Fonctionnalits
avances des VLANs
APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
Ingnieurs2000
IR - 3me anne
Fvrier 2005
Expos de Nouvelles Technologies Rseaux
�Fonctionnalits avances des VLANs
Table des matires
VLAN
802.1q
802.1s
802.1x
�VLAN - Thorie 1/2
Dfinition :
Virtual Local Area Network
Utilit : Plusieurs rseaux virtuels sur un mme rseau physique
VLAN A
VLAN B
LAN A
LAN B
�VLAN - Thorie 2/2
Notions essentielles :
VLAN par dfaut toujours prsent
Technologie en standard sur les switchs actuels
Configuration au niveau de lquipement
3 types de VLAN :
par port Niveau 1
par adresse MAC Niveau 2
par sous-rseau / protocole Niveau 3
4
�VLAN niveau 1
VLAN de niveau 1 VLAN par port
1 port du switch dans 1 VLAN
configurable au niveau de lquipement
90% des VLAN sont des VLAN par port
VLAN PAR DEFAUT
VLAN A
VLAN B
�VLAN niveau 2
VLAN de niveau 2 VLAN par adresse MAC
VLAN en fonction des adresses MAC
configurable au niveau de lquipement
+ indpendance de la localisation de la station
- difficults de poser des rgles de filtrages prcises
�VLAN niveau 3
VLAN de niveau 3 VLAN par sous-rseau ou par protocole
VLAN en fonction des adresses IP sources des datagrammes
ou du type de protocole
configurable au niveau de lquipement
sparation des flux
dgradation des performances
�VLAN - Dmonstration
Situation 1 : VLAN DEFAULT
@MAC serveur
Serveur
? @IP
ARP
Sniffer
Adrien
ARP
Serveur
Nicolas
ARP
ARP
ARP
VLAN PAR DEFAUT
8
�VLAN - Dmonstration
Situation 1 : VLAN DEFAULT
Ping serveur
ok
ICMP
Adrien
Sniffer
ICMP
Serveur
Nicolas
ICMP
ICMP
VLAN PAR DEFAUT
9
�VLAN - Dmonstration
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT
Adrien
Serveur
# vlan <id_vlan> name <nom_vlan>
# vlan <id_vlan> untagged <nport>
VLAN A
Sniffer
Nicolas
VLAN PAR DEFAUT
10
�VLAN - Dmonstration
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT
ARP
Adrien
Ping serveur :
@MAC Serveur ?
Destination unreachable
Sniffer
Serveur
Nicolas
ARP
VLAN A
VLAN PAR DEFAUT
11
�VLAN - Dmonstration
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT
Adrien
Serveur
# vlan <id_vlan> untagged <nport>
VLAN A
Sniffer
Nicolas
VLAN PAR DEFAUT
12
�VLAN - Dmonstration
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT
Ping ok
Adrien
Serveur
Sniffer
Nicolas
VLAN A
VLAN PAR DEFAUT
13
�VLAN - Avantages
Performances :
Permet des utilisateurs loigns gographiquement de
partager des donnes
Limite la diffusion des broadcasts
Scurit :
Sparation des flux entre diffrents groupes dutilisateurs
Finances :
1 seul quipement pour plusieurs rseaux
14
�802.1Q - Problmatique 1/2
Notion de vlan au niveau du commutateur
Mais jusqu prsent, aucune notion de vlan au niveau
Ethernet ni des niveaux suprieurs
Donc comment propager lappartenance un VLAN dun
commutateur vers un autre ?
Problmatique : lorsquune trame circule dun commutateur un
autre, comment identifier son appartenance un vlan ?
15
�802.1Q - Problmatique 2/2
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
16
�802.1Q - Thorie 1/2
Objectif : Transport de plusieurs VLANs sur un lien unique,
par exemple :
Commutateurs / Commutateurs
Commutateurs / Serveurs
Cela implique donc :
ncessit de dfinir les mmes VLANs sur chaque
commutateurs (mme VLAN Id)
les trames doivent tre tagges lors du transfert
17
�802.1Q - Thorie 2/3
Tags sur les trames
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
VLAN A
18
�802.1Q - Thorie 3/3
Extension du format Ethernet, ajout de 4 octets
Type : 0x8100 pour le protocole 802.1Q
802.1Q :
Priority (3 bits)
CFI (1 bit)
VID (12 bits)
19
�802.1Q Dmonstration 1
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
20
�802.1Q Dmonstration 2
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
21
�802.1Q Dmonstration 3
# vlan <id_vlan> tagged <nport>
Adrien
DEFAULT VLAN
VLAN A
Tag 802.1Q
DEFAULT VLAN
Nicolas
VLAN A
Serveur
22
�802.1Q - Dmonstration 4
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
23
�802.1Q Dmonstration Snif Snif
Adrien
Sniffer
DEFAULT VLAN
VLAN A
Tag 802.1Q
Nicolas
DEFAULT VLAN
VLAN A
Serveur
24
�802.1s - Introduction
Architecture rseau des entreprises importantes :
nombreux vlans
802.1Q
redondance de niveau 2 : STP
liens souvent surdimensionns
=> avantages des vlans et du STP : 802.1s
25
�802.1s - Thorie
802.1s = MSTP = PVST
Une instance STP par vlan au lieu dune par boite
Complexe mettre en place (au niveau conception)
Technologie rcente, pas encore supporte par tous les
matriels
26
�802.1s Objectifs / Limitations
Objectifs :
- Meilleure utilisation des liens
- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue
Limitations :
- Matriels limits en nombre dinstances
- Peu de softs snmp savent grer 802.1s
27
�802.1s Exemple sans MSTP (1/2)
1/ Configuration VLANs
2/ Configuration 802.1q
vlan vert
vlan bleu
vlan rouge
3/ Configuration STP
vlan vert
vlan bleu
vlan rouge
vlan vert
vlan bleu
vlan rouge
28
�802.1s Exemple avec MSTP (2/2)
1/ Configuration instances
2/ Configuration mapping
3/ Configuration root bridges
R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
R
R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
29
�802.1x - Introduction
Permet llaboration de mcanismes dauthentification et
dautorisation pour laccs au rseau
Se dveloppe grce au WiFi
Norme dveloppe lorigine pour les VLANs
=> Attribution dun VLAN en fonction de lidentification
30
�802.1x - Architecture
Client 802.1x
Supplicant
Serveur
Switch daccs
Authenticator
Authentication Server
Avant authentification : seul trafic ncessaire lauthentification est permis
Aprs authentification : tout trafic
31
�802.1x - Protocoles
Client 802.1x
Serveur Radius
Switch daccs
EAPoL
Radius
EAP au dessus du rseau local : EAPOL (EAP over LAN)
EAP peut encapsuler plusieurs types de protocoles dauthentification :
MD5
TLS
TTLS
Le commutateur joue le rle de relais
Le protocole Radius encapsule les messages EAP
Le serveur Radius pourra sappuyer soit sur sa base de donne interne,
soit sur un annuaire LDAP
32
�802.1x Dmonstration
Adrien
Serveur FreeRadius
Switch
Nicolas
Le fichier
[Link]
Activer
lauthentification
802.1x sur le port 23
ajouter
lauthentification
eap
aaa port-access authenticator 23
Standard sous XP, SP3 sous 2000
aaa port-access authenticator active
Xsupplicant sous Linux
Le fichier
[Link]
Dfinir
le serveur
radius,
la cl dchange
et le
Vrification
des
authentifications
dclarer
les
feront des
vers le serveur
protocole
de switchs
communication
requtes
Switch1#
showqui
port-access
authenticator
radius-server host [Link]
Le fichier users
radius-server
key clerezo
les informations
de chaque utilisateur
aaa contient
authentication
port-access
eap-radius
- login
- mot de passe
- vlan affect
33
- etc
�Ze End
34
