Formation SIARS Les réseaux virtuels (Vlans)
Plan Les principes La réalisation Les standards Un scénario de mise en œuvre Exemple de configuration d équipements
Les principes
Les principes Historiquement : - réseaux locaux Ethernet à plat - utilisation de concentrateurs (ou Hubs) pour construire une topologie en étoile Problèmes : - Ethernet est un protocole à diffusion : support physique et bande passante partagée par toutes les stations - accroissement des besoins en débit - accroissement du nombre de stations connectées Les évolutions dans le domaine de la commutation ont permis de remplacer en cœur de réseau les concentrateurs par des commutateurs
Les principes Conséquences positives : - diminution voire suppression complète du domaine de collision (une station par port de commutateur et communication Full Duplex ) - augmentation de la bande passante disponible (effet de bord de la diminution du domaine de collision et du passage à 10, 100 voire 1000 Mbit/s) - améliorations en termes de sécurité en remettant quelque peu en cause le principe des réseaux à plat qui voulait que : TOUTES les stations écoutent TOUT Conséquences négatives : - le domaine de broadcast reste le même - chaque station peut dialoguer avec n importe qu elle autre directement pour peu qu elles appartiennent au même réseau IP
Les principes Solutions aux conséquences négatives : - longtemps, la solution a consisté à introduire des routeurs entre les différents domaines logiques avec pour effet : - diminution du domaine de broadcast - filtrage de niveau 3 entre stations - coûts assez élevés en matériels et gros problèmes de connexion des utilisateurs (brassage des prises réseaux, attribution des adresses IP, etc.) - charge d administration non négligeable - Idée : construire un réseau logique sur un réseau physique partagé Notion de réseau virtuel (Vlan)
La réalisation
La réalisation Segmentation d un élément de commutation en différents sous-ensembles ne pouvant pas communiquer entre eux directement - Adressages de niveau 3 distincts pour chaque sous-ensemble - Passage obligé par un équipement de routage - Possibilité de filtrer les flux entre domaines Segmentation basée sur différents principes : - Vlan par ports - Vlan par adresse MAC - Vlan de niveau 3 - Vlan par utilisateurs
Vlan par port : La réalisation - 1 port <--> 1 Vlan (quelques précisions plus tard ) - table de correspondance dans le commutateur entre ports et Vlans - configuration simple - mise en œuvre la plus répandue - degré de fiabilité assez important si la Routeur gestion des équipements et des prises réseaux est bien faite 24 Forwarding DataBase (FDB) : VLAN PORT 1 1,2,3,4,5 2 6,7 3 8,9 etc. etc. 1 2 3 4 5 6 7 8 9 Vlan 1 Vlan 2 Vlan 3 Etc.
La réalisation Vlan par adresse MAC : - l appartenance à un Vlan est fonction de l adresse MAC des stations - correspondance dans le commutateur entre adresses MAC et Vlans - plusieurs Vlans possibles par port du commutateur (mais on perd alors une partie de la confidentialité en se remettant dans le cas d un réseau à plat) - configuration complexe due à la gestion des adresses MAC - mise en œuvre pas trop répandue sauf peut-être dans des contextes particuliers - degré de confiance limité : on peut usurper l adresse MAC des serveurs importants - idéal pour les postes nomades Vlan de niveau 3 : - analyse dans les trames de niveau 2 des informations de niveau 3 : adresses IP, type de protocole (IP, IPX), etc. - correspondance dans le commutateur entre informations de niveau 3 et Vlans - plusieurs Vlans possibles par port du commutateur (mêmes restrictions que pour les Vlans par adresses MAC) - gestion idéale pour les postes nomades - mise en œuvre pas trop répandue - degré de confiance limité : le même que celui d une adresse IP!
La réalisation Vlan par utilisateur : - pas de normalisation vraiment aboutie actuellement mais la démarche est en cours (norme 802.1x : Port Based Network Access Control) - offres souvent différentes selon les constructeurs - mise en œuvre par modification du poste de l utilisateur : demande d authentification sur le réseau lors du démarrage du poste - mécanisme souvent couplé avec Radius, etc. - gestion idéale pour les postes nomades - mise en œuvre peu répandue - degré de confiance fonction du mode d authentification utilisé
Les standards
Les standards Normalisation IEEE 802.1Q Mise en œuvre du principe de «Frame Tagging» de Cisco (1995) Insertion dans une trame Ethernet de 4 octets supplémentaires : Taille maximale : 1518 (normale) ou 1522 (taggée) 7 octets 1 6 6 2 2 2 Préambule SFD @Destination @Source TPID TCI Tag Protocol Identifier 0x8100 pour Ethernet Type ou Longueur 0800 (IP) 2-30 RIF 46-1500 4 Données FCS 4 Données éventuelles FCS Tag Control Identifier Si bit à 1 Exemple utilisation : routage entre anneaux Token Ring 3 bits 1 bit 12 bits User Priority : 802.1P Canonical Format Indicator Vlan Identifier
802.1Q en action
Un peu de vocabulaire Équipements «Aware» et «Unaware» : - Les stations ou les équipements sachant interpréter la norme 802.1Q sont qualifiés de «aware» (équipements «ayant la connaissance») - Les autres équipements sont dits unaware Connexions de 3 types possibles : - lien d'accès simple : lien typiquement utilisé par les équipements "unaware" - lien Trunk : lien inter-commutateurs permettant de véhiculer les informations entre Vlans sur des commutateurs différents («aware» par définition) - lien hybride : lien acceptant aussi bien des équipements «aware» que «unaware»
Exemple de topologie Routeur inter-vlans - filtrage des communautés sur le routeur - «Spanning Tree» pour gérer les boucles 24 Lien TRUNK 1 2 3 4 5 6 7 1 3 8 11 12 Vlan 1 Vlan 2 Spanning Tree (802.1D) Vlan 1 Vlan 3 Vlan 2 Etc. Architecture physique Architecture logique
Un scénario de mise en œuvre
Un scénario de mise en œuvre Réseau d origine, sans Vlans : Extérieur (Campus, Renater, etc.) Serveurs «Internet ou Extranet» Visibles depuis l extérieur Routeur Protection par filtrage Serveurs «Intranet» Invisibles depuis l extérieur Éléments de commutation Restriction du routage Accédés en interne Utilisateurs Utilisateurs Postes utilisateurs Utilisateurs Utilisateurs Accédés en interne
Un scénario de mise en œuvre Une démarche de mise en place de Vlans : ➀ créer un VLAN réservé aux serveurs externes (zone semi-ouverte : DMZ) ➁ créer un VLAN pour les communautés d utilisateurs «hors SI», c est-à-dire n ayant pas vocation à travailler directement sur le système d information du site (salles de formation, etc.) ➂ créer un ou plusieurs VLANs pour les utilisateurs «SI», c est-à-dire travaillant directement sur le système d information ➃ mettre en place pour chaque VLAN une classe d adresse privée, non routable et donc non visible depuis l extérieur, ou bien attribuer une plage d adresse dans la ou les classes C actuellement utilisées ( subnetting ). La classe d adresse officielle est en général réservée aux équipements de la DMZ ➄ mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque communauté) afin de sécuriser l accès aux services ➅ mettre en place éventuellement (si l option adresse non routables a été choisie) un mécanisme de translation d adresse attribuant une adresse routable différente pour chaque communauté et des adresses fixes pour les serveurs accessibles depuis l extérieur (DMZ)
Un scénario de mise en œuvre Réseau d origine, avec Vlans : Extérieur Translation éventuelle de certaines adresses vers l extérieur Routeur Filtrage des flux provenant de l extérieur Serveurs de communication à vocation externe Vlan A Classe C officielle Éléments de commutation Filtrage des échanges entre Vlans Classe C privée Vlan B Utilisateurs Utilisateurs Utilisateurs Serveurs à vocation interne Utilisateurs Vlan C Utilisateurs Utilisateurs Vlan D Utilisateurs Utilisateurs Classes C privées Utilisateurs Vlan E
Exemple de configuration d équipements
Une configuration concrète La maquette : Routeur Cisco 3640 3 sous interfaces FastEthernet : FastEth0/0.1 : 192.168.1.1 FastEth0/0.2 : 192.168.2.1 FastEth0/0.3 : 192.169.1.1 Lien Trunk ISL ou 802.1Q 24 Commutateur Cisco 2924 1 2 3 4 5 6 7 8 9 16 Vlan 1 Vlan 2 Vlan 3 Port redirigé pour analyse de trafic
Les commandes sur le routeur : interface FastEthernet0/0 no ip address no ip directed-broadcast Une configuration concrète interface FastEthernet0/0.1 encpasulation isl 1 VLAN 1 ip address 192.168.1.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.2 encpasulation isl 2 VLAN 2 ip address 192.168.2.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.3 encpasulation isl 3 VLAN 3 ip address 192.169.1.1 255.255.255.0 no ip redirects no ip directed-broadcast
Les commandes sur le commutateur : Une configuration concrète interface FastEthernet0/1 switchport access vlan 1 interface FastEthernet0/2 switchport access vlan 1 interface FastEthernet0/3 switchport access vlan 1 interface FastEthernet0/15 interface FastEthernet0/16 port monitor FastEthernet0/1 switchport access vlan 3 interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/23 interface FastEthernet0/24 switchport mode trunk Affectation des ports aux différents Vlans Redirection de port pour faire de l analyse de réseau La redirection ne peut se faire que pour un même Vlan Lien Trunk vers le routeur interface VLAN1 no ip address no ip route-cache interface VLAN3 On peut affecter une adresse IP à un Vlan pour l administrer ip address 192.169.1.2 255.255.255.0 no ip route-cache
Quelques remarques Passage d ISL à 802.1Q : - Sur le commutateur : Int FastEthernet0/24 switchport trunk encapsulation dot1q - Sur le routeur : Int FastEthernet0/0.4 Encapsulation dot1q 4 Restriction des Vlans autorisés sur un lien trunk : switchport trunk allowed vlan 1, 100-200, 1002-1005
Notion de domaine de Vlan : Quelques remarques Routeur inter-vlans service password-encryption vtp server vtp domain MonReseau vtp password MonMotDePasse 24 Lien TRUNK service password-encryption vtp client vtp domain MonReseau vtp password MonMotDePasse 1 2 3 4 5 6 7 1 3 8 11 Vlan 2 Vlan 3 Vlan 2 Vlan 3 Vlan 4 Attention : configuration de VTP par la commande vlan database Diffusion des informations relatives aux Vlans
Conclusion
Conclusion Les Vlans sont une réponse bien adaptée à la problématique de la séparation des communautés d utilisateurs sur un réseau local La mise en œuvre est relativement simple (mais fonction tout de même de la taille du réseau!) et facilite les tâches d administration Un soin tout particulier doit être apporté à la mise en œuvre selon le type de Vlans (par port, par adresse MAC, etc.) Il faut tout de même faire attention : la technologie des Vlans n est pas exempte de problèmes de sécurité : problèmes d implémentation, gestion et attribution des numéros de Vlans, etc.