Les VLAN
Réseaux virtuels VLAN = Virtual Local Area Network Définis par les standards : ( IEEE q pour la notion de VLAN IEEE p pour la qualité de service (QoS) Permettent de regrouper des machines de façon logique sans avoir à tenir compte de leur emplacement sur le réseau. Les VLAN
RESEAU VIRTUEL ? Trois nécessités pour introduire le concept Limiter les domaines de broadcast Garantir la sécurité Permettre la mobilité des utilisateurs UNE NOUVELLE MANIERE D’EXPLOITER LA TECHNIQUE DE LA COMMUTATION POUR DONNER PLUS DE FLEXIBILITE AUX RESEAUX LOCAUX C’EST UN RESEAU LOGIQUE Les VLAN
Switch 1 Switch 2 Routeur Vlan 1 Vlan 2 Vlan 3
Les messages émis par une station d'un VLAN ne sont reçus que par les autres stations de ce même VLAN Les machines physiquement connectées au réseau, mais n'appartenant pas au VLAN, ne reçoivent pas les messages. Division logique du réseau local Les stations d'un même domaine de diffusion ne sont pas obligées d'être sur le même segment LAN. Les VLAN
Ils ont pu voir le jour grâce à l'expansion des commutateurs. Avant, pour créer des domaines de diffusion on devait créer des réseaux physiques, reliés entre eux par des routeurs.
Ils introduisent une segmentation «virtuelle», qui permet de constituer des sous-réseaux logiques en fonction de critères prédéfinis: numéros de ports des commutateurs, adresses MAC adresses IP des postes à regrouper. Les VLAN
Plusieurs niveaux de VLAN : VLAN par ports VLAN d'adresses MAC VLAN d'adresses réseaux Les VLAN de protocoles Les VLAN par règles
Les VLAN les commutateurs identifient le VLAN auquel appartient une trame grâce au protocole 8O2.1q Ils échangent ces trames via des ports d’interconnexion. On considère qu’un commutateur ne sera associé qu’à un seul VLAN (a l’exception des ports d’interconnexion)
Les VLAN Les VLAN de niveau 1 VLAN par ports (Port Based VLAN) Consiste à affecter certains ports du commutateur à un numéro de VLAN.
Les VLAN de niveau 1 Simplicité de la mise en oeuvre le VLAN peut être réparti sur plusieurs commutateurs grâce aux : échanges d'informations entre commutateurs marquage des trames. Toutefois la configuration des switchs est statique Elle doit être faite « à la main » switch par switch. Tout déplacement d'un poste nécessite une reconfiguration des ports. Les VLAN
Les VLAN de niveau 2 VLAN d'adresses MAC (MAC Address Based VLAN) ou VLAN d'adresses IEEE (IEEE Address-Based VLAN) Associent des stations au moyen de leur adresse MAC (adresse IEEE) en regroupant ces adresses dans des tables d'adresses. Les VLAN
Principe : Comme l'adresse MAC d'une station ne change pas, on peut la déplacer, physiquement sans avoir à reconfigurer le VLAN. Bien adaptés à l'utilisation de stations portables. Configuration fastidieuse : Impose de créer et maintenir la table des adresses MAC des stations participant au VLAN de manière statique (switch par switch). Comme cette table doit être partagée par tous les commutateurs, cela crée un trafic supplémentaire sur le réseau : (overhead)
Les VLAN Les VLAN de niveau 3 Plusieurs catégories VLAN d'adresses réseaux (Network Address Based VLAN) VLAN de protocoles VLAN par règles
Les VLAN Niveau 3 - VLAN d'adresses réseaux VLAN d'adresses réseaux (Network Address Based VLAN) Associent des sous-réseaux IP par masque ou par adresses. Les utilisateurs sont affectés dynamiquement à un ou plusieurs VLAN.
Les VLAN Niveau 3 - VLAN d'adresses réseaux Solution des plus intéressantes, malgré la légère dégradation des performances consécutive à l'analyse des informations au niveau réseau. Le switch associe l'adresse IP de station à un VLAN basé sur un masque de sous-réseau. Le switch détermine les autres ports qui ont des stations appartenant au même VLAN.
Les VLAN Niveau 3 - VLAN de protocoles VLAN de protocoles(Protocol Based VLAN) Associent des machines en fonction du protocole employé (IP, IPX, NETBIOS...). Exemple : un VLAN de machines exploitant IP et un VLAN de machines exploitant IPX.
Les VLAN Niveau 3 - VLAN par règles exploitent la capacité des switchs à analyser les trames Les possibilités sont multiples, les domaines de broadcast peuvent être basés sur : des sous-réseaux IP, un numéro de réseau IPX, par type de protocole (IP, IPX, DECNet,...), sur une liste d'adresses MAC, sur une liste de ports commutés ou sur n'importe quelle combinaison de ces critères.
Les VLAN Trois types possibles de règles : règles d'entrée (Ingress rules) : permettent de classer une trame entrante dans un VLAN et éventuellement de la filtrer, règles d'expédition (Forwarding rules) : indiquent à qui transmettre une trame et éventuellement de la filtrer, règles de sortie (Egress rules) : indiquent sur quel port réexpédier la trame.
Le marquage Pour savoir à quel VLAN appartiennent les trame il est nécessaire de les repérer. C'est le rôle du marquage ou étiquetage de trames Il attribue à chaque trame un code d'identification VLAN unique. Les VLAN
Le marquage peut être : Implicite (VLAN non taggé - untagged VLAN), quand l'appartenance au VLAN peut être déduite : de l'origine de la trame (VLAN par port) des informations contenues dans la trame (adresse MAC, adresse IP ou protocole), Explicite (VLAN taggé - tagged VLAN), dans le cas où un numéro de VLAN est inséré dans la trame.
Les VLAN Le marquage Pour faire circuler la trame à travers plusieurs switchs ou routeurs, on doit gérer son appartenance à tel ou tel VLAN. A l'intérieur du VLAN, on utilise la commutation, mais pour les interconnecter, on doit utiliser : des routeurs ou des commutateurs supportant les fonctions de routage.
Les VLAN Le marquage ….. Tout dépend du niveau de VLAN : Niveau 1 - VLAN par port: La trame ne conserve pas d'information sur son appartenance à tel VLAN. Nécessité de mettre en oeuvre un marquage explicite des trames si on veut la faire circuler entre plusieurs commutateurs.
Les VLAN Niveau 2 - VLAN par adresse MAC : On peut envisager de distribuer sur tous les commutateurs concernés la table de correspondance entre adresses MAC et numéros de VLAN. C'est une solution lourde, on peut préférer un marquage explicite.
Niveau 3 - VLAN par protocoles, adresses ou règles : Le marquage est implicite Il n'est donc pas nécessaire de marquer les trames qui transitent entre commutateurs. Toutefois, l'analyse des trames dégradant les performances, il peut être, là encore, préférable de les marquer explicitement. Les VLAN
Le marquage : trame Ethernet en VLAN
Les VLAN TCI (16 bits)PCVID (12 bits) Champs de marquage insérés TCI (Tag Control Info) codé sur 16 bits (valeur constante h) indique si la trame utilise les tags 802.1p et 802.1q
Les VLAN TCI (16 bits)PCVID (12 bits) Champs de marquage insérés Champ P (Priority ou User Priority) Niveau de priorité de la trame, codé sur 3 bits - de 0 à 7 Ces 3 bits permettent de gérer la qualité de service (QoS): 000 indique une trame remise au mieux (best effort), 001 indique une classe supérieure, etc.
Les VLAN TCI (16 bits)PCVID (12 bits) Champs de marquage insérés Champ C - ou CFI (Canonical Format Indicator) indique le format de l'adresse MAC (toujours positionné à 0 sur Ethernet).
TCI (16 bits)PCVID (12 bits) Champs de marquage insérés champ VID (Vlan IDentifier) indique sur 12 bits le numéro du VLAN concerné par la trame : numéro de 2 à 4094, les VIDs 0, 1, et 4095 sont réservés. Les VLAN
Le marquage de trames peut être réalisé au travers des protocoles : respectant la norme 802.1q Ou propriétaires tel ISL (Inter Switch Link) développé par Cisco et permettant d'interconnecter les commutateurs entre eux. (tag switching).
Les VLAN Communications inter-VLAN: Le protocole NHRP (Next Hop Routing Protocol) Mécanisme de résolution d'adresses entre stations n'appartenant pas au même VLAN. La station source ou le commutateur de rattachement émet une requête NHRP vers le routeur ou serveur NHS (Next Hop Server) Celui-ci transmet la requête à la station destinataire après avoir effectué les contrôles d'usage. Les stations peuvent ensuite échanger directement sans passer par un tiers.
Les VLAN Avantages des VLAN : Augmentent la sécurité : isolation des groupes de machines, qu'il est toujours possible de grouper au travers de routeurs, Basés sur la commutation ils augmentent les performances en limitant les domaines de diffusion, Selon le type de VLAN, un poste déplacé retrouve les mêmes ressources avec ou sans reconfiguration du VLAN, Permettent une organisation virtuelle et une gestion simplifiée des ressources : autorisent des modifications logiques gérées via la console plutôt que par brassage.
Les VLAN Plusieurs protocoles de gestion des VLAN sont proposés par les constructeurs : VTP (Vlan Trunk Protocol) de CISCO, GARP (Generic Attribute Registration Protocol), GVRP (Generic Vlan Registration Protocol) Permettent à une station de déclarer son appartenance à un VLAN et maintiennentt sur les switchs une base de données des ports membres du VLAN
QoS Qualité de Service Lors de l'établissement d'une connexion, une qualité de service QoS (Quality of Service) est «négociée» par les utilisateurs pour définir la valeur d'un certain nombre de paramètres : taux d'erreur « acceptable », taux de perte, délai de transfert, délai moyen de transfert, débit moyen, débit maximum...
QoS 5 classes de QoS définies en fonction du type de trafic : classe non spécifiée, support du service «Best Effort», classe 1 (Class A dans la terminologie ITU) - trafic à débit constant et émulation de circuit, classe 2 (Class B) - transfert de flux audio/vidéo à débit variable, classe 3 (Class C) - transfert de données orienté connexion, classe 4 (Class D) - transfert de données en mode non-connecté.