Les réseaux locaux virtuels

Les réseaux locaux virtuels Cyril Rabat [email protected] Licence 3 MI - Info0606 - Introduction aux réseaux informatiques

2011-2012

Cours n°2 Version 3 février 2012

Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

1 / 43

Table des matières

1

Introduction aux VLANs Introduction Identifiants de VLAN

2

Types de VLAN

3

Utilisation des trunk

4

Configuration Configuration d’un VLAN Configuration du trunk Exemple de connectivité IP


Les VLANs

2011-2012

2 / 43

Introduction aux VLANs

Introduction

Architecture du réseaux Problématique Soit un réseau global : comment séparer les rôles de chacun ? Solution Habituellement, utilisation de sous-réseaux différents


Les VLANs

2011-2012

3 / 43


Introduction

Problème Description Comment attribuer le même rôle à des utilisateurs répartis sur des bâtiments différents ? ,→ Obligation de faire de multiples sous-réseaux !

Bâtiment 1

Bâtiment 2

Bâtiment 3 Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

4 / 43


Introduction

Autres problèmes

Description Les sous-réseaux ne permettent pas de résoudre les problèmes suivants : Limitation de la propagation des trames de broadcast Sécurisation des données utilisateur Limitation du unknown MAC unicast trafic : ,→ Trafic induit lorsqu’un commutateur ne connaît pas l’adresse de destination Problème de bande passante réduite en cas de trafic trop important Difficulté de l’administration


Les VLANs

2011-2012

5 / 43


Introduction

Une solution : les réseaux locaux virtuels (VLAN)

Description Avec les fonctions de la couche 3 avec la vitesse de la couche 2 Faciliter la gestion de la mobilité des postes Suppression de la possibilité de communication entre certaines parties du réseau ,→ Sécurité des domaines Faciliter l’attribution d’autorisation différentes en fonction des droits et rôles de chaque groupe de personnes


Les VLANs

2011-2012

6 / 43


Introduction

Les VLANs Description Standard qui fournit un mécanisme très répandu Implanté dans de nombreux équipements de marques différentes L’en-tête de la trame est complétée par une balise de 4 octets

VLAN1


VLAN2

Les VLANs

VLAN3

2011-2012

7 / 43


Introduction

Exemple de VLAN Configuration Sur les PCs : transparent ,→ Attribution d’une adresse IP dans le sous-réseau correspondant au VLAN Sur le commutateur : Configuration du VLAN (création) Assignation des ports au VLAN

Chaque PC possède une adresse dans le sous−réseau défini pour le VLAN30


F0/18

F0/11

VLAN 30 − 172.17.30.0/24 Tous les ports dans VLAN30

F0/6

Les VLANs

2011-2012

8 / 43


Introduction

Définitions Un VLAN Un réseau local (LAN) : Est défini par un domaine de diffusion Limité par les équipements de niveau 3 (couche réseau) Un réseau local virtuel (VLAN) est un LAN distribué sur des équipements fonctionnant au niveau 2 (couche liaison de données) À priori, inutile de faire appel à un équipement de niveau 3 pour délimiter le LAN

Liaisons trunk Les VLAN peuvent être distribués sur plusieurs équipements à l’aide de liaisons appelées trunk Une liaison trunk est une connexion dans laquelle transite le trafic de plusieurs VLAN : En général, utilisation du protocole IEEE802.1q ,→ Également appelé le dot1q Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

9 / 43


Introduction

Exemple

Exemple de VLANs

VLAN 10 VLAN 30 VLAN 20


Les VLANs

2011-2012

10 / 43


Introduction

Exemple d’utilisation (1/2)

Description des départements Informatique : 45 utilisateurs, bâtiment A Ressources humaines : 10 utilisateurs, bâtiment A Ventes : 102 utilisateurs, bâtiment B Marketing : 29 utilisateurs, bâtiment B Finance : 18 utilisateurs, bâtiment C Comptabilité : 26 utilisateurs, bâtiment C


Les VLANs

2011-2012

11 / 43


Introduction

Exemple d’utilisation (2 /2) Création des VLANs Bâtiment A : 10.1.0.0/16 Informatique : VLAN 11, 10.1.1.0/24 Ressources humaines : VLAN 12 , 10.1.2.0/24 Inutilisé : 10.1.3.0/24 à 10.1.254.0/24

Bâtiment B : 10.2.0.0/16 Ventes : VLAN 21, 10.2.1.0/24 Marketing : VLAN 22 , 10.2.2.0/24 Inutilisé : 10.2.3.0/24 à 10.2.254.0/24

Bâtiment C : 10.3.0.0/16 Informatique : VLAN 31, 10.3.1.0/24 Ressources humaines : VLAN 32 , 10.3.2.0/24 Inutilisé : 10.3.3.0/24 à 10.3.254.0/24


Les VLANs

2011-2012

12 / 43


Identifiants de VLAN

Les identifiants de VLAN (1/2) Description Les VLAN ID sont répartis en 2 plages : Normal-range ID Extended-range ID

Les normal-range ID De 1 à 1005 Utilisés dans les petites et moyennes entreprises Identifiants 1002 à 1005 réservés aux protocoles Token Ring et FDDI VLAN 1, 1002 à 1005 créés par défaut : ils ne peuvent être supprimés Les configurations des VLAN sont stockées dans un fichier vlan.dat stocké en mémoire flash du commutateur


Les VLANs

2011-2012

13 / 43



Les identifiants de VLAN (2/2)

Les extended-range ID De 1006 à 4094 Supportent moins de fonctionnalités VLAN que les normal-range ID Capacité des commutateurs Les commutateurs Catalyst 2950 et 2960 supportent un maximum de 255 VLANs normaux et étendus simultanément L’augmentation du nombre de VLANs dégrade les performances des commutateurs


Les VLANs

2011-2012

14 / 43



Les différents modes

Description À chaque VLAN, un ID est associé Chaque port d’un commutateur est affecté à un VLAN Cette affectation peut être : Statique : Dynamique : Peut être utilisée dans les réseaux Nécessite un VLAN Membership Policy Server (VMPS) L’affectation à un VLAN se fait en fonction de l’adresse MAC d’une machine


Les VLANs

2011-2012

15 / 43

Types de VLAN

Les types de VLAN Description Plusieurs types de VLAN distingués sur un réseau : VLAN de données (Data VLAN) ou VLAN utilisateur Véhiculent uniquement les données utilisateur

VLAN par défaut (Default VLAN) : VLAN par défaut dans lequel se trouve un commutateur à la livraison Généralement correspond au VLAN 1 ,→ Ne peut être supprimé Les protocoles CDP et les spanning trees sont associés à ce VLAN

VLAN de gestion (Management VLAN) : Utilisé pour configurer les commutateurs

VLAN voix (Voice VLAN) VLAN natif (Native VLAN) Associé au port trunk 802.1q Les trames de ce VLAN ne sont pas taguées Exigence IEEE pour la rétro-compatibilité avec les anciens équipements (comme les concentrateurs qui ne taguent pas les trames) Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

16 / 43

Types de VLAN

Le VLAN natif

10.3.3.1 VLAN 2

VLAN 3 802.1q

VLAN 3

10.3.3.2

802.1q VLAN 2

10.2.2.1

VLAN 1

VLAN 1

10.1.1.1

10.2.2.2

10.1.1.2 équipements sans capacité trunk

VLAN natif

Description Les trames du VLAN natif sont envoyées non taguées sur le trunk Les trames non taguées reçues depuis un trunk sont envoyées sur le VLAN natif Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

17 / 43

Types de VLAN

Le VLAN voix (1/2)

Description La VoIP nécessite des impératifs afin de pouvoir assurer une qualité suffisante sur le trafic vocal Garantir une bande passante suffisante Transmettre en priorité ces flux Capable de router ces flux vers des zones congestionnées du réseau Avoir un délai inférieur à 150ms à travers le réseau, de bout en bout

Description Dans le cas d’un voice VLAN, il ne faut pas oublier que tout le réseau doit le supporter : ,→ Gestion de la priorité de ces flux sur les autres


Les VLANs

2011-2012

18 / 43

Types de VLAN

Le VLAN voix (2/2) Fa0/1 Fa0/5 S1

Fa0/3

Fa0/3

Fa0/18

VLAN 20 172.17.20.25

S2

Exemple : VLAN 20 pour les données, VLAN 150 pour la voix Sur S2, port configuré pour prendre en charge le trafic vocal : Envoi de trames CDP pour fournir des informations au téléphone Le port transmet les trames associées au VLAN 150

S1 est configuré pour prendre en charge le trafic vocal : Utilisation du VLAN 150 comme VLAN voix Donne la priorité au trafic vocal Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

19 / 43

Types de VLAN

Un téléphone IP

Description Comme un commutateur 3 ports :

Illustration

Port P1 : configuré pour envoyé le trafic non étiqueté Port P2 : affecte une étiquette VLAN 150 aux trames Port P3 : configuré pour envoyé le trafic non étiqueté

Téléphone P2 P1

P3

S2

Le port de S3 est configuré pour prendre en charge le trafic vocal : Indique au téléphone d’affecter l’étiquette VLAN 150 au trames de vois Donne la priorité aux trames de voix Transmets les trames de données au VLAN 20


Les VLANs

2011-2012

20 / 43

Types de VLAN

Les différents VLAN d’un réseau Exemples de VLANs

Le réseau ••••• Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

21 / 43

Types de VLAN


Le VLAN de données ••••• Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

21 / 43

Types de VLAN


Le VLAN voix ••••• Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

21 / 43

Types de VLAN


Le VLAN de gestion ••••• Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

21 / 43

Types de VLAN


Le VLAN natif ••••• Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

21 / 43


Utilisation des trunk Description Les trunk peuvent être utilisés : Entre 2 commutateurs : ,→ Mode de distribution des réseaux locaux le plus courant Entre un commutateur et un hôte : ,→ Si l’hôte supporte le trunking, il peut analyser le trafic de tous les VLANs Entre un commutateur et un routeur : ,→ Permet d’accéder aux fonctionalités de routage entre des VLANs

2 types de protocoles pour les trunks : IEEE 802.1q ISL (pour Cisco Inter-Switch Link) : Propriétaire et plus supporté Toute la trame est encapsulée dans une trame ISL


Les VLANs

2011-2012

22 / 43


Exemple de liaisons trunk Exemple

liaisons trunk

Diffusion dans un VLAN via les liaisons trunk


Les VLANs

2011-2012

23 / 43


La trame Ethernet 802.3

ts

ts

te

oc

0 50 à 1 ets 46 oct Données

4

te

Adresse source

oc

ts

te

oc

ts

te

oc

ts

te

oc

Adresse destination

2

6

6

8 Préambule

Type

Rappels

FCS

Problème Comment différencier les trames destinées à un VLAN en particulier ?


Les VLANs

2011-2012

24 / 43


Les tags 802.1q (1/2)

Adresse source

Ethertype (0x8100)

Tag

Type

Adresse destination

Pri.

ts te

0 50 à 1 ets 46 oct

Adresse source

oc

ts te

Adresse destination

4

oc

ts te

oc

ts te

oc

Données

2

6

6

Type

Format de la trame

FCS

Données

FCS

VLAN ID

Flag encapsulation Token Ring Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

25 / 43


Les tags 802.1q (2/2) Description Ethertype ou Tag Protocol Identifier (TPID) 12 bits, identifie le protocole de la balise insérée Pour 802.1q : 0x8100

Priorité : 3 bits, pour coder 8 niveaux de priorité sur les VLANs

Canonical Format Identifier ou Token Ring Encapsulation Flag 1 bit pour la compatibilité des adresses MAC Ethernet et Token Ring Un commutateur Ethernet fixe cette valeur à 0 Si une trame arrive avec ce champ à 1 : elle n’est pas propagée

VID (ou VLAN Identifier) 12 bits, pour identifier le VLAN d’appartenance de la trame 4096 valeurs possibles


Les VLANs

2011-2012

26 / 43


Fonctionnement

Description Quand une trame non 802.1q arrive sur un port trunk 802.1q : Le tag est ignoré Le paquet est commuté niveau 2 comme une trame Ethernet standard

Pour accepter les trames 802.1q, il faut que les équipements acceptent des trames de 1522o ou plus : En-tête trame Ethernet : 18o Données max. trame Ethernet : 1500o (MTU) 28 bits de tag 802.1q (sur 4o)


Les VLANs

2011-2012

27 / 43


Principe d’étiquetage VLAN 10

liaisons trunk

trames non étiquettées trames étiquettées


Les VLANs

2011-2012

28 / 43

Configuration

Configuration d’un VLAN

Création d’un VLAN Description Pour associer un port à un VLAN, il faut qu’il deviennent un access port ,→ Un port devient access port soit de manière statique, soit dynamique Un access port est associé à un VLAN unique ,→ Il doit exister sinon le port de transféra pas de trame Association dynamique grâce aux adresses MAC connues sur un VMPS Exemple de création avec association d’un nom Switch# configure terminal Switch(config)# vlan 3 Switch(config-vlan)# name VLAN-etudiant Switch(config-vlan)# exit Switch(config)# end Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

29 / 43

Configuration


Les commandes (1/2) Création, destruction ou désactivation Switch(config)# vlan vlan-id : ,→ Crée le VLAN dont l’ID est vlan-id Switch(config)# no vlan vlan-id : ,→ Détruit le VLAN Switch(config)# shutdown vlan vlan-id : ,→ Suspend le trafic local du VLAN spécifié (le protocole VTP continue à fonctionner) Configuration d’un VLAN Switch(config-vlan)# name vlan-name : ,→ Associe un nom au VLAN


Les VLANs

2011-2012

30 / 43

Configuration


Les commandes (2/2) Configuration d’une interface Switch(config-if)# switchport mode access : ,→ Place le port spécifie en access port Switch(config-if)# switchport access vlan vlan-id : ,→ Associe le port comme un access port vers un unique VLAN Switch(config-if)# no shutdown : ,→ Active une interface ou un port Affichage Switch# show vlan : ,→ Affiche les paramètres de tous les VLAN configurés Switch# show interfaces type slot/port switchport : ,→ Affiche la configuration d’une interface Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

31 / 43

Configuration


Exemple de configuration du VLAN voix Commandes Switch(config)#interface FastEthernet 0/18 Switch(config-if)#mls qos trust cos Switch(config-if)#switchport voice vlan 150 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20

Vérification Switch#show interfaces Fa0/18 switchport Name: Fa0/18 Switchport: Enabled Administrative Mode: static access Operational Mode: down Administrative Trunking Encapsulation: dot1q Negociation of Trunking: Off Access Mode VLAN: 20 (VLAN0020) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: 150 (VLAN0150) Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

32 / 43

Configuration

Configuration du trunk

Les commandes de configuration Commandes (à partir de Switch(config-if)#) switchport mode trunk : définit l’interface comme trunk 802.1q switchport trunk native vlan 99 : configure un VLAN comme étant le VLAN natif Switch# show interfaces F0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: down Administrative Trunking Encapsulation: dot1q Negociation of Trunking: On Access Mode VLAN: 50 Trunking Native Mode VLAN: 99 (VLAN0099) Administrative Native VLAN tagging: enabled ... Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q ... Trunking VLANs Enabled: ALL Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

33 / 43

Configuration


Configuration du trunking Description Configuration statique ,→ Conseillé de le faire en statique lorsque c’est possible Configuration dynamique via DTP : Protocole utilisé par les commutateurs Cisco Catalyst Négociation automatique des liens trunk 5 modes de fonctionnement : Dynamic auto : basé sur les requêtes de négociation des commutateurs voisins Dynamic desirable : envoie l’information que le port veut être en mode trunk ; passe trunk si l’interface du voisin veut aussi passer en trunk Trunk : devient trunk sans regarder l’état du commutateur voisin, ni les requêtes DTP Access : trunk non autorisé Nonegotiate : empêche l’interface de générer des trames DTP


Les VLANs

2011-2012

34 / 43

Configuration


Exemple de configuration trunking Exemple

trunk

liaison trunk

dynamic auto

liaison non trunk

Explication Lorsqu’une connexion est configurée en dynamic auto, elle passe trunk : ,→ Si l’autre port est déclaré trunk ,→ Si l’autre port est déclaré dynamic desirable Cyril Rabat (Licence 3 MI / Info0606)

Les VLANs

2011-2012

35 / 43

Configuration


Les configurations DTP possibles Modes Dynamic auto Dynamic desirable Trunk Access

Dynamic Dynamic auto desirable

Trunk

Access

Access

Trunk

Trunk

Access

Trunk

Trunk

Trunk

Access

Trunk Access

Trunk Access

Trunk Pas recommandé

Pas recommandé Access

Commandes Switch(config-if)# switchport nonegotiate Switch(config-if)# switchport mode (access | dynamic (auto | desirable) | trunk) Switch# show interfaces switchport : affiche les informations sur l’interface


Les VLANs

2011-2012

36 / 43

Configuration


Visualisation d’informations d’un port Visualisation de l’état show interfaces FastEthernet 0/5 switchport Visualisation du mode DTP ASW11# show dtp interface fa0/1 DTP information for FastEthernet0/1: TOS/TAS/TNS: TRUNK/DESIREABLE/TRUNK TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q Neighbor address 1: 001646FA9B01 Neighbor address 2: 000000000000 Hello timer expiration (sec/state): 17/RUNNING Access timer expiration (sec/state): 287/RUNNING


Les VLANs

2011-2012

37 / 43

Configuration



Configuration S1(config)# interface FastEthernet 5/8 S1(config-if)# shutdown S1(config-if)# switchport trunk encapsulation dot1q S1(config-if)# switchport trunk allowed vlan 1,5,11,1002-1005 S1(config-if)# switchport mode trunk S1(config-if)# switchport trunk native vlan 99 S1(config-if)# switchport nonegotiate S1(config-if)# no shutdown


Les VLANs

2011-2012

38 / 43

Configuration

Exemple de connectivité IP

Configuration IP d’un commutateur

Description Possibilité de spécifier une adresse IP à un commutateur : ,→ Permet de le configurer à distance Cette configuration à distance doit être restreinte au maximum : ,→ Utilisation d’un VLAN de gestion L’adresse IP du commutateur est associée à un VLAN : par défaut le 1 ,→ En pratique : éviter ce VLAN (VLAN natif)


Les VLANs

2011-2012

39 / 43

Configuration


Exemple Port console

172.17.99.11

172.17.99.12 Port Fa0/18

Description Connexion au port console pour accéder à l’interface de gestion Création du VLAN 99 (par exemple) Association d’une adresse IP au VLAN (+ masque !) Associer le port (ici Fa0/18) au VLAN 99 Ne pas oublier de sauvegarder la configuration !


Les VLANs

2011-2012

40 / 43

Configuration


Configuration du VLAN et attribution d’une adresse IP Commandes Switch>enable Switch#configure terminal Switch(config)#interface vlan 99 Switch(config-if)#ip address 172.17.99.11 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#end Switch#configure terminal Switch(config)#interface FastEthernet 0/18 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 99 Switch(config-if)#end Switch#copy running-config startup-config


Les VLANs

2011-2012

41 / 43

Configuration


Passerelle par défaut

Description Pour que le commutateur puisse être accessible à l’extérieur du réseau : ,→ Spécification d’une passerelle par défaut Commandes Switch>enable Switch#configure terminal Switch(config)#ip default-gateway 172.17.99.1 Switch(config)#end Switch#copy running-config startup-config


Les VLANs

2011-2012

42 / 43

Configuration


Vérification des réglages Vérification : Switch#show running-config ... interface FastEthernet0/18 switchport access vlan 99 switchport mode access ... interface Vlan99 ip address 172.17.99.11 255.255.255.0 ! ip default-gateway 172.17.99.12 ...

Vérification : Switch#show ip interface brief Interface ... FastEthernet0/18 ... Vlan1

IP-Address

OK? Method Status

Protocol

unassigned

YES manual up

up

unassigned

YES manual administratively down down

Vlan99

172.17.99.11

YES manual up


Les VLANs

up 2011-2012

43 / 43

Les réseaux locaux virtuels

Recommend Documents