retrouve amélioré et la bande passante optimisé.

Environnement :

Service : VLAN (Segmentation du réseau en 3 vlans) & Routage Inter-Vlans

Matériel : Cisco Cisco IOS, Routeur 2600 series X2, Switch catalyst 2960G X3

Logiciel : Putty

Tâches réalisées :

Définition d’un VLAN

Plan d’adressage & Schéma

Configuration des VLANS (Sw-Serveur) & VTP (Sw-Client, Sw-Client2)

Configuration du routage Inter-Vlans (Rstade et Rstade2)

Vérification de la configuration

Conclusion : Cette mission m’a permis d’apprendre à mettre en place une segmentation de réseaux ainsi

qu’un routage inter-vlan.

Cette situation m’a permis de valider ces activités :

A le

Tuteur :

Signature :

Activités Résultats attendus/productions Vécu ou simulé Ou observé

A1.3.1, Test d'intégration et d'acceptation d'un service Cisco Packet Tracer en test Vécu

A3.1.1, Proposition d'une solution d'infrastructure Proposition de solution de mobilité de service Simulé A3.1.2, Maquettage et prototypage d'une solution

d' infrastructure

Mise en place sur Cisco Packet Tracer & GNS3 Vécu

A3.2.1, Installation et configuration d'éléments

d' infrastructure

Configuration des éléments réseaux VLAN & VTP Vécu

A3.3.1, Administration sur site ou à distance des éléments

d'un réseau, de serveurs, …

Accès SSH Vécu

Modalités d’accès aux productions 1 :

http://sofianetouchani.fr/wp-content/uploads/E6/Missions-Formations/

http://sofianetouchani.fr/wp-content/uploads/E6/Missions-Formations/

Proposition de Solutions Proposition de solution de mobilité de service

Principe du VLAN :

Le principe de la segmentation logique d’un réseau consiste à regrouper des machines

dans un ou plusieurs segments indépendamment de leur emplacement physique.

Cette technologie permet de créer des segments Ethernet logiques, indépendamment de

l’implantation géographique.

Les VLAN fonctionnent au niveau 2 et 3 du modèle OSI

La communication inter-VLAN est assurée par le routage de couche 3

Les VLAN fournissent une méthode de contrôle des broadcastes

Les VLAN permettent d'effectuer une segmentation selon certains critères

- Des collègues travaillant dans le même service

- Une équipe partageant le même applicatif

Les VLAN peuvent assurer la sécurité des réseaux en définissant les nœuds réseaux qui

peuvent communiquer entre eux.

Vlan de niveau 1

Vlan de niveau 2

Vlan de niveau 3

Principe

Mappage par port

Les Vlans par port associent un port d'un switch à un

numéro de Vlan. On dit alors que le port est tagué

suivant le Vlan donné. Le switch entretien ensuite une

table qui lie chaque Vlan au port associé. Le taggage

des ports peut se faire de manière statique ou de

manière dynamique (voir la norme 802.1q)

Mappage par Adresse MAC

Le Vlan de niveau segmente le réseau en fonction

de l'adresse MAC de l'utilisateur. On associe ainsi

des adresses à des Vlans pour permettre à un

utilisateur de se déplacer sans pour autant changer

de profil.

Ce type de Vlan est généralement utilisé pour

regrouper les utilisateurs par service.

Mappage par IP

Le Vlan de niveau segmente le réseau en fonction de

l'adresse MAC de l'utilisateur. On associe ainsi des adresses

à des Vlans pour permettre à un utilisateur de se déplacer

sans pour autant changer de profil.

Ce type de Vlan est généralement utilisé pour regrouper

les utilisateurs par service.

Sécurité

Optimale

Le Vlan par port permet une étanchéité maximale

des Vlans. Une attaque extérieur ne pourra se faire

qu'en branchant le PC pirate sur un port taggué. Le

pirate a donc besoin d'avoir accès à la machine

physique pour pénétrer le Vlan.

Moyenne

Les Vlans de niveau 2 permettent une sécurité au

niveau de l'adresse MAC.

Le Vlan de niveau 2 offre une sécurité moindre

que le Vlan par port de par la possibilité de

spoofer l'adresse MAC.

De plus, il n'y a pas de contrôle de flux prévu ce

qui nécessite un bon dimensionnement du réseau.

Faible

La sécurité est beaucoup plus faible par rapport aux Vlans de

niveau 1 / 2.

Les Vlans de niveau 3 sont restreints par l'utilisation d'un

protocole de routage pour avoir l'identifiant niveau 3, et ainsi

se joindre au Vlan correspondant.

Admin

Simple mais laborieuse

L'administrateur peut sans difficulté choisir les

ports à taguer sans avoir d'information de la part

des machines auxquelles sont reliés les ports.

Moyenne

Administration plus complexe du fait d’un

paramétrage par @MAC si problèmes

surviennent (Problème de connexion, on doit

régler le problème de manière logique)

Complexe mais polyvalente

L'avantage du Vlan de niveau 3 est qu'il permet une affectation

automatique à un Vlan suivant une adresse IP. Par conséquent,

il suffit de configurer les clients pour joindre les groupes

souhaités. Il est aussi possible de séparer les protocoles par

Vlan...

Adaptabilité

Faible

Configuration lourde et contraignante sur chaque switch. A

chaque déplacement de poste, il faut modifier les switchs

correspondant pour maintenir une qualité de service.

Le mécanisme de Vlan par port ne possède pas d'architecture

centralisée qui pourrait permettre d'éviter la lourdeur de la

configuration. Chaque switch possède sa table de

correspondance indépendamment du contenu des autres

switchs.

Moyenne

Les Vlans de niveau 2 offrent des possibilités de

centralisation des tables Vlans adresses MAC

notamment par le protocole VTP.

Chaque Switch interroge ensuite cette table pour

connaitre les informations nécessaires à une

adresse MAC donnée.

Optimale

Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch

est obligé de décapsuler le paquet jusqu’à l'adresse IP pour pouvoir détecter à quel Vlan il appartient.

I l faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3) pour une

performance moindre.

Mais il facilite grandement la mobilité notamment s’il y’a beaucoup de postes mobiles la lourdeur de

la configuration. Chaque switch possède sa table de correspondance indépendamment du contenu des

autres switchs.

Choix de solution VLAN

Le choix de la mise en place d’un VLAN de niveau trois est donc obligatoire pour répondre au mieux à la demande

du client. Le coût de la mise en place de ces services est relatif à l’achat des connecteurs éventuels

Plan d’adressage

ADRESSE RESEAU : 172.20.0.0/21

1er sous réseau: ADMINISTRATION VLAN 11 Besoin de 250 IP - VSLM (Nombre d’adresse) = 254

Adresse réseau 172.20.0.0

Masque sous réseau 255.255.255.0 /24

Adresses hôtes 172.20.0.1 – 172.20.0.254 Broadcast 172.20.0.255

2ème réseau : EQUIPE (A + B + VISITEUR) VLAN 12

Besoin de 160 IP - VSLM (Nombre d’adresse) = 254


Masque sous réseau 255.255.255.0 / 24 Adresses hôtes 172.20.1.1 – 172.20.1.254

Broadcast 172.20.2.255

3ème réseau : WIFI VLAN 13

Besoin de 250 IP - VSLM (Nombre d’adresse) = 254


Masque sous réseau 255.255.255.0 / 24 Adresses hôtes 172.20.2.1 – 172.20.2.254

Broadcast 172.20.2.255

Configuration du Sw-Serveur

#Sw-Serveur Création de Vlan 11 (ADMINISTRATION) ,12 (EQUIPES) 13 (WIFI) : Sw-Serveur#conf t

Sw-Serveur(config)#vlan 11

Sw-Serveur(config-vlan)#name Administration

Sw-Serveur(config-vlan)#exit


Sw-Serveur(config-vlan)#name Equipes



Sw-Serveur(config-vlan)#name Wifi


# Sw-Serveur Attribution de VLAN à un port : Sw-Serveur#conf t

Sw-Serveur(config)#int f1/3

Sw-Serveur(config-if)#switchport access vlan 11

Sw-Serveur(config-if)#no shut

Sw-Serveur(config-if)#exit


Sw-Serveur(config-if)#switchport mode access













# [Sw-ServeurFa1/2 ------> Fa0/1 Rstade] TRUNK*

# [Sw-ServeurFa1/0 ------> Fa1/0 Sw-Client] TRUNK*

# [Sw-ServeurFa1/1 ------> Fa1/1 Sw-Client2 TRUNK*

Sw-Serveur#conf t


Sw-Serveur(config-if)#switchport mode trunk

Sw-Serveur(config-if)#switchport trunk encapsulation dot1q

Sw-Serveur(config-if)#switchport trunk allowed vlan add 11,12,13




Sw-Serveur(config-if)#switchport mode trunk




Sw-Serveur(config-if)#end

Sw-Serveur#conf t






# Sw-serveur VTP* server: Sw-Serveur#conf t

Sw-Serveur(config)#vtp mode server

Sw-Serveur(config)#vtp version 2

Sw-Serveur(config)#vtp domain stadiumcompany

# [Sw-Client Fa1/1 ------> Fa1/0 Sw-Serveur] TRUNK

# [Sw-Client2 Fa1/1 ------> Fa1/1 Sw-Serveur] TRUNK

# Sw-client & client2 VTP client : Sw-Client#conf t

Sw-Client(config)#vtp mode client

Sw-Client(config)#vtp version 2

Sw-Client(config)#vtp domain stadiumcompany

Sw-Client(config)#exit

Sw-Client2#conf t

Sw-Client2(config)#vtp mode client

Sw-Client2(config)#vtp version 2

Sw-Client2(config)#vtp domain stadiumcompany

Sw-Client2(config)#exit

# Vérification de propagation des vlans sur Sw-client1&2 : #show vlan-switch br

VLAN Name Status Ports

---- -------------------------------- --------- ------------------------------

1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7

Fa1/8, Fa1/9, Fa1/10, Fa1/11

Fa1/12, Fa1/13, Fa1/14, Fa1/15

11 Administration active Fa1/1

12 Equipes active Fa1/2

13 Wifi active Fa1/3

# Routage Inter-Vlans à mettre en place sur le Rstade

Rstade(config)#int f0/1.11

Rstade(config-subif)#encapsulation dot1Q 11

Rstade(config-subif)#ip address 172.20.0.1 255.255.255.0

Rstade(config-subif)#no shutdown

Rstade(config-subif)#exit











R.STADE Interface @IP Description

f0/0 WAN

f0/1 LAN

192.168.137.253 Internet

f0/1.11 172.20.0.1/24 VLAN 11 : ADMINISTRATION

f0/1.12 172.20.1.1/24 VLAN 12 : EQUIPES

f0/1.13 172.20.2.1/24 VLAN 13 : WIFI

# Routage Inter-Vlans à mettre en place sur le Rstade2
















R.STADE2 Interface @IP Description

f0/0 WAN

f0/1 LAN

192.168.137.252 Internet

f0/1.11 172.20.0.2/24 VLAN 11 : ADMINISTRATION

f0/1.12 172.20.1.2/24 VLAN 12 : EQUIPES

f0/1.13 172.20.2.2/24 VLAN 13 : WIFI

# Sw-serveur @IP interface VLAN 11*

Sw-Serveur#conf t

Sw-Serveur(config)#interface vlan 11

Sw-Serveur(config-if)#ip address 172.20.0.3 255.255.255.0


# Sw-Client @IP interface VLAN 11*

Sw-Client(config)#int vlan 11

Sw-Client(config-if)#ip address 172.20.0.4 255.255.255.0

Sw-Client(config-if)#exit

# Sw-Client2 @IP interface VLAN 11*

Sw-Client(config)#int vlan 11

Sw-Client(config-if)#ip address 172.20.0.5 255.255.255.0

Sw-Client(config-if)#exit

*Utile a la supervision

Documents

2 e6 vlan-vtp-routage-inter-vlans-stadium_company