Segmentation VLAN A Guyancourt le 16-08-2012
Principe des VLAN’s Qu’est-ce qu’un réseau virtuel? C’est une manière d ’exploiter la technique de la commutation pour donner plus de flexibilité aux réseaux locaux. Les VLANS introduisent la notion de segmentation virtuelle.
Principe des VLAN’s Le réseau virtuel (VLAN): Permet la gestion dynamique de la mobilité. Permet à des utilisateurs géographiquement dispersés de partager des données. Maintient la sécurité. Conserve les domaines de Broadcast traditionnels des LANs. Requiert une couche 3 pour la communication entre VLANs.
Principe des VLAN’s Il existe 3 types différents de VLAN : VLAN de niveau 1 (ou VLAN par port) : Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN. VLAN de niveau 2 (ou VLAN par adresse MAC) : Ici l'on indique directement les adresses MAC des cartes réseaux contenues dans les machines que l'on souhaite voir appartenir à un VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu importe le port sur lequel la machine sera connectée, cette dernière fera partie du VLAN dans lequel son adresse MAC sera configurée. VLAN de niveau 3 (ou VLAN par adresse IP) : Même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN.
VLAN de niveau 1 (ou VLAN par port)
VLAN de niveau 1 (ou VLAN par port) Les VLANS de niveau 1 ou VLAN par port(PORT BASED VLAN) regroupent les stations connectées à un même port du commutateur. VLAN1 VLAN2 1 2 3 4 5 6 7 Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN.
VLAN de niveau 1 (ou VLAN par port) Les avantages du VLAN par port: Association port-utilisateur. Aucun paquet ne quitte son domaine. Sécurité maximale entre VLANs. Facilement contrôlable dans le réseau. Les inconvénients: grosses difficultés d’administrations lorsque le nombre de ports augmente. Pas de filtrage des « Broadcast » sur les segments partagés. Beaucoup d ’administration.
VLAN de niveau 2 (ou VLAN MAC)
VLAN de niveau 2 (ou VLAN MAC) Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN): L’appartenance d’une trame à un VLAN est déterminée par son adresse MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement est bien adapté à l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.
VLAN de niveau 2 (ou VLAN MAC) Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN) associent des stations par leurs adresses MAC selon les tables d’adresses introduites par l’administrateur. Ici l'on indique directement les adresses MAC des cartes réseaux contenues dans les machines que l'on souhaite voir appartenir à un VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu importe le port sur lequel la machine sera connectée, cette dernière fera partie du VLAN dans lequel son adresse MAC sera configurée
VLAN de niveau 2 (ou VLAN MAC) Les avantages du VLAN par adresse MAC: Filtrage requis: -impact sur les performances Echange des tables d ’adresses des VLANs entre les commutateurs.. Les inconvénients: grosses difficultés d’administrations à l ’échelle d ’un campus.
VLAN de niveau 3 (ou VLAN par IP)
VLAN de niveau 3 (ou VLAN par IP) Les VLAN de niveau 3 ou VLAN d’adresses réseaux(NETWORK ADDRESS- BASED VLAN): On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait, il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN.
VLAN de niveau 3 (ou VLAN par IP) Les VLANs de niveau 3 ou VLAN d’adresses réseaux(NETWORK ADDRESS- BASED VLAN) associent des sous-réseaux IP par masque ou par adresse. Dans ce cas, on aura une notion de routage ou tous les utilisateurs seront affectés à un voire plusieurs VLANs.
VLAN de niveau 3 (ou VLAN par IP) Les avantages du VLAN par sous-réseau: Domaine de Broadcast de niveau 2 automatiquement construit sur l’adresse de niveau 3. Uniquement avec les protocoles routables. L'avantage du Vlan de niveau 3 est qu'il permet une affectation automatique à un Vlan suivant une adresse IP. Par conséquent, il suffit de configurer les clients pour joindre les groupes souhaités. Il est aussi possible de séparer les protocoles par Vlan.
VLAN de niveau 3 (ou VLAN par IP) Les inconvénients du VLAN par sous-réseau: Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch est obligé de décapsuler le paquet jusqu'à l'adresse IP pour pouvoir détecter à quel Vlan il appartient. Il faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3) pour une performance moindre. La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2 ce qui impose la mise en place de règles d’accès ACL’s.
Le Protocole 802.1Q
Le Protocole 802.1Q Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet. Le format de la trame Ethernet modifiée avec les 4 octets supplémentaires est présenté ci-dessous : La norme IEEE 802.1Q permet de créer des réseaux locaux virtuels(VLANS) et de leur affecter un niveau de priorité. Le protocoles 802.1Q(Tag) permet à des VLANs de se propager sur différents commutateurs à partir d'un seul lien physique. adresse dst. adresse src. EtypeTag Data Len/Etype FCS TPID (2Bytes) Priority (3bit) CFI (1Bit) Vlan ID, VID (12Bit)
Le standard IEEE 802.1Q La norme IEEE 802.1Q permet de créer des réseaux locaux virtuels(VLANS) et de leur affecter un niveau de priorité. Le protocoles 802.1Q(Tag) permet à des VLAN de se propager sur différents commutateurs à partir d'un seul lien physique.
Les règles à connaître Un port non taggé (Untagged) appartient à un VLAN. Un port « Taggé » appartient à tous les VLANs.
Administration des VLANs La mise en place de VLAN nécessite de disposer d’équipements administrables: Commutateurs «manageable» La base de données des VLAN est la même sur tout le LAN. Doit être configuré manuellement sur chaque commutateur. La maintenance peut être assez lourde si on souhaite faire évoluer le LAN.
Mise en place/procédure Connaître la topologie du réseau. Repérer les emplacements des serveurs, du routeur, des ports de liaisons. Préparer votre paramétrage avant de vous lancer dans la configuration.(avoir un support). Connecter votre commutateur que lorsque vous avait terminé votre paramétrage, JAMAIS l’inverse.
Mise en place/procédure Exemple de support: Créez un tableau (Excel, open office,etc..) qui représenterai un aperçu rapide de l’interface du Switch. Ports VID 1 2 3 4 Etc… _ T x
Aperçu de l’interface WEB Smart
Création de VLANS : 1 2 3
Création de VLANS : Renseignez un VID Spécifiez un Nom au VLAN Sélectionnez les ports qui Appartiendront au VLAN Et sauvegardez vos données.
Création de VLANS :
Visualisation des Pvids:
Aperçu de l’interface WEB DGS-3120
Création de VLANS :
Visualisation des VLANs:
Visualisation des Pvids:
BILAN
Comment choisir sont types de VLAN ? Intérêt des VLANS de niveau 1 & 2 pour des petits réseaux utilisant des protocoles non routables. Intérêt des VLANS par sous-réseau, ou de niveau 3 pour des réseaux nécessitant des protocoles routables.
Conclusion: Simplicité des VLANs par port(statique). Facilité d ’administration des VLANs par port(dynamique). Sécurité: les échanges à l’intérieur d’un domaine sont automatiquement sécurisé. Permet d’isoler les domaines de multidiffusion. Administration Centralisée.
Questions / Réponses
MERCI