© F. Nolot 2008 1 Les Virtual LAN
© F
. N
olo
t 2
00
8
1
Les Virtual LAN
© F
. N
olo
t 2
00
8
2
Les Virtual LAN
Introduction
© F
. N
olo
t 2
00
8
3
Architecture d'un réseau
Pour séparer, sur un réseau global, les rôles de chacun
Solution classique : utilisation de sous-réseaux différents
© F
. N
olo
t 2
00
8
4
Problème !
Et si nous devons attribuer les mêmes rôles à des utilisateurs, mais répartie sur des bâtiments différents ?
Obligation de faire de multiples sous-réseaux !
© F
. N
olo
t 2
00
8
5
Autres problèmes
Les sous-réseaux multiples ne résolvent pas les problèmes suivants :
Limiter la propagation de problème de niveau 2 ou 3 sur le réseau
Limiter les domaines de broadcast
Limiter « unknown MAC unicast trafic»
Quand un switch ne connait pas l'adresse MAC d'une destination
Contenir les trames de multicast qui sont propagées sur tous les ports du switch
Difficulté d'administration d'un réseau mal organisé
Limiter les éventuels problèmes de sécurité
© F
. N
olo
t 2
00
8
6
Une solution : Les Réseaux Locaux Virtuels (VLAN)
Objectifs des VLAN
Avoir des fonctions de la couche 3 avec la vitesse de la couche 2
Faciliter la gestion de la mobilité des postes
Supprimer la possibilité de communication entre certaines parties du réseau, sécurisé des domaines
Pouvoir facilement attribuer des autorisations différentes, en fonction des droits et rôles de chaque groupe de personnes
© F
. N
olo
t 2
00
8
7
Définitions
Un réseau local (LAN)
est défini par un domaine de diffusion
Limité par des équipements fonctionnant au niveau 3 du modèle OSI : la couche réseau
Un réseau local virtuel (VLAN) est un LAN distribué sur des équipements fonctionnant au niveau 2 du modèle OSI : la couche liaison (Ethernet)
A priori, nous n'avons plus besoin d'avoir recours à un équipement de niveau 3 pour délimiter le LAN
Les VLAN sont distribués sur différents équipements via des liaisons dédiées entre-eux appelées trunk
Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs réseaux virtuels
© F
. N
olo
t 2
00
8
8
Exemple d'architectures non réfléchies !
© F
. N
olo
t 2
00
8
9
Regroupement fonctionnel en sous-réseaux
© F
. N
olo
t 2
00
8
10
Avantages du regroupement
Facilité d'administration
Minimise les risques de duplication d'IP
Réduit les tables de routage
© F
. N
olo
t 2
00
8
11
Préconisation
Permettre d'attribuer des blocs de 4, 8, 16, 32 ou 64 réseaux contiguë dans building distribution et access switch block donnés
Permet ainsi de faciliter la summarization dans une adresse plus large
Avoir une continuité des IP au sein d'un Building Distribution Layer et Building Access layer
Avoir un sous-réseau par VLAN
Éviter les masques variables pour éviter les éventuelles erreurs d'administration
© F
. N
olo
t 2
00
8
12
Exemple
© F
. N
olo
t 2
00
8
13
Exemple
© F
. N
olo
t 2
00
8
14
Exemple
© F
. N
olo
t 2
00
8
15
Interconnection technologie
© F
. N
olo
t 2
00
8
16
Déterminer les équipements et liens
Building Access layer to Distribution Layer
Un rapport de 20:1 : les liens peuvent être dimensionnés à 1/20 du total de la bande passante
Distribution to core layer
Un rapport inférieur à 4:1 (autre dit, 1/4 du total de la bande passante nécessaire)
Entre équipement du core layer
Essayer d'avoir des liens d'une capacité suffisante pour tout le trafic
Ces conseils ne doivent pas être appliqués sur les server farms, ou bien sur le edge distribution modules ou si des applications spécifiques ont besoin d'un débit important
Ces estimations ont été faites dans le cadre de communication depuis des end-user en access layer
© F
. N
olo
t 2
00
8
17
Prendre en compte la source de trafic
Plusieurs types de trafic
Management : BPDU, CDP, SNMP, RMON
Téléphonie IP
Multicast : musique d'attente de ToIP, streaming video, routage dynamique
Données normales : http, smtp, sql, ...
Scavenger class : trafic qui génère un flux important
© F
. N
olo
t 2
00
8
18
End-to-end VLAN
Un VLAN est affecté à un port d'un switch
© F
. N
olo
t 2
00
8
19
Caractéristiques du End-to-End VLAN
VLAN géographiquement réparti sur le réseau
Les utilisateurs sont regroupés dans des VLAN, quelque soit leur emplacement
Même si un utilisateur se déplace, il sera toujours dans le même VLAN
Un utilisateur est associé à un VLAN
Chaque VLAN possède son propre sous-réseau
© F
. N
olo
t 2
00
8
20
Motivation du End-to-End VLAN
Sécurité : limiter les accès
Regrouper les utilisateurs avec le même rôle, quelque soit leur emplacement géographique
Appliqué de la QoS sur certains trafics et donc certains VLANs
Mais
Chaque équipement doit avoir la même VLAN database
Comme le trafic d'un VLAN donnée passe par tous les équipements, même ceux qui n'ont aucun port sur ce VLAN, difficulté à « troubleshooter » en cas de problème
© F
. N
olo
t 2
00
8
21
Règle du 80/20 ?
Avant :
80% du trafic doit être local au réseaux et 20% seulement pour les ressource extérieure, passant par le core layer
Avec les VLAN et les applications client-serveur, ce n'est plus vérifié
Les servers farms sont interconnectés au core layer et géographiquement centralisés
De plus en plus de consolidation de serveurs et d'accès à Internet
Maintenant :
La règle du 20/80 est appliqué
20% de trafic est local et 80% extérieur
© F
. N
olo
t 2
00
8
22
Les VLAN locaux
Ils sont localisés dans une seule armoire de répartition
© F
. N
olo
t 2
00
8
23
Avantages des VLAN locaux
Le flux réseau est prévisible car localisé dans les couches access, distribution ou core layer
Possibilité d'avoir une redondance de chemin avec les algo PVST ou MSTP
Haute disponibilité
Finite failure domain
Scalable design
© F
. N
olo
t 2
00
8
24
Les VLAN
Configuration
© F
. N
olo
t 2
00
8
25
Les VLAN IDs
Les identifiants des VLAN font parti de 2 plages
Les normal-range ID
Les extended-range ID
Les normal-range ID
De 1 à 1005
Utilisé dans les réseaux des petites et moyennes entreprises
Les identifiants 1002 à 1005 sont réservés aux protocoles Token Ring et FDDI
Les VLAN 1, 1002 et 1005 sont créés par défaut, ils ne peuvent être supprimés
Les configurations des VLAN sont stockées dans un fichier, appelé vlan.dat en mémoire flash du switch
© F
. N
olo
t 2
00
8
26
Les VLAN IDs
Les extended VLANs
Plage comprise entre 1006 et 4094
Supporte moins de fonctionnalité que le normal range VLAN
Les switch Catalyst 2950 et 2960 supportent un maximum de 255 VLAN normal et étendu, simultané
Par contre, l'augmentation du nombre de VLAN sur un switch dégrade les performances de celui-ci
© F
. N
olo
t 2
00
8
27
Les différents modes
A un VLAN est associé un ID
Chaque port d'un switch appartient à un VLAN
Cette affectation peut être
Statique
Cf 3.1.3.1 CCNA 4.0 LAN Switching
Dynamique
Peut utilisé dans les réseaux
Nécessite un VLAN Membership Policy Server (VMPS)
L'affectation à un VLAN se fait en fonction de l'adresse MAC d'une machine
Dans le cas d'un Voice VLAN, il ne faut pas oublier que tout le réseau doit le supporter
Gestion de la priorité de ces flux sur les autres
© F
. N
olo
t 2
00
8
28
Création d'un VLAN
A chaque changement ou création de VLAN, le numéro de révision de VTP (si mis en place) augmente
Pour associer un port à un VLAN, il faut qu'il devienne un access port
Un port devient access port soit de façon statique, soit de façon dynamique
Un access port est
Associé à un VLAN unique, qui existe sinon le port ne forwardera pas de trame
Association dynamique grâce aux adresses MAC connu sur un VLAN Membership Policy Server (VMPS)
© F
. N
olo
t 2
00
8
29
Les commandes
© F
. N
olo
t 2
00
8
30
Utilisation des trunks
Les trunk peuvent être utilisés
Entre 2 commutateurs
C'est le mode de distribution des réseaux locaux le plus courant
Entre un commutateur et un hôte
Si un hôte supporte le trunking, il a la possibilité d'analyser le trafic de tous les réseaux locaux virtuels
Entre un commutateur et un routeur
Permet d'accéder aux fonctionnalités de routage entre des VLAN
2 types de protocoles pour les trunk
Cisco Inter-Switch Link (ISL)
IEEE 802.1q
© F
. N
olo
t 2
00
8
31
VLAN type Cisco Inter-Switch Link (ISL VLAN)
Technique développée pour les équipements Cisco.
La trame originale est complètement encapsulée dans des trames ISL
Ajout d'une en-tête de 26 octets et d'une en-queue (CRC) de 4 octets
Support de multiples protocoles de niveau 2 (Ethernet, Token Ring, ATM, FDDI)
Support de PVST (Spanning Tree)
N'utilise pas de VLAN Natif
Solution surtout utilisée dans le Voice over IP des équipements Cisco
Technique non compatible avec les standards IEEE 802.1Q
© F
. N
olo
t 2
00
8
32
Format de la trame ISL
DA : destination address (40 bit) adresse multicast 0x01-00-0C-00-00 ou 0x03-00-0c-00-00 qui indique que c'est une trame ISL
Type : Ethernet (0000), Token Ring (0001), FDDI (0010) ou ATM (0011)
User : (4 bits) extension du champ Type ou bien priorité Ethernet 0, la plus basse et 3 la plus haute. Pour Ethernet le bit 0 et 1 sont utilisé pour la priorité
© F
. N
olo
t 2
00
8
33
Format de la trame ISL
SA : (48 bits) source MAC adresse
LEN : (16 bits) longueur sans DA, Type, User, SA, LEN et CRC
AAAA03 : Standard Subnetwork Access Protocol (SNAP) et 802.2 logical link control (LLC) header
HSA (high bits of source address): 3 premiers octets du SA
VID : (15 bits) seulement les 10 derniers bit sont utilisés (donc 1024 VLANs)
© F
. N
olo
t 2
00
8
34
Format de la trame ISL
BPDU : (1 bit) indique si c'est une trame BPDU de spanning tree mais aussi si la trame encapsulée est du CDP, du VTP
INDX : (16 bits) utilisé pour faire du diagnostic, indique l'index du port source du packet s'il existe sur le switch
RES : (16 bits) réservé pour Token Ring et FDDI
© F
. N
olo
t 2
00
8
35
VLAN IEEE 802.1Q
Standard qui fournit un mécanisme très répandu, implanté dans de nombreux équipements de marques différentes
L'en-tête de la trame est complétée par une balise de 4 octets
VLAN1VLAN2 VLAN3
© F
. N
olo
t 2
00
8
36
Fonctionnalités
Support d'Ethernet et Token Ring
Jusque 4096 VLANs
Les protocoles de Spanning Tree CST, MSTP et RSTP sont supportés
Point-to-Multipoint topologie
Support des trames non tagé, via le VLAN natif
Support de la QoS
Supporte la ToIP
© F
. N
olo
t 2
00
8
37
La trame Ethernet 802.3
Le champ Type est remplacé par le champ longueur
Pour éviter des problèmes de compatibilité, IEEE a décidé de considérer ce champ comme indiquant une longueur si la valeur est <= 1500 sinon c'est le type de données transportées
Préambule Adr. de dest.
Adr. source Longueur Données FCS
8 6 6 2 0-1500 4
© F
. N
olo
t 2
00
8
38
Les tags 802.1q
© F
. N
olo
t 2
00
8
39
La trame IEEE 802.1Q
EtherType ou Tag Protocol IDentifier (TPID)12 bits utilisés pour identifier le protocole de la balise insérée. Pour une balise 802.1q, la valeur est fixée à 0x8100
Priority
3 bits pour coder 8 niveaux de priorité. Aucun rapport avec les priorités sur IP. Uniquement pour mettre des priorités entre les trames de certains VLAN par rapport à d'autres
Canonical Format Identifier ou Token Ring Encapsulation Flag
1 bit pour la compatibilité entre les adresses MAC Ethernet et Token Ring. Un commutateur Ethernet fixe toujours cette valeur à 0. Si une trame avec la valeur 1 pour ce champ arrive, celle-ci ne sera pas propagée
VID (ou VLAN Identifier)
12 bits qui permettent de définir l'appartenance de la trame à un VLAN, au maximum 4094 VLAN possibles
© F
. N
olo
t 2
00
8
40
Fonctionnement
Quand une trame non 802.1q arrive sur un port trunk 802.1q
Le tag est ignoré et le paquet est commuté niveau 2 comme une trame Ethernet standard
Pour accepter les trames 802.1q, il faut que l'équipement accepte des MTU de 1522 ou plus
MTU Ethernet classique 1518 octets + 28 bits (4 octets)
La MTU ne doit pas être > 1600 octets
© F
. N
olo
t 2
00
8
41
Les types de VLAN
Actuellement, sur un réseau, plusieurs VLAN sont distingués (3.1.2.3 Lan Switching)
Les Data VLAN
Ne véhiculent que des données utilisateurs
Le Default VLAN
Le VLAN dans lequel un switch, à la livraison se trouve
Chez Cisco, c'est le VLAN 1 et il ne peut pas être changé
Les protocoles CDP et les spanning tree sont associés à ce VLAN
Le Management VLAN
C'est le VLAN qui est utilisé pour configurer les swicths.
Le Voice VLAN
Le Native VLAN
C'est le VLAN associé au port trunk 802.1Q qui a la capacité de véhiculer les données marquées ou pas par un identifiant de VLAN
© F
. N
olo
t 2
00
8
42
Le VLAN Natif
© F
. N
olo
t 2
00
8
43
Le Voice VLAN
La VoIP nécessite des impératifs afin de pouvoir assurer une qualité suffisante sur le trafic vocal
Garantir une bande passante suffisante
Transmettre en priorité ces flux
Etre capable de router ces flux vers des zones congestionnées du réseau
Avoir un délai inférieur à 150 ms à travers le réseau
© F
. N
olo
t 2
00
8
44
Trunking configuration commands
© F
. N
olo
t 2
00
8
45
Trunking configuration
Configuration statique
Conseillé de le faire en statique quand c'est possible
Configuration dynamique via Dynamic Trunking Protocol (DTP)
Protocole utilisé par les switchs Cisco Catalyst
Négocie automatiquement les liens trunk
5 modes de fonctionnements
Dynamic auto : basé sur les requêtes de négociation des switchs voisins
Dynamic Desirable : envoie l'information que le port veut être en mode trunk. Passe trunk si l'interface du voisin peut également passer trunk
Trunk : devient trunk, sans regarder ni l'état du switch voisin, ni les requêtes DTP
Access : trunk non autorisé
Nonegociate : empêche l'interface de générer des trames DTP
© F
. N
olo
t 2
00
8
46
Config. DTP possibles
© F
. N
olo
t 2
00
8
47
Visualisation le mode DTP d'un port
© F
. N
olo
t 2
00
8
48
Configuration du trunk
Mettre isl à la place de dot1q pour utiliser le protocole ISL
Non supporté sur les 2950 et 2960
Visualisation de l'état d'un port :
show interfaces fastEthernet 0/5 switchport
© F
. N
olo
t 2
00
8
49
Les Virtual LAN
Propagation des VLAN
© F
. N
olo
t 2
00
8
50
Les domaines VTP
Les VLAN peuvent être regroupés en domaine
Tous les VLAN partagent ainsi les mêmes informations globales : VLAN number, nom et description
Un switch ne peut appartenir qu'à un seul domaine
Les mises à jour VTP ne sont échangées qu'entre switch d'un même domaine
© F
. N
olo
t 2
00
8
51
Le protocole VTP
VTP est un protocole de niveau 2, d'échanges d'information
Existence de 3 versions différentes
Permet de gérer l'ajout, la suppression et les changements de nom
Protocole propriétaire Cisco
Fonctionne sur les VLAN 1 à 1005 uniquement jusque la version 2
Informations échangées uniquement via les ports trunk
Dans un même domaine, toutes les versions de VTP doivent être identiques
© F
. N
olo
t 2
00
8
52
Fonctionnement VTP
Chaque switch est dans un mode VTP particulier
Cela détermine la gestion des mises à jour
La version 2 de VTP
Supporte Token Ring
Propage les mises à jour VTP de type, longueur ou valeur non reconnus
Transfère les mises à jour provenant de switch en mode transparent, sans regarder le numéro de version de la révision
La version 3 supporte
Les VLAN étendus
La création et diffusion des VLAN privés
Les instances VLAN et la propagation des MST
La protection de la base VLAN en cas d'erreur accidentelle
Fonctionne avec la version 1 et 2
© F
. N
olo
t 2
00
8
53
Les modes VTP
© F
. N
olo
t 2
00
8
54
VTP Pruning
© F
. N
olo
t 2
00
8
55
Les échanges VTP
VLAN 1 non éligible au « pruning »
Echange d'informations toutes les 5 minutes ou après une modification d'une configuration
Utilise des trames de multicast sur le VLAN 1
L'élément critique est le numéro de révision dans le VLAN
Initialement à 0
Incrémenté de 1 à chaque modification sur le serveur VTP
Si le numéro de révision reçu est supérieur à celui enregistré, la configuration reçu est enregistré
© F
. N
olo
t 2
00
8
56
Les 3 types de messages VTP
Summary advertisements : échangé toutes les 300 secondes ou quand une mise à jour a lieu
Dans ce message figurent au moins le domain d'administration, la version VTP, le nom du domaine, le numéro de révision de la configuration, un time stamp et le nombre de « subset advertisements »
Subset advertisement : envoyé à la suite d'un summary advertisement résultat d'une modification de la base VLAN
Contient les changements effectués
Un subset advertisement pour chaque VID modifié
Advertisement request depuis les clients : envoyé quand un switch réclame les informations pour mettre à jour sa base VLAN
Quand un switch voit un message summary avec une revison supérieur à la sienne, il demande la nouvelle configuration
Le Serveur retourne un summary et un subset advertisements
© F
. N
olo
t 2
00
8
57
Configuration VTP
Show vtp permet de visualiser la configuration
Dans un même domain VTP, tous les switchs doivent avoir le même nom de domaine VTP et mot de passe (optionnel)
Mettre le switch en client quand ajouter à une architecture existante
Par défaut, il est serveur
Commandes de base
vtp domain
vtp password
vtp v2-mode
vtp mode client, vtp mode server ou vtp mode transparent
show vtp status, show vtp counters, show vlan
Par défaut, VTP mode est server, VTP domain name et password sont none et VTP trap disabled (pour communiquer le statut VTP via SNMP)
© F
. N
olo
t 2
00
8
58
Les Virtual LAN
Les erreurs classiques
© F
. N
olo
t 2
00
8
59
Exemple 1
Quelle configuration permet d'obtenir une liaison trunk ?
© F
. N
olo
t 2
00
8
60
Résolution de problèmes
La négociation Trunk se fait par DTP, en point à point
Quand DTP est utilisé, s'assurer d'avoir le même VTP domain
DTP est propriétaire Cisco donc non compatible avec d'autres équipements
Conseiller dans ce cas de le désactiver
Soit faire un
switchport mode access
switchport mode trunk
Ou switchport mode nonnegociate
Et définir le protocole trunk, si besoin d'un trunk
switchport trunk encapsulation dot1q (ou isl)
© F
. N
olo
t 2
00
8
61
Résolution de problèmes
Sur une configuration Server, Client et transparent
Avoir le même domaine VTP
Avoir la même version de VTP
Avoir au moins un server
Vérifier l'existance d'un trunk
Avoir le même mot de passe, si défini
S'assurer qu'un mauvais numéro de révision d'un switch ajouté n'a pas généré un écrasement de la bonne configuration
Un switch client peut effacer la config du switch server si son numéro de révision est supérieur à celui du switch serveur