1 fonctionnalités avancées des vlans appert fabien bouvet adrien chaveron nicolas -...
TRANSCRIPT
1
Fonctionnalités avancées des VLANs
APPERT FabienBOUVET Adrien
CHAVERON Nicolas-
Ingénieurs2000IR - 3ème année
-Février 2005
Exposé de « Nouvelles Technologies Réseaux »
2
Fonctionnalités avancées des VLANs
• VLAN
• 802.1q
• 802.1s
• 802.1x
Table des matières
3
VLAN - Théorie 1/2
Définition : Virtual Local Area Network
Utilité : Plusieurs réseaux virtuels sur un même réseau physique
VLAN A VLAN B LAN A LAN B
=
4
VLAN - Théorie 2/2
3 types de VLAN :
• par port Niveau 1
• par adresse MAC Niveau 2
• par sous-réseau / protocole Niveau 3
Notions essentielles :
• VLAN par défaut toujours présent
• Technologie en standard sur les switchs actuels
• Configuration au niveau de l’équipement
5
VLAN – niveau 1
VLAN de niveau 1 VLAN par port
1 port du switch dans 1 VLAN
configurable au niveau de l’équipement
90% des VLAN sont des VLAN par port
VLAN A VLAN BVLAN PAR DEFAUT
6
VLAN – niveau 2
VLAN de niveau 2 VLAN par adresse MAC
VLAN en fonction des adresses MAC
configurable au niveau de l’équipement
indépendance de la localisation de la station
difficultés de poser des règles de filtrages précises
+
-
7
VLAN – niveau 3
VLAN de niveau 3 VLAN par sous-réseau ou par protocole
VLAN en fonction des adresses IP sources des datagrammes ou du type de protocole
configurable au niveau de l’équipement
séparation des flux
dégradation des performances
+
-
8
VLAN - Démonstration
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP ARP
ARP
ARP
@MAC serveur @IP
VLAN PAR DEFAUT
Situation 1 : VLAN DEFAULT
9
VLAN - Démonstration
Situation 1 : VLAN DEFAULT
Adrien
Serveur Nicolas
Sniffer
Ping serveur
ICMP
ICMP
ICMP
ICMP
VLAN PAR DEFAUT
Ping ok
10
VLAN - Démonstration
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <n°port>
Sniffer
# vlan <id_vlan> name <nom_vlan>
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
11
VLAN - Démonstration
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP
Ping serveur : Destination unreachable
VLAN A VLAN PAR DEFAUT
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
12
VLAN - Démonstration
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <n°port>
Sniffer
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
13
VLAN - Démonstration
Adrien
Serveur Nicolas
Sniffer
VLAN A VLAN PAR DEFAUT
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
Ping ok
14
VLAN - Avantages
Finances :
• 1 seul équipement pour plusieurs réseaux
Performances :
• Permet à des utilisateurs éloignés géographiquement de partager des données
• Limite la diffusion des broadcasts
Sécurité :
• Séparation des flux entre différents groupes d’utilisateurs
15
802.1Q - Problématique 1/2
Notion de vlan au niveau du commutateur
Mais jusqu’à présent, aucune notion de vlan au niveau Ethernet ni à des niveaux supérieurs
Donc comment propager l’appartenance à un VLAN d’un commutateur vers un autre ?
Problématique : lorsqu’une trame circule d’un commutateur à un autre, comment identifier son appartenance à un vlan ?
16
802.1Q - Problématique 2/2
VLAN ADEFAULT VLAN
DEFAULT VLAN VLAN A
17
802.1Q - Théorie 1/2
• Cela implique donc :
nécessité de définir les mêmes VLANs sur chaque commutateurs (même VLAN Id)
les trames doivent être taggées lors du transfert
Objectif : Transport de plusieurs VLANs sur un lien unique, par exemple :
Commutateurs / Commutateurs Commutateurs / Serveurs
18
802.1Q - Théorie 2/3
VLAN A
Tags sur les trames
VLAN ADEFAULT VLAN
DEFAULT VLAN VLAN A
19
• Extension du format Ethernet, ajout de 4 octets
802.1Q - Théorie 3/3
• Type : « 0x8100 » pour le protocole 802.1Q• 802.1Q :
Priority (3 bits)CFI (1 bit)VID (12 bits)
20
VLAN ADEFAULT VLAN
DEFAULT VLAN
802.1Q – Démonstration 1
VLAN A
Adrien
Nicolas Serveur
21
VLAN ADEFAULT VLAN
DEFAULT VLAN
802.1Q – Démonstration 2
VLAN A
Adrien
Nicolas Serveur
22
VLAN ADEFAULT VLAN
DEFAULT VLAN
# vlan <id_vlan> tagged <n°port>
802.1Q – Démonstration 3
VLAN A
Tag 802.1Q
Adrien
Nicolas Serveur
23
VLAN ADEFAULT VLAN
DEFAULT VLAN
802.1Q - Démonstration 4
VLAN A
Adrien
Nicolas Serveur
24
VLAN ADEFAULT VLAN
DEFAULT VLAN
802.1Q – Démonstration Snif Snif
VLAN A
Tag 802.1Q
Sniffer
Nicolas
Adrien
Serveur
25
Architecture réseau des entreprises importantes :
• nombreux vlans • 802.1Q• redondance de niveau 2 : STP• liens souvent surdimensionnés
=> avantages des vlans et du STP : 802.1s
802.1s - Introduction
26
• 802.1s = MSTP = PVST
• Une instance STP par vlan au lieu d’une par boite
• Complexe à mettre en place (au niveau conception)
• Technologie récente, pas encore supportée par tous les matériels
802.1s - Théorie
27
802.1s – Objectifs / Limitations
Objectifs :
- Meilleure utilisation des liens- Temps de convergence de 3 secondes- Redondance de niveau 2 accrue
Limitations :
- Matériels limités en nombre d’instances- Peu de softs snmp savent gérer 802.1s
28
802.1s – Exemple sans MSTP (1/2)
2/ Configuration 802.1q
3/ Configuration STP
1/ Configuration VLANs vlan vertvlan bleuvlan rouge
vlan vertvlan bleuvlan rouge
vlan vertvlan bleuvlan rouge
R
29
802.1s – Exemple avec MSTP (2/2)
1/ Configuration instances
Instance #1Instance #2Instance #3
Instance #1Instance #2Instance #3
Instance #1Instance #2Instance #3
2/ Configuration mapping
3/ Configuration root bridges: vlan vert: vlan bleu: vlan rouge
: vlan vert: vlan bleu: vlan rouge
: vlan vert: vlan bleu: vlan rouge
R
RR
30
802.1x - Introduction
• Permet l’élaboration de mécanismes d’authentification et d’autorisation pour l’accès au réseau
• Se développe grâce au WiFi
• Norme développée à l’origine pour les VLANs
=> Attribution d’un VLAN en fonction de l’identification
31
802.1x - Architecture
Serveur
Switch d’accèsClient 802.1x
Supplicant Authenticator Authentication Server
• Avant authentification : seul trafic nécessaire à l’authentification est permis• Après authentification : tout trafic
32
802.1x - Protocoles
• EAP au dessus du réseau local : EAPOL (EAP over LAN)• EAP peut encapsuler plusieurs types de protocoles d’authentification :
• MD5• TLS• TTLS
Serveur Radius
Switch d’accèsClient 802.1x
EAPoL Radius
• Le commutateur joue le rôle de relais
• Le protocole Radius encapsule les messages EAP• Le serveur Radius pourra s’appuyer soit sur sa base de donnée interne, soit sur un annuaire LDAP
33
802.1x – Démonstration
‘ Activer l’authentification 802.1x sur le port 23 ’aaa port-access authenticator 23aaa port-access authenticator active‘ Définir le serveur radius, la clé d’échange et le protocole de communication ’radius-server host 10.0.0.1radius-server key clerezoaaa authentication port-access eap-radius
Serveur FreeRadius SwitchNicolas
Adrien
• Le fichier ‘radiusd.conf’ajouter l’authentification eap
• Le fichier ‘client.conf’déclarer les switchs qui feront des requêtes vers le serveur
• Le fichier ‘users’contient les informations de chaque utilisateur
- login- mot de passe- vlan affecté- etc…
• Standard sous XP, SP3 sous 2000• Xsupplicant sous Linux
‘ Vérification des authentifications ’Switch1# show port-access authenticator
34
Ze End