-
Notions de switching
1. Latence
Dfinition
La latence, parfois appele dlai, est le temps que prend une
trame (ou un paquet) pour voyager
entre la station d'origine (nud) et la destination finale sur le
rseau.
Causes :
Dlai carte rseau
Premirement, il y a le temps ncessaire la carte rseau d'origine
pour placer des impulsions
lectriques sur le fil et le temps ncessaire la carte rseau
rceptrice pour interprter ces
impulsions. On parle parfois, dans ce cas, de dlai de carte
rseau (il s'agit gnralement d'un dlai
de 1 microseconde pour les cartes rseau 10BaseT).
Dlai propagation
Vient ensuite le dlai de propagation proprement dit, qui se
produit lorsque le signal prend le temps,
quoique trs court, ncessaire son dplacement sur le fil (environ
0,556 microseconde par 100
mtres pour du cble UTP de catgorie 5). Plus le cble est long,
plus le dlai de propagation est
important. De mme, plus la vitesse de propagation nominale, ou
NVP, du cble est faible, plus le
dlai de propagation est important.
Dlais units couches 1, 2 ou 3
Enfin, du temps de latence est ajout en fonction des units rseau
(qu'elles soient de couche 1, 2 ou
3) ajoutes sur la voie entre deux htes en communication, ainsi
que de leur configuration. Il convient
galement de tenir compte du temps de transmission rel (priode
pendant laquelle l'hte transmet
effectivement des bits) pour bien comprendre la notion de
synchronisation dans le domaine des
rseaux.
Dure d'un bit
= l'unit de base au cours de laquelle UN bit est envoy.
Pour que les dispositifs lectroniques ou optiques soient en
mesure de reconnatre un 1 ou un 0
binaire, il doit y avoir une priode minimale durant laquelle le
bit est " ouvert " ou " ferm ".
Si la dure d'un bit est de 100ns (Ethernet 10 Mbits/s) alors
pour
Taille d'un trame (Octet) Temps de transmission
(microseconde)
64 51,2
512 410
1000 800
1518 1214
(trame X 8 X 100ns)/1000 = temps de transmission en
microsecondes
2. Les rpteurs
Les rpteurs sont des lments de couche 1 qui rgnrent le signal
avant de le transmettre.
Les rpteurs autorisent des distances de bout en bout
suprieures
Les rpteurs augmentent le domaine de collision
Les rpteurs augmentent le domaine de broadcast
-
3. Full-Duplex
Le commutateur Ethernet full duplex tire parti des deux paires
de fils du cble grce l'tablissement
d'une connexion directe entre l'metteur (TX) une extrmit du
circuit et le rcepteur (RX) l'autre
extrmit. Lorsque les deux stations sont connectes de cette faon,
un domaine sans collision
est cr, car la transmission et la rception des donnes
s'effectuent sur deux circuits non
concurrents.
En rgle gnrale, Ethernet utilise seulement entre 50 et 60 % de
la bande passante de 10 Mbits/s
disponible en raison des collisions et de la latence. Le mode
Ethernet full duplex offre 100 % de la
bande passante dans les deux directions. Cela produit un dbit
potentiel de 20 Mbits/s : 10 Mbits/s
en transmission et 10 Mbits/s en rception.
4. Pourquoi segmenter un LAN ?
La segmentation permet d'isoler le trafic ente les segments
Elle augmente la bande passante disponible pour chaque
utilisateur en crant des domaines de
collisions plus petits.
5. Le matriel
Les ponts
Les ponts sont des units de couche 2 qui acheminent des trames
de donnes en fonction des
adresses MAC contenues dans les trames. De plus, les ponts sont
transparents pour les autres units
du rseau.
Les ponts " apprennent " la segmentation d'un rseau en crant des
tables d'adresses qui renferment
l'adresse de chacune des units du rseau, ainsi que le segment
utiliser pour atteindre cette unit.
moins d'utilisateurs par segment
Un pont est considr comme une unit de type " Store and Forward "
parce qu'il doit examiner le
champ adresse de destination et calculer le code de redondance
cyclique (CRC) dans le champ de
squence de contrle de trame avant de transmettre ladite trame
vers tous les ports. Ils augmentent
la latence de 10 30%
Les routeurs
Un routeur fonctionne au niveau de la couche rseau et fonde
toutes ses dcisions en matire
d'acheminement des donnes entre les segments sur l'adresse de
niveau protocole de la couche
rseau.
Les commutateurs
Un commutateur peut segmenter un LAN en microsegments, qui sont
des segments hte
unique. Cela a pour effet de crer des domaines sans collision
partir d'un grand domaine de
collision. ( ! domaine de broadcast identique). + Latence
faible
Dans une implmentation Ethernet commute, la bande passante
disponible peut atteindre prs de
100 %. Chaque ordinateur branch sur port dispose d'une bande
passante maximale de point point.
L'un des inconvnients des commutateurs est leur prix, plus lev
que celui des concentrateurs.
-
6. La commutation
Deux activits de base
- La commutation de trames de donnes - Cette opration se produit
lorsqu'une trame qui est
parvenue au niveau d'un mdia d'entre est transmise un mdia de
sortie.
- La gestion des oprations de commutation - Un commutateur cre
et gre des tables de
commutation.
En rgle gnrale, les ponts assurent la commutation au niveau
logiciel, les commutateurs au niveau
matriel.
La commutation de couche 2 et de couche 3
La commutation est un processus qui consiste prendre une trame
entrante sur une interface et
l'acheminer par une autre interface. Les routeurs utilisent la
commutation de couche 3 pour acheminer
un paquet ; les commutateurs (units de couche 2) utilisent la
commutation de couche 2 pour
acheminer les trames
Dans le cas de la commutation de couche 2, les trames sont
commutes en fonction des adresses
MAC. Dans le cas de la commutation de couche 3, les trames sont
commutes selon les informations
de couche rseau.
Contrairement la commutation de couche 3, la commutation de
couche 2 ne regarde pas l'intrieur
d'un paquet pour y trouver les informations de couche rseau. La
commutation de couche 2 regarde
l'adresse MAC de destination contenue dans une trame. Elle
envoie les informations la bonne
interface, si elle connat l'emplacement de l'adresse de
destination. La commutation de couche 2 cre
et met jour une table de commutation qui consigne les adresses
MAC associes chaque port ou
interface.
Si le commutateur de couche 2 ne sait pas o envoyer la trame, il
l'envoie par tous ses ports au
rseau pour connatre la bonne destination. Lorsque la rponse est
renvoye, le commutateur prend
connaissance de l'emplacement de la nouvelle adresse et ajoute
les informations la table de
commutation.
Comment un commutateur prend-il connaissance des adresses ?
Apprend l'emplacement d'une station en examinant l'adresse
d'origine.
Envoie par tous les ports (sauf sur le port d'origine) lorsque
l'adresse de destination est un broadcast,
un multicast ou inconnue.
Achemine les donnes lorsque la destination est situe sur une
interface diffrente.
Filtre les donnes lorsque la destination est situe sur la mme
interface.
Les avantages de la commutation LAN
Rduction du nombre de collision
Plusieurs communications simultanes
Liaisons montantes (Uplink) simultanes
Amlioration des rponses du rseau
Hausse de la productivit de l'utilisateur
Economie et souplesse de gestion
Deux modes de commutation
Store and Forward
La trame entire doit tre reue avant de pouvoir tre achemine. Les
adresses de destination
et/ou d'origine sont lues et des filtres sont appliqus avant que
la trame ne soit achemine. De
la latence se produit pendant la rception de la trame ; la
latence est plus leve dans le cas des
-
grandes trames, car la trame entire est plus longue lire. La
dtection d'erreurs est leve, car le
commutateur dispose de beaucoup de temps pour vrifier les
erreurs en attendant de recevoir toute la
trame.
Cut-through
Le commutateur lit l'adresse de destination avant d'avoir reu
toute la trame. La trame est
ensuite achemine avant d'avoir t entirement reue. Ce mode rduit
la latence de la transmission
et dtecte peu d'erreurs de commutation LAN. " FastForward " et "
Fragment Free " sont deux
types de commutation " Cut-through ".
Mode de commutation " FastForward "
Ce mode de commutation offre le plus faible niveau de latence en
acheminant un paquet ds
rception de l'adresse de destination. Comme le mode de
commutation " FastForward " commence
l'acheminement avant que le paquet entier n'ait t reu, il peut
arriver que des paquets relays
comportent des erreurs. Bien que cela ne se produise
qu'occasionnellement et que l'adaptateur
rseau de la destination rejette le paquet dfectueux lors de sa
rception, le trafic superflu peut tre
jug inacceptable dans certains environnements. Utilisez le mode
Fragment Free pour rduire le
nombre de paquets qui sont achemins avec des erreurs. En mode
FastForward, la latence est
mesure partir du premier bit reu jusqu'au premier bit transmis
(c'est la mthode du premier entr,
premier sorti).
Mode de commutation Fragment Free
Ce mode de commutation filtre les fragments de collision, qui
constituent la majorit des erreurs de
paquet, avant que l'acheminement ne puisse commencer. Dans le
cas d'un rseau qui fonctionne
correctement, les fragments de collision doivent tre d'une
taille infrieure 64 octets. Tout fragment
d'une taille suprieure 64 octets constitue un paquet valide et
est habituellement reu sans erreur.
En mode de commutation Fragment Free, le paquet reu doit tre jug
comme n'tant pas un
fragment de collision pour tre achemin. Selon ce mode, la
latence est mesure en fonction du
premier entr, premier sorti.
7. STP (Spanning Tree Protocol)
1. Assure la commutation des trames de broadcast
2. Empche les boucles
3. Permet les liaisons redondantes
4. Elague (pruning) la topologie un arbre d'acheminement
(spanning tree) minimal
5. Supporte les changements topologique et les pannes d'unit
Les 5 tats du STP
1. Blocage - Aucune trame achemine, units BPDU entendues
2. coute - Aucune trame achemine, coute des trames
3. Apprentissage - Aucune trame achemine, apprentissage des
adresses
4. Acheminement - Trames achemines, apprentissage d'adresses
5. Dsactivation - Aucune trame achemine, aucune unit BPDU
entendue
-
Le protocole Spanning Tree Le protocole Spanning Tree (STP) est
un protocole de couche 2 (liaison de donnes) conu pour les switches
et les bridges. La spcification de STP est dfinie dans le document
IEEE 802.1d. Sa principale fonction est de s'assurer qu'il n'y a
pas de boucles dans un contexte de liaisons redondantes entre des
matriels de couche 2. STP dtecte et dsactive des boucles de rseau
et fourrnit un mcanisme de liens de backup. Il permet de faire en
sorte que des matriels compatibles avec le standard ne fournissent
qu'un seul chemin entre deux stations d'extrmit.
Spanning-Tree rpond la problmatique de trames dupliques dans un
environnement de liaisons
redondantes (section 1). Le fonctionnement est bas sur la
slection d'un bridge Root et de calculs
des chemins les plus courts vers ce bridge (section 2). Les
ports des bridges rencontrent cinq tats
dont le "Blocking" qui ne transfre pas de trames de donne et le
"Forwarding" qui transfre les
trames de donne (section 3). Quelques commandes essentielles
sont retenir, mais elles peuvent
tre lgrement diffrentes sur les OS (section 4).
1. Problmatique Dans un contexte de liaisons redondantes sans
STP deux problmes peuvent survenir :
1. Des temptes de broadcast : lorsque des trames de broadcast
sont envoyes (FF-FF-FF-FF-FF-
FF en destination), les switchs les renvoient par tous les
ports. Les trames circulent en boucles et sont
multiplies. Les trames n'ayant pas de dure de vie (TTL comme les
paquets IP), elles peuvent
tourner indfiniment.
-
2. Une instabilit des tables MAC : quand une trame, mme unicast,
parvient aux switches
connects en redondance, le port du switch associ l'origine
risque d'tre erron. Une boucle est
susceptible d'tre cre.
-
Dans cet exemple, le PC1 envoie une trame au PC2. Les deux
commutateurs recoivent la trame sur
leur port 0/2 et associent ce port l'adresse mac de PC1. Si
l'adrese de PC2 est inconnue, les deux
commutateurs transfrent la trame travers leur port 0/1. Les
commutateurs recoivent respectivement
ces trames inversment et associent l'adresse MAC de PC1 au port
0/1. Ce processus peut se rpter
indfiniment.
2. Fonctionnement de STP Bien qu'une topologie physique puisse
fournir de multiple chemins dans un contexte de redondance et
ainsi amliorer la fiabilit d'un rseau, STP cre un chemin sans
boucle bas sur le chemin le plus
court. Ce chemin est tabli en fonction de la somme des cots de
liens entre les switchs, ce cot tant
bas sur la vitesse d'un port. Aussi, un chemin sans boucle
suppose que certains ports soient bloqus
et pas d'autres. STP change rgulirement des informations
(appeles des BPDU - Bridge
Protocol Data Unit) afin qu'une ventuelle modification de
topologie puisse tre adapte sans boucle.
1. Slection d'un switch Root
Le switch Root sera le point central de l'arbre STP. Le switch
qui aura l'ID la plus faible sera celui qui
sera lu Root. L'ID du switch comporte deux parties, d'une part,
la priorit (2 octets) et, d'autre part,
l'adresse MAC (6 octets). La priorit 802.1d est d'une valeur de
32768 par dfaut (ce sont des
multiples de 4096 sur 16 bits). par exemple, un switch avec une
priorit par dfaut de32768 (8000
Hex) et une adresse MAC 00 :A0 :C5:12:34:56, prendra l'ID
8000:00A0 :C512:3456. On peut changer
la priorit d'un switch avec la commande :
(config)#spanning-tree [vlan vlan-id] priority priority
Sur un switch Root, tous les ports sont des ports dsigns,
autrement dit, ils sont en tat
forwarding , il envoient et reoivent le trafic.
2. Slection d'un port Root pour les switch non-root.
Chaque switch non-root va slectionner un port Root qui aura le
chemin le plus court vers le switch
Root. Normalement, un port Root est en tat forwarding .
-
Vitesse du lien Cot Plage de cot recommande
4Mbps 250 100 to 1000
10Mbps 100 50 to 600
16Mbps 62 40 to 400
100Mbps 19 10 to 60
1Gbps 4 3 to 10
10Gbps 2 1 to 5
S'il s'agit d'un port d'accs [1], la commande de configuration
est :
(config-if)#spanning-tree cost cost
S'il s'agit d'un port de tronc, la commande de configuration est
:
(config-if)#spanning-tree vlan vlan-id cost cost
A noter aussi qu'en cas de cot gaux, c'est la priorit la plus
faible (d'une valeur de 0 255) qui
emporte le choix (elle est de 128 par dfaut) en dterminant l'ID
du port compos de 2 octets (priorit
+ numro STP du port) :
Sur des ports d'accs :
(config-if)#spanning-tree port-priority priority
Sur des ports de tronc :
(config-if)#spanning-tree vlan vlan-id port-priority
priority
3. Slection d'un port dsign pour chaque segment
Pour chaque segment d'un Lan (domaine de collision), il y a un
port dsign. Le port dsign est celui
qui a le chemin le plus court vers le bridge Root. Les ports
dsigns sont normalement en tant
forwarding , autrement dit, envoient et reoivent du trafic de
donnes. Si plus d'un port sur un
mme segment a le mme cot vers le switch Root, le port du switch
qui l'ID la plus faible est choisi.
Tous les autres sont des ports non-dsigns en tat blocking .
En bref,
1 switch Root par rseau dont tous les ports sont dsigns
http://cisco.goffinet.org/s3/spanning_tree#nb1
-
1 port Root par switch non-root
1 port dsign par domaine de collision
tous les autres ports sont non-dsigns
Aussi, on peut rsumer les liaisons :
Port Port Etats Etats Switch Switch
Root Dsign Forwarding Forwarding Non-root Root
Dsign Root Forwarding Forwarding Non-root Non-root
Dsign Non-dsign Forwarding Blocking Non-root Non-root
Une animation flash illustre le principe de fonctionnement de
STP
3. Diffrents tats STP Cinq tats de ports peuvent rencontrs sur
un port STP. Chaque tat comporte un dlai. En voici les
proprits.
http://www.cisco.com/warp/public/473/spanning_tree1.swf
-
L'age maximal de 20 secondes par dfaut est le temps maximal avec
que STP effectue de nouveaux
calculs quand une interface ne reoit plus de BPDUs. Le temps de
forwarding de 15 secondes par
dfaut est le temps de passage d'un tat "listening" "learning" et
de "learning" "forwarding". Aussi,
la frquence d'envoi de BPDUs Hello est de 2 secondes par
dfaut.
Etat Blocking
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de
transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y
pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
N'envoie pas de BPDUs reus de son systme
Rpond SNMP
Etat Listening
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de
transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y
pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Learning
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de
transfert
Intgre les emplacements de station dans sa MAC table
(apprentissage)
-
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Forwarding
Commute toutes les trames de donnes venant du segment attach
Commute toutes les trames de donnes venant d'un autre port de
transfert
Intgre les emplacements de station dans sa MAC table
(apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Disabled
Cet tat est similaire l'tat blocking sauf que le port est
considr physiquement non
oprationnel (shut down ou problme physique).
4. Quelques commandes Pour le diagnostic :
#show spanning-tree [?]
Dsactivation de STP :
(config)#no spanning-tree vlan vlan-id
Ports Portfast :
La configuration d'une interface en "Portfast" (passage directe
de l'tat "blocking" l'tat "forwarding"
uniquement pour les segments qui ne connectent pas de switches)
:
(config-if)#spanning-tree portfast
Priorit du switch :
(config)#spanning-tree [vlan vlan-id] priority priority
Cot et priorit d'un port :
(config-if)#spanning-tree [vlan vlan-id] cost cost
(config-if)#spanning-tree [vlan vlan-id] port-priority
priority
Paramtres de timing :
(config)#spanning-tree [vlan vlan-id] max-age seconds
6 200 secondes
(config)#spanning-tree [vlan vlan-id] forward-time seconds
4 200 secondes
(config)#spanning-tree [vlan vlan-id] hello-time seconds
1 10 secondes
-
Notions sur les VLANs Les technologies VLANs virtualisent un
LAN. La virtualisation d'un LAN consiste en la sparation logique
entre,
d'une part, l'infrastructure physique et, d'autre part, les
services de couche 2 liaison de donnes fournis par
les commutateurs. Cet article reprend les notions ncessaires la
bonne comprhension de cette technologie.
FONCTIONNEMENT D'UN LAN
Au sein d'un LAN dfini comme une infrastructure commute, soit un
rseau compos de commutateurs,
toutes les interfaces htes disposent d'une adresse unique : une
adresse physique MAC du protocole IEEE
802. Un commutateur tient des tables de correspondance entre ses
ports et les adresses des htes afin de
transfrer rapidement le trafic. Sur ces rseaux, on connat du
trafic unicast ( destination d'un seul
hte), du trafic de broadcast (diffusion, destination de tous les
htes) et du trafic multicast(
destination de certains htes). Un commutateur transfre le trafic
de diffusion et multicast travers tous
ses ports sauf celui d'origine; un routeur filtre le trafic de
diffusion en ne le transfrant pas.
LAN VIRTUEL (VLAN)
Un VLAN est un LAN logique fonctionnant sur une infrastructure
LAN physique commute. Une
infrastructure physique commune peut supporter plusieurs VLANs.
Chaque LAN virtuel fonctionnera
comme n'importe quel LAN distinct. Concrtement, les ports du
commutateur prennent un identifiant
VLAN. Cet identifiant logique dfinit l'tendue du domaine de
diffusion : le trafic de diffusion ne sera
transfr que sur les ports ayant le mme identifiant. Autrement
dit, par exemple, le trafic de diffusion
venant d'un port appartenant au VLAN 66 ne se sera transfr que
sur les ports ayant pour attribution le
VLAN 66. La sparation fonctionnelle entre deux ports ayant des
identifiants VLAN diffrents correspond
une sparation physique. En quelque sorte, la technologie VLAN
permet de diviser logiquement les ports
du commutateur, soit l'infrastructure physique elle-mme.
La virtualisation d'un LAN consiste en la sparation logique
entre, d'une part, l'infrastructure
physique et, d'autre part, les services de transfert rapide
fournis par les commutateurs.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un
LAN tel que dcrit plus haut
indpendante de l'infrastructure physique. Cette technologie
s'intgre pleinement dans les marchs des
-
environnements virtualiss, des dploiements de rseaux sans fil,
de la VoIP, des passerelles Internet
d'entreprise et familiales.
Cette fonctionnalit peut tre tendue sur des ports de
commutateurs distants travers toute
l'infrastructure. Dans ce cas, les commutateurs devront
transporter entre eux du trafic appartenant
plusieurs VLANs sur une ou plusieurs liaisons spcifiques ...
TRUNKS OU LIAISON D'AGRGATION
... Les ports d'une liaison qui agrgent le trafic de plusieurs
VLANs s'appellent un Trunk chez le
constructeur Cisco Systems et liaison d'agrgation chez d'autres.
Sur ce type de liaison, le
commutateur ajoute des champs supplmentaires dans ou autour de
la trame Ethernet. Ils servent
notamment distinguer le trafic de VLANs diffrents car ils
contiennent entre autres le numro
d'identification du VLAN.
Deux protocoles de Trunk ou de liaison d'agrgation VLAN peuvent
tre rencontrs. Il agissent
tout deux au niveau de la couche 2 liaison de donnes . Ils
oprent sous les couches TCP/IP.
-
Inter-Switch Link (ISL) : protocole propritaire Cisco qui
encapsule la trame d'origine avec un en-
tte spcifique qui contient entre autres le numro de VLAN et un
nouveau champ FCS. Il est
indpendant de la technologie sous-jacente. Il est de moins en
moins rencontr au profit de IEEE
802.1q.
IEEE 802.1q : Standardis et interoprable, il ajoute une tiquette
dans l'en-tte de la trame (un
ensemble de champs juste aprs le champ d'adresse MAC d'origine).
Cette tiquette a une taille de 4
octets ou 32 bits dont 12 bits sont consacrs au numro de VLAN.
Le standard supporte les
technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE
802.5 (Token-Ring), etc. en tant que
protocole de pontage (bridging, IEEE 802.1). Vu que la trame
sera modifie, le commutateur
recalculera la valeur du champ CRC/FCS.
IEEE 802.1q est actuellement la technologie standardise et
dominante sur le march
indpendamment des constructeurs .
ENCAPSULATION
Quand est-ce que cette encapsulation IEEE 802.1q intervient ? Un
hte A veut joindre un hte L connect
un commutateur distant. Les commutateurs sont interconnects par
une liaison d'agrgation . La
trame ne sera tiquete seulement si elle quitte le commutateur
sur un port qui connecte une liaison
d'agrgation. Lors de la livraison locale de la trame la station
destinataire, elle sort du port du
commutateur sans tiquette.
Si le standard est largement disponible sur les commutateurs
d'entreprise, les htes tels que les serveurs
ou du matriel embarqu peuvent annoncer le support de la
technologie en fonction des pilotes
dvelopps pour l'interface physique. Alors que les systmes
d'exploitation Linux/BSD supportent un
grand nombre de cartes, les cartes Intel sont bien supportes
sous Microsoft Windows ; elles sont
proposes d'emble par les grands assembleurs comme HP ou
Dell.
Le trafic de diffusion comme celui de multicast sera port la
destination de tous les ports ayant le
mme identifiant VLAN, travers des ports de liaison d'agrgation .
Les htes connects un port d'un
-
identifiant VLAN diffrent ne seront pas affectes par ce trafic.
En ce sens, la taille des domaines de
diffusion peut tre contrle sur une infrastructure commute des
fins de performance,
d'administration du trafic, des machines et des
utilisateurs.
DOMAINE IP ET VLANS
Comme dans tout LAN, le rseau IP est homogne et correspond un
adressage marqu par un prfixe et
un masque de rseau. Au sein d'un LAN, toutes les interfaces qui
participent l'Internet Protocol dans la
perspective de communiquer entre des rseaux diffrents partagent
le mme adressage. Un routeur
constitue la limite d'un VLAN comme celle d'un LAN. Donc, pour
que des VLANs communiquent ensembles,
en tant que rseaux logiques diffrents, une fonction de routage
est ncessaire. On parle dans la
littrature de routage inter-VLAN. Cette fonction peut tre
remplie par des plate-formes d'entreprise
comme les routeurs d'accs, des routeurs Linux/BSD ou des
commutateurs LAN disposant d'un logiciel de
routage. Les routeurs sont capables de transfrer du trafic de
VLANs diffrents partir d'un seul port
physique reconnu comme port d'agrgation VLAN.
-
CONCLUSION
D'un point de vue technique, la technologie VLAN permet de
dployer des architectures plus souples,
fournissant plus de services qu'un LAN classique en combinaison
d'autres protocoles et technologies.
Voici quelques exemples non-exhaustifs qui permettent de grer
dynamiquement les utilisateurs et les
applications sur les plus basses couches de la
communication.
Fonctionnalit de Qualit de Service (QoS), notamment grce IEEE
802.1p en perspective d'une
diffrenciation trafic selon les applications (voix, vido,
etc.);
Le support du protocole Spanning-Tree et ses variantes (STP,
MST, RSTP, PVST, PVST+, PVRST+, UDLD) ainsi
que les protocoles de contrle (CDP, VTP, DTP, etc.);
Une srie de protocoles connexes utiles ou moins, propritaires ou
standardiss comme VTP, DTP, PaGP,
Etherchannel, etc.;
Le support d'une authentification sur les ports (IEEE
802.1x/EAP) en vue d'authentifier les utilisateurs
dynamiquement et de leur appliquer des paramtres de scurit
adapts en les plaant dynamiquement
dans un VLAN soumis une politique de filtrage;
Il sera possible de ponter/commuter les VLANs entre eux, de
rpartir la charge entre plusieurs liaisons
d'agrgation de manire redondante, d'encapsuler plusieurs
tiquettes dans plusieurs tiquettes (double,
triple, voire quadruple).
Scurit Wifi : les bases
-
En cours de rdaction
I. LA NATURE "INSCURISE" DES RSEAUX SANS FIL
Utilisant les ondes radios pour transmettre le signal, les
rseaux sans fils sont naturellement inscuriss.
La propagation des ondes travers les airs ne connait pas le
confinement localis et "physiquement
protg" des rseaux filaires.
Dans cette perspective, il semblait lgitime et suffisant
d'introduire dans le standard IEEE 802.11 un
protocole de scurit assurant autant d'intimit qu'un fil ... Le
WEP ( Wired Equivalent Privacy) n'a
d'ailleurs que cette seule prtention.
D'un point de vue pragmatique, les implmentations sans fil sont
couramment laisses sans aucune
mesure de scurit. Mise en oeuvre facile et rapide, omission
justifie ou non, ignorance sont des
lments qui expliquent cet tat de fait. Il suffit de se promener
en rue avec un client wifi pour
constater que l'on peut se connecter l'Internet et aux rseaux
locaux sans aucune difficult.
A ce titre, la principale menace des rseaux sans fil est celle
du "man-in-the-middle" : une attaque
partir de l'intrieur d'un rseau local. Elle se concrtisera par
la prsence de "points d'accs voyous"
("rogue APs") ou de clients wifi espions. Ces "intrus" peuvent
tre placs dlibrment avec une volont
de nuisance. Mais le plus grand danger viendrait plutt des
utilisateurs, remplis des meilleures intentions,
qui placent du matriel actif pour leur confort personnel ou mme
professionnel.
Egalement, on citera des attaques bien plus aises et efficaces
mettre en oeuvre telles que :
l'attaque par interfrence rendant un rseau sans fil inoprant en
polluant l'espace d'ondes aussi puissantes
sur le mme canal utilis;
l'attaque du dni de service en tentant d'envoyer des trames de
contrle qui rendent les services ou le
matriel hors d'usage.
Aussi, la dfinition d'un SSID ou d'un filtrage MAC sur le point
d'accs ne constituent en rien une scurit
suffisante :
un logiciel tel que Netstumbler (http://www.netstumbler.com/) ou
le logiciel airodump-ng de la
suite aircrack-ng permet de connaitre le SSID mme lorsqu'il est
cach;
une coute du traffic permet de prendre connaissance d'adresses
MAC autorises (l'en-tte de trame
contenant les adresses MAC ne sont pas encrypts par le WEP) et
de les usurper (spoofing).
D'un autre point de vue, les logiciels (firmware, pilotes,
systmes d'exploitation) peuvent prsenter des
dfauts de conception et des failles exploitables.
Enfin, on verra ci-dessous que le protocole WEP n'est pas exempt
de faiblesses, ce n'est pas une
nouveaut. Sans comptence particulire, une attaque WEP peut tre
mene uniquement avec des
logiciels libres (voir Attaques WEP simple).
Quoi qu'il en soit , pour les petites entreprises ou la maison,
le WEP sera mieux que rien. Toutefois, le
WPA-PSK est largement disponible aujourd'hui et il augmentera
considrablement la scurit de ces petits
rseaux.
II. PRSENTATION BRVE DU PROTOCOLE WEP
http://www.netstumbler.com/http://www.aircrack-ng.org/http://cisco.goffinet.org:8080/cursus/cisco/wireless/resolveuid/e36434428cdd307494b7cc2814312b5f
-
Le WEP (Wired Equivalent Privacy) est le protocole initial de
scurit des rseaux WIFI. Il est dclar dans
le document IEEE 802.11. Le standard dfinit des mthodes
d'authentification et d'encryption.
II.a. Authentification
En matire d'authentification, on trouvera deux mthodes :
L'authentification ouverte. Il s'agit d'une authentification
nulle, pour le principe. Celle-ci consiste
seulement fournir le bon SSID (Service Set ID).
L'authentification partage. Chaque intervenant dispose d'une mme
cl WEP. Le point d'accs envoie un
message en clair au client qui rpond avec un message crypt avec
la cl WEP. Dans ce cas seul le client
authentifie le point d'accs. Il s'agit d'uneauthentification
asymtrique.
II.b. Encryption
"Le cryptage consiste prendre un message, dit en clair , et le
soumettre un algorithme
mathmatique pour produire un texte crypt . Le dcryptage est la
transformation inverse. Les
algorithmes de cryptage se servent le plus souvent d'une valeur,
appele cl, qui sert crypter et
dcrypter les donnes.
Le cryptage WEP utilise le chiffrement continu RC4 invent par
Ron Rivest de RSA Data Security, Inc.
(RSADSI). L'algorithme de cryptage RC4 est un chiffrement en
continu symtrique qui supporte les cls de
longueur variable.
Le chiffrement en continu consiste excuter la fonction de
cryptage ou de dcryptage sur une unit du
texte en clair (dans ce cas, la trame 802.11b).
Dans le cryptage symtrique, la cl est un lment d'information qui
doit tre partag par les units
d'extrmit pour raliser le cryptage et le dcryptage.
RC4 autorise une cl de longueur variable, qui peut atteindre 256
octets contrairement d'autres
algorithmes dont la cl a une longueur fixe. L'IEEE a spcifi que
les units 802.11 devaient supporter les
cls de 40 bits, avec la possibilit d'accepter des cls plus
longues. Plusieurs constructeurs proposent le
cryptage WEP 128 bits dans leurs solutions WLAN.
Le protocole WEP est un chiffrement en continu, et il est
indispensable de disposer d'un mcanisme pour
garantir que le mme texte en clair ne gnrera pas le mme texte
crypt. L'IEEE a stipul l'utilisation
d'un vecteur d'initialisation (IV) qui doit tre concatn avec la
cl symtrique avant de gnrer le texte
crypt en continu.
Ce vecteur d''initialisation est un nombre de 24 bits qui prend
donc une valeur entre 0 et 16 777 215.
L'IEEE
suggre mais n'exige pas de modifier le vecteur d'initialisation
pour chaque trame. Comme l'metteur
gnre le vecteur d'initialisation sans schma ni calendrier
prdfini, ce vecteur doit tre envoy en clair
au rcepteur, dans la partie d'en-tte de la trame de donnes
802.11. Le rcepteur peut ensuite
concatner le vecteur d'initialisation reu avec la cl WEP (la cl
de base) stocke localement pour
dcrypter la trame de donnes.
Comme le montre la figure suivante, l'algorithme RC4 ne crypte
pas le texte en clair lui-mme mais sert
gnrer un flux de cl unique pour la trame de donnes 802.11
concerne en reprenant le vecteur
-
d'initialisation et la cl de base comme cl de cryptage. Le flux
de cl unique ainsi obtenu est ensuite
combin avec le texte en clair et le tout est transform par une
fonction mathmatique appele XOR qui
produit le texte chiffr."
Partie tire de Cisco SAFE : Description dtaille de la scurit
pour les rseaux locaux sans fil
II.c. La faiblesse du WEP
II.c.1. Une cl statique
Une premire faiblesse de la scurit de base du WIFI est la
gestion et la distribution des cls. Un
administrateur devra configurer la mme cl WEP sur tous les
clients Wifi d'un rseau local. On notera
que l'identification se fondra seulement sur les priphriques et
non sur les utilisateurs.
Primo, la cl WEP unique ne permettra pas d'attribuer des
ressources en fonction d'un profil utilisateur.
Secundo, un priphique Wifi drob remet en cause l'ensemble de la
scurit d'un rseau local en
obligeant l'administrateur reconfigurer l'ensemble des clients.
Cette dernire remarque est valable pour
tout mcanisme cl partage dont WPA-PSK.
II.c.2. Les attaques FMS - attaques passives
"Les cryptoanalystes Fluhrer, Mantin et Shamir (FMS) ont
dcouvert des faiblesses inhrentes
l'algorithme RC4 de programmation des cls. Or l'algorithme RC4
utilis par WEP se sert d'un vecteur
d'initialisation de 24 bits et ne renouvelle pas les cls de
cryptage de manire dynamique.
Fluhrer, Mantin et Shamir ont pu montrer que ces faiblesses
pouvaient avoir des applications pratiques
dans le dcryptage des trames 802.11 qui utilisent WEP. Cette
attaque se concentre sur une classe largie
de vecteurs d'initialisation faibles qui peuvent tre gnrs par
RC4 et met en vidence les mthodes qui
permettent de casser la cl en utilisant certaines formes
rcurrentes des vecteurs d'initialisation.
L'attaque appele attaque FMS est pragmatique, mais le plus
dconcertant est quelle est totalement
passive. L'attaque FMS prsente la drivation thorique d'une cl
WEP sur un ventail de paquets entre
100 000 et 1 000 000 crypts avec la mme cl."
Des informations techniques sur l'attaque FMS peuvent tre
obtenues sur :
http://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.html
http://www.cs.umd.edu/~waa/wireless.html
http://www-search.cisco.com/global/FR/documents/pdfs/tdm/wlan/SAFE_WLAN_v2.pdfhttp://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.htmlhttp://www.cs.umd.edu/~waa/wireless.html
-
http://www.securiteinfo.com/crypto/802_11.shtml
En amliorant les attaques statistiques mise en oeuvre par Korek
avec du trafic captur, on obtient
d'excellents rsultats.
II.c.3 Les attaques actives par rejeu
Supposons qu'un attaquant connaisse exactement le texte clair
d'un message crypt. Il peut utiliser cette
connaissance pour construire des paquets crypts. La procdure
implique qu'il construise un nouveau
message en calculant la somme de contrle en l'occurence CRC-32
et en appliquant des changements
minimes (bits flips) sur le trafic crypt original pour changer
le texte en clair. Ce paquet peut tre
accept par le point d'accs ou une station mobile lgitime.
On peut aussi mener une attaque plus insidieuse qui vise changer
quelques bits dans le message et
d'adapter correctement le CRC sans aucune connaissance du paquet
pour en obtenir une version crypte
correcte. Par exemple, il pourrait tre possible avec une
connaissance partielle d'altrer des commande
shell d'une session Telnet.
On peut encore aller plus loin. Un attaquant ne connait rien
d'une trame capture mais pourra comme
expliqu plus haut modifier les bits d'adresses IP de destination
et l'envoyer par une passerelle sur
l'Internet. Vu que ce trafic quitte le rseau sans fil, il sera
envoy en clair sur l'inter-rseau.
IV. SOLUTIONS
Aujourd'hui, on peut dire que la scurit sans fil est meilleure
que les services fournis par dfaut sur le
fil. Les solutions proposes aujourd'hui proposent toutes une
authentification 802.11 ouverte :
solution authentification Encryption standard 802.11
WPA Home ou WPA-PSK Open TKIP (PreSharedKey) IEEE 802.11i
WPA2 Home ou WPA2-PSK Open TKIP ou AES (PreSharedKey) IEEE
802.11i
WPA Enterprise EAP/802.1x TKIP IEEE 802.11i
WPA2 Enterprise EAP/802.1x TKIP ou AES (PreSharedKey) IEEE
802.11i
Les solutions pour les petits rseaux utilisent une cl partage
avec du TKIP (grosso modo du WEP
amlior) ou de l'AES avc authentification nulle et pour de plus
grosses implmentation on peut utiliser
une authentification des utilisateurs par un serveur Radius avec
EAP/802.1x.
Encryption
Authentification
PEAP MS-chapv2 EAp-fast eap-tls leap
Tunnel TLS pralable Oui Oui Oui Non
http://www.securiteinfo.com/crypto/802_11.shtmlhttp://www.netstumbler.org/showthread.php?postid=89036#post89036
-
PEAP MS-chapv2 EAp-fast eap-tls leap
Autorisation Radius
Oui, MS-ISA, Cisco ACS,
Juniper Odyssey (anc. Funk),
MeetingHouse (nouv. Cisco)
Oui, Cisco ACS Oui, ouvert Oui, Cisco ACS
Serveur de certificat Oui Non Oui Non
Certificat ct serveur Oui Non Oui Non
Certificat ct client Non Non Oui Non
Crdits utiliss Mot de passe Windows Mot de passe Windows,
...
DB d'authentification
Standardisation
Pilotes
Avantages
Dsavantages
Indicateurs LED sur le matriel Wifi Les indicateurs LED peuvent
tre utiliss pour diagnostiquer des problmes de communication et des
erreurs.
Nous proposons un tableau rcapitulatif pour les adaptateurs
Aironet et le point d'accs 1200.
SUR L'ADAPTATEUR CLIENT AIRONET
Link Integrity/Power LED (vert) - Ce LED s'allume quand
l'adapteur reoit de la tension et clignote
lentement si l'adaptateur est connect au rseau
Link Activity LED (brun)- Ce LED clignote rapidement quand
l'adaptateur reoit et transmet des donnes.
Quand il clignote rptitivement d'une certaine manire, il indique
une condition d'erreur.
Table 3-1 LED Operating Messages
LED Vert LED Brun Condition
Operations
normales
Clignotement
rapide
Clignotement
rapide
La tension est reue,
self-test est OK,
l'adaptateur cherche un
-
rseau.
Clignotement lent Clignotement
rapide
L'adaptateur est associ
un AP.
Clignotement
continuel ou lent Clignotement
L'adaptateur transmet et
reoit des donnes tant
qu'il est associ un AP.
Eteint Clignotement
rapide
L'adaptateur est en
"power save mode".
Allum
continuellement
Clignotement
rapide
L'adaptateur est en "ad
hoc mode".
Conditions
d'erreurs
Eteint Eteint
L'adaptateur n'est pas
aliment et une erreur est
survenue.
Eteint
1 clignotement 2-
secondes
d'intervalle
Problme de RAM.
Eteint
2 clignotements
rapides, 2-secondes
de pause
Problme Flash.
Eteint
3 clignotements
rapides, 2-secondes
de pause
Problme de firmware.
Recharger le firmware.
Eteint
4 clignotements
rapides, 2-secondes
de pause
Erreur d'adresse MAC
(Erreur de lecture).
Recharger le firmware.
Eteint
5 clignotements
rapides, 2-secondes
de pause
Erreur de couche PHY.
-
Eteint
6 clignotements
rapides, 2-secondes
de pause
Firmware incompatible.
Charger le bon firmware.
LE POINT D'ACCS 1200
L'indicateur Ethernet concerne le trafic sur le rseau filaire.
Cet indicateur est normalement vert quand
un cble est connect au point d'accs. Il clignote quand du trafic
transite sur le cble. Il est teint quand
le point d'accs n'est pas connect au rseau filaire.
L'indicateur Status donne le statut oprationnel. Une couleur
verte rgulire signifie que l'AP est associ
au moins avec un client. Une couleur verte qui clignote signifie
que l'AP fonctionne normalement mais
qu'aucun client ne lui est associ.
L'indicateur Radio clignote en vert quand il y a une activit
radio. En temps normal, le LED est teint.
Message
type
Ethernet
indicator
Status
indicator
Radio
indicator Meaning
Statut de
chargement de
dmmarrage
Vert - Vert Test mmoire DRAM
memory.
- Brun Rouge Test d'initialisation de la
carte;
-
- Vert
clignotant
Vert
clignotant Test mmoire Flash
Brun Vert - Test d'initialisation
Ethernet.
Vert Vert Vert Dmarrage IOS.
Association
status
- Vert - Au moins un client est
associ.
- Vert
clignotant -
Aucun client n'est
associ; Regarder aux
paramtres SSID et
scurit.
Operating
status
- Vert Vert
clignotant
L'interface Radio envoie
et transmet des paquets.
Vert - - La liaison Ethernet est
oprationnelle.
Vert
clignotant - -
L'interface Ethernet
envoie et transmet des
paquets.
Boot Loader
Errors
Rouge - Rouge Echec du test de
mmoire DRAM.
- Rouge Rouge Echec du systme de
fichier.
Rouge Rouge - Echec Ethernet lors de la
rcupration de l'image.
Brun Vert Brun Erreur de l'environnment
de dmarrage.
-
Rouge Vert Rouge Pas de fichiers d'image
IOS.
Brun Brun Brun Echec de dmarrage.
Operation
Errors
- Vert Brun
clignotant
Essais maximum ou
tampon rempli sur
l'interface Radio.
Brun
clignotant - -
Erreurs de
transmission/rception
sur l'interface Ethernet.
- Brun
clignotant - Alerte gnrale.
Configuration
Reset - Brun -
Remise zro des
options de configuration
aux paramtres par
dfaut 'usine'.
Failure Rouge Rouge Rouge
Echec du firmware
failure; essayer de
dconnecter et de
reconnecter la tension.
Firmware
Upgrade - Rouge -
Chargement d'une
nouvelle image du
firmware.