M21 VLAN
VLAN: Objectif Permet à donner au réseau une architecture logique en libérant certaines contraintes physiques Technique de segmentation permet d'apporter une sécurité permet de regrouper des hôtes sur un critère logique (et non plus géographique) permet de gérer la mobilité des postes contrôler la taille des domaines de broadcast
Sans utilisation de VLAN couche de distribution couche d'accès physique hôtes réseau
Avec utilisation de VLAN couche de distribution couche d'accès physique et regroupement logique hôtes réseau
VLAN dynamique Serveur AAA id hôte: login + mdp OK, VLAN id couche de distribution couche d'accès physique et regroupement logique hôtes réseau id hôte: login + mdp Nouvel hôte désirant se connecter au réseau
Sécurité Sans utilisation de VLAN, tout trafic émit en broadcast peut être écouté par tous les utilisateurs couche de distribution couche d'accès physique hôtes réseau Le broadcast n'est pas pour moi, mais je peux l'écouter avec mon analyseur de trame
Sécurité, sans VLAN Sans utilisation de VLAN, tout trafic émit en broadcast peut être écouté par tous les utilisateurs couche de distribution couche d'accès physique hôtes réseau Le broadcast n'est pas pour moi, mais je peux l'écouter avec mon analyseur de trame
Sécurité, avec VLAN Avec utilisation de VLAN, le trafic broadcast n'est retransmis qu'aux hôtes du même VLAN que l'émetteur couche de distribution couche d'accès physique et regroupement logique hôtes réseau Je n'ai rien reçu
Sécurité, avec VLAN Les VLAN crée des domaines de collision étanche Aucune possibilité pour un hôte d'écouter un trafic d'un VLAN différent Un routeur permet de rendre perméable deux VLANs distinct Une classe d'adresse par VLAN
Sécurité, avec VLAN Le routage de VLAN permet d'ajouter des règles de filtrage La segmentation de niveau 2 est motivée pour des raison de niveau 3
Implémentation Topologie traditionnelle VLAN Organisation tributaire non tributaire de de l'emplacement géographique Domaine de collision défini administrativement Utilisateurs affectés logiquement à un VLAN niveau 2 niveau 1 niveau 0
VLAN: mise en oeuvre Aucune configuration sur l'hôte L'appartenance à un VLAN est géré sur le commutateur d'accès Un hôte ne peut donc pas se relier à un autre VLAN, à moins de se connecter physiquement sur un autre port du commutateur d'accès (verrouillage!) Configuration statique sur le commutateur réglage de la mini base de données sur le commutateur par la console en CLI en paramétrant une adresse IP sur le commutateur (!) accès au serveur web activable sur le commutateur accès en mode telnet ou ssh
VLAN: mise en oeuvre Configuration dynamique centralisée Serveur VMPS Serveur AAA (Radius, TACAS, ) VLAN statique affectation des ports à un VLAN rapide à mettre en œuvre difficile à maintenir (mobilité) vulnérable si commutateur accessible
VLAN: mise en oeuvre VLAN dynamique plus difficile à mettre en œuvre création base de données (@MAC,@VLAN) facile à maintenir (permet la mobilité) moins vulnérable attention à la possibilité de modifier l'adresse MAC!
VLAN: Mise en œuvre Cisco Catalyst 2950 La base de donnée VLAN: Par défaut, tous les ports sont affectés au VLAN 1 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 1002 enet 101002 1500 - - - - - 0 0 1003 enet 101003 1500 - - - - - 0 0 1004 enet 101004 1500 - - - - - 0 0 1005 enet 101005 1500 - - - - - 0
VLAN: Mise en œuvre Cisco Catalyst 2950 Paramétrage de l'adresse IP sur le commutateur L'adresse IP se fixe non pas sur une interface (comme le routeur), mais sur le VLAN 1 Switch#interface vlan 1 Switch(config-if)#ip address 10.0.0.5 255.255.255.0 Switch(config-if)#no shutdown %LINK-5-CHANGED: Interface Vlan1, changed state to up Switch(config-if)#end Switch#sh int vlan 1 Vlan1 is up, line protocol is down Hardware is CPU Interface, address is 0030.f233.e618 (bia 0030.f233.e618) Internet address is 10.0.0.5/24 MTU 1500 bytes, BW 0 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/2 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 21:40:21, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec
VLAN: Mise en œuvre Cisco Catalyst 2950 Création d'un VLAN Switch(config)#vlan 2 Switch(config-vlan)#name admin Switch(config-vlan)#exit Switch(config)# Switch(config)#end %SYS-5-CONFIG_I: Configured from console by console Switch#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 admin active
VLAN: Mise en œuvre Cisco Catalyst 2950 Affection d'un port à un VLAN Switch(config)#int fastethernet 0/1 Switch(config-if)#switchport access vlan 2 Switch(config-if)#switchport mode access Switch(config-if)#end %SYS-5-CONFIG_I: Configured from console by console Switch#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24 2 admin active Fa0/1 Switch#
VLAN: Remarques L'apprentissage par le commutateur des adresses MAC est réalisé par VLAN sans VLAN, une table MAC par port @mac => port FEx/y avec VLAN, une table MAC par VLAN puis par PORT @mac => VLAN z => port FEx/y
VLAN: Remarques Le routeur réalisant le routage inter VLAN doit posséder une interface par VLAN autant d'interface que de VLAN bande passante maximum une sous-interface par VLAN une interface sur le routeur et une sur le commutateur bande passante partagée protocole d'encapsulation des trames (Cisco: ISL, IETF: 802.1q) le commutateur doit configurer le port d'interconnexion avec le routeur en mode trunk (les trames sont encapsulées)
VLAN: Mise en œuvre port trunking Sur le commutateur Switch(config)#int fastethernet 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan? WORD VLAN IDs of the allowed VLANs when this port is in trunking mode add add VLANs to the current list all all VLANs except all VLANs except the following none no VLANs remove remove VLANs from the current list
VLAN: Mise en œuvre port trunking Sur le routeur, sur l'interface d'interconnexion Router(config)#interface fastethernet 0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address 172.16.2.254 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet 0/0.3 Router(config-subif)#encapsulation dot1q 3 Router(config-subif)#ip address 172.16.3.254 255.255.255.0 Router(config-subif)#exit Router(config-if)#no shut