32
Les VLAN

Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Embed Size (px)

Citation preview

Page 1: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Les VLAN

Page 2: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Plan

Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Page 3: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Les VLAN

Intérêts : segmentation du domaine de broadcast flexibilité : travailler sur la couche 2 ou 3 du

modèle OSI sécurité : isoler les postes

Page 4: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN niveau 1

VLAN par port étanchéité totale des VLAN => prévoir du

routage/filtrage inter-VLAN configuration parfois lourde

Page 5: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN niveau 2

VLAN par adresse MAC un poste de travail qui se déplace peut

disposer du même VLAN sans intervention de l'administrateur

la sécurité est moindre car l'adresse MAC peut s'usurper facilement

Adaptée aux connexions Wifi avec des solutions de sécurité 802.1X

Page 6: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN niveau 3

affectation à un VLAN en fonction de l'adresse IP

plus lents : nécessité d'analyser la paquet pour prendre la décision

usurpation encore plus facile que pour l'adresse MAC

Il est également possible de gérer l'affectation en fonction du port ou du protocole

Page 7: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN par règles

règles d’entrée (Ingress rules) : permettent de classer une trame entrante dans un VLAN et de la filtrer,

règles d’expédition (Forwarding rules) : indiquent à qui transmettre une trame et de la filtrer,

règles de sortie (Egress rules) : indiquent sur quel port réexpédier la trame.

Page 8: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN et sécurité

Les VLAN sont mis en œuvre dans de très nombreuse solutions de sécurité comme les NAC : Network Access Control

NAC : dispositif permettent de contrôler l’accès au réseau et de rediriger une machine non autorisée ou au comportement suspect vers un VLAN de quarantaine

Page 9: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

La norme 802.1Q 802.1Q (1998) : mécanisme d'encapsulation

très répandu et implanté dans de nombreux équipements de marques différentes. Complexe (200 pages)

Page 10: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

8021.Q – 2

2003 Enregistrement dynamique des VLAN –

protocole GVRP

Page 11: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

802.1Q : le marquage

Le VLAN ID ou Tag permet de marquer une trame et d'utiliser un seul lien physique pour convoyer des trames de différents VLAN.

4093 valeurs possibles il suffit que l'équipement concerné soit

capable de prendre en charge la norme 802.1Q (routeur, switch, serveur, ...)

le lien entre les deux équipement s'appelle un trunk

Page 12: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

802.1Q

Le marquage est fait : Par le switch (le plus courant) Par la machine

Un réseau est dit vlan-informé « VLAN-aware » s'il reconnaît les trames marquées.

Il est vlan-non-informé dans le cas contraire « VLAN-unaware »

Page 13: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN-802.1Q - QuestionsQ : Peut-on associer une trame à plusieurs Vlan ?

R : Non. Elle ne peut être adressée qu'à une seule carte réseau associée à ce VLAN.

Q : La carte réseau d’un poste peut-elle être associée à plusieurs Vlan ?

R : Si oui, comment savoir à quel Vlan appartient une trame émise par une telle carte réseau ? Si non, comment partager l’accès à des ressources communes entre différentes Vlan ?

Q : Comment communiquer entre les Vlan ? L’étanchéité de la couche 2 implique de remonter

jusqu’à la couche 3 pour l’échange entre Vlan. Cet échange peut donc être entièrement contrôlé.

Page 14: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN et 802.1Q – principes de base

le VLAN 1 est sur la plupart des switch le VLAN d'administration : il faut impérativement garder un port sur ce VLAN si l'on veut administrer le switch

un port non taggé n'appartient qu'à un seul VLAN

Page 15: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

La diffusion des VLAN

La déclaration des VLAN est fastidieuse si le nombre de switch est grand

GVRP (Generic VLAN Registration Protocol) permet de diffuser des informations sur les

VLANs qui sont déclarés sur les ports d'un switch.

permet de plus de configurer dynamiquement les VLANs déclarés sur les switches et de mettre à jour la table d'association des VLANs.

Page 16: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VLAN – GVRP suite GVRP nécessite :

un agent GVRP qui gère les ports physique pour chaque switch, il est appelé " GVRP Participant ". Cet agent stocke des informations sur les VLANs déclarés pour les ports du switch.

La BPDU GIP (GARP Information Propagation). Elle définit les messages diffusés entre les ports en interne au switch.

La BPDU GID (Garp Information Déclaration). Elle définit les messages diffusés entre les agents de deux switchs distincts.

Page 17: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

VTP VLAN Trunking Protocol (Cisco propriét.) permet de diffuser la déclaration des

VLANs pour les ports trunk sur l'ensemble du réseau (mode client-server)

Maintient une base de données dupliquée avec N° version et timestamp

Le serveur tient à jour une table de VLANs déclarés. Cette table est diffusée à l'ensemble des clients étant sur le même domaine VTP.

Page 18: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

802.1Q et Linux - 1

le noyau Linux dispose d'un module 802.1Q permettant de prendre en charge des trames taggées => hote vlan-informé

Sur Debian :

aptitude install vlan

modprobe 8021q ; installation module

vconfig add eth0 100

Added VLAN with VID == 100 to IF -:eth0:-

Page 19: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

802.1Q et Linux - 2 Les interfaces VLAN sont gérables commes

des interfaces standard sur lesquelles on peut effectuer du filtrage

eth0.100 Lien encap:Ethernet HWaddr 00:20:18:54:99:F9

inet adr:192.168.11.1 Bcast:192.168.11.255 Masque:255.255.255.0

adr inet6: fe80::220:18ff:fe54:99f9/64 Scope:Lien

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:4 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 lg file transmission:0

RX bytes:0 (0.0 b) TX bytes:344 (344.0 b)

Page 20: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

802.1Q et Linux – 3 Il suffit maintenant d'activer le routage

echo 1 > /proc/sys/ent/ipv4/ip_forward

et d'écrire des règles iptables si l'on désire effectuer du filtrage

Extrait du fichier /etc/network/interfacesauto vlan2

iface vlan2 inet static

address 192.168.11.1

netmask 255.255.255.0

broadcast 192.168.11.255

vlan_raw_device eth0

Page 21: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Routage interVLAN

Par rapport à une solution classique de séparation avec des routeurs, l'utilisation des VLAN est plus simple car elle permet de limiter le nombre d'interfaces (1 lien ou carte quel que soit le nombre de VLAN/sous-réseaux)

Elle est plus souple car elle ne dépend pas de l'implantation physique.

Mais le filtrage/routage au niveau 3 reste indipensable

Page 22: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Schémas C. Caleca

Page 23: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Les autres normes liées aux VLAN

802.1D : Spanning Tree Protocol 802.1P : Class Of Service

Page 24: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Le protocole 802.1D

Spanning Tree Protocol : il a pour but de gérer/éviter les liens redondants au niveau 2 pour éviter les broadcast storm

STP échange régulièrement des informations (appelées des BPDU - Bridge Protocol Data Unit) pour informer des changements sur le réseau

Il n'est pas adapté à l'environnement VLAN (le VLAN 1 pour l'administration retransmet les trames STP) => STP multiple : 1 par VLAN

Page 25: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Spanning-Tree Schema

Page 26: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Spanning-Tree - Fonctionnement

Sélection d'un root switch (point central de l'arbre STP)

Construction de l'arbre des plus courts chemins vers tous les ponts et réseaux

Coût lié au débit du lien (100 Mb/s, GB/s) Interfaces dans l'arbre : laissent passer

les trames Interfaces hors de l'arbre : ne laissent pas

passer

Page 27: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Spanning -Tree -suite

ne gère pas les liens redondants lenteur de convergence => plusieurs

dizaines de s (30 s) => développement du RSTP (Rapid STP 802.1w)

Spanning Tree multiple : un ou plusieurs VLAN par Spanning Tree

Page 28: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Le protocole 802.1P - 1

permet de mettre en oeuvre la QOS (Quality Of Service) au niveau MAC

utilise le champ priorité de la norme 802.1Q

2 utilisations GMRP classes de services

Page 29: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Le protocole 802.1P - 2

classes de services : mémorisation des trames et envoi des trames prioritaires avant les trames non prioritaires

aucun débit garanti aucun contrôle de flux

Page 30: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Le protocole 802.1P - 3

Les classes de services : 7 Contrôle du réseau (network critical) 6 Voix interactive 5 Multimédia interactif 4 Application à charge controlé (streaming) 3 Service maximum (Business critical) 0 Service au mieux (Best effort) 2 Service économique (standard) 1 Arrière plan (background)

Page 31: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Les switches

Les caractéristiques : 802.1Q : support des VLAN 802.1X (authentification) SNMP Mirroring de ports (SPAN ou Remote SPAN

Cisco : envoi sur un port distant) Agrégation de ports (802.3ad) QOS 802.1P 802.1D : Spanning Tree

Page 32: Les VLAN. Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN

Conclusion

les VLAN sont de plus en plus utilisés et les VLAN par port ainsi que 802.1Q sont les bases de l'architecture des réseaux modernes

L'étanchéité entre les couches aux niveaux 1 et 2 implique le recours à la couche 3 pour le routrage/filtrage

Les VLAN de niveau 2 et la norme 802.1X constituent des éléments importants de l'infrastructure en particulier pour le Wifi