! "# Exposé de «Nouvelles Technologies Réseaux» 1
$ $ $ $ 2
! Définition : Virtual Local Area Network Utilité : Plusieurs réseaux virtuels sur un même réseau physique = VLAN B LAN A LAN B 3
! % $ +%,&&-%& $.&/&. & $,&'01%#& "#$% $%%& '( $%) ' $%*%& '! 4
& ' ' $$ (%&/&.(+, '01%#& 23+&+%%& VLAN PAR DEFAUT VLAN B 5
& ' ' $() +,&), '01%#& + - %&&&,&%",&% 6
& '" '" $' ''$$ +,&&## &4%%&, '01%#& + - %&,5 &%,# 7
* Situation 1 : VLAN DEFAULT @MAC serveur Serveur? @IP ARP Adrien Sniffer Serveur ARP Nicolas ARP ARP ARP VLAN PAR DEFAUT 8
* Situation 1 : VLAN DEFAULT Ping ok serveur ICMP Adrien Sniffer Serveur ICMP Nicolas ICMP ICMP VLAN PAR DEFAUT 9
* Situation 2 : Serveur dans VLAN «A», Adrien & Nicolas dans VLAN DEFAULT Serveur Adrien # vlan <id_vlan> name <nom_vlan> # vlan <id_vlan> untagged <n port> Sniffer Nicolas VLAN PAR DEFAUT 10
* Situation 2 : Serveur dans VLAN «A», Adrien & Nicolas dans VLAN DEFAULT ARP Adrien Ping serveur : @MAC Serveur? Destination unreachable Sniffer Serveur Nicolas ARP VLAN PAR DEFAUT 11
* Situation 3 : Serveur & Adrien dans VLAN «A», Nicolas dans VLAN DEFAULT Adrien Sniffer Serveur # vlan <id_vlan> untagged <n port> Nicolas VLAN PAR DEFAUT 12
* Situation 3 : Serveur & Adrien dans VLAN «A», Nicolas dans VLAN DEFAULT Ping ok Adrien Sniffer Serveur Nicolas VLAN PAR DEFAUT 13
+,-% $ #&6 &&%.1#& %& $ +#&, &. ' % $ 7%&,5&,&%0&& % $(1%#&%%5 14
/, '! &''##&& )-106%&8&'' &.&6 '5% 9##&%%0%%&6 +0 ##&&'&: #&1;10�##&&6 &8##&&,%%&6 ': 15
/, '! DEFAULT VLAN DEFAULT VLAN 16
/! Objectif : Transport de plusieurs VLANs sur un lien unique, par exemple : Commutateurs / Commutateurs Commutateurs / Serveurs $ #%1; &,#<#+.1 ##&&=#<#+> &#'&<&& &,& 17
/!" Tags sur les trames DEFAULT VLAN DEFAULT VLAN 18
/ "!" $ 5&,#&&.&8-&?&& $ 4%;@ 5A( B%%&A C(D $A C(D; &4=! &> =( &> 9=( &> 19
/&* Adrien DEFAULT VLAN DEFAULT VLAN Nicolas Serveur 20
/&* Adrien DEFAULT VLAN DEFAULT VLAN Nicolas Serveur 21
/&* " # vlan <id_vlan> tagged <n port> Adrien DEFAULT VLAN Tag 802.1Q DEFAULT VLAN Nicolas Serveur 22
/* 0 Adrien DEFAULT VLAN DEFAULT VLAN Nicolas Serveur 23
/&*.-.- Adrien Sniffer Nicolas DEFAULT VLAN DEFAULT VLAN Tag 802.1Q Serveur 24
3'.&&&%#%&&; $ # 5' $A C(D $ ';7 $ '&# 12+'.,% 25
$ A C(E)7E7 $ &7%'0% & $ #%56#&%='%&> $.&8%%%&%& #& 26
& 45-! Objectifs : - Meilleure utilisation des liens - Temps de convergence de 3 secondes - Redondance de niveau 2 accrue Limitations : - Matériels limités en nombre d instances - Peu de softs snmp savent gérer 802.1s 27
& 6$(.,7!8 1/ Configuration VLANs R vlan vert vlan bleu 2/ Configuration 802.1q vlan rouge 3/ Configuration STP vlan vert vlan bleu vlan rouge vlan vert vlan bleu vlan rouge 28
& 6$(.,7!8 1/ Configuration instances 2/ Configuration mapping 3/ Configuration root bridges R Instance #1 : vlan vert Instance #2 : vlan bleu Instance #3 : vlan rouge R R Instance #1 Instance #2 Instance #3 : vlan vert : vlan bleu : vlan rouge Instance #1 Instance #2 Instance #3 : vlan vert : vlan bleu : vlan rouge 29
3' Permet l élaboration de mécanismes d authentification et d autorisation pour l accès au réseau Se développe grâce au WiFi Norme développée à l origine pour les VLANs => Attribution d un VLAN en fonction de l identification 30
' Client 802.1x Switch d accès Serveur Supplicant Authenticator Authentication Server Avant authentification : seul trafic nécessaire à l authentification est permis Après authentification : tout trafic 31
, Client 802.1x Switch d accès Serveur Radius EAPoL Radius EAP au dessus du réseau local : EAPOL (EAP over LAN) EAP peut encapsuler plusieurs types de protocoles d authentification : MD5 TLS TTLS Le commutateur joue le rôle de relais Le protocole Radius encapsule les messages EAP Le serveur Radius pourra s appuyer soit sur sa base de donnée interne, soit sur un annuaire LDAP 32
&* Adrien Serveur FreeRadius Switch Nicolas Le fichier radiusd.conf Activer l authentification 802.1x sur le port 23 aaa ajouter port-access l authentification authenticator eap 23 aaa port-access authenticator active Standard sous XP, SP3 sous 2000 Définir Le fichier le serveur client.conf radius, la Xsupplicant clé d échange sous Linux Vérification des authentifications et le protocole déclarer Switch1# les de switchs communication show qui port-access feront des requêtes authenticator vers le serveur radius-server host 10.0.0.1 radius-server Le fichier users key clerezo aaa contient authentication les informations port-access de chaque utilisateur eap-radius - login - mot de passe - vlan affecté 33 - etc
9 6 34