Chapitre X : Réseaux virtuels (VLAN) Eric Leclercq & Marinette Savonnet Département IEM http://ufrsciencestech.u-bourgogne.fr http://ludique.u-bourgogne.fr/~leclercq 8 avril 2011
1 Principes Problématique La notion de VLAN Avantages de VLAN 2 Fonctionnement des VLAN Norme Méthodes d implantation des VLAN Marquage des trames Notion de trunk 3 Routage Inter-VLAN Notions de base Configuration d un trunk
Problématique L analyse d un réseau d entreprise fait apparaître des réseaux logiques fonctions : de l utilisation de la bande passante : tri des flux le la sécurité associée aux services des besoins des utilisateurs Architecture dépendante du câblage : problème d évolutivité (logique et physique) nécessite éventuellement des routeurs multiples lourdeur et cout d administration (brassage par exemple)
Notion de VLAN Définition : Un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel (logique ) utilisant la s appuyant sur Ethernet : pour regrouper les éléments du réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un département, etc.), sans les contraintes physiques (câblage informatique inapproprié, etc.). Les propriétés offertes par les VLAN sont : support des transferts de données allant jusqu à 1Gb/s ; peut couvrir un bâtiment, relier plusieurs bâtiments ou encore s étendre au niveau d un réseau plus large ; une station peut appartenir à plusieurs VLAN simultanément.
Les avantages offerts par les VLAN flexibilité de la segmentation du réseau (dynamique) : les utilisateurs et les ressources entre lesquels les communications sont fréquentes peuvent être regroupés sans contrainte due leur localisation. simplification de la gestion du réseau : l ajout de nouveaux éléments ou le déplacement d éléments existants peut être réalisé rapidement sans devoir manipuler les connexions physiques dans une local technique. augmentation des performances du réseau : traffic réseau segmenté, limitation des broadcast meilleure utilisation des serveurs réseaux : le serveur peut appartenir à plusieurs VLAN en même temps. ce qui permet de réduire le trafic qui doit être routé (traité IP) renforcement de la sécurité du réseau : les frontières (virtuelles) entrer les VLAN ne peuvent être franchies que par le biais d un routage.
Applications courantes du VLAN deux VLAN regroupant d une part les périphériques et, d autre part les utilisateurs création de VLAN dans un bâtiment permet de regrouper les utilisateurs par catégories alors qu ils sont situés à des endroits différents. Par exemple, le VLAN 1 regroupe tous les informaticiens répartis entre deux étages. priorisation des flux en fonction des catégories d utilisateurs réseau de quarantaine : lorsqu une station manifeste une activité anormale au lieu de lui couper complètement l accès au réseau, on la place dans un réseau de quarantaine qui permet de conserver la connectivité réseau tout en limitant la portée de la contamination et en évitant de polluer l intranet avec du trafic inutile. réseau d administration
Types de VLAN et norme Les VLAN déployés sur plusieurs commutateurs sont classés suivant deux types : les VLAN implicites : lorsqu un message Ethernet passe d un commutateur commutateur (switch). Tout élément connecté à un switch peut accéder à tout autre élément du même VLAN connecté sur le même switch. Le mode de transmission du switch permet de mettre directement en relation deux postes ; les VLAN explicites : une étiquette (tag) d appartenance à un VLAN est ajoutée à chaque Ethernet Pour définir des VLAN, il faut que les commutateurs et supportent cette extension de la technologie Ethernet (IEEE 802.1q).
Types de VLAN et norme Une définition plus technique du VLAN : Définition : Un VLAN est un domaine de diffusion (Broadcast Domain) Ethernet logique géré par un commutateur supportant la norme 802.1q. Propriété : les messages de diffusion émis par une station d un VLAN ne sont reçus que par les stations de ce VLAN on obtient un cloisonement virtuel similaire à l utilisation d un cablage multiple
Méthodes d implantation des VLAN On distingue génralement trois techniques pour contruire des VLAN : par port (niveau 1) par adresse MAC (niveau 2) par protocole (niveau 3) par sous réseau (niveau 3)
VLAN par port Un VLAN par port : VLAN de niveau 1 (physique), est obtenu en associant chaque port du commutateur à un VLAN particulier. Cette solution est simple : mise en œuvre par les constructeurs dès l apparition des commuatateurs Les VLAN par port manquent de souplesse, tout déplacement d une station nécessite une reconfiguration des ports Toutes les stations reliées sur un port par l intermédiaire d un même concentrateur, appartiennent au même VLAN. Comment propager les VLAN d un commutateur à un autre?
VLAN par adresse physique Un VLAN par adresse IEEE, ou VLAN de niveau 2 est constitué en associant les adresses MAC des stations à chaque VLAN. Permet une indépendance de la localisation. Une machine peut être déplacée, son adresse physique ne changeant pas, il est inutile de reconfigurer le VLAN. Les VLAN configurable avec l adresse MAC sont bien adaptés à l utilisation de stations portables. La configuration peut s avérer fastidieuse : elle nécessite une table de correspondance VLAN, MAC contenant toutes les adresses MAC des machines de l entreprise, depuis cette table doit être partagée/propagée sur tous les commutateurs.
VLAN par protocole (rare) Un VLAN par protocole, ou VLAN de niveau 3, est obtenu en associant un réseau virtuel par type de protocole du réseau. On peut constituer un réseau virtuel TCP/IP, IPX etc. Les commutateurs apprennent la configuration : moins performante car les commutateurs doivent analyser les trames.
VLAN par sous-réseau IP Également appelé VLAN de niveau 3, un VLAN par sous réseau utilise les adresses IP. Un réseau virtuel est associé à chaque sous réseau IP. Les commutateurs apprennent la configuration et il est possible de changer une station de place sans reconfigurer le VLAN Cette solution est très intéressantes, malgré une petite dégradation des performances de la commutation du a l analyse des informations.
Marquage des trames Définition : Le marquage permet de reconnaître l appartenance d une trame Ethernet à un VLAN Le marquage peut être : déduit des informations contenues dans la trame (adresse IEEE, protocole...) ou insérée dans une trame en fonction du port de sortie Plusieurs solutions ont été proposées par les constructeurs (incompatibles entre elles). Pour cette raison, l IEEE a défini la norme VLAN sous la référence 802.1q.
Notion de trunk Définition : Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs réseaux virtuels. Les trames qui traversent le trunk sont complétées avec l identificateur de réseau local virtuel (VLAN id ou tag) cette identification permet de conserver les trames dans un même VLAN (ou domaine de diffusion) et de les repartir sur un autre équipement Les trunks peuvent être utilisés : entre deux commutateurs : permet la distribution des réseaux locaux entre un commutateur et un hôte : un hôte qui supporte le trunking peut analyser le trafic de tous les VLAN entre un commutateur et un routeur : permet d accéder aux fonctions de routage et donc à l interconnexion des réseaux virtuels par routage inter-vlan.
VTP ou VLAN Trunking Protocol VTP est un protocole utilisé pour configurer et administrer les VLANs sur le matériel Cisco et propose 3 modes de propagation : client, server, transparent Les administrateurs peuvent changer les informations de VLAN sur les switches fonctionnant en mode server uniquement. Une fois que les modifications sont appliquées, elles sont distribuées à tout le domaine VTP au travers des tunks. En mode transparent, les modifications sont locales mais non distribuées. Les switches en mode client appliquent automatiquement les changements reçus du domaine VTP. Les configurations VTP ont un numéro de révision : si le numéro de révision reçu par un switch client est plus grand que celui en cours, la nouvelle configuration est appliqué, sinon, elle est ignorée.
Notions de base un réseau local (LAN) est défini par un domaine de diffusion : tous les hôtes d un réseau local reçoivent les messages de diffusion émis par n importe quel autre hôte de ce réseau. un réseau local est délimité par des équipements fonctionnant au niveau 3 du modèle OSI : la couche réseau un réseau local virtuel (VLAN) est un réseau local (LAN) distribué sur des équipements fonctionnant au niveau 2 du modèle OSI : la couche liaison. a priori, il n est donc plus nécessaire d avoir recours à un équipement de niveau 3 pour borner le réseau local l interconnexion des réseaux locaux est nécessaire dès que l on a besoin de communiquer entre domaines de diffusion : les fonctions de routage du niveau réseau du modèle OSI Le réseau local est distribué sur différents équipements via des liaisons dédiées appelées trunks.
Définition des VLAN sur le switch Exemple de définition d un VLAN et d un trunk sur CISCO IOS : SwitchA# enable SwitchA# vlan database SwitchA(vlan)# vlan 2 name vlan2 SwitchA(vlan)# exit SwitchA# configure terminal SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport mode access SwitchA(config-if)# swichport access vlan 2 SwitchA(config-if)# end SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport mode trunk SwitchA(config-if)# switchport trunk encapsulation dot1q SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport trunk allowed vlan remove 1-1005 SwitchA(config-if)# switchport trunk allowed vlan add 1-3 Suppresion d une définition par le préfixe no puis la commande
Configuration IEEE 802.1Q sur le routeur (Linux) # modprobe 8021q # dmesg # apt-get install vlan # vconfig add eth0 2 # vconfig add eth0 1 # vconfig add eth0 3 # ifconfig -a Effectuer les configurations des cartes virtuelles eth0.1, eth0.2, eth0.3 via le fichier /etc/network/interfaces Ajouter la définition des routes dans le script concerné Attention les commandes vconfig ne sont pas permanentes : les ajouter dans un script qui est lancé avant les script réseau réseau