Les Virtual LAN

© F. Nolot 2008

1
 Les Virtual LAN

Introduction
© F. Nolot 2008

2
 Architecture d'un réseau

Pour séparer, sur un réseau global, les rôles de chacun

Solution classique : utilisation de sous-réseaux différents
© F. Nolot 2008

3
 Problème !

Et si nous devons attribuer les mêmes rôles à des utilisateurs, mais

répartie sur des bâtiments différents ?
Obligation de faire de multiples sous-réseaux !
© F. Nolot 2008

4
 Autres problèmes

Les sous-réseaux multiples ne résolvent pas les problèmes suivants

:
Limiter la propagation de problème de niveau 2 ou 3 sur le réseau
Limiter les domaines de broadcast
Limiter « unknown MAC unicast trafic»
Quand un switch ne connait pas l'adresse MAC d'une destination
Contenir les trames de multicast qui sont propagées sur tous les ports
du switch
Difficulté d'administration d'un réseau mal organisé
Limiter les éventuels problèmes de sécurité
© F. Nolot 2008

5
 Une solution : Les Réseaux Locaux Virtuels
(VLAN)

Objectifs des VLAN

Avoir des fonctions de la couche 3 avec la vitesse de la couche 2
Faciliter la gestion de la mobilité des postes
Supprimer la possibilité de communication entre certaines parties du
réseau, sécurisé des domaines
Pouvoir facilement attribuer des autorisations différentes, en fonction
des droits et rôles de chaque groupe de personnes
© F. Nolot 2008

6
 Définitions

Un réseau local (LAN)

est défini par un domaine de diffusion
Limité par des équipements fonctionnant au niveau 3 du modèle OSI : la
couche réseau
Un réseau local virtuel (VLAN) est un LAN distribué sur des équipements
fonctionnant au niveau 2 du modèle OSI : la couche liaison (Ethernet)
A priori, nous n'avons plus besoin d'avoir recours à un équipement de
niveau 3 pour délimiter le LAN
Les VLAN sont distribués sur différents équipements via des liaisons dédiées
entre-eux appelées trunk
Un trunk est une connexion physique unique sur laquelle on transmet le
trafic de plusieurs réseaux virtuels
© F. Nolot 2008

7
 Exemple d'architectures non réfléchies !
© F. Nolot 2008

8
 Regroupement fonctionnel en sous-réseaux
© F. Nolot 2008

9
 Avantages du regroupement

Facilité d'administration
Minimise les risques de duplication d'IP
Réduit les tables de routage
© F. Nolot 2008

10
 Préconisation

Permettre d'attribuer des blocs de 4, 8, 16, 32 ou 64 réseaux

contiguë dans building distribution et access switch block donnés
Permet ainsi de faciliter la summarization dans une adresse plus large
Avoir une continuité des IP au sein d'un Building Distribution Layer
et Building Access layer
Avoir un sous-réseau par VLAN
Éviter les masques variables pour éviter les éventuelles erreurs
d'administration
© F. Nolot 2008

11
© F. Nolot 2008

Exemple

12
© F. Nolot 2008

Exemple

13
© F. Nolot 2008

Exemple

14
 Interconnexion technology
© F. Nolot 2008

15
 Déterminer les équipements et liens

Building Access layer to Distribution Layer

Un rapport de 20:1 : les liens peuvent être dimensionnés à 1/20 du total
de la bande passante du building access
Distribution to core layer
Un rapport inférieur à 4:1 (autre dit, 1/4 du total de la bande passante
nécessaire)
Entre équipement du core layer
Essayer d'avoir des liens d'une capacité suffisante pour tout le trafic
Ces conseils ne doivent pas être appliqués sur les server farms, ou
bien sur le edge distribution modules ou si des applications
spécifiques ont besoin d'un débit important
© F. Nolot 2008

Ces estimations ont été faites dans le cadre de communication depuis

des end-user en access layer

16
 Prendre en compte la source de trafic

Plusieurs types de trafic

Management : BPDU, CDP, SNMP, RMON
Téléphonie IP
Multicast : musique d'attente de ToIP, streaming video, routage
dynamique
Données normales : http, smtp, sql, ...
Scavenger class : trafic qui génère un flux important
© F. Nolot 2008

17
 End-to-end VLAN

Un VLAN est affecté à un port d'un switch

© F. Nolot 2008

18
 Caractéristiques du End-to-End VLAN

VLAN géographiquement réparti sur le réseau

Les utilisateurs sont regroupés dans des VLAN, quelque soit leur
emplacement
Même si un utilisateur se déplace, il sera toujours dans le même
VLAN
Un utilisateur est associé à un VLAN
Chaque VLAN possède son propre sous-réseau
© F. Nolot 2008

19
 Motivation du End-to-End VLAN

Sécurité : limiter les accès

Regrouper les utilisateurs avec le même rôle, quelque soit leur
emplacement géographique
Appliqué de la QoS sur certains trafics et donc certains VLANs
Mais
Chaque équipement doit avoir la même VLAN database
Comme le trafic d'un VLAN donnée passe par tous les équipements,
même ceux qui n'ont aucun port sur ce VLAN, difficulté à
« troubleshooter » en cas de problème
© F. Nolot 2008

20
 Règle du 80/20 ?

Avant :
80% du trafic doit être local au réseaux et 20% seulement pour les
ressource extérieure, passant par le core layer
Avec les VLAN et les applications client-serveur, ce n'est plus vérifié
Les servers farms sont interconnectés au core layer et
géographiquement centralisés
De plus en plus de consolidation de serveurs et d'accès à Internet
Maintenant :
La règle du 20/80 est appliqué
20% de trafic est local et 80% extérieur
© F. Nolot 2008

21
 Les VLAN locaux

Ils sont localisés dans une seule armoire de répartition

© F. Nolot 2008

22
 Avantages des VLAN locaux

Le flux réseau est prévisible car localisé dans les couches access,
distribution ou core layer
Possibilité d'avoir une redondance de chemin avec les algo PVST ou
MSTP
Haute disponibilité
Finite failure domain
Scalable design
© F. Nolot 2008

23
 Les VLAN

Configuration
© F. Nolot 2008

24
 Les VLAN IDs

Les identifiants des VLAN font parti de 2 plages

Les normal-range ID
Les extended-range ID
Les normal-range ID
De 1 à 1005
Utilisé dans les réseaux des petites et moyennes entreprises
Les identifiants 1002 à 1005 sont réservés aux protocoles Token Ring et
FDDI
Les VLAN 1, 1002 et 1005 sont créés par défaut, ils ne peuvent être
supprimés
Les configurations des VLAN sont stockées dans un fichier, appelé
© F. Nolot 2008

vlan.dat en mémoire flash du switch

25
 Les VLAN IDs

Les extended VLANs

Plage comprise entre 1006 et 4094
Supporte moins de fonctionnalité que le normal range VLAN
Les switch Catalyst 2950 et 2960 supportent un maximum de 255
VLAN normal et étendu, simultané
Par contre, l'augmentation du nombre de VLAN sur un switch
dégrade les performances de celui-ci
© F. Nolot 2008

26
 Les différents modes

A un VLAN est associé un ID

Chaque port d'un switch appartient à un VLAN
Cette affectation peut être
Statique
Cf 3.1.3.1 CCNA 4.0 LAN Switching
Dynamique
Peut utilisé dans les réseaux
Nécessite un VLAN Membership Policy Server (VMPS)
L'affectation à un VLAN se fait en fonction de l'adresse MAC d'une
machine
Dans le cas d'un Voice VLAN, il ne faut pas oublier que tout le
© F. Nolot 2008

réseau doit le supporter

Gestion de la priorité de ces flux sur les autres

27
 Création d'un VLAN

A chaque changement ou création de VLAN, le numéro de révision de VTP (si

mis en place) augmente
Pour associer un port à un VLAN, il faut qu'il devienne un access port
Un port devient access port soit de façon statique, soit de façon
dynamique
Un access port est
Associé à un VLAN unique, qui existe sinon le port ne forwardera pas de
trame
© F. Nolot 2008

Association dynamique grâce aux adresses MAC connu sur un VLAN

Membership Policy Server (VMPS)

28
 Les commandes
© F. Nolot 2008

29
 Utilisation des trunks

Les trunk peuvent être utilisés

Entre 2 commutateurs
C'est le mode de distribution des réseaux locaux le plus courant
Entre un commutateur et un hôte
Si un hôte supporte le trunking, il a la possibilité d'analyser le trafic
de tous les réseaux locaux virtuels
Entre un commutateur et un routeur
Permet d'accéder aux fonctionnalités de routage entre des VLAN
2 types de protocoles pour les trunk
Cisco Inter-Switch Link (ISL)
IEEE 802.1q
© F. Nolot 2008

30
 VLAN type Cisco Inter-Switch Link (ISL VLAN)

Technique développée pour les équipements Cisco.

La trame originale est complètement encapsulée dans des trames
ISL
Ajout d'une en-tête de 26 octets et d'une en-queue (CRC) de 4 octets
Support de multiples protocoles de niveau 2 (Ethernet, Token Ring,
ATM, FDDI)
Support de PVST (Spanning Tree)
N'utilise pas de VLAN Natif
Solution surtout utilisée dans le Voice over IP des équipements
Cisco
Technique non compatible avec les standards IEEE 802.1Q
© F. Nolot 2008

31
 Format de la trame ISL

DA : destination address (40 bit) adresse multicast 0x01-00-0C-00-00 ou

0x03-00-0c-00-00 qui indique que c'est une trame ISL
Type : Ethernet (0000), Token Ring (0001), FDDI (0010) ou ATM (0011)
User : (4 bits) extension du champ Type ou bien priorité Ethernet 0, la plus
basse et 3 la plus haute. Pour Ethernet le bit 0 et 1 sont utilisé pour la
© F. Nolot 2008

priorité

32
 Format de la trame ISL

SA : (48 bits) source MAC adresse

LEN : (16 bits) longueur sans DA, Type, User, SA, LEN et CRC
AAAA03 : Standard Subnetwork Access Protocol (SNAP) et 802.2 logical link
control (LLC) header
© F. Nolot 2008

HSA (high bits of source address): 3 premiers octets du SA

VID : (15 bits) seulement les 10 derniers bit sont utilisés (donc 1024 VLANs)

33
 Format de la trame ISL

BPDU : (1 bit) indique si c'est une trame BPDU de spanning tree mais aussi
si la trame encapsulée est du CDP, du VTP
INDX : (16 bits) utilisé pour faire du diagnostic, indique l'index du port
source du packet s'il existe sur le switch
RES : (16 bits) réservé pour Token Ring et FDDI
© F. Nolot 2008

34
 VLAN IEEE 802.1Q

Standard qui fournit un mécanisme très répandu, implanté dans de

nombreux équipements de marques différentes
L'en-tête de la trame est complétée par une balise de 4 octets
© F. Nolot 2008

VLAN2 VLAN3
VLAN1

35
 Fonctionnalités

Support d'Ethernet et Token Ring

Jusque 4096 VLANs
Les protocoles de Spanning Tree CST, MSTP et RSTP sont supportés
Point-to-Multipoint topologie
Support des trames non tagé, via le VLAN natif
Support de la QoS
Supporte la ToIP
© F. Nolot 2008

36
 La trame Ethernet 802.3

8 6 6 2 0-1500 4
Adr. de Adr.
Préambule Longueur Données FCS
dest. source

Le champ Type est remplacé par le champ longueur

Pour éviter des problèmes de compatibilité, IEEE a décidé de
considérer ce champ comme indiquant une longueur si la valeur est
<= 1500 sinon c'est le type de données transportées
© F. Nolot 2008

37
 Les tags 802.1q
© F. Nolot 2008

38
 La trame IEEE 802.1Q

EtherType ou Tag Protocol IDentifier (TPID)

12 bits utilisés pour identifier le protocole de la balise insérée. Pour une
balise 802.1q, la valeur est fixée à 0x8100
Priority
3 bits pour coder 8 niveaux de priorité. Aucun rapport avec les priorités
sur IP. Uniquement pour mettre des priorités entre les trames de
certains VLAN par rapport à d'autres
Canonical Format Identifier ou Token Ring Encapsulation Flag
1 bit pour la compatibilité entre les adresses MAC Ethernet et Token
Ring. Un commutateur Ethernet fixe toujours cette valeur à 0. Si une
trame avec la valeur 1 pour ce champ arrive, celle-ci ne sera pas
propagée
VID (ou VLAN Identifier)
© F. Nolot 2008

12 bits qui permettent de définir l'appartenance de la trame à un VLAN,

au maximum 4094 VLAN possibles
39
 Fonctionnement

Quand une trame non 802.1q arrive sur un port trunk 802.1q
Le tag est ignoré et le paquet est commuté niveau 2 comme une trame
Ethernet standard
Pour accepter les trames 802.1q, il faut que l'équipement accepte
des MTU de 1522 ou plus
MTU Ethernet classique 1518 octets + 28 bits (4 octets)
La MTU ne doit pas être > 1600 octets
© F. Nolot 2008

40
 Les types de VLAN

Actuellement, sur un réseau, plusieurs VLAN sont distingués

(3.1.2.3 Lan Switching)
Les Data VLAN
Ne véhiculent que des données utilisateurs
Le Default VLAN
Le VLAN dans lequel un switch, à la livraison se trouve
Chez Cisco, c'est le VLAN 1 et il ne peut pas être changé
Les protocoles CDP et les spanning tree sont associés à ce VLAN
Le Management VLAN
C'est le VLAN qui est utilisé pour configurer les swicths.
Le Voice VLAN
© F. Nolot 2008

Le Native VLAN
C'est le VLAN associé au port trunk 802.1Q qui a la capacité de
véhiculer les données marquées ou pas par un identifiant de VLAN 41
 Le VLAN Natif
© F. Nolot 2008

42
 Le Voice VLAN

La VoIP nécessite des impératifs afin de pouvoir assurer une qualité

suffisante sur le trafic vocal
Garantir une bande passante suffisante
Transmettre en priorité ces flux
Etre capable de router ces flux vers des zones congestionnées du
réseau
Avoir un délai inférieur à 150 ms à travers le réseau
© F. Nolot 2008

43
 Trunking configuration commands
© F. Nolot 2008

44
 Trunking configuration

Configuration statique
Conseillé de le faire en statique quand c'est possible
Configuration dynamique via Dynamic Trunking Protocol (DTP)
Protocole utilisé par les switchs Cisco Catalyst
Négocie automatiquement les liens trunk
5 modes de fonctionnements
Dynamic auto : basé sur les requêtes de négociation des switchs
voisins
Dynamic Desirable : envoie l'information que le port veut être en
mode trunk. Passe trunk si l'interface du voisin peut également
passer trunk
© F. Nolot 2008

Trunk : devient trunk, sans regarder ni l'état du switch voisin, ni les

requêtes DTP
Access : trunk non autorisé
Nonegociate : empêche l'interface de générer des trames DTP 45
 Config. DTP possibles
© F. Nolot 2008

46
 Visualisation le mode DTP d'un port
© F. Nolot 2008

47
 Configuration du trunk

Mettre isl à la place de dot1q pour utiliser le protocole ISL

© F. Nolot 2008

Non supporté sur les 2950 et 2960

Visualisation de l'état d'un port :
show interfaces fastEthernet 0/5 switchport
48
 Les Virtual LAN

Propagation des VLAN

© F. Nolot 2008

49
 Administration des VLAN ?

Pour ajouter un VLAN sur un réseau

L'administrateur doit l'ajouter sur chaque switch !
Necessite beaucoup de manipulation sur de grands réseaux
Pour éviter cela, sur des switchs Cisco, la manipulation peut être
faite sur un seul switch
La modification sera alors diffusée sur les autres via le protocole VTP :
VLAN Trunking Protocol
Nous distinguons dans ce cas, des switchs VTP server et des VTP client
La VTP server va diffuser la modification vers les autres switchs VTP
client
© F. Nolot 2008

50
 Le vocabulaire

Le VTP domain
Tous les switchs appartenant au même VTP domain échangeront leurs informations sur les
VLAN

Les VTP Mode

Un switch peut être en mode server

il diffuse ses informations sur les VLAN à tous les autres switchs appartement au même
VTP domain
ces informations sont stockés en NVRAM et sur un tel switch, il est possible de créer,
modifier ou détruire un VLAN du VTP domain
en mode client

Il stocke uniquement les informations sur les VLAN, transmises par le switch en mode VTP
server sur le même domaine.
ou bien en mode transparent

Il transmet les informations VTP aux autres switchs mais ne les traitent pas. Ces switchs
© F. Nolot 2008

sont autonomes et ne participent pas aux VTP

51
 Les modes VTP
© F. Nolot 2008

52
 La configuration par défaut

Par défaut, un switch est en

Mode server
VTP domain name égal à null
Tous les ports sont dans le VLAN 1
Le numéro de révision de la configuration VTP est 1
La version du protocole VTP est 1
Il existe 3 versions. Pour un VTP domain, tous les switchs doivent
être dans la même version
La commande show vtp status permet de visualiser la
configuration VTP d'un switch
© F. Nolot 2008

53
 La propagation du domaine

Les VTP Server propagent leur domaine VTP vers les autres switchs
via des messages VTP advertisement
Ces messages de type advertisement sont utilisés pour transporter
les informations sur les domaines VTP
les informations sur les modifications des VLAN
Chaque message VTP est composé
d'un VTP header et
d'un VTP data field
Chaque message VTP est inséré dans le champ de données des
trames Ethernet qui sont elles-mêmes encapsulées dans une trame
802.1q trunk ou ISL.
© F. Nolot 2008

Chaque switch envoie périodiquement, par multicast, sur ses liens

trunk des VTP advertisement.
54
 Les informations d'un message advertisement
© F. Nolot 2008

55
 Les VTP advertisement messages
© F. Nolot 2008

56
 Les 3 types de messages VTP

Summary advertisements : échangé toutes les 300 secondes ou

quand une mise à jour a lieu
Dans ce message figurent au moins le domain d'administration, la
version VTP, le nom du domaine, le numéro de révision de la
configuration, un time stamp et le nombre de « subset
advertisements »
Subset advertisement : envoyé à la suite d'un summary
advertisement résultat d'une modification de la base VLAN
Contient les changements effectués
Un subset advertisement pour chaque VID modifié
Advertisement request depuis les clients : envoyé quand un switch
réclame les informations pour mettre à jour sa base VLAN
© F. Nolot 2008

Quand un switch voit un message summary avec une revison supérieur

à la sienne, il demande la nouvelle configuration
Le Serveur retourne un summary et un subset advertisements
57
 Les types de message advertisement

Subset Advertisement
Contienne le détail de chaque VLAN
© F. Nolot 2008

58
 Les types de message advertisement

Summary Advertisement
Message utilisé dans la plupart des cas
© F. Nolot 2008

59
 Les types de message advertisement

Request advertisement
Utilisé quand un switch n'a pas reçu les informations sur tous les VLAN
Quand il est en mode client et démarre par exemple
© F. Nolot 2008

60
 Les VTP revision number

Codé sur 32 bit

Par défaut, c'est la valeur 0
A chaque ajout ou suppression d'un VLAN, ce nombre est
incrémenté de 1 par le switch VTP server
Au changement du nom du VTP domain, ce nombre est mis à 0
Permet de connaître le message VTP le plus récent
© F. Nolot 2008

61
© F. Nolot 2008

En résumé

62
 Le protocole VTP

La configuration
© F. Nolot 2008

63
 La configuration
© F. Nolot 2008

64
 Les commandes

Changer le mode VTP

Switch(config)# vtp mode { client | server | transparent }
Changer la version de VTP
Switch(config)# vtp version { 1 | 2 }
Sur les switchs Cisco 2960, seules les versions 1 et 2 sont disponibles
Changer le VTP domain
Switch(config)# vtp domain le-domaine
Définir un mot de passe
Switch(config)# vtp password mot-de-passe
Reset du Revision Number
Il faut effectuer un changement de nom du VTP domaine
Pour voir les informations sur le protocole VTP
© F. Nolot 2008

Switch# show vtp status

Pour visualiser les liaisons trunk
Switch# show interfaces trunk
65
 Les domaines VTP

Les VLAN peuvent être regroupés en domaine

Tous les VLAN partagent ainsi les mêmes informations globales : VLAN
number, nom et description
Un switch ne peut appartenir qu'à un seul domaine
Les mises à jour VTP ne sont échangées qu'entre switch d'un même
domaine
© F. Nolot 2008

66
 Le protocole VTP

VTP est un protocole de niveau 2, d'échanges d'information

Existence de 3 versions différentes
Permet de gérer l'ajout, la suppression et les changements de nom
Protocole propriétaire Cisco
Fonctionne sur les VLAN 1 à 1005 uniquement jusque la version 2
Informations échangées uniquement via les ports trunk
Dans un même domaine, toutes les versions de VTP doivent être
identiques
© F. Nolot 2008

67
 Fonctionnement VTP

Chaque switch est dans un mode VTP particulier

Cela détermine la gestion des mises à jour
La version 2 de VTP
Supporte Token Ring
Propage les mises à jour VTP de type, longueur ou valeur non reconnus
Transfère les mises à jour provenant de switch en mode transparent,
sans regarder le numéro de version de la révision
La version 3 supporte
Les VLAN étendus
La création et diffusion des VLAN privés
© F. Nolot 2008

Les instances VLAN et la propagation des MST

La protection de la base VLAN en cas d'erreur accidentelle
Fonctionne avec la version 1 et 2
68
 VTP Pruning

Dans certain cas, il est inutile de propager les informations vers

tous les switchs comme dans l'exemple suivant :
© F. Nolot 2008

Il est inutile de propager vers le switch S1 les informations du VLAN

10
69
© F. Nolot 2008

VTP Pruning

70
 Les échanges VTP

VLAN 1 non éligible au « pruning »

Echange d'informations toutes les 5 minutes ou après une
modification d'une configuration
Utilise des trames de multicast sur le VLAN 1
L'élément critique est le numéro de révision dans le VLAN
Initialement à 0
Incrémenté de 1 à chaque modification sur le serveur VTP
Si le numéro de révision reçu est supérieur à celui enregistré, la
configuration reçu est enregistré
© F. Nolot 2008

71
 Revision Number ?

Si un numéro de Révision plus élevé est vu dans un message de

VTP Summary Advertisement par un client, la configuration actuelle
sera effacé
Mais un client peut aussi provoquer l'effacement de la config du
VTP Server
Comment ?
A la connexion d'un switch en VTP Client, il envoie un VTP Summary
Advertisement sur tous ses ports. Si un switch en VTP Server voit passer
ce type de message avec un Revision Number supérieur au sein, il
réclame la config du client et écrase la sienne !
A la connexion, il faut donc
Avoir un numéro de révision à 0
© F. Nolot 2008

Ré-initialisation du numéro de révision se fait

Lors d'un changement de VTP Domain
Lors d'un changement du VTP mode 72
 Configuration VTP

Show vtp permet de visualiser la configuration

Dans un même domain VTP, tous les switchs doivent avoir le même
nom de domaine VTP et mot de passe (optionnel)
Mettre le switch en client quand ajouter à une architecture existante
Par défaut, il est serveur
Commandes de base
vtp domain
vtp password
vtp v2-mode
vtp mode client, vtp mode server ou vtp mode transparent
show vtp status, show vtp counters, show vlan, show vtp password
© F. Nolot 2008

Par défaut, VTP mode est server, VTP domain name et password sont none et
VTP trap disabled (pour communiquer le statut VTP via SNMP)

73
 Les Virtual LAN

Les erreurs classiques

© F. Nolot 2008

74
 Exemple 1

Quelle configuration permet d'obtenir une liaison trunk ?

© F. Nolot 2008

75
 Config. DTP possibles
© F. Nolot 2008

76
 Résolution de problèmes

La négociation Trunk se fait par DTP, en point à point

Quand DTP est utilisé, s'assurer d'avoir le même VTP domain
DTP est propriétaire Cisco donc non compatible avec d'autres
équipements
Conseiller dans ce cas de le désactiver
Soit faire un
switchport mode access
switchport mode trunk
Ou switchport mode nonnegociate
Et définir le protocole trunk, si besoin d'un trunk
switchport trunk encapsulation dot1q (ou isl)
© F. Nolot 2008

77
 Résolution de problèmes

Sur une configuration Server, Client et transparent

Avoir le même domaine VTP
Avoir la même version de VTP
Avoir au moins un server
Vérifier l'existence d'un trunk
Avoir le même mot de passe, si défini
S'assurer qu'un mauvais numéro de révision d'un switch ajouté n'a
pas généré un écrasement de la bonne configuration
Un switch client peut effacer la config du switch server si son numéro de
révision est supérieur à celui du switch serveur
© F. Nolot 2008

78