Les rseaux locaux virtuels (VLAN)

Objectif : Prsenter la norme 802.1Q et les implmentations des constructeurs Auteur : Roger SANCHEZ Sommaire Les rseaux locaux virtuels (VLAN)........................................................................................................ 1 Introduction : le retour de la couche 2............................................................................................ 2 Les Vlan : approche usuelle............................................................................................................. 3 Rappels sur la commutation............................................................................................................ 3 Ethernet commut .......................................................................................................................... 4 Laccroissement des domaines de diffusion.................................................................................... 4 Premire dfinition des Vlan............................................................................................................ 5 Les Vlan par port (Vlan de niveau 1)............................................................................................... 6 Les Vlan par adresse MAC (Vlan de niveau 2 )............................................................................... 6 Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 ) ................................................................ 6 Les autres mthodes pour dfinir des Vlan .................................................................................... 8 Les questions quon est en droit de se poser ................................................................................. 8 La norme 802.1Q .............................................................................................................................. 9 Introduction...................................................................................................................................... 9 Les types de trames........................................................................................................................ 9 Dfinitions dpendant du type de trame........................................................................................ 10 La commutation de trames dans un commutateur Vlan inform .............................................. 10 Les types de port dans un commutateur Vlan inform ............................................................ 11 Dclaration des Vlan et affectation des ports un Vlan................................................................ 12 Le protocole GVRP (norme 802.1Q).............................................................................................. 13 Prsentation ................................................................................................................................. 13 Premier exemple........................................................................................................................... 15 Deuxime exemple........................................................................................................................ 15 Paramtrage des ports associs laffectation dynamique de Vlan.............................................. 15 Les questions auxquelles on va maintenant rpondre............................................................... 16 Une trame peut-elle appartenir plusieurs Vlan ?......................................................................... 16 Un port peut-il appartenir plusieurs Vlan ?................................................................................. 16 Un poste peut-il appartenir plusieurs Vlan ?............................................................................... 17 O sont les Vlan de niveau 1 2 3 .etc. dans la norme 802.1Q?..................................................... 19 Quelques implmentations des Vlan par les quipementiers et les didacticiens ................. 19 Introduction.................................................................................................................................... 19 Commutateur CISCO 2950 (un best seller CISCO)....................................................................... 19 Allied-Telesyn AT- S68 ................................................................................................................. 20 Allied-Telesyn 8800 (commutateur / routeur)................................................................................ 20 Allied Telesyn 4400 (un routeur / commutateur )........................................................................... 21 HP procurve 2524 (best seller HP)................................................................................................ 21 Simulateur rseau (constructeur CERTA )............................................................................... 21 Linux.............................................................................................................................................. 22 Travaux pratiques et exercices ..................................................................................................... 22 Travaux pratiques sur commutateur.............................................................................................. 22 Travaux pratiques avec le simulateur Boson................................................................................. 23 Travaux pratiques avec le simulateur rseau du CERTA ............................................................. 23 Travaux pratiques sur Linux ......................................................................................................... 24 Exercices....................................................................................................................................... 24 Conclusion: Enseigner larchitecture commute......................................................................... 24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 1/24

Introduction : le retour de la couche 2

La technologie Ethernet sest impose ces dernires annes face ses concurrents, en offrant des dbits de 100 Mb/s, 1 Gb/s et 10 Gb/s. Aujourdhui seul ATM parat en mesure encore de rsister. Mais ceux qui prdisaient le tout ATM semblent stre tromps, le march des rseaux locaux se fonde, certainement durablement, sur Ethernet. Cependant, laccroissement du dbit sest accompagn dun changement sur les structures dinterconnexion. Ce nest pas la premire fois. Lhistoire dEthernet est riche en versions: ALOHA, 10base5, 10base2, 10 BaseT, etc... Ces changements nont jamais affect ni la structure de la trame (Ethernet II ou 802.3) ni la mthode daccs (CSMA / CD). Par contre lvolution en cours remet en cause pour la premire fois ces piliers technologiques dEthernet. En effet le tout commut remplace ce qui tait la base la gestion dune liaison multipoint par un ensemble de liaisons point point. Cette modification profonde nest pas sans consquence sur la mthode daccs, sur la notion de segment mais aussi sur la structure de la trame. Mais la force dEthernet cest davoir toujours su voluer de faon cohrente, cest dire en prservant systmatiquement la compatibilit ascendante, permettant ainsi de faire communiquer des structures de rseaux correspondant des priodes historiques diffrentes. Cest peut-tre cela qui cre quelquefois temporairement, des difficults supplmentaires dapprentissage. Lobjet de ce document est de prsenter les rseaux locaux virtuels (Virtual Local Area Network VLAN). Cest dire la segmentation des rseaux permise par les commutateurs, une segmentation qui nest plus physique mais uniquement logique. Ce document propose aussi une dmarche dapprentissage. La plupart des ouvrages et des articles confondent la dfinition des principes dun Vlan et leur mthode de construction (Vlan de niveau 1 2 3 .etc.). Cette approche rend plus difficile la comprhension et fortiori lexplication de cette technologie en masquant les mcanismes mis en uvre. Crer et administrer des rseaux bass sur les Vlan ncessite daller au-del de cette liste de niveaux. Il faut prsenter la norme 802.1q qui dfinit les principaux concepts mis en uvre, et montrer (comme pour le modle OSI) comment elle se dcline dans lindustrie. Enfin il faut mesurer lintelligence de plus en plus importante qui est associe aux lments actifs de la couche 2 (carte rseau et commutateurs). En effet ce niveau du modle OSI tait essentiellement associ aux problmes dadressage en liaison avec la couche 3 o la majorit des traitements taient dtailles. Aujourdhui les technologies Vlan, qualit de service, authentification, Wi-Fi, (on peut mme dclarer des triggers pour dclencher des scripts en fonction dvnements sur un port) routage la source, obligent une redistribution des squences denseignement. Ce document respectera le plan suivant : On rappellera dans un premier temps le principe de la commutation. On exposera la prsentation classique de la notion de VLAN. Puis on approfondira la norme 802.1q en montrant ses carts par rapport la prsentation classique. Enfin nous verrons quelques implmentations chez les constructeurs pour finir par des questionnements pdagogiques, et une suite de TP et dexercices.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 2/24

Les Vlan : approche usuelle

Rappels sur la commutation Contrairement un concentrateur, un commutateur ne diffuse pas les trames. Il met en relation les seuls postes concerns par lchange. Avant de rmettre les trames le commutateur vrifie que le support de communication est libre. Un commutateur vite donc les collisions au contraire dun concentrateur. A chaque fois quun message lui parvient, le commutateur associe le port par lequel arrive la trame ladresse matrielle (adresse MAC) de lmetteur de la trame. Ainsi aprs un certain nombres de trames, le commutateur connat lemplacement (c'est dire le port de rattachement) des postes sur le rseau et peut les mettre en relation deux deux.

Cette association adresse MAC / port est gre dans des tables dassociation prsentes dans chaque commutateur. Cette table est construite progressivement par apprentissage. Si une trame contient une adresse de destination qui nest pas prsente dans la table, cette trame est transmise sur tous les ports du commutateur lexception du port metteur de la trame. Cest aussi ainsi que sont traits les trames de diffusion. Il y a dun point de vue transversalit un algorithme intressant propos par lexonet suivant : www.reseaucerta.org/exonets/exonet52.htm

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 3/24

On distingue deux modes de fonctionnement du commutateur : Store and forward : il stocke les trames entirement avant de les rmettre. Il ne rmet donc pas les trames errones (CRC "Control Redundancy Check" innatendu) ou en collision. Par contre ces commutateurs sont plus lents et ncessitent des mmoires tampons importantes On the fly (appel aussi cut through chez CISCO) : la vole, les commutateurs rmettent immdiatement aprs lecture de ladresse MAC destinataire, cest plus rapide mais on propage les trames errones - notamment les trames en collision et celles dont le CRC indique une erreur de transmission. Le commutateur permet de garantir la bande passante dun rseau. La bande passante cest le dbit dun rseau. En ne diffusant pas tous les postes mais aux seuls postes concerns par lchange, le commutateur optimise lutilisation de la bande passante. Ainsi un commutateur 100 mb/s de 12 ports garantira 100 mb/s par port alors quun concentrateur 100 mb/s de 12 ports divisera cette bande passante entre tous ses ports. Ethernet commut Lactualit des architectures rseau est lEthernet entirement commut et donc la disparition progressive des concentrateurs. En utilisant uniquement des commutateurs, il ny a plus de collision possible. Chaque port forme un mini-segment compos du commutateur et dune carte ou aucune collision ne peut se produire. Dans ce cas, pendant lmission dune trame, la paire de rception nest plus monopolise par la dtection de collision et on peut recevoir en mme temps, cest dire travailler en mode bidirectionnel (full duplex). Il faut souligner aussi que labsence de collision supprime les limitations de distance que leur dtection impliquait. Dans une architecture entirement commute on met gnralement en uvre des interconnexions redondantes entre commutateurs pour garantir une plus grande tolrance aux pannes. Les liaisons redondantes doivent tre invalides quand elles ne sont pas utiles et valides en cas de rupture dune liaison. Cette gestion de la redondance est prise en charge par le protocole 802.1d (arbre de recouvrement, en anglais spanning tree ). voir le document : http://www.reseaucerta.org/cotecours/cotecours.php?num=259 Laccroissement des domaines de diffusion Avec les concentrateurs et les commutateurs de premire gnration, la sparation des flux grs par la couche 2 ne peut se faire quen regroupant gographiquement les groupes de travail. En effet, si le commutateur segmente les domaines de collision, il maintient cependant un seul domaine de diffusion.

Segmentation des domaines de diffusion par les routeurs http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 4/24

Si linterconnexion du rseau repose sur les commutateurs et non sur les routeurs (ce qui est de plus en plus le cas) cela pose deux problmes : les trames de diffusion sont propages sur tout le rseau, or ces trames sont nombreuses (ARP, DHCP, Netbios, .etc.). en mettant une carte rseau en mode promiscus on peut capturer ces trames

Un seul domaine de diffusion (avec liaison redondante) La sparation et la scurit des domaines de diffusion exigeaient, avant lapparition des Vlans, une sparation gographique des domaines de diffusion et une interconnexion par routeur Premire dfinition des Vlan Un VLAN permet de crer des domaines de diffusion (domaines de broadcast) grs par les commutateurs indpendamment de lemplacement o se situent les nuds, ce sont des domaines de diffusion grs logiquement

Domaines de diffusion logique et commutateurs/routeurs Les avantages des VLANs sont les suivants : La rduction des messages de diffusion (notamment les requtes ARP) limits l'intrieur dun VLAN. Ainsi les diffusions d'un serveur peuvent tre limits aux clients de ce serveur. La cration de groupes de travail indpendants de l'infrastructure physique ; possibilit de dplacer la station sans changer de rseau virtuel. Laugmentation de la scurit par le contrle des changes inter-VLAN utilisant des routeurs (filtrage possible du trafic chang entre les VLANs). http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 5/24

Lindpendance entre infrastructure physique et groupe de travail implique quun commutateur puisse grer plusieurs Vlan et quun mme Vlan puisse tre rparti sur plusieurs commutateurs. En consquence, une trame qui circule dans un commutateur et entre les commutateurs doit pouvoir tre associe un Vlan. Pour rpondre aux objectifs des Vlan la rgle suivante doit tre imprativement respecte : une trame doit tre associe un Vlan et un seul et ne peut pas sortir du Vlan, sinon ltanchit du niveau 2 nest plus respecte. Les mthodes de construction dun Vlan doivent donc dterminer la faon dont le commutateur va associer la trame un Vlan. Usuellement on prsente trois mthodes pour crer des VLAN : les vlan par port (niveau 1), les Vlan par adresses MAC (niveau 2), les Vlan par adresses IP (niveau 3) ainsi que des mthodes drives. Les Vlan par port (Vlan de niveau 1) On affecte chaque port des commutateurs un VLAN. Lappartenance dune trame un VLAN est alors dtermine par la connexion de la carte rseau un port du commutateur. Les ports sont donc affects statiquement un VLAN. Si on dplace physiquement une station il faut dsaffecter son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on dplace logiquement une station (on veut la changer de Vlan) il faut modifier laffectation du port au Vlan.

Les Vlan par adresse MAC (Vlan de niveau 2 ) On affecte chaque adresse MAC un VLAN. Lappartenance dune trame un VLAN est dtermine par son adresse MAC. En fait il sagit, partir de lassociation Mac/VLAN, daffecter dynamiquement les ports des commutateurs chacun des VLAN en fonction de ladresse MAC de lhte qui met sur ce port. L'intrt principal de ce type de VLAN est l'indpendance vis--vis de la localisation gographique. Si une station est dplace sur le rseau physique, son adresse physique ne changeant pas, elle continue dappartenir au mme VLAN (ce fonctionnement est bien adapt l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier lassociation Mac / Vlan. Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 ) On affecte une adresse de niveau 3 un VLAN. Lappartenance dune trame un VLAN est alors dtermine par ladresse de niveau 3 ou suprieur quelle contient (le commutateur doit donc accder ces informations). En fait, il sagit partir de lassociation adresse niveau 3/VLAN daffecter dynamiquement les ports des commutateurs chacun des VLAN. Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en accdant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de niveau 2. Quand on utilise le protocole IP on parle souvent de Vlan par sous-rseau. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 6/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 7/24

Les autres mthodes pour dfinir des Vlan On trouve dans la littrature des rfrences au Vlan par protocoles Cest dire quon associe une trame un Vlan en fonction du protocole quelle transporte. Ce protocole peut tre un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk .etc Mais on peut trouver aussi des Vlan construits partir de protocole suprieur (notamment H320). On parle quelquefois de Vlan par rgles ou par types de service. Enfin lapparition du Wi-fi pose des problmes de scurit que les Vlan peuvent rsoudre. Ainsi une solution base sur des Vlan par SSID est envisageable.

Ce schma est tir dun prsentation faite par Sylvie Dupuis et Catherine Grenet le 13 Octobre 2004 lENSAM ( www.cru.fr/nomadisme-sans-fil/J1310/cg-sd.pdf ) Les questions quon est en droit de se poser Peut-on associer une trame plusieurs Vlan ? En fonction de la rgle nonce plus haut, la rponse est toujours non. En effet une trame associe un VLAN quelle que soit la mthode dassociation ne peut tre adresse qua une carte rseau associe ce VLAN. Une trame de diffusion mise par une carte rseau associe un VLAN sera transmise toutes les cartes rseaux composant ce VLAN et uniquement celles-ci. Cela implique-t-il quun port de commutateur ne doit tre associe qu un seul Vlan ? Car si un port est associ plusieurs Vlan, quel Vlan associe-t-il la trame quil reoit ? Et sil nest associ qu un seul Vlan comment rpartir un Vlan sur plusieurs commutateurs, car les ports dinterconnexion doivent pouvoir faire transiter des trames en provenance de diffrents Vlan ? Une rponse serait de mettre en place des Vlan de niveau 2 mais alors quen est-il pour les Vlan de niveau 1 ? La carte rseau dun poste peut-elle tre associe plusieurs Vlan ? Si oui comment savoir quel Vlan appartient une trame mise par une telle carte rseau ? Si non comment partager laccs des ressources communes entre diffrentes Vlan ? Une rponse serait des Vlan de niveau 3 mais alors quen est-il pour le niveau 1 et le niveau 2 ? Comment communiquer entre les Vlan ? Ltanchit de la couche 2 implique de remonter jusqu la couche 3 pour lchange entre Vlan. Cet change peut donc tre entirement contrl. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 8/24

La norme 802.1Q
Les schmas de ce paragraphe sont issus de la norme 802.1Q publie par lIEEE. Introduction La norme 802.1q date de dcembre 1998, cest donc une norme rcente. Une amlioration a t propose en octobre 2003 pour rduire le trafic du protocole GVRP (Compact-GVRP). La norme 802.1Q dpend de la norme ISO/IEC 15802-3 qui dfinit les principaux concepts utiliss par la norme. Elle reprend ltiquette dfinit par la norme 802.3ac en spcifiant lutilisation des champs. O sinsre la norme ?

Les types de trames La norme dfinit trois types de trames : les trames non tiquetes (untagged frame) les trames tiquetes (tagged frame) les trames tiquetes par une priorit (priority-tagged frame) Une trame non tiquetes est une trame qui ne contient aucune information sur son appartenance un Vlan. Une trame tiquetes est une trame qui contient une entte supplmentaire. Cette entte modifie le format standard dune trame, notamment de la trame 802.3. Le format dune trame tiquete 802.1Q est le suivant : Adresse destination : 6 octets Adresse Source : 6 octets VPID (Vlan Protocol Identifier) : 2 octets. Fix 0x8100 . Attention ne pas confondre avec l'identifiant d'un VLAN. Ici il s'agit d'identifier une trame de type 802.1q UP (User priority) : 3 bits. Permet de dfinir 8 niveaux de priorits. Utilis par le protocole 802.1p. CFI (Canonical Format Identifier) : 1bit. indique que le format est standard (utilis par le routage par la source) VID (Vlan Identifier) : 12 bits. Indique sur quel Vlan circule la trame. Longueur/type : 2 octets. En 802.3 donne la longueur de la trame. En Ethernet II ou DIX(Digital Intel Xerox) indique le type de donnes transport. Donnes : 46 1500 octets FCS : 4 octets. Frame Check Sequence. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 9/24

La modification de l'entte implique que les lments recevant la trame tiquete (tagge) disposent du protocole 802.1q. Ce n'est gnralement pas le cas de la majorit des cartes rseaux aujourdhui. Une trame tiquete par une priorit est une trame dont lentte 802.1Q contient le champ priorit (UP) renseign mais dont lidentifiant de Vlan (VID) est zro. Remarque : la gestion des priorits est plutt dfinie par la norme 802.1p. Remarque : dans cette prsentation il nest pas fait mention du routage la source de niveau 2 champ E-RIF (Embedded Route Information Field) dfini par la norme. La prsence de ce champ est indique par le CFI (Canonical Format Identifier). Il est situ aprs la longueur (ou type) de la trame. Il se dcompose en un champ RC (Route contrle Field) de 2 octets (indiquant sa longueur LT (length) ) et au maximum de 28 octets Dfinitions dpendant du type de trame Un Vlan est un sous-ensemble dune topologie active dun rseau local commut. Ce sous-ensemble est identifi par un VID (Vlan Identifier ). Un lment actif dun rseau est dit vlan inform (Vlan-aware) sil reconnat les trames tiquetes. Il est dit Vlan non-inform (Vlan-unaware) dans le cas contraire. Un rseau local virtuel est un rseau o lexistence dlments actifs Vlan inform (Vlan-aware) permet la cration, la modification et la maintenance de Vlan. Larchitecture logique dun commutateur vlan inform est la suivante :

La partie configuration dfinit les lments de la Mib (Management Information Base) lis au VLAN qui seront utiliss par le protocole SNMP (Single Network Management Protocol). Elle dfinit aussi les commandes administratives ncessaires la gestion des Vlan. La partie distribution se proccupe des lments lis la dfinition automatique des Vlan et leur propagation dans un rseau. Cette partie dans la norme est prise en charge par le protocole GVRP (GARP Vlan Registration Protocol). La partie relay dfinit le processus de traitement dune trame par un commutateur Vlan inform . La commutation de trames dans un commutateur Vlan inform Le processus de commutation (relay) se dcompose en trois oprations :

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 10/24

Les oprations lies au traitement dune trame en entre dun port vlan inform . Elles sont contrles par des rgles dentre (ingress rules) Les oprations lies la dcision de commutation (forwarding process) dune trame prise par un commutateur vlan inform . Elles sont contrles par des tables de filtrage (filtering database) qui rpertorient les associations entre ports et adresses Mac et entre port et Vlan. On associe ces oprations les oprations de gestion de priorit si celles-ci sont actives. Dans ce cas il y a une table des priorits qui associe une file dattente chaque niveau de priorit (8 maximum). Les oprations lies au traitement dune trame en sortie dun port vlan inform . Elles sont contrles par des rgles de sorties (egress rules). Il faut ventuellement ajouter ou retirer une tiquette la trame et recalculer le FCS.

Les rgles dentre permettent de classer les trames reues dans un et un seul Vlan. Si cela nest pas possible la trame est dtruite. La table de filtrage permet de dfinir les ports sur lesquels la trame doit tre transmise. Les rgles de sortie permettent dliminer les trames qui ne correspondent pas aux Vlan associs au port et de dterminer le format dans laquelle la trame doit tre transmise. Remarque : on ne dtaille pas ici la notion dIVL (Independant Vlan) et SVL (Shared Vlan) au niveau des tables de filtrage. Schmatiquement, les commutateurs de type SVL connaissent lensemble des associations mac/vlan rparties sur chaque commutateur (ce qui suppose des changes importants) et les commutateurs de type IVL nont connaissance que de la table mac/vlan associe leurs ports. Les types de port dans un commutateur Vlan inform Les paramtres associs un port (Port State Information) sont entre autres son type (tagged, untagged, priority tagged) et les Vlans auxquels il participe (les PVID, Port Vlan Identifier). Une trame en entre ne comportant pas de VID ou bien un VID nul sera associe un Vlan soit en fonction des paramtres du port de rception soit en fonction dextensions propritaires non dfinies par le protocole 802.1Q. Une trame en entre doit toujours tre associe un VID. Un port peut admettre toutes les trames ou seulement les trames tiquetes . Si la trame nest pas tiquete et que le port nest pas tiquet, la trame sera associe au PVID du port (qui doit alors tre unique) sinon elle est dtruite. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 11/24

Une trame en sortie dont lassociation avec un Vlan ne correspond pas au(x) PVID du port en sortie sera dtruite. Un port tiquet transmet des trames tiquetes mais peut traiter des trames non tiquetes. Un port non tiquet transmet des trames non tiquetes mais peut traiter des trames tiquetes (en enlevant notamment ltiquette). Enfin un port tiquet par une priorit transmet des trames tiquet par une priorit mais peut traiter les autres types de trames. Un commutateur peut avoir des ports de diffrents types en mme temps. Dclaration des Vlan et affectation des ports un Vlan Un port sur un commutateur ne peut participer quaux Vlan dclars sur ce commutateur. La dclaration des Vlan est donc pralable ou conjointe laffectation des ports aux Vlan. La dclaration de Vlan consiste crer un VID sur un commutateur. Cette cration peut tre statique (Static Vlan) ou dynamique (Dynamic Vlan). Un Vlan statique est un Vlan cr manuellement sur le commutateur. Un Vlan dynamique est un Vlan dont la cration sur le commutateur rsulte dun change avec un autre commutateur. La cration dynamique des Vlan permet de contrler celle-ci partir de un ou plusieurs commutateurs et dviter ainsi les erreurs sur les identifiants (VID) quand un Vlan est rparti sur plusieurs commutateurs (voir exemples plus bas). Laffectation dun port un Vlan peut tre statique ou dynamique. Cela donne les cas de figure suivants : Ports/Vlan Statique Dynamique Statique X X Dynamique X X

A ltat initial un commutateur comporte un Vlan statique, le Vlan par dfaut et tous les ports sont affects ce Vlan La cration statique des Vlan et laffectation statique des ports se fait via les commandes dadministration du commutateur. La cration dynamique des Vlan et laffectation dynamique des ports se fait via le protocole GVRP qui doit tre activ sur le commutateur.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 12/24

Le protocole GVRP (norme 802.1Q)

Prsentation Le protocole GVRP est bas sur un change de BPDU (Bridge Protocol Data Unit) entre les commutateurs. Ladresse MAC associe est 01-80-C2-00-00-21 . Si le GVRP est actif sur un commutateur, le protocole GVRP est alors actif au niveau de chaque port du commutateur. Mais le protocole GVRP peut tre actif aussi au niveau dune carte rseau. Il est compos dune partie applicative (GVRP application), des messages changs ( GID GARP Information Dclaration) entre ports de commutateurs diffrents ou avec les cartes rseaux et des messages changs entre ports sur un mme commutateur (GIP GARP Information Propagation).

Schma issu de la norme 802.1Q GVRP doit permettre un membre participant (GVRP-enabled et GVRP-aware) lchange GVRP de dclarer lensemble des Vlan auxquels il participe ce qui veut dire quil doit recevoir aussi le trafic associ ces Vlan (sil lui est adress bien sr). Cette opration est un enregistrement (Register). Un participant doit aussi pouvoir se dsaffecter dun Vlan, cest une opration de d-enregistrement (De-register). A la rception dun enregistrement GVRP, un port participant au GVRP enregistre dans la table de filtrage du commutateur une association entre lui et les Vlan dclars dans le GID (affectation dynamique). Attention il faut que la limite de la table de filtrage nai pas t atteinte. Le port va ensuite propager (GIP) linformation aux autres ports du commutateur. Ceux-ci vont transmettre linformation sans saffecter dynamiquement au Vlan. Le comportement dun port est donc diffrent selon que linformation GVRP lui parvient travers un GID ou un GIP. Un port affect dynamiquement est implicitement un port tiquet . http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 13/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 14/24

Premier exemple Double propagation dinformation GVRP avec affectation des ports

schma issu du hp2524mgmnt&config guide.pdf Deuxime exemple Propagation de la dclaration des VID partir dun serveur source puis affectation des ports.

schma issu du document gvrp_use.pdf du site Hewlett Packard Paramtrage des ports associs laffectation dynamique de Vlan Par rapport au protocole GVRP un port peut tre dans trois tats : http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 15/24

Apprentissage (learn) Bloqu (block) Non actif (disable) Un port qui reoit un GID annonant (advertisement) un Vlan non dclar sur le commutateur (Unknown Vlan) ragira en fonction de son tat : apprentissage : il cre le Vlan, sassocie lui et propage le GIP bloqu : il ne sassocie pas au Vlan mais propage le GIP non actif : il ne sassocie pas au Vlan et ne propage pas le GIP Un port qui reoit un GID annonant (advertisement) un Vlan dclar sur le commutateur (static Vlan) ragira en fonction de son tat : apprentissage : il sassocie lui et propage le GIP bloqu : il sassocie au Vlan et propage le GIP non actif : il ne sassocie pas au Vlan et ne propage pas le GIP Si un Vlan statique est dclar sur le commutateur et que les ports sont dj affects ce Vlan, le comportement sera le suivant (HP procurve 2512 et 2524) :

Les questions auxquelles on va maintenant rpondre

Une trame peut-elle appartenir plusieurs Vlan ? Non. Rien de chang, mais l cest dfinitif, en effet lentte 802.1Q nadmet quun seul identifiant VLAN (VID) pour une trame Un port peut-il appartenir plusieurs Vlan ?

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 16/24

Oui. Mais si une trame non tiquete arrive sur ce port il doit pouvoir lassocier sans ambigut avec un VID. Dans la pratique les ports seront affects un seul Vlan et les ports dinterconnexion entre commutateurs plusieurs Vlan. En fait un port qui reoit une trame non tiquete en rception ne doit avoir quun seul PVID actif ou bien doit disposer dun moyen pour associer cette trame un VLAN. Ce moyen est forcment un champ quelconque de la trame, et ce moyen ntant pas spcifi par la norme sera forcment propritaire. Un poste peut-il appartenir plusieurs Vlan ? Oui. Mais alors la carte rseau du poste doit tre vlan inform et toutes les trames mises et reues par ce poste seront tiquetes. Le port de raccordement au commutateur sera lui aussi tiquet. Voir le TP sous Linux. Lexemple suivant est donn dans la documentation de lAllied 8800.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 17/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 18/24

O sont les Vlan de niveau 1 2 3 .etc. dans la norme 802.1Q? La norme ne fait rfrence explicitement quaux Vlan par port (port-based Vlan). Dans ce type de Vlan, lassociation dune trame un Vlan est dtermine par lappartenance du port un Vlan. Seuls les ports dinterconnexion ou les ports o sont connects des machines vlan informes devraient donc avoir plusieurs Vlan associs. La norme ne fait aucune rfrence dautres catgories, mais elle ne sy oppose pas. Le mcanisme dassociation dune trame non tiquete un Vlan nest alors pas dfini. Les constructeurs ont donc toute libert pour proposer une solution. Cette solution doit bien sr tre compatible avec la norme. Remarque : si tous les lments actifs sont Vlan aware (y compris les postes de travail ) lassociation de la trame un Vlan se fera par celui qui met la trame, et l tout est envisageable. Cependant la scurit devra tre redfinie car il serait trs simple dassocier un poste un Vlan (Voir TP sous Llinux). La norme 802.1x spcifie des solutions dauthentification au niveau de la couche 2.

Quelques implmentations des Vlan par les quipementiers et les didacticiens

Introduction Cette partie ne prtend pas lexhaustivit mais veut prsenter lapproche retenue par quelques constructeurs pour la mise en uvre de Vlan. On prsentera aussi ici lapproche du simulateur rseau comme un constructeur parmi dautres mais qui a le mrite d'tre immdiatement disponible et surtout de montrer visuellement les concepts.. Enfin on parlera de limplmentation Linux qui permet ce systme dtre Vlan-inform (Vlan Aware). La plupart des commutateurs disposent dun langage de commande utilisable partir dun port console ou de telnet , ou bien encore dune interface Web. Commutateur CISCO 2950 (un best seller CISCO) CISCO leader du march a contribu activement llaboration des normes. Un commutateur CISCO utilise diffrents protocoles associs au VLAN : ISL, CDP, VTP, 802.1Q et VMPS. Seul 802.1Q nest pas propritaire. ISL (Inter-switch Link) est un protocole dtiquetage de trames au mme titre que 802.1Q mais ltiquette est plac en en-tte de trame et ne comporte pas les mmes informations (30 octets rpartis sur treize champs). CDP (Cisco Discovery Protocol) est un protocole qui permet aux commutateurs de propager des informations sur leurs caractristiques. VTP (Vlan Trunk protocol) est un protocole qui permet de grer dynamiquement les Vlan au mme titre que GVRP. VMPS (VLAN Management Protocol Server) est un protocole client/serveur (le 2950 est un client) qui permet un port dinterroger un serveur VMPS pour associer une trame un Vlan. Ce serveur VMPS peut tre situ sur un autre commutateur ou sur un serveur Windows 200x. Il est intressant ici de constater qu'on ne se proccupe pas de niveau 2 3 4 .etc. Ce qui est important c'est d'associer la trame un VLAN peu importe le critre d'association choisi. En procdant avec un modle client/serveur CISCO rpond tous les besoins, en effet du point de vue du commutateur client il faut http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 19/24

envoyer les critres de dcision (tous les lments de la trame sont candidats l'tre) programme charg de prendre le dcision et de la renvoyer.

un

Un 2950 distingue deux types de liens : les liens access-link et les liens trunk link . Un lien access link est un lien o la trame qui circule na pas dtiquette. Un lien trunk link est un lien o la trame qui circule comporte une tiquette ISL ou 802.1Q. Un port access-link nest associ qu un seul Vlan. Un port trunk link est associ tous les Vlan (sur ce point on s'loigne de la norme) Lassociation entre trame et Vlan se fait soit par le port, soit par une rponse une requte VQP (Vlan Query Protocol) adresse un serveur VMPS. Dans ce cas le port est affect dynamiquement au Vlan et reste affect ce Vlan tant que le port est actif. Un port miroir est attach un Vlan. Un Private port isole le trafic entre ports appartenant un mme Vlan. Ces ports doivent passer par un port matre (lexemple classique est la chambre dhtel, on met toutes les chambres dans le mme Vlan pour offrir un accs Internet mais on empche une chambre davoir accs au flux dune autre chambre. Certains hbergeurs lutilisent pour dissocier leur client tout en les grant dans un mme Vlan). Remarque : dans la terminologie CISCO un lien trunk correspond un lien tiquete alors que pour la plupart des autres constructeurs un lien trunk correspond une agrgation de liens (notamment chez Allied-Telesyn et HP) Une agrgation de liens chez CISCO est un Etherchannel. Allied-Telesyn AT- S68 Ce commutateur permet de crer des Port based VLAN uniquement. Il ny a pas de fonction de routage prise en charge. Les ports ne sont pas vlan-inform et ne mettent donc pas dtiquettes 802.1Q dans la trame. Si on veut relier les commutateurs entre eux et que les Vlan sont rpartis il faudra donc prvoir autant de liens que de Vlan car chaque port dinterconnexion ne sera affect qu un seul Vlan. Le AT-FS7016 et AT-FS7024 permettent a priori daffecter un port plusieurs Vlan pour grer linterconnexion. Cependant il nest pas prcis si ce port est vlan inform ou pas. Mais lexemple donn laisse supposer quil sagit de partager une ressource non vlan inform dans ce cas le port est forcment non tiquet . Un port miroir peut mirrorer 23 autres ports qui doivent tre sur le mme commutateur mais pas forcment sur le mme Vlan. Un lien trunk correspond une agrgation de liens. Ce commutateur gre la qualit de service, donc a priori les trames tiquetes par une priorit le VID reste nul (on gre 802.1P et non 802.1Q). Allied-Telesyn 8800 (commutateur / routeur) Ce commutateur associe des fonctions de routage et de commutation. Il y a une fonction de limitation du nombre de trames par port par secondes (Packet storm) qui permet de limiter les flux. On a aussi la possibilit dautoriser ou non des adresses mac sur un port (256 maximum), cette fonction est appele port security . http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 20/24

Le port miroir est le seul port non affect un Vlan, on peut donc mirrorer tous les ports du commutateur quel que soit leur Vlan dappartenance. Enfin les ports trunk sont des ports dagrgat. Ce commutateur accepte les trames tiquetes et non tiquetes et dispose donc de ports tiquets et non tiquets. Chaque trame traite par le commutateur est associe un VID. Si une trame arrive sur un port tiquet, elle est associe au Vlan correspondant au VID de la trame. Si une trame arrive sur un port non tiquet elle est associe au VID du port. Remarque : ce nest pas tout fait conforme la norme. Un port peut appartenir plusieurs Vlan si et seulement si, ce port est un port tiquet. Les ports dinterconnexion doivent tre tiquets. Ce commutateur gre le protocole GVRP. Les rgles respecter sont les suivantes : Chaque port doit appartenir a au moins un Vlan statique (sauf le port miroir) Un port non tiquet appartient zro (dfaut) ou un Vlan. Ce port transmet des trames non tiquetes pour ce Vlan Un port tiquet peut ltre pour zro (dfaut) ou plusieurs Vlan. Ce port ne transmet que des trames pour ces Vlan et ces trames sont tiquetes, (ltiquette a t mise la rception de la trame par un port ou lenvoi de celle-ci) Pour un mme Vlan un port ne peut pas tre tiquet et non tiquet Le port miroir nest affect aucun Vlan Le commutateur associe des fonctions de routage et de commutation. On associe le VID dun Vlan une interface. Linterface est en fait purement virtuelle. Puis on associe cette interface une adresse IP et un masque, ventuellement le protocole de routage RIP. Allied Telesyn 4400 (un routeur / commutateur ) Un routeur dans la liste cela peut surprendre maisil sagit dun routeur Vlan inform. Dans ce routeur, les interfaces Ethernet sont considres comme des ports de switch appartenant un Vlan. Chaque Vlan est associ une interface virtuelle. Le routage se fait entre deux Vlan (mcanisme assez proche de lAT 8800). A voir en pratique. HP procurve 2524 (best seller HP) Ce commutateur HP respecte assez bien la norme 802.1Q. Il gre des ports tagged, untagged et priority tagged. Et il implmente le protocole GVRP. Simulateur rseau (constructeur CERTA ) Le simulateur sest inspir de CISCO et de fait respecte lapproche vlan port based dfinie par la norme 802.1Q. On utilise des ports non vlan informs (untagged) pour connecter les stations et des ports 802.1Q ( vlan inform ou tagged ) pour linterconnexion des commutateurs. Il y a deux niveaux de Vlan traits, le Vlan par port et le Vlan par adresses Mac. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 21/24

La gestion des Vlan par adresses MAC est gre par lintermdiaire dune table Mac/Vlan configure sur chaque commutateur. Une fois lassociation faite on affecte dynamiquement le port au VLAN et cette association reste tant que le port est actif (comme avec VMPS sur CISCO). Indpendamment dune utilisation en dmonstration ou en TP, on peut aussi ici montrer une implmentation algorithmique associe un commutateur Linux Linux implmente la prise en charge du protocole 802.1Q, et permet donc la carte rseau dtre vlan inform (Vlan aware). La version de noyau doit tre suprieure 2.4.14. Sur une distribution Debian, la commande "CONFIG_VLAN_8021Q=y" "grep VLAN /usr/src/linux" doit rpondre

La suite de commandes suivantes teste la prsence du module 802.1Q, inhibe linterface relle puis lassocie au vlan 2 avec une adresse IP. modprobe 8021q ifconfig eth0 0.0.0.0 up vconfig add eth0 200 ifconfig eth0.200 192.168.50.1 up

Travaux pratiques et exercices

Travaux pratiques sur commutateur La progression des TP est la suivante avec des commutateurs : Configurer deux vlan sur un commutateur et les faire communiquer par un routeur Configurer deux vlan sur deux commutateurs et les faire communiquer par un routeur connect un seul commutateur Configurer deux vlan rpartis sur deux commutateurs et les faire communiquer par un routeur connect un seul commutateur Ces TPs ne dtaillent que les objectifs. Il ny a pas de mode opratoire associ. Il faut consulter la documentation des commutateurs et trouver les commandes suivantes : Cration dun Vlan Affectation dun port non-tiquet (untagged) un Vlan Cration dun port miroir Cration dun port tiquet (tagged) ou dun port trunk (cisco) pour linterconnexion (dans le cas dun commutateur qui ne dispose pas de cette fonctionnalit, il faut autant de liaisons entre commutateurs que de Vlan transporter, cest le cas du AT S68) Si on dispose de commutateur / routeur, il faut consulter les commandes qui permettent le routage entre Vlan (voir plus haut AT 8800). Si on dispose de routeur les commandes sont supposes connues. La mise en uvre peut tre simple et avec un mode opratoire bien rdig on peut faire monter des architectures complexes un tudiant qui ignore ce quest une adresse Mac. Ce nest pas le but de ces Travaux pratiques. http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0 Page 22/24

Le premier objectif est de bien dissocier les logiques couche 2 et couche 3. On montre notamment que deux postes sur un mme rseau IP et sur un mme commutateur ne peuvent pas communiquer sils sont sur des Vlan diffrents. On montre aussi que deux postes sur des rseaux IP diffrents non relis par un routeur et qui sont sur un mme Vlan, communiquent cependant par la couche 2. Le deuxime objectif est de dissocier lorganisation physique de linterconnexion de lorganisation logique de la communication. On montrera linterconnexion de commutateurs et la rpartition des Vlan. Lutilisation dun analyseur de trames est indispensable. Travaux pratiques avec le simulateur Boson Merci Pierre-Alain Goupille pour avoir t le premier explorer ce produit. Le simulateur boson (www.boson.com) payant, permet de simuler partiellement le comportement dun commutateur 2950 (et dautres produits CISCO). BOSON est un produit destin lorigine la prparation des certifications CISCO. Il est dailleurs livr avec une srie de labs prparatoires aux examens. BOSON est compos de deux modules : Network designer qui permet de dessiner des architectures rseaux Network sim qui simule le comportement des architectures Les architectures intgrent des routeurs, des commutateurs et des PC. Avec le simulateur on travaille en mode console (simulation telnet). On choisit llment sur lequel on travaille, une console souvre et on peut utiliser une grande partie des commandes IOS associes cet lment pour le paramtrer. Une fois la configuration termine on peut la tester (commande ping sur les PC). On ne peut pas cependant crer de port miroir ni faire de lanalyse de trames. Attention, dans la version teste, Boson fait communiquer deux postes si ils sont sur le mme rseau IP mais pas sur le mme Vlan (bug ?), cest dire que la diffusion ARP nest pas limite au VLAN. Donc, plutt pour les amateurs de CISCO (qui ont des moyens financiers limits ;-) ), cest extrmement pratique pour enseigner le langage de commandes Cisco . Remarque : Freddy Didier a explor le logiciel de simulation Packet Tracer 3.2. Travaux pratiques avec le simulateur rseau du CERTA Rappelons que Pierre Loisel est lauteur de ce chef duvre. Avec le simulateur rseau la progression des TP VLAN est la suivante: Fiche 5 : les Vlan par port Fiche 6 : les Vlan par adresses MAC Fiche 10 : Routage inter-Vlan Bien sr la lecture des fiches intermdiaires peut savrer ncessaire. Le grand intrt ici est la visualisation des oprations et la dcomposition algorithmique des oprations effectues par les commutateurs et les routeurs.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 23/24

Mais cest aussi le seul produit prsent ici qui permet de montrer simplement le comportement dun Vlan par adresses Mac. Travaux pratiques sur Linux Ce TP a t ralis avec un poste sous Fedora core 1 qui intgre le module 8021Q. Lavantage ici cest davoir une chane de liaison entirement Vlan inform . Le TP configure un serveur de ressources et un serveur DHCP accessible sur un seul poste quip dune seule carte rseau mais appartenant cependant 2 vlans. Deux autres postes appartenant chacun un VLAN se voient servir une adresse IP par le serveur DHCP. Le poste LINUX est connect un port forcment tiquet appartenant aux deux VLAN. Les autres postes sont connects des ports non tiquets appartenant bien sr un seul VLAN. Le fait dtre Vlan inform, permet un poste Linux quip dun analyseur de trames comme Ethereal de capturer des trames 802.1Q. Mais on peut aussi partir dEthereal sous XP capturer des trames 802.1Q. On le fera ici en mettant en place un poste miroir pour capturer le flux du port multi-VLAN. Exercices Les exercices sont encore peu nombreux mais cela devrait senrichir sous peu ;-) . Les Exonets 78 et 79 portent sur les Vlan : 78 : Mise en place dun Vlan sans 802.1Q 79 : Mise en place dun Vlan avec 802.1Q

Conclusion: Enseigner larchitecture commute

Larchitecture tout commute annule les collisions et tout ce qui est associ, cest dire les limitations en distance (rgles de 5 4 3, round trip delay .etc. ) et la mthode CSMA/CD. Elle rend possible de nombreux traitements sur la couche 2. Le Vlan est certainement la nouvelle base de structuration organisationnelle des rseaux complexes. Son enseignement est donc incontournable. Lapproche usuelle des Vlan nest pas satisfaisante car elle ne permet pas dapprhender correctement la diversit des solutions existantes. Il est plus simple de prsenter la norme 802.1q (en partie bien sr et sans GVRP) aux tudiants. En effet il suffit pour eux de comprendre quune trame doit tre associe un VLAN par un port en entre quelle que soit la mthode utilise pour cela et que cette trame en sortie ne sera prise en compte que par les ports associs ce Vlan .. Finalement tout a pour a !!! (dur constat du prof rseau qui met des heures dcortiquer un sujet quil prsentera en 2 minutes ses tudiants) ;-)

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 24/24