LES VLANS

Réalisé par :
Mohamed TARSAFI RSAFI

Professeur: :
Dr. EZZATI .

Année universitaire 2012-2013

......................... 7 Qu'est ce que le VTP ? ........... Introduction aux VLAN ............................. 11 iii.................... Les vlans de niveau 1 .................................vlan par sous sous-réseau ............................................................................... CONFIGURATION D'UN DOMAINE VTP .... ............... 3 ....................................................... 3 . Le VTP (Vlan Trunking Protocol) ..... Deux LANS (ou plus) ............................................................................1q (ou l'art du tag) ....................................................................... CREATION DES VLANS ..... VI............. ii..................... 4 .................... ii............... Un LAN .. i...... 3 ................................................... 8 ...................... Les vlans de niveau 3 ........................ Les différents types de vlans .................... Comprendre le VTP............................................................. 5 ................. 12 IX................................................. 11 ......... 7 ... 7 ........... 9 ans iii................................... Conclusion ..... i.............................................. III. VII............................. Vlan par adresse MAC ............ Vlans par port ... ii............. Où intervient le virtuel ...................................................................... CONFIGURATION DES VLANS ...................... 11 .............. CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN ... V................................................... IV...................................................................... .............. 5 .................... ii............................................................ 3 ......................... 10 VIII.. Les vlans de niveau 2 ................... 8 ............................ Avantages des vlans ............. Norme 802...... 13 ........................Table des matières I.............. i.......................... II........... i............................................ Les bases.......

Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique en définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à des ion critères II.I. ii. seules les trames de diffusions (broadcast) seront visibles depuis tous les noeuds. Introduction aux VLAN roduction Un VLAN (Virtual Local Area Network ou Virtual LAN. En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. à l'exclusion des HUBs. que nous ne parlons que d'adresses MAC. Deux LANS (ou plus) Soit le schéma suivant . est capable d'apprendre et de retenir la ou les adresses MAC qui se présentent sur chacun de ses ports. Ce qu'il est fondamental de comprendre. en français Réseau Local Virtual Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et ) non physique. le SWITCH agissant comme un pont Ethernet entre chaque noeud du LAN. Les bases Un LAN Soit un réseau Ethernet. Un LAN est un réseau local dans lequel toutes les trames Ethernet sont visibles depuis tous les noeuds si le LAN est construit avec un HUB. Un SWITCH. c'est que nous raisonnons au niveau Ethernet. c'est le composant que nous utiliserons par la suite. Si nous avons affaire à un SWITCH. i.

(nous sommes au niveau 2. Où intervient le virtuel Jusqu'ici. Il nous faut donc un routeur. notre maquette deviendrait ceci : . Il y a isolation complète des deux nt. le LAN bleu ignore complètement l'existence du LAN vert. Ici. (deux réseaux différents). tout en conservant dans chaque LAN les mêmes propriétés au niveau Ethernet. Le routeur agit au niveau 3 de la couche (IP). LANs au niveau Ethernet et la présence du routeur n'y change rien. n'oublions pas). Ce qu'il est absolument fondamental de comprendre. L'idée de base est de pouvoir squ'ici. nous devons faire appel à la couche 3 (IP) pour assurer l'interconnexion. certains autres ports à un autre LAN etc : Sur un même SWITCH physique. nous allons pouvoir créer plusieurs LANS et assigner certains de ses ports aux divers LANs créés. C’est qu'au niveau Ethernet. assigner certains ports du SWITCH à un LAN. nous avons un LAN bleu et tains un LAN vert. Dans une première approche.Lorsque nous avons deux LANs et que nous souhaitons les interconnecter. et réciproquement. Les trames Ethernet qui transportent des données depuis le LAN vert dans le LAN bleu ne seront rien d'autre que des trames Ethernet issues du routeur côté LAN bleu (et réciproquement). Comme si l'on avait découpé notre SWITCH en deux morceaux (sans pour autant le détruire). un SWITCH appartenait à un et un seul LAN. III.

Avantages des vlans Le VLAN permet de définir un nouveau réseau au dessus du réseau physique et à ce au-dessus titre offre les avantages suivants : Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées Réduction de la diffusion du traffic sur le réseau V. ça fera économiser du câble (et aussi des ports sur le SWITCH). Les deux VLANs sont complètement é étanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au delà du niveau 2). être Pour l'instant. Il existe quelques solutions propriétaires pour réaliser ceci. ce qui n'est jamais bien bon.Le SWITCH a été virtuellement coupé en deux.1q. retenons que le VID (Identifiant du VLAN) est codé sur 12 bits. Alors qu'une trame Ethernet "normale" est constituée comme ceci : Une trame modifiée par la norme 802.1q se trouve allongée de 4 octets : Il n'est peut-être pas nécessaire de détailler le contenu de ces deux nouveaux champs. Il est aussi nécessaire de rappeler qu'une trame Ethernet ne doit pas dépasser 1518 octets et que donc. aggués". Pour interconnecter ces deux LANs. il s'agit de la norme 802. IV. Le principe consiste à ajouter dans l'en tête de la trame Ethernet un marqueur qui va l'en-tête identifier le VLAN. un routeur est toujours nécessaire. Si l'on doit avoir recours à des VLANS "taggués". . ce qui laisse une latitude confortable. Norme 802. il sera sans doute nécessaire de prévoir ce détail.1q (ou l'art du tag) Ici. quatre octets de plus dans l'en tête risquent d'aboutir à une l'en-tête fragmentation des trames. l'idée serait d'arriver à ce que certains ports du swith puissent être assignés à plusieurs VLANs. mais solutions le système s'est avéré tellement intéressant qu'une norme a été définie.

Si nous appliquons cette technique à notre maquette. Il y a tout de même ement une condition à respecter : le routeur doit être "802. c'est norme c'est-à-dire que son interface soit capable d'exploiter ces tags.1q. Grâce au VID de chaque VLAN. Si nous faisons un gros plan sur le SWITCH. les données seront Grâce acheminées correctement. Si c'est le cas.1q compliant". et pourtant. il faut bien sûr qu'au moins l'un des deux VLANs soit "taggué". . Il n'y aura pas de problèmes tant qu'à chaque bout du câble. c'est c'est-à-dire qu'il doit savoir lire les tags que le SWITCH a posé sur au moins l'un des deux VLANs. il circulera donc à la fois les trames du VLAN bleu et les celles du VLAN vert. nous obtenons ceci : Il n'y a effectivement qu'un seul câble qui relie l'unique swith au routeur. nous allons effectivement router les données entre les deux LANs. Ceci impose donc naturellement que le routeur soit compatible avec la norme 802. il sera alors possible théoriquement d'assigner un même port à 212 VLANS différents. Sur ce port. l'interface Ethernet sera capable de trier les trames en fonction du tag. notre SWITCH a donc la possibilité d'ajouter ces marqueurs aux trames Ethernet. nous observons ceci : os Le port marqué "trunk" appartient à la fois aux deux VLANs bleu et vert. Sur le câble relié à ce port.Au final.

le domaine de VTP ne sera pas valide et l'information ne se propagera pas: il faut assigner le même nom de domaine de VTP à chaque commutateur l'option trunk pour l'interconnexion des commutateurs doit être activée. on lui attribut également un nom de domaine VTP. modifié ou supprimé. Le VTP (Vlan Trunking Protocol) Qu'est ce que le VTP ? Afin de ne pas redéfinir tous les VLANs existant sur chaque commutateur.1q et exploite une architecture client-serveur avec la possibilité d'instancier plusieurs serveurs. C'est hériage le protocole VTP. Le VLAN Trunking Protocol (VTP) minimise donc l'administration dans le réseau commuté. Ceci réduit avantageusement le besoin de configurer les mêmes VLANs sur chaque commutateur individuellement.VI. i. Cisco a développé un protocole permettant une hériage de VLANs entre commutateur. . Ce protocle est basé sur la norme 802. C'est sur ce commutateur que chaque nouveau VLAN devra être défini. serveur ii. Les dispositifs de VTP peuvent être configurés pour fonctionner suivant les trois modes suivants : le mode serveur Le mode client VTP le mode transparent Si une des conditions suivantes n'est pas respectée. Ainsi chaque commutateur client présent dans le domaine héritera automatiquement des nouveaux VLANs crées sur le commutateur serveur. Comprendre le VTP Un commutateur doit alors être déclarés en serveur.

VII. Les différents types de vlans Les vlans de niveau 1 . Le taggage des ports peut se faire de manière statique ue ou de manière dynamique (voir la norme 802. Une attaque extèrieur ne pourra se faire qu'en branchant le PC pirate sur un extèrieur port taggué. Vlans par port Principe Les Vlans par port associent un port d'un switch à un numéro de Vlan. Le switch entretien ensuite une table qui lie chaque Vlan au port associé. On dit alors que le port est tagué suivant le Vlan donné.1q) Les avantages L’avantage principale du Vlan par port est qu'il permet une étanchéité maximale des Vlans.Le serveur diffuse la liste des Vlans. Cette liste n’est pas diffusée sur le réseau mais les paquets VTP le sont. Le Vlan par port offre une facilité de configuration. Les commutateurs en mode transparents ont leur propre liste. Les paquets VTP Advertisements sont identifiés par un numéro de révision. i. . Elle se propage sur les liens trunk. L'administrateur peut sans difficulté choisir les ports à taguer sans avoir d'information de la part des machines auxquelles sont reliés les ports. Le pirate a donc besoin d'avoir accès à la machine physique pour penetrer le Vlan.Le numéro de révision le plus élevé sera celui qui numéro modifiera la base de donnée Vlan.

Les avantages Les Vlans de niveau 2 permettent une sécurité au niveau de l'adresse MAC. Ce type de Vlan permet de regrouper au sein d'un même lien et de les transporter sur le réseau (voir norme 802. il n'y a pas de contrôle de flux prévu ce qui nécessite un bon dimensionnement du réseau.1q couplée à une d'une authentification en 802. ii. Les Vlans de niveau 2 offrent des possibilités de centralisation des tables Vlans adresses MAC. Chaque switch possède sa table de correspondance indépendamment du contenu des autres switchs. De plus. Ce système peut être atténuer par la mise en place d'une solution de carte client 802. Chaque Switch interroge ensuite cette table pour connaitre les informations nécessaires à une adresse MAC donnée.1x et à une solution de transport des Vlans.1q). A chaque déplacement de poste.Les inconvénients Le principal inconvénient du Vlan par port est qu'il nécessite une configuration lourde et contraignante sur chaque switch. Les inconvénients Le Vlan de niveau 2 offre une sécurité moindre que le Vlan par port de par la n possibilité de spoofer l'adresse MAC. Les vlans de niveau 2 . c'est à dire qu'un pirate souhaitant se connecter sur le Vlan devra au préalable récuperer une adresse MAC du Vlan pour pouvoir entrer. Ce type de Vlan est généralement utilisé pour regrouper les utilisateurs par service. Vlan par adresse MAC Principe Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de l'utilisateur. il faut modifier les switchs correspondant pour maintenir une qualité de service. On associe ainsi des adresses à des Vlans pour permettre à un utilisateur de se déplacer sans pour autant changer de profil. . Le mécanisme de Vlan par port ne possède pas d'architecture centralisée qui pourrait permettre d'éviter la lourdeur de la configuration.

autres protocoles propriétaires . . Par conséquent. Les avantages L'avantage du Vlan de niveau 3 est qu'il permet une affectation automatique à un Vlan suivant une adresse IP. le switch est obligé de décapsuler le paquet j'usqu'à l'adresse IP pour pouvoir detecter à quel Vlan il appartient. Cette adresse va determiner à quel Vlan appartient la machine. . En effet. il suffit de configurer les clients pour joindre les groupes souhaités. La mise en place de Vlan de niveau 3 est conditionné par l'utilisation d'un protocole routable (IP.iii. En effet. Les vlans de niveau 3 . l'analyse de l'adresse IP rend le spoofing IP possible. La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. L'attribution des Vlans se fait de manière automatique en décapsulant le paquet jusqu'a l'adresse source. Les Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour avoir l'identifiant niveau 3. et ainsi se joindre au Vlan correspondant.. Il est aussi possible de séparer les protocoles par Vlan.). Or le spoofing IP est beaucoup plus simple à réaliser que le spoofing MAC. Il faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3) pour une performance moindre. Les inconvénients Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2..vlan par sous-réseau Principe Les Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous es réseau auuxquel elles appartiennent.

CONFIGURATION D'UN DOMAINE VTP Pour propager cette configuration à un deuxième commutateur. qui se trouve dans le fichier vlan. il faut se trouver dans le mode de configuration correspondant. les ports du commutateur doivent être attribués à un VLAN. Ce domaine est organisé hiérarchiquement : le serveur VTP diffuse ses configurations VLAN. Dans une configuration de VLAN statique. la création d'un VLAN se fait par la commande : Switch(vlan)# vlan {numéro} [name {nom}] (vlan)# Switch(vlan)# exit Cette dernière commande permet d'enregistrer la configuration des VLANs. CREATION DES VLANS Pour créer un VLAN. de accessible par la commande : Switch# vlan database # A partir de ce mode.dat dans la mémoire Flash. tandis que le client VTP met à jour sa configuration VLAN en fonction des informations reçues du . Ceci se fait dans le mode de configuration de l'interface spécifiée : Switch(config)#interface fastEthernet {numéro_interface} (config)#interface On passe dans le mode de configuration de l'interface spécifiée n Switch(config-if)#switchport mode access if)#switchport Spécification du mode de l'interface pécification Switch(config-if)#switchport access vlan {numéro} if)#switchport Attribution du vlan spécifié à l'interface ttribution ii.VIII. ceux ci doivent ceux-ci appartenir à un domaine commun : le domaine VTP. CONFIGURATION DES VLANS i.

Il faut cependant assigner les ports du commutateur client aux VLANs spéci spécifiés (la configuration transmise énumère seulement les VLANs crées et leurs noms): Switch_B(config)# interface fastEthernet {numéro_interface} Switch_B(config-if)# switchport mode access if)# Switch_B(config-if)# switchport access vlan {numéro} if)# Désormais. un câble croisé doit être utilisé. ci L'encapsulation utilisée doit également être spécifiée. C'est en effet par celui celui-ci que les trames étiquetées transitent. Entre deux commutateurs. Considérons le commutateur Switch_A comme le serveur du domaine VTP.serveur. chaque hôte peut communiquer avec un hôte du même VLAN. sur une sous-interface. et le commutateur Switch_B comme le client. Ceux-ci représentent les trafics propres à chaque VLAN. connecté aque sur un commutateur différent. Chaque commutateur doit donc configurer une des ses interfaces pour accueillir un trunk : Switch_A(config)# interface fastEthernet {numéro_interface} Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation {dot1q | isl} if)# A ce stade. iii. à moins que le commutateur utilisé n'accepte qu'un seul protocole. Un trunk est une connexion physique regroupant plusieurs connexions logiques. Dans le schéma. un trunk est nécessaire entre ces deux équipements. la configuration VLAN du commutateur serveur est transmise au client. Cette connexion commutateur regroupe en effet plusieurs liens logiques : un trafic VLAN par sous interface. Les commandes nécessaires sont Switch# vlan database # Switch(vlan)# vtp domain {nom_domaine} Switch(vlan)# vtp server (vlan)# Switch(vlan)# exit Switch_B# vlan database Switch_B(vlan)# vtp domain {nom_domaine} Switch_B(vlan)# vtp client Switch_B(vlan)# exit Enfin. un câble physique laisse transiter 3 trafics logiques différents. . CONFIGURATION SPECIFIQUE AU ROUTAGE INTER VLAN La liaison routeur-commutateur constitue également un trunk.

sous-réseau du VLAN et spécifier l'encapsulation (étiquetage) utilisée: R1(config)# interface fastEthernet {sous {sous-interface} R1(config-sub)# encapsulation {dot1q | isl} {numéro_vlan} sub)# R1(config-sub)# ip address {adresse_ip} {masque_sous_réseau} sub)# Chaque hôte peut désormais communiquer avec un hôte sur un VLAN différent. Chaque trafic de VLAN est supp supporté par une sous-interface du routeur. déplacement) On améliore la segmentation . le commutateur l'encapsule et l'envoi à la passerelle par défaut. attribuer une adresse IP appartenant au sous interface. Lorsque le premier envoi une trame avec pour destination un sous eau différent du sous-réseau sous-réseau source. Conclusion Grâce à l’utilisation des VLAN. indépendamment de la répartition géographique des machines On réalise une économie de matériel On facilite la gestion des utilisateurs (ajout. on peut segmenter un réseau. IX. la réencapsule pour le VLAN de destination avant de l'envoyer sur la l'envoyer sous-interface correspondante interface correspondante.liaison physique : un câble droit connectant une interface du routeur à une interface d'un commutateur. Il faut donc. interface pour chaque sous-interface. la trame est traitée au niveau du routeur. réseau Après avoir traversé le trunk. Celui la Celui-ci désencapsule.

Sign up to vote on this title
UsefulNot useful