Embed Size (px)
Citation preview
Réalisé par :
Mohamed TARSAFI
LES VLANSLES VLANSLES VLANSLES VLANS
Professeur:
RSAFI Dr. EZZATI
Année universitaire 2012-2013
:
. EZZATI
Table des matières
I. Introduction aux VLAN
II. Les bases................................
i. Un LAN ................................
ii. Deux LANS (ou plus)
III. Où intervient le virtuel
IV. Avantages des vlans
V. Norme 802.1q (ou l'art du tag)
VI. Le VTP (Vlan Trunking Protocol)
i. Qu'est ce que le VTP ?
ii. Comprendre le VTP
VII. Les différents types de vlans
i. Les vlans de niveau 1 , Vlans par port
ii. Les vlans de niveau 2 , Vlan par adresse MAC
iii. Les vlans de niveau 3 ,vlan par sous
VIII. CONFIGURATION DES VLANS
i. CREATION DES VLANS
ii. CONFIGURATION D'UN DOMAINE VTP
iii. CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN
IX. Conclusion ................................
Introduction aux VLAN .............................................................
................................................................
................................................................
Deux LANS (ou plus) ..........................................................
le virtuel ............................................................
Avantages des vlans ..............................................................
Norme 802.1q (ou l'art du tag) .................................................
Le VTP (Vlan Trunking Protocol) ................................
Qu'est ce que le VTP ? ........................................................
Comprendre le VTP .............................................................
Les différents types de vlans .................................................
Les vlans de niveau 1 , Vlans par port ................................
ans de niveau 2 , Vlan par adresse MAC ......................
Les vlans de niveau 3 ,vlan par sous-réseau .......................
CONFIGURATION DES VLANS ..............................................
CREATION DES VLANS .....................................................
CONFIGURATION D'UN DOMAINE VTP ................................
CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN
................................................................
............................. 3
............................................... 3
............................................. 3
.......................... 3
............................ 4
.............................. 5
................. 5
.............................................. 7
........................ 7
............................. 7
................. 8
.................................. 8
...................... 9
....................... 10
.............. 11
..................... 11
................................ 11
CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN .... 12
......................................... 13
I. Introduction aux VLAN
Un VLAN (Virtual Local Area NetworkVirtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.
En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique en définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à des critères
II. Les bases
i. Un LAN
Soit un réseau Ethernet.
Un LAN est un réseau local dans lequel toutes les trames Ethernet sont visibles depuis tous les noeuds
si le LAN est construit avec un HUB. Si nous avons affaire à un SWITCH, seules les trames de diffusions (broadcast) seront visibles depuis tous les noeuds, le SWITCH agissant comme un pont Ethernet entre chaque noeud du LAN.
Ce qu'il est fondamental de comprendre, c'est que nousque nous ne parlons que d'adresses MAC.
Un SWITCH, c'est le composant que nous utiliserons par la suite, à l'exclusion des HUBs, est capable d'apprendre et de retenir la ou les adresses MAC qui se présentent sur chacun de ses ports.
ii. Deux LANS (ou plus)
Soit le schéma suivant
roduction aux VLAN
Virtual Local Area Network ou Virtual LAN, en français Réseau Local ) est un réseau local regroupant un ensemble de machines de façon logique et
En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique en définissant une
ion logique (logicielle) basée sur un regroupement de machines grâce à des
Un LAN est un réseau local dans lequel toutes les trames Ethernet sont visibles depuis tous les
avec un HUB. Si nous avons affaire à un SWITCH, seules les trames de diffusions (broadcast) seront visibles depuis tous les noeuds, le SWITCH agissant comme un pont Ethernet entre chaque noeud du LAN.
Ce qu'il est fondamental de comprendre, c'est que nous raisonnons au niveau Ethernet, que nous ne parlons que d'adresses MAC.
Un SWITCH, c'est le composant que nous utiliserons par la suite, à l'exclusion des HUBs, est capable d'apprendre et de retenir la ou les adresses MAC qui se présentent
Deux LANS (ou plus)
Réseau Local ) est un réseau local regroupant un ensemble de machines de façon logique et
En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique en définissant une
ion logique (logicielle) basée sur un regroupement de machines grâce à des
(broadcast) seront visibles depuis tous les noeuds, le SWITCH agissant comme un
raisonnons au niveau Ethernet,
Un SWITCH, c'est le composant que nous utiliserons par la suite, à l'exclusion des HUBs, est capable d'apprendre et de retenir la ou les adresses MAC qui se présentent
Lorsque nous avons deux LANs et que nous souhaitons les interconnecter, tout en conservant dans chaque LAN les mêmes propriétés au niveau Ethernet, nous devons faire appel à la couche 3 (IP) pour routeur.
Le routeur agit au niveau 3 de la couche (IP). Ce qu'il est absolument fondamental de comprendre.
C’est qu'au niveau Ethernet, le LAN bleu ignore complètement l'existence du LAN vert, et réciproquement, (deux réseaux différents). Il y a isolation complète des deux LANs au niveau Ethernet et la présence du routeur n'y change rien.
Les trames Ethernet qui transportent des données depuis le LAN vert dans le LAN bleu ne seront rien d'autre que des trames Ethernet issues du routeur côté LAN bleu (et réciproquement), (nous sommes au niveau 2, n'oublions pas).
III. Où intervient le virtuel
Jusqu'ici, un SWITCH appartenait à un et un seul LAN. L'idée de base est de pouvoir assigner certains ports du SWITCH à un LAN, certains autres ports à un autre LAN etc :
Sur un même SWITCH physique, nous allons pouvoir créer plusieurs LANS et assigner certains de ses ports aux divers LANs créés. Ici, nous avons un LAN bleu et un LAN vert.
Comme si l'on avait découpé notre SWITCH en deux morceaux (sans pour autant le détruire).
Dans une première approche, notre maquette deviendrait ceci :
Lorsque nous avons deux LANs et que nous souhaitons les interconnecter, tout en conservant dans chaque LAN les mêmes propriétés au niveau Ethernet, nous devons faire appel à la couche 3 (IP) pour assurer l'interconnexion. Il nous faut donc un
Le routeur agit au niveau 3 de la couche (IP). Ce qu'il est absolument fondamental de
C’est qu'au niveau Ethernet, le LAN bleu ignore complètement l'existence du LAN nt, (deux réseaux différents). Il y a isolation complète des deux
LANs au niveau Ethernet et la présence du routeur n'y change rien.
Les trames Ethernet qui transportent des données depuis le LAN vert dans le LAN bleu ne seront rien d'autre que des trames Ethernet issues du routeur côté LAN bleu (et réciproquement), (nous sommes au niveau 2, n'oublions pas).
le virtuel
squ'ici, un SWITCH appartenait à un et un seul LAN. L'idée de base est de pouvoir assigner certains ports du SWITCH à un LAN, certains autres ports à un autre LAN
Sur un même SWITCH physique, nous allons pouvoir créer plusieurs LANS et tains de ses ports aux divers LANs créés. Ici, nous avons un LAN bleu et
Comme si l'on avait découpé notre SWITCH en deux morceaux (sans pour autant le
Dans une première approche, notre maquette deviendrait ceci :
Lorsque nous avons deux LANs et que nous souhaitons les interconnecter, tout en conservant dans chaque LAN les mêmes propriétés au niveau Ethernet, nous devons
assurer l'interconnexion. Il nous faut donc un
Le routeur agit au niveau 3 de la couche (IP). Ce qu'il est absolument fondamental de
C’est qu'au niveau Ethernet, le LAN bleu ignore complètement l'existence du LAN nt, (deux réseaux différents). Il y a isolation complète des deux
Les trames Ethernet qui transportent des données depuis le LAN vert dans le LAN bleu ne seront rien d'autre que des trames Ethernet issues du routeur côté LAN bleu
squ'ici, un SWITCH appartenait à un et un seul LAN. L'idée de base est de pouvoir assigner certains ports du SWITCH à un LAN, certains autres ports à un autre LAN
Sur un même SWITCH physique, nous allons pouvoir créer plusieurs LANS et tains de ses ports aux divers LANs créés. Ici, nous avons un LAN bleu et
Comme si l'on avait découpé notre SWITCH en deux morceaux (sans pour autant le
Le SWITCH a été virtuellement coupé en deux. Les deux VLANs sont complètement étanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au delà du niveau 2). Pour interconnecter ces deux LANs, un routeur est toujours nécessaire.
IV. Avantages des vlans
Le VLAN permet de définir un nouveau réseau autitre offre les avantages suivants :
� Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage commutateurs
� Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées
� Réduction de la diffusion du traffic sur le réseau
V. Norme 802.1q (ou l'art du tag)
Ici, l'idée serait d'arriver à ce que plusieurs VLANs, ça fera économiser du câble (et aussi des ports sur le SWITCH).
Le principe consiste à ajouter dans l'enidentifier le VLAN. Il existe quelques sle système s'est avéré tellement intéressant qu'une norme a été définie, il s'agit de la norme 802.1q.
Alors qu'une trame Ethernet "normale" est constituée comme ceci :
Une trame modifiée par la norme
Il n'est peut-être pas nécessaire de détailler le contenu de ces deux nouveaux champs. Pour l'instant, retenons que le VID (Identifiant du VLAN) est codé sur 12 bits, ce qui laisse une latitude confortable.
Il est aussi nécessaire de rappeler qu'une trame Ethernet ne doit pas dépasser 1518 octets et que donc, quatre octets de plus dans l'enfragmentation des trames, ce qui n'est jamais bien bon. Si l'on doit avoir recours à des VLANS "taggués", il sera sans doute nécessaire de prévoir ce détail.
é virtuellement coupé en deux. Les deux VLANs sont complètement étanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au delà du niveau 2). Pour interconnecter ces deux LANs, un routeur est toujours
Avantages des vlans
Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les avantages suivants :
Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage
Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées Réduction de la diffusion du traffic sur le réseau
Norme 802.1q (ou l'art du tag)
Ici, l'idée serait d'arriver à ce que certains ports du swith puissent être assignés à plusieurs VLANs, ça fera économiser du câble (et aussi des ports sur le SWITCH).
Le principe consiste à ajouter dans l'en-tête de la trame Ethernet un marqueur qui va identifier le VLAN. Il existe quelques solutions propriétaires pour réaliser ceci, mais le système s'est avéré tellement intéressant qu'une norme a été définie, il s'agit de la
Alors qu'une trame Ethernet "normale" est constituée comme ceci :
Une trame modifiée par la norme 802.1q se trouve allongée de 4 octets :
être pas nécessaire de détailler le contenu de ces deux nouveaux champs. Pour l'instant, retenons que le VID (Identifiant du VLAN) est codé sur 12 bits, ce qui laisse une latitude confortable.
aussi nécessaire de rappeler qu'une trame Ethernet ne doit pas dépasser 1518 octets et que donc, quatre octets de plus dans l'en-tête risquent d'aboutir à une fragmentation des trames, ce qui n'est jamais bien bon. Si l'on doit avoir recours à des
aggués", il sera sans doute nécessaire de prévoir ce détail.
é virtuellement coupé en deux. Les deux VLANs sont complètement étanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au delà du niveau 2). Pour interconnecter ces deux LANs, un routeur est toujours
dessus du réseau physique et à ce
Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des
Gain en sécurité car les informations sont encapsulées dans un niveau
certains ports du swith puissent être assignés à plusieurs VLANs, ça fera économiser du câble (et aussi des ports sur le SWITCH).
tête de la trame Ethernet un marqueur qui va olutions propriétaires pour réaliser ceci, mais
le système s'est avéré tellement intéressant qu'une norme a été définie, il s'agit de la
802.1q se trouve allongée de 4 octets :
être pas nécessaire de détailler le contenu de ces deux nouveaux champs. Pour l'instant, retenons que le VID (Identifiant du VLAN) est codé sur 12 bits, ce qui
aussi nécessaire de rappeler qu'une trame Ethernet ne doit pas dépasser 1518 tête risquent d'aboutir à une
fragmentation des trames, ce qui n'est jamais bien bon. Si l'on doit avoir recours à des
Au final, notre SWITCH a donc la possibilité d'ajouter ces marqueurs aux trames Ethernet. Si c'est le cas, il sera alors possible théoriquement d'assigner un même port à 212 VLANS différents. Grâacheminées correctement.
Si nous appliquons cette technique à notre maquette, nous obtenons ceci :
Il n'y a effectivement qu'un seul câble qui relie l'unique swith au routeur, et pourtant, nous allons effectivement router les données entre les deux LANs. Il y a tout de même une condition à respecter : le routeur doit être "802.1q compliant", c'estdoit savoir lire les tags que le SWITCH a posé sur au moins l'un des deux VLANs.
Si nous faisons un gros plan sur le SWITCH, nous observons ceci :
Le port marqué "trunk" appartient à la fois aux deux VLANs bleu et vert. Sur ce port, il faut bien sûr qu'au moins l'un des deux VLANs soit "taggué".
Sur le câble relié à ce port, il circulera donc à la fois lcelles du VLAN vert. Il n'y aura pas de problèmes tant qu'à chaque bout du câble, l'interface Ethernet sera capable de trier les trames en fonction du tag. Ceci impose donc naturellement que le routeur soit compatible avec la normque son interface soit capable d'exploiter ces tags.
Au final, notre SWITCH a donc la possibilité d'ajouter ces marqueurs aux trames Ethernet. Si c'est le cas, il sera alors possible théoriquement d'assigner un même port à 212 VLANS différents. Grâce au VID de chaque VLAN, les données seront
Si nous appliquons cette technique à notre maquette, nous obtenons ceci :
Il n'y a effectivement qu'un seul câble qui relie l'unique swith au routeur, et pourtant, ement router les données entre les deux LANs. Il y a tout de même
une condition à respecter : le routeur doit être "802.1q compliant", c'estdoit savoir lire les tags que le SWITCH a posé sur au moins l'un des deux VLANs.
os plan sur le SWITCH, nous observons ceci :
Le port marqué "trunk" appartient à la fois aux deux VLANs bleu et vert. Sur ce port, il faut bien sûr qu'au moins l'un des deux VLANs soit "taggué".
Sur le câble relié à ce port, il circulera donc à la fois les trames du VLAN bleu et celles du VLAN vert. Il n'y aura pas de problèmes tant qu'à chaque bout du câble, l'interface Ethernet sera capable de trier les trames en fonction du tag. Ceci impose donc naturellement que le routeur soit compatible avec la norme 802.1q, c'estque son interface soit capable d'exploiter ces tags.
Au final, notre SWITCH a donc la possibilité d'ajouter ces marqueurs aux trames Ethernet. Si c'est le cas, il sera alors possible théoriquement d'assigner un même port à
ce au VID de chaque VLAN, les données seront
Si nous appliquons cette technique à notre maquette, nous obtenons ceci :
Il n'y a effectivement qu'un seul câble qui relie l'unique swith au routeur, et pourtant, ement router les données entre les deux LANs. Il y a tout de même
une condition à respecter : le routeur doit être "802.1q compliant", c'est-à-dire qu'il doit savoir lire les tags que le SWITCH a posé sur au moins l'un des deux VLANs.
Le port marqué "trunk" appartient à la fois aux deux VLANs bleu et vert. Sur ce port,
es trames du VLAN bleu et celles du VLAN vert. Il n'y aura pas de problèmes tant qu'à chaque bout du câble, l'interface Ethernet sera capable de trier les trames en fonction du tag. Ceci impose
e 802.1q, c'est-à-dire
VI. Le VTP (Vlan Trunking Protocol)
i. Qu'est ce que le VTP ?
Afin de ne pas redéfinir tous les VLANs existant sur chaque commutateur, Cisco a développé un protocole permettant une hériale protocole VTP. Ce protocle est basé sur la norme 802.1q et exploite une architecture client-serveur avec la possibilité d'instancier plusieurs serveurs.
ii. Comprendre le VTP
Un commutateur doit alors être déclarés en de domaine VTP. C'est sur ce commutateur que chaque nouveau VLAN devra être défini, modifié ou supprimé. Ainsi chaque commutateur client présent dans le domaine héritera automatiquement des nouveaux VLANs crées surserveur.
Le VLAN Trunking Protocol (VTP) minimise donc l'administration dans le réseau commuté. Ceci réduit avantageusement le besoin de configurer les mêmes VLANs sur chaque commutateur individuellement.
Les dispositifs de VTP peuvent êtremodes suivants :
� le mode serveur � Le mode client� le mode transparent
Si une des conditions suivantes n'est pas respectée, le domaine de VTP ne sera pas valide et l'information ne se propagera pas:
� il faut assigner le même nom de domaine de VTP à chaque commutateur� l'option trunk pour l'interconnexion des commutateurs doit être activée.
Le VTP (Vlan Trunking Protocol)
Qu'est ce que le VTP ?
Afin de ne pas redéfinir tous les VLANs existant sur chaque commutateur, Cisco a développé un protocole permettant une hériage de VLANs entre commutateur. C'est le protocole VTP. Ce protocle est basé sur la norme 802.1q et exploite une
serveur avec la possibilité d'instancier plusieurs serveurs.
Comprendre le VTP
Un commutateur doit alors être déclarés en serveur, on lui attribut également un nom de domaine VTP. C'est sur ce commutateur que chaque nouveau VLAN devra être défini, modifié ou supprimé. Ainsi chaque commutateur client présent dans le domaine héritera automatiquement des nouveaux VLANs crées sur le commutateur
Le VLAN Trunking Protocol (VTP) minimise donc l'administration dans le réseau commuté. Ceci réduit avantageusement le besoin de configurer les mêmes VLANs sur chaque commutateur individuellement.
Les dispositifs de VTP peuvent être configurés pour fonctionner suivant les trois
le mode serveur client VTP
le mode transparent
Si une des conditions suivantes n'est pas respectée, le domaine de VTP ne sera pas valide et l'information ne se propagera pas:
faut assigner le même nom de domaine de VTP à chaque commutateurl'option trunk pour l'interconnexion des commutateurs doit être activée.
Afin de ne pas redéfinir tous les VLANs existant sur chaque commutateur, Cisco a ge de VLANs entre commutateur. C'est
le protocole VTP. Ce protocle est basé sur la norme 802.1q et exploite une serveur avec la possibilité d'instancier plusieurs serveurs.
serveur, on lui attribut également un nom de domaine VTP. C'est sur ce commutateur que chaque nouveau VLAN devra être défini, modifié ou supprimé. Ainsi chaque commutateur client présent dans le
le commutateur
Le VLAN Trunking Protocol (VTP) minimise donc l'administration dans le réseau commuté. Ceci réduit avantageusement le besoin de configurer les mêmes VLANs sur
configurés pour fonctionner suivant les trois
Si une des conditions suivantes n'est pas respectée, le domaine de VTP ne sera pas
faut assigner le même nom de domaine de VTP à chaque commutateur l'option trunk pour l'interconnexion des commutateurs doit être activée.
Le serveur diffuse la liste des Vlans. Les paquetspar un numéro de révision.Le nmodifiera la base de donnée Vlan. Elle se propage sur les liens trunk.
Les commutateurs en mode transparents ont leur propre liste. Cette liste n’est pas diffusée sur le réseau mais les paquets VTP le sont.
VII. Les différents types de vlans
i. Les vlans de niveau 1 , Vlans par port
Principe
Les Vlans par port associent un port d'un switch à un numéro de Vlan. On dit alors que le port est tagué suivant le Vlan donné. Le switch entretien ensuite une table qui lie chaque Vlan au port associé. Le taggage des ports peut se faire de manière statique ou de manière dynamique (voir la norme 802.1q)
Les avantages
L’avantage principale du Vlan par port est qu'il permet une étanchéité maximale des Vlans. Une attaque extèrieuport taggué. Le pirate a donc besoin d'avoir accès à la machine physique pour penetrer le Vlan.
Le Vlan par port offre une facilité de configuration. L'administrateur peut sans difficulté choisir les ports à taguer sans avoir d'information de la part des machines auxquelles sont reliés les ports.
Le serveur diffuse la liste des Vlans. Les paquets VTP Advertisementspar un numéro de révision.Le numéro de révision le plus élevé sera celui qui modifiera la base de donnée Vlan. Elle se propage sur les liens trunk.
Les commutateurs en mode transparents ont leur propre liste. Cette liste n’est pas mais les paquets VTP le sont.
Les différents types de vlans
Les vlans de niveau 1 , Vlans par port
Les Vlans par port associent un port d'un switch à un numéro de Vlan. On dit alors que le port est tagué suivant le Vlan donné. Le switch entretien ensuite une table qui
ue Vlan au port associé. Le taggage des ports peut se faire de manière statique ou de manière dynamique (voir la norme 802.1q)
L’avantage principale du Vlan par port est qu'il permet une étanchéité maximale des Vlans. Une attaque extèrieur ne pourra se faire qu'en branchant le PC pirate sur un port taggué. Le pirate a donc besoin d'avoir accès à la machine physique pour penetrer
Le Vlan par port offre une facilité de configuration. L'administrateur peut sans difficulté choisir les ports à taguer sans avoir d'information de la part des machines auxquelles sont reliés les ports.
VTP Advertisements sont identifiés uméro de révision le plus élevé sera celui qui
Les commutateurs en mode transparents ont leur propre liste. Cette liste n’est pas
Les Vlans par port associent un port d'un switch à un numéro de Vlan. On dit alors que le port est tagué suivant le Vlan donné. Le switch entretien ensuite une table qui
ue Vlan au port associé. Le taggage des ports peut se faire de manière statique
L’avantage principale du Vlan par port est qu'il permet une étanchéité maximale des r ne pourra se faire qu'en branchant le PC pirate sur un
port taggué. Le pirate a donc besoin d'avoir accès à la machine physique pour penetrer
Le Vlan par port offre une facilité de configuration. L'administrateur peut sans difficulté choisir les ports à taguer sans avoir d'information de la part des machines
Les inconvénients
Le principal inconvénient du Vlan et contraignante sur chaque switch. A chaque déplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualité de service. Ce système peut être atténuer par la mise en place d'authentification en 802.1x et à une solution de transport des Vlans.
Le mécanisme de Vlan par port ne possède pas d'architecture centralisée qui pourrait permettre d'éviter la lourdeur de la configuration. correspondance indépendamment du contenu des autres switchs.
ii. Les vlans de niveau 2 ,
Principe
Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de l'utilisateur. On associe ainsi des adresses à des Vlans pour permettre à un utilisateur de se déplacer sans pour autant changer de profil. Ce type de Vlan est généralement utilisé pour regrouper les utilisateurs par service.
Ce type de Vlan permet de regrouper au sein d'un même lien et dele réseau (voir norme 802.1q).
Les avantages
Les Vlans de niveau 2 permettent une sécurité au niveau de l'adresse MAC, c'est à dire qu'un pirate souhaitant se connecter sur le Vlan devra au préalable récuperer une adresse MAC du Vlan pour pouvoir entrer.
Les Vlans de niveau 2 offrent des possibilités de centralisation des tables Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour connaitre les informations nécessaires à une adresse MAC donnée.
Les inconvénients
Le Vlan de niveau 2 offre une sécurité moindre que le Vlan par port de par la possibilité de spoofer l'adresse MAC. De plus, il n'y a pas de contrôle de flux prévu ce qui nécessite un bon dimensionnement du réseau.
Les inconvénients
Le principal inconvénient du Vlan par port est qu'il nécessite une configuration lourde et contraignante sur chaque switch. A chaque déplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualité de service. Ce système peut être atténuer par la mise en place d'une solution de carte client 802.1q couplée à une authentification en 802.1x et à une solution de transport des Vlans.
Le mécanisme de Vlan par port ne possède pas d'architecture centralisée qui pourrait permettre d'éviter la lourdeur de la configuration. Chaque switch possède sa table de correspondance indépendamment du contenu des autres switchs.
Les vlans de niveau 2 , Vlan par adresse MAC
Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de l'utilisateur. adresses à des Vlans pour permettre à un utilisateur de se
déplacer sans pour autant changer de profil. Ce type de Vlan est généralement utilisé pour regrouper les utilisateurs par service.
Ce type de Vlan permet de regrouper au sein d'un même lien et de les transporter sur le réseau (voir norme 802.1q).
Les Vlans de niveau 2 permettent une sécurité au niveau de l'adresse MAC, c'est à dire qu'un pirate souhaitant se connecter sur le Vlan devra au préalable récuperer une
pour pouvoir entrer.
Les Vlans de niveau 2 offrent des possibilités de centralisation des tables Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour connaitre les informations nécessaires à une adresse MAC donnée.
n de niveau 2 offre une sécurité moindre que le Vlan par port de par la possibilité de spoofer l'adresse MAC. De plus, il n'y a pas de contrôle de flux prévu ce qui nécessite un bon dimensionnement du réseau.
par port est qu'il nécessite une configuration lourde et contraignante sur chaque switch. A chaque déplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualité de service. Ce système peut être
une solution de carte client 802.1q couplée à une
Le mécanisme de Vlan par port ne possède pas d'architecture centralisée qui pourrait Chaque switch possède sa table de
Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de l'utilisateur. adresses à des Vlans pour permettre à un utilisateur de se
déplacer sans pour autant changer de profil. Ce type de Vlan est généralement utilisé
les transporter sur
Les Vlans de niveau 2 permettent une sécurité au niveau de l'adresse MAC, c'est à dire qu'un pirate souhaitant se connecter sur le Vlan devra au préalable récuperer une
Les Vlans de niveau 2 offrent des possibilités de centralisation des tables Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour connaitre les
n de niveau 2 offre une sécurité moindre que le Vlan par port de par la possibilité de spoofer l'adresse MAC. De plus, il n'y a pas de contrôle de flux prévu ce
iii. Les vlans de niveau 3 ,
Principe
Les Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous réseau auuxquel elles appartiennent. La mise en place de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole routable (IP, autres protocoles propriétaires...).
L'attribution des Vlans se fait de manière automatique en décapsulant le paquet jusqu'a l'adresse source. Cette adresse va determiner à quel Vlan appartient la machine.
Les avantages
L'avantage du Vlan de niveau 3 est qu'il permet une affectationsuivant une adresse IP. Par conséquent, il suffit de configurer les clients pour joindre les groupes souhaités. Il est aussi possible de séparer les protocoles par Vlan.
Les inconvénients
Les Vlans de niveau 3 souffrent de lenteur effet, le switch est obligé de décapsuler le paquet j'usqu'à l'adresse IP pour pouvoir detecter à quel Vlan il appartient. Il faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3)
La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. En effet, l'analyse de l'adresse IP rend le spoofing IP possible. Or le spoofing IP est beaucoup plus simple à réaliser que le spoofing MAC.
Les Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour avoir l'identifiant niveau 3, et ainsi se joindre au Vlan correspondant.
Les vlans de niveau 3 ,vlan par sous-réseau
es Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous réseau auuxquel elles appartiennent. La mise en place de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole routable (IP, autres protocoles propriétaires
L'attribution des Vlans se fait de manière automatique en décapsulant le paquet jusqu'a l'adresse source. Cette adresse va determiner à quel Vlan appartient la
L'avantage du Vlan de niveau 3 est qu'il permet une affectation automatique à un Vlan suivant une adresse IP. Par conséquent, il suffit de configurer les clients pour joindre les groupes souhaités. Il est aussi possible de séparer les protocoles par Vlan.
Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch est obligé de décapsuler le paquet j'usqu'à l'adresse IP pour pouvoir detecter à quel Vlan il appartient. Il faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3) pour une performance moindre.
La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. En effet, l'analyse de l'adresse IP rend le spoofing IP possible. Or le spoofing IP est beaucoup plus simple à réaliser que le spoofing MAC.
Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour avoir l'identifiant niveau 3, et ainsi se joindre au Vlan correspondant.
es Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous réseau auuxquel elles appartiennent. La mise en place de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole routable (IP, autres protocoles propriétaires
L'attribution des Vlans se fait de manière automatique en décapsulant le paquet jusqu'a l'adresse source. Cette adresse va determiner à quel Vlan appartient la
automatique à un Vlan suivant une adresse IP. Par conséquent, il suffit de configurer les clients pour joindre les groupes souhaités. Il est aussi possible de séparer les protocoles par Vlan.
par rapport aux Vlans de niveau 1 et 2. En effet, le switch est obligé de décapsuler le paquet j'usqu'à l'adresse IP pour pouvoir detecter à quel Vlan il appartient. Il faut donc des équipements plus couteux (car ils
pour une performance moindre.
La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. En effet, l'analyse de l'adresse IP rend le spoofing IP possible. Or le spoofing IP est beaucoup
Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour
VIII. CONFIGURATION DES VLANS
i. CREATION DES VLANS
Pour créer un VLAN, il faut se trouver dans le mode daccessible par la commande : Switch # vlan database
A partir de ce mode, la création d'un VLAN se fait par la commande : Switch (vlan)# vlan {numéro} [name {nom}] Switch(vlan)# exit
Cette dernière commande permet d'enregistrer la configuration des VLANs, qui se trouve dans le fichier vlan.dat dans la mémoire Flash. Dans une configuration de VLAN statique, les ports du commutateur doivent être attribués à un VLAN. Ceci se fait dans le mode de configuration de l'interface spécifiée : Switch (config)#interface fastEthernet {numéro_interface}
On passe dans le mode de configuration de l'interface spécifiée Switch(config- if)#switchport mode access
Spécification du mode de l'interface Switch(config- if)#switchport access vlan {numéro}
Attribution du vlan spécifié à l'interface
ii. CONFIGURATION D'UN DOMAINE VTP
Pour propager cette configuration à un deuxième commutateur, ceuxappartenir à un domaine commun : le domaine VTP. Ce domaine est organisé hiérarchiquement : le serveur VTP diffuse ses configurations VLAN, tandis que le client VTP met à jour sa configuration VLAN en fonction des informations reçues du
CONFIGURATION DES VLANS
CREATION DES VLANS
Pour créer un VLAN, il faut se trouver dans le mode de configuration correspondant, accessible par la commande :
# vlan database
A partir de ce mode, la création d'un VLAN se fait par la commande :
(vlan)# vlan {numéro} [name {nom}]
Cette dernière commande permet d'enregistrer la configuration des VLANs, qui se trouve dans le fichier vlan.dat dans la mémoire Flash. Dans une configuration de VLAN statique, les ports du commutateur doivent être attribués à un VLAN. Ceci se
mode de configuration de l'interface spécifiée :
(config)#interface fastEthernet {numéro_interface}
n passe dans le mode de configuration de l'interface spécifiée
if)#switchport mode access
pécification du mode de l'interface
if)#switchport access vlan {numéro}
ttribution du vlan spécifié à l'interface
D'UN DOMAINE VTP
Pour propager cette configuration à un deuxième commutateur, ceux-ci doivent appartenir à un domaine commun : le domaine VTP. Ce domaine est organisé hiérarchiquement : le serveur VTP diffuse ses configurations VLAN, tandis que le
configuration VLAN en fonction des informations reçues du
e configuration correspondant,
Cette dernière commande permet d'enregistrer la configuration des VLANs, qui se trouve dans le fichier vlan.dat dans la mémoire Flash. Dans une configuration de VLAN statique, les ports du commutateur doivent être attribués à un VLAN. Ceci se
(config)#interface fastEthernet {numéro_interface}
ci doivent appartenir à un domaine commun : le domaine VTP. Ce domaine est organisé hiérarchiquement : le serveur VTP diffuse ses configurations VLAN, tandis que le
configuration VLAN en fonction des informations reçues du
serveur. Considérons le commutateur Switch_A comme le serveur du domaine VTP, et le commutateur Switch_B comme le client. Les commandes nécessaires sont
Switch # vlan database Switch(vlan)# vtp domain {nom_domaine} Switch (vlan)# vtp server Switch(vlan)# exit Switch_B# vlan database Switch_B(vlan)# vtp domain {nom_domaine} Switch_B(vlan)# vtp client Switch_B(vlan)# exit
Enfin, un trunk est nécessaire entre ces deux équipements. C'est en effet par celuique les trames étiquetées transitent. Entre deux commutateurs, un câble croisé doit être utilisé. Un trunk est une connexion physique regroupant plusieurs connexions logiques. Dans le schéma, un câble physique laisse transiter 3 trafics logiques différents. Ceux-ci représentent les trafics propres à chaque VLAN. L'encapsulation utilisée doit égalementutilisé n'accepte qu'un seul protocole. Chaque commutateur doit donc configurer une des ses interfaces pour accueillir un trunk : Switch_A(config)# interface fastEthernet {numéro_in terface} Switch_A(config-if)# Switch_A(config- if)# switchport trunk encapsulation {dot1q | isl}
A ce stade, la configuration VLAN du commutateur serveur est transmise au client. Il faut cependant assigner les ports du commutateur client aux VLANs spéciconfiguration transmise énumère seulement les VLANs crées et leurs noms): Switch_B(config)# interface fastEthernet {numéro_in terface} Switch_B(config- if)# switchport mode access Switch_B(config- if)# switchport access vlan {numéro}
Désormais, chaque hôte peut communiquer avec un hôte du même VLAN, connecté sur un commutateur différent.
iii. CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN
La liaison routeur-commutateur constitue également unregroupe en effet plusieurs liens logiques : un trafic VLAN par sous
serveur. Considérons le commutateur Switch_A comme le serveur du domaine VTP, et le commutateur Switch_B comme le client. Les commandes nécessaires sont
# vlan database domain {nom_domaine}
(vlan)# vtp server
Switch_B# vlan database Switch_B(vlan)# vtp domain {nom_domaine} Switch_B(vlan)# vtp client
Enfin, un trunk est nécessaire entre ces deux équipements. C'est en effet par celuique les trames étiquetées transitent. Entre deux commutateurs, un câble croisé doit
Un trunk est une connexion physique regroupant plusieurs connexions Dans le schéma, un câble physique laisse transiter 3 trafics logiques
ci représentent les trafics propres à chaque VLAN. L'encapsulation utilisée doit également être spécifiée, à moins que le commutateur utilisé n'accepte qu'un seul protocole. Chaque commutateur doit donc configurer une des ses interfaces pour accueillir un trunk :
Switch_A(config)# interface fastEthernet {numéro_in terface} switchport mode trunk
if)# switchport trunk encapsulation {dot1q | isl}
A ce stade, la configuration VLAN du commutateur serveur est transmise au client. Il faut cependant assigner les ports du commutateur client aux VLANs spéciconfiguration transmise énumère seulement les VLANs crées et leurs noms):
Switch_B(config)# interface fastEthernet {numéro_in terface} if)# switchport mode access if)# switchport access vlan {numéro}
aque hôte peut communiquer avec un hôte du même VLAN, connecté sur un commutateur différent.
CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN
commutateur constitue également un trunk. Cette connexion regroupe en effet plusieurs liens logiques : un trafic VLAN par sous-interface, sur une
serveur. Considérons le commutateur Switch_A comme le serveur du domaine VTP, et le commutateur Switch_B comme le client. Les commandes nécessaires sont
Enfin, un trunk est nécessaire entre ces deux équipements. C'est en effet par celui-ci que les trames étiquetées transitent. Entre deux commutateurs, un câble croisé doit
Un trunk est une connexion physique regroupant plusieurs connexions Dans le schéma, un câble physique laisse transiter 3 trafics logiques
être spécifiée, à moins que le commutateur utilisé n'accepte qu'un seul protocole. Chaque commutateur doit donc configurer une
Switch_A(config)# interface fastEthernet {numéro_in terface}
if)# switchport trunk encapsulation {dot1q | isl}
A ce stade, la configuration VLAN du commutateur serveur est transmise au client. Il faut cependant assigner les ports du commutateur client aux VLANs spécifiés (la configuration transmise énumère seulement les VLANs crées et leurs noms):
Switch_B(config)# interface fastEthernet {numéro_in terface}
aque hôte peut communiquer avec un hôte du même VLAN, connecté
trunk. Cette connexion interface, sur une
liaison physique : un câble droit connectant une interface du routeur à une interface d'un commutateur.
Chaque trafic de VLAN est supppour chaque sous-interface, attribuer une adresse IP appartenant au sousVLAN et spécifier l'encapsulation (étiquetage) utilisée: R1(config)# interface fastEthernet {sousR1(config- sub)# encapsulation {dot1q | isl} {numéro_vlan} R1(config- sub)# ip address {adresse_ip} {masque_sous_réseau}
Chaque hôte peut désormais communiquer avec un hôte sur un VLAN différent. Lorsque le premier envoi une trame avec pour destination un soussous-réseau source, le commutateur l'encapsule et l'envoi à la passerelle par défaut. Après avoir traversé le trunk, la trame est traitée au niveau du routeur. Celuidésencapsule, la réencapsule pour le VLAN de destination avant de lsous-interface correspondante
IX. Conclusion
� Grâce à l’utilisation des VLAN, on peut segmenter un réseau,
indépendamment de la répartition géographique des machines
� On réalise une économie de matériel
� On facilite la gestion des utilisateurs (ajout,
� On améliore la segmentation
liaison physique : un câble droit connectant une interface du routeur à une interface
Chaque trafic de VLAN est supporté par une sous-interface du routeur. Il faut donc, interface, attribuer une adresse IP appartenant au sous
VLAN et spécifier l'encapsulation (étiquetage) utilisée:
R1(config)# interface fastEthernet {sous -interface} sub)# encapsulation {dot1q | isl} {numéro_vlan} sub)# ip address {adresse_ip} {masque_sous_réseau}
Chaque hôte peut désormais communiquer avec un hôte sur un VLAN différent. Lorsque le premier envoi une trame avec pour destination un sous-réseau différent du
réseau source, le commutateur l'encapsule et l'envoi à la passerelle par défaut. Après avoir traversé le trunk, la trame est traitée au niveau du routeur. Celuidésencapsule, la réencapsule pour le VLAN de destination avant de l'envoyer sur la
interface correspondante.
Grâce à l’utilisation des VLAN, on peut segmenter un réseau,
indépendamment de la répartition géographique des machines
On réalise une économie de matériel
On facilite la gestion des utilisateurs (ajout, déplacement)
On améliore la segmentation
liaison physique : un câble droit connectant une interface du routeur à une interface
interface du routeur. Il faut donc, interface, attribuer une adresse IP appartenant au sous-réseau du
sub)# encapsulation {dot1q | isl} {numéro_vlan} sub)# ip address {adresse_ip} {masque_sous_réseau}
Chaque hôte peut désormais communiquer avec un hôte sur un VLAN différent. eau différent du
réseau source, le commutateur l'encapsule et l'envoi à la passerelle par défaut. Après avoir traversé le trunk, la trame est traitée au niveau du routeur. Celui-ci la
'envoyer sur la
