Cours 5 Interconnexion des Rseaux Locaux Ethernet

Hatem BETTAHAR HeuDiaSyc UMR CNRS 6599 Universit de Technologie de Compigne, FRANCE

Plan

Segmentation des LANs avec des ponts (bridges)/commutateurs (switchs)

Principe de base Algorithme du spanning tree

Les rseaux locaux virtuels (VLANs)

Hatem BATTAHAR

| ISG-Gabs 2007|

Segmentation avec des Ponts (bridges)

Ponts transparent

Ponts translation

Connexion de LANs de mme type

Connexion de LANs de types diffrents

Hatem BATTAHAR

| ISG-Gabs 2007|

Segmentation avec des Ponts (bridges)

Les ponts font linterconnexion au niveau 2

Se basent sur les adresses MAC pour acheminer (filtrer) les trames entre les segments.

Hatem BATTAHAR

| ISG-Gabs 2007|

Principe de base

Configuration par auto-apprentissage

Construction dune table dadresses :

Par observation des trames transmises sur chacun des rseaux interconnects Par examen des adresses MAC sources des trames reues sur chaque port

Utilisation dune table dadresses

Pour acheminer une trame reue un pont :

Examine son adresse MAC destination Teste si elle appartient au mme rseau que lquipement source en examinant sa table dadresses Si oui, alors la trame est ignore, sinon elle est transmise tous les autres rseaux

Hatem BATTAHAR

| ISG-Gabs 2007|

Exemple

Rle principal dun pont est le filtrage

Taux de filtrage: un bon indicateur de fonctionnement.

1 A C 2 T

K MAC address table

Upper layer info

IPSA = A IPDA = K

MACSA = A MACDA = K

Port 1
MACA MACG

Port 2
MACN MACK

Hatem BATTAHAR

| ISG-Gabs 2007|

Les trois F: Forwards, Filters, Floods

Forwards: achemine les trames entre les segments Filters: les trames entre stations sur un mme segment Floods: si adresse MAC destination nest pas dans la table

B G: filtered
B G

1 A C 2 T

A K: forwarded

T unknown: flooded

Hatem BATTAHAR

| ISG-Gabs 2007|

Problmes de commutation

Saturation des tables dadresses

Par manque despace mmoire Destruction priodique de toutes les entres des tables Elimination en cas de saturation des premires lignes des tables (mthode FIFO) Du fait de l existence de boucles entre ponts
Algorithme du Spanning Tree (arbre recouvrant) pour les ponts interconnectants des segments Ethernet

Dysfonctionnement

Boucles cependant utiles pour scuriser les liens (fiabilit par redondance)
| ISG-Gabs 2007|

Hatem BATTAHAR

Boucles entre ponts: exemple1

Trame de H vers P

B1 et B2 notent que H se trouve sur port1, et envoient la trame sur le deuxime segment B1 reois la trame envoyer par B2, note que H se trouve dsormais sur port2 et envoie la trame sur segment 1 Idem pour B2, . et a boucle

H G

B1 1 2

B2 1 F 2

Hatem BATTAHAR

| ISG-Gabs 2007|

Boucles entre ponts:exemple 2

Trame de A vers F

Trame reue deux fois (pont1 et pont3) Pont1 et pont3 peuvent croire que A se trouve sur Ethernet2 La trame mise n arrive jamais destination
| ISG-Gabs 2007|

Trame de F vers A

10

Hatem BATTAHAR

Algorithme du Spanning Tree (STP)

Normalisation

Dfini par la norme IEEE 802.1D Implant dans les ponts et commutateurs (ponts multiports) Bas sur la thorie des graphes
Consiste lire un pont racine et choisir un chemin unique entre chaque pont et la racine Tous les autres chemins sont inactivs, ce qui limine les boucles

Principe de base

Aprs stabilisation, tout port dun pont est dans un tat

Actif ou forwarding : il peut mettre ou recevoir tout type de trames, donc des trames de donnes Bloqu ou blocking : il peut seulement mettre des trames de gestion de larbre recouvrant (BPDU = Bridge Protocol Data Unit)

Hatem BATTAHAR

| ISG-Gabs 2007|

11

STP: Donnes de dpart

Tout pont possde

Un identifiant
La plus petite adresse MAC de ses ports

Un niveau de priorit administrative

Fixe par ladministrateur rseau de l quipement

Tout port dun pont possde

Un identifiant
Son adresse MAC

Un niveau de priorit administrative

Fixe par ladministrateur rseau de l quipement

Hatem BATTAHAR

| ISG-Gabs 2007|

12

STP : Election de la racine

Au dpart

Tout pont pense tre la racine

Au final, le pont racine

Le pont avec le niveau de priorit le plus faible En cas d galit, le pont avec la plus petite adresse MAC
Assure l lection d un seul pont racine du fait de luniversalit des adresses MAC

Hatem BATTAHAR

| ISG-Gabs 2007|

13

STP : Election de la racine

Tout pont transmet rgulirement des BPDU (Bridge Packet Data Unit) Ces trames BPDU contiennent

Son identifiant L identifiant suppos de la racine

Au dpart, son propre identifiant

Le niveau de priorit du pont suppos racine

Au dpart, son propre niveau de priorit

Le cot permettant datteindre le pont racine

Au dpart, 0 car le pont metteur est suppos tre la racine

Hatem BATTAHAR

| ISG-Gabs 2007|

14

STP : Election de la racine

Quand un pont dcouvre une nouvelle racine

En recevant sur un port une BPDU

Avec une racine suppose de niveau de priorit plus faible ou de plus petite adresse MAC en cas d galit

Il transmet sur les autres ports de nouvelles BPDU avec

Son identifiant L identifiant de la nouvelle racine suppose Le niveau de priorit de la nouvelle racine suppose Un cot administratif =
Cot dans la BPDU avec l identifiant de la nouvelle racine suppose + Niveau de priorit du port sur lequel a t reu la BPDU avec lidentifiant de la nouvelle racine suppose

Hatem BATTAHAR

| ISG-Gabs 2007|

15

Lidentificateur dun Bridge

Concatnation de deux champs (64bits)

Priorit sur 16 bits (par dfaut 32768) Ladresse MAC sur 48bits

Priority

Sending ports MAC address

La dcrmentation de la priorit augmente la chance dtre lu comme racine Ladresse MAC est utilis en cas dgalit de priorit
MAC = 0060.6475.6bc0 MAC = 0060.6475.6b00 MAC = 0060.6475.6d05

Hatem BATTAHAR

| ISG-Gabs 2007|

16

Le cot dun port

100 Mbps

10 Mbps Outgoing cost = 100 10 Mbps

Chaque port sortant possde un cot Cot inversement proportionnel au dbit (logique non!) Le cot peut tre tablit manuellement Cot de chemin vers la racine est la somme des cots des liens

Outgoing cost = 19 100 Mbps

Bandwidth 10 Mbps

Cost 100

16 Mbps
45 Mbps 100 Mbps

62
39 19 14

100

19

19

155 Mbps

Root path cost = 138

622 Mbps
1 Gbps 10 Gbps

6
4 2

Hatem BATTAHAR

| ISG-Gabs 2007|

17

STP : exemple

Hatem BATTAHAR

| ISG-Gabs 2007|

18

STP : exemple

Hatem BATTAHAR

| ISG-Gabs 2007|

19

STP : exemple, tats des ports

Trois types de ports actifs

1. Tous les ports du pont racine 2. Tout port racine (RP: root port) des autres ponts
Le port racine dun pont est le port qui lui permet datteindre la racine avec le cot administratif le plus faible

3. Tout port dsign (DP:designated port) des autres ponts

Plusieurs ponts peuvent tre connects au mme segment (B3 et B4) Sur ce segment partag, les ponts mettent des BPDU avec leurs cots respectifs pour atteindre la racine Le pont qui met le cot le plus faible est appel le pont dsign (DB: designted bridge) du segment partag
En cas d galit le pont qui met sur le port de plus petite adresse MAC

Le port dun pont dsign qui le relie au segment partag est le port dsign de ce segment

Tous les autres ports sont bloqus (BP: blocking port)

| ISG-Gabs 2007|

Hatem BATTAHAR

20

STP : exemple

Hatem BATTAHAR

| ISG-Gabs 2007|

21

STP : Maintenance de larbre

Problmes poss

Prise en compte des pannes sur un pont ou port

Que se passe-t-il si la racine tombe en panne ? Que se passe-t-il si un port dsign ne fonctionne plus ?

Prise en compte des modification de topologie

En cas de modification de lien, dajouts de nouveaux ponts ou commutateurs

Prise en compte des changements de configuration

Nouvelles priorits administratives sur les ponts ou ports

Hatem BATTAHAR

| ISG-Gabs 2007|

22

Les VLAN (Virtual LAN)

Hatem BATTAHAR

| ISG-Gabs 2007|

23

Pourquoi les VLANs?

Dans les rseaux locaux partags

les sous-rseaux sont lis aux hubs les utilisateurs sont groups gographiquement pas de scurit sur un segment : n'importe quelle station du segment peut capturer l'ensemble du trafic rseau la mobilit entrane un changement d'adresse et/ou un recblage les broadcasts interrompent tous les matriels rseau avec traitement au niveau du CPU

Hatem BATTAHAR

| ISG-Gabs 2007|

24

Pourquoi les VLANs?

Trois ncessits auxquelles un LAN commut ne rpond pas

Limitation des domaines de diffusion Garantir la scurit par isolement de certains trafics Permettre la mobilit des utilisateurs

Les VLANs : une nouvelle manire d'exploiter la technique de la commutation en donnant plus de flexibilit aux rseaux locaux

segmentation du rseau un peu la manire de la commutation mais de faon logique (indpendamment du cblage physique)

Hatem BATTAHAR

| ISG-Gabs 2007|

25

VLAN: Principe

Crer des rseaux logiques indpendants les uns des autres

Une diffusion provenant d'une station du VLAN2 ne sera rpercute que sur les ports D, E, F

Hatem BATTAHAR

| ISG-Gabs 2007|

26

VLAN: Principe

L'administrateur configure statiquement la table des VLAN Les communications inter-VLAN ne sont possibles qu' travers un routeur L'appartenance un VLAN est indpendant de la localisation gographique - un VLAN peut s'tendre sur plusieurs commutateurs Un VLAN est la fois

un domaine de collision (Ethernet) un domaine de diffusion (gnralise ou multicast) un domaine d'unicast (liaisons point--point)

Hatem BATTAHAR

| ISG-Gabs 2007|

27

VLAN : Avantages

Segmentation du rseau local flexible

regrouper les utilisateurs / ressources qui communiquent le plus frquemment indpendamment de leur emplacement

Organisation virtuelle, gestion simple des ressources

modifications logique ou gographiques facilites, et gres

via la console (plutt que dans l'armoire de brassage) Efficacit de bande passante / utilisation des serveurs

limitation de l'effet des inondations de broadcasts. Partage possible d'une mme ressource par plusieurs VLAN VLAN = frontire virtuelle, franchissable avec un routeur
| ISG-Gabs 2007|

Scurit rseau amliore

Hatem BATTAHAR

28

Mise en uvre des VLANs

Niveau1: VLAN par port

dfinie par le port physique du commutateur chaque port est associ 1 ou plusieurs VLAN configuration statique fixe par l'administrateur inconvnient : le dplacement d'une machine ncessite la reconfiguration du port du commutateur scuris : un utilisateur ne peut pas changer de VLAN dfinie par l'adresse MAC plus souple : permet la mobilit des machines sans reconfigurer les VLAN l'administrateur doit connatre les @ MAC deux stations du mme segment Ethernet peuvent appartenir des VLAN distincts moins scuris : un utilisateur peut changer son @ MAC
| ISG-Gabs 2007|

Niveau2: VLAN par adresse MAC

Hatem BATTAHAR

29

Mise en uvre des VLANs

Niveau3: VLAN par protocole

dfinie par les adresses de niveau 3 (IP)

trs souple : association d'un prfixe IP (@ de sousrseau ou plages d'@) et d'un numro de VLAN un routeur permet de passer d'un VLAN l'autre perte de performance : il faut analyser les trames au niveau 3 pour dterminer l'appartenance un VLAN scurit : l'utilisateur peut facilement changer son @IP

dfinie par protocoles de niveau 3

permet d'isoler le trafic de chaque protocole

dfinie par numro de port TCP

permet d'isoler le trafic de chaque type d'applications

Hatem BATTAHAR

| ISG-Gabs 2007|

30

Niveau1: VLAN par port

Hatem BATTAHAR

| ISG-Gabs 2007|

31

Niveau1: VLAN par port

L'administrateur configure le switch

il affecte chaque port un VLAN (voir plusieurs). partir des ports sur lesquels elles arrivent il suffit d'affecter son VLAN au nouveau port le changement du rseau est transparent pour l'utilisateur mais il faut grer le changement manuellement (admin.)

Le switch dtermine le VLAN des trames

Quand un utilisateur se dplace vers un autre port

Inconvnient: si un port est reli un segment (ou rpteur) tout ce segment est associ ce mme VLAN

Hatem BATTAHAR

| ISG-Gabs 2007|

32

Niveau2: VLAN par adresse MAC

Une adresse MAC ne peut appartenir qu' un seul VLAN Plusieurs VLAN par port autoriss

Ncessite une analyse de chaque trame

Echange des tables de correspondances @MAC/VLAN entre les commutateurs ou tiquetage des trames ncessaires
| ISG-Gabs 2007|

Hatem BATTAHAR

33

Niveau2: VLAN par adresse MAC

Chaque carte MAC est gre individuellement

chaque switch maintient une table @ MAC <-> VLAN

partir de l'adresse MAC source ou destination son VLAN reste le mme, sans aucune modification modification physique => aucune modification logique

Le switch dtermine le VLAN de chaque trame

Quand un utilisateur se dplace vers un autre port

Diffrents VLANs possibles sur un mme segment

mais les machines peuvent communiquer entre-elles

Hatem BATTAHAR

| ISG-Gabs 2007|

34

Niveau 3: VLAN par Protocole

Exemple : utilisation des adresses IP

Hatem BATTAHAR

| ISG-Gabs 2007|

35

VLAN avec plusieurs commutateurs

Il faut transporter l'information d'appartenance un VLAN (chaque commutateur doit connatre le VLAN associ la source et au destinataire) Deux possibilits

chargement des tables de VLAN dans tous les quipements (problme de facteur d'chelle)
Ancienne mthode

ajout d'une tiquette aux trames transportes entre les commutateurs uniquement

l'tiquette identifie le VLAN de la station source norme IEEE 802.1p/Q : format des tiquettes indpendant du constructeur de l'quipement

Hatem BATTAHAR

| ISG-Gabs 2007|

36

VLAN avec plusieurs commutateurs

Modification transparente de l'en-tte MAC un niveau d'encapsulation 802.1p/Q

la trame 802.3 est allonge de 4 octets (ncessite de recalculer le FCS)

Type : 0x8100 pour le protocole 802.1Q 802.1Q :

Priority (3 bits) CFI (1 bit) VID (12 bits)

| ISG-Gabs 2007|

Hatem BATTAHAR

37

Exemple

DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

Hatem BATTAHAR

| ISG-Gabs 2007|

38

Exemple

DEFAULT VLAN

VLAN A

DEFAULT VLAN

VLAN A

Hatem BATTAHAR

| ISG-Gabs 2007|

39

Exemple

DEFAULT VLAN

VLAN A

Tag 802.1Q
DEFAULT VLAN VLAN A

Hatem BATTAHAR

| ISG-Gabs 2007|

40

VLAN: Administration

Hatem BATTAHAR

| ISG-Gabs 2007|

41

VLAN: Administration

Hatem BATTAHAR

| ISG-Gabs 2007|

42

VLAN: Administration

Hatem BATTAHAR

| ISG-Gabs 2007|

43