Embed Size (px)
Citation preview
Segmentation réseau : VLAN
Olivier Blaivie
1
Segmentation Réseau : Utilisation
des VLAN
Segmentation réseau : VLAN
Olivier Blaivie
2
Sommaire
1. Société PISCINAS ....................................................................................................... 3
1.1. Présentation ........................................................................................................... 3
1.2. Réseau Informatique ............................................................................................... 3
1.3. Problématique et Cahier des charges .................................................................... 4
1.4. Solutions ................................................................................................................. 5
2. Introduction sur les VLAN .......................................................................................... 5
2.1. Définition ............................................................................................................... 5
2.2. Dans quel but ? ....................................................................................................... 5
2.3. Types de VLAN....................................................................................................... 5
3. Configuration d’un VLAN ........................................................................................... 6
3.1. Création d’un vlan .................................................................................................. 6
3.2. Affectation de port à un VLAN ................................................................................ 6
3.3. Modes de connexions des VLAN ............................................................................ 7
3.4. Configuration des VLAN en fonction du cahier des charges ................................... 7
3.5. Tests de fonctionnements ....................................................................................... 8
4. Conclusion ................................................................................................................ 9
Segmentation réseau : VLAN
Olivier Blaivie
3
1. Société PISCINAS
1.1. Présentation
La société PISCINAS est une entreprise française de construction, assemblage et
vente de piscines.
L’enseigne compte aujourd’hui 30 salariés répartis au siège et dans différents
points de vente.
Le siège social se situe à Toulouse et compte 10 salariés répartit dans 3 batiments,
regroupant 5 services :
Direction : 1 Directeur et 1 Assistante de Direction
Comptabilité : 1 Comptable
Informatique : 1 Administrateur réseaux et 1 Développeur Web
Commercial : 1 Technico-commercial
Atelier : 4 Techniciens de fabrication
Les 20 autres salariés se situent dans les différents points de ventes se trouvent
dans plusieurs régions en France. Il y a 10 points de vente avec chacun 1
Responsable magasin et 1 vendeur.
1.2. Réseau Informatique
Les magasins gèrent eux-mêmes leur propre réseau informatique.
Au siège social, c’est l’administrateur réseau qui se charge de l’infrastructure
réqeau.
Il y a une ligne xDSL qui arrive pour tout le réseau informatique du siège.
Tous les ordinateurs sont configurés en IP Fixe avec une adresse réseau
192.168.10.0/24.
Le schéma réseau de l’entreprise actuel est le suivant :
Segmentation réseau : VLAN
Olivier Blaivie
4
L’adressage IP est le suivant :
Bâtiment Service Poste Adresse IP
(192.168.10.0/24) A SERVEUR AD-DNS 192.168.10.1
A SERVEUR Serveur de
fichiers
192.168.10.2
A INFO INFO-ADMIN 192.168.10.3
A INFO INFO-DEV 192.168.10.4
B DIRECTION DIR-DIRECTEUR 192.168.10.11
B DIRECTION DIR-ASSISTANTE 192.168.10.12
B COMPTA COMPTA 192.168.10.13
B COMMERCIAL COM 192.168.10.14
C PROD PROD-01 192.168.10.21
C PROD PROD-02 192.168.10.22
C PROD PROD-03 192.168.10.23
C PROD PROD-04 192.168.10.24
/ / Routeur 192.168.10.254
1.3. Problématique et Cahier des charges
Aujourd’hui au sein de l’entreprise PISCINAS, tous les services peuvent
communiquer entre eux et cela pose un réel problème de confidentialité des
données et donc de sécurité informatique.
Segmentation réseau : VLAN
Olivier Blaivie
5
La ligne internet étant également limitée, la bande passante est fortement
diminuée du fait de toutes ces communications.
En tant qu’administrateur systèmes et réseaux, j’ai pour mission de mettre en
place une solution efficace pour palier à cette problématique.
Le cahier des charges est le suivant :
- Etudier les différentes solutions possibles
- Isoler les services les uns des autres
- Permettre au service « PROD » de communiquer avec le poste « COM »
- Permettre au service « DIR » de communiquer avec le poste « COMPTA »
1.4. Solutions
Il existe deux solutions possibles pour séparer les réseaux en sous-réseaux. Soit
faire de la segmentation logique en jouant sur le masque de sous réseaux, soit en
utilisant des VLANS. L’utilisation des VLANS est plus simple, il en existe plusieurs
types et les modifications sont plus accessibles, j’ai donc opté pour cette solution.
2. Introduction sur les VLAN
2.1. Définition
Un VLAN (Virtual Local Area Network) est un réseau informatique virtuel.
Plusieurs VLAN peuvent coexister sur un même commutateur réseau (switch).
Pour utiliser des VLAN, il faut pour cela que les switchs gèrent les VLAN.
2.2. Dans quel but ?
Un VLAN à pour but d’améliorer la gestion du réseau, d’optimiser la bande
passante, de séparer les flux et de séparer des réseaux les uns des autres. Ce
dernier point permet donc d’augmenter la sécurité d’un réseau informatique.
2.3. Types de VLAN
Il existe 3 types différents de VLAN :
- Par port (niveau 1) : on définit sur le switch les ports qui appartiendront aux
différents VLAN. L’avantage est de pouvoir identifier physiquement quels
ports appartiennent à quels VLAN.
Segmentation réseau : VLAN
Olivier Blaivie
6
- Par adresse MAC (niveau 2) : on définit les adresses MAC (adresse
physique d’une carte réseau) que l’on souhaite ajouter au différents VLAN.
L’avantage est que n’importe quel port peut-être utilisé et connecté à
l’ordinateur, il restera toujours dans le même VLAN.
- Par adresse IP (niveau 3) : on définit les adresses IP des ordinateurs que
l’on souhaite ajouter au différents VLAN.
Etant donné la configuration du réseau de l’entreprise, je vais utiliser des VLAN
de niveau 1. J’aurais pu également utiliser des VLAN de niveau 3 mais dans le cas
d’un changement d’adresses IP du réseau (IP dynamique donnée par un serveur
DHCP par exemple), la configuration serait à refaire.
3. Configuration d’un VLAN
Toutes les commandes décrites ci-dessous sont à effectuer sur un switch.
3.1. Création d’un vlan
Switch>enable (ou en)
Permet de passer en mode administrateur, action indispensable pour créer les
vlan.
Switch#configure terminal (ou conf t)
Permet d’entrer dans le mode de configuration.
Switch(config)#vlan 10
Permet de créer un vlan (le 10 dans ce cas).
Switch(config-vlan)#name dir
Permet de nommer un vlan (dir pour direction dans ce cas). Sans cette action, le
VLAN aura par défaut le numéro du VLAN (VLAN0010 dans ce cas).
Switch(config-vlan)#end
Permet de clôturer et d’enregistrer la création du VLAN.
A noter que le VLAN par défaut est le VLAN 1, il ne faut donc pas modifier ce port.
3.2. Affectation de port à un VLAN
Segmentation réseau : VLAN
Olivier Blaivie
7
Dès que les différents VLAN sont crées, il faut ensuite affecter ces VLAN aux
différents ports souhaités. Voici les différentes commandes :
Switch(config)#interface fastethernet0/1 (ou int fa0/1)
Permet de se positionner sur l’interface 0/1.
Switch(config)#interface range fastethernet0/2-7
Permet de se positionner sur plusieurs ports (du 2 au 7 dans ce cas) en même
temps
Switch(config-if)#switchport mode access
Permet de configurer le port pour faire transiter un VLAN
Switch(config-if)#switchport access vlan 10
Permet d’affecter le(s) port(s) sélectionné(s) du VLAN par défaut (VLAN 1) au
VLAN 10.
Switch#show vlan
Permet d’afficher la liste des VLAN configurés
3.3. Modes de connexions des VLAN
On vient de voir précédemment comment créer, configurer et affecter un port à
un VLAN. Maintenant on va voir comment configurer les switchs entre eux pour
faire transiter plusieurs VLAN.
Il existe deux modes pour faire transiter les VLAN :
Mode Access : C’est le mode par défaut des switchs, ce qui permet
d’affecter à un port un VLAN défini.
Mode Trunk : Permet d’activer le protocole d’encapsulation afin de taggué
les trames qui circulent entre les switchs. Ceci à pour but d’envoyer les
paquets aux bon VLAN.
Pour activer ce mode, les commandes sont les suivantes :
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
3.4. Configuration des VLAN en fonction du cahier des charges
Pour rappel, le cahier des charges imposé par la société est le suivant :
- Etudier les différentes solutions possibles
- Isoler les services les uns des autres
- Permettre au service « PROD » de communiquer avec le poste « COM »
Segmentation réseau : VLAN
Olivier Blaivie
8
- Permettre au service « DIR » de communiquer avec le poste « COMPTA »
Afin d’y répondre, voici la liste des VLAN que je vais crée :
Service Poste VLAN Adresse IP
(192.168.10.0/24) SERVEUR AD-DNS VLAN 10 192.168.10.1
SERVEUR Serveur de
fichiers
VLAN 10 192.168.10.2
INFO INFO-ADMIN VLAN 11 192.168.10.3
INFO INFO-DEV VLAN 11 192.168.10.4
DIRECTION DIR-DIRECTEUR VLAN 20 192.168.10.11
DIRECTION DIR-ASSISTANTE VLAN 20 192.168.10.12
COMPTA COMPTA VLAN 20 192.168.10.13
COMMERCIAL COM VLAN 30 192.168.10.14
PROD PROD-01 VLAN 30 192.168.10.21
PROD PROD-02 VLAN 30 192.168.10.22
PROD PROD-03 VLAN 30 192.168.10.23
PROD PROD-04 VLAN 30 192.168.10.24
/ Routeur Routeur 192.168.10.254
En créant ces différents VLAN et en faisant un routage inter-vlan pour faire
communiquer tous les VLANS vers les serveurs (VLAN 10) et le routeur, le cahier
des charges devrait être respecté.
3.5. Tests de fonctionnements
Après la mise en place des VLAN défini plus haut, je vais maintenant exécuter une
série de tests pour vérifier que le cahier des charges est respecté :
Ping « PROD-01 » vers « PROD-02 »
réponse :
Ping « PROD-01 » vers « COM »
réponse :
Ping « PROD-01 » vers « DIR-DIRECTEUR »
réponse :
Ping « COMPTA » vers « DIR-ASSISTANTE »
réponse :
Segmentation réseau : VLAN
Olivier Blaivie
9
Ping « COMPTA » vers « INFO-ADMIN »
réponse :
Le cahier des charges est respecté, les services qui doivent communiquer entre
eux communiquent et ceux qui ne doivent pas ne se ping pas.
4. Conclusion
Pour conclure sur les VLAN, il est important avant de se lancer dans la
configuration de bien préparé au préalable la configuration souhaitée. Il faut
configurer ses VLAN de façon logique.
Il faut également bien nommer ses VLAN de la même façon sur tous les switchs
pour s’y retrouvé et pouvoir affecter des nouvelles machines rapidement.
