les réseaux locaux virtuels
DESCRIPTION
Architecture du réseaux, introduction au VLAN, STP,TRANSCRIPT
Les réseaux locaux virtuels
Cyril [email protected]
Licence 3 MI - Info0606 - Introduction aux réseaux informatiques
2011-2012
Cours n°2
Version 3 février 2012
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 1 / 43
Table des matières
1 Introduction aux VLANsIntroductionIdentifiants de VLAN
2 Types de VLAN
3 Utilisation des trunk
4 ConfigurationConfiguration d’un VLANConfiguration du trunkExemple de connectivité IP
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 2 / 43
Introduction aux VLANs Introduction
Architecture du réseaux
ProblématiqueSoit un réseau global : comment séparer les rôles de chacun ?
SolutionHabituellement, utilisation de sous-réseaux différents
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 3 / 43
Introduction aux VLANs Introduction
Problème
DescriptionComment attribuer le même rôle à des utilisateurs répartis sur desbâtiments différents ?↪→ Obligation de faire de multiples sous-réseaux !
Bâtiment 1 Bâtiment 2
Bâtiment 3
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 4 / 43
Introduction aux VLANs Introduction
Autres problèmes
DescriptionLes sous-réseaux ne permettent pas de résoudre les problèmessuivants :
Limitation de la propagation des trames de broadcastSécurisation des données utilisateurLimitation du unknown MAC unicast trafic :↪→ Trafic induit lorsqu’un commutateur ne connaît pas l’adresse dedestinationProblème de bande passante réduite en cas de trafic trop importantDifficulté de l’administration
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 5 / 43
Introduction aux VLANs Introduction
Une solution : les réseaux locaux virtuels (VLAN)
DescriptionAvec les fonctions de la couche 3 avec la vitesse de la couche 2Faciliter la gestion de la mobilité des postesSuppression de la possibilité de communication entre certaines partiesdu réseau↪→ Sécurité des domainesFaciliter l’attribution d’autorisation différentes en fonction des droitset rôles de chaque groupe de personnes
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 6 / 43
Introduction aux VLANs Introduction
Les VLANs
DescriptionStandard qui fournit un mécanisme très répanduImplanté dans de nombreux équipements de marques différentesL’en-tête de la trame est complétée par une balise de 4 octets
VLAN3VLAN2VLAN1
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 7 / 43
Introduction aux VLANs Introduction
Exemple de VLAN
ConfigurationSur les PCs : transparent↪→ Attribution d’une adresse IP dans le sous-réseau correspondant auVLANSur le commutateur :
Configuration du VLAN (création)Assignation des ports au VLAN
F0/6
F0/11F0/18 Tous les ports dans VLAN30
VLAN 30 − 172.17.30.0/24
pour le VLAN30sous−réseau définiadresse dans lepossède uneChaque PC
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 8 / 43
Introduction aux VLANs Introduction
Définitions
Un VLANUn réseau local (LAN) :
Est défini par un domaine de diffusionLimité par les équipements de niveau 3 (couche réseau)
Un réseau local virtuel (VLAN) est un LAN distribué sur des équipementsfonctionnant au niveau 2 (couche liaison de données)À priori, inutile de faire appel à un équipement de niveau 3 pour délimiter leLAN
Liaisons trunkLes VLAN peuvent être distribués sur plusieurs équipements à l’aide deliaisons appelées trunkUne liaison trunk est une connexion dans laquelle transite le trafic deplusieurs VLAN :
En général, utilisation du protocole IEEE802.1q↪→ Également appelé le dot1q
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 9 / 43
Introduction aux VLANs Introduction
Exemple
Exemple de VLANs
VLAN 30
VLAN 20
VLAN 10
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 10 / 43
Introduction aux VLANs Introduction
Exemple d’utilisation (1/2)
Description des départementsInformatique : 45 utilisateurs, bâtiment ARessources humaines : 10 utilisateurs, bâtiment AVentes : 102 utilisateurs, bâtiment BMarketing : 29 utilisateurs, bâtiment BFinance : 18 utilisateurs, bâtiment CComptabilité : 26 utilisateurs, bâtiment C
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 11 / 43
Introduction aux VLANs Introduction
Exemple d’utilisation (2 /2)
Création des VLANsBâtiment A : 10.1.0.0/16
Informatique : VLAN 11, 10.1.1.0/24Ressources humaines : VLAN 12 , 10.1.2.0/24Inutilisé : 10.1.3.0/24 à 10.1.254.0/24
Bâtiment B : 10.2.0.0/16Ventes : VLAN 21, 10.2.1.0/24Marketing : VLAN 22 , 10.2.2.0/24Inutilisé : 10.2.3.0/24 à 10.2.254.0/24
Bâtiment C : 10.3.0.0/16Informatique : VLAN 31, 10.3.1.0/24Ressources humaines : VLAN 32 , 10.3.2.0/24Inutilisé : 10.3.3.0/24 à 10.3.254.0/24
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 12 / 43
Introduction aux VLANs Identifiants de VLAN
Les identifiants de VLAN (1/2)
DescriptionLes VLAN ID sont répartis en 2 plages :
Normal-range IDExtended-range ID
Les normal-range IDDe 1 à 1005Utilisés dans les petites et moyennes entreprisesIdentifiants 1002 à 1005 réservés aux protocoles Token Ring et FDDIVLAN 1, 1002 à 1005 créés par défaut : ils ne peuvent être supprimésLes configurations des VLAN sont stockées dans un fichier vlan.datstocké en mémoire flash du commutateur
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 13 / 43
Introduction aux VLANs Identifiants de VLAN
Les identifiants de VLAN (2/2)
Les extended-range IDDe 1006 à 4094Supportent moins de fonctionnalités VLAN que les normal-range ID
Capacité des commutateursLes commutateurs Catalyst 2950 et 2960 supportent un maximum de255 VLANs normaux et étendus simultanémentL’augmentation du nombre de VLANs dégrade les performances descommutateurs
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 14 / 43
Introduction aux VLANs Identifiants de VLAN
Les différents modes
Description
À chaque VLAN, un ID est associéChaque port d’un commutateur est affecté à un VLANCette affectation peut être :
Statique :Dynamique :
Peut être utilisée dans les réseauxNécessite un VLAN Membership Policy Server (VMPS)L’affectation à un VLAN se fait en fonction de l’adresse MAC d’unemachine
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 15 / 43
Types de VLAN
Les types de VLAN
DescriptionPlusieurs types de VLAN distingués sur un réseau :
VLAN de données (Data VLAN) ou VLAN utilisateurVéhiculent uniquement les données utilisateur
VLAN par défaut (Default VLAN) :VLAN par défaut dans lequel se trouve un commutateur à la livraisonGénéralement correspond au VLAN 1 ↪→ Ne peut être suppriméLes protocoles CDP et les spanning trees sont associés à ce VLAN
VLAN de gestion (Management VLAN) :Utilisé pour configurer les commutateurs
VLAN voix (Voice VLAN)VLAN natif (Native VLAN)
Associé au port trunk 802.1qLes trames de ce VLAN ne sont pas taguéesExigence IEEE pour la rétro-compatibilité avec les anciens équipements(comme les concentrateurs qui ne taguent pas les trames)
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 16 / 43
Types de VLAN
Le VLAN natif
VLAN 2
10.3.3.2
VLAN 1
802.1q
VLAN 3
VLAN natif
VLAN 1
capacité trunkéquipements sans
VLAN 3
802.1qVLAN 2
10.1.1.1
10.2.2.1
10.3.3.1
10.2.2.2
10.1.1.2
DescriptionLes trames du VLAN natif sont envoyées non taguées sur le trunk
Les trames non taguées reçues depuis un trunk sont envoyées sur le VLAN natif
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 17 / 43
Types de VLAN
Le VLAN voix (1/2)
DescriptionLa VoIP nécessite des impératifs afin de pouvoir assurer une qualitésuffisante sur le trafic vocal
Garantir une bande passante suffisanteTransmettre en priorité ces fluxCapable de router ces flux vers des zones congestionnées du réseauAvoir un délai inférieur à 150ms à travers le réseau, de bout en bout
DescriptionDans le cas d’un voice VLAN, il ne faut pas oublier que tout le réseaudoit le supporter :↪→ Gestion de la priorité de ces flux sur les autres
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 18 / 43
Types de VLAN
Le VLAN voix (2/2)
S2
S1
Fa0/3
Fa0/3
Fa0/5
Fa0/1
Fa0/18
172.17.20.25
VLAN 20
Exemple : VLAN 20 pour les données, VLAN 150 pour la voixSur S2, port configuré pour prendre en charge le trafic vocal :
Envoi de trames CDP pour fournir des informations au téléphoneLe port transmet les trames associées au VLAN 150
S1 est configuré pour prendre en charge le trafic vocal :Utilisation du VLAN 150 comme VLAN voixDonne la priorité au trafic vocal
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 19 / 43
Types de VLAN
Un téléphone IP
Illustration
P1
P2
P3
S2
Téléphone
DescriptionComme un commutateur 3 ports :
Port P1 : configuré pour envoyé le traficnon étiquetéPort P2 : affecte une étiquette VLAN150 aux tramesPort P3 : configuré pour envoyé le traficnon étiqueté
Le port de S3 est configuré pourprendre en charge le trafic vocal :
Indique au téléphone d’affecterl’étiquette VLAN 150 au trames de voisDonne la priorité aux trames de voixTransmets les trames de données auVLAN 20
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 20 / 43
Types de VLAN
Les différents VLAN d’un réseau
Exemples de VLANs
Le réseau•••••
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 21 / 43
Types de VLAN
Les différents VLAN d’un réseau
Exemples de VLANs
Le VLAN de données•••••
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 21 / 43
Types de VLAN
Les différents VLAN d’un réseau
Exemples de VLANs
Le VLAN voix•••••
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 21 / 43
Types de VLAN
Les différents VLAN d’un réseau
Exemples de VLANs
Le VLAN de gestion•••••
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 21 / 43
Types de VLAN
Les différents VLAN d’un réseau
Exemples de VLANs
Le VLAN natif•••••
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 21 / 43
Utilisation des trunk
Utilisation des trunk
DescriptionLes trunk peuvent être utilisés :
Entre 2 commutateurs :↪→ Mode de distribution des réseaux locaux le plus courantEntre un commutateur et un hôte :↪→ Si l’hôte supporte le trunking, il peut analyser le trafic de tous lesVLANsEntre un commutateur et un routeur :↪→ Permet d’accéder aux fonctionalités de routage entre des VLANs
2 types de protocoles pour les trunks :IEEE 802.1qISL (pour Cisco Inter-Switch Link) :
Propriétaire et plus supportéToute la trame est encapsulée dans une trame ISL
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 22 / 43
Utilisation des trunk
Exemple de liaisons trunk
Exemple
liaisons trunk
Diffusion dans un VLAN via les liaisons trunk
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 23 / 43
Utilisation des trunk
La trame Ethernet 802.3
Rappels
Ty
pe
8 octets
6 octets
6 octets
2 octets
4 octets
Données FCS
46 à 1500
octets
Adressesource
AdressedestinationPréambule
ProblèmeComment différencier les trames destinées à un VLAN en particulier ?
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 24 / 43
Utilisation des trunk
Les tags 802.1q (1/2)
Format de la trame
Flag encapsulation Token Ring
Adressedestination T
yp
e
Données FCS
Ethertype (0x8100)
Tag
6 octets
6 octets
2 octets
4 octets
46 à 1500
octets
Adressesource
Adressedestination T
yp
e
Données FCS
Pri. VLAN ID
Adressesource
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 25 / 43
Utilisation des trunk
Les tags 802.1q (2/2)
Description
Ethertype ou Tag Protocol Identifier (TPID)12 bits, identifie le protocole de la balise inséréePour 802.1q : 0x8100
Priorité :3 bits, pour coder 8 niveaux de priorité sur les VLANs
Canonical Format Identifier ou Token Ring Encapsulation Flag1 bit pour la compatibilité des adresses MAC Ethernet et Token RingUn commutateur Ethernet fixe cette valeur à 0Si une trame arrive avec ce champ à 1 : elle n’est pas propagée
VID (ou VLAN Identifier)12 bits, pour identifier le VLAN d’appartenance de la trame4096 valeurs possibles
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 26 / 43
Utilisation des trunk
Fonctionnement
DescriptionQuand une trame non 802.1q arrive sur un port trunk 802.1q :
Le tag est ignoréLe paquet est commuté niveau 2 comme une trame Ethernet standard
Pour accepter les trames 802.1q, il faut que les équipements acceptentdes trames de 1522o ou plus :
En-tête trame Ethernet : 18oDonnées max. trame Ethernet : 1500o (MTU)28 bits de tag 802.1q (sur 4o)
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 27 / 43
Utilisation des trunk
Principe d’étiquetage
trames étiquettées
liaisons trunk
trames non étiquettées
VLAN 10
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 28 / 43
Configuration Configuration d’un VLAN
Création d’un VLAN
DescriptionPour associer un port à un VLAN, il faut qu’il deviennent un accessport↪→ Un port devient access port soit de manière statique, soitdynamiqueUn access port est associé à un VLAN unique↪→ Il doit exister sinon le port de transféra pas de trameAssociation dynamique grâce aux adresses MAC connues sur un VMPS
Exemple de création avec association d’un nomSwitch# configure terminalSwitch(config)# vlan 3Switch(config-vlan)# name VLAN-etudiantSwitch(config-vlan)# exitSwitch(config)# end
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 29 / 43
Configuration Configuration d’un VLAN
Les commandes (1/2)
Création, destruction ou désactivationSwitch(config)# vlan vlan-id :↪→ Crée le VLAN dont l’ID est vlan-idSwitch(config)# no vlan vlan-id :↪→ Détruit le VLANSwitch(config)# shutdown vlan vlan-id :↪→ Suspend le trafic local du VLAN spécifié (le protocole VTPcontinue à fonctionner)
Configuration d’un VLANSwitch(config-vlan)# name vlan-name :↪→ Associe un nom au VLAN
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 30 / 43
Configuration Configuration d’un VLAN
Les commandes (2/2)
Configuration d’une interfaceSwitch(config-if)# switchport mode access :↪→ Place le port spécifie en access portSwitch(config-if)# switchport access vlan vlan-id :↪→ Associe le port comme un access port vers un unique VLANSwitch(config-if)# no shutdown :↪→ Active une interface ou un port
AffichageSwitch# show vlan :↪→ Affiche les paramètres de tous les VLAN configurésSwitch# show interfaces type slot/port switchport :↪→ Affiche la configuration d’une interface
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 31 / 43
Configuration Configuration d’un VLAN
Exemple de configuration du VLAN voix
CommandesSwitch(config)#interface FastEthernet 0/18Switch(config-if)#mls qos trust cosSwitch(config-if)#switchport voice vlan 150Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 20
VérificationSwitch#show interfaces Fa0/18 switchportName: Fa0/18Switchport: EnabledAdministrative Mode: static accessOperational Mode: downAdministrative Trunking Encapsulation: dot1qNegociation of Trunking: OffAccess Mode VLAN: 20 (VLAN0020)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabledVoice VLAN: 150 (VLAN0150)
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 32 / 43
Configuration Configuration du trunk
Les commandes de configuration
Commandes (à partir de Switch(config-if)#)switchport mode trunk : définit l’interface comme trunk 802.1q
switchport trunk native vlan 99 : configure un VLAN comme étant le VLANnatif
Switch# show interfaces F0/1 switchportName: Fa0/1Switchport: EnabledAdministrative Mode: dynamic autoOperational Mode: downAdministrative Trunking Encapsulation: dot1qNegociation of Trunking: OnAccess Mode VLAN: 50Trunking Native Mode VLAN: 99 (VLAN0099)Administrative Native VLAN tagging: enabled...Administrative private-vlan trunk Native VLAN tagging: enabledAdministrative private-vlan trunk encapsulation: dot1q...Trunking VLANs Enabled: ALL
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 33 / 43
Configuration Configuration du trunk
Configuration du trunking
DescriptionConfiguration statique↪→ Conseillé de le faire en statique lorsque c’est possibleConfiguration dynamique via DTP :
Protocole utilisé par les commutateurs Cisco CatalystNégociation automatique des liens trunk5 modes de fonctionnement :
Dynamic auto : basé sur les requêtes de négociation des commutateursvoisinsDynamic desirable : envoie l’information que le port veut être en modetrunk ; passe trunk si l’interface du voisin veut aussi passer en trunkTrunk : devient trunk sans regarder l’état du commutateur voisin, niles requêtes DTPAccess : trunk non autoriséNonegotiate : empêche l’interface de générer des trames DTP
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 34 / 43
Configuration Configuration du trunk
Exemple de configuration trunking
Exemple
liaison non trunkliaison trunk
dynamic autotrunk
ExplicationLorsqu’une connexion est configurée en dynamic auto, elle passetrunk :↪→ Si l’autre port est déclaré trunk↪→ Si l’autre port est déclaré dynamic desirable
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 35 / 43
Configuration Configuration du trunk
Les configurations DTP possibles
Modes Dynamicauto
Dynamicdesirable
Trunk Access
Dynamicauto
Access Trunk Trunk Access
Dynamicdesirable
Trunk Trunk Trunk Access
Trunk Trunk Trunk Trunk Pas recommandéAccess Access Access Pas recommandé Access
Commandes
Switch(config-if)# switchport nonegotiate
Switch(config-if)# switchport mode (access | dynamic (auto |desirable) | trunk)
Switch# show interfaces switchport : affiche les informations sur l’interface
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 36 / 43
Configuration Configuration du trunk
Visualisation d’informations d’un port
Visualisation de l’étatshow interfaces FastEthernet 0/5 switchport
Visualisation du mode DTPASW11# show dtp interface fa0/1DTP information for FastEthernet0/1:TOS/TAS/TNS: TRUNK/DESIREABLE/TRUNKTOT/TAT/TNT: 802.1Q/802.1Q/802.1QNeighbor address 1: 001646FA9B01Neighbor address 2: 000000000000Hello timer expiration (sec/state): 17/RUNNINGAccess timer expiration (sec/state): 287/RUNNING
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 37 / 43
Configuration Configuration du trunk
Configuration du trunk
ConfigurationS1(config)# interface FastEthernet 5/8S1(config-if)# shutdownS1(config-if)# switchport trunk encapsulation dot1qS1(config-if)# switchport trunk allowed vlan 1,5,11,1002-1005S1(config-if)# switchport mode trunkS1(config-if)# switchport trunk native vlan 99S1(config-if)# switchport nonegotiateS1(config-if)# no shutdown
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 38 / 43
Configuration Exemple de connectivité IP
Configuration IP d’un commutateur
DescriptionPossibilité de spécifier une adresse IP à un commutateur :↪→ Permet de le configurer à distanceCette configuration à distance doit être restreinte au maximum :↪→ Utilisation d’un VLAN de gestionL’adresse IP du commutateur est associée à un VLAN : par défaut le 1↪→ En pratique : éviter ce VLAN (VLAN natif)
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 39 / 43
Configuration Exemple de connectivité IP
Exemple
Port Fa0/18
172.17.99.11
Port console
172.17.99.12
DescriptionConnexion au port console pour accéder à l’interface de gestionCréation du VLAN 99 (par exemple)Association d’une adresse IP au VLAN (+ masque !)Associer le port (ici Fa0/18) au VLAN 99Ne pas oublier de sauvegarder la configuration !
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 40 / 43
Configuration Exemple de connectivité IP
Configuration du VLAN et attribution d’une adresse IP
CommandesSwitch>enableSwitch#configure terminalSwitch(config)#interface vlan 99Switch(config-if)#ip address 172.17.99.11 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#endSwitch#configure terminalSwitch(config)#interface FastEthernet 0/18Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 99Switch(config-if)#endSwitch#copy running-config startup-config
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 41 / 43
Configuration Exemple de connectivité IP
Passerelle par défaut
DescriptionPour que le commutateur puisse être accessible à l’extérieur du réseau :↪→ Spécification d’une passerelle par défaut
CommandesSwitch>enableSwitch#configure terminalSwitch(config)#ip default-gateway 172.17.99.1Switch(config)#endSwitch#copy running-config startup-config
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 42 / 43
Configuration Exemple de connectivité IP
Vérification des réglages
Vérification : Switch#show running-config...interface FastEthernet0/18switchport access vlan 99switchport mode access
...interface Vlan99ip address 172.17.99.11 255.255.255.0
!ip default-gateway 172.17.99.12...
Vérification : Switch#show ip interface briefInterface IP-Address OK? Method Status Protocol...FastEthernet0/18 unassigned YES manual up up...Vlan1 unassigned YES manual administratively down down
Vlan99 172.17.99.11 YES manual up up
Cyril Rabat (Licence 3 MI / Info0606) Les VLANs 2011-2012 43 / 43