VLAN, introduction à la commutation

1998, 2003, 2005

INTRODUCTION

La séparation!

• Pour séparer, sur un réseau global, les rôles de chacun

• Solution classique : utilisation de sous-réseaux différents

Exemple

• Deux réseaux, séparés par un routeur

etud3>ping admin2

etud3 Res-etud Router 1 Res-admin admin2

Comptons nos moutons

• Les trames vont passer 15 couches

• Les millisecondes utilisées pour analyser un paquet IP dans un routeur se multiplie plusieurs millions de fois par jour.

• Débit ralenti

Complexifions un peu…

• Et si nous devons attribuer les mêmes rôles à des utilisateurs, mais :

– Répartis sur des bâtiments différents ?

– Avec l’obligation de faire de multiples sous-réseaux !

AH! Ca fait du monde!

Bat A Bat B

Bat C

Quels sont les problèmes rencontrés ?

• Les communications entre machines ne sont pas aléatoires

– Ordonnées en fonction de la topologie

– Plutôt entre machines qui ont un point commun (serveur dédié à un service, entre machines d’un même service, …)

• La difficulté d’administrer

• Des débits loin des limites théoriques

LES SECRETS DE LA COMMUTATION

Transmettre les trames : le rôle du commutateur (switch)

• Store and Forward

– Il stocke les trames entièrement, les analyse, avant de les réémettre.

– Plus lent

• Cut througth

– Ne stocke pas, ne vérifie pas

– Plus rapide

Cut through

Store and Forward

Switch vs. Routeur

• Les switch sont plus rapides que les routeurs (ils ne montent pas au niveau 3)

• Pourquoi ne peut-on pas utiliser uniquement des switchs?

– A cause de la diffusion (broadcast) qui n’aurait pas de limite : le routeur bloque les trames de diffusion en segmentant par réseau en fonction de l’adresse IP.

• Alors il va falloir segmenter le réseau avec les switch…

Le domaine de diffusion

• La segmentation permet d'isoler le trafic entre les segments

• Elle augmente la bande passante disponible en établissant des domaines de diffusion plus restreints

• Ce sont les trames de broadcast (FF.FF.FF.FF.FF.FF) qui encombrent le réseau

• Des protocoles comme ARP augmentent en poids avec le nombre de stations connectées au sein d’un même réseau

Domaine de diffusion, exemple

Domaine de diffusion, séparation par un routeur

Comment y répondre ?

• Il faut imaginer une solution permettant d’isoler les acteurs de communications fréquente en les mettant dans un réseau spécifique

• On appelle cette technique la segmentation

• Elle permet d’attribuer à un segment (brin reliant une station à un élément d’interconnexion (switch, routeur).

Les VLAN comme solution

• Objectifs des VLAN :

– Faciliter la gestion de la mobilité des postes

– Supprimer la possibilité de communication entre certaines parties du réseau,

– Sécuriser des domaines

– Pouvoir facilement attribuer des autorisations différentes, en fonction des droits et rôles de chaque groupe de personnes

Exemple de VLAN

Observation

• Nous avons donc créé deux domaines de diffusion

• On note que 2 switch font partie des deux domaines de diffusion (nous verrons cela plus tard)

Conclusion

• La réduction des messages de diffusion (notamment les requêtes ARP) limités à l'intérieur d’un VLAN.

• Ainsi les diffusions d'un serveur peuvent être limitées aux clients de ce serveur.

• La création de groupes de travail indépendants de l'infrastructure physique ; possibilité de déplacer la station sans changer de réseau virtuel.

• L’augmentation de la sécurité par le contrôle des échanges inter-VLAN utilisant des routeurs (filtrage possible du trafic échangé entre les VLAN), nous verrons cela plus tard.

Conclusion 2 : gains des VLAN

• la flexibilité de segmentation du réseau : – Les utilisateurs les ressources regroupés sans devoir prendre en considération leur localisation

physique – Il est aussi envisageable qu'une station appartienne à plusieurs VLAN en même temps

• la simplification de la gestion : l'ajout ou le déplacement d'éléments existants sans manipuler les connexions physiques

• l'augmentation considérable des performances du réseau • une meilleure utilisation des serveurs réseaux. Lorsqu'un serveur possède une

interface réseau compatible avec les VLAN, l'administrateur a l'opportunité de faire appartenir ce serveur à plusieurs VLAN en même temps.

• le renforcement de la sécurité du réseau. Les frontières virtuelles créées par les VLAN ne pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des communications est renforcée.

• la technologie évolutive et à faible coût • la régulation de la bande passante