VLANs Les principes La réalisation Les standards Un scénario de mise en œuvre Exemple de configuration d équipements
Les principes - longtemps, la solution a consisté à introduire des routeurs entre les différents domaines logiques avec pour effet : - diminution du domaine de broadcast - filtrage de niveau 3 entre stations - coûts assez élevés en matériels et gros problèmes de connexion des utilisateurs (brassage des prises réseaux, attribution des adresses IP, etc.) -charge d administration non négligeable -Problème de mobilité des postes - Idée : construire un réseau logique sur un réseau physique partagé Notion de réseau virtuel (Vlan)
La réalisation Segmentation d un élément de commutation en différents sous-ensembles ne pouvant pas communiquer entre eux directement - Adressages de niveau 3 distincts pour chaque sous-ensemble - Passage obligé par un équipement de routage - Possibilité de filtrer les flux entre domaines Segmentation basée sur différents principes : - Vlan par ports - Vlan par adresse MAC - Vlan de niveau 3 - Vlan par utilisateurs
Vlan par port : La réalisation (1) - 1 port <--> 1 Vlan (quelques précisions plus tard ) - table de correspondance dans le commutateur entre ports et Vlans - configuration simple - mise en œuvre la plus répandue - degré de fiabilité assez important si la gestion des équipements et des prises réseaux est bien faite Routeur 24 Forwarding DataBase (FDB) : VLAN PORT 2 1,2,3,4,5 3 6,7 4 8,9 etc. etc. 1 2 3 4 5 6 7 8 9 Vlan 2 Vlan 3 Vlan 4 Etc.
Vlan par adresse MAC : La réalisation (2) - l appartenance à un Vlan est fonction de l adresse MAC des stations - correspondance dans le commutateur entre adresses MAC et Vlans - plusieurs Vlans possibles par port du commutateur (mais on perd alors une partie de la confidentialité en se remettant dans le cas d un réseau à plat) - configuration complexe due à la gestion des adresses MAC - mise en œuvre pas trop répandue sauf peut-être dans des contextes particuliers - degré de confiance limité : on peut usurper l adresse MAC des serveurs importants - idéal pour les postes nomades Vlan de niveau 3 : - analyse dans les trames de niveau 2 des informations de niveau 3 : adresses IP, type de protocole (IP, IPX), etc. - correspondance dans le commutateur entre informations de niveau 3 et Vlans - plusieurs Vlans possibles par port du commutateur (mêmes restrictions que pour les Vlans par adresses MAC) - gestion idéale pour les postes nomades - mise en œuvre pas trop répandue - degré de confiance limité : le même que celui d une adresse IP!
Vlan par utilisateur : La réalisation (3) -norme 802.1x : Port Based Network Access Control EAP (Extensible Authentication Protocol) - mise en œuvre par modification du poste de l utilisateur : demande d authentification sur le réseau lors du démarrage du poste ( En standard pour Windows 2000 ( SP4), Win XP, MacOS 10.3 ) Client libre existant pour linux (xsupplicant) - mécanisme souvent couplé avec Radius, etc. - gestion idéale pour les postes nomades - mise en œuvre peu répandue - degré de confiance fonction du mode d authentification utilisé - De plus en plus utilisé pour les réseaux sans fils
Les standards Normalisation IEEE 802.1Q Mise en œuvre du principe de «Frame Tagging» de Cisco (1995) Insertion dans une trame Ethernet de 4 octets supplémentaires : Taille maximale : 1518 (normale) ou 1522 (taggée) 7 octets 1 6 6 2 2 2 Préambule SFD @Destination @Source TPID TCI Tag Protocol Identifier 0x8100 pour Ethernet Type ou Longueur 0800 (IP) 2-30 RIF 46-1500 4 Données FCS 4 Données éventuelles FCS Tag Control Identifier Si bit à 1 Exemple utilisation : routage entre annea 3 bits 1 bit 12 bits Canonical Format Indicator User Priority : 802.1P Vlan Identifier
Un peu de vocabulaire Équipements «Aware» et «Unaware» : - Les stations ou les équipements sachant interpréter la norme 802.1Q sont qualifiés de «aware» (équipements «ayant la connaissance») - Les autres équipements sont dits unaware Connexions de 3 types possibles : - lien d'accès simple : lien typiquement utilisé par les équipements "unaware" - lien Trunk : lien inter-commutateurs permettant de véhiculer les informations entre Vlans sur des commutateurs différents («aware» par définition) - lien hybride : lien acceptant aussi bien des équipements «aware» que «unaware»
Exemple de topologie Routeur inter-vlans - filtrage des communautés sur le routeur - «Spanning Tree» pour gérer les boucles 24 Lien TRUNK 1 2 3 4 5 6 7 1 3 8 11 12 Vlan 2 Vlan 3 Vlan 2 Vlan 3 Vlan 4 Spanning Tree (802.1D) Etc. Architecture physique Architecture logique
Un scénario de mise en œuvre (1) Réseau d origine, sans Vlans : Serveurs «Internet ou Extranet» Extérieur (Campus, Renater, etc.) Visibles depuis l extérieur Routeur Protection par filtrage Serveurs «Intranet» Invisibles depuis l extérieur Éléments de commutation Restriction du routage Accédés en interne Postes utilisateurs Accédés en interne
Un scénario de mise en œuvre (2) Une démarche de mise en place de Vlans : créer un VLAN réservé aux serveurs externes (zone semi-ouverte : DMZ) créer un VLAN pour les communautés d utilisateurs «hors SI», c est-à-dire n ayant pas vocation à travailler directement sur le système d information du site (salles de formation, etc.) créer un ou plusieurs VLANs pour les utilisateurs «SI», c est-à-dire travaillant directement sur le système d information mettre en place pour chaque VLAN une classe d adresse privée, non routable et donc non visible depuis l extérieur, ou bien attribuer une plage d adresse dans la ou les classes C actuellement utilisées ( subnetting ). La classe d adresse officielle est en général réservée aux équipements de la DMZ mettre en place des filtres de niveau 3 sur le routeur inter Vlans (et donc entre chaque communauté) afin de sécuriser l accès aux services mettre en place éventuellement (si l option adresse non routables a été choisie) un mécanisme de translation d adresse attribuant une adresse routable différente pour chaque communauté et des adresses fixes pour les serveurs accessibles depuis l extérieur (DMZ)
Un scénario de mise en œuvre (3) Réseau d origine, avec Vlans : Extérieur Translation éventuelle de certaines adresses vers l extérieur Serveurs de communication à vocation externe Routeur Filtrage des flux provenant de l extérieur Vlan A DMZ Classe C officielle Commutateur-Routeur Éléments de commutation Serveurs à vocation interne Classe C privée Vlan B Filtrage des échanges entre Vlans Vlan C Administration Vlan D Equipe Recherche Classes C privées Vlan E Salle TP
Une configuration concrète (1) La maquette : Routeur Cisco 3640 3 sous interfaces FastEthernet : FastEth0/0.1 : 192.168.1.1 FastEth0/0.2 : 192.168.2.1 FastEth0/0.3 : 192.169.1.1 Lien Trunk 802.1Q ou ISL 24 Commutateur Cisco 2924 1 2 3 4 5 6 7 8 9 16 Vlan 2 Vlan 3 Vlan 4 Port redirigé pour analyse de trafic
Une configuration concrète (2) Les commandes sur le routeur : interface FastEthernet0/0 no ip address no ip directed-broadcast interface FastEthernet0/0.1 encpasulation dot1q 2 VLAN 2 ip address 192.168.1.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.2 encpasulation dot1q 3 VLAN 3 ip address 192.168.2.1 255.255.255.0 no ip redirects no ip directed-broadcast interface FastEthernet0/0.3 encpasulation dot1q 4 VLAN 4 ip address 192.169.1.1 255.255.255.0 no ip redirects no ip directed-broadcast
Une configuration concrète (3) Les commandes sur le switch : interface FastEthernet0/1 switchport access vlan 2 Affectation des ports aux différents Vlans interface FastEthernet0/2 switchport access vlan 3 interface FastEthernet0/3 switchport access vlan 4 interface FastEthernet0/15 interface FastEthernet0/16 port monitor FastEthernet0/1 Redirection de port pour faire de l analyse de réseau switchport access vlan 3 La redirection ne peut se faire que pour un même Vlan interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/23 interface FastEthernet0/24 Lien Trunk vers le routeur switchport mode trunk interface VLAN2 no ip address no ip route-cache interface VLAN3 ip address 192.168.1.2 255.255.255.0 no ip route-cache On peut affecter une adresse IP à un Vlan pour l administrer
Quelques remarques Mieux vaut éviter l utilisation du VLAN 1 Passage de 802.1Q à ISL - Sur le commutateur : Int FastEthernet0/24 switchport trunk encapsulation isl - Sur le routeur : Int FastEthernet0/0.4 Encapsulation isl 4 Restriction des Vlans autorisés sur un lien trunk : switchport trunk allowed vlan 2, 100-200, 1002-1005 10/04/2006 82
Conclusion Les Vlans sont une réponse bien adaptée à la problématique de la séparation des communautés d utilisateurs sur un réseau local La mise en œuvre est relativement simple (mais fonction tout de même de la taille du réseau!) et facilite les tâches d administration Un soin tout particulier doit être apporté à la mise en œuvre selon le type de Vlans (par port, par adresse MAC, protocoles ou bien utilisateurs) Il faut tout de même faire attention : la technologie des Vlans n est pas exempte de problèmes de sécurité : problèmes d implémentation, gestion et attribution des numéros de Vlans, etc.