VLANs Les principes La réalisation Les standards Un scénario de mise en œuvre Exemple de configuration d équipements 22/01/2009 Formation Permanente Paris6 69
Les principes - longtemps, la solution a consisté à introduire des routeurs entre les différents domaines logiques avec pour effet : - diminution du domaine de broadcast - filtrage de niveau 3 entre stations - coûts assez élevés en matériels et gros problèmes de connexion des utilisateurs (brassage des prises réseaux, attribution des adresses IP, etc.) -charge d administration non négligeable -Problème de mobilité des postes - Idée : construire un réseau logique sur un réseau physique partagé Notion de réseau virtuel (Vlan) 22/01/2009 Formation Permanente Paris6 70
La réalisation Segmentation d un élément de commutation en différents sous-ensembles ne pou - Adressages de niveau 3 distincts pour chaque sous-ensemble - Passage obligé par un équipement de routage - Possibilité de filtrer les flux entre domaines Segmentation basée sur différents principes : - Vlan par ports - Vlan par adresse MAC - Vlan de niveau 3 - Vlan par utilisateurs 22/01/2009 Formation Permanente Paris6 71
Vlan par port : La réalisation (1) - 1 port <--> 1 Vlan (quelques précisions plus tard ) - table de correspondance dans le commutateur entre ports et Vlans - configuration simple - mise en œuvre la plus répandue - degré de fiabilité assez important si la gestion des équipements et des prises réseaux est bien faite Routeur 24 Forwarding DataBase (FDB) : VLAN PORT 2 1,2,3,4,5 3 6,7 4 8,9 etc. etc. 1 2 3 4 5 6 7 8 9 Vlan 2 Vlan 3 Vlan 4 Etc. 22/01/2009 Formation Permanente Paris6 72
Vlan par adresse MAC : La réalisation (2) - l appartenance à un Vlan est fonction de l adresse MAC des stations - correspondance dans le commutateur entre adresses MAC et Vlans - plusieurs Vlans possibles par port du commutateur (mais on perd alors une partie de la confidentialité en se remettant dans le cas d un réseau à plat) - configuration complexe due à la gestion des adresses MAC - mise en œuvre pas trop répandue sauf peut-être dans des contextes particuliers - degré de confiance limité : on peut usurper l adresse MAC des serveurs importants - idéal pour les postes nomades Vlan de niveau 3 : - analyse dans les trames de niveau 2 des informations de niveau 3 : adresses IP, type de protocole (IP, IPX), etc. - correspondance dans le commutateur entre informations de niveau 3 et Vlans - plusieurs Vlans possibles par port du commutateur (mêmes restrictions que pour les Vlans par adresses MAC) - gestion idéale pour les postes nomades - mise en œuvre pas trop répandue - degré de confiance limité : le même que celui d une adresse IP! 22/01/2009 Formation Permanente Paris6 73
Vlan par utilisateur : La réalisation (3) -norme 802.1x : Port Based Network Access Control EAP (Extensible Authentication Protocol) - mise en œuvre par modification du poste de l utilisateur : demande d authentification sur le réseau lors du démarrage du poste ( En standard pour Windows 2000 ( SP4), Win XP, MacOS 10.3 ) Client libre existant pour linux (xsupplicant) - mécanisme souvent couplé avec Radius, etc. - gestion idéale pour les postes nomades - mise en œuvre peu répandue - degré de confiance fonction du mode d authentification utilisé - De plus en plus utilisé pour les réseaux sans fils 22/01/2009 Formation Permanente Paris6 74
Les standards Normalisation IEEE 802.1Q Mise en œuvre du principe de «Frame Tagging» de Cisco (1995) Insertion dans une trame Ethernet de 4 octets supplémentaires : Taille maximale : 1518 (normale) ou 1522 (taggée) 7 octets 1 6 6 2 2 2 Préambule SFD @Destination @Source TPID TCI Tag Protocol Identifier 0x8100 pour Ethernet Type ou Longueur 0800 (IP) 2-30 RIF 46-1500 4 Données FCS 4 Données éventuelles FCS Tag Control Identifier Si bit à 1 Exemple utilisation : routage entre annea 3 bits 1 bit 12 bits Canonical Format Indicator User Priority : 802.1P Vlan Identifier 22/01/2009 Formation Permanente Paris6 75
Un peu de vocabulaire Équipements «Aware» et «Unaware» : - Les stations ou les équipements sachant interpréter la norme 802.1Q sont qualifiés de «aware» (équipements «ayant la connaissance») - Les autres équipements sont dits unaware Connexions de 3 types possibles : - lien d'accès simple : lien typiquement utilisé par les équipements "unaware" - lien Trunk : lien inter-commutateurs permettant de véhiculer les informations entre Vlans sur des commutateurs différents («aware» par définition) - lien hybride : lien acceptant aussi bien des équipements «aware» que «unaware 22/01/2009 Formation Permanente Paris6 76
Exemple de topologie Routeur inter-vlans - filtrage des communautés sur le routeur - «Spanning Tree» pour gérer les boucles 24 Lien TRUNK 1 2 3 4 5 6 7 1 3 8 11 12 Vlan 2 Vlan 3 Vlan 2 Vlan 3 Vlan 4 Spanning Tree (802.1D) Etc. Architecture physique Architecture logique 22/01/2009 Formation Permanente Paris6 77
Un scénario de mise en œuvre (1) Réseau d origine, sans Vlans : eurs «Internet ou Extranet» Extérieur (Campus, Renater, etc.) Visibles depuis l extérieur Routeur Protection par filtrage Serveurs «Intranet» Invisibles depuis l extérieur Éléments de commutation Restriction du routage Accédés en interne Postes utilisateurs Accédés en interne 22/01/2009 Formation Permanente Paris6 78
Un scénario de mise en œuvre (2) Une démarche de mise en place de Vlans : ➀ créer un VLAN réservé aux serveurs externes (zone semi-ouverte : DMZ) ➁ créer un VLAN pour les communautés d utilisateurs «hors SI», c est-à-dire n ayant pas vocation à travailler directement sur le système d information du site (salles de formation, etc.) ➂ créer un ou plusieurs VLANs s pour les utilisateurs «SI», c est-à-dire travaillant directement sur le système d information ➃ mettre en place pour chaque VLAN une classe d adresse privée,, non routable et donc non visible depuis l extérieur, ou bien attribuer une plage d adresse dans la ou les classes C actuellement utilisées ( subnetting ). La classe d adresse officielle est en général réservée aux équipements de la DMZ ➄ mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque communauté) afin de sécuriser l accès aux services ➅ mettre en place éventuellement (si l option adresse non routables a été choisie) un mécanisme de translation d adresse attribuant une adresse routable différente pour chaque communauté et des adresses fixes pour les serveurs accessibles depuis l extérieur (DMZ) 22/01/2009 Formation Permanente Paris6 79
Un scénario de mise en œuvre (3) Réseau d origine, avec Vlans : Extérieur communication Translation éventuelle à vocation de certaines externe adresses vers l extérieur Routeur Filtrage des flux provenant de l extérieur Vlan A DMZ Classe C officielle Commutateur-Routeur Éléments de commutation Serveurs à vocation inter Classe C privée Vlan B Filtrage des échanges entre Vlans Vlan C Administration Vlan D Equipe Recherche Classes C privées Vlan E Salle TP 22/01/2009 Formation Permanente Paris6 80
Une configuration concrète (1) La maquette : Routeur Cisco 3640 3 sous interfaces FastEthernet : FastEth0/0.1 : 192.168.1.1 FastEth0/0.2 : 192.168.2.1 FastEth0/0.3 : 192.169.1.1 Lien Trunk 802.1Q ou ISL 24 Commutateur Cisco 2924 1 2 3 4 5 6 7 8 9 16 Vlan 2 Vlan 3 Vlan 4 Port redirigé pour analyse de trafic 22/01/2009 Formation Permanente Paris6 81
Une configuration concrète (2) Les commandes sur le routeur : interface FastEthernet0/0 no ip address no ip directed-broadcast interface FastEthernet0/0.1 encpasulation dot1q 2 VLAN 2 ip address 192.168.1.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.2 encpasulation dot1q 3 VLAN 3 ip address 192.168.2.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.3 encpasulation dot1q 4 VLAN 4 ip address 192.169.1.1 255.255.255.0 no ip redirects no ip directed-broadcast 22/01/2009 Formation Permanente Paris6 82
Une configuration concrète (3) Les commandes sur le routeur : interface FastEthernet0/1 switchport access vlan 2 Affectation des ports aux différents Vlans interface FastEthernet0/2 switchport access vlan 3 interface FastEthernet0/3 switchport access vlan 4 interface FastEthernet0/15 interface FastEthernet0/16 port monitor FastEthernet0/1 Redirection de port pour faire de l analyse de réseau switchport access vlan 3 La redirection ne peut se faire que pour un même Vlan interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/23 interface FastEthernet0/24 Lien Trunk vers le routeur switchport mode trunk interface VLAN2 no ip address no ip route-cache interface VLAN3 On peut affecter une adresse IP à un Vlan pour l administrer ip address 192.168.1.2 255.255.255.0 no ip route-cache 22/01/2009 Formation Permanente Paris6 83
Quelques remarques Mieux vaut éviter l utilisation du VLAN 1 Passage de 802.1Q à ISL - Sur le commutateur : Int FastEthernet0/24 switchport trunk encapsulation isl - Sur le routeur : Int FastEthernet0/0.4 Encapsulation isl 4 Restriction des Vlans autorisés sur un lien trunk : switchport trunk 10/04/2006 84
Conclusion Les Vlans sont une réponse bien adaptée à la problématique de la séparation des La mise en œuvre est relativement simple (mais fonction tout de même de la taill Un soin tout particulier doit être apporté à la mise en œuvre selon le type de Vlan Il faut tout de même faire attention : la technologie des Vlans n est pas exempte d 22/01/2009 Formation Permanente Paris6 85