Mission 4:

Prsentation dun VLAN:

Un VLAN (Virtual Local Area Network ou Virtual LAN, en franais Rseau Local Virtuel) est un rseau local regroupant un ensemble de machines de faon logique et non physique.

Les diffrents types de VLAN:

-Un VLAN de niveau 1 (aussi appels VLAN par port, en anglais Port-Based VLAN) dfinit un rseau virtuel en fonction des ports de raccordement sur le commutateur ;

-Un VLAN de niveau 2 (galement appel VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address-Based VLAN) consiste dfinir un rseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le rseau est indpendant de la localisation de la station ;

-Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

Le VLAN par sous-rseau (en anglais Network Address-Based VLAN) associe des sous-rseaux selon l'adresse IP source des datagrammes. Ce type de solution apporte une grande souplesse dans la mesure o la configuration des commutateurs se modifie automatiquement en cas de dplacement d'une station. En contrepartie une lgre dgradation de performances peut se faire sentir dans la mesure o les informations contenues dans les paquets doivent tre analyses plus finement.

Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de crer un rseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le mme protocole au sein d'un mme rseau.

Fonctionnement des VLANs:

Le routeur reconnait la trame envoy par un VLAN grce au marquage de trames.

Le marquage des trames.

Il permet de reconnatre les trames. L'appartenance tel ou tel VLAN peut tre dduite des informations contenues dans la trame (adresse IEEE, protocole...) ou insre dans cette trame.

Plusieurs solutions constructeurs ont t proposes telles que, Virtual Tag Trunking, de 3Com ou encore Inter Switch, Link Protocol de Cisco, toutes incompatibles entre elles. Pour cette raison, l'IEEE a dfini une norme VLAN sous la rfrence 802.1Q.

Les avantages du VLAN:

Le VLAN permet de dfinir un nouveau rseau au-dessus du rseau physique et ce titre offre les avantages suivants :

-Plus de souplesse pour l'administration et les modifications du rseau car toute l'architecture peut tre modifie par simple paramtrage des commutateurs

-Gain en scurit car les informations sont encapsules dans un niveau supplmentaire et ventuellement analyses

-Rduction de la diffusion du trafic sur le rseau

Solution:

Nous opterons pour la solution de VLAN par port car C'est une solution simple, et rapide dinstallation, seul bmol, cest quen cas de changement de port il faut reconfigurer sur le routeur.

Pour utiliser cette solution il faut instaurer une plage dadresse IP, pour pouvoir diffrentier les diffrents VLANs.

Il y aura:

-Un rseau par ligue.

-Un rseau public wifi regroupant lensemble des points daccs sans fil.

-Un rseau public filaire regroupant les prises Ethernet des salles ressources.

-Un rseau regroupant les bureaux administratifs, la salle de reprographie et la salle multimdia.

-Un rseau regroupant les trois crans daffichages.

-Un rseau dadministration des commutateurs.

Plage dadresse:

-Le premier octet est commun pour tous,

-Le second octet reprsente une unit par ligues hberges,

-Le troisime octet reprsente une dizaine par VLAN auquel est affect un poste

-Le quatrime le numro de poste.

Premier octet=10

Second octet [1..254] (86 ligues et les 5 autres rseaux, nous rajoutons une marge en cas dajout de ligues)

Troisime octet [10 et 20] (rseau filaire et rseau wifi)

Quatrime octet [1254] (Nombre de postes)

Avec un masque de rseau 255.0.0.0

Les adresses rseaux de chaque VLANs:

Adresse des rseaux par ligue: 10.[691].10.0

Adresse de rseau public wifi: 10.1.20.0

Adresse de rseau public filaire: 10.2.10.0

Adresse de rseau bureaux administratifs: 10.3.10.0

Adresse de rseau des crans: 10.4.10.0

Adresse de rseau dadministration des commutateurs: 10.5.10.0

Documentation norme WIFI en vigueur, SSID:

Le SSID est le nom d'un rseau sans fil selon la norme IEEE 802.11de normes concernant les rseaux sans fil). Ce nom comporte au plus 32 caractres.

En mode infrastructure, il sert identifier le Hotspot.

Le mode Infrastructure est un mode de fonctionnement qui permet de connecter les ordinateurs quips dune carte Wi-Fi entre eux via un ou plusieurs points daccs (PA) qui agissent comme des concentrateurs Dans ce cas, la mise en place dun tel rseau oblige de poser intervalles rguliers des bornes Point daccs (PA) dans la zone qui doit tre couverte par le rseau. Les bornes, ainsi que les machines, doivent tre configures avec le mme nom de rseau (SSID = Service Set IDentifier) afin de pouvoir communiquer. Lavantage de ce mode, en entreprise, est de garantir un passage oblig par le Point daccs, il est donc possible de vrifier qui accde au rseau.

En mode ad-hoc, il sert identifier la connexion.

Le mode Ad-Hoc est un mode de fonctionnement qui permet de connecter directement les ordinateurs quips dune carte Wi-Fi, sans utiliser un matriel tiers tel quun point daccs. Ce mode est idal pour interconnecter rapidement des machines entre elles sans matriel. La mise en place dun tel rseau se borne configurer les machines en mode ad hoc (au lieu du mode Infrastructure), la slection dun canal (frquence), dun nom de rseau (SSID) communs tous et si ncessaire d'une cl de chiffrement. Lavantage de ce mode est de saffranchir de matriels tiers, permet de fonctionner en l'absence de point d'accs.

Authentification:

Laccs sans fil aux rseaux locaux rend ncessaire llaboration dune politique de scurit dans les entreprises et chez les particuliers.

La norme 802.11 initiale spcifie deux modes dauthentification: ouvert ou partag (open ou shared). Louverte signifie labsence dauthentification et lauthentification partage signifie lutilisation dun secret partag, en loccurrence une cl WEP dans un mcanisme challenge/rponse Wired Equivalent Privacy , communique uniquement aux utilisateurs autoriss du rseau.

Toutefois, il a t dmontr que cette prtendue scurit tait facile violer.

Wi-Fi Protected Access (WPA) ou plus rcemment WPA2, ils respectent la majorit de la norme IEEE 802.11i, qui dfinit un rseau de scurit robuste.

On peut utiliser un tunnel chiffr (VPN - rseau priv virtuel). Il correspond en fait une interconnexion de rseaux locaux via une technique de tunnel. On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec d'autres organismes pour se raccorder au rseau de son entreprise sans risque dcoute ou de modification.

Il y a aussi RADIUS, qui permet de faire la liaison entre des besoins d'identification et une base d'utilisateurs en assurant le transport des donnes d'authentification de faon normalise.

Pour permettre une meilleur scurit du rseau sans fil il est conseiller de:

changer les mots de passe par dfaut (notamment administrateur) par des mots de passe plus forts

important de mettre jour le firmware (pare-feu)

Changer le SSID par dfaut

rgler la puissance dmission du point daccs