La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

U E 3 – R A 1 R ÉSEAUX & T ÉLÉCOMMUNICATIONS VLAN - (Virtual Local Area Network) Philippe CRUCHET Licence Pro SIRI 1 C6.

Publié parGéraldine Lortie Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "U E 3 – R A 1 R ÉSEAUX & T ÉLÉCOMMUNICATIONS VLAN - (Virtual Local Area Network) Philippe CRUCHET Licence Pro SIRI 1 C6."— Transcription de la présentation:

1 U E 3 – R A 1 R ÉSEAUX & T ÉLÉCOMMUNICATIONS VLAN - (Virtual Local Area Network) Philippe CRUCHET Licence Pro SIRI 1 C6

2 P LAN DU COURS Segmentation et Commutation Virtual Local Area Network VLAN Statiques / VLAN Dynamiques Etiquetage des trames Port Trunk 2

3 S EGMENTATION C OMMUTATION Quelques rappels 3

4 I NTRODUCTION Les réseaux Ethernet sont sujets à divers problème affectant les performances du réseau Les collisions La latence des équipements La remise de données type broadcast Afin d’optimiser les performances la segmentation est nécessaire 4

5 L A SEGMENTATION POURQUOI FAIRE ? Réduire la taille des domaines de collision afin d’économiser la bande passante disponible. Réduire la taille des domaine de diffusion afin d’améliorer la sécurité et diminuer la taille des réseaux 5

6 T ROIS POSSIBILITÉS DE SEGMENTATION Segmentation par pont Segmentation du domaine de collision en 2 grâce au pont, dispositif de couche 2 permettant un filtrage des trames en fonction des adresses MAC des hôtes. Segmentation par routeurs Segmentation du domaine de broadcast en fonction des adresses réseau de couche 3. Segmentation par commutateurs Segmentation du domaine de collision par la mise en place de chemin commuté entre l’hôte et le destinataire (micro segmentation) 6

7 L E COMMUTATEUR : P RÉSENTATION Le commutateur est un pont multiports. Il permet de relier plusieurs segments réseau et d’acheminer les trame sur le bon segment de des destination grâce aux information de la couche 2 Avantage d’un environnement commuté : Réduction du nombre de collisions Plusieurs communication simultanées Liaisons montantes haut débit Amélioration de la réponse du réseau Hausse de la productivité de l’utilisateur 7

8 L E COMMUTATEUR : P RÉSENTATION 8 Les décisions d’acheminements du commutateur sont basées sur les adresses MAC contenues dans les trames circulant sur le réseau :

9 L E COMMUTATEUR : L IMITATION Même si le commutateur optimise le trafic, il ne permet pas de créer des subdivisions. Pas de limitation du champs du broadcast Pas de partage en sous réseaux Pas de sécurité entre utilisateurs On distingue deux modes de fonctionnement du commutateur : Store and forward. Il stocke les trames entièrement avant de réémettre, Si il n’y a pas d’erreur de CRC attend en cas de collision. Cut through (On the fly ou à la volé) le commutateur réémet immédiatement après lecture de l’adresse MAC destinataire. 9

10 V IRTUAL L OCAL A REA N ETWORK Réseaux locaux virtuels 10

11 I NTRODUCTION La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le libérant de certaines contraintes physiques. C’est une technique de segmentation, qui participe donc à la sécurité. Cependant, les protocoles utilisés ne sont pas spécialement conçus pour être « sécurisés ». Il faut donc utiliser cette technique quand elle est vraiment utile, et maîtriser les conséquences sur la sécurité du réseau. 11

12 I NTRODUCTION Les VLANs doivent être utilisés pour : regrouper des postes selon un critère logique et non plus géographique gérer correctement la mobilité des postes contrôler la taille des domaines de broadcast Leur utilisation n’est pas motivée par des raisons liées à la sécurité, mais à l’architecture La conception d’une architecture bien pensée, avec si besoin l’utilisation des VLAN est le prérequis à une bonne gestion de la sécurité 12

13 E NSEMBLE LOGIQUE 13 Les VLAN doivent être utilisés pour cloisonner un réseau indépendamment de la répartition géographique des postes. On peut créer des ensembles de machines cohérents : 1. au sens de l’utilisation qui en est faite (groupe de travail)

14 E NSEMBLE LOGIQUE On peut créer des ensembles de machines cohérents : 2. Au sens de la sécurité. Identification et gestion des droits, on peut utiliser l’adresse MAC ou le couple login/mdp pour mettre les utilisateur qui se connectent dans le VLAN qui correspond à leurs droits. 14

15 E NSEMBLE LOGIQUE On peut créer des ensembles de machines cohérents : 2. Au sens de la sécurité. Accès aux trames de broadcast (visible avec un sniffer). Un utilisateur malveillant peur décoder des trames de broadcast qui ne le concernent pas. Pire encore un switch, si sa table d’adresse MAC lui impose, retransmettre une trame unicast sur toutes ses interfaces 15

16 I NTÉRÊT : RÉSEAU MODULABLE 16 La technique des VLAN est une technique de niveau 2 Les VLAN permettent d’effectuer une segmentation selon certains critères indépendamment de l’implantation géographique. Même service. Même applicatif…

17 S EGMENTATION ET FILTRAGE La segmentation crée des groupe séparés strictement La séparation peut être rendu perméable par l’utilisation d’un routeur Ceci conduit à attribuer des réseaux IP différents pour chaque VLAN 17

18 S EGMENTATION ET FILTRAGE L’utilité de cette technique de segmentation réside dans la possibilité de faire du routage avec filtre entre les segment ainsi créés. Même si c’est une technique de niveau 2 son utilisation est motivé par des raisons s’attachant au niveau 3 Le switch sépare en différents VLANS Le routeur autorise les communications utiles entre ces VLAN 18

19 T ROIS DOMAINES DE BROADCAST 19 Sans VLAN 1 routeur + 3 switch Avec VLAN 1 routeur + 1 switch

20 R ÉPARTITION DES RÔLES ENTRE COMMUTATEUR ET ROUTEUR Le switch doit maintenir une table pour chaque VLAN (besoin de mémoire) L’apprentissage des adresses MAC des machines se fait VLAN par VLAN Le routeur a une interface (ou sous-interface) dans chaque VLAN (passerelle pour ce VLAN) Le routeur voit : les trames qui lui sont adressées (en tant que passerelle) les trames de broadcast 20

21 M ISE EN ŒUVRE DES VLAN La définition des VLANs se fait sur les équipements d’interconnexion de niveau 2 (commutateur) Les équipements terminaux ignorent leur appartenance à un VLAN Les commutateurs ont donc un IOS qui permet de mettre à jour une micro base de données. (tous les commutateurs ne le permettent pas) Un commutateur peut donc avoir une adresse IP ! Certains commutateurs sont dit de niveau 3, ils travaillent également avec les adresses IP. 21

22 E XEMPLE : 2 VLAN SUR 1 SWITCH Intérêt limité, mettre deux réseaux IP différents sur un même équipement 22

23 E XEMPLE : 2 VLAN PROPAGÉS SUR 2 SWITCH Interconnexion pas très pratique, à éviter absolument 23

24 E XEMPLE : 2 VLAN PROPAGÉS SUR 2 SWITCH AVEC UN LIEN EN MODE T RUNK Etiquetage des trames 802.1 Q ou ISL 24

25 V LAN S TATIQUES V LAN D YNAMIQUES 25

26 VLAN STATIQUES / DYNAMIQUES Les VLAN statiques sont : simples à mettre en place plus difficiles à maintenir (déplacements) vulnérables à l’utilisation incontrôlée des prises Les VLAN dynamiques sont : plus difficiles à mettre en place (création de bases d’@MAC) faciles à maintenir (mobilité) générateurs de traffic sur le réseau (VTP) pour propager les bases moins vulnérables (même si il existe des cartes réseaux pour lesquelles l’@MAC est paramétrable) 26

27 VLAN S TATIQUES OU VLAN PART PORT Les ports du commutateur sont affectés à un VLAN Facilité d’administration Fonctionnement idéal dans un réseaux ou il y a peu de mobilité. 27

28 V LAN PART PORT : VLAN DE NIVEAU 1 28 Etanchéité maximale. Une attaque extérieur ne pourra se faire qu'en branchant le PC pirate sur un port taggué. Le pirate a donc besoin d'avoir accès à la machine physique pour pénétrer le Vlan. Le Vlan par port offre une facilité de configuration. L'administrateur peut sans difficulté choisir les ports à taguer sans avoir d'information de la part des machines auxquelles sont reliés les ports. Configuration lourde et contraignante sur chaque switch. A chaque déplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualité de service. Ce système peut être atténuer par la mise en place d'une solution de carte client 802.1q couplée à une authentification en 802.1x et à une solution de transport des Vlans. Ne possède pas d'architecture centralisée. Chaque switch possède sa table de correspondance indépendamment du contenu des autres switchs. AvantagesLimites

29 VLAN D YNAMIQUES : Automatiquement, les ports des commutateurs peuvent déterminer leur VLAN d’appartenance. Le filtrage est basé sur : Les adresses MAC L’adresses logique source (IP) Le type de protocole des paquets de données. 29

30 V LAN PART A DRESSES MAC : VLAN DE NIVEAU 2 Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de l'utilisateur. On associe ainsi des adresses à des Vlans pour permettre à un utilisateur de se déplacer sans pour autant changer de profil. Ce type de Vlan est généralement utilisé pour regrouper les utilisateurs par service. Si on souhaite changer de VLAN, il faut modifier l’association VLAN / MAC 30

31 V LAN PART PAR ADRESSE M AC : VLAN DE NIVEAU 2 31 Permettent une sécurité au niveau de l'adresse MAC, c'est à dire qu'un pirate souhaitant se connecter sur le Vlan devra au préalable récupérer une adresse MAC du Vlan pour pouvoir entrer. Centralisation des tables Vlans adresses MAC. Chaque Switch interroge ensuite cette table pour connaitre les informations nécessaires à une adresse MAC donnée. Le Vlan de niveau 2 offre une sécurité moindre que le Vlan par port de par la possibilité d’usurper une adresse MAC. Il n'y a pas de contrôle de flux prévu ce qui nécessite un bon dimensionnement du réseau. AvantagesLimites

32 L ES VLANS DE NIVEAU 3 : VLAN PAR SOUS - RÉSEAU Permettent de regrouper plusieurs machines suivant le sous réseau auxquels elles appartiennent. L'attribution des Vlans se fait de manière automatique en décapsulant le paquet jusqu'a l'adresse source. Cette adresse va déterminer à quel Vlan appartient la machine et affecter dynamiquement les ports des commutateurs à chaque VLAN 32

33 L ES VLANS DE NIVEAU 3 : VLAN PAR SOUS - RÉSEAU 33 Permet une affectation automatique à un Vlan suivant une adresse IP. Par conséquent, il suffit de configurer les clients pour joindre les groupes souhaités. Il est aussi possible de séparer les protocoles par Vlan. Lenteur par rapport aux Vlans de niveau 1 et 2. le switch est obligé de décapsuler le paquet jusqu'à l'adresse IP pour pouvoir détecter à quel Vlan il appartient. Equipements plus couteux pour une performance moindre. La sécurité est beaucoup plus faible par rapport aux Vlans de niveau 1 et 2. En effet, l'analyse de l'adresse IP rend l’usurpation IP possible. (plus facile que MAC) AvantagesLimites

34 V LAN PAR PROTOCOLE Une trame est associée en fonction du protocole qu’elle transporte Protocole de niveau 3 pour isoler les flux IP, IPX… Protocole de niveau supérieur notamment H320 L’apparition du Wi-fi pose des problème de sécurité que les VLAN peuvent résoudre. Une solution basée sur des VLAN par SSID est envisageable. 34

35 C ENTRALISATION DE LA BASE MAC/VLAN Avec l’utilisation d’un VLAN Policy Management Server VMPS, il est possible de centraliser la base @MAC/VLAN Au démarrage un switch ainsi configuré télécharge la base @MAC/VLAN par le protocole tftp, sur le serveur VMPS La gestion de la base se fait donc de façon centralisée : Switch> (enable) set vmps tftpserver ip_addr [filename] Switch> (enable) set vmps state enable Switch> (enable) show vmps 35

36 E TIQUETAGE DES TRAMES 36

37 E TIQUETAGE DES TRAMES C’est une modification de l’en-tête de niveau 2, pour qu’elle puisse porter la mention de l’appartenance à un VLAN Pour les ports associés à chaque VLAN, il y a 3 modes : Untagged : Le port est associé à un seul VLAN. C'est à dire que tout équipements raccordés à ce port fera partie du VLAN. Tagged : Les trames qui arrivent et sortent sur le port sont marquées par une en-tête 802.1q ou ISL dans le champs Ethernet. Un port peut être "tagged" sur plusieurs VLAN différents. L'avantage du mode Tagged est la possibilité d'avoir un serveur pouvant communiquer avec toutes les stations des VLANs sans que les VLANs ne puissent communiquer entre eux. No : Aucune configuration dans le VLAN. 37

38 H ISTORIQUE ISL : (non compatible avec les appareils non Cisco) Protocole propriétaire CISCO. Introduit les notions de base des VLANs, notamment l'étiquetage (port tagués et ports non tagués) Principes de routage inter-VLAN. IEEE 802.1Q (1998) La première version du 802.1Q proposé par l'IEEE Reprenait principalement les notions relatives à l'ISL tout en introduisant la possibilité de priorisation des flux(802.1P). Ajoute les fonctionnalités de VLAN à la norme 802.1 (Ethernet). IEEE 802.1Q (2003) : la plus communément utilisée Ajoute la fonctionnalité d'enregistrement dynamique des VLANs grâce au protocole GVRP. Des problèmes subsistent pour les trames > 1500 octets qui peuvent ainsi apparaître (résolu par IEEE 802.3ac) Introduit la possibilité de transmettre sur plusieurs instances de Spanning-Tree. 38

39 M ÉTHODE D ’ ATTRIBUTION DES VLAN Chaque VLAN est identifié par un numéro. Ce numéro étant codé sur 12 bits, cela permet 4096 VLAN potentiels. Les trames peuvent être étiquetées par une priorité (Quality Of Service) 802.1Q 39

40 L A TRAME 802.1Q Le champ TPID détermine le type du tag, 0x8100 pour 802.1Q, en prévision d’évolutions futures afin de pouvoir utiliser le principe du tagging pour différentes fonctionnalités. Le champ TCI se décline en plusieurs éléments : Priorité : niveaux de priorité définis par l'IEEE 802.1P. Ce champ permet de réaliser une priorisation des flux. Le champ étant sur trois bits il est possible de déterminer 7 niveaux de priorité. CFI : permet de déterminer si le tag s'applique à une trame de type Ethernet ou Token-Ring. VID : identifiant du VLAN. L'appartenance d'une trame à un VLAN se fait grâce à cet identifiant. Le champ étant sur 12 bits. 40

41 P RINCIPE DE FONCTIONNEMENT 2 méthodes pour regrouper les utilisateur par VLAN : Le filtrage de trames Un examen de chaque trame permet d’élaborer pour chaque commutateur une table de filtrage afin de permettre la décision appropriées; Cela implique une table de filtrage par commutateur. (Mise à jour lente, problème d’évolutivité) Indentification des trames (la plus courante) Chaque trame dispose d’un code d’identification (TCI = Tag Control Information) définit par la norme IEEE 802.1q L’identificateur est utilisé lors du transfert des paquets sur le réseau Il est enlevé lorsque le paquet quitte le réseau pour atteindre les hôte ou les routeurs. 41

42 A RCHITECTURE D ' UN COMMUTATEUR 802.1 Q Un commutateur respectant la norme 802.1q se décompose en trois couches : La couche configuration. Définit les éléments de la MIB ( Management Information Base) liés au VLAN utilisé par SNMP S’occupe des commandes d'administrations de l'OS implémenté sur le switch pour la gestion des VLAN. La couche définition automatique et propagation. Cette couche est chargée d'enregistrer les Vlans présents sur les différents ports du switch et d'avertir le reste du réseau de l'appartenance du switch au Vlan. Utilisation du protocole GVRP (Garp Vlan Registration Protocol). La couche relais Relais les informations collecter sur ses ports. 42

43 P ORT T RUNK 43

44 P ORT TRUNK On appelle « port en mode trunk » un port pour lequel l’étiquetage des trames a été activé. Ils sont utilisés entre deux commutateurs ou entre un routeur et un commutateur. Ils peuvent être configurés pour transporter tous les VLANs, ou une partie d’entre eux seulement. Ils n’appartiennent à aucun VLAN, sauf dans le cas où un VLAN particulier a été prévu pour assurer une connectivité minimum au cas où l’étiquetage serait défectueux Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation ? dot1q - interface uses only 802.1q trunking encapsulation when trunking isl - interface uses only ISL trunking encapsulation when trunking 44

45 E TIQUETAGE ET T RUNK 45 Commutateur Trame Ethernet PVID=20 Trame Ethernet PVID = 20 Port access VLAN 20 autorisé, Port trunk Trame Ethernet VID =20 Tag: champs 802.1q

46 E TIQUETAGE ET T RUNK 46 Commutateur VLAN 20 autorisé, port trunk Trame Ethernet PVID= 20 Port untagged VLAN 20 autorisé, Port trunk Trame Ethernet VID =20 Trame Ethernet VID =20 Tag: champs 802.1q

47 P ORT TRUNK 47

48 C ONCULSION 48

49 C ONCLUSION Grâce à l’utilisation des VLAN, on peut segmenter un réseau, indépendamment de la répartition géographique des machines On réalise une économie de matériel On facilite la gestion des utilisateurs (ajout, déplacement) On améliore la segmentation Mise en œuvre sur les commutateurs Cisco 49

50 E THERNET C OMMUTÉ 50

Télécharger ppt "U E 3 – R A 1 R ÉSEAUX & T ÉLÉCOMMUNICATIONS VLAN - (Virtual Local Area Network) Philippe CRUCHET Licence Pro SIRI 1 C6."

Présentations similaires

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Réseau local virtuel (VLAN)

Réseau local virtuel (VLAN)
Chapitre XI 1. La commutation dans les LAN

Chapitre XI 1. La commutation dans les LAN
– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.

– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.
Formation CCNA 07- La commutation LAN. Sommaire 1) Concepts et fonctionnement 2) Commutateurs a - Présentation b - Démarrage c - Configuration de base.

Formation CCNA 07- La commutation LAN. Sommaire 1) Concepts et fonctionnement 2) Commutateurs a - Présentation b - Démarrage c - Configuration de base.
– VLAN et VTP. Sommaire 1)VLAN* 1)VTP** *Virtual Local Area Network **VLAN Trunk Protocol.

– VLAN et VTP. Sommaire 1)VLAN* 1)VTP** *Virtual Local Area Network **VLAN Trunk Protocol.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Authentification contre Masquarade

Authentification contre Masquarade
Les réseaux informatiques

Les réseaux informatiques
Cours Présenté par …………..

Cours Présenté par …………..
Les solutions de gestion des flux Multicast

Les solutions de gestion des flux Multicast
Introduction aux réseaux

Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)

SECURITE DU SYSTEME D’INFORMATION (SSI)
Les équipements d’un réseau local

Les équipements d’un réseau local
Segmentation VLAN A Guyancourt le 16-08-2012.

Segmentation VLAN A Guyancourt le
Architecture Réseau Modèle OSI et TCP.

Architecture Réseau Modèle OSI et TCP.
ADR Active and Dynamic Routing. Plan Introduction au routage Les réseaux actifs Les agents Mise à jour des matrices de routage Architecture du routage.

ADR Active and Dynamic Routing. Plan Introduction au routage Les réseaux actifs Les agents Mise à jour des matrices de routage Architecture du routage.

Présentations similaires

Annonces Google