1

Fonctionnalits
avances des VLANs
APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
-
Ingnieurs2000
IR - 3
me
anne
-
Fvrier 2005
Expos de Nouvelles Technologies Rseaux
2
Fonctionnalits avances des VLANs
- VLAN
- 802.1q
- 802.1s
- 802.1x
Table des matires
3
VLAN - Thorie 1/2
Dfinition : Virtual Local Area Network
Utilit : Plusieurs rseaux virtuels sur un mme rseau physique
VLAN A VLAN B LAN A LAN B
=
4
VLAN - Thorie 2/2
3 types de VLAN :
- par port Niveau 1
- par adresse MAC Niveau 2
- par sous-rseau / protocole Niveau 3
Notions essentielles :
- VLAN par dfaut toujours prsent
- Technologie en standard sur les switchs actuels
- Configuration au niveau de lquipement
5
VLAN - niveau 1
VLAN de niveau 1 VLAN par port
1 port du switch dans 1 VLAN
configurable au niveau de lquipement
90% des VLAN sont des VLAN par port
VLAN A
VLAN B
VLAN PAR DEFAUT
6
VLAN - niveau 2
VLAN de niveau 2 VLAN par adresse MAC
VLAN en fonction des adresses MAC
configurable au niveau de lquipement
indpendance de la localisation de la station
difficults de poser des rgles de filtrages prcises
+
-
7
VLAN - niveau 3
VLAN de niveau 3 VLAN par sous-rseau ou par protocole
VLAN en fonction des adresses IP sources des datagrammes
ou du type de protocole
configurable au niveau de lquipement
sparation des flux
dgradation des performances
+
-
8
VLAN - Dmonstration
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP ARP
ARP
ARP
@MAC serveur @IP
VLAN PAR DEFAUT
Situation 1 : VLAN DEFAULT
9
VLAN - Dmonstration
Situation 1 : VLAN DEFAULT
Adrien
Serveur Nicolas
Sniffer
Ping serveur
ICMP
ICMP
ICMP
ICMP
VLAN PAR DEFAUT
Ping ok
10
VLAN - Dmonstration
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <nport>
Sniffer
# vlan <id_vlan> name <nom_vlan>
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT
11
VLAN - Dmonstration
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP
Ping serveur :
Destination unreachable
VLAN A VLAN PAR DEFAUT
Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT
12
VLAN - Dmonstration
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <nport>
Sniffer
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT
13
VLAN - Dmonstration
Adrien
Serveur Nicolas
Sniffer
VLAN A VLAN PAR DEFAUT
Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT
Ping ok
14
VLAN - Avantages
Finances :
- 1 seul quipement pour plusieurs rseaux
Performances :
- Permet des utilisateurs loigns gographiquement de
partager des donnes
- Limite la diffusion des broadcasts
Scurit :
- Sparation des flux entre diffrents groupes dutilisateurs
15
802.1Q - Problmatique 1/2
Notion de vlan au niveau du commutateur
Mais jusqu prsent, aucune notion de vlan au niveau
Ethernet ni des niveaux suprieurs
Donc comment propager lappartenance un VLAN dun
commutateur vers un autre ?
Problmatique : lorsquune trame circule dun commutateur un
autre, comment identifier son appartenance un vlan ?
16
802.1Q - Problmatique 2/2
VLAN A DEFAULT VLAN
DEFAULT VLAN VLAN A
17
802.1Q - Thorie 1/2
- Cela implique donc :
ncessit de dfinir les mmes VLANs sur chaque
commutateurs (mme VLAN Id)
les trames doivent tre tagges lors du transfert
Objectif : Transport de plusieurs VLANs sur un lien unique,
par exemple :
Commutateurs / Commutateurs
Commutateurs / Serveurs
18
802.1Q - Thorie 2/3
VLAN A
Tags sur les trames
VLAN A DEFAULT VLAN
DEFAULT VLAN VLAN A
19
- Extension du format Ethernet, ajout de 4 octets
802.1Q - Thorie 3/3
- Type : 0x8100 pour le protocole 802.1Q
- 802.1Q :
Priority (3 bits)
CFI (1 bit)
VID (12 bits)
20
VLAN A DEFAULT VLAN
DEFAULT VLAN
802.1Q - Dmonstration 1
VLAN A
Adrien
Nicolas Serveur
21
VLAN A DEFAULT VLAN
DEFAULT VLAN
802.1Q - Dmonstration 2
VLAN A
Adrien
Nicolas Serveur
22
VLAN A DEFAULT VLAN
DEFAULT VLAN
# vlan <id_vlan> tagged <nport>
802.1Q - Dmonstration 3
VLAN A
Tag 802.1Q
Adrien
Nicolas Serveur
23
VLAN A DEFAULT VLAN
DEFAULT VLAN
802.1Q - Dmonstration 4
VLAN A
Adrien
Nicolas Serveur
24
VLAN A DEFAULT VLAN
DEFAULT VLAN
802.1Q - Dmonstration Snif Snif
VLAN A
Tag 802.1Q
Sniffer
Nicolas
Adrien
Serveur
25
Architecture rseau des entreprises importantes :
- nombreux vlans
- 802.1Q
- redondance de niveau 2 : STP
- liens souvent surdimensionns
=> avantages des vlans et du STP : 802.1s
802.1s - Introduction
26
- 802.1s = MSTP = PVST
- Une instance STP par vlan au lieu dune par boite
- Complexe mettre en place (au niveau conception)
- Technologie rcente, pas encore supporte par tous les
matriels
802.1s - Thorie
27
802.1s - Objectifs / Limitations
Objectifs :
- Meilleure utilisation des liens
- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue
Limitations :
- Matriels limits en nombre dinstances
- Peu de softs snmp savent grer 802.1s
28
802.1s - Exemple sans MSTP (1/2)
2/ Configuration 802.1q
3/ Configuration STP
1/ Configuration VLANs
vlan vert
vlan bleu
vlan rouge
vlan vert
vlan bleu
vlan rouge
vlan vert
vlan bleu
vlan rouge
R
29
802.1s - Exemple avec MSTP (2/2)
1/ Configuration instances
Instance #1
Instance #2
Instance #3
Instance #1
Instance #2
Instance #3
Instance #1
Instance #2
Instance #3
2/ Configuration mapping
3/ Configuration root bridges
: vlan vert
: vlan bleu
: vlan rouge
: vlan vert
: vlan bleu
: vlan rouge
: vlan vert
: vlan bleu
: vlan rouge
R
R
R
30
802.1x - Introduction
Permet llaboration de mcanismes dauthentification et
dautorisation pour laccs au rseau
Se dveloppe grce au WiFi
Norme dveloppe lorigine pour les VLANs
=> Attribution dun VLAN en fonction de lidentification
31
802.1x - Architecture
Serveur
Switch daccs
Client 802.1x
Supplicant Authenticator Authentication Server
Avant authentification : seul trafic ncessaire lauthentification est permis
Aprs authentification : tout trafic
32
802.1x - Protocoles
EAP au dessus du rseau local : EAPOL (EAP over LAN)
EAP peut encapsuler plusieurs types de protocoles dauthentification :
MD5
TLS
TTLS
Serveur Radius
Switch daccs
Client 802.1x
EAPoL
Radius
Le commutateur joue le rle de relais
Le protocole Radius encapsule les messages EAP
Le serveur Radius pourra sappuyer soit sur sa base de donne interne,
soit sur un annuaire LDAP
33
802.1x - Dmonstration
Activer lauthentification 802.1x sur le port 23
aaa port-access authenticator 23
aaa port-access authenticator active
Dfinir le serveur radius, la cl dchange et le
protocole de communication
radius-server host 10.0.0.1
radius-server key clerezo
aaa authentication port-access eap-radius
Serveur FreeRadius
Switch
Nicolas
Adrien
Le fichier radiusd.conf
ajouter lauthentification eap
Le fichier client.conf
dclarer les switchs qui feront des requtes vers le serveur
Le fichier users
contient les informations de chaque utilisateur
- login
- mot de passe
- vlan affect
- etc
Standard sous XP, SP3 sous 2000
Xsupplicant sous Linux
Vrification des authentifications
Switch1# show port-access authenticator
34
Ze End