Outils pour utilisateurs
les_vlan
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
les_vlan [2018/02/01 16:16] maxence.bisson |
les_vlan [2019/03/06 10:09] (Version actuelle) gweltaz.menguy |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ======Les VLAN====== | + | ======Les VLANS====== |
| =====Pourquoi des VLAN ?===== | =====Pourquoi des VLAN ?===== | ||
| Ligne 5: | Ligne 5: | ||
| Les VLAN présentent les intérêts suivants: | Les VLAN présentent les intérêts suivants: | ||
| - | ➢ **Améliorer** la gestion du réseau, | + | ***Améliorer** la gestion du réseau, |
| - | ➢ **Optimiser** la bande passante, | + | ***Optimiser** la bande passante, |
| - | ➢ **Séparer** les flux, | + | ***Séparer** les flux, |
| - | ➢ **Segmentation** : réduire la taille d'un domaine de broadcast, | + | ***Segmentation** : réduire la taille d'un domaine de broadcast, |
| - | ➢ **Sécurité** : permet de créer un ensemble logique isolé pour | + | ***Sécurité** : permet de créer un ensemble logique isolé pour |
| améliorer la sécurité. Le seul moyen pour communiquer entre des | améliorer la sécurité. Le seul moyen pour communiquer entre des | ||
| machines appartenant à des VLAN différents est alors de passer | machines appartenant à des VLAN différents est alors de passer | ||
| Ligne 138: | Ligne 138: | ||
| 802.1q sont : | 802.1q sont : | ||
| - | *VPID ou TPID (VLAN ou Tag Protocol Identifier) : | + | ***VPID ou TPID** (VLAN ou Tag Protocol Identifier) : |
| 2 octets. Fixé à 0x8100 pour 802.1q. | 2 octets. Fixé à 0x8100 pour 802.1q. | ||
| - | * **Priorité** : ce champ est codé sur 3 bits et représente une | + | ***Priorité** : ce champ est codé sur 3 bits et représente une |
| information sur la priorité de la trame. Il y a donc 8 niveaux où 000 | information sur la priorité de la trame. Il y a donc 8 niveaux où 000 | ||
| représente une priorité basse et 111 une haute. | représente une priorité basse et 111 une haute. | ||
| - | * **CFI** : ce champ est codé sur 1 bit et doit être marqué à 0. CFI | + | ***CFI** : ce champ est codé sur 1 bit et doit être marqué à 0. CFI |
| (Canonical Format Indicator) est utilisé pour une compatibilité entre | (Canonical Format Indicator) est utilisé pour une compatibilité entre | ||
| les réseaux Ethernet et les réseaux de type Token ring. | les réseaux Ethernet et les réseaux de type Token ring. | ||
| - | * **VID** : ce champ est codé sur 12 bits et représente le numéro du | + | ***VID** : ce champ est codé sur 12 bits et représente le numéro du |
| VLAN. Il est donc possible d'intégrer la trame dans 1 VLAN parmi | VLAN. Il est donc possible d'intégrer la trame dans 1 VLAN parmi | ||
| 4096 possibilités. La valeur 0 indique qu'il n'y a pas de VLAN, c'est | 4096 possibilités. La valeur 0 indique qu'il n'y a pas de VLAN, c'est | ||
| Ligne 156: | Ligne 156: | ||
| + | =====Interconnexion de plusieurs VLAN===== | ||
| + | |||
| + | *Se fait au niveau 3 du modèle OSI, | ||
| + | |||
| + | *Donc routage, entre interfaces virtuelles, | ||
| + | |||
| + | *Seul un routeur ou un switch niveau 3 peut réaliser | ||
| + | l’interconnexion entre deux VLANs et modifier ainsi le VID associé | ||
| + | à une trame. | ||
| + | |||
| + | |||
| + | =====Programmer un VLAN sur un commutateur===== | ||
| + | |||
| + | *Créer un VLAN sur un switch : | ||
| + | |||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# vlan 2 | ||
| + | SwitchX(config-vlan)# name finance | ||
| + | SwitchX(config-vlan)#end | ||
| + | | ||
| + | *Attribution d’un port dans un VLAN : | ||
| + | |||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# interface fastethernet 0/1 | ||
| + | SwitchX(config-if)# switchport access vlan 2 | ||
| + | SwitchX(config-if)# end | ||
| + | SwitchX# show vlan | ||
| + | | ||
| + | =====VLAN natif===== | ||
| + | Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame Ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage). | ||
| + | |||
| + | __Importance du vlan natif:__ | ||
| + | |||
| + | Il est préférable de ne pas véhiculer des trames de protocoles comme CDP, DTP etc dans le même vlan que des | ||
| + | données. Ainsi on évite qu’un utilisateur ne puisse capturer ce trafic ou, pire encore, de générer de faux messages CDP ou DTP dans le but de détourner le fonctionnement du réseau. | ||
| + | |||
| + | Le fait qu’un vlan véhicule des trames non-taguées permet de mettre ne place des attaques du type « vlan-hopping », | ||
| + | dont le but est d’envoyer artificiellement du trafic dans un vlan où la machine émettrice ne se trouve pas et ce en ajoutant de faux tags dot1q, c’est le principe du « double tagging ». On génère une trame avec deux tags dot1q, à l’arrivée sur le port, le switch se débarrasse du premier, mais traite le 2e tag et place la trame dans le vlan qui y est renseigné. | ||
| + | |||
| + | Configurer les interface pour le trunking : | ||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# int G0/1 | ||
| + | SwitchX(config-if)# sw mode tunk | ||
| + | SwitchX(config-if)# exit | ||
| + | | ||
| + | Configurez le VLAN 99 comme VLAN natif : | ||
| + | SwitchX# configure terminal | ||
| + | SwitchX(config)# int G0/1 | ||
| + | SwitchX(config-if)# sw trunk native vlan 99 | ||
| + | SwitchX(config-if)# exit | ||
les_vlan.1517498171.txt.gz · Dernière modification: 2018/02/01 16:16 par maxence.bisson
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
