Wiki SIO LEDANTEC

Outils pour utilisateurs

Outils du site

Piste: les_vlan

Panneau latéral

Menu

Bienvenue sur le Wiki du BTS SIO Première ANNEE

du lycée Felix Le Dantec

Le BTS SIO (Services Informatiques aux Organisations) du lycée Felix Le Dantec de Lannion (22) est ouvert. Vous retrouverez sur ce wiki des pages d'informations sur différents sujets vus en cours.

Voici quelques liens utiles disponible sur ce wiki:

Quelques infos utiles sur les serveurs de SIO

SIO 1- Première année

SIO 2- Deuxième année

Culture Générale

les_vlan

Table des matières

Les VLANS

Pourquoi des VLAN ?

Les VLAN présentent les intérêts suivants:

*Améliorer la gestion du réseau,

*Optimiser la bande passante,

*Séparer les flux,

*Segmentation : réduire la taille d'un domaine de broadcast,

*Sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur.

Le Principe

Un VLAN (Virtual LAN) ou réseau local virtuel s'apparente à un regroupement d'équipements indépendamment de la localisation géographique sur le réseau. Ces équipements pourront communiquer comme si ils étaient sur le même segment. Les VLAN n'ont été réalisables qu'avec l'apparition des commutateurs. Les VLAN permettent de constituer autant de réseaux logiques que l'on désire sur une seule infrastructure physique, réseaux logiques qui auront les mêmes caractéristiques que des réseaux physiques.

VLAN de niveau 1 = VLAN par port

Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur. L’appartenance d’une trame à un VLAN est alors déterminée par la connexion de la carte réseau à un port du commutateur : les ports sont donc affectés statiquement à un VLAN. Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de connexion. Si on déplace logiquement une station (on veut la changer de Vlan) il faut modifier l’affectation du port au Vlan.

VLAN de niveau 2 = VLAN par adresse MAC

Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. L’appartenance d’une trame à un VLAN est déterminée par son adresse MAC. Il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de VLAN est l'indépendance vis-à- vis de la localisation géographique. Si on veut changer de Vlan il faut modifier l’association Mac / Vlan. Risque : cette solution reste pose des problèmes de sécurité (usurpation d'adresse MAC).

VLAN de niveau 3 : VLAN par sous-réseau

Les Vlan de niveau 3 permettent de regrouper plusieurs machines suivant le sous réseau auquel elles appartiennent. La mise en place de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole routable (IP, autres protocoles propriétaires …). L'attribution des Vlan se fait de manière automatique en décapsulant le paquet jusqu’à l'adresse source. Cette adresse va déterminer à quel Vlan appartient la machine.

Avantage : affectation automatique à un Vlan suivant l’adresse IP

Inconvénient : lenteur et spoofing IP possible

Autres types de VLAN

* Vlan par protocole : c’est à dire qu’on associe une trame à un Vlan en fonction du protocole qu’elle transporte. Ce protocole peut être un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk .etc… *On peut trouver aussi des Vlan construits à partir de protocole supérieur (notamment H320). On parle quelquefois de Vlan par règles ou par types de service (voix, données).

Remarques

*Le nombre maximum de VLAN que l’on peut créer dépend du type de switch (64, 128, 1024, 4096)

*Le VLAN 1 est créé par défaut et tous les ports du switch appartiennent à ce VLAN

*Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports

*On peut donner un nom à un VLAN (optionnel), par exemple: VLAN 1 – Management VLAN 2 – Commerciaux VLAN 3 – Voix VLAN 4 – Finance

*Certains VLAN sont réservés (donc non utilisables) et d’autres sont créés par défaut

Le marquage des trames (le tag)

Le marquage permet de reconnaître le VLAN d'origine d'une trame. L'IEEE a défini une norme de marquage des VLAN sous la référence 802.1q (décembre 1998). Sur la figure ci-contre, les deux ports de cascade sont « étiquettés » (tagués) selon la norme 802.1q pour laisser passer les trames des 3 VLAN. A l'émission de la trame, le port marqué 802.1q modifie la trame en rajoutant un N° de VLAN. De l'autre côté du lien de cascade, le port marqué reçoit la trame, lit le numéro de VLAN, enlève le marquage de la trame et envoie la trame vers un ou plusieurs ports du VLAN ad hoc.

La trame 802.1q

Les champs spécifiques 802.1q sont :

*VPID ou TPID (VLAN ou Tag Protocol Identifier) : 2 octets. Fixé à 0x8100 pour 802.1q.

*Priorité : ce champ est codé sur 3 bits et représente une information sur la priorité de la trame. Il y a donc 8 niveaux où 000 représente une priorité basse et 111 une haute.

*CFI : ce champ est codé sur 1 bit et doit être marqué à 0. CFI (Canonical Format Indicator) est utilisé pour une compatibilité entre les réseaux Ethernet et les réseaux de type Token ring.

*VID : ce champ est codé sur 12 bits et représente le numéro du VLAN. Il est donc possible d'intégrer la trame dans 1 VLAN parmi 4096 possibilités. La valeur 0 indique qu'il n'y a pas de VLAN, c'est souvent utilisée dans le cas où l'on désire appliquer une priorité sans avoir besoin de la notion de VLAN.

Interconnexion de plusieurs VLAN

*Se fait au niveau 3 du modèle OSI,

*Donc routage, entre interfaces virtuelles,

*Seul un routeur ou un switch niveau 3 peut réaliser l’interconnexion entre deux VLANs et modifier ainsi le VID associé à une trame.

Programmer un VLAN sur un commutateur

*Créer un VLAN sur un switch : 

SwitchX# configure terminal
SwitchX(config)# vlan 2
SwitchX(config-vlan)# name finance
SwitchX(config-vlan)#end

*Attribution d’un port dans un VLAN : 

SwitchX# configure terminal
SwitchX(config)# interface fastethernet 0/1
SwitchX(config-if)# switchport access vlan 2
SwitchX(config-if)# end
SwitchX# show vlan

VLAN natif

Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame Ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).

Importance du vlan natif:

Il est préférable de ne pas véhiculer des trames de protocoles comme CDP, DTP etc dans le même vlan que des données. Ainsi on évite qu’un utilisateur ne puisse capturer ce trafic ou, pire encore, de générer de faux messages CDP ou DTP dans le but de détourner le fonctionnement du réseau.

Le fait qu’un vlan véhicule des trames non-taguées permet de mettre ne place des attaques du type « vlan-hopping », dont le but est d’envoyer artificiellement du trafic dans un vlan où la machine émettrice ne se trouve pas et ce en ajoutant de faux tags dot1q, c’est le principe du « double tagging ». On génère une trame avec deux tags dot1q, à l’arrivée sur le port, le switch se débarrasse du premier, mais traite le 2e tag et place la trame dans le vlan qui y est renseigné.

Configurer les interface pour le trunking : 

SwitchX# configure terminal
SwitchX(config)# int G0/1
SwitchX(config-if)# sw mode tunk
SwitchX(config-if)# exit

Configurez le VLAN 99 comme VLAN natif : 

SwitchX# configure terminal
SwitchX(config)# int G0/1
SwitchX(config-if)# sw trunk native vlan 99
SwitchX(config-if)# exit
les_vlan.txt · Dernière modification: 2019/03/06 10:09 par gweltaz.menguy

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki