Outils pour utilisateurs
les_vlan
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
les_vlan [2018/02/01 16:10] maxence.bisson |
les_vlan [2019/03/06 10:09] (Version actuelle) gweltaz.menguy |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ======Les VLAN====== | + | ======Les VLANS====== |
| =====Pourquoi des VLAN ?===== | =====Pourquoi des VLAN ?===== | ||
| Ligne 5: | Ligne 5: | ||
| Les VLAN présentent les intérêts suivants: | Les VLAN présentent les intérêts suivants: | ||
| - | ➢ **Améliorer** la gestion du réseau, | + | ***Améliorer** la gestion du réseau, |
| - | ➢ **Optimiser** la bande passante, | + | ***Optimiser** la bande passante, |
| - | ➢ **Séparer** les flux, | + | ***Séparer** les flux, |
| - | ➢ **Segmentation** : réduire la taille d'un domaine de broadcast, | + | ***Segmentation** : réduire la taille d'un domaine de broadcast, |
| - | ➢ **Sécurité** : permet de créer un ensemble logique isolé pour | + | ***Sécurité** : permet de créer un ensemble logique isolé pour |
| améliorer la sécurité. Le seul moyen pour communiquer entre des | améliorer la sécurité. Le seul moyen pour communiquer entre des | ||
| machines appartenant à des VLAN différents est alors de passer | machines appartenant à des VLAN différents est alors de passer | ||
| Ligne 51: | Ligne 51: | ||
| - | ======VLAN de niveau 2 = VLAN par adresse MAC===== | + | =====VLAN de niveau 2 = VLAN par adresse MAC===== |
| Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par | Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par | ||
| Ligne 67: | Ligne 67: | ||
| + | =====VLAN de niveau 3 : VLAN par sous-réseau===== | ||
| + | |||
| + | Les Vlan de niveau 3 permettent de regrouper plusieurs machines | ||
| + | suivant le sous réseau auquel elles appartiennent. La mise en place | ||
| + | de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole | ||
| + | routable (IP, autres protocoles propriétaires ...). | ||
| + | L'attribution des Vlan se fait de manière automatique en décapsulant | ||
| + | le paquet jusqu’à l'adresse source. Cette adresse va déterminer à | ||
| + | quel Vlan appartient la machine. | ||
| + | |||
| + | **Avantage** : affectation automatique à un Vlan suivant l’adresse IP | ||
| + | |||
| + | **Inconvénient** : lenteur et spoofing IP possible | ||
| + | |||
| + | |||
| + | =====Autres types de VLAN===== | ||
| + | |||
| + | * **Vlan par protocole** : c’est à dire qu’on associe une trame à un | ||
| + | Vlan en fonction du protocole qu’elle transporte. Ce protocole peut | ||
| + | être un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk | ||
| + | .etc… | ||
| + | *On peut trouver aussi des Vlan construits à partir de protocole | ||
| + | supérieur (notamment H320). On parle quelquefois de Vlan par | ||
| + | règles ou par types de service (voix, données). | ||
| + | |||
| + | |||
| + | =====Remarques===== | ||
| + | *Le nombre maximum de VLAN que l’on peut créer dépend du type | ||
| + | de switch (64, 128, 1024, 4096) | ||
| + | |||
| + | *Le VLAN 1 est créé par défaut et tous les ports du switch | ||
| + | appartiennent à ce VLAN | ||
| + | |||
| + | *Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports | ||
| + | |||
| + | *On peut donner un nom à un VLAN (optionnel), par exemple: | ||
| + | VLAN 1 – Management | ||
| + | VLAN 2 – Commerciaux | ||
| + | VLAN 3 – Voix | ||
| + | VLAN 4 – Finance | ||
| + | |||
| + | *Certains VLAN sont | ||
| + | réservés (donc non | ||
| + | utilisables) et d’autres | ||
| + | sont créés par défaut | ||
| + | |||
| + | |||
| + | =====Le marquage des trames (le tag)===== | ||
| + | |||
| + | Le marquage permet de reconnaître le VLAN d'origine d'une | ||
| + | trame. L'IEEE a défini une norme de marquage des VLAN sous la | ||
| + | référence 802.1q (décembre 1998). | ||
| + | Sur la figure ci-contre, les deux | ||
| + | ports de cascade sont | ||
| + | « étiquettés » (tagués) selon la | ||
| + | norme 802.1q pour laisser | ||
| + | passer les trames des | ||
| + | 3 VLAN. | ||
| + | A l'émission de la trame, le port | ||
| + | marqué 802.1q modifie la trame | ||
| + | en rajoutant un N° de VLAN. | ||
| + | De l'autre côté du lien de cascade, le port marqué reçoit la trame, lit | ||
| + | le numéro de VLAN, enlève le marquage de la trame et envoie la | ||
| + | trame vers un ou plusieurs ports du VLAN ad hoc. | ||
| + | |||
| + | |||
| + | =====La trame 802.1q===== | ||
| + | Les champs | ||
| + | spécifiques | ||
| + | 802.1q sont : | ||
| + | |||
| + | ***VPID ou TPID** (VLAN ou Tag Protocol Identifier) : | ||
| + | 2 octets. Fixé à 0x8100 pour 802.1q. | ||
| + | |||
| + | ***Priorité** : ce champ est codé sur 3 bits et représente une | ||
| + | information sur la priorité de la trame. Il y a donc 8 niveaux où 000 | ||
| + | représente une priorité basse et 111 une haute. | ||
| + | |||
| + | ***CFI** : ce champ est codé sur 1 bit et doit être marqué à 0. CFI | ||
| + | (Canonical Format Indicator) est utilisé pour une compatibilité entre | ||
| + | les réseaux Ethernet et les réseaux de type Token ring. | ||
| + | |||
| + | ***VID** : ce champ est codé sur 12 bits et représente le numéro du | ||
| + | VLAN. Il est donc possible d'intégrer la trame dans 1 VLAN parmi | ||
| + | 4096 possibilités. La valeur 0 indique qu'il n'y a pas de VLAN, c'est | ||
| + | souvent utilisée dans le cas où l'on désire appliquer une priorité | ||
| + | sans avoir besoin de la notion de VLAN. | ||
| + | |||
| + | |||
| + | =====Interconnexion de plusieurs VLAN===== | ||
| + | |||
| + | *Se fait au niveau 3 du modèle OSI, | ||
| + | |||
| + | *Donc routage, entre interfaces virtuelles, | ||
| + | |||
| + | *Seul un routeur ou un switch niveau 3 peut réaliser | ||
| + | l’interconnexion entre deux VLANs et modifier ainsi le VID associé | ||
| + | à une trame. | ||
| + | |||
| + | |||
| + | =====Programmer un VLAN sur un commutateur===== | ||
| + | |||
| + | *Créer un VLAN sur un switch : | ||
| + | |||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# vlan 2 | ||
| + | SwitchX(config-vlan)# name finance | ||
| + | SwitchX(config-vlan)#end | ||
| + | | ||
| + | *Attribution d’un port dans un VLAN : | ||
| + | |||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# interface fastethernet 0/1 | ||
| + | SwitchX(config-if)# switchport access vlan 2 | ||
| + | SwitchX(config-if)# end | ||
| + | SwitchX# show vlan | ||
| + | | ||
| + | =====VLAN natif===== | ||
| + | Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame Ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage). | ||
| + | |||
| + | __Importance du vlan natif:__ | ||
| + | |||
| + | Il est préférable de ne pas véhiculer des trames de protocoles comme CDP, DTP etc dans le même vlan que des | ||
| + | données. Ainsi on évite qu’un utilisateur ne puisse capturer ce trafic ou, pire encore, de générer de faux messages CDP ou DTP dans le but de détourner le fonctionnement du réseau. | ||
| + | |||
| + | Le fait qu’un vlan véhicule des trames non-taguées permet de mettre ne place des attaques du type « vlan-hopping », | ||
| + | dont le but est d’envoyer artificiellement du trafic dans un vlan où la machine émettrice ne se trouve pas et ce en ajoutant de faux tags dot1q, c’est le principe du « double tagging ». On génère une trame avec deux tags dot1q, à l’arrivée sur le port, le switch se débarrasse du premier, mais traite le 2e tag et place la trame dans le vlan qui y est renseigné. | ||
| + | |||
| + | Configurer les interface pour le trunking : | ||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# int G0/1 | ||
| + | SwitchX(config-if)# sw mode tunk | ||
| + | SwitchX(config-if)# exit | ||
| + | | ||
| + | Configurez le VLAN 99 comme VLAN natif : | ||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# int G0/1 | ||
| + | SwitchX(config-if)# sw trunk native vlan 99 | ||
| + | SwitchX(config-if)# exit | ||
les_vlan.1517497814.txt.gz · Dernière modification: 2018/02/01 16:10 par maxence.bisson
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
