A partir de ces différents matériels, l administrateur a déterminé huit configurations différentes. Il vous demande de les compléter.



Documents pareils
I>~I.J 4j1.bJ1UlJ ~..;W:i 1U

Exonet sur le protocole Syslog

VTP. LAN Switching and Wireless Chapitre 4

APPENDIX 6 BONUS RING FORMAT

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Instructions Mozilla Thunderbird Page 1

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

WEB page builder and server for SCADA applications usable from a WEB navigator

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

AMENDMENT TO BILL 32 AMENDEMENT AU PROJET DE LOI 32

Règlement relatif à l examen fait conformément à la Déclaration canadienne des droits. Canadian Bill of Rights Examination Regulations CODIFICATION

THÈSE. présentée à TÉLÉCOM PARISTECH. pour obtenir le grade de. DOCTEUR de TÉLÉCOM PARISTECH. Mention Informatique et Réseaux. par.

Forthcoming Database

How to Login to Career Page

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

DOCUMENTATION - FRANCAIS... 2

DOCUMENTATION - FRANCAIS... 2

Practice Direction. Class Proceedings

Improving the breakdown of the Central Credit Register data by category of enterprises

RULE 5 - SERVICE OF DOCUMENTS RÈGLE 5 SIGNIFICATION DE DOCUMENTS. Rule 5 / Règle 5

Configuration du serveur ESX

FÉDÉRATION INTERNATIONALE DE NATATION Diving

TABLE DES MATIERES A OBJET PROCEDURE DE CONNEXION

CLIM/GTP/27/8 ANNEX III/ANNEXE III. Category 1 New indications/ 1 re catégorie Nouvelles indications

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

Paxton. ins Net2 desktop reader USB

NORME INTERNATIONALE INTERNATIONAL STANDARD. Dispositifs à semiconducteurs Dispositifs discrets. Semiconductor devices Discrete devices

Cheque Holding Policy Disclosure (Banks) Regulations. Règlement sur la communication de la politique de retenue de chèques (banques) CONSOLIDATION

UNIVERSITY OF MALTA FACULTY OF ARTS. French as Main Area in an ordinary Bachelor s Degree

Les réseaux de campus. F. Nolot

Application Form/ Formulaire de demande

Utiliser une WebCam. Micro-ordinateurs, informations, idées, trucs et astuces

APPENDIX 2. Provisions to be included in the contract between the Provider and the. Holder

Contrôle d'accès Access control. Notice technique / Technical Manual

Archived Content. Contenu archivé

LOI SUR LA RECONNAISSANCE DE L'ADOPTION SELON LES COUTUMES AUTOCHTONES ABORIGINAL CUSTOM ADOPTION RECOGNITION ACT

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

RAPID Prenez le contrôle sur vos données

Le Multicast. A Guyancourt le

HSCS 6.4 : mieux appréhender la gestion du stockage en environnement VMware et service de fichiers HNAS Laurent Bartoletti Product Marketing Manager

AUDIT COMMITTEE: TERMS OF REFERENCE

Instructions pour mettre à jour un HFFv2 v1.x.yy v2.0.00

3615 SELFIE. HOW-TO / GUIDE D'UTILISATION

Exemple PLS avec SAS

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Bill 12 Projet de loi 12

INDIVIDUALS AND LEGAL ENTITIES: If the dividends have not been paid yet, you may be eligible for the simplified procedure.

Tex: The book of which I'm the author is an historical novel.

Interest Rate for Customs Purposes Regulations. Règlement sur le taux d intérêt aux fins des douanes CONSOLIDATION CODIFICATION

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Once the installation is complete, you can delete the temporary Zip files..

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

CHAPITRE 4. La réglementation du médicament

BILL 203 PROJET DE LOI 203

Support Orders and Support Provisions (Banks and Authorized Foreign Banks) Regulations

INVESTMENT REGULATIONS R In force October 1, RÈGLEMENT SUR LES INVESTISSEMENTS R En vigueur le 1 er octobre 2001

Les Portfolios et Moodle Petit inventaire

COUNCIL OF THE EUROPEAN UNION. Brussels, 18 September 2008 (19.09) (OR. fr) 13156/08 LIMITE PI 53

LE FORMAT DES RAPPORTS DU PERSONNEL DES COMMISSIONS DE DISTRICT D AMENAGEMENT FORMAT OF DISTRICT PLANNING COMMISSION STAFF REPORTS

F1 Security Requirement Check List (SRCL)

BILL C-452 PROJET DE LOI C-452 C-452 C-452 HOUSE OF COMMONS OF CANADA CHAMBRE DES COMMUNES DU CANADA

Bill 69 Projet de loi 69

Monitor LRD. Table des matières

Air Transportation Tax Order, Décret de 1995 sur la taxe de transport aérien CONSOLIDATION CODIFICATION

Frequently Asked Questions

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

AVOB sélectionné par Ovum

Compléter le formulaire «Demande de participation» et l envoyer aux bureaux de SGC* à l adresse suivante :

Loi sur la Semaine nationale du don de sang. National Blood Donor Week Act CODIFICATION CONSOLIDATION. S.C. 2008, c. 4 L.C. 2008, ch.

Vers un nouveau modèle de sécurisation

Natixis Asset Management Response to the European Commission Green Paper on shadow banking

Optimized Protocol Stack for Virtualized Converged Enhanced Ethernet

Plan. Department of Informatics

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Les réseaux locaux virtuels (VLAN)

Garage Door Monitor Model 829LM

RÉSUMÉ DE THÈSE. L implantation des systèmes d'information (SI) organisationnels demeure une tâche difficile

that the child(ren) was/were in need of protection under Part III of the Child and Family Services Act, and the court made an order on

The new consumables catalogue from Medisoft is now updated. Please discover this full overview of all our consumables available to you.

IPSAS 32 «Service concession arrangements» (SCA) Marie-Pierre Cordier Baudouin Griton, IPSAS Board

Spécial Catégorie 6 Patch Cords

SERVEUR DÉDIÉ DOCUMENTATION

ONTARIO Court File Number. Form 17E: Trial Management Conference Brief. Date of trial management conference. Name of party filing this brief

Innovation in Home Insurance: What Services are to be Developed and for what Trade Network?

0,3YDQGLWVVHFXULW\ FKDOOHQJHV 0$,1²0RELOLW\IRU$OO,31HWZRUNV²0RELOH,3 (XUHVFRP:RUNVKRS %HUOLQ$SULO

Administration des ressources informatiques

P R E T S P R E F E R E N T I E L S E T S U B V E N T I O N S D I N T E R Ê T S

1.The pronouns me, te, nous, and vous are object pronouns.

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

First Nations Assessment Inspection Regulations. Règlement sur l inspection aux fins d évaluation foncière des premières nations CONSOLIDATION

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Exercices sur SQL server 2000

DIR-635 : Serveur virtuel

Règlement sur le télémarketing et les centres d'appel. Call Centres Telemarketing Sales Regulation

Acce s aux applications informatiques Supply Chain Fournisseurs

English Q&A #1 Braille Services Requirement PPTC Q1. Would you like our proposal to be shipped or do you prefer an electronic submission?

L ESPACE À TRAVERS LE REGARD DES FEMMES. European Economic and Social Committee Comité économique et social européen

Transcription:

Exonet - Ressources mutualisées en réseau Description du thème Propriétés Intitulé long Formation concernée Présentation Modules Activités Compétences ; Savoir-faire Description Ressources mutualisées dans une architecture de réseaux virtuels. BTS Informatique de gestion option ARLE BTS services informatiques aux organisations, parcours SISR (solutions d infrastructures, systèmes et réseaux) Étude de huit solutions pour partager l'accès à un serveur de fichiers dans une architecture optimisée et sécurisée par la mise en place de réseaux virtuels. Les dernières solutions sont réalisées avec des fonctions avancées : VLAN asymétriques ou solutions propriétaires. SISR2 Conception des infrastructures réseaux A3.2.1 Installation et configuration d éléments d infrastructure BTS SIO : Justifier le choix d une solution technique Configurer les éléments d interconnexion permettant de séparer les flux Pré-requis Mots-clés Durée Auteur(es) Version v 1.0 Date de publication BTS IG : C22 Installer et configurer un réseau C33 Assurer la sécurité d'un réseau C35 Actualiser une solution informatique et améliorer ses performances Commutation VLAN routage filtrage VLAN, 02.1q, Vlan asymétrique, filtrage, routage, interface virtuelle 1h30 à 2h Daniel Régnier (avec la précieuse relecture de Freddy Didier) Avril 20 Contexte de travail Une entreprise souhaite mutualiser un serveur de fichiers entre plusieurs services dans une architecture construite avec des VLAN. Toute communication entre les services est interdite, mais les postes de chaque service doivent accéder à ce serveur partagé (ressource mutualisée).les commutateurs des services sont reliés à un commutateur central. Schéma simplifié du réseau : http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 1

L'affectation des ports sur le commutateur central est la suivante : Ports Affectation 7 à 12 libres L administrateur veut étudier plusieurs solutions pour réaliser cette mutualisation. Ces solutions varient en fonction du type de commutateur central, de l'interface réseau de la ressource partagée et de l'utilisation éventuelle d'un routeur. Des fonctionnalités avancées de certains commutateurs pour la gestion des vlan sont présentées dans certaines solutions. A partir de ces différents matériels, l administrateur a déterminé huit configurations différentes. Il vous demande de les compléter. Les contraintes : - Interdire la communication entre les services. - Tous les services accèdent à la ressource mutualisée (un serveur de fichiers). - La communication au sein même d'un service n'est pas obligatoire. - Les réseaux IP éventuels seront :.1.0.0/16,.2.0.0/16,.3.0.0/16,.4.0.0/16,.5.0.0/16,.6.0.0/16 Travail à faire : Pour chaque solution présentée dans les pages 3 à 7, compléter la partie configuration en spécifiant le nombre de Vlan nécessaires, l'affectation des ports du commutateur central, la ou les adresses des réseaux IP utilisés, la configuration IP de la ressource mutualisée et la configuration IP des éléments spécifiés (postes des services, routeur éventuel). Chaque solution présente des caractéristiques différentes en termes d'évolutivité, de configuration, d'administration et de performance. Travail à faire : Pour chaque solution présentée dans les pages 3 à 7, définir les éventuels avantages et/ou inconvénients. http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 2

1) Solution N 1 - Ressource à mutualiser dispose de trois interfaces non compatibles 02.1q. Principe : Nombre de vlan : Ports Vlan 02.1q activé Affectation 7 Réseaux IP utilisés : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : 2) Solution N 2 - Ressource à mutualiser dispose d'une interface compatible 02.1q. Principe : Nombre de vlan : Ports Vlan 02.1q activé Affectation 7 Réseaux IP utilisés : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 3

3) Solution N 3 - Routeur filtrant avec quatre interfaces. Principe : Nombre de vlan : Ports Vlan 02.1q activé Affectation 7 Réseaux IP utilisés : Configuration IP du Routeur filtrant : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : Règles de filtrage du routeur : Interface Ip source Port source Ip destination Port dest. Protocole Action 4) Solution N 4 - Routeur filtrant avec une interface compatible 02.1q. Principe : Nombre de vlan : Ports Vlan 02.1q activé Affectation 7 Réseaux IP utilisés : Configuration IP du Routeur filtrant : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 4

Règles de filtrage du routeur : Interface Ip source Port source Ip destination Port dest. Protocole Action 5) Solution N 5 - Commutateur de niveau 3 qui gère les Vlan compatibles 02.1q. Principe : Nombre de vlan : Ports Vlan 02.1q activé Affectation 7 Réseaux IP utilisés : Configuration IP du commutateur routeur : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : Règles de filtrage du commutateur de niveau 3 : Interface Ip source Port source Ip destination Port dest. Protocole Action 6) Solution N 6 - Commutateur de niveau 2, gère les vlan asymétriques. Vlan asymétriques : Les trames reçues sur un port appartiennent à un seul et même VLAN ; par contre, un port peut émettre des trames de différents VLAN. Les trames ne sont pas étiquetées. Exemple : un port reçoit une trame et l'affecte toujours au vlan 1; il peut diffuser des trames des vlan 1, ou 20. Principe : Nombre de vlan : http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 5

Ports Vlan affecté Vlan diffusé Affectation 7 Réseaux IP utilisés : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : 7) Solution N 7 - Commutateur de niveau 2, gère les ports "isolated" et "promiscuous" (solution propriétaire Cisco : PVLAN). Ports "isolated" : ils ne peuvent émettre des trames que vers des ports "promiscuous" du même vlan. Ports "promiscuous" : ils peuvent émettre des trames vers tous les ports ("isolated" et "promiscuous") du même vlan. Principe : Nombre de vlan : Ports Vlan Type port Affectation 7 Réseaux IP utilisés : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 6

) Solution N - Commutateur de niveau 3, gère les vlan "protected" (solution propriétaire Allied Telesyn). Vlan "protected" : Un port d'un Vlan "protected" ne peut communiquer avec un autre port du même Vlan. La communication ne peut se faire qu'au niveau 3, vers un autre Vlan. Principe : Nombre de vlan : Vlan "protected" : Vlan non "protected" : Ports Vlan Affectation 7 Réseaux IP utilisés : Configuration IP du commutateur routeur : Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) : Passerelle éventuelle des postes de chaque service : Règles de filtrage du commutateur de niveau 3 : Interface Ip source Port source Ip destination Port dest. Protocole Action http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 7

Corrigé Pour information, des extraits de documents sur les fonctionnalités avancées des commutateurs pour la gestion des vlan, vues dans les solutions 7, et, sont présentés dans les annexes 1, 2 et 3 du corrigé. Pour chaque solution présentée dans les pages 3 à 7, compléter la partie configuration en spécifiant le nombre de Vlan nécessaires, l'affectation des ports du commutateur central, la ou les adresses des réseaux IP utilisés, la configuration IP de la ressource mutualisée et la configuration IP des éléments spécifiés (postes des services, routeur éventuel). 1) Solution N 1 - Ressource à mutualiser dispose de trois interfaces non compatibles 02.1q. Principe : La ressource est dans chaque Vlan. Chaque interface physique de la ressource est connectée sur un port du commutateur et associée à un vlan différent. La ressource possède une adresse IP compatible avec chaque service. Nombre de vlan : 3 Ports Vlan 02.1q activé Affectation 1 à 2 1 Non Service 1 3 à 4 2 Non Service 2 5 à 6 3 Non Service 3 7 1 Non Interface 1 Ressource mutualisée 2 Non Interface 2 Ressource mutualisée 3 Non Interface 3 Ressource mutualisée Non Non Réseaux IP utilisés :.1.0.0/16,.2.0.0/16,.3.0.0/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.1.0.1/16,.2.0.1/16,.3.0.1/16 Passerelle éventuelle des postes de chaque service : Non 2) Solution N 2 - Ressource à mutualiser dispose d'une interface compatible 02.1q. Principe : La ressource est dans chaque Vlan. L'interface physique de la ressource est connectée sur un port 02.1q, elle est associée à trois interfaces virtuelles (02.1q). La ressource possède une adresse IP compatible avec chaque service. Nombre de vlan : 3 http://www.reseaucerta.org CERTA - avril 20 v1.0 Page

Ports Vlan 02.1q activé Affectation 1 à 2 1 Non Service 1 3 à 4 2 Non Service 2 5 à 6 3 Non Service 3 7 1,2,3 Oui Ressource mutualisée Non Non Non Non Réseaux IP utilisés :.1.0.0/16,.2.0.0/16,.3.0.0/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.1.0.1/16,.2.0.1/16,.3.0.1/16 Passerelle éventuelle des postes de chaque service : Non 3) Solution N 3 - Routeur filtrant avec quatre interfaces. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le routeur. Chaque interface du routeur est connectée sur un port du commutateur et associée à un vlan différent. Il a une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Nombre de vlan : 4 Ports Vlan 02.1q activé Affectation 1 à 2 1 Non Service 1 3 à 4 2 Non Service 2 5 à 6 3 Non Service 3 7 4 Non Ressource mutualisée 1 Non Interface 1 routeur 2 Non Interface 2 routeur 3 Non Interface 3 routeur 4 Non Interface 4 routeur Réseaux IP utilisés :.1.0.0/16,.2.0.0/16,.3.0.0/16,.4.0.0/16 Configuration IP du Routeur filtrant :.1.0.1/16,.2.0.1/16,.3.0.1/16,.4.0.1/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.4.0.2/16 (passerelle :.4.0.1) Passerelle éventuelle des postes de chaque service :.1.0.1,.2.0.1,.3.0.1 Règles de filtrage du routeur : Interface Ip source Port source Ip destination Port dest. Protocol Action e * * *.4.0.2/32 * * Autorisé *.4.0.2/32 * * * * Autorisé * * * * * * Bloqué http://www.reseaucerta.org CERTA - avril 20 v1.0 Page

4) Solution N 4 - Routeur filtrant avec une interface compatible 02.1q. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le routeur. L'interface du routeur est connectée sur un port 02.1q, elle est associée à quatre interfaces virtuelles en activant 02.1q. Le routeur possède une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Nombre de vlan : 4 Ports Vlan 02.1q activé Affectation 1 à 2 1 Non Service 1 3 à 4 2 Non Service 2 5 à 6 3 Non Service 3 7 4 Non Ressource mutualisée 1,2,3,4 Oui Interface routeur Non Non Non Réseaux IP utilisés :.1.0.0/16,.2.0.0/16,.3.0.0/16,.4.0.0/16 Configuration IP du Routeur filtrant :.1.0.1/16,.2.0.1/16,.3.0.1/16,.4.0.1/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.4.0.2/16 (passerelle :.4.0.1) Passerelle éventuelle des postes de chaque service :.1.0.1,.2.0.1,.3.0.1 Règles de filtrage du routeur : Interface Ip source Port source Ip destination Port dest. Protocole Action * * *.4.0.2/32 * * Autorisé *.4.0.2/32 * * * * Autorisé * * * * * * Bloqué 5) Solution N 5 - Commutateur de niveau 3 qui gère les Vlan compatibles 02.1q. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le commutateur- routeur. Le commutateur-routeur a une interface virtuelle pour chaque Vlan et une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Nombre de vlan : 4 Ports Vlan 02.1q activé Affectation 1 à 2 1 Non Service 1 3 à 4 2 Non Service 2 5 à 6 3 Non Service 3 7 4 Non Ressource mutualisée Non Non Non Non http://www.reseaucerta.org CERTA - avril 20 v1.0 Page

Réseaux IP utilisés :.1.0.0/16,.2.0.0/16,.3.0.0/16,.4.0.0/16 Configuration IP du commutateur routeur :.1.0.1/16,.2.0.1/16,.3.0.1/16,.4.0.1/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.4.0.2/16 (passerelle :.4.0.1) Passerelle éventuelle des postes de chaque service :.1.0.1,.2.0.1,.3.0.1 Règles de filtrage du commutateur de niveau 3 : Interface Ip source Port source Ip destination Port dest. Protocole Action * * *.4.0.2/32 * * Autorisé *.4.0.2/32 * * * * Autorisé * * * * * * Bloqué 6) Solution N 6 - Commutateur de niveau 2, gère les vlan asymétriques. Vlan asymétriques : Les trames reçues sur un port appartiennent à un seul et même VLAN ; par contre, un port peut émettre des trames de différents VLAN. Les trames ne sont pas étiquetées. Exemple : un port reçoit une trame et l'affecte toujours au vlan 1; il peut diffuser des trames des vlan 1, ou 20. Voir annexe 1: Extrait de IEEE Std 02.1Q, Standards for Local and metropolitan area networks Virtual Bridged Local Area Networks, Annex B.1.3 Asymmetric VLANs. Principe : La ressource est dans un vlan différent. Le port sur lequel est connectée la ressource est affecté au Vlan 4 et peut diffuser les vlan 1, 2, 3 et 4. Les ports des services sont affectés à leur vlan et peuvent diffuser aussi sur le vlan 4. Un seul réseau IP est suffisant. Nombre de vlan : 4 Ports Vlan affecté Vlan diffusé Affectation 1 à 2 1 1,4 Service 1 3 à 4 2 2,4 Service 2 5 à 6 3 3,4 Service 3 7 4 1,2,3,4 Ressource mutualisée Réseaux IP utilisés :.1.0.0/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.1.0.1/16 (passerelle : Non) Passerelle éventuelle des postes de chaque service : Non 7) Solution N 7 - Commutateur de niveau 2, gère les ports "isolated" et "promiscuous" (solution propriétaire Cisco : PVLAN). Ports "isolated" : ils ne peuvent émettre des trames que vers des ports "promiscuous" du même vlan. Ports "promiscuous" : ils peuvent émettre des trames vers tous les ports ("isolated" et "promiscuous") du même vlan. Voir annexe 2 : Extrait de la documentation Cisco, PVLAN http://www.reseaucerta.org CERTA - avril 20 v1.0 Page

Principe : Un seul Vlan est utilisé et un seul réseau IP. Le port sur lequel est connectée la ressource est de type "promiscuous", il peut émettre vers tous les services, les ports sur lesquels sont connectés les services sont de type "isolated", ils ne peuvent émettre que vers la ressource. Nombre de vlan : 1 Ports Vlan Type port Affectation 1 à 2 1 isolated Service 1 3 à 4 1 isolated Service 2 5 à 6 1 isolated Service 3 7 1 promiscuous Ressource mutualisée Réseaux IP utilisés :.1.0.0/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.1.0.1/16 (passerelle : Non) Passerelle éventuelle des postes de chaque service : Non ) Solution N - Commutateur de niveau 3, gère les vlan "protected" (solution propriétaire Allied Telesyn). Vlan "protected" : Un port d'un Vlan "protected" ne peut communiquer avec un autre port du même Vlan. La communication ne peut se faire qu'au niveau 3, vers un autre Vlan. Voir annexe 3 : Extrait de la documentation Allied Telesyn Principe : Les services sont dans le même Vlan "protected". La ressource est dans un autre Vlan. La communication avec la ressource est réalisée via le commutateur- routeur. Le commutateur-routeur a une interface virtuelle pour chaque Vlan et une adresse IP compatible avec chaque Vlan. La communication entre les services étant impossible, il n'y a pas de règles de filtrage. Nombre de vlan : 2 Vlan "protected" : 1 Vlan non "protected" : 2 Ports Vlan Affectation 1 à 2 1 Service 1 3 à 4 1 Service 2 5 à 6 1 Service 3 7 2 Ressource mutualisée Réseaux IP utilisés :.1.0.0/16,.2.0.0/16 Configuration IP du commutateur routeur :.1.0.1/16,.2.0.1/16 Configuration IP de la ressource mutualisée (IP et passerelle éventuelle) :.2.0.2/16 (passerelle :.2.0.1) Passerelle éventuelle des postes de chaque service :.1.0.1 Règles de filtrage du commutateur de niveau 3 : AUCUNE http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 12

TRAVAIL A FAIRE : Pour chaque solution présentée dans les pages 3 à 7, définir les éventuels avantages et/ou inconvénients. 1) Solution N 1 - Ressource à mutualiser dispose de trois interfaces non compatibles 02.1q. Principe : La ressource est dans chaque Vlan. Chaque interface physique de la ressource est connectée sur un port du commutateur et associée à un vlan différent. La ressource possède une adresse IP compatible avec chaque service. Avantages : - Très performant, la ressource a un lien direct commuté avec chaque service, pas de routage. Inconvénients : - Très peu évolutif, si le nombre de services (Vlan) augmente, la ressource sera limitée en nombre d'interface et le nombre de ports du commutateur limite aussi cette solution. 2) Solution N 2 - Ressource à mutualiser dispose d'une interface compatible 02.1q. Principe : La ressource est dans chaque Vlan. L'interface physique de la ressource est connectée sur un port 02.1q, elle est associée à trois interfaces virtuelles (02.1q). La ressource possède une adresse IP compatible avec chaque service. Avantages : - Très évolutif, le nombre de services (Vlan) n'est pas un problème, pas de routage. Inconvénients : - Le lien (ressource-commutateur) est très sollicité, attention aux performances. 3) Solution N 3 - Routeur filtrant avec quatre interfaces. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le routeur. Chaque interface du routeur est connectée sur un port du commutateur et associée à un vlan différent. Il a une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Avantages : - Permet de conserver un commutateur de niveau 2! Inconvénients : - Nécessite de mettre en place le routage et les règles de filtrage pour la contrainte N 1. - Très peu évolutif, si le nombre de services (Vlan) augmente, le routeur sera limité en nombre d'interface et le nombre de ports du commutateur limite aussi cette solution. http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 13

4) Solution N 4 - Routeur filtrant avec une interface compatible 02.1q. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le routeur. L'interface du routeur est connectée sur un port 02.1q, elle est associée à quatre interfaces virtuelles en activant 02.1q. Le routeur possède une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Avantages : - Permet de conserver un commutateur de niveau 2! Inconvénients : - Nécessite de mettre en place le routage et les règles de filtrage pour la contrainte N 1, - Le lien (routeur-commutateur) est très sollicité, attention aux performances. 5) Solution N 5 - Commutateur de niveau 3 qui gère les Vlan compatibles 02.1q. Principe : La ressource est dans un vlan différent. La communication avec les services est réalisée via le commutateur- routeur. Le commutateur-routeur a une interface virtuelle pour chaque Vlan et une adresse IP compatible avec chaque Vlan. Le trafic entre les services est bloqué par les règles de filtrage. Avantages : - Très évolutif, beaucoup moins limité par le nombre de services (Vlan), pas de ports utilisés par le routage. Inconvénients : - Nécessite de mettre en place le routage et les règles de filtrage pour la contrainte N 1, 6) Solution N 6 - Commutateur de niveau 2, gère les vlan asymétriques. - Ressource à mutualiser dispose d'une interface non compatible 02.1q Principe : La ressource est dans un vlan différent. Le port sur lequel est connecté la ressource est affecté au Vlan 4 et peut diffuser les vlan 1, 2 et 3. Les ports des services sont affectés à leur vlan et peuvent diffuser sur le vlan 4. Un seul réseau IP est suffisant. Avantages : - Un seul réseau IP (pas de routage). Inconvénients : - Semble plus complexe à comprendre, la configuration du commutateur est plus délicate. http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 14

7) Solution N 7 - Commutateur de niveau 2, gère les ports "isolated" et "promiscuous" (solution propriétaire Cisco : PVLAN). Principe : Un seul Vlan est utilisé et un seul réseau IP. Le port sur lequel est connectée la ressource est de type "promiscuous", il peut émettre vers tous les services, les ports sur lesquels sont connectés les services sont de type "isolated", ils ne peuvent émettre que vers la ressource. Avantages : - Un seul réseau IP (pas de routage). - Un seul Vlan, quelque soit le nombre de service à segmenter. Inconvénients : - Semble plus complexe à comprendre. La communication au sein d'un même service est impossible via les ports du commutateur central (nouvelle contrainte). ) Solution N - Commutateur de niveau 3, gère les vlan "protected". - Ressource à mutualiser dispose d'une interface non compatible 02.1q Principe : Les services sont dans le même Vlan "protected". La ressource est dans un autre Vlan. La communication avec la ressource est réalisée via le commutateur- routeur. Le commutateur-routeur a une interface virtuelle pour chaque Vlan et une adresse IP compatible avec chaque Vlan. La communication entre les services étant impossible, il n'y a pas de règles de filtrage. Avantages : - Configuration rapide des ports affectés au Vlan "protected". - Pas de règle de filtrage malgré le routage. - Un seul Vlan et un seul réseau IP pour tous les services, quelque soit le nombre de services à segmenter. Inconvénients : - La communication au sein d'un même service est impossible via les ports du commutateur central (nouvelle contrainte). http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 15

Sources d information complémentaires Document 1 : Extrait de IEEE Std 02.1Q, Standards for Local and metropolitan area networks Virtual Bridged Local Area Networks (http://standards.ieee.org/getieee02/download/02.1q-2005.pdf) Annex B.1.3 Asymmetric VLANs (informative), page 22 A primary example of the requirement for Shared VLAN Learning is found in asymmetric uses of VLANs. Under normal circumstances, a pair of devices communicating in a VLAN environment will both send and receive using the same VLAN; however, there are some circumstances in which it is convenient to make use of two distinct VLANs, one used for A to transmit to B: the other used for B to transmit to A. An example of such an application of VLANs is shown in Figure -1. Note that: a) In the example, the server and both clients are assumed to be VLAN-unaware devices, i.e., they transmit and receive untagged frames only; b) The ingress classification rules assumed by the example are as defined in this standard, i.e., Portbased classification only; c) The configuration shown can only be achieved by management configuration of appropriate values in Static VLAN Registration Entries (..) in order to configure the indicated member sets and untagged sets. In the example, Port-based tagging and an asymmetric VLAN configuration is used in order to permit Clients A and B access to a common server, but to prohibit Clients A and B from talking to each other. Examples of where this type of configuration might be required are if the clients are on distinct IP subnets, or if there is some confidentiality-related need to segregate traffic between the clients. Client A transmits to the server via Port 1, which will classify this traffic as belonging to VLAN Red; the Bridge therefore learns Client A s MAC Address on Port 1 in VLAN Red. The Server transmits its responses to Client A via Port 3, which classifies the return traffic as belonging to VLAN Purple. Document 2 : Extrait de la documentation Cisco, PVLAN (http://www.cisco.com/en/us/tech/tk3/tk14/tk40/tsd_technology_support_sub-protocol_home.html) PVLANs provide layer 2 isolation between ports within the same broadcast domain. There are three types of PVLAN ports: Promiscuous A promiscuous port can communicate with all interfaces, including the isolated and community ports within a PVLAN. Isolated An isolated port has complete Layer 2 separation from the other ports within the same PVLAN, but not from the promiscuous ports. PVLANs block all traffic to isolated ports except traffic from promiscuous ports. Traffic from isolated port is forwarded only to promiscuous ports. Community Community ports communicate among themselves and with their promiscuous ports. These interfaces are separated at Layer 2 from all other interfaces in other communities or isolated ports within their PVLAN. Annexe 3 : Extrait de la documentation Allied Telesyn (Allied Telesyn switch AT-624T) Protected VLANs : If a VLAN is protected, Layer 2 traffic between ports that are members of a protected VLAN is blocked. Traffic can be Layer 3 switched to another VLAN. This feature prevents members of a protected VLAN from communicating with each other yet still allows members to access another network. Layer 3 Routing between ports in a protected VLAN can be prevented by adding a Layer 3 filter. The protected VLAN feature also allows all of the members of the protected VLAN to be in the same subnet. A typical application is a hotel installation where each room has a port that can be used to access the Internet. In this situation it is undesirable to allow communication between rooms. http://www.reseaucerta.org CERTA - avril 20 v1.0 Page 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back