La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Fonctionnalités avancées des VLANs APPERT Fabien BOUVET Adrien CHAVERON Nicolas - Ingénieurs2000 IR - 3 ème année - Février 2005 Exposé de « Nouvelles.

Présentations similaires


Présentation au sujet: "1 Fonctionnalités avancées des VLANs APPERT Fabien BOUVET Adrien CHAVERON Nicolas - Ingénieurs2000 IR - 3 ème année - Février 2005 Exposé de « Nouvelles."— Transcription de la présentation:

1

2 1 Fonctionnalités avancées des VLANs APPERT Fabien BOUVET Adrien CHAVERON Nicolas - Ingénieurs2000 IR - 3 ème année - Février 2005 Exposé de « Nouvelles Technologies Réseaux »

3 2 Fonctionnalités avancées des VLANs VLAN 802.1q 802.1s 802.1x Table des matières

4 3 VLAN - Théorie 1/2 Définition : V irtual L ocal A rea N etwork Utilité : Plusieurs réseaux virtuels sur un même réseau physique VLAN AVLAN B LAN A LAN B =

5 4 VLAN - Théorie 2/2 3 types de VLAN : par port Niveau 1 par adresse MAC Niveau 2 par sous-réseau / protocole Niveau 3 Notions essentielles : VLAN par défaut toujours présent Technologie en standard sur les switchs actuels Configuration au niveau de léquipement

6 5 VLAN – niveau 1 VLAN de niveau 1 VLAN par port 1 port du switch dans 1 VLAN configurable au niveau de léquipement 90% des VLAN sont des VLAN par port VLAN A VLAN B VLAN PAR DEFAUT

7 6 VLAN – niveau 2 VLAN de niveau 2 VLAN par adresse MAC VLAN en fonction des adresses MAC configurable au niveau de léquipement indépendance de la localisation de la station difficultés de poser des règles de filtrages précises + -

8 7 VLAN – niveau 3 VLAN de niveau 3 VLAN par sous-réseau ou par protocole VLAN en fonction des adresses IP sources des datagrammes ou du type de protocole configurable au niveau de léquipement séparation des flux dégradation des performances + -

9 8 VLAN - Démonstration Adrien ServeurNicolas Serveur ? VLAN PAR DEFAUT Situation 1 : VLAN DEFAULT

10 9 VLAN - Démonstration Situation 1 : VLAN DEFAULT Adrien ServeurNicolas Sniffer Ping serveur ICMP VLAN PAR DEFAUT Ping ok

11 10 VLAN - Démonstration Adrien ServeurNicolas VLAN A VLAN PAR DEFAUT # vlan untagged Sniffer # vlan name Situation 2 : Serveur dans VLAN « A », Adrien & Nicolas dans VLAN DEFAULT

12 11 VLAN - Démonstration Adrien ServeurNicolas Serveur ? ARP Ping serveur : Destination unreachable VLAN A VLAN PAR DEFAUT Situation 2 : Serveur dans VLAN « A », Adrien & Nicolas dans VLAN DEFAULT

13 12 VLAN - Démonstration Adrien ServeurNicolas VLAN A VLAN PAR DEFAUT # vlan untagged Sniffer Situation 3 : Serveur & Adrien dans VLAN « A », Nicolas dans VLAN DEFAULT

14 13 VLAN - Démonstration Adrien ServeurNicolas Sniffer VLAN A VLAN PAR DEFAUT Situation 3 : Serveur & Adrien dans VLAN « A », Nicolas dans VLAN DEFAULT Ping ok

15 14 VLAN - Avantages Finances : 1 seul équipement pour plusieurs réseaux Performances : Permet à des utilisateurs éloignés géographiquement de partager des données Limite la diffusion des broadcasts Sécurité : Séparation des flux entre différents groupes dutilisateurs

16 Q - Problématique 1/2 Notion de vlan au niveau du commutateur Mais jusquà présent, aucune notion de vlan au niveau Ethernet ni à des niveaux supérieurs Donc comment propager lappartenance à un VLAN dun commutateur vers un autre ? Problématique : lorsquune trame circule dun commutateur à un autre, comment identifier son appartenance à un vlan ?

17 Q - Problématique 2/2 VLAN ADEFAULT VLAN VLAN A

18 Q - Théorie 1/2 Cela implique donc : nécessité de définir les mêmes VLANs sur chaque commutateurs (même VLAN Id) les trames doivent être taggées lors du transfert Objectif : Transport de plusieurs VLANs sur un lien unique, par exemple : Commutateurs / Commutateurs Commutateurs / Serveurs

19 Q - Théorie 2/3 VLAN A Tags sur les trames VLAN ADEFAULT VLAN VLAN A

20 19 Extension du format Ethernet, ajout de 4 octets 802.1Q - Théorie 3/3 Type : « 0x8100 » pour le protocole 802.1Q 802.1Q : Priority (3 bits) CFI (1 bit) VID (12 bits)

21 20 VLAN ADEFAULT VLAN 802.1Q – Démonstration 1 VLAN A Adrien NicolasServeur

22 21 VLAN ADEFAULT VLAN 802.1Q – Démonstration 2 VLAN A Adrien NicolasServeur

23 22 VLAN ADEFAULT VLAN # vlan tagged 802.1Q – Démonstration 3 VLAN A Tag 802.1Q Adrien NicolasServeur

24 23 VLAN ADEFAULT VLAN 802.1Q - Démonstration 4 VLAN A Adrien NicolasServeur

25 24 VLAN ADEFAULT VLAN 802.1Q – Démonstration Snif Snif VLAN A Tag 802.1Q Sniffer Nicolas Adrien Serveur

26 25 Architecture réseau des entreprises importantes : nombreux vlans 802.1Q redondance de niveau 2 : STP liens souvent surdimensionnés => avantages des vlans et du STP : 802.1s 802.1s - Introduction

27 s = MSTP = PVST Une instance STP par vlan au lieu dune par boite Complexe à mettre en place (au niveau conception) Technologie récente, pas encore supportée par tous les matériels 802.1s - Théorie

28 s – Objectifs / Limitations Objectifs : - Meilleure utilisation des liens - Temps de convergence de 3 secondes - Redondance de niveau 2 accrue Limitations : - Matériels limités en nombre dinstances - Peu de softs snmp savent gérer 802.1s

29 s – Exemple sans MSTP (1/2) 2/ Configuration 802.1q 3/ Configuration STP 1/ Configuration VLANs vlan vert vlan bleu vlan rouge vlan vert vlan bleu vlan rouge vlan vert vlan bleu vlan rouge R

30 s – Exemple avec MSTP (2/2) 1/ Configuration instances Instance #1 Instance #2 Instance #3 Instance #1 Instance #2 Instance #3 Instance #1 Instance #2 Instance #3 2/ Configuration mapping 3/ Configuration root bridges : vlan vert : vlan bleu : vlan rouge : vlan vert : vlan bleu : vlan rouge : vlan vert : vlan bleu : vlan rouge R R R

31 x - Introduction Permet lélaboration de mécanismes dauthentification et dautorisation pour laccès au réseau Se développe grâce au WiFi Norme développée à lorigine pour les VLANs => Attribution dun VLAN en fonction de lidentification

32 x - Architecture Serveur Switch daccès Client 802.1x SupplicantAuthenticatorAuthentication Server Avant authentification : seul trafic nécessaire à lauthentification est permis Après authentification : tout trafic

33 x - Protocoles EAP au dessus du réseau local : EAPOL (EAP over LAN) EAP peut encapsuler plusieurs types de protocoles dauthentification : MD5 TLS TTLS Serveur Radius Switch daccès Client 802.1x EAPoL Radius Le commutateur joue le rôle de relais Le protocole Radius encapsule les messages EAP Le serveur Radius pourra sappuyer soit sur sa base de donnée interne, soit sur un annuaire LDAP

34 x – Démonstration Activer lauthentification 802.1x sur le port 23 aaa port-access authenticator 23 aaa port-access authenticator active Définir le serveur radius, la clé déchange et le protocole de communication radius-server host radius-server key clerezo aaa authentication port-access eap-radius Serveur FreeRadius Switch Nicolas Adrien Le fichier radiusd.conf ajouter lauthentification eap Le fichier client.conf déclarer les switchs qui feront des requêtes vers le serveur Le fichier users contient les informations de chaque utilisateur - login - mot de passe - vlan affecté - etc… Standard sous XP, SP3 sous 2000 Xsupplicant sous Linux Vérification des authentifications Switch1# show port-access authenticator

35 34 Ze End


Télécharger ppt "1 Fonctionnalités avancées des VLANs APPERT Fabien BOUVET Adrien CHAVERON Nicolas - Ingénieurs2000 IR - 3 ème année - Février 2005 Exposé de « Nouvelles."

Présentations similaires


Annonces Google