Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • VLAN

    Загружено:

    soula11
    87 просмотров34 страницы
    vlan ccna

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PPT, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    vlan ccna

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    87 просмотров34 страницы

    VLAN

    Загружено:

    soula11
    vlan ccna

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 34

    Fonctionnalits

    avances des VLANs


    APPERT Fabien
    BOUVET Adrien
    CHAVERON Nicolas
    Ingnieurs2000
    IR - 3me anne
    Fvrier 2005

    Expos de Nouvelles Technologies Rseaux

    Fonctionnalits avances des VLANs


    Table des matires

    VLAN
    802.1q
    802.1s
    802.1x

    VLAN - Thorie 1/2

    Dfinition :

    Virtual Local Area Network

    Utilit : Plusieurs rseaux virtuels sur un mme rseau physique

    VLAN A

    VLAN B

    LAN A

    LAN B

    VLAN - Thorie 2/2

    Notions essentielles :
    VLAN par dfaut toujours prsent
    Technologie en standard sur les switchs actuels
    Configuration au niveau de lquipement
    3 types de VLAN :
    par port Niveau 1
    par adresse MAC Niveau 2
    par sous-rseau / protocole Niveau 3
    4

    VLAN niveau 1

    VLAN de niveau 1 VLAN par port


    1 port du switch dans 1 VLAN
    configurable au niveau de lquipement
    90% des VLAN sont des VLAN par port

    VLAN PAR DEFAUT


    VLAN A

    VLAN B

    VLAN niveau 2

    VLAN de niveau 2 VLAN par adresse MAC


    VLAN en fonction des adresses MAC
    configurable au niveau de lquipement

    + indpendance de la localisation de la station


    - difficults de poser des rgles de filtrages prcises

    VLAN niveau 3

    VLAN de niveau 3 VLAN par sous-rseau ou par protocole


    VLAN en fonction des adresses IP sources des datagrammes
    ou du type de protocole
    configurable au niveau de lquipement

    sparation des flux

    dgradation des performances

    VLAN - Dmonstration
    Situation 1 : VLAN DEFAULT

    @MAC serveur
    Serveur
    ? @IP
    ARP

    Sniffer

    Adrien

    ARP
    Serveur

    Nicolas

    ARP

    ARP

    ARP

    VLAN PAR DEFAUT


    8

    VLAN - Dmonstration
    Situation 1 : VLAN DEFAULT

    Ping serveur
    ok
    ICMP

    Adrien

    Sniffer

    ICMP
    Serveur

    Nicolas

    ICMP

    ICMP

    VLAN PAR DEFAUT


    9

    VLAN - Dmonstration
    Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

    Adrien

    Serveur

    # vlan <id_vlan> name <nom_vlan>


    # vlan <id_vlan> untagged <nport>

    VLAN A

    Sniffer

    Nicolas

    VLAN PAR DEFAUT


    10

    VLAN - Dmonstration
    Situation 2 : Serveur dans VLAN A , Adrien & Nicolas dans VLAN DEFAULT

    ARP

    Adrien

    Ping serveur :
    @MAC Serveur ?
    Destination unreachable
    Sniffer

    Serveur

    Nicolas

    ARP

    VLAN A

    VLAN PAR DEFAUT


    11

    VLAN - Dmonstration
    Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

    Adrien

    Serveur

    # vlan <id_vlan> untagged <nport>

    VLAN A

    Sniffer

    Nicolas

    VLAN PAR DEFAUT


    12

    VLAN - Dmonstration
    Situation 3 : Serveur & Adrien dans VLAN A , Nicolas dans VLAN DEFAULT

    Ping ok
    Adrien

    Serveur

    Sniffer

    Nicolas

    VLAN A

    VLAN PAR DEFAUT


    13

    VLAN - Avantages

    Performances :
    Permet des utilisateurs loigns gographiquement de
    partager des donnes
    Limite la diffusion des broadcasts

    Scurit :
    Sparation des flux entre diffrents groupes dutilisateurs

    Finances :
    1 seul quipement pour plusieurs rseaux
    14

    802.1Q - Problmatique 1/2

    Notion de vlan au niveau du commutateur


    Mais jusqu prsent, aucune notion de vlan au niveau
    Ethernet ni des niveaux suprieurs
    Donc comment propager lappartenance un VLAN dun
    commutateur vers un autre ?
    Problmatique : lorsquune trame circule dun commutateur un
    autre, comment identifier son appartenance un vlan ?

    15

    802.1Q - Problmatique 2/2

    DEFAULT VLAN

    VLAN A

    DEFAULT VLAN

    VLAN A

    16

    802.1Q - Thorie 1/2

    Objectif : Transport de plusieurs VLANs sur un lien unique,


    par exemple :
    Commutateurs / Commutateurs
    Commutateurs / Serveurs

    Cela implique donc :


    ncessit de dfinir les mmes VLANs sur chaque
    commutateurs (mme VLAN Id)
    les trames doivent tre tagges lors du transfert

    17

    802.1Q - Thorie 2/3


    Tags sur les trames

    DEFAULT VLAN

    VLAN A

    DEFAULT VLAN

    VLAN A

    VLAN A

    18

    802.1Q - Thorie 3/3


    Extension du format Ethernet, ajout de 4 octets

    Type : 0x8100 pour le protocole 802.1Q


    802.1Q :
    Priority (3 bits)
    CFI (1 bit)
    VID (12 bits)

    19

    802.1Q Dmonstration 1

    Adrien
    DEFAULT VLAN

    VLAN A

    DEFAULT VLAN

    VLAN A

    Nicolas

    Serveur

    20

    802.1Q Dmonstration 2

    Adrien
    DEFAULT VLAN

    VLAN A

    DEFAULT VLAN

    VLAN A

    Nicolas

    Serveur

    21

    802.1Q Dmonstration 3
    # vlan <id_vlan> tagged <nport>

    Adrien
    DEFAULT VLAN

    VLAN A

    Tag 802.1Q
    DEFAULT VLAN

    Nicolas

    VLAN A

    Serveur

    22

    802.1Q - Dmonstration 4

    Adrien
    DEFAULT VLAN

    VLAN A

    DEFAULT VLAN

    VLAN A

    Nicolas

    Serveur

    23

    802.1Q Dmonstration Snif Snif

    Adrien
    Sniffer
    DEFAULT VLAN

    VLAN A

    Tag 802.1Q
    Nicolas

    DEFAULT VLAN

    VLAN A

    Serveur

    24

    802.1s - Introduction

    Architecture rseau des entreprises importantes :

    nombreux vlans
    802.1Q
    redondance de niveau 2 : STP
    liens souvent surdimensionns

    => avantages des vlans et du STP : 802.1s

    25

    802.1s - Thorie

    802.1s = MSTP = PVST


    Une instance STP par vlan au lieu dune par boite
    Complexe mettre en place (au niveau conception)
    Technologie rcente, pas encore supporte par tous les
    matriels

    26

    802.1s Objectifs / Limitations

    Objectifs :
    - Meilleure utilisation des liens
    - Temps de convergence de 3 secondes
    - Redondance de niveau 2 accrue

    Limitations :
    - Matriels limits en nombre dinstances
    - Peu de softs snmp savent grer 802.1s

    27

    802.1s Exemple sans MSTP (1/2)

    1/ Configuration VLANs
    2/ Configuration 802.1q

    vlan vert
    vlan bleu
    vlan rouge

    3/ Configuration STP

    vlan vert
    vlan bleu
    vlan rouge

    vlan vert
    vlan bleu
    vlan rouge
    28

    802.1s Exemple avec MSTP (2/2)


    1/ Configuration instances
    2/ Configuration mapping
    3/ Configuration root bridges

    R
    Instance #1 : vlan vert
    Instance #2 : vlan bleu
    Instance #3 : vlan rouge

    R
    R

    Instance #1 : vlan vert


    Instance #2 : vlan bleu
    Instance #3 : vlan rouge

    Instance #1 : vlan vert


    Instance #2 : vlan bleu
    Instance #3 : vlan rouge

    29

    802.1x - Introduction

    Permet llaboration de mcanismes dauthentification et


    dautorisation pour laccs au rseau
    Se dveloppe grce au WiFi
    Norme dveloppe lorigine pour les VLANs
    => Attribution dun VLAN en fonction de lidentification

    30

    802.1x - Architecture

    Client 802.1x

    Supplicant

    Serveur
    Switch daccs

    Authenticator

    Authentication Server

    Avant authentification : seul trafic ncessaire lauthentification est permis


    Aprs authentification : tout trafic
    31

    802.1x - Protocoles

    Client 802.1x

    Serveur Radius
    Switch daccs

    EAPoL

    Radius

    EAP au dessus du rseau local : EAPOL (EAP over LAN)


    EAP peut encapsuler plusieurs types de protocoles dauthentification :
    MD5
    TLS
    TTLS
    Le commutateur joue le rle de relais
    Le protocole Radius encapsule les messages EAP
    Le serveur Radius pourra sappuyer soit sur sa base de donne interne,
    soit sur un annuaire LDAP
    32

    802.1x Dmonstration
    Adrien
    Serveur FreeRadius

    Switch

    Nicolas

    Le fichier
    radiusd.conf
    Activer
    lauthentification
    802.1x sur le port 23
    ajouter
    lauthentification
    eap
    aaa port-access authenticator 23
    Standard sous XP, SP3 sous 2000
    aaa port-access authenticator active
    Xsupplicant sous Linux
    Le fichier
    client.conf
    Dfinir
    le serveur
    radius,
    la cl dchange
    et le
    Vrification
    des
    authentifications

    dclarer
    les
    feront des
    vers le serveur
    protocole
    de switchs
    communication
    requtes
    Switch1#
    showqui
    port-access
    authenticator
    radius-server host 10.0.0.1
    Le fichier users
    radius-server
    key clerezo
    les informations
    de chaque utilisateur
    aaa contient
    authentication
    port-access
    eap-radius
    - login
    - mot de passe
    - vlan affect
    33
    - etc

    Ze End

    34

    Вам также может понравиться