Les VLAN
Plan Les VLAN Les différents VLAN (niveau 1, 2, 3) VLAN et sécurité La norme 802.1Q Spanning Tree les trunk Routage inter VLAN
Les VLAN Intérêts : segmentation du domaine de broadcast flexibilité : travailler sur la couche 2 ou 3 du modèle OSI sécurité : isoler les postes
VLAN niveau 1 VLAN par port étanchéité totale des VLAN => prévoir du routage/filtrage inter-VLAN configuration parfois lourde
VLAN niveau 2 VLAN par adresse MAC un poste de travail qui se déplace peut disposer du même VLAN sans intervention de l'administrateur la sécurité est moindre car l'adresse MAC peut s'usurper facilement Adaptée aux connexions Wifi avec des solutions de sécurité 802.1X
VLAN niveau 3 affectation à un VLAN en fonction de l'adresse IP plus lents : nécessité d'analyser la paquet pour prendre la décision usurpation encore plus facile que pour l'adresse MAC Il est également possible de gérer l'affectation en fonction du port ou du protocole
VLAN par règles règles d’entrée (Ingress rules) : permettent de classer une trame entrante dans un VLAN et de la filtrer, règles d’expédition (Forwarding rules) : indiquent à qui transmettre une trame et de la filtrer, règles de sortie (Egress rules) : indiquent sur quel port réexpédier la trame.
VLAN et sécurité Les VLAN sont mis en œuvre dans de très nombreuse solutions de sécurité comme les NAC : Network Access Control NAC : dispositif permettent de contrôler l’accès au réseau et de rediriger une machine non autorisée ou au comportement suspect vers un VLAN de quarantaine
La norme 802.1Q 802.1Q (1998) : mécanisme d'encapsulation très répandu et implanté dans de nombreux équipements de marques différentes. Complexe (200 pages)
8021.Q – 2 2003 Enregistrement dynamique des VLAN – protocole GVRP
802.1Q : le marquage Le VLAN ID ou Tag permet de marquer une trame et d'utiliser un seul lien physique pour convoyer des trames de différents VLAN. 4093 valeurs possibles il suffit que l'équipement concerné soit capable de prendre en charge la norme 802.1Q (routeur, switch, serveur, ...) le lien entre les deux équipement s'appelle un trunk
802.1Q Le marquage est fait : Par le switch (le plus courant) Par la machine Un réseau est dit vlan-informé « VLAN-aware » s'il reconnaît les trames marquées. Il est vlan-non-informé dans le cas contraire « VLAN-unaware »
VLAN-802.1Q - Questions Q : Peut-on associer une trame à plusieurs Vlan ? R : Non. Elle ne peut être adressée qu'à une seule carte réseau associée à ce VLAN. Q : La carte réseau d’un poste peut-elle être associée à plusieurs Vlan ? R : Si oui, comment savoir à quel Vlan appartient une trame émise par une telle carte réseau ? Si non, comment partager l’accès à des ressources communes entre différentes Vlan ? Q : Comment communiquer entre les Vlan ? L’étanchéité de la couche 2 implique de remonter jusqu’à la couche 3 pour l’échange entre Vlan. Cet échange peut donc être entièrement contrôlé.
VLAN et 802.1Q – principes de base le VLAN 1 est sur la plupart des switch le VLAN d'administration : il faut impérativement garder un port sur ce VLAN si l'on veut administrer le switch un port non taggé n'appartient qu'à un seul VLAN
La diffusion des VLAN La déclaration des VLAN est fastidieuse si le nombre de switch est grand GVRP (Generic VLAN Registration Protocol) permet de diffuser des informations sur les VLANs qui sont déclarés sur les ports d'un switch. permet de plus de configurer dynamiquement les VLANs déclarés sur les switches et de mettre à jour la table d'association des VLANs.
VLAN – GVRP suite GVRP nécessite : un agent GVRP qui gère les ports physique pour chaque switch, il est appelé " GVRP Participant ". Cet agent stocke des informations sur les VLANs déclarés pour les ports du switch. La BPDU GIP (GARP Information Propagation). Elle définit les messages diffusés entre les ports en interne au switch. La BPDU GID (Garp Information Déclaration). Elle définit les messages diffusés entre les agents de deux switchs distincts.
VTP VLAN Trunking Protocol (Cisco propriét.) permet de diffuser la déclaration des VLANs pour les ports trunk sur l'ensemble du réseau (mode client-server) Maintient une base de données dupliquée avec N° version et timestamp Le serveur tient à jour une table de VLANs déclarés. Cette table est diffusée à l'ensemble des clients étant sur le même domaine VTP.
802.1Q et Linux - 1 le noyau Linux dispose d'un module 802.1Q permettant de prendre en charge des trames taggées => hote vlan-informé Sur Debian : aptitude install vlan modprobe 8021q ; installation module vconfig add eth0 100 Added VLAN with VID == 100 to IF -:eth0:-
802.1Q et Linux - 2 Les interfaces VLAN sont gérables commes des interfaces standard sur lesquelles on peut effectuer du filtrage eth0.100 Lien encap:Ethernet HWaddr 00:20:18:54:99:F9 inet adr:192.168.11.1 Bcast:192.168.11.255 Masque:255.255.255.0 adr inet6: fe80::220:18ff:fe54:99f9/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 b) TX bytes:344 (344.0 b)
802.1Q et Linux – 3 Il suffit maintenant d'activer le routage echo 1 > /proc/sys/ent/ipv4/ip_forward et d'écrire des règles iptables si l'on désire effectuer du filtrage Extrait du fichier /etc/network/interfaces auto vlan2 iface vlan2 inet static address 192.168.11.1 netmask 255.255.255.0 broadcast 192.168.11.255 vlan_raw_device eth0
Routage interVLAN Par rapport à une solution classique de séparation avec des routeurs, l'utilisation des VLAN est plus simple car elle permet de limiter le nombre d'interfaces (1 lien ou carte quel que soit le nombre de VLAN/sous-réseaux) Elle est plus souple car elle ne dépend pas de l'implantation physique. Mais le filtrage/routage au niveau 3 reste indipensable
Schémas C. Caleca
Les autres normes liées aux VLAN 802.1D : Spanning Tree Protocol 802.1P : Class Of Service
Le protocole 802.1D Spanning Tree Protocol : il a pour but de gérer/éviter les liens redondants au niveau 2 pour éviter les broadcast storm STP échange régulièrement des informations (appelées des BPDU - Bridge Protocol Data Unit) pour informer des changements sur le réseau Il n'est pas adapté à l'environnement VLAN (le VLAN 1 pour l'administration retransmet les trames STP) => STP multiple : 1 par VLAN
Spanning-Tree Schema
Spanning-Tree - Fonctionnement Sélection d'un root switch (point central de l'arbre STP) Construction de l'arbre des plus courts chemins vers tous les ponts et réseaux Coût lié au débit du lien (100 Mb/s, GB/s) Interfaces dans l'arbre : laissent passer les trames Interfaces hors de l'arbre : ne laissent pas passer
Spanning -Tree -suite ne gère pas les liens redondants lenteur de convergence => plusieurs dizaines de s (30 s) => développement du RSTP (Rapid STP 802.1w) Spanning Tree multiple : un ou plusieurs VLAN par Spanning Tree
Le protocole 802.1P - 1 permet de mettre en oeuvre la QOS (Quality Of Service) au niveau MAC utilise le champ priorité de la norme 802.1Q 2 utilisations GMRP classes de services
Le protocole 802.1P - 2 classes de services : mémorisation des trames et envoi des trames prioritaires avant les trames non prioritaires aucun débit garanti aucun contrôle de flux
Le protocole 802.1P - 3 Les classes de services : 7 Contrôle du réseau (network critical) 6 Voix interactive 5 Multimédia interactif 4 Application à charge controlé (streaming) 3 Service maximum (Business critical) 0 Service au mieux (Best effort) 2 Service économique (standard) 1 Arrière plan (background)
Les switches Les caractéristiques : 802.1Q : support des VLAN 802.1X (authentification) SNMP Mirroring de ports (SPAN ou Remote SPAN Cisco : envoi sur un port distant) Agrégation de ports (802.3ad) QOS 802.1P 802.1D : Spanning Tree
Conclusion les VLAN sont de plus en plus utilisés et les VLAN par port ainsi que 802.1Q sont les bases de l'architecture des réseaux modernes L'étanchéité entre les couches aux niveaux 1 et 2 implique le recours à la couche 3 pour le routrage/filtrage Les VLAN de niveau 2 et la norme 802.1X constituent des éléments importants de l'infrastructure en particulier pour le Wifi