Fonctionnalités avancées des VLANs

Fonctionnalités avancées des VLANs APPERT Fabien BOUVET Adrien CHAVERON Nicolas - Ingénieurs2000 IR - 3ème année - Février 2005 Exposé de « Nouvelles Technologies Réseaux »

Fonctionnalités avancées des VLANs Table des matières • VLAN • 802.1q • 802.1s • 802.1x

= LAN A LAN B VLAN A VLAN B VLAN - Théorie 1/2 Définition : Virtual Local Area Network Utilité : Plusieurs réseaux virtuels sur un même réseau physique

VLAN - Théorie 2/2 • Notions essentielles : • VLAN par défaut toujours présent • Technologie en standard sur les switchs actuels • Configuration au niveau de l’équipement • 3 types de VLAN : • par port  Niveau 1 • par adresse MAC  Niveau 2 • par sous-réseau / protocole  Niveau 3

VLAN PAR DEFAUT VLAN B VLAN A VLAN – niveau 1 VLAN de niveau 1  VLAN par port  1 port du switch dans 1 VLAN  configurable au niveau de l’équipement  90% des VLAN sont des VLAN par port

+ - VLAN – niveau 2 VLAN de niveau 2  VLAN par adresse MAC  VLAN en fonction des adresses MAC  configurable au niveau de l’équipement indépendance de la localisation de la station difficultés de poser des règles de filtrages précises

+ - VLAN – niveau 3 VLAN de niveau 3  VLAN par sous-réseau ou par protocole  VLAN en fonction des adresses IP sources des datagrammes ou du type de protocole  configurable au niveau de l’équipement séparation des flux dégradation des performances

VLAN - Démonstration Situation 1 : VLAN DEFAULT @MAC Serveur ? @MAC serveur  @IP Sniffer ARP Adrien ARP Serveur Nicolas ARP ARP ARP VLAN PAR DEFAUT

VLAN - Démonstration Situation 1 : VLAN DEFAULT Ping serveur Ping ok Sniffer ICMP Adrien ICMP Serveur Nicolas ICMP ICMP VLAN PAR DEFAUT

VLAN - Démonstration Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT Sniffer Adrien # vlan <id_vlan> name <nom_vlan> # vlan <id_vlan> untagged <n°port> Serveur Nicolas VLAN A VLAN PAR DEFAUT

VLAN - Démonstration Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT Ping serveur :  Destination unreachable @MAC Serveur ? Sniffer ARP Adrien Serveur Nicolas ARP VLAN A VLAN PAR DEFAUT

VLAN - Démonstration Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT Sniffer Adrien # vlan <id_vlan> untagged <n°port> Serveur Nicolas VLAN A VLAN PAR DEFAUT

VLAN - Démonstration Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT Ping ok Sniffer Adrien Serveur Nicolas VLAN A VLAN PAR DEFAUT

VLAN - Avantages • Performances : • Permet à des utilisateurs éloignés géographiquement de partager des données • Limite la diffusion des broadcasts • Sécurité : • Séparation des flux entre différents groupes d’utilisateurs • Finances : • 1 seul équipement pour plusieurs réseaux

802.1Q - Problématique 1/2 • Notion de vlan au niveau du commutateur • Mais jusqu’à présent, aucune notion de vlan au niveau Ethernet ni à des niveaux supérieurs • Donc comment propager l’appartenance à un VLAN d’un commutateur vers un autre ? • Problématique : lorsqu’une trame circule d’un commutateur à un autre, comment identifier son appartenance à un vlan ?

802.1Q - Problématique 2/2 DEFAULT VLAN VLAN A DEFAULT VLAN VLAN A

802.1Q - Théorie 1/2 • Objectif : Transport de plusieurs VLANs sur un lien unique, par exemple : • Commutateurs / Commutateurs • Commutateurs / Serveurs • Cela implique donc : • nécessité de définir les mêmes VLANs sur chaque commutateurs (même VLAN Id) • les trames doivent être taggées lors du transfert

VLAN A 802.1Q - Théorie 2/3 Tags sur les trames DEFAULT VLAN VLAN A DEFAULT VLAN VLAN A

802.1Q - Théorie 3/3 • Extension du format Ethernet, ajout de 4 octets • Type : « 0x8100 » pour le protocole 802.1Q • 802.1Q : • Priority (3 bits) • CFI (1 bit) • VID (12 bits)

802.1Q – Démonstration 1 Adrien DEFAULT VLAN VLAN A DEFAULT VLAN VLAN A Nicolas Serveur

802.1Q – Démonstration 2 Adrien DEFAULT VLAN VLAN A DEFAULT VLAN VLAN A Nicolas Serveur

802.1Q – Démonstration 3 # vlan <id_vlan> tagged <n°port> Adrien DEFAULT VLAN VLAN A Tag 802.1Q DEFAULT VLAN VLAN A Nicolas Serveur

802.1Q - Démonstration 4 Adrien DEFAULT VLAN VLAN A DEFAULT VLAN VLAN A Nicolas Serveur

802.1Q – Démonstration Snif Snif Adrien Sniffer DEFAULT VLAN VLAN A Tag 802.1Q Nicolas DEFAULT VLAN VLAN A Serveur

802.1s - Introduction • Architecture réseau des entreprises importantes : • nombreux vlans • 802.1Q • redondance de niveau 2 : STP • liens souvent surdimensionnés • => avantages des vlans et du STP : 802.1s

802.1s - Théorie • 802.1s = MSTP = PVST • Une instance STP par vlan au lieu d’une par boite • Complexe à mettre en place (au niveau conception) • Technologie récente, pas encore supportée par tous les matériels

802.1s – Objectifs / Limitations • Objectifs : • - Meilleure utilisation des liens • Temps de convergence de 3 secondes • Redondance de niveau 2 accrue • Limitations : • - Matériels limités en nombre d’instances • - Peu de softs snmp savent gérer 802.1s

R 802.1s – Exemple sans MSTP (1/2) vlan vert vlan bleu vlan rouge 1/ Configuration VLANs 2/ Configuration 802.1q 3/ Configuration STP vlan vert vlan bleu vlan rouge vlan vert vlan bleu vlan rouge

R R R 802.1s – Exemple avec MSTP (2/2) 1/ Configuration instances 2/ Configuration mapping : vlan vert : vlan bleu : vlan rouge Instance #1 Instance #2 Instance #3 3/ Configuration root bridges : vlan vert : vlan bleu : vlan rouge Instance #1 Instance #2 Instance #3 : vlan vert : vlan bleu : vlan rouge Instance #1 Instance #2 Instance #3

802.1x - Introduction • Permet l’élaboration de mécanismes d’authentification et d’autorisation pour l’accès au réseau • Se développe grâce au WiFi • Norme développée à l’origine pour les VLANs • => Attribution d’un VLAN en fonction de l’identification

Serveur Client 802.1x Switch d’accès Supplicant Authenticator Authentication Server 802.1x - Architecture • Avant authentification : seul trafic nécessaire à l’authentification est permis • Après authentification : tout trafic

Radius EAPoL 802.1x - Protocoles Serveur Radius Client 802.1x Switch d’accès • EAP au dessus du réseau local : EAPOL (EAP over LAN) • EAP peut encapsuler plusieurs types de protocoles d’authentification : • MD5 • TLS • TTLS • Le commutateur joue le rôle de relais • Le protocole Radius encapsule les messages EAP • Le serveur Radius pourra s’appuyer soit sur sa base de donnée interne, • soit sur un annuaire LDAP

802.1x – Démonstration Adrien Switch Serveur FreeRadius Nicolas • Le fichier ‘radiusd.conf’ • ajouter l’authentification eap • Le fichier ‘client.conf’ • déclarer les switchs qui feront des requêtes vers le serveur • Le fichier ‘users’ • contient les informations de chaque utilisateur • - login • - mot de passe • - vlan affecté • - etc… ‘ Activer l’authentification 802.1x sur le port 23 ’ aaa port-access authenticator 23 aaa port-access authenticator active ‘ Définir le serveur radius, la clé d’échange et le protocole de communication ’ radius-server host 10.0.0.1 radius-server key clerezo aaa authentication port-access eap-radius • Standard sous XP, SP3 sous 2000 • Xsupplicant sous Linux ‘ Vérification des authentifications ’ Switch1# show port-access authenticator

Ze End 

Fonctionnalités avancées des VLANs

Fonctionnalités avancées des VLANs

Presentation Transcript

Powerpoint presentation

PPT Presentation

PowerPoint presentation

PowerPoint Presentation.

talk-ppt - PowerPoint Presentation

Algorithmes et structures de donn es avanc es Cours 12

Archivo PowerPoint 2003 ( ppt )

VLANs

VLANs

Notions avanc es - Questions

PowerPoint Presentation

VLANs

PowerPoint Presentation

Excel : Fonctions Avanc₫es

PowerPoint Presentation

PowerPoint Presentation

VLANs

VLANs

VLANs

VLANs

VLANs

VLANs