LES VLANS

Ralis par :
Mohamed TARSAFI RSAFI

Professeur: :
Dr. EZZATI .

Anne universitaire 2012-2013

Table des matires

I. Introduction aux VLAN ............................................................. 3 ............................. II. Les bases............................................................................... 3 ................................................................ i. ii. III. IV. Un LAN ............................................................................. 3 ................................................................ Deux LANS (ou plus) .......................................................... 3 ..........................

O intervient le virtuel ............................................................ 4 ............................ Avantages des vlans .............................................................. 5 ..............................

V. Norme 802.1q (ou l'art du tag) ................................................. 5 ................. VI. i. ii. VII. i. ii. Le VTP (Vlan Trunking Protocol) ................................ .............................................. 7 Qu'est ce que le VTP ? ........................................................ 7 ........................ Comprendre le VTP............................................................. 7 ............................. Les diffrents types de vlans ................................................. 8 ................. Les vlans de niveau 1 , Vlans par port ................................ 8 .................................. Les vlans de niveau 2 , Vlan par adresse MAC ...................... 9 ans

iii. Les vlans de niveau 3 ,vlan par sous sous-rseau ....................... 10 VIII. CONFIGURATION DES VLANS .............................................. 11 .............. i. ii. CREATION DES VLANS ..................................................... 11 ..................... CONFIGURATION D'UN DOMAINE VTP ................................ 11

iii. CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN .... 12 IX. Conclusion ......................................................................... 13 ................................................................

I.

Introduction aux VLAN roduction

Un VLAN (Virtual Local Area Network ou Virtual LAN, en franais Rseau Local Virtual Virtuel) est un rseau local regroupant un ensemble de machines de faon logique et ) non physique. En effet dans un rseau local la communication entre les diffrentes machines est rgie par l'architecture physique. Grce aux rseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique en dfinissant une segmentation logique (logicielle) base sur un regroupement de machines grce des ion critres

II.
i.

Les bases
Un LAN

Soit un rseau Ethernet. Un LAN est un rseau local dans lequel toutes les trames Ethernet sont visibles depuis tous les noeuds si le LAN est construit avec un HUB. Si nous avons affaire un SWITCH, seules les trames de diffusions (broadcast) seront visibles depuis tous les noeuds, le SWITCH agissant comme un pont Ethernet entre chaque noeud du LAN. Ce qu'il est fondamental de comprendre, c'est que nous raisonnons au niveau Ethernet, que nous ne parlons que d'adresses MAC. Un SWITCH, c'est le composant que nous utiliserons par la suite, l'exclusion des HUBs, est capable d'apprendre et de retenir la ou les adresses MAC qui se prsentent sur chacun de ses ports.
ii. Deux LANS (ou plus)

Soit le schma suivant

Lorsque nous avons deux LANs et que nous souhaitons les interconnecter, tout en conservant dans chaque LAN les mmes proprits au niveau Ethernet, nous devons faire appel la couche 3 (IP) pour assurer l'interconnexion. Il nous faut donc un routeur. Le routeur agit au niveau 3 de la couche (IP). Ce qu'il est absolument fondamental de comprendre. Cest qu'au niveau Ethernet, le LAN bleu ignore compltement l'existence du LAN vert, et rciproquement, (deux rseaux diffrents). Il y a isolation complte des deux nt, LANs au niveau Ethernet et la prsence du routeur n'y change rien. Les trames Ethernet qui transportent des donnes depuis le LAN vert dans le LAN bleu ne seront rien d'autre que des trames Ethernet issues du routeur ct LAN bleu (et rciproquement), (nous sommes au niveau 2, n'oublions pas).

III.

O intervient le virtuel

Jusqu'ici, un SWITCH appartenait un et un seul LAN. L'ide de base est de pouvoir squ'ici, assigner certains ports du SWITCH un LAN, certains autres ports un autre LAN etc :

Sur un mme SWITCH physique, nous allons pouvoir crer plusieurs LANS et assigner certains de ses ports aux divers LANs crs. Ici, nous avons un LAN bleu et tains un LAN vert. Comme si l'on avait dcoup notre SWITCH en deux morceaux (sans pour autant le dtruire). Dans une premire approche, notre maquette deviendrait ceci :

Le SWITCH a t virtuellement coup en deux. Les deux VLANs sont compltement tanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au del du niveau 2). Pour interconnecter ces deux LANs, un routeur est toujours ncessaire.

IV.

Avantages des vlans

Le VLAN permet de dfinir un nouveau rseau au dessus du rseau physique et ce au-dessus titre offre les avantages suivants : Plus de souplesse pour l'administration et les modifications du rseau car toute l'architecture peut tre modifie par simple paramtrage des commutateurs Gain en scurit car les informations sont encapsules dans un niveau supplmentaire et ventuellement analyses Rduction de la diffusion du traffic sur le rseau

V.

Norme 802.1q (ou l'art du tag)

Ici, l'ide serait d'arriver ce que certains ports du swith puissent tre assigns plusieurs VLANs, a fera conomiser du cble (et aussi des ports sur le SWITCH). Le principe consiste ajouter dans l'en tte de la trame Ethernet un marqueur qui va l'en-tte identifier le VLAN. Il existe quelques solutions propritaires pour raliser ceci, mais solutions le systme s'est avr tellement intressant qu'une norme a t dfinie, il s'agit de la norme 802.1q. Alors qu'une trame Ethernet "normale" est constitue comme ceci :

Une trame modifie par la norme 802.1q se trouve allonge de 4 octets :

Il n'est peut-tre pas ncessaire de dtailler le contenu de ces deux nouveaux champs. tre Pour l'instant, retenons que le VID (Identifiant du VLAN) est cod sur 12 bits, ce qui laisse une latitude confortable. Il est aussi ncessaire de rappeler qu'une trame Ethernet ne doit pas dpasser 1518 octets et que donc, quatre octets de plus dans l'en tte risquent d'aboutir une l'en-tte fragmentation des trames, ce qui n'est jamais bien bon. Si l'on doit avoir recours des VLANS "taggus", il sera sans doute ncessaire de prvoir ce dtail. aggus",

Au final, notre SWITCH a donc la possibilit d'ajouter ces marqueurs aux trames Ethernet. Si c'est le cas, il sera alors possible thoriquement d'assigner un mme port 212 VLANS diffrents. Grce au VID de chaque VLAN, les donnes seront Grce achemines correctement. Si nous appliquons cette technique notre maquette, nous obtenons ceci :

Il n'y a effectivement qu'un seul cble qui relie l'unique swith au routeur, et pourtant, nous allons effectivement router les donnes entre les deux LANs. Il y a tout de mme ement une condition respecter : le routeur doit tre "802.1q compliant", c'est c'est--dire qu'il doit savoir lire les tags que le SWITCH a pos sur au moins l'un des deux VLANs. Si nous faisons un gros plan sur le SWITCH, nous observons ceci : os

Le port marqu "trunk" appartient la fois aux deux VLANs bleu et vert. Sur ce port, il faut bien sr qu'au moins l'un des deux VLANs soit "taggu". Sur le cble reli ce port, il circulera donc la fois les trames du VLAN bleu et les celles du VLAN vert. Il n'y aura pas de problmes tant qu' chaque bout du cble, l'interface Ethernet sera capable de trier les trames en fonction du tag. Ceci impose donc naturellement que le routeur soit compatible avec la norme 802.1q, c'est norme c'est--dire que son interface soit capable d'exploiter ces tags.

VI.
i.

Le VTP (Vlan Trunking Protocol)

Qu'est ce que le VTP ?

Afin de ne pas redfinir tous les VLANs existant sur chaque commutateur, Cisco a dvelopp un protocole permettant une hriage de VLANs entre commutateur. C'est hriage le protocole VTP. Ce protocle est bas sur la norme 802.1q et exploite une architecture client-serveur avec la possibilit d'instancier plusieurs serveurs. serveur
ii. Comprendre le VTP

Un commutateur doit alors tre dclars en serveur, on lui attribut galement un nom de domaine VTP. C'est sur ce commutateur que chaque nouveau VLAN devra tre dfini, modifi ou supprim. Ainsi chaque commutateur client prsent dans le domaine hritera automatiquement des nouveaux VLANs cres sur le commutateur serveur. Le VLAN Trunking Protocol (VTP) minimise donc l'administration dans le rseau commut. Ceci rduit avantageusement le besoin de configurer les mmes VLANs sur chaque commutateur individuellement. Les dispositifs de VTP peuvent tre configurs pour fonctionner suivant les trois modes suivants : le mode serveur Le mode client VTP le mode transparent Si une des conditions suivantes n'est pas respecte, le domaine de VTP ne sera pas valide et l'information ne se propagera pas: il faut assigner le mme nom de domaine de VTP chaque commutateur l'option trunk pour l'interconnexion des commutateurs doit tre active.

Le serveur diffuse la liste des Vlans. Les paquets VTP Advertisements sont identifis par un numro de rvision.Le numro de rvision le plus lev sera celui qui numro modifiera la base de donne Vlan. Elle se propage sur les liens trunk. Les commutateurs en mode transparents ont leur propre liste. Cette liste nest pas diffuse sur le rseau mais les paquets VTP le sont.

VII.
i.

Les diffrents types de vlans

Les vlans de niveau 1 , Vlans par port Principe

Les Vlans par port associent un port d'un switch un numro de Vlan. On dit alors que le port est tagu suivant le Vlan donn. Le switch entretien ensuite une table qui lie chaque Vlan au port associ. Le taggage des ports peut se faire de manire statique ue ou de manire dynamique (voir la norme 802.1q)

Les avantages

Lavantage principale du Vlan par port est qu'il permet une tanchit maximale des Vlans. Une attaque extrieur ne pourra se faire qu'en branchant le PC pirate sur un extrieur port taggu. Le pirate a donc besoin d'avoir accs la machine physique pour penetrer le Vlan. Le Vlan par port offre une facilit de configuration. L'administrateur peut sans difficult choisir les ports taguer sans avoir d'information de la part des machines auxquelles sont relis les ports.

Les inconvnients

Le principal inconvnient du Vlan par port est qu'il ncessite une configuration lourde et contraignante sur chaque switch. A chaque dplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualit de service. Ce systme peut tre attnuer par la mise en place d'une solution de carte client 802.1q couple une d'une authentification en 802.1x et une solution de transport des Vlans. Le mcanisme de Vlan par port ne possde pas d'architecture centralise qui pourrait permettre d'viter la lourdeur de la configuration. Chaque switch possde sa table de correspondance indpendamment du contenu des autres switchs.
ii. Les vlans de niveau 2 , Vlan par adresse MAC Principe

Le Vlan de niveau segmente le rseau en fonction de l'adresse MAC de l'utilisateur. On associe ainsi des adresses des Vlans pour permettre un utilisateur de se dplacer sans pour autant changer de profil. Ce type de Vlan est gnralement utilis pour regrouper les utilisateurs par service. Ce type de Vlan permet de regrouper au sein d'un mme lien et de les transporter sur le rseau (voir norme 802.1q).

Les avantages

Les Vlans de niveau 2 permettent une scurit au niveau de l'adresse MAC, c'est dire qu'un pirate souhaitant se connecter sur le Vlan devra au pralable rcuperer une adresse MAC du Vlan pour pouvoir entrer. Les Vlans de niveau 2 offrent des possibilits de centralisation des tables Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour connaitre les informations ncessaires une adresse MAC donne.
Les inconvnients

Le Vlan de niveau 2 offre une scurit moindre que le Vlan par port de par la n possibilit de spoofer l'adresse MAC. De plus, il n'y a pas de contrle de flux prvu ce qui ncessite un bon dimensionnement du rseau.

iii.

Les vlans de niveau 3 , ,vlan par sous-rseau Principe

Les Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous es rseau auuxquel elles appartiennent. La mise en place de Vlan de niveau 3 est conditionn par l'utilisation d'un protocole routable (IP, autres protocoles propritaires ...). L'attribution des Vlans se fait de manire automatique en dcapsulant le paquet jusqu'a l'adresse source. Cette adresse va determiner quel Vlan appartient la machine.

Les avantages

L'avantage du Vlan de niveau 3 est qu'il permet une affectation automatique un Vlan suivant une adresse IP. Par consquent, il suffit de configurer les clients pour joindre les groupes souhaits. Il est aussi possible de sparer les protocoles par Vlan.
Les inconvnients

Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch est oblig de dcapsuler le paquet j'usqu' l'adresse IP pour pouvoir detecter quel Vlan il appartient. Il faut donc des quipements plus couteux (car ils doivent pouvoir dcapsuler le niveau 3) pour une performance moindre. La scurit est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. En effet, l'analyse de l'adresse IP rend le spoofing IP possible. Or le spoofing IP est beaucoup plus simple raliser que le spoofing MAC. Les Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour avoir l'identifiant niveau 3, et ainsi se joindre au Vlan correspondant.

VIII.

CONFIGURATION DES VLANS

i.

CREATION DES VLANS

Pour crer un VLAN, il faut se trouver dans le mode de configuration correspondant, de accessible par la commande :
Switch# vlan database #

A partir de ce mode, la cration d'un VLAN se fait par la commande :

Switch(vlan)# vlan {numro} [name {nom}] (vlan)# Switch(vlan)# exit

Cette dernire commande permet d'enregistrer la configuration des VLANs, qui se trouve dans le fichier vlan.dat dans la mmoire Flash. Dans une configuration de VLAN statique, les ports du commutateur doivent tre attribus un VLAN. Ceci se fait dans le mode de configuration de l'interface spcifie :
Switch(config)#interface fastEthernet {numro_interface} (config)#interface

On passe dans le mode de configuration de l'interface spcifie n

Switch(config-if)#switchport mode access if)#switchport

Spcification du mode de l'interface pcification

Switch(config-if)#switchport access vlan {numro} if)#switchport

Attribution du vlan spcifi l'interface ttribution

ii. CONFIGURATION D'UN DOMAINE VTP

Pour propager cette configuration un deuxime commutateur, ceux ci doivent ceux-ci appartenir un domaine commun : le domaine VTP. Ce domaine est organis hirarchiquement : le serveur VTP diffuse ses configurations VLAN, tandis que le client VTP met jour sa configuration VLAN en fonction des informations reues du

serveur. Considrons le commutateur Switch_A comme le serveur du domaine VTP, et le commutateur Switch_B comme le client. Les commandes ncessaires sont
Switch# vlan database # Switch(vlan)# vtp domain {nom_domaine} Switch(vlan)# vtp server (vlan)# Switch(vlan)# exit Switch_B# vlan database Switch_B(vlan)# vtp domain {nom_domaine} Switch_B(vlan)# vtp client Switch_B(vlan)# exit

Enfin, un trunk est ncessaire entre ces deux quipements. C'est en effet par celui celui-ci que les trames tiquetes transitent. Entre deux commutateurs, un cble crois doit tre utilis. Un trunk est une connexion physique regroupant plusieurs connexions logiques. Dans le schma, un cble physique laisse transiter 3 trafics logiques diffrents. Ceux-ci reprsentent les trafics propres chaque VLAN. ci L'encapsulation utilise doit galement tre spcifie, moins que le commutateur utilis n'accepte qu'un seul protocole. Chaque commutateur doit donc configurer une des ses interfaces pour accueillir un trunk :
Switch_A(config)# interface fastEthernet {numro_interface} Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation {dot1q | isl} if)#

A ce stade, la configuration VLAN du commutateur serveur est transmise au client. Il faut cependant assigner les ports du commutateur client aux VLANs spci spcifis (la configuration transmise numre seulement les VLANs cres et leurs noms):
Switch_B(config)# interface fastEthernet {numro_interface} Switch_B(config-if)# switchport mode access if)# Switch_B(config-if)# switchport access vlan {numro} if)#

Dsormais, chaque hte peut communiquer avec un hte du mme VLAN, connect aque sur un commutateur diffrent.

iii.

CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN

La liaison routeur-commutateur constitue galement un trunk. Cette connexion commutateur regroupe en effet plusieurs liens logiques : un trafic VLAN par sous interface, sur une sous-interface,

liaison physique : un cble droit connectant une interface du routeur une interface d'un commutateur. Chaque trafic de VLAN est supp support par une sous-interface du routeur. Il faut donc, interface pour chaque sous-interface, attribuer une adresse IP appartenant au sous interface, sous-rseau du VLAN et spcifier l'encapsulation (tiquetage) utilise:
R1(config)# interface fastEthernet {sous {sous-interface} R1(config-sub)# encapsulation {dot1q | isl} {numro_vlan} sub)# R1(config-sub)# ip address {adresse_ip} {masque_sous_rseau} sub)#

Chaque hte peut dsormais communiquer avec un hte sur un VLAN diffrent. Lorsque le premier envoi une trame avec pour destination un sous eau diffrent du sous-rseau sous-rseau source, le commutateur l'encapsule et l'envoi la passerelle par dfaut. rseau Aprs avoir travers le trunk, la trame est traite au niveau du routeur. Celui la Celui-ci dsencapsule, la rencapsule pour le VLAN de destination avant de l'envoyer sur la l'envoyer sous-interface correspondante interface correspondante.

IX.

Conclusion
Grce lutilisation des VLAN, on peut segmenter un rseau, indpendamment de la rpartition gographique des machines On ralise une conomie de matriel On facilite la gestion des utilisateurs (ajout, dplacement) On amliore la segmentation