Ed 03/95 PAQ 1530 NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE. OBJET : CONFIGURATION DU VLAN (802.1q) SUR LES ÉQUIPEMENTS IP DE L'OmniPCX 4400

Transcription

1 Ed 03/95 PAQ 1530 COMMUNICATION TECHNIQUE N TC0295 Date : Nb de pages : 33 URGENTE (FLASH PRODUIT) NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE OBJET : CONFIGURATION DU VLAN (802.1q) SUR LES ÉQUIPEMENTS IP DE L'OmniPCX 4400 Ce document décrit la possibilité de configurer ou non le VLAN (Virtual Local Area Network) au niveau des équipements IP de l suivant les différentes versions. Des exemples sont fournis afin d expliciter l utilité de gérer des VLAN au niveau d un V1S. 1

2

3 CONFIGURATION DU VLAN (802.1q) SUR SOMMAIRE 1. BUT DE CE DOCUMENT VLAN AU SEIN DES EQUIPEMENTS IP DE L OMNIPCX p et 802.1q au niveau des équipements IP de l Mise en service du VLAN dans les IP Phones V1S Marquage VLAN avant l initialisation Marquage VLAN après l initialisation EXEMPLES DE CONFIGURATION Première configuration Configuration du switch Configuration des équipements IP Initialisation du V1S Après l initialisation du V1S Deuxième configuration Configuration du switch Configuration des équipements IP Initialisation du V1S Après l initialisation du V1S Priorité RESUME...11 ANNEXES ANNEXE 1 - INFORMATIONS SUR VLAN ET 802.1q ANNEXE 2 - TRACES SNIFFER Ed TC0295

4 CONFIGURATION DU VLAN (802.1q) SUR TC Ed

5 CONFIGURATION DU VLAN (802.1q) SUR 1. BUT DE CE DOCUMENT Ce document décrit la possibilité de configurer ou non le VLAN (Virtual Local Area Network) au niveau des équipements IP de l suivant les différentes versions. Des exemples sont fournis afin d expliciter l utilité de gérer des VLAN au niveau d un V1S. Note Un rappel sur la notion de VLAN et du 802.1q est donné en Annexe VLAN AU SEIN DES EQUIPEMENTS IP DE L p et 802.1q au niveau des équipements IP de l Les équipements concernés sont : IP Phone V1/V1S, LIOE et TSC_LIOE, INT IP A/B. Les CPU ne marquent pas les trames. Le marquage des trames 802.1q et 802.1p des flux sortants (signalisation et voix) n'est effectué qu'après initialisation des équipements IP à l'exception du V1S lorsque le marquage est activé dans la mémoire flash. Au niveau du PABX, l'activation du 802.1q et la valeur de la priorité se gèrent dans les catégories de service IP. La valeur de cette catégorie de service est renseignée dans le domaine IP auquel l'équipement appartient. A partir de la Release 4.1.1, il est possible de gérer un numéro de VLAN dans la mémoire flash des TSCIP V1S (Fast IP Enabler ; référence : 4098 FRE). Si la gestion du numéro de VLAN a été activée dans la mémoire flash du V1S, se reporter au 2.2. Le tableau ci-dessous résume les valeurs possibles de VLAN Id sur les équipements IP de l OmniPCX 4400 suivant les versions. IP Phone V1S (cas où le marquage dans la mémoire Flash de l'ip Phone n'est pas activé) entre 0 et 4095 IP Phone V1 LIOE et TSC-LIOE (Note) INT IP A/B R3.2 R4.x Note Pour la carte LIOE, les flux de signalisation H225 et H245 ne sont pas marqués. = 0 (Valeur non configurable) Ed TC0295

6 CONFIGURATION DU VLAN (802.1q) SUR 2.2. Mise en service du VLAN dans les IP Phones V1S Les IP Phones peuvent envoyer les trames : Ethernet RFC 894 : pas de VLAN-Id de géré, avec le champ 802.1q avec un VLAN-Id de 0, avec le champ 802.1q avec un VLAN-Id différent de 0. Un nouveau menu sur l IP Phone est disponible pour gérer un numéro de VLAN qui restera stocké dans la mémoire flash des V1S. Lors de l'initialisation du poste, taper successivement sur les touches ou Menu puis sur. Ensuite sélectionner les rubriques : 2 "IP Parameters" 7 "Default VLAN" Par défaut : 1 "tag disabled (pas de VLAN)" sinon pour gérer un numéro : 1 "Tag enabled" 2 "VLAN Id" Ce numéro de VLAN doit être compris entre 0 et Par défaut, aucun marquage n est réalisé. Rappel Le numéro de VLAN n'est gérable dans la mémoire flash des V1S qu'à partir de la Release 4.1.1, soit une version de binaire supérieure ou égale à Marquage VLAN avant l initialisation Une fois le marquage activé sur l IP Phone, ce numéro de VLAN est appliqué à tout trafic sortant jusqu à l initialisation de l IP Phone. Par contre, la priorité (802.1p) ne peut pas être spécifiée au niveau de l IP Phone. La valeur par défaut qui est 0 est utilisée lors de l initialisation Marquage VLAN après l initialisation Le PABX renvoie l information 802.1p contenu dans la catégorie de service IP associée au poste. Cette information n est pas enregistrée dans la mémoire flash de l IP Phone. Le tableau suivant décrit le comportement des trames sortantes de l IP Phone suivant son numéro de VLAN et celui sur le PABX une fois l initialisation achevée : TC Ed

7 CONFIGURATION DU VLAN (802.1q) SUR Configuration TSCIP V1S Configuration PABX Pas de VLAN VLAN Id = y (pour Release 4.1.1) Pas de VLAN Pas de marquage VLAN = y Prio = 0 VLAN Id = 0 Prio = p VLAN = x Prio = p (X 0 pour Release 3.2 uniquement) Durant l'init: Pas de marquage Après l'init: VLAN Id = 0 Prio = p Durant l'init: Pas de marquage Après l'init: VLAN Id = x Prio = p Durant l'init: VLAN Id = y Prio = 0 Après l'init: VLAN Id = y Prio = p Rappel Au niveau du PABX, l activation du 802.1q et la valeur de la priorité se gèrent dans les catégories de service IP. La valeur de cette catégorie de service est renseignée dans le domaine IP auquel l IP Phone appartient. IMPORTANT Le VLAN n est pas configurable dans la mémoire flash des TSCIP V1 (IP Enabler ; Référence : 4098 RE). 3. EXEMPLES DE CONFIGURATION Les 2 configurations suivantes ont pour but d expliciter l utilité de gérer des VLAN sur un switch et au niveau d un IP Phone TSCIP V1S. Le switch utilisé est un Alcatel OmniStack Sur ce switch, il n est pas possible de configurer des VLAN par MAC adresses. La configuration de VLAN par port a donc été réalisée. Par défaut, tous les ports appartiennent au VLAN1 : le VLAN par défaut (PVID Primary VLAN-ID) des ports est configuré à 1 et la priorité à 0. Le 6024 est un commutateur de niveau 2 (donc pas de routage). Les 6024 savent recevoir et émettre à la fois des trames tagguées (marquées) et non tagguées sur un même port. Ed TC0295

8 CONFIGURATION DU VLAN (802.1q) SUR RAPPEL DU PRINCIPE DU MARQUAGE DES TRAMES Trafic Entrant Quand une trame non tagguée ou avec un numéro de VLAN à 0 arrive sur un port, elle est traitée par le PVID (Primary VLAN-ID) "X" du port. Cela signifie que le switch cherche le port destinataire de cette trame parmi ceux appartenant au VLAN X. Une trame tagguée entrante avec le VLAN à Y cherche le port parmi ceux du VLAN Y. Trafic Sortant Si le numéro de VLAN de la trame qui doit sortir d un port du switch est égal au PVID de ce port, la trame est émise non tagguée; sinon elle est émise tagguée. Note Les trames issues des PC utilisés dans les exemples ci-après ne sont pas taggués Première configuration La configuration suivante a pour but d expliquer pourquoi nous gérons des VLAN différents sur les ports d un switch. Les traces Sniffer auxquelles il est fait référence sont décrites en Annexe 2. Port 1 Port 4 Port 5 Port 7 Port 8 PVID3 PVID3 PVID3 PVID2 PVID2 VLAN 3 VLAN 3 VLAN 3 VLAN 2 VLAN 2 V1S INTIP A CPU Configuration du switch PC1 PC2 Port 1 Port 4 Port 5 Port 7 Port 8 PVID VLAN TC Ed

9 CONFIGURATION DU VLAN (802.1q) SUR Configuration des équipements IP L INT IP A et l IP Phone sont par défaut dans le "Domaine IP" 0 qui pointe sur la "Catégorie de service IP" 0. Configuration de la QoS dans : Chemin d'accès : mgr/ip/catégorie de service IP TOS/Diffserv (valeur par défaut 0) : q (valeur par défaut : non) : oui 802.1p (valeur par défaut 7) : 5 VLAN-Id (valeur par défaut 0) : ne peut être changé en R4.1.1 Aucun VLAN-Id n a été géré au sein de l IP Phone. Le VLAN est géré par le switch (marquage implicite) et non par la trame (marquage explicite) Initialisation du V1S 1 V1S essaie de joindre son serveur TFTP. Une requête ARP est réalisée par le V1S afin de connaître l adresse MAC correspondante à l adresse IP du serveur TFTP (broadcast) (voir Annexe 2 - SNIFFER 1). Les trames entrantes sur le port 1 ne sont pas tagguées. Le port 1 va les tagguer avec son numéro de PVID, c'est à dire 3 (marquage implicite). Cette requête ARP est faite vers tous les ports du switch ayant un VLAN positionné à 3. Dans notre cas, cette requête est faite vers les ports 5 et 4 ; le numéro de VLAN de la trame est égal au PVID des ports 5 et 4 : les trames sortantes des ports 4 et 5 ne sont donc pas tagguées (voir Annexe 2 - SNIFFER 2 et 3). Les autres équipements, ici les PC, ne sont pas quant à eux "pollués" inutilement par cette requête. En effet ils sont connectés à des ports appartenant au VLAN 2. Si tous les ports du switch étaient dans le même VLAN-Id, cette requête se réaliserait sur tous les ports du switch. Par cette première requête, on comprend déjà l intérêt de gérer des VLAN sur un switch : limiter la diffusion de trames vers un groupe spécifique. 2 Le serveur TFTP répond (ici c est la CPU). La CPU ne taggue pas. Le port 5, sur lequel elle est connectée, tagguera cette trame de réponse à la requête ARP, avec un numéro de VLAN correspondant au PVID du port, c est à dire 3. Cette trame, qui n est pas une trame de diffusion, est directement envoyée sur le port 1 (voir Annexe 2 - SNIFFER 4). 3 Le V1S fait des requêtes TFTP vers la CPU afin de récupérer ses 3 fichiers (lanpbx.cfg, bintscips, starttscip). Ses trames sont directement envoyées vers le port où se trouve la CPU. Les trames de réponse de la CPU sont directement envoyées vers le port où se trouve le V1S. 4 La CPU annonce à l INT IP A par le lien C1, que l IP Phone qui a l adresse est prêt à dialoguer avec elle. 5 L INT IP A lance une requête ARP afin de trouver l adresse MAC correspondante à l adresse IP du V1S. Les trames entrantes sur le port 4 sont tagguées à 0 (voir Annexe 2 - SNIFFER 5). Le Ed TC0295

10 CONFIGURATION DU VLAN (802.1q) SUR port les taggue avec son numéro de PVID, c'est à dire 3. Cette requête ARP est faite vers tous les ports du switch ayant un VLAN positionné à 3. Dans notre cas, cette requête est faite vers les ports 5 (où est connectée la CPU) et 1 (où est connectée le V1S). Les autres équipements ne sont quant à eux pas "pollués" inutilement par cette requête. La trame de réponse du V1S est directement envoyée vers le port de l INT IP A : en effet ce n est pas une trame de diffusion. Note Les PC ne peuvent pas "pinguer" les équipements IP de l'. En effet, les trames venant du PC1 ne sont pas des trames tagguées. Le port 7 sur lequel il est connecté va tagguer ses trames avec son numéro de PVID, c est à dire 2. Le switch envoie les trames vers les ports du switch qui ont un numéro de VLAN à 2. Aucun équipement IP de l' n est raccordé à un port ayant un numéro de VLAN à 2. Le PC1 ne peut pas dialoguer avec les équipements voix. Il ne peut dialoguer qu avec le PC2 qui est aussi connecté à un port ayant un numéro de VLAN à Après l initialisation du V1S Signalisation entre l INT IP A et l IP Phone : Le port 4 reçoit des trames UDP tagguées avec un VLAN à 0 et avec un champ 802.1p à 5 par l INT IP A (voir Annexe 2 - SNIFFER 6). Le port 4 taggue ces trames avec le PVID 3 et envoie cette trame tagguée sur le port 1 sur lequel est connecté le V1S (ce n est pas une trame de diffusion, elle est donc transmise directement sur le port destinataire). Le port 1 reçoit des trames UDP tagguées avec un VLAN à 0 et avec un champ 802.1p à 5 par le V1S : ce marquage provient du champ "Catégorie de service IP" renseigné dans OmniPCX 4400 (voir Annexe 2 - SNIFFER 7). Le port 1 taggue ces trames avec le PVID 3 et envoie cette trame tagguée sur le port 4 derrière lequel est connecté l INT IP A (ce n est pas une trame de diffusion, elle est donc transmise directement sur le port destinataire). GERER DES VLAN DIFFERENTS SUR UN SWITCH PERMET DE LIMITER VERS UN GROUPE PARTICULIER LES TRAMES DE DIFFUSION. GERER AINSI UN VLAN VOIX D UNE PART ET DATA DE L AUTRE PERMET DE RENDRE TOTALEMENT INDEPENDANT LE FLUX VOIX DU FLUX DATA Deuxième configuration Cette configuration a pour but d expliquer pourquoi nous gérons des numéros de VLAN sur les V1S. Nous avons vu précédemment que gérer des VLAN différents sur les ports d un switch, permettait lors de l initialisation d un équipement IP, de limiter l envoi des trames vers un groupe particulier. TC Ed

11 CONFIGURATION DU VLAN (802.1q) SUR Nous décidons maintenant de connecter un PC derrière l IP Phone qui se trouve sur le port 1 du switch. Port 1 Port 4 Port 5 Port 7 Port 8 PVID2 PVID3 PVID3 PVID2 PVID2 VLAN 2, 3 VLAN 3 VLAN 3 VLAN 2, 3 VLAN 2 V1S VLAN 3 V1S INTIP A CPU PC3 PC VLAN 2 PC Configuration du switch Port 1 Port 4 Port 5 Port 7 Port 8 PVID VLAN 2, , Configuration des équipements IP Par défaut, l INT IP A est dans le "Domaine IP" 0 qui pointe sur la "Catégorie de service IP" 0. Sur le TSCIP V1S, il n est pas possible de configurer à partir du poste, le numéro de VLAN du port du mini switch (intégré dans le V1S) utilisable éventuellement par un PC. Le flux voix et le flux data se retrouveront dans le même LAN. Dans le cas où les trafics data venant des PC doivent appartenir à un VLAN différent du trafic voix de l IP Phone : la première solution est de réaliser le marquage au niveau du PC. Il n'est pas nécessaire alors de gérer un numéro de VLAN sur le V1S. Le port du switch tagguera les trames venant de l IP Phone avec son PVID et ne modifiera pas le marquage des trames venant du PC. mais dans la majorité des cas, les PC ne savent pas tagguer d où la seconde solution. Il est alors nécessaire de gérer un numéro de VLAN au niveau de l IP Phone. Ed TC0295

12 CONFIGURATION DU VLAN (802.1q) SUR Les trames venant du PC sont tagguées avec le PVID du port sur lequel le PC est rattaché, et sont émises vers tous les ports ayant un VLAN égal à ce PVID. Les trames venant de l IP Phone sont tagguées à "X" et envoyées vers les ports ayant un VLAN égal à "X". Dans notre exemple, le PC1 ne sachant pas gérer le 802.1q, le tagguage est géré au niveau de la mémoire flash du V1S. La valeur configurée est égale à 3. Le 6024 reçoit sur le même port : d une part, des trames tagguées venant de l IP Phone ; c est cet identifiant de VLAN qui sera utilisé. et d autre part, des trames non tagguées venant du PC. Ces trames sont alors tagguées avec le PVID du port du switch Initialisation du V1S 1 V1S essaie de joindre son serveur TFTP Une requête ARP est réalisée par le V1S afin de connaître l adresse MAC correspondante à l adresse IP du serveur TFTP (broadcast). Les trames entrantes sur le port 1 sont tagguées avec un numéro de VLAN à 3 et avec une priorité de 0 (voir Annexe 2 - SNIFFER 8). Le port 1 diffuse cette trame ARP vers tous les ports du switch ayant un VLAN positionné à 3. Dans notre cas, cette requête est faite vers les ports 5 (où est connectée la CPU) et 4 (où est connectée l INT IP A). Les autres équipements, ici les PC, ne sont pas quant à eux "pollués" inutilement par cette requête. 2 Le serveur TFTP répond (ici c est la CPU). La CPU ne taggue pas. Le port 5 sur lequel elle est connectée tagguera cette trame de réponse à la requête ARP avec un numéro de VLAN correspondant au PVID du port, c est à dire 3. Cette trame n'est pas envoyée vers tous les ports du switch ayant un VLAN positionné à 3 (ports 1, 4 et 7) mais est directement envoyée sur le port 1. Le marquage de cette trame arrivant sur le port 1 est différent du PVID de ce port : la trame sortante du port 1 est une trame tagguée (voir Annexe 2 - SNIFFER 9). 3 Le V1S fait des requêtes TFTP vers la CPU afin de récupérer ses 3 fichiers (lanpbx.cfg, bintscips, starttscip). Ses trames sont directement envoyées vers le port où se trouve la CPU. Les trames de réponse de la CPU sont directement envoyées vers le port où se trouve le V1S. 4 La CPU annonce à l INT IP A par le lien C1, que l IP Phone qui a l adresse est prêt à dialoguer avec elle. 5 L INT IP A lance une requête ARP afin de trouver l adresse MAC correspondante à l adresse IP du V1S. Les trames entrantes sur le port 4 sont tagguées à 0 avec une priorité à 5. Le port les taggue avec son numéro de PVID, c'est à dire 3. Cette requête ARP est faite vers tous les ports du switch ayant un VLAN positionné à 3. Dans notre cas, cette requête est faite vers les ports 5 (où est connectée la CPU), 1 (où est connectée le V1S) et 7. Les autres équipements ne sont quant à eux pas "pollués" inutilement par cette requête. La trame de réponse du V1S est directement envoyée vers le port de l INT IP A (pas vers celui de la CPU) : en effet ce n est pas une trame de diffusion. TC Ed

13 CONFIGURATION DU VLAN (802.1q) SUR Les PC ne peuvent pas "pinguer" les équipements IP. En effet les trames venant du PC2 ne sont pas des trames tagguées. Le port 7 sur lequel il est connecté taggue ses trames avec son numéro de PVID, c est à dire 2. Le switch envoie les trames vers les ports du switch qui ont un numéro de VLAN à 2, soient les ports 1 et 8. Le port 1 reçoit une trame tagguée à 2 qui correspond au numéro de son PVID : la trame sortante du port 1 n'est pas tagguée. Le V1S envoie une trame de réponse tagguée à 3 vers le port 1. Elle sort du port 7 encore tagguée à 3. Le PC ne comprend pas les trames tagguées et va donc les rejeter. Les PC peuvent par contre communiquer entre eux Après l initialisation du V1S Signalisation entre l INT IP A et l IP Phone : Le port 4 reçoit des trames UDP tagguées à 0 par l INT IP A. Le port 4 taggue ces trames avec le PVID 3 et envoie cette trame tagguée sur le port 1 sur lequel est connecté le V1S (ce n est pas une trame de diffusion et est donc transmise directement sur le port destinataire) (voir Annexe 2 - SNIFFER 10). Le port 1 reçoit des trames UDP tagguées à 3 par le V1S (voir Annexe 2 - SNIFFER 11). Le port 1 envoie directement cette trame tagguée sur le port 4 sur lequel est connectée l INT IP A (ce n est pas une trame de diffusion et est donc transmise directement sur le port destinataire). GERER UN VLAN SUR UN V1S PERMET DE DISTINGUER LE FLUX VOIX DU FLUX DATA VENANT D UN PC CONNECTE DERRIERE UN IP PHONE (ceci n a de sens que si les VLAN sur les switchs sont configurés par port et non par MAC adresse) Priorité Le bit de priorité sur le 6024 peut être géré par port. Par défaut, il est à 0. Le 6024 est pourvu de 2 files d attente afin de stocker le trafic lent dans une file de priorité basse pendant que le trafic urgent passe par une file d attente de priorité plus haute. Dans le cas d un PC connecté derrière un IP Phone, le 6024 traite le flux voix de façon prioritaire par rapport au flux data. En effet, le PC ne sachant pas tagguer, le port traite ses trames avec la priorité à 0. Le V1S taggue ses trames avec le champ 802.1p à 5 (d'après la gestion effectuée dans OmniPCX 4400). 4. RESUME GERER DES VLAN DIFFERENTS SUR UN SWITCH PERMET DE LIMITER VERS UN GROUPE PARTICULIER LES TRAMES DE DIFFUSION. GERER AINSI UN VLAN VOIX D UNE PART ET DATA DE L AUTRE PERMET DE RENDRE TOTALEMENT INDEPENDANT LE FLUX VOIX DU FLUX DATA. GERER UN VLAN SUR UN V1S PERMET DE DISTINGUER LE FLUX VOIX DU FLUX DATA VENANT D UN PC CONNECTE DERRIERE UN IP PHONE. Ed TC0295

14 CONFIGURATION DU VLAN (802.1q) SUR TC Ed

15 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q INFORMATIONS SUR VLAN ET 802.1q SOMMAIRE 1. QU EST-CE-QU UN RESEAU VIRTUEL (VLAN)? Types de VLAN NORME 802.1Q Format du marquage (tag) des trames 802.1q Entête Ethernet sans utiliser le 802.1q : RFC Entête Ethernet en utilisant le 802.1q Norme 802.1p...5 Ed TC0295

16 ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q CONFIGURATION DU VLAN (802.1q) SUR TC Ed

17 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q Cette annexe fournit des rappels sur la notion de VLAN ainsi que sur la norme 802.1q. 1. QU EST-CE-QU UN RESEAU VIRTUEL (VLAN)? Un réseau local (LAN) est basé sur le principe de la diffusion. Chaque information émise par un équipement connecté sur le LAN est reçue par tous les autres. Avec l'augmentation du nombre d'équipements raccordés sur le LAN, on aboutit à des situations de saturation. En effet, plus il y a de stations, plus il y a de risques de collisions. D où la notion de VLAN qui permet de limiter le trafic sur les réseaux locaux. Un VLAN représente un domaine de diffusion (domaine de broadcast). Les VLAN sont donc des regroupements logiques d'utilisateurs ou de stations. Tous les membres d'un même VLAN sont habilités à communiquer ensemble et forment ce domaine de diffusion. On peut ainsi définir des domaines de diffusion au sein d un switch sans utiliser des routeurs (l avantage du switch par rapport au routeur repose sur la rapidité du délai de transmission des trames). Les VLAN sont indépendants les uns des autres et ne sont joignables que par routage (c est à dire par un routeur ou par un switch/routeur) Types de VLAN Il est possible de gérer des VLAN de plusieurs façons : Les VLAN par port (niveau 1 du modèle ISO). Ils regroupent les systèmes en fonction du port sur lesquels ils sont connectés. Tel port du commutateur est associé à tel numéro de groupe. Le principal inconvénient de cette méthode est qu elle ne permet pas la mobilité des utilisateurs sans nécessité une reconfiguration du VLAN par un administrateur. C est ce type de VLAN qui est développé dans la documentation : en effet, la fonctionnalité du VLAN dans l IP Phone est rattachée à ce type de VLAN. Les VLAN définis comme liste de stations identifiés par leur adresse MAC (niveau 2). Plus souples, ils permettent de définir l'appartenance à un VLAN pour chaque station, indépendamment de sa situation "géographique" dans le réseau. Les VLAN par type de protocole (niveau 2 du modèle ISO). On définit des VLAN à partir du champ "Type de protocole" qui se situe dans l entête de niveau 2. Exemple Par le protocole IP sur un port et IPX sur un autre port. Les VLAN par adresse réseau (niveau 3 du modèle ISO). Ils associent des sous-réseaux IP avec des groupes. Le principal problème repose sur la lenteur d envoi des paquets par rapport à l utilisation des MAC adresses. Les VLAN par service ou application (niveau 4 et supérieur du modèle ISO). Exemple Faire du tftp sur un VLAN et des telnet sur un autre. Ed TC0295

18 ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q CONFIGURATION DU VLAN (802.1q) SUR Les VLAN sont définis par le standard q développé par l IEEE. C est un protocole de contrôle d accès sur le média. Un commutateur (un switch) est nécessaire pour développer un VLAN. 2. NORME 802.1q La norme IEEE 802.1q ne définit que des VLAN aux niveaux 1 ou 2 du modèle ISO. Les VLAN de niveau supérieur sont autorisés, mais non définis. La norme 802.1q propose un mécanisme de marquage de trames permettant aux éléments du réseau de les classer en fonction de la qualité désirée. Ce marquage contient un certain nombre d informations, notamment sur la priorité des trames, plus amplement définie dans la norme 802.1p, et l appartenance à un VLAN particulier. Toutes ces informations permettent d augmenter la qualité de service pour un flux spécifique Format du marquage (tag) des trames 802.1q Les trames 802.1q sont des trames marquées avec un certain nombre d informations placées juste après les adresses MAC, dans l entête de la trame Ethernet Entête Ethernet sans utiliser le 802.1q : RFC894 6 octets 6 octets 2 octets Adresse destination Adresse source Champ éthertype Entête Ethernet en utilisant le 802.1q 6 octets 6 octets 4 octets 2 octets Adresse destination Adresse source Champ 802.1q Champ éthertype 2 octets 2 octets TPID TCI TPID : Champ indiquant que la trame est marquée en 802.1q. Ce champ vaut 8100 en hexadécimal. TCI : Champ décrit ci-dessous : 3 bits 1 bit 12 bits User_priority CFI VID TC Ed

19 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q User_priority : Priorité de la trame (8 niveaux de priorité). C est le champ défini par la norme 802.1p. CFI VID : Booléen indiquant le format des adresses MAC. : Numéro du VLAN auquel la trame appartient. C est le champ défini par la norme 802.1q Norme 802.1p La norme 802.1p est définie à l intérieur du 802.1q. La gestion et le contrôle du trafic sont donc gérés par le 802.1p. Huit classes de trafic sont prévues pour cet usage. Les priorités sont classées 7, 6, 5, 4, 3, 0, 2, 1 : 0 à 3 : priorités basses, 4 à 7 : priorités hautes. Priorité Type de trafic 1 Background 2 Spare 0 Best Effort 3 Excellent effort 4 Controlled Load 5 Video 6 Voice 7 Network Control Ed TC0295

20 ANNEXE 1 INFORMATIONS SUR VLAN ET 802.1q CONFIGURATION DU VLAN (802.1q) SUR TC Ed

21 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER TRACES SNIFFER SOMMAIRE 1. SNIFFER1 : TRAME ARP VENANT DU V1S ET ENTRANTE SUR LE PORT SNIFFER 2 : TRAME ARP VENANT DU V1S ET SORTANTE DU PORT 4 (ALLANT VERS L'INT IP A) SNIFFER 3 : TRAME ARP VENANT DU V1S ET SORTANTE DU PORT 5 (ALLANT VERS LA CPU) SNIFFER 4 : TRAME ARP REPLY VENANT DE LA CPU (EN REPONSE A LA REQUETE ARP DU V1S) ET ENTRANTE SUR LE PORT SNIFFER 5 : TRAME ARP VENANT DE L'INT IP A ET ENTRANTE SUR LE PORT SNIFFER 6 : TRAME UDP VENANT DE L'INT IP A ET ENTRANTE SUR LE PORT SNIFFER 7 : TRAME UDP VENANT DU V1S ET ENTRANTE SUR LE PORT SNIFFER 8 : TRAME ARP VENANT DU V1S ET ENTRANTE SUR LE PORT SNIFFER 9 : TRAME ARP REPLY VENANT DE LA CPU ET SORTANTE DU PORT Ed TC0295

22 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 10. SNIFFER 10 : TRAME UDP VENANT DE L INT IP A ET SORTANTE DU PORT SNIFFER 11 : TRAME UDP VENANT DU V1S IP A ET ENTRANTE SUR LE PORT TC Ed

23 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 1. SNIFFER1 : TRAME ARP VENANT DU V1S ET ENTRANTE SUR LE PORT 1 Notes Pas de 802.1q (pas de VLAN géré à l'intérieur de l'ip Phone). C'est une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 10 Alcatl3B5D31 Broadcast 60 0:00: /05/ :40:17 PM C PA=[ ] PRO=IP DLC Header Frame 10 arrived at 16:40: ; frame size is 60 (003C hex) bytes. Destination = BROADCAST FFFFFFFFFFFF, Broadcast Source = Station Alcatl3B5D31 Ethertype = 0806 (ARP) ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 1 (ARP request) Sender's hardware address = 00809F3B5D31 Sender's protocol address = [ ] V1S Target hardware address = Target protocol address = [ ] CPU Ed TC0295

24 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 2. SNIFFER 2 : TRAME ARP VENANT DU V1S ET SORTANTE DU PORT 4 (ALLANT VERS L'INT IP A) Notes Pas de 802.1q : la trame entrante sur le port 1 n'est pas tagguée. Le port 1 la taggue avec son PVID à 3 qui est égal au numéro de VLAN du port 4 ; la trame sortante du port 4 n'est donc pas tagguée. C'est une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 21 Alcatl3B5D31 Broadcast 60 0:00: /05/ :29:31 PM C PA=[ ] PRO=IP DLC Header Frame 21 arrived at 16:29: ; frame size is 60 (003C hex) bytes. Destination = BROADCAST FFFFFFFFFFFF, Broadcast Source = Station Alcatl3B5D31 Ethertype = 0806 (ARP) ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 1 (ARP request) Sender's hardware address = 00809F3B5D31 Sender's protocol address = [ ] V1S Target hardware address = Target protocol address = [ ] CPU 18 bytes frame padding 18 bytes frame padding TC Ed

25 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 3. SNIFFER 3 : TRAME ARP VENANT DU V1S ET SORTANTE DU PORT 5 (ALLANT VERS LA CPU) Notes Pas de 802.1q : la trame entrante sur le port 1 n'est pas tagguée. Le port 1 la taggue avec son PVID à 3 qui est égal au numéro de VLAN du port 5 ; la trame sortante du port 4 n'est donc pas tagguée. C'est une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 8 Alcatl3B5D31 Broadcast 60 0:00: /05/ :37:03 PM C PA=[ ] PRO=IP DLC Header Frame 8 arrived at 16:37: ; frame size is 60 (003C hex) bytes. Destination = BROADCAST FFFFFFFFFFFF, Broadcast Source = Station Alcatl3B5D31 Ethertype = 0806 (ARP) ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 1 (ARP request) Sender's hardware address = 00809F3B5D31 Sender's protocol address = [ ] V1S Target hardware address = Target protocol address = [ ] CPU 18 bytes frame padding Ed TC0295

26 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 4. SNIFFER 4 : TRAME ARP REPLY VENANT DE LA CPU (EN REPONSE A LA REQUETE ARP DU V1S) ET ENTRANTE SUR LE PORT 5 Notes Pas de 802.1q : (pas de VLAN sur la CPU). Ce n'est pas une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 9 Alcatl04099D Alcatl3B5D :00: /05/ :37:03 PM R PA=[ ] HA=Alcatl04099D PRO=IP DLC Header Frame 9 arrived at 16:37: ; frame size is 60 (003C hex) bytes. Destination = Station Alcatl3B5D31 Source = Station Alcatl04099D Ethertype = 0806 (ARP) ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 2 (ARP reply) Sender's hardware address = 00809F04099D Sender's protocol address = [ ] CPU Target hardware address = 00809F3B5D31 Target protocol address = [ ] V1S 18 bytes frame padding TC Ed

27 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 5. SNIFFER 5 : TRAME ARP VENANT DE L'INT IP A ET ENTRANTE SUR LE PORT 4 Notes Trame 802.1q : Priorité 5, VLAN à 0 (valeurs qui proviennent de la gestion effectuée dans la QoS au niveau de ). C'est une trame de diffusion. Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 31 Alcatl0479C5 Broadcast 60 0:00: /05/ :29:40 PM C PA=[ ] PRO=IP DLC Header Frame 31 arrived at 16:29: ; frame size is 60 (003C hex) bytes. Destination = BROADCAST FFFFFFFFFFFF, Broadcast Source = Station Alcatl0479C5 8021Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = a Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = 0 (Null - Tag Header Contains only user_priority info) 8021Q: Ethertype = 0806 (ARP) 8021Q: ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 1 (ARP request) Sender's hardware address = 00809F0479C5 Sender's protocol address = [ ] INT IP A Target hardware address = Target protocol address = [ ] V1S 14 bytes frame padding Ed TC0295

28 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 6. SNIFFER 6 : TRAME UDP VENANT DE L'INT IP A ET ENTRANTE SUR LE PORT 4 Notes Trame 802.1q : Priorité 5, VLAN à 0 (valeurs qui proviennent de la gestion effectuée dans la QoS au niveau de ). Ce n est pas une trame de diffusion. \"Flags \",\"Frame \",\"Delta Time \",\"Destination \",\"Source \",\"Bytes\",\"Protocol \",\"Summary\" " "," 42"," ","[ ] ","[ ] "," 60 ","UDP"," D=32000 S=32640 LEN=16" DLC Header Frame 42 arrived at 16:29: ; frame size is 60 (003C hex) bytes. Destination = Station Alcatl3B5D31 Source = Station Alcatl0479C5 8021Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = a Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = 0 (Null - Tag Header Contains only user_priority info) 8021Q: Ethertype = 0800 (IP) 8021Q: IP: IP Header IP: IP: Version = 4, header length = 20 bytes IP: Type of service = A0 IP: = CRITIC/ECP IP: = normal delay IP: = normal throughput IP: = normal reliability IP: = ECT bit - transport protocol will ignore the CE bit IP: = CE bit - no congestion IP: Total length = 36 bytes IP: Identification = 0 IP: Flags = 0X IP: = may fragment IP: = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 64 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 5D6F (correct) IP: Source address = [ ] INT IP A IP: Destination address = [ ] V1S IP: No options IP: UDP: UDP Header UDP: UDP: Source port = UDP: Destination port = UDP: Length = 16 UDP: No checksum UDP: [8 byte(s) of data] UDP: TC Ed

29 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 7. SNIFFER 7 : TRAME UDP VENANT DU V1S ET ENTRANTE SUR LE PORT 1 Notes Trame 802.1q : Priorité 5, VLAN à 0 (valeurs qui proviennent de la gestion effectuée dans la QoS au niveau de ). Ce n est pas une trame de diffusion Frame Frame Status Source Address Dest. Address Size Rel. Time Delta Time Abs. Time Summary 28 [ ] [ ] 70 0:00: /05/ :32:53 PM UDP: D=32640 S=32000 LEN= DLC Header Frame 28 arrived at 16:32: ; frame size is 70 (0046 hex) bytes. Destination = Station Alcatl0479C5 Source = Station Alcatl3B5D Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = a Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = 0 (Null - Tag Header Contains only user_priority info) 8021Q: Ethertype = 0800 (IP) 8021Q: IP: IP Header IP: IP: Version = 4, header length = 20 bytes IP: Type of service = A0 IP: = CRITIC/ECP IP: = normal delay IP: = normal throughput IP: = normal reliability IP: = ECT bit - transport protocol will ignore the CE bit IP: = CE bit - no congestion IP: Total length = 52 bytes IP: Identification = 12 IP: Flags = 0X IP: = may fragment IP: = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 30 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 7F53 (correct) IP: Source address = [ ] V1S IP: Destination address = [ ] INT IP IP: No options IP: UDP: UDP Header UDP: UDP: Source port = UDP: Destination port = UDP: Length = 32 UDP: No checksum UDP: [24 byte(s) of data] UDP: Ed TC0295

30 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 8. SNIFFER 8 : TRAME ARP VENANT DU V1S ET ENTRANTE SUR LE PORT 1 Notes Trame 802.1q : Priorité à 0 (valeur utilisée par défaut lors de l initialisation) ; VLAN à 3 (valeur qui provient de la gestion effectuée dans le V1S). C est une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 2 Alcatl3B5D31 Broadcast 60 0:00: /05/ :06:10 PM C PA=[ ] PRO=IP DLC Header Frame 2 arrived at 17:06: ; frame size is 60 (003C hex) bytes. Destination = BROADCAST FFFFFFFFFFFF, Broadcast Source = Station Alcatl3B5D Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = Q: Ethertype = 0806 (ARP) 8021Q: ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 1 (ARP request) Sender's hardware address = 00809F3B5D31 Sender's protocol address = [ ] V1S Target hardware address = Target protocol address = [ ] CPU 14 bytes frame padding TC Ed

31 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 9. SNIFFER 9 : TRAME ARP REPLY VENANT DE LA CPU ET SORTANTE DU PORT 1 Notes Trame 802.1q : VLAN à 3 (valeur qui provient de la gestion effectuée dans switch). Ce n est pas une trame de diffusion Frame Frame Status Source Address Dest.Address Size Rel.Time Delta Time Abs.Time Summary 3 Alcatl04099D Alcatl3B5D :00: /05/ :06:10 PM R PA=[ ] HA=Alcatl04099D PRO=IP DLC Header Frame 3 arrived at 17:06: ; frame size is 64 (0040 hex) bytes. Destination = Station Alcatl3B5D31 Source = Station Alcatl04099D 8021Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = Q: Ethertype = 0806 (ARP) 8021Q: ARP/RARP frame Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 2 (ARP reply) Sender's hardware address = 00809F04099D Sender's protocol address = [ ] CPU Target hardware address = 00809F3B5D31 Target protocol address = [ ] V1S 18 bytes frame padding Ed TC0295

32 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR 10. SNIFFER 10 : TRAME UDP VENANT DE L INT IP A ET SORTANTE DU PORT 1 Notes Trame 802.1q : VLAN à 3 et priorité à 5 (valeur qui provient de la gestion effectuée dans ). Ce n est pas une trame de diffusion Frame \"Flags \",\"Frame \",\"Delta Time \",\"Destination \",\"Source \",\"Bytes\",\"Protocol \",\"Summary\" " "," 62"," ","[ ] ","[ ] "," 60 ","UDP"," D=32000 S=32640 LEN=9" DLC Header Frame 62 arrived at 17:06: ; frame size is 60 (003C hex) bytes. Destination = Station Alcatl3B5D31 Source = Station Alcatl0479C5 8021Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = a Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = Q: Ethertype = 0800 (IP) 8021Q: IP: IP Header IP: IP: Version = 4, header length = 20 bytes IP: Type of service = A0 IP: = CRITIC/ECP IP: = normal delay IP: = normal throughput IP: = normal reliability IP: = ECT bit - transport protocol will ignore the CE bit IP: = CE bit - no congestion IP: Total length = 29 bytes IP: Identification = 0 IP: Flags = 0X IP: = may fragment IP: = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 64 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 5D76 (correct) IP: Source address = [ ] INT IP A IP: Destination address = [ ] V1S IP: No options IP: UDP: UDP Header UDP: UDP: Source port = UDP: Destination port = UDP: Length = 9 UDP: No checksum UDP: [1 byte(s) of data] UDP: TC Ed

33 CONFIGURATION DU VLAN (802.1q) SUR ANNEXE 2 TRACES SNIFFER 11. SNIFFER 11 : TRAME UDP VENANT DU V1S IP A ET ENTRANTE SUR LE PORT 1 Notes Trame 802.1q : VLAN à 3 (valeur qui provient de la gestion effectuée dans le V1S) et priorité à 5 (valeur qui provient de la gestion effectuée dans ). Ce n est pas une trame de diffusion Frame \"Flags \",\"Frame \",\"Delta Time \",\"Destination \",\"Source \",\"Bytes\",\"Protocol \",\"Summary\" " "," 63"," ","[ ] ","[ ] "," 60 ","UDP"," D=32640 S=32000 LEN=9" DLC Header Frame 63 arrived at 17:06: ; frame size is 60 (003C hex) bytes. Destination = Station Alcatl0479C5 Source = Station Alcatl3B5D Q: Q Packet Q: 8021Q: Tag Protocol Type = Q: Tag Control Information = a Q: User Priority = Q: Tunnel Type = 0 (Ethernet frame) 8021Q: VLAN ID = Q: Ethertype = 0800 (IP) 8021Q: IP: IP Header IP: IP: Version = 4, header length = 20 bytes IP: Type of service = A0 IP: = CRITIC/ECP IP: = normal delay IP: = normal throughput IP: = normal reliability IP: = ECT bit - transport protocol will ignore the CE bit IP: = CE bit - no congestion IP: Total length = 29 bytes IP: Identification = 31 IP: Flags = 0X IP: = may fragment IP: = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 30 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 7F57 (correct) IP: Source address = [ ] V1S IP: Destination address = [ ] INT IP IP: No options IP: UDP: UDP Header UDP: UDP: Source port = UDP: Destination port = UDP: Length = 9 UDP: No checksum UDP: [1 byte(s) of data] Ed TC0295

34 ANNEXE 2 TRACES SNIFFER CONFIGURATION DU VLAN (802.1q) SUR TC Ed