VLANs. Les principes. La réalisation. Les standards. Un scénario de mise en œuvre. Exemple de configuration d équipements



Documents pareils
Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Les Virtual LAN. F. Nolot 2008

LES RESEAUX VIRTUELS VLAN

Les réseaux de campus. F. Nolot

Configuration du matériel Cisco. Florian Duraffourg

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

! "# Exposé de «Nouvelles Technologies Réseaux»

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux Locaux Virtuels

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

Figure 1a. Réseau intranet avec pare feu et NAT.

La qualité de service (QoS)

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

7.1.2 Normes des réseaux locaux sans fil

L3 informatique Réseaux : Configuration d une interface réseau

Sommaire. III : Mise en place :... 7

Configuration des VLAN

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Présentation du modèle OSI(Open Systems Interconnection)

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

DIFF AVANCÉE. Samy.

Rapport projet SIR 28/06/2003

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

dans un environnement hétérogène

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Les réseaux /24 et x0.0/29 sont considérés comme publics

VLAN Trunking Protocol. F. Nolot

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Plan de cours. Fabien Soucy Bureau C3513

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

INTRUSION SUR INTERNET

Sécurité des réseaux sans fil

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Table des matières Nouveau Plan d adressage... 3

Les réseaux locaux virtuels (VLAN)

Cours n 12. Technologies WAN 2nd partie

Administration de Réseaux d Entreprises

Présentation et portée du cours : CCNA Exploration v4.0

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Compte-rendu du TP n o 2

How To? Sécurité des réseaux sans fils

Cisco Certified Network Associate

Cisco RV220W Network Security Firewall

Spécialiste Systèmes et Réseaux

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Charte d installation des réseaux sans-fils à l INSA de Lyon

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

MISE EN PLACE DU FIREWALL SHOREWALL

Cisco RV220W Network Security Firewall

Segmentation des flux d un réseau local (VLAN) avec mise en place de liens d agrégations et implémentation du spanning tree

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Le rôle Serveur NPS et Protection d accès réseau

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

Fiche d identité produit

TCP/IP, NAT/PAT et Firewall

Chapitre 11 : Le Multicast sur IP

Introduction. Adresses

Sécurité des réseaux Firewalls

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Sécurité des réseaux sans fil

Le Multicast. A Guyancourt le

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

1 PfSense 1. Qu est-ce que c est

Cisco Network Admission Control

Licence professionnelle Réseaux et Sécurité Projets tutorés

TP réseaux Translation d adresse, firewalls, zonage

Commutateur sûr, efficace et intelligent pour petites entreprises

Pare-feu VPN sans fil N Cisco RV120W

Administration des ressources informatiques

Le protocole VTP. F. Nolot 2007

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Utilisation des ressources informatiques de l N7 à distance

Le service IPv4 multicast pour les sites RAP

Cisco Certified Network Associate Version 4

TP 6 : Wifi Sécurité

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

Documentation : Réseau

Mettre en place un accès sécurisé à travers Internet

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

DMZ... as Architecture des Systèmes d Information

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Contrôle d accès Centralisé Multi-sites

Transcription:

VLANs Les principes La réalisation Les standards Un scénario de mise en œuvre Exemple de configuration d équipements 22/01/2009 Formation Permanente Paris6 69

Les principes - longtemps, la solution a consisté à introduire des routeurs entre les différents domaines logiques avec pour effet : - diminution du domaine de broadcast - filtrage de niveau 3 entre stations - coûts assez élevés en matériels et gros problèmes de connexion des utilisateurs (brassage des prises réseaux, attribution des adresses IP, etc.) -charge d administration non négligeable -Problème de mobilité des postes - Idée : construire un réseau logique sur un réseau physique partagé Notion de réseau virtuel (Vlan) 22/01/2009 Formation Permanente Paris6 70

La réalisation Segmentation d un élément de commutation en différents sous-ensembles ne pou - Adressages de niveau 3 distincts pour chaque sous-ensemble - Passage obligé par un équipement de routage - Possibilité de filtrer les flux entre domaines Segmentation basée sur différents principes : - Vlan par ports - Vlan par adresse MAC - Vlan de niveau 3 - Vlan par utilisateurs 22/01/2009 Formation Permanente Paris6 71

Vlan par port : La réalisation (1) - 1 port <--> 1 Vlan (quelques précisions plus tard ) - table de correspondance dans le commutateur entre ports et Vlans - configuration simple - mise en œuvre la plus répandue - degré de fiabilité assez important si la gestion des équipements et des prises réseaux est bien faite Routeur 24 Forwarding DataBase (FDB) : VLAN PORT 2 1,2,3,4,5 3 6,7 4 8,9 etc. etc. 1 2 3 4 5 6 7 8 9 Vlan 2 Vlan 3 Vlan 4 Etc. 22/01/2009 Formation Permanente Paris6 72

Vlan par adresse MAC : La réalisation (2) - l appartenance à un Vlan est fonction de l adresse MAC des stations - correspondance dans le commutateur entre adresses MAC et Vlans - plusieurs Vlans possibles par port du commutateur (mais on perd alors une partie de la confidentialité en se remettant dans le cas d un réseau à plat) - configuration complexe due à la gestion des adresses MAC - mise en œuvre pas trop répandue sauf peut-être dans des contextes particuliers - degré de confiance limité : on peut usurper l adresse MAC des serveurs importants - idéal pour les postes nomades Vlan de niveau 3 : - analyse dans les trames de niveau 2 des informations de niveau 3 : adresses IP, type de protocole (IP, IPX), etc. - correspondance dans le commutateur entre informations de niveau 3 et Vlans - plusieurs Vlans possibles par port du commutateur (mêmes restrictions que pour les Vlans par adresses MAC) - gestion idéale pour les postes nomades - mise en œuvre pas trop répandue - degré de confiance limité : le même que celui d une adresse IP! 22/01/2009 Formation Permanente Paris6 73

Vlan par utilisateur : La réalisation (3) -norme 802.1x : Port Based Network Access Control EAP (Extensible Authentication Protocol) - mise en œuvre par modification du poste de l utilisateur : demande d authentification sur le réseau lors du démarrage du poste ( En standard pour Windows 2000 ( SP4), Win XP, MacOS 10.3 ) Client libre existant pour linux (xsupplicant) - mécanisme souvent couplé avec Radius, etc. - gestion idéale pour les postes nomades - mise en œuvre peu répandue - degré de confiance fonction du mode d authentification utilisé - De plus en plus utilisé pour les réseaux sans fils 22/01/2009 Formation Permanente Paris6 74

Les standards Normalisation IEEE 802.1Q Mise en œuvre du principe de «Frame Tagging» de Cisco (1995) Insertion dans une trame Ethernet de 4 octets supplémentaires : Taille maximale : 1518 (normale) ou 1522 (taggée) 7 octets 1 6 6 2 2 2 Préambule SFD @Destination @Source TPID TCI Tag Protocol Identifier 0x8100 pour Ethernet Type ou Longueur 0800 (IP) 2-30 RIF 46-1500 4 Données FCS 4 Données éventuelles FCS Tag Control Identifier Si bit à 1 Exemple utilisation : routage entre annea 3 bits 1 bit 12 bits Canonical Format Indicator User Priority : 802.1P Vlan Identifier 22/01/2009 Formation Permanente Paris6 75

Un peu de vocabulaire Équipements «Aware» et «Unaware» : - Les stations ou les équipements sachant interpréter la norme 802.1Q sont qualifiés de «aware» (équipements «ayant la connaissance») - Les autres équipements sont dits unaware Connexions de 3 types possibles : - lien d'accès simple : lien typiquement utilisé par les équipements "unaware" - lien Trunk : lien inter-commutateurs permettant de véhiculer les informations entre Vlans sur des commutateurs différents («aware» par définition) - lien hybride : lien acceptant aussi bien des équipements «aware» que «unaware 22/01/2009 Formation Permanente Paris6 76

Exemple de topologie Routeur inter-vlans - filtrage des communautés sur le routeur - «Spanning Tree» pour gérer les boucles 24 Lien TRUNK 1 2 3 4 5 6 7 1 3 8 11 12 Vlan 2 Vlan 3 Vlan 2 Vlan 3 Vlan 4 Spanning Tree (802.1D) Etc. Architecture physique Architecture logique 22/01/2009 Formation Permanente Paris6 77

Un scénario de mise en œuvre (1) Réseau d origine, sans Vlans : eurs «Internet ou Extranet» Extérieur (Campus, Renater, etc.) Visibles depuis l extérieur Routeur Protection par filtrage Serveurs «Intranet» Invisibles depuis l extérieur Éléments de commutation Restriction du routage Accédés en interne Postes utilisateurs Accédés en interne 22/01/2009 Formation Permanente Paris6 78

Un scénario de mise en œuvre (2) Une démarche de mise en place de Vlans : ➀ créer un VLAN réservé aux serveurs externes (zone semi-ouverte : DMZ) ➁ créer un VLAN pour les communautés d utilisateurs «hors SI», c est-à-dire n ayant pas vocation à travailler directement sur le système d information du site (salles de formation, etc.) ➂ créer un ou plusieurs VLANs s pour les utilisateurs «SI», c est-à-dire travaillant directement sur le système d information ➃ mettre en place pour chaque VLAN une classe d adresse privée,, non routable et donc non visible depuis l extérieur, ou bien attribuer une plage d adresse dans la ou les classes C actuellement utilisées ( subnetting ). La classe d adresse officielle est en général réservée aux équipements de la DMZ ➄ mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque communauté) afin de sécuriser l accès aux services ➅ mettre en place éventuellement (si l option adresse non routables a été choisie) un mécanisme de translation d adresse attribuant une adresse routable différente pour chaque communauté et des adresses fixes pour les serveurs accessibles depuis l extérieur (DMZ) 22/01/2009 Formation Permanente Paris6 79

Un scénario de mise en œuvre (3) Réseau d origine, avec Vlans : Extérieur communication Translation éventuelle à vocation de certaines externe adresses vers l extérieur Routeur Filtrage des flux provenant de l extérieur Vlan A DMZ Classe C officielle Commutateur-Routeur Éléments de commutation Serveurs à vocation inter Classe C privée Vlan B Filtrage des échanges entre Vlans Vlan C Administration Vlan D Equipe Recherche Classes C privées Vlan E Salle TP 22/01/2009 Formation Permanente Paris6 80

Une configuration concrète (1) La maquette : Routeur Cisco 3640 3 sous interfaces FastEthernet : FastEth0/0.1 : 192.168.1.1 FastEth0/0.2 : 192.168.2.1 FastEth0/0.3 : 192.169.1.1 Lien Trunk 802.1Q ou ISL 24 Commutateur Cisco 2924 1 2 3 4 5 6 7 8 9 16 Vlan 2 Vlan 3 Vlan 4 Port redirigé pour analyse de trafic 22/01/2009 Formation Permanente Paris6 81

Une configuration concrète (2) Les commandes sur le routeur : interface FastEthernet0/0 no ip address no ip directed-broadcast interface FastEthernet0/0.1 encpasulation dot1q 2 VLAN 2 ip address 192.168.1.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.2 encpasulation dot1q 3 VLAN 3 ip address 192.168.2.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.3 encpasulation dot1q 4 VLAN 4 ip address 192.169.1.1 255.255.255.0 no ip redirects no ip directed-broadcast 22/01/2009 Formation Permanente Paris6 82

Une configuration concrète (3) Les commandes sur le routeur : interface FastEthernet0/1 switchport access vlan 2 Affectation des ports aux différents Vlans interface FastEthernet0/2 switchport access vlan 3 interface FastEthernet0/3 switchport access vlan 4 interface FastEthernet0/15 interface FastEthernet0/16 port monitor FastEthernet0/1 Redirection de port pour faire de l analyse de réseau switchport access vlan 3 La redirection ne peut se faire que pour un même Vlan interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/23 interface FastEthernet0/24 Lien Trunk vers le routeur switchport mode trunk interface VLAN2 no ip address no ip route-cache interface VLAN3 On peut affecter une adresse IP à un Vlan pour l administrer ip address 192.168.1.2 255.255.255.0 no ip route-cache 22/01/2009 Formation Permanente Paris6 83

Quelques remarques Mieux vaut éviter l utilisation du VLAN 1 Passage de 802.1Q à ISL - Sur le commutateur : Int FastEthernet0/24 switchport trunk encapsulation isl - Sur le routeur : Int FastEthernet0/0.4 Encapsulation isl 4 Restriction des Vlans autorisés sur un lien trunk : switchport trunk 10/04/2006 84

Conclusion Les Vlans sont une réponse bien adaptée à la problématique de la séparation des La mise en œuvre est relativement simple (mais fonction tout de même de la taill Un soin tout particulier doit être apporté à la mise en œuvre selon le type de Vlan Il faut tout de même faire attention : la technologie des Vlans n est pas exempte d 22/01/2009 Formation Permanente Paris6 85

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back