vlan-pdf

Roshanak Partovi, [email protected] 1

N VESISPlan de cours

• Réseaux : Concepts de base et la terminologie (30min)• VLAN (4:30H)

– Définition et caractéristiques– Les VLANs simples– VLAN tagging : 802.1Q – Routage entre les VLANs– Les VLANs avancés– Agrégation de liens (Link aggregation ou Trunking)

• Spanning Tree (30m)– 802.1D Standard Spanning Tree (STP)– 802.1w Rapid Spanning Tree (RSTP)– 802.1s Multiple Spanning Tree (MSTP)

• QoS ou Qualité de Service (30m)– Concepts généraux– Les modèles de la QoS– VOIP et QoS – Exemple d’implémentation de la QoS sur les commutateurs

• Securité (30m)– Concepts de sécurité– Les attaques et les mécanismes de défense

Note : Dans cette présentation, la plupart des exemples de configuration est basée sur des commutateurs Omniswitch d’Alcatel. Nous mentionnons ces exemples dans l’unique but de vous donner quelques idées sur comment les concepts que nous décrivons peuvent être déployés pratiquement. En fait, nous constatons que l’implémentation et même la configuration de ces concepts sont relativement similaires d’un équipementier à un autre, ceci à quelques fonctionnalités près.

N VESIS

Réseaux : Concepts de base et la terminologie

•Historique•Terminologie

Modèle OSI Type de trafic : Unicast, multicast et broadcast Equipements de réseau

•ConceptsLANDomaine de diffusionVLAN


N VESIS

Des technologies 10Base- aux technologies 10Gb/s.Des transceivers passifs aux commutateurs intelligents niveau 3.

1970 2000

Historique


N VESISEvolution des équipements de réseau

• Des technologies 10Base- aux technologies 10Gb/s.• Des transceivers passifs aux commutateurs intelligents niveau 3. • Aujourd’hui les commutateurs de niveau 3 fournissent des

fonctionnalités avancées comme :– Des niveaux de performance très élevés grâce à l’implémentation des

fonctions de routage dans les ASICS.– Support pour un éventail de types de VLAN : par port, par protocole,

authentifié, etc.– Fonctions de sécurité intégrées.– Hiérarchisation de trafic et mécanismes de la QoS intégrée.– Management et fonctions de logging (historique des événements).


N VESISModèle OSI

Source http://www.frameip.com/osi/

Switches Switches

Hubs Hubs


N VESISLes adresses unicast, broadcast et multicast

• L’adresse de broadcast représente tous les postes connectés sur un LAN ou plus précisément sur un domaine de diffusion.– L’adresse de broadcast IP : 255.255.255.255.– L’adresse de broadcast MAC : FF:FF:FF:FF:FF:FF.

• Les adresses multicast représentent un groupe de postes dans un réseau.– Le bloc réservé d’adresses multicast IP : 224.0.0.0.0-224.255.255.255.– Les adresses MAC correspondantes : 01:00:5E:00:00:00 01:00:5E:7F:FF:FF.

• Une adresse unicast représente un seul poste ou interface physique dans un réseau.– Exemple d’adresse unicast IP : 10.1.1.12– Exemple d’adresse MAC correspondante : 1F:1A:2B:BA:CD:EF


N VESISLa transmission des trames unicast, broadcast ou multicast dans un réseau

RouteurCommutateurTrametype

Broadcast

Multicast (*)

Unicast

Transmet sur tous les ports.

Ne transmet pas.

Ne transmet pas.

(*) Dans l’hypothèse que la fonction multicast de commutateur ou de routeur n’est pas active. (**) Après la phase d’apprentissage de l’adresse et que cette adresse est ajoutée à la table des adresses(***) Le routeur examine seulement les trames broadcast ou celles qui qui sont adressées à l’adresse MAC de son interface.

• Le tableau ci-dessus souligne la différence de comportement entre un routeur et un commutateur face à une trame destinée à une adresse broadcast, multicast ou unicast.

Transmet sur tous les ports.

Transmet sur le port où le poste réside (**).

Transmet selon laTable de routage (***).


N VESISUn segment Ethernet

LAN

• Les limitations d’un segment Ethernet :– Le nombre de postes sur chaque segment – La longueur du segment– Problèmes de congestion

• Toutes les trames, unicast ou broadcast, envoyées par chaque PC sont vues par les autres.

• Les besoins en sécurité, fiabilité et performance suggèrent la nécessité de segmenter le trafic.

• La segmentation peut être effectuée au niveau 2 ou 3 ou aux deux niveaux en même temps.

RH R&D PROD


N VESISDomaine de diffusion

LAN

• Un domaine de diffusion est un domaine où toutes les trames de broadcast (trames destinées à FF:FF:FF:FF:FF:FF) sont vues par tous les postes qui y sont connectés.

RH R&D PROD


N VESISEquipements de niveau 1

Hub

Transceiver

Repeater

Admin Production Admin Production

• Un équipement de niveau 1 répète tout le trafic qu’il reçoit, que ce soit unicast, multicast or broadcast, sur tous ses ports.

• Ce mode de fonctionnement affecte la bande passante libre et peut détériorer la performance du réseau.

• Un commutateur (niveau 2) améliore la performance en transmettant le trafic unicast uniquement sur le port où l’adresse MAC de destination réside.


N VESISCommutateurs de niveau 2

Switch

A B C

Switch Forwarding table

Mac-A Port 1Mac-B Port 2... p1 p2 p3

Admin Production• Seul le trafic de type broadcast ou unicast avec une adresse MAC de

destination inconnue est transmis sur tous les ports.• Le trafic unicast avec une adresse MAC de destination connue est transmis

uniquement sur le port approprié.• Il est souhaitable et même nécessaire pour un réseau plus complexe de

restreindre le domaine de diffusion en créant des sous réseaux chacun représentant un domaine de diffusion plus petit.

• La communication entre ces sous-réseaux est accomplie par un routeur.


N VESISRouteur

Routing table router A

IP-First floor DirectIP-Second floor DirectIP-Building-B IP-B Router

Building-A

Admin and R&D

IP1 IP2

Switch-first floor Switch-second floor

Admin and R&D

Networkfirst floor

Networksecond floor

Network address Next hop

RouterBuilding-B

IP-B

Switch-building B

Admin and R&D

IP-A

• Le trafic de type broadcast est contenu dans son sous-réseau.• Les sous-réseaux communiquent entre eux par le moyen des routeurs. • Si le réseau contient plus qu’un routeur, les routeurs utilisent des protocoles de routage pour

connaître les réseaux distants. • Problème : Les frontières physiques ne correspondent pas toujours aux frontières logiques. • Solution : Les VLANs.

N VESIS

VLAN

•Définition et caractéristiques•Les VLANs simples•VLAN tagging : 802.1Q •Routage entre les VLANs•Les VLANs avancés•Agrégation de liens (Link aggregation ou Trunking)


N VESISVLAN : Définition et caractéristiques

• VLANs sont utilisés pour segmenter le trafic.• Cette segmentation est effectuée par le logiciel du commutateur.• Elimine le besoin de changer physiquement la connexion au réseau

ou son emplacement d’un poste en cas de son ajout ou sa suppression à/de un VLAN.

• Si l’association d’une trame à son VLAN est préservée de bout-en-bout, la sécurité d’un réseau basé sur les VLANs n’est pas moins fiable que celle d’un réseau purement physique.

• VLANs statiques : Le raccordement d’un port à un VLAN est statique.

• VLANs dynamiques : Le raccordement d’un port à un VLAN est basé sur le trafic.

• VLANs authentifiés.


N VESIS

Broadcast domainOr VLan Admin

VLan Id 100

Broadcast domainor VLan R&DVLan Id 200

VLANs par port

AdminP1, 5, 6

R&DP2, 3, 7

Switch first-floor Switch second-floor

R&DP1, 2, 3

AdminP4, 5, 6

•La configuration sur le commutateur « first-floor » peut ressembler à : >vlan 100 name “admin” port default 1,5,6>vlan 200 name “R&D” port default 2,3,7

P10P12

P10P14

Un lien physique par VLAN ou un seul lien avec 802.1Q.


N VESISVLAN Tagging : 802.1Q

• Mécanisme permettant à de multiples VLANs de partager d’une manière transparente le même lien physique tout en respectant l’étanchéité des VLANs.

• La segmentation 802.1Q est effectuée moyennant l’ajout d’un tag à la trame.

• Le tag permet à la trame d’être identifiée comme venant d’un VLAN ou étant destinée à un VLAN.


N VESISVLAN Tagging : 802.1Q

• 802.1Q Tag (32 bits)– Tag protocol Identifier (16 bits) : Les 12 premiers bits sont utilisés pour identifier le

protocole de la balise insérée. Dans le cas de la balise 802.1Q la valeur de ce champ est fixée à 0x8100.

– Bits de priorité (3 bits)– Canonical format identifier or CFI (1) : TokenRing or Ethernet– VLan Id (12bits) : Il est possible de coder 4094 (2^12-2) VLANs avec ce champ.

• Plus grande que la taille maximale spécifiée pour la trame Ethernet traditionnelle.

Tagged Ethernet Frame

Dest MAC Source MAC 802.1Q Tag Protocol Type Data

6 bytes 6 bytes 4 bytes 64-1500 bytes2 bytes

TPI8100

802.1pPriority bits802.1Q Tag VLan Id

16 bits 3 bits

CFI

1 bit 12 bits


N VESIS

VLan AdminVLan Id 100

VLan R&DVLan Id 200

VLANs et 802.1Q

AdminP1, 5, 6

R&DP2, 3, 7


R&DP1, 2, 3

AdminP4, 5, 6

802.1Q

• La configuration sur le commutateur « first-floor » peut ressembler à : >vlan 100 name “admin” port default 1,5,6>vlan 200 name “R&D” port default 2,3,7>vlan 100 802.1q port 8>vlan 200 802.1q port 8

P8


N VESIS

VLan Admin

VLan R&D

Routage entre VLANs moyennant un routeur externe

AdminP1, 5, 6

R&DP2, 3, 7


R&DP1, 2, 3

AdminP4, 5, 6

802.1QP8

External Router

P1 P2 P1 P4

•Si le routeur implémente le 802.1q, un seul lien suffit.•Dans le cas contraire, un lien physique par VLAN est requis.


N VESIS

VLan AdminVLan Id 100

VLan R&DVLan Id 200

Routage entre VLANs moyennant les fonctionnalités de niveau 3 du commutateur

AdminP1, 5, 6

R&DP2, 3, 7


R&DP1, 2, 3

AdminP4, 5, 6

802.1Q

• La configuration sur le commutateur « first-floor » peut ressembler à : >vlan 100 name “admin” port default 1,5,6>vlan 200 name “R&D” port default 2,3,7>vlan 100 802.1q port 8>vlan 200 802.1q port 8>ip interface “admin-if” address 10.1.1.1 vlan 100>ip interface “R&D-if” address 11.1.1.1 vlan 200

P8R

Default GW11.1.1.1

Default GW10.1.1.1

11.1.1.110.1.1.1


N VESISVLANs avancés

• Le concept de port mobile.• Règles de VLANs dynamiques : le raccordement de port au VLAN dépend

du trafic. • Le type de règle détermine quel type de trafic initie le raccordement

dynamique d’un port à un VLAN. Si une trame du trafic reçu sur un port satisfait une des règles définies, le port devient membre du VLAN correspondant.– Règles par DHCP : Générique, basée sur MAC ou bloc de MAC

Adresse, ou Port.– Règle par Mac– Règle par adresse réseau– Règle par protocole– Règle par port– Règles conditionnelles : Conditions basées sur MAC-port-Adresse IP-

port-protocole• VLANs authentifiés • Un port peut-il être membre de plusieurs VLANs ?


N VESISPorts mobile et mobile tagging (I)

• Les ports mobiles sont les seuls à être éligibles pour un raccordement dynamique de VLAN.

• Selon le trafic, les règles définies ou le VLAN ID tag, un port mobile peut devenir membre de plusieurs VLANs.

• Example de configuration> vlan port mobile 1> vlan 4 mobile-tag enable

Note : La notion de “Ports mobile et mobile tagging” fait partie de la terminologie d’Alcatel pour les Omniswitchs,cependant il est possible que vous retrouviez le même concept sous un nom différent auprès d’autres équipementiers.

P1

P2…

Mobile ports

Vlan 2 IPVlan 3 IPXVlan 4 with tagging enabledVlan 5 ip address

Rules


N VESISPort mobile et mobile tagging (II)

• Un port mobile peut devenir membre de plusieurs VLANs sous les conditions suivantes :– Le port mobile reçoit des trames sans tag, mais qui satisfont une ou

plusieurs des règles dynamiques. Par exemple, si un port mobile reçoit des trames IP et IPX et qu’il existe une règle par protocole IP en VLAN 10 et une règle par protocole IPX en VLAN 20, le port mobile est dynamiquement raccordé aux deux VLANs.

– Le port mobile reçoit des trames avec des tags 802.1Q qui indiquent des VLANs avec « mobile tagging » activé. Par exemple si le port mobile reçoit des trames avec des tags pour des VLANs 10, 20 et 30 et que ces VLANs ont le « mobile tagging » activé, le port mobile sera raccordé dynamiquement aux VLANs 10, 20 et 30.


N VESISRègle par adresse réseau

• Il y deux types de règles par adresse réseau : IP et IPX.– La règle par adresse IP qui détermine le raccordement du port basé sur

l’adresse IP du poste.– La règle par adresse IPX qui détermine le raccordement du port basé sur

le réseau IPX du poste et le type d’encapsulation utilisé.• Exemple de configuration

> vlan 100 name “admin” ip 10.1.1.0 255.255.255.0

DHCP server

Switch

AdminR&DIP traffic, from/to

subnet 10.1.1.0

The traffic is assigned to the VLAN “admin”, if thereceived traffic has a source IP address in the “Admin” subnet.


N VESISRègle par DHCP (I)

• Quel VLAN pour un PC qui vient de booter et qui n’a pas encore une adresse IP?

• Les règles par DHCP sont utilisées pour classifier le trafic DHCP dans le but de transmettre et recevoir les trames DHCP entre le client et le serveur.

• Le port sort du VLAN DHCP lorsque le processus de DHCP est terminé.• Le poste a maintenant une adresse IP, mais ne fait partie d’aucun VLAN. • Pour qu’il puisse communiquer avec le réseau, il est nécessaire que son trafic

satisfasse une règle dynamique afin d’être raccordé à un autre VLAN.

DHCP server

Switch

Start-UpAdmin DHCP traffic

If the DHCP traffic satisfies the DHCP rule the port temporarily is assigned to the VLAN “Start-Up”.


N VESISRègle par DHCP (II)

• Les règles par DHCP peuvent être génériques ou basées sur l’adresse MAC ou bloc de MAC ou port.

• Exemple de configuration> vlan 200 name “Start-Up” dhcp mac range 00:DA:95:00:59:10 00:DA:95:00:59:9F> vlan 100 name “admin” ip 10.1.1.0 255.255.255.0

DHCP server

Switch

Start-UpAdmin

IP traffic, from/to

subnet 10.1.1.0

The port is dropped out of the “start-Up” VLan. It will join VLan “Admin” as it satisfies anotherVLan rule.


N VESISRègle par MAC

• Le port est raccordé au VLAN, si l’adresse MAC du poste correspond à celle spécifiée dans la règle.

• Exemple de configuration pour la règle par bloc de MAC :> vlan 100 name “admin” mac range 00:00:da:00:00:01 00:00:da:00:00:09

DHCP server

Switch

AdminR&D

The port is assigned to the VLAN “admin”, if thereceived traffic has the source MAC address as specified in the rule.


N VESISRègle par protocole

• Le port est raccordé au VLAN, si le protocole utilisé par le poste correspond à celui spécifié dans la règle. Les protocoles possibles sont : IP, IPX, AppleTalk, DECNet ou selon un critère défini par l’usager.

• Exemple de configuration :> vlan 100 name “admin” protocol ip> vlan 200 name “R&D” protocol dsapssap f0/f0

DHCP server

Switch

AdminR&D IP traffic

The port is assigned to the VLAN “admin”, if thereceived traffic is IP.


N VESISRègle par port

• Avec la règle par port, le trafic n’est pas requis pour initier un raccordement dynamique de port mobile au VLAN.

• Ces règles sont utilisées le plus souvent pour des équipements passifs comme les imprimantes, qui ont besoin de faire partie de VLan afin de recevoir le trafic transmis par le VLan (exemple : les requêtes d’impression).

• Enfin, la règle par port s’applique seulement au trafic sortant et ne classifie pas le trafic entrant.

• Exemple de configuration> vlan 100 name “admin” port 2> vlan 200 name “R&D” port 2

PRINTER

Switch

AdminR&D

The port is assigned tothe VLANs “admin” and “R&D”, only for their outgoing broadcast traffic.

P2


N VESISRègles conditionnelles

• Le port est raccordé au VLAN, si toutes les conditions spécifiées dans la règle sont satisfaites.

• Le critère est basé sur une combinaison des conditions concernant l’adresse MAC- le port – l’adresse IP ou le protocole.

• Exemple de configuration :> vlan 100 name “admin” binding mac-ip-port 00:00:da:59:0c:12 21.0.0.10 5

DHCP server

Switch

AdminR&D

The port is assigned to the VLAN “admin”, if thetraffic is received on port 2 AND has the source IP and MAC address as specified in the rule.

p5


N VESISAuthenticated VLANs

• Les VLANs authentifiés contrôlent l’accès des usagers aux ressources réseau basé sur une procédure de login et le raccordement de l’usager à un VLAN.

Source [alcatel-man]


N VESISIEEE 802.1X

• 802.1X permet aux postes physiques connectés sur un commutateur d’être authentifiés en utilisant le protocole EAP (Extended Authentication Protocol).

• Si l’authentification réussit et que le serveur d’authentification a retourné dans sa réponse un VLAN Id, le port sera assigné au VLAN correspondant.

Source [alcatel-man]


N VESISAgrégation de liens (I)

Switch CSwitch BVLAN 2

VLAN 3

VLAN 2

VLAN 3

802.1QApplied to the above logical link

One logical link of 300Mbps

• L’agrégation de liens permet la combinaison de plusieurs liens physiques en un lien virtuel offrant la somme des bandes passantes des liens qui le constituent. Ce lien virtuel peut être considéré comme un lien physique à part entière. Il est possible de le configurer de la même manière que pour les ports physiques avec des fonctionnalités de type : VLAN, 802.1Q, QoS, etc.


N VESISAgrégation de liens (II)

• Avantages– La répartition de charges et la redondance. – Bande passante modulaire.

• Deux types– Agrégation de liens statique : souvent propriétaire avec des

restrictions sur les paramètres de port à chaque bout.– Agrégation de liens dynamique basée sur IEEE 802.3ad LACP

(Link Aggregation Control Protocol). Le protocole négocie les paramètres optimaux pour les deux bouts.

N VESIS

Protocole Spanning Tree

•802.1D Spanning Tree Standard (STP)•802.1w Spanning Tree Rapide (RSTP)•802.1s Spanning Tree Multiple (MSTP)


N VESISLes commutateurs face à des boucles réseaux

LAN1

LAN2

switch1 switch2

PC-AMac-A

PC-B

Port 1

Port 2 Port 2

Port 1

Switch 2Forwarding table

Mac-A Port 2Mac-A Port 1...

Switch 1Forwarding table

Mac-A Port 1Mac-A Port 2...

DA: mac-a SA: mac-b ......

• On parle de boucle dans un réseau, lorsqu’il y a plus d’un chemin de communication entre deux nœuds. Dans un réseau commuté, les boucles rendent le réseau indisponible à cause de : – Les tempêtes de diffusion ou de broadcast.– Le trafic Unicast qui boucle.

• Cependant, un bon réseau doit aussi inclure une redondance des matériels pour fournir un chemin alternatif en cas de panne.

• La solution à ce problème est le protocole spanning tree.


N VESISSpanning Tree

• Il est utilisé pour créer une topologie sans boucle dans un réseau commuté.

• L’algorithme a un temps de convergence d’approx. 30 sec, temps pendant lequel la communication reste bloquée.

• Un changement de topologie peut initier l’exécution de l’algorithme, ce qui peut causer une interruption temporaire du trafic.

• Le protocole spanning tree est basé sur des normes développées par IEEE et a évolué pour répondre aux nouveaux besoins des réseaux commutés :– 802.1D Standard Spanning Tree Algorithm and Protocol (STP)– 802.1w Rapid Spanning Tree Algorithm and Protocol (RSTP)– 802.1s Multiple Spanning Tree Algorithm and Protocol (MSTP)


N VESIS802.1D Spanning Tree (I)

Switch A

Switch C0:00-00-00-00-00-0C

0:00-00-00-00-00-0A

10MbpsPath cost = 10

100MbpsPath cost = 1

100MPSPath cost = 1

Switch B0:00-00-00-00-00-0B

RootPath cost = 10

Bridge ID

Root Bridge

P1 P2

P1 P1

P2 P2

Root Port

Root port

DesignatedBridge for LAN BC

Designatedport

Designatedports


N VESIS

Vue générale de l’algorithme• Les BPDUs (Bridge PDU) transportent des informations du protocole et sont échangés

régulièrement entre les commutateurs. Le but principal est de déterminer quels ports doivent se bloquer afin d’éliminer les boucles réseau.

• La topologie sans boucle que l’algorithme crée est une topologie en arbre avec à la racine un commutateur élu root bridge. L’algorithme en outre garantit que le chemin entre un noeud et la racine est le chemin le plus court (en terme du coût ou de la bande passante). Le calcul de cette topologie passe par :

• L’élection de root bridge pour le domaine de diffusion : – Le commutateur avec le plus petit Bridge ID est le root bridge.

• La sélection de designated bridge pour chaque segment :– C’est le commutateur qui fournit le chemin le plus court du segment jusqu’à la racine. Le port

de ce commutateur sur le segment en question s’appelle designated port.• Le choix de root port pour chaque commutateur :

– Chaque commutateur non-root va sélectionner un root port qui aura le chemin le plus court vers la racine.

• Les root ports ou designated ports vont passer en mode Forwarding.• Tous les ports autres que root ports ou designated ports vont passer en mode Blocking.

802.1D Spanning Tree (II)


N VESIS

• Les modes des ports sur des commutateurs en spanning tree :– Disabled, Blocking, Listening, Learning et Forwarding

• Le temps de convergence de l’algorithme après un changement de topologie est de l’ordre de 30 seconds.

• Rapid spanning tree 802.1W a été développé dans le but de raccourcir ce temps de convergence.

• 802.1W peut converger en moins d’une seconde.

802.1D Spanning Tree (III)


N VESISEt un peu de la poésie

Radia Perlman, l’inventeur de l’algorithme, l’a résumé dans un poème intitulé "Algorhyme“ (une adaptation de "Trees", par Joyce Kilmer) :

I think that I shall never seeA graph more lovely than a tree.A tree whose crucial property

Is loop-free connectivity.A tree which must be sure to spanSo packets can reach every LAN.First the Root must be selected

By ID it is elected.Least cost paths from Root are tracedIn the tree these paths are placed.

A mesh is made by folks like meThen bridges find a spanning tree.


N VESISVLANs multiples avec une seule instance de spanning tree pour tous les VLANs

Switch A


VLAN 3

VLAN 2

VLAN 2

VLAN 3802.1Q

• Il y a une seule instance de Spanning tree pour tous les VLANs.• Problème

– Un changement de topologie dans un des VLANs affecte tous les autres.– Cette instance de spanning tree n’a aucune connaissance des VLANs individuels

ni de leurs topologies.– Dans certaines topologies, le trafic à l’intérieur d’un VLAN peut être interrompu à

cause des ports bloqués par spanning tree.• Solution possible

– Une instance de spanning tree par VLAN.


N VESISVLANs multiples avec une instance de spanning tree par VLAN

Switch A


VLAN 3

VLAN 2

VLAN 2

VLAN 3802.1Q

BPDU-vlan2

BPDU-vlan3

• Chaque VLAN a sa propre instance de spanning tree.• Chaque instance de spanning tree crée une topologie sans boucle sur la base de la

topologie du VLAN auquel elle est associée.• Problème

– Le protocole spanning tree introduit un overhead dans le réseau dû à l’échange régulier des BPDUs et l’exécution de son algorithme. Une instance de spanning tree par VLAN multiplie ce problème par le nombre de VLANs.

• Solution : Multiple spanning tree protocol 802.1s.


N VESIS802.1s Spanning Tree Multiple

Switch A

Switch CSwitch B 802.1Q

VLAN 1-20 VLAN 1-20

VLAN 1-20STG1: VLAN 1-10STG2: VLAN 11-20

802.1Q802.1Q

STG1: Root BridgeSTG2: Root Bridge

Blocked for VLAN 1-20

• Le protocole Spanning Tree Mutiple (MST) permet à l’administrateur de distribuer des VLANs d’un réseau commuté entre plusieurs instances de spanning tree.

• Chacune de ces instances est appelée un Spanning Tree Group (STG).


N VESISSpanning Tree et la distribution de charge

Switch A

Switch CSwitch B 802.1Q

VLAN 1-20 VLAN 1-20

VLAN 1-20STG1: VLAN 1-10STG2: VLAN 11-20

802.1Q802.1Q

STG2: Root BridgeSTG1: Root Bridge

Blocked for VLAN 11-20 Blocked for VLAN 1-10

• Avoir plusieurs instances de spanning tree dans un réseau et une sélection judicieuse (par configuration) de root bridge pour chaque instance, offre la possibilité de la distribution de charge entre les commutateurs et sur les liens qui les interconnectent.

N VESIS

QoS

•Concepts généraux•Les modèles de la QoS

802.1pIntServDiffServ

•VOIP et QoS •Exemple d’implémentation de la QoS sur des commutateurs


N VESISConcepts généraux

• La qualité de service (QoS) se réfère à la qualité de la transmission et la disponibilité de service. Elle est mesurable et dans certains cas garantie dans le cadre d’un SLA (service level agreement).

• Mieux supportée par des réseaux à commutation de circuit comme PSTN, ISDN et ATM que par des réseaux à commutation de paquets.

• Les paramètres typiques de la QoS :– La bande passante– La gigue– La perte de paquet – Le délai

• La QoS bout-en-bout nécessite une forme de management bout-en-bout de ressources réseau et le contrôle de l’acceptation des flux entrants (Call Admission Control ou CAC).


N VESISLes normes pour le support de la QoS dans un réseau commuté : 802.1p

La norme au niveau 2• 802.1p

– Identifie la priorité de la trame au niveau 2. – Compréhensible par des commutateurs au niveau 2.– Un commutateur qui implémente 802.1p, classifie et traite le trafic selon

la priorité indiquée.

Tagged Ethernet Frame

Dest MAC Source MAC 802.1Q Tag Protocol Type Data

6 bytes 6 bytes 4 bytes 64-1500 bytes2 bytes

TPI8100

802.1pPriority bits802.1Q Tag VLAN Id

16 bits 3 bits

CFI

1 bit 12 bits


N VESISLes normes pour le support de la QoS dans un réseau commuté : Intserv

Les normes au niveau 3• IETF IntServ (Integrated services)

– Définit une architecture globale pour la QoS bout-en-bout.– Spécifie un certain nombre de classes de service.– L’application doit signaler au réseau les caractéristiques du trafic qu’elle injecte,

ainsi que le niveau de la QoS dont elle a besoin. – Selon ce modèle, les éléments du réseau doivent être capables d’effectuer le

CAC, le contrôle et la classification pour les flux entrant, et de gérer les files d’attente et l’ordonnancement pour le trafic sortant.

• IETF RSVP (Resource Reservation Protocol) est un protocole de signalisation qui a été défini par un groupe de travail différent. Il permet aux applications de signaler leurs besoins en QoS au réseau et initie la réservation des ressources qui y sont nécessaires.

– Problème d’extensibilité (ou montée en charge) si les réservations sont effectuées au niveau de chaque flux individuel.


N VESISLes normes pour le support de la QoS dans un réseau commuté : DiffServ (I)

Les normes au niveau 3 ou niveau IP• IETF DiffServ (Differentiated services)

– Divise le trafic en un petit nombre de classes. Les ressources sont alors allouées par classe.

– La classe de chaque paquet est indiquée directement dans le paquet, au contraire du modèle IntServ où un protocole de signalisation était nécessaire pour communiquer aux nœuds intermédiaires quels flux de trafic avaient besoin d’un traitement de QoS spécial.

– Un domaine Diffserv est un réseau où le comportement par saut (Per-Hop-Behaviour ou PHB) est régi par les même règles de classification et de correspondance.

– Les tables de correspondance sont définies pour garantir la cohérence de la QoS entre un domaine DiffServ et le reste du monde.


N VESISLes normes pour le support de la QoS dans un réseau commuté : DiffServ (II)

• DSCP identifie un comportement par saut (per-hop-behaviour). Jusqu’à 64 code DSCP peuvent être définis. Exemple de comportement par saut :

– Best effort ou le traitement par défaut– Expedited Forwarding

• Les paquets doivent être transmis avec un délai et perte minimum.– Assured Forwarding

• AFxy, où x sélectionne une file d’attente et y détermine la priorité de la classe (drop precedence) à l’intérieur de la file d’attente.

IP Frame Header Version Length TOSType of service

Total length The rest of the IP header

4 bits 4 bits 8 bits 16 bits

DSCPDifferentiated Services

Code Point

Currently unused

6 bits 2 bits


N VESISVOIP et QoS (I) source [qos-melin]

• La qualité de la voix dépend de – La qualité de l’encodage

• La voix est échantillonnée à 8kHz. Soit un échantillon toutes les 125 microsecondes. Avec chaque échantillon codé sur 8 bits, le débit binaire est de 64kb/s. De nombreux algorithmes de compression permettent de réduire ce besoin en bande passante à 16, 8 et même 4kb/s. Cette compression a un impact sur la qualité perçu de la voix.

• L’acceptabilité par l’oreille humaine des différents algorithmes est définie selon le critère MOS (Mean Operational Score).

• Les algorithmes de compression ou Codec : Les plus utilisés sont G.729, G.711.


N VESISVOIP et QoS (II) source [qos-melin]

• La qualité de la voix dépend de – La qualité de l’encodage.– Le délai : 0-300 ms, en excluent l’overhead lié aux algorithmes de

CODEC, le délai d’acheminement ne doit pas dépasser le 200ms.– La gigue : C’est la variation des délais d’acheminement générée

par la variation de charge du réseau. Pour compenser la gigue on peut utiliser des buffers du côté du récepteur, cependant ces buffers ont comme effet non souhaité d’augmenter le délai.

– La perte des paquets : La transmission des informations redondantes peut aider à lutter contre ce problème.

– Echo : Le phénomène d’écho devient sensible aux délais supérieur à 50ms.


N VESISVOIP et QoS (III)

• Est-ce que IP est adapté au transport de la voix?• Caractéristiques de IP

– Protocole niveau 3 sans connexion.– Des paquets appartenant au même flux peuvent emprunter des

chemins différents.– N’est pas initialement conçu pour le transport des applications temps

réel.• De nouvelles normes sont définies pour combler ces lacunes.


N VESIS

Physical links Virtual links - - - - -

VOIP et QoS (IV)

• Exemple de mécanisme de la QoS pour le support de la VOIP– DiffServ

• Classe de trafic associé à la voix : Premium.• PHB : Expedited forwarding.

L3 Switch

Call server

IP phone

RoutedNetwork

Integrated switch in the IP phone vlan

voice

vlandata

DiffServ DomainExpedited Forwarding: Voice. Best Effort : Data


N VESISUne implémentation typique de la QoS Source [alcatel-man]

• Aujourd’hui la plupart des commutateurs fournit le support de la QoS par le biais des files d’attente et de l’ordonnancement pour le trafic sortant.

• La configuration de la QoS se fait en utilisant des règles de QoS ou QoS policy.

• Policy = (Condition, Action).• La condition spécifie les paramètres que le commutateur examinera

dans les flux entrant.• L’action spécifie ce que doit faire le commutateur si un flux entrant

satisfait la condition indiquée dans le QoS policy.


N VESISExemples de conditions dans un QoS PolicySource [alcatel-man]

• Niveau 1– Port source, group de ports sources, port de destination, group de ports

de destination.• Niveau 2

– MAC source, groupe de MAC source, MAC destination, groupe de MAC destination, 802.1p, ethertype, VLAN source.

• Niveau 3– Protocole IP, IP source, IP multicast, IP destination, group de réseau

multicast, ToS, DSCP, Type de ICMP, Code de ICMP.• Niveau 4

– port source TCP/UDP , port de destination TCP/UDP, service, groupe de service, flag TCP.


N VESISExemples d’actions dans un « QoS policy » Source [alcatel-man]

• Accept/Drop– L’action consiste à accepter ou rejeter le flux de trafic.

• Priority– L’action consiste à assigner une priorité spécifique entre 0 et 7

aux flux de trafic. Cette priorité indique au commutateur la file d’attente de sortie à utiliser pour la transmission de ce flux.

• 802.1p ToS/DSCP stamping and mapping.• Maximum Bandwidth

– Spécifie le maximum de la bande passante pour le flux.– Cette action est utilisée pour le contrôle du flux entrant.


N VESISLa configuration d’un QoS policy Source [alcatel-man]

• Exemple de configuration> policy condition cond3 source ip 10.10.2.3> policy action action2 priority 7> policy rule my_rule condition cond3 action action2

Avec my_rule le trafic avec la source adresse IP 10.10.2.3 va être traité avec la priorité 7 et transmis à la file d’attente de sortie correspondante à cette priorité(dans le cas de OS6850/9000).

N VESIS

•Concepts de sécurité•Les attaques et les mécanismes de défense

Au niveau 2Au niveau 3

SécuritéSécurité


N VESISSécurité

• Les techniques utilisées par les pirates réseaux sont devenues de plus en plus sophistiquées avec une portée grandissant des dommages.

• Le modèle OSI, (ainsi qu’un réseau qui y est basé) est seulement aussi robuste que son lien le plus faible et pour cette raison donc une attention égale devrait être apportée à n'importe laquelle de ses couches pour s'assurer que sa structure entière est solide. Source [Cisco-vlan-security]

• Risque = niveau de menace * niveau de vulnérabilité * valeur de l’actif. Source [tao-nsm]

• Le but est de minimiser le risque. • La condition de base est que le réseau doit être défendable. • Les réseaux défendables sont ceux :

– Qui sont physiquement protégés et qui sont inventoriés.– Qui sont conçus avec les concepts de surveillance faisant partie intégrante de la

conception. Les mécanismes de surveillance intégrés permettent une identification de l’état du réseau en état normal, ce qui peut être utilisé comme une référence pour la détection des anomalies.

– Qui limite la liberté de manœuvre des intrus.


N VESIS“Le nombre de fois que quelque chosed’inintéressant se passe est en soi intéressant”. Source [tao-nsm]

• Les caractéristiques des intrus :– Quelques uns d’entre eux sont plus malins que vous.– La plupart est imprévisible.

• Tôt ou tard, la prévention finit par échouer.• Les mécanismes de défense sont basés sur :

– La collecte des statistiques et des données des réseaux, leur analyse et l’envoi de rapport à l’administrateur en cas de problème.

– La détection et réponse aux intrusions.– L’implémentation des procédures d’évaluation, de protection, de

détection et de réponse.


N VESISMenaces et zones de surveillance Source [tao-nsm]

• Pirates externes venant de l’Internet.• Pirates externes venant des segments de réseau sans fil.• Pirates internes venant des segments de réseau filaire.• Pirates internes venant des segments de réseau sans fil.

Access Point

Inernet

DMZ network

WirelessNetwork

Boundary Router

DMZSwitch

InternalSwitch

InternalNetwork

Monitoring zones

data collection

Exemple de dispositif ou mécanisme de collecte de trafic : • Concentrateur de ports

ou hub• Miroirisation de port ou

port mirroring • TAP (Test Access Port)

Equipement spécialisé pour la surveillance applicative

FW


N VESISAttaques au niveau 2Source [cisco-vlan-sec]

Pourquoi s’inquiéter des attaques au niveau 2?• Parce qu’en compromettant une couche inférieure dans le modèle

OSI, il est possible de directement affecter les couches supérieures sans qu’elles remarquent une anomalie.

Exemples d’attaques au niveau 2 : • MAC Flooding Attack: surcharge le commutateur avec plusieurs

adresses MAC pour que sa table d’adresses soit complètement remplie. Ce dernier se comporte alors comme un simple concentrateur et diffuse les trames à tous les postes du réseau. Ces trames peuvent alors être interceptées par des pirates avec un Sniffer.

• Double-Encapsulated 802.1Q/Nested VLAN Attack– Cette attaque permet à l’usager d’un VLAN d’accéder sans autorisation

à un autre VLAN (Fuite entre VLANs).


N VESISExamples of layer 2 attacks (continued)

• ARP Poisoning ou Spoofing– Le pirate trompe l'ordinateur ciblé de l'utilisateur en utilisant son propre

adresse MAC au lieu de celle de la passerelle de réseau. Source [wiki]

– Le trafic de l’ordinateur ciblé vers son passerelle sera alors envoyé vers le poste de pirate. Le pirate à son tour envoie ce trafic vers le passerelle pour que tout se passe inaperçu.

Source [cisco-vlan-sec]


N VESISExamples of layer 2 attacks (continued)

• Attaque par spanning tree– Cette attaque consiste à espionner les BPDU pour obtenir les détails

comme le port Id, bridge Id etc. Puis le pirate génère des Configuration/Topology Change Acknowledgement BPDUs annonçant qu’il est maintenant le root bridge.

– La conséquence de cette attaque peut être une panne complète ou intermittente du réseau dû au fonctionnement erroné du spanning tree.


N VESISAttaques au niveau 3 Source [Cisco-QoS]

• Attaques du type déni de service– Spoofing

• Le pirate prétend fournir un service légitime, mais fournit en fait des informations trompeuses à ses clients.

• La solution est le déploiement des technologies d’authentification et de chiffrement.

– Flooding• Le pirate génère des trames destinées au serveur dans le but

d’épuiser ses ressources.• La solution passe par la détection et le rejet du trafic illégitime ou

par l’utilisation des mécanismes de la QoS.


N VESISExemple d’attaque du type déni de service Source [wiki]

• SYN Flood– Le pirate inonde le serveur par des paquets TCP/SYN. Le serveur

répond à chacun de ces paquets en ouvrant une connexion semi-ouverte et attend la réponse TCP/ACK de la part du client pour chacune de ces connexions. Ces connexions semi-ouvertes consomme des ressources serveurs et limite sa capacité à répondre aux requêtes légitimes.

• Ces attaques peuvent cibler toute sorte d’équipement connecté sur le réseau : les routeurs, les commutateurs, les serveurs web, mail, DNS, etc.

• Dans ce type d'attaque les pirates se dissimulent parfois grâce à des machine-rebonds, utilisées à l'insu de leurs propriétaires. Des machine-rebonds, sont contrôlables par un pirate après infection par un programme de type porte dérobée ou cheval deTroie.


N VESISExemples de mécanismes de protection

• Au niveau de l’administration de réseau– Accès authentifié aux équipements réseau pour les administrateurs.– Et interdiction d’accès pour les autres ou un accès limité dépendant du

profile d’usager.• Au niveau 1

– Accès physique sécurisé aux équipements de réseau.• Au niveau 2

– Authentification des usagers et des postes avant qu’ils puissent accéder au réseau, basée sur 802.1x ou des VLANs authentifiés.

– Restriction d’accès au reseau pour les postes selon les règles de participation aux VLANs.

– Limiter le temps pendant lequel l‘apprentissage des adresses MAC est permis.

– Définir une méthode pour faire face au trafic non autorisé.• Au niveau 3 et au dessus typiquement les pare-feux et les IDS (Intrusion

detection systèmes) sont déployés.• Cependant pour répondre aux problèmes grandissant de la sécurité des

réseaux, il faudra définir et implémenter un système de surveillance réseaux dont font partie les mécanismes décrits ci-dessus.


N VESISPrécisions sur les pare-feux source [wiki]

• Un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique.

• Il existe plusieurs classes de pare-feu : – Pare-feu sans états (stateless firewall)

• Effectue un filtrage basique des paquets.• Chaque paquet est examiné indépendamment des autres.

– Pare-feu à états (statefull firewall)• La trace des sessions et connexions est conservée.• Les décisions de filtrage dépendent ne seulement de chaque paquet

mais aussi de l’état des connexions.• Le pare-feu doit connaître les protocoles pour pouvoir détecter des

anomalies dans les échanges.


N VESISPrécisions sur les pare-feux source [wiki]

– Pare-feu applicatif • Le filtrage applicatif est comme son nom l'indique réalisé au niveau

de la couche Application. • Cela implique que le pare-feu connaisse toutes les règles

protocolaires des protocoles qu'il doit filtrer. – Pare-feu authentifiant

• Un pare-feu authentifiant réalise l’authentification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par IP, et suivre l'activité réseau par utilisateur.

– Pare-feu personnel


N VESISPrécisions sur les IDS source [wiki]

• Intrusion Detection System ou IDS est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte).

• Il existe deux grandes familles distinctes d’IDS :– Les N-IDS (Network Based Intrusion Detection System), qui surveillent

l'état de la sécurité au niveau du réseau.• S’appuie sur des bibliothèques de signature d’attaques.

– Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes.

• S'appuie sur une analyse comportementale.• Un H-IDS se comporte comme un daemon ou un service standard

sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme.

• Un autre type d'H-IDS cherche les intrusions dans le « noyau » (kernel) du système, et les modifications qui y sont apportées.


N VESISAnnexe - Références

[alcatel-man] Alcatel Omniswitches User Manuals

[nortel-man] Nortel ERS8600 User Manuals

[cisco-qos]End-to-End QoS Network Design, 2005, Tim Szigeti & Christina Hattingh, Cisco Press

[cisco-vlan-sec] VLAN Security white Paper, Cisco Systems http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml

[cisco-voip] QoS for VOIP white paper, Cisco Systems http://www.cisco.com/en/US/tech/tk652/tk698/technologies_white_paper09186a00800d6b73.shtml

[qos-melin] Qualité de service sur IP, 2001, Jean-Louis Mélin, Eyrolles

[tao-nsm] The Tao of network security monitoring, 2006, Richard Bejtlich, Addison Wesley

[wiki] Wikipedia http://en.wikipedia.org/wiki/

Documents

vlan-pdf