Document 7572480

Download Report

Transcript Document 7572480 

Fonctionnalités
avancées des VLANs
APPERT Fabien
BOUVET Adrien
CHAVERON Nicolas
Ingénieurs2000
IR - 3ème année
Février 2005
Exposé de « Nouvelles Technologies Réseaux »
1
Fonctionnalités avancées des VLANs
Table des matières
• VLAN
• 802.1q
• 802.1s
• 802.1x
2
VLAN - Théorie 1/2
Définition :
Virtual Local Area Network
Utilité : Plusieurs réseaux virtuels sur un même réseau physique
=
VLAN A
VLAN B
LAN A
LAN B
3
VLAN - Théorie 2/2
Notions essentielles :
• VLAN par défaut toujours présent
• Technologie en standard sur les switchs actuels
• Configuration au niveau de l’équipement
3 types de VLAN :
• par port  Niveau 1
• par adresse MAC  Niveau 2
• par sous-réseau / protocole  Niveau 3
4
VLAN – niveau 1
VLAN de niveau 1  VLAN par port
 1 port du switch dans 1 VLAN
 configurable au niveau de l’équipement
 90% des VLAN sont des VLAN par port
VLAN PAR DEFAUT
VLAN A
VLAN B
5
VLAN – niveau 2
VLAN de niveau 2  VLAN par adresse MAC
 VLAN en fonction des adresses MAC
 configurable au niveau de l’équipement
+ indépendance de la localisation de la station
- difficultés de poser des règles de filtrages précises
6
VLAN – niveau 3
VLAN de niveau 3  VLAN par sous-réseau ou par protocole
 VLAN en fonction des adresses IP sources des datagrammes
ou du type de protocole
 configurable au niveau de l’équipement
+
séparation des flux
-
dégradation des performances
7
VLAN - Démonstration
Situation 1 : VLAN DEFAULT
@MAC serveur
Serveur 
? @IP
ARP
Sniffer
Adrien
ARP
Serveur
Nicolas
ARP
ARP
ARP
VLAN PAR DEFAUT
8
VLAN - Démonstration
Situation 1 : VLAN DEFAULT
Ping ok
serveur
ICMP
Adrien
Sniffer
ICMP
Serveur
Nicolas
ICMP
ICMP
VLAN PAR DEFAUT
9
VLAN - Démonstration
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
Adrien
Serveur
# vlan <id_vlan> name <nom_vlan>
# vlan <id_vlan> untagged <n°port>
VLAN A
Sniffer
Nicolas
VLAN PAR DEFAUT
10
VLAN - Démonstration
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
ARP
Adrien
Ping serveur :
@MAC Serveur ?
 Destination unreachable
Sniffer
Serveur
Nicolas
ARP
VLAN A
VLAN PAR DEFAUT
11
VLAN - Démonstration
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
Adrien
Serveur
# vlan <id_vlan> untagged <n°port>
VLAN A
Sniffer
Nicolas
VLAN PAR DEFAUT
12
VLAN - Démonstration
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
Ping ok
Adrien
Serveur
Sniffer
Nicolas
VLAN A
VLAN PAR DEFAUT
13
VLAN - Avantages
Performances :
• Permet à des utilisateurs éloignés géographiquement de
partager des données
• Limite la diffusion des broadcasts
Sécurité :
• Séparation des flux entre différents groupes d’utilisateurs
Finances :
• 1 seul équipement pour plusieurs réseaux
14
802.1Q - Problématique 1/2
 Notion de vlan au niveau du commutateur
 Mais jusqu’à présent, aucune notion de vlan au niveau
Ethernet ni à des niveaux supérieurs
 Donc comment propager l’appartenance à un VLAN d’un
commutateur vers un autre ?
Problématique : lorsqu’une trame circule d’un commutateur à un
autre, comment identifier son appartenance à un vlan ?
15
802.1Q - Problématique 2/2
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
16
802.1Q - Théorie 1/2
Objectif : Transport de plusieurs VLANs sur un lien unique,
par exemple :
 Commutateurs / Commutateurs
 Commutateurs / Serveurs
• Cela implique donc :
 nécessité de définir les mêmes VLANs sur chaque
commutateurs (même VLAN Id)
 les trames doivent être taggées lors du transfert
17
802.1Q - Théorie 2/3
Tags sur les trames
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
VLAN A
18
802.1Q - Théorie 3/3
• Extension du format Ethernet, ajout de 4 octets
• Type : « 0x8100 » pour le protocole 802.1Q
• 802.1Q :
Priority (3 bits)
CFI (1 bit)
VID (12 bits)
19
802.1Q – Démonstration 1
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
20
802.1Q – Démonstration 2
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
21
802.1Q – Démonstration 3
# vlan <id_vlan> tagged <n°port>
Adrien
DEFAULT VLAN
VLAN A
Tag 802.1Q
DEFAULT VLAN
Nicolas
VLAN A
Serveur
22
802.1Q - Démonstration 4
Adrien
DEFAULT VLAN
VLAN A
DEFAULT VLAN
VLAN A
Nicolas
Serveur
23
802.1Q – Démonstration Snif Snif
Adrien
Sniffer
DEFAULT VLAN
VLAN A
Tag 802.1Q
Nicolas
DEFAULT VLAN
VLAN A
Serveur
24
802.1s - Introduction
Architecture réseau des entreprises importantes :
•
•
•
•
nombreux vlans
802.1Q
redondance de niveau 2 : STP
liens souvent surdimensionnés
=> avantages des vlans et du STP : 802.1s
25
802.1s - Théorie
• 802.1s = MSTP = PVST
• Une instance STP par vlan au lieu d’une par boite
• Complexe à mettre en place (au niveau conception)
• Technologie récente, pas encore supportée par tous les
matériels
26
802.1s – Objectifs / Limitations
Objectifs :
- Meilleure utilisation des liens
- Temps de convergence de 3 secondes
- Redondance de niveau 2 accrue
Limitations :
- Matériels limités en nombre d’instances
- Peu de softs snmp savent gérer 802.1s
27
802.1s – Exemple sans MSTP (1/2)
1/ Configuration VLANs
2/ Configuration 802.1q
R
vlan vert
vlan bleu
vlan rouge
3/ Configuration STP
vlan vert
vlan bleu
vlan rouge
vlan vert
vlan bleu
vlan rouge
28
802.1s – Exemple avec MSTP (2/2)
1/ Configuration instances
2/ Configuration mapping
3/ Configuration root bridges
R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
R
R
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
Instance #1 : vlan vert
Instance #2 : vlan bleu
Instance #3 : vlan rouge
29
802.1x - Introduction
• Permet l’élaboration de mécanismes d’authentification et
d’autorisation pour l’accès au réseau
• Se développe grâce au WiFi
• Norme développée à l’origine pour les VLANs
=> Attribution d’un VLAN en fonction de l’identification
30
802.1x - Architecture
Serveur
Client 802.1x
Switch d’accès
Supplicant
Authenticator
Authentication Server
• Avant authentification : seul trafic nécessaire à l’authentification est permis
• Après authentification : tout trafic
31
802.1x - Protocoles
Serveur Radius
Client 802.1x
Switch d’accès
EAPoL
Radius
• EAP au dessus du réseau local : EAPOL (EAP over LAN)
• EAP peut encapsuler plusieurs types de protocoles d’authentification :
• MD5
• TLS
• TTLS
• Le commutateur joue le rôle de relais
• Le protocole Radius encapsule les messages EAP
• Le serveur Radius pourra s’appuyer soit sur sa base de donnée interne,
soit sur un annuaire LDAP
32
802.1x – Démonstration
Adrien
Serveur FreeRadius
Switch
Nicolas
• Le fichier
‘radiusd.conf’
‘ Activer
l’authentification
802.1x sur le port 23 ’
l’authentification
eap
aaa ajouter
port-access
authenticator
23
•
Standard sous XP, SP3 sous 2000
aaa port-access authenticator active
• Xsupplicant
sous Linux
• Le
‘client.conf’
‘ Définir
le serveur
radius,
la
clé d’échange
et le
‘ fichier
Vérification
des
authentifications
’
déclarer
les
feront des
vers le serveur
protocole
de switchs
communication
’ requêtes
Switch1#
show qui
port-access
authenticator
radius-server host 10.0.0.1
• Le fichier ‘users’
radius-server
key clerezo
les informations
de chaque utilisateur
aaa contient
authentication
port-access
eap-radius
- login
- mot de passe
33
- vlan affecté
- etc…
Ze End 
34