Les Virtual LAN 1
Les Virtual LAN Introduction 2
Architecture d'un réseau Pour séparer, sur un réseau global, les rôles de chacun Solution classique : utilisation de sous-réseaux différents 3
Problème! Et si nous devons attribuer les mêmes rôles à des utilisateurs, mais répartie sur des bâtiments différents? Obligation de faire de multiples sous-réseaux! 4
Autres problèmes Les sous-réseaux multiples ne résolvent pas les problèmes suivants : Limiter la propagation de problème de niveau 2 ou 3 sur le réseau Limiter les domaines de broadcast Limiter «unknown MAC unicast trafic» Quand un switch ne connait pas l'adresse MAC d'une destination Contenir les trames de multicast qui sont propagées sur tous les ports du switch Difficulté d'administration d'un réseau mal organisé Limiter les éventuels problèmes de sécurité 5
Une solution : Les Réseaux Locaux Virtuels (VLAN) Objectifs des VLAN Avoir des fonctions de la couche 3 avec la vitesse de la couche 2 Faciliter la gestion de la mobilité des postes Supprimer la possibilité de communication entre certaines parties du réseau, sécurisé des domaines Pouvoir facilement attribuer des autorisations différentes, en fonction des droits et rôles de chaque groupe de personnes 6
Définitions Un réseau local (LAN) est défini par un domaine de diffusion Limité par des équipements fonctionnant au niveau 3 du modèle OSI : la couche réseau Un réseau local virtuel (VLAN) est un LAN distribué sur des équipements fonctionnant au niveau 2 du modèle OSI : la couche liaison (Ethernet) A priori, nous n'avons plus besoin d'avoir recours à un équipement de niveau 3 pour délimiter le LAN Les VLAN sont distribués sur différents équipements via des liaisons dédiées entre-eux appelées trunk Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs réseaux virtuels 7
Exemple d'architectures non réfléchies! 8
Regroupement fonctionnel en sous-réseaux 9
Avantages du regroupement Facilité d'administration Minimise les risques de duplication d'ip Réduit les tables de routage 10
Préconisation Permettre d'attribuer des blocs de 4, 8, 16, 32 ou 64 réseaux contiguë dans building distribution et access switch block donnés Permet ainsi de faciliter la summarization dans une adresse plus large Avoir une continuité des IP au sein d'un Building Distribution Layer et Building Access layer Avoir un sous-réseau par VLAN Éviter les masques variables pour éviter les éventuelles erreurs d'administration 11
Exemple 12
Exemple 13
Exemple 14
Interconnection technologie 15
Déterminer les équipements et liens Building Access layer to Distribution Layer Un rapport de 20:1 : les liens peuvent être dimensionnés à 1/20 du total de la bande passante Distribution to core layer Un rapport inférieur à 4:1 (autre dit, 1/4 du total de la bande passante nécessaire) Entre équipement du core layer Essayer d'avoir des liens d'une capacité suffisante pour tout le trafic Ces conseils ne doivent pas être appliqués sur les server farms, ou bien sur le edge distribution modules ou si des applications spécifiques ont besoin d'un débit important Ces estimations ont été faites dans le cadre de communication depuis des end-user en access layer 16
Prendre en compte la source de trafic Plusieurs types de trafic Management : BPDU, CDP, SNMP, RMON Téléphonie IP Multicast : musique d'attente de ToIP, streaming video, routage dynamique Données normales : http, smtp, sql,... Scavenger class : trafic qui génère un flux important 17
End-to-end VLAN Un VLAN est affecté à un port d'un switch 18
Caractéristiques du End-to-End VLAN VLAN géographiquement réparti sur le réseau Les utilisateurs sont regroupés dans des VLAN, quelque soit leur emplacement Même si un utilisateur se déplace, il sera toujours dans le même VLAN Un utilisateur est associé à un VLAN Chaque VLAN possède son propre sous-réseau 19
Motivation du End-to-End VLAN Sécurité : limiter les accès Regrouper les utilisateurs avec le même rôle, quelque soit leur emplacement géographique Appliqué de la QoS sur certains trafics et donc certains VLANs Mais Chaque équipement doit avoir la même VLAN database Comme le trafic d'un VLAN donnée passe par tous les équipements, même ceux qui n'ont aucun port sur ce VLAN, difficulté à «troubleshooter» en cas de problème 20
Règle du 80/20? Avant : 80% du trafic doit être local au réseaux et 20% seulement pour les ressource extérieure, passant par le core layer Avec les VLAN et les applications client-serveur, ce n'est plus vérifié Les servers farms sont interconnectés au core layer et géographiquement centralisés De plus en plus de consolidation de serveurs et d'accès à Internet Maintenant : La règle du 20/80 est appliqué 20% de trafic est local et 80% extérieur 21
Les VLAN locaux Ils sont localisés dans une seule armoire de répartition 22
Avantages des VLAN locaux Le flux réseau est prévisible car localisé dans les couches access, distribution ou core layer Possibilité d'avoir une redondance de chemin avec les algo PVST ou MSTP Haute disponibilité Finite failure domain Scalable design 23
Les VLAN Configuration 24
Les VLAN IDs Les identifiants des VLAN font parti de 2 plages Les normal-range ID Les extended-range ID Les normal-range ID De 1 à 1005 Utilisé dans les réseaux des petites et moyennes entreprises Les identifiants 1002 à 1005 sont réservés aux protocoles Token Ring et FDDI Les VLAN 1, 1002 et 1005 sont créés par défaut, ils ne peuvent être supprimés Les configurations des VLAN sont stockées dans un fichier, appelé vlan.dat en mémoire flash du switch 25
Les VLAN IDs Les extended VLANs Plage comprise entre 1006 et 4094 Supporte moins de fonctionnalité que le normal range VLAN Les switch Catalyst 2950 et 2960 supportent un maximum de 255 VLAN normal et étendu, simultané Par contre, l'augmentation du nombre de VLAN sur un switch dégrade les performances de celui-ci 26
Les différents modes A un VLAN est associé un ID Chaque port d'un switch appartient à un VLAN Cette affectation peut être Statique Cf 3.1.3.1 CCNA 4.0 LAN Switching Dynamique Peut utilisé dans les réseaux Nécessite un VLAN Membership Policy Server (VMPS) L'affectation à un VLAN se fait en fonction de l'adresse MAC d'une machine Dans le cas d'un Voice VLAN, il ne faut pas oublier que tout le réseau doit le supporter Gestion de la priorité de ces flux sur les autres 27
Création d'un VLAN A chaque changement ou création de VLAN, le numéro de révision de VTP (si mis en place) augmente Pour associer un port à un VLAN, il faut qu'il devienne un access port Un port devient access port soit de façon statique, soit de façon dynamique Un access port est Associé à un VLAN unique, qui existe sinon le port ne forwardera pas de trame Association dynamique grâce aux adresses MAC connu sur un VLAN Membership Policy Server (VMPS) 28
Les commandes 29
Utilisation des trunks Les trunk peuvent être utilisés Entre 2 commutateurs C'est le mode de distribution des réseaux locaux le plus courant Entre un commutateur et un hôte Si un hôte supporte le trunking, il a la possibilité d'analyser le trafic de tous les réseaux locaux virtuels Entre un commutateur et un routeur Permet d'accéder aux fonctionnalités de routage entre des VLAN 2 types de protocoles pour les trunk Cisco Inter-Switch Link (ISL) IEEE 802.1q 30
VLAN type Cisco Inter-Switch Link (ISL VLAN) Technique développée pour les équipements Cisco. La trame originale est complètement encapsulée dans des trames ISL Ajout d'une en-tête de 26 octets et d'une en-queue (CRC) de 4 octets Support de multiples protocoles de niveau 2 (Ethernet, Token Ring, ATM, FDDI) Support de PVST (Spanning Tree) N'utilise pas de VLAN Natif Solution surtout utilisée dans le Voice over IP des équipements Cisco Technique non compatible avec les standards IEEE 802.1Q 31
Format de la trame ISL DA : destination address (40 bit) adresse multicast 0x01-00-0C-00-00 ou 0x03-00-0c-00-00 qui indique que c'est une trame ISL Type : Ethernet (0000), Token Ring (0001), FDDI (0010) ou ATM (0011) User : (4 bits) extension du champ Type ou bien priorité Ethernet 0, la plus basse et 3 la plus haute. Pour Ethernet le bit 0 et 1 sont utilisé pour la priorité 32
Format de la trame ISL SA : (48 bits) source MAC adresse LEN : (16 bits) longueur sans DA, Type, User, SA, LEN et CRC AAAA03 : Standard Subnetwork Access Protocol (SNAP) et 802.2 logical link control (LLC) header HSA (high bits of source address): 3 premiers octets du SA VID : (15 bits) seulement les 10 derniers bit sont utilisés (donc 1024 VLANs) 33
Format de la trame ISL BPDU : (1 bit) indique si c'est une trame BPDU de spanning tree mais aussi si la trame encapsulée est du CDP, du VTP INDX : (16 bits) utilisé pour faire du diagnostic, indique l'index du port source du packet s'il existe sur le switch RES : (16 bits) réservé pour Token Ring et FDDI 34
VLAN IEEE 802.1Q Standard qui fournit un mécanisme très répandu, implanté dans de nombreux équipements de marques différentes L'en-tête de la trame est complétée par une balise de 4 octets VLAN1 VLAN2 VLAN3 35
Fonctionnalités Support d'ethernet et Token Ring Jusque 4096 VLANs Les protocoles de Spanning Tree CST, MSTP et RSTP sont supportés Point-to-Multipoint topologie Support des trames non tagé, via le VLAN natif Support de la QoS Supporte la ToIP 36
La trame Ethernet 802.3 8 6 6 2 0-1500 4 Préambule Adr. de dest. Adr. source Longueur Données FCS Le champ Type est remplacé par le champ longueur Pour éviter des problèmes de compatibilité, IEEE a décidé de considérer ce champ comme indiquant une longueur si la valeur est <= 1500 sinon c'est le type de données transportées 37
Les tags 802.1q 38
La trame IEEE 802.1Q EtherType ou Tag Protocol IDentifier (TPID) 12 bits utilisés pour identifier le protocole de la balise insérée. Pour une balise 802.1q, la valeur est fixée à 0x8100 Priority 3 bits pour coder 8 niveaux de priorité. Aucun rapport avec les priorités sur IP. Uniquement pour mettre des priorités entre les trames de certains VLAN par rapport à d'autres Canonical Format Identifier ou Token Ring Encapsulation Flag 1 bit pour la compatibilité entre les adresses MAC Ethernet et Token Ring. Un commutateur Ethernet fixe toujours cette valeur à 0. Si une trame avec la valeur 1 pour ce champ arrive, celle-ci ne sera pas propagée VID (ou VLAN Identifier) 12 bits qui permettent de définir l'appartenance de la trame à un VLAN, au maximum 4094 VLAN possibles 39
Fonctionnement Quand une trame non 802.1q arrive sur un port trunk 802.1q Le tag est ignoré et le paquet est commuté niveau 2 comme une trame Ethernet standard Pour accepter les trames 802.1q, il faut que l'équipement accepte des MTU de 1522 ou plus MTU Ethernet classique 1518 octets + 28 bits (4 octets) La MTU ne doit pas être > 1600 octets 40
Les types de VLAN Actuellement, sur un réseau, plusieurs VLAN sont distingués (3.1.2.3 Lan Switching) Les Data VLAN Ne véhiculent que des données utilisateurs Le Default VLAN Le VLAN dans lequel un switch, à la livraison se trouve Chez Cisco, c'est le VLAN 1 et il ne peut pas être changé Les protocoles CDP et les spanning tree sont associés à ce VLAN Le Management VLAN C'est le VLAN qui est utilisé pour configurer les swicths. Le Voice VLAN Le Native VLAN C'est le VLAN associé au port trunk 802.1Q qui a la capacité de véhiculer les données marquées ou pas par un identifiant de VLAN 41
Le VLAN Natif 42
Le Voice VLAN La VoIP nécessite des impératifs afin de pouvoir assurer une qualité suffisante sur le trafic vocal Garantir une bande passante suffisante Transmettre en priorité ces flux Etre capable de router ces flux vers des zones congestionnées du réseau Avoir un délai inférieur à 150 ms à travers le réseau 43
Trunking configuration commands 44
Trunking configuration Configuration statique Conseillé de le faire en statique quand c'est possible Configuration dynamique via Dynamic Trunking Protocol (DTP) Protocole utilisé par les switchs Cisco Catalyst Négocie automatiquement les liens trunk 5 modes de fonctionnements Dynamic auto : basé sur les requêtes de négociation des switchs voisins Dynamic Desirable : envoie l'information que le port veut être en mode trunk. Passe trunk si l'interface du voisin peut également passer trunk Trunk : devient trunk, sans regarder ni l'état du switch voisin, ni les requêtes DTP Access : trunk non autorisé Nonegociate : empêche l'interface de générer des trames DTP 45
Config. DTP possibles 46
Visualisation le mode DTP d'un port 47
Configuration du trunk Mettre isl à la place de dot1q pour utiliser le protocole ISL Non supporté sur les 2950 et 2960 Visualisation de l'état d'un port : show interfaces fastethernet 0/5 switchport 48
Les Virtual LAN Propagation des VLAN 49
Les domaines VTP Les VLAN peuvent être regroupés en domaine Tous les VLAN partagent ainsi les mêmes informations globales : VLAN number, nom et description Un switch ne peut appartenir qu'à un seul domaine Les mises à jour VTP ne sont échangées qu'entre switch d'un même domaine 50
Le protocole VTP VTP est un protocole de niveau 2, d'échanges d'information Existence de 3 versions différentes Permet de gérer l'ajout, la suppression et les changements de nom Protocole propriétaire Cisco Fonctionne sur les VLAN 1 à 1005 uniquement jusque la version 2 Informations échangées uniquement via les ports trunk Dans un même domaine, toutes les versions de VTP doivent être identiques 51
Fonctionnement VTP Chaque switch est dans un mode VTP particulier Cela détermine la gestion des mises à jour La version 2 de VTP Supporte Token Ring Propage les mises à jour VTP de type, longueur ou valeur non reconnus Transfère les mises à jour provenant de switch en mode transparent, sans regarder le numéro de version de la révision La version 3 supporte Les VLAN étendus La création et diffusion des VLAN privés Les instances VLAN et la propagation des MST La protection de la base VLAN en cas d'erreur accidentelle Fonctionne avec la version 1 et 2 52
Les modes VTP 53
VTP Pruning 54
Les échanges VTP VLAN 1 non éligible au «pruning» Echange d'informations toutes les 5 minutes ou après une modification d'une configuration Utilise des trames de multicast sur le VLAN 1 L'élément critique est le numéro de révision dans le VLAN Initialement à 0 Incrémenté de 1 à chaque modification sur le serveur VTP Si le numéro de révision reçu est supérieur à celui enregistré, la configuration reçu est enregistré 55
Les 3 types de messages VTP Summary advertisements : échangé toutes les 300 secondes ou quand une mise à jour a lieu Dans ce message figurent au moins le domain d'administration, la version VTP, le nom du domaine, le numéro de révision de la configuration, un time stamp et le nombre de «subset advertisements» Subset advertisement : envoyé à la suite d'un summary advertisement résultat d'une modification de la base VLAN Contient les changements effectués Un subset advertisement pour chaque VID modifié Advertisement request depuis les clients : envoyé quand un switch réclame les informations pour mettre à jour sa base VLAN Quand un switch voit un message summary avec une revison supérieur à la sienne, il demande la nouvelle configuration Le Serveur retourne un summary et un subset advertisements 56
Configuration VTP Show vtp permet de visualiser la configuration Dans un même domain VTP, tous les switchs doivent avoir le même nom de domaine VTP et mot de passe (optionnel) Mettre le switch en client quand ajouter à une architecture existante Par défaut, il est serveur Commandes de base vtp domain vtp password vtp v2-mode vtp mode client, vtp mode server ou vtp mode transparent show vtp status, show vtp counters, show vlan Par défaut, VTP mode est server, VTP domain name et password sont none et VTP trap disabled (pour communiquer le statut VTP via SNMP) 57
Les Virtual LAN Les erreurs classiques 58
Exemple 1 Quelle configuration permet d'obtenir une liaison trunk? 59
Résolution de problèmes La négociation Trunk se fait par DTP, en point à point Quand DTP est utilisé, s'assurer d'avoir le même VTP domain DTP est propriétaire Cisco donc non compatible avec d'autres équipements Conseiller dans ce cas de le désactiver Soit faire un switchport mode access switchport mode trunk Ou switchport mode nonnegociate Et définir le protocole trunk, si besoin d'un trunk switchport trunk encapsulation dot1q (ou isl) 60
Résolution de problèmes Sur une configuration Server, Client et transparent Avoir le même domaine VTP Avoir la même version de VTP Avoir au moins un server Vérifier l'existance d'un trunk Avoir le même mot de passe, si défini S'assurer qu'un mauvais numéro de révision d'un switch ajouté n'a pas généré un écrasement de la bonne configuration Un switch client peut effacer la config du switch server si son numéro de révision est supérieur à celui du switch serveur 61