VLAN ad Nauseamlalevee/ismin/reseaux_2/poly_vlan.pdf · VLAN ad Nauseam… 1 Open SI.nergie /...

03/09/2018

1

VLAN ad Nauseam…

1

Open SI.nergie / Kalyst

Patrick [email protected] / [email protected]

Instructeur Certifié depuis Octobre 2001 – Glasgow LTS - CCAI (CCNA: CSCO10362533) – Copenhague 2001

CCNP 1 (BSCI) 7/2004; CCNP2 (ISCWN) 10/2009; CCNP 3 (BCMSN) 8/2005;

CCNP4 (TSHOOT) 12/2010 – Birmingham UCE

Network Security I (NS1) 2/2006 – Birmingham UCE

Network Security II (NS2) 7/2006 - Glasgow LTS

Cisco Airespace Wireless (CAIAM) 3/2006 – Nice/Maidenhead/Amsterdam – Daclem

ACSE OmniSwitch R6 – 11/2006 - Brest Alcatel University

mailto:[email protected]

mailto:[email protected]

03/09/2018

2

3

Commutation

MAC

Le commutateur « apprend » dynamiquement la topologie du réseau : chaque fois qu’il reçoit une trame, il lit l’adresse MAC source et l’associe au port d’entrée.

Il remplit donc ainsi sa Table de Commutation

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

4

Commutation

MAC

Par exemple, Pc1 adresse un broadcast ARP pour obtenir l’adresse MAC de Pc2

La trame est émise par Pc1 à destination de FFFF.FFFF.FFFF

Le commutateur reçoit la trame, lit l’adresse MAC source

et met à jour sa table de Commutation

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

FF

pc1

1 pc1

03/09/2018

3

5

Commutation

MAC

Le commutateur lit l’adresse de destination

Comme c’est une adresse de diffusion, il établit un lien entre le port d’entrée et tous les ports actifs (micro segmentation)

La trame est répliquée sur tous les ports actifs

1

2

3

4

5

6

7

8

9

10

pc1 pc2 pc3 pc4

Port

FF

pc1

1 pc1

FF

pc1

FF

pc1

FF

pc1

6

Commutation

MAC

Seul Pc2 est concerné par la requête ARP

Pc2 va répondre en émettant une trame à destination de l’adresse MAC de Pc1

Le commutateur reçoit la trame, lit l’adresse MAC source

et met à jour sa table de commutation

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc1

5 pc2

pc2

03/09/2018

4

7

Commutation

MAC

Le commutateur lit l’adresse MAC de destination (pc1)

Cette adresse figure dans sa table de commutation sur le port 1

Le commutateur établit donc un lien (micro segmentation) entre les ports 5 et 1 et diffuse la trame vers PC1.

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc1

5 pc2

pc2

pc2

pc1

8

Commutation

MAC

Que se passe-t-il quand un switch reçoit une trame dont l’adresse de destination n’est pas dans la table de commutation ?

C’est le cas notamment de FF:FF:FF:FF:FF:FF (Broadcast)

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc4

5 pc2

pc2

Mise à jour

de l’entrée

Pourquoi l’adresse

de Broadcast n’est

jamais « apprise » ?

03/09/2018

5

9

Commutation

MAC

Que se passe-t-il quand un switch reçoit une trame dont l’adresse de destination n’est pas dans la table de commutation ?

Le switch n’a d’autre choix que de commuter la trame vers tous les ports connectés !

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc1

5 pc2

pc2

pc2

pc4

pc2

pc4

pc2

pc4

10

Commutation

MAC

Que se passe-t-il quand une trame est destinée à un port déjà occupé par un autre trafic ?

Que faire de la trame reçue sur le circuit de réception du port 7 et destinée au circuit d’émission du port 1 ?

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc1

5 pc2

pc2

pc2

pc1

pc1

pc3

Mise à jour

de l’entrée 7 pc3

03/09/2018

6

11

Commutation

MAC


La trame est stockée dans une mémoire tampon

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

pc1

5 pc2

pc2

pc2

pc1

pc1

pc3

7 pc3

12

Commutation

MAC


Puis la trame est transférée sur le circuit d’émission du port 1, sitôt que celui-ci est libre

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Port

1 pc1

5 pc2

pc3

pc1

7 pc3

03/09/2018

7

13

Architecture vs Organisation

Historiquement, l’organisation des entreprises était :

Chaque étage est occupé par le même groupe d’utilisateurs

Par exemple :

Le service Marketing au premier

Le service Ventes au second

La direction au troisième

Donc, d’un point de vue réseaux :

MDF au rez-de-chaussée ou au sous-sol : POP, distribution & routage (Firewall)

IDF à chaque étage : couche d’accès (commutateurs)

14


Historiquement, l’organisation des entreprises était :

Chaque étage est occupé par le même groupe d’utilisateurs

Par exemple :

Le service Marketing au premier

Le service Ventes au second

La direction au troisième

Donc, d’un point de vue réseaux :

MDF au rez-de-chaussée ou au sous-sol : POP, distribution & routage (Firewall)

IDF à chaque étage : couche d’accès (commutateurs)

Intermediate Distribution

Facility

Main

Distributi

on

Facility

Point of Presence

03/09/2018

8

15


Puis, les entreprises ont modifié leur organisation..

… en créant des groupes de travail constitués de différentes compétences (métiers)

Comment faire pour amener, par exemple au second étage des membres des réseaux Direction et Ventes ?

16



C’est simple, il suffit de :

Ajouter une carte sur le routeur

Acheter deux switches et les installer au deuxième étage

Tirer deux liens entre le deuxième étage et le MDF

Créer deux réseaux IP-bis pour la Direction et les Ventes

Ajouter des pools DHCP

Modifier les access-lists

Modifier les règles du Firewall

…

03/09/2018

9

17



C’est simple, il suffit de :

Ajouter une carte sur le routeur

Acheter deux switches et les installer au deuxième étage

Tirer deux liens entre le deuxième étage et le MDF

Créer deux réseaux IP-bis pour la Direction et les Ventes

Ajouter des pools DHCP

Modifier les access-lists

Modifier les règles du Firewall

…

Quel enfer !!!

18



En mettant en œuvre les VLANs !

Rien à acheter et installer

Rien à connecter ou reconnecter

Aucun câble à tirer

Aucun réseau à créer

Aucune modification dans les access-lists

Pas de modification des règles du Firewall

Nécessite uniquement de modifier la configuration des ports du switch sur lequel les nouveaux utilisateurs sont connectés

03/09/2018

10

19



En mettant en œuvre les VLANs !

Rien à acheter et installer

Rien à connecter ou reconnecter

Aucun câble à tirer

Aucun réseau à créer

Aucune modification dans les access-lists

Pas de modification des règles du Firewall

Nécessite uniquement de modifier la configuration des ports du switch sur lequel les nouveaux utilisateurs sont connectés

Aucune modification

de la topologie

physique

Aucune modification

des configurations de

couche 3 et

supérieures

20

Comment faire ?

Quelques remarques préliminaires

Un commutateur n’a jamais entendu parlé d’IP. C’est un matériel de couche 2

Donc, pourquoi ne pourrait-on pas connecter des hosts appartenant à des réseaux IP différents sur le même commutateur ?

L’approche la plus pragmatique est de le faire et de voir ce que cela donne, tout en ayant à l’esprit que :

Les broadcasts d’un réseau IP ne doivent en aucun cas être propagés dans un autre réseau IP !

03/09/2018

11

21

Première question

Si des machines appartenant à plusieurs réseaux IP différents, représentés par des couleurs différentes, sont connectées sur un même commutateur, que se passe-t-il ?

1

2

3

4

5

6

117

8

9

10

Aucun problème, mais :

Une trame issue d’une machine « rouge » ne doit en aucun cas être reçue par une machine d’une autre couleur !

Notamment les messages de diffusion doivent rester dans leur « couleur »

22

Idée 1 : définir des groupes et une

nouvelle règle

Groupes : L’administrateur définit des groupes de machines (couleurs), identifiés par des nombres (0 à 4095)

Règle : Le commutateur a l’interdiction de diffuser sur un port associé à un groupe, une trame issue d’un autre groupe

Les groupes sont appelés des VLAN

1

2

3

4

5

6

117

8

9

10

03/09/2018

12

23

Idée 1 : application

Groupes ou VLAN

Groupe rouge - VLAN 10 : ports 1, 5 et 9

Groupe vert - VLAN 20 : ports 2, 6 et 10

Groupe jaune - VLAN 30 : ports 3 et 7

Groupe noir - VLAN 40 : ports 4 et 8

Exemple : un trame de diffusion émise par PC1 n’atteindra que PC2 et 4.

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

24

PC1 (10.10.10.1) ping PC5 (10.10.10.5)

=> Broadcast ARP

1

2

3

4

5

6

117

8

9

10

MACPort

1 pc1

2

VLAN

10

20

3 30

4 40

5 10

6 20

La table de commutation estmise à jour dynamiquement:

<port, MAC, vlan ID>pc1 pc5 pc9

VLAN Fonctionnement

03/09/2018

13

25

PC1 (10.10.10.1) ping PC5 (10.10.10.5)

ARP pc1 => FF / 10.10.10.1 => 10.10.10.5

Commuté seulement sur les ports Rouges (VLAN 10)

1

2

3

4

5

6

117

8

9

10

MACPort

1 pc1

2

VLAN

10

20

3 30

4 40

5 10

6 20

pc1 pc5 pc9

VLAN Fonctionnement


<port, MAC, vlan ID>

26

PC1 (10.10.10.1) ping PC5 (10.10.10.5)

Réponse ARP de PC5 : pc5 => pc1 / 10.10.10.5 => 10.10.10.1

PC5 met à jour sa table ARP : <10.10.10.1, pc1>

1

2

3

4

5

6

117

8

9

10

MACPort

1 pc1

2

VLAN

10

20

3 30

4 40

5 pc5 10

6 20

pc1 pc5 pc9La table de commutation estmise à jour dynamiquement:


VLAN Fonctionnement

03/09/2018

14

27

PC1 (10.10.10.1) ping PC5 (10.10.10.5)

PC1 met à jour sa table ARP : <10.10.10.5, pc5>

1

2

3

4

5

6

117

8

9

10

MACPort

1 pc1

2

VLAN

10

20

3 30

4 40

5 pc5 10

6 20

pc1 pc5 pc9La table de commutation estmise à jour dynamiquement:


VLAN Fonctionnement

28

PC1 (10.10.10.1) ping PC5 (10.10.10.5)

PC1 peut maintenant addresser un message ICMP à PC5

PC1 utilise le couple <10.10.10.5, pc5>

1

2

3

4

5

6

117

8

9

10

MACPort

1 pc1

2

VLAN

10

20

3 30

4 40

5 pc5 10

6 20

pc1 pc5 pc9

VLAN Fonctionnement



03/09/2018

15

29

Deuxième question

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

Comment faire si plusieurs commutateurs sont connectés entre eux ? Comment vont-ils savoir quelle est le groupe d’origine d’une trame ?

7

2

3

4

5

6

1

Couleur

?

Problème :

Une trame de diffusion issue d’une machine « rouge » doit être diffusée aussi sur le deuxième commutateur.

Mais quelle est sa couleur ?

30

Idée 2 : Inter Switch Link

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

ISL : Les trames émises par un commutateur vers un autre commutateur sont modifiées : elles portent un « tag » qui indique le numéro du VLAN auquel la trame appartient ?

7

2

3

4

5

6

1

Trunk : Ce nouveau type de port insère le « tag » du VLAN dans les trames qu’il émet…

… et retire le « tag » dans les trames qu’il reçoit.

Ainsi, pour les « clients » tout est transparent : trames standard.

Ports

« Trunk »

03/09/2018

16

31

Idée 2 : Application

1

2

3

4

5

6

117

8

9

10

pc1 pc2 pc3 pc4

ISL : Seules les trames qui circulent sur les liens « trunks » sont non standard.

Les tables de commutation intègrent un nouveau champ : le VLAN

Peu à peu, les adresses MAC des PC du premier commutateur seront répertoriées sur le port trunk du second (et vice-versa).

7

2

3

4

5

6

1Lien

Trunk MACPort

1 pc10

3 pc12

VLAN

10

30

pc10 pc12

7 pc1 10

7 pc6 40

7 pc2 10

7 pc3 30pc5 pc6

32

PC1 (10.10.10.1) ping PC11 (10.10.10.11)

ARP vers <10.10.10.11, FF:FF:FF:FF:FF:FF>

1

2

3

4

5

6

117

8

9

10MACPort

1 pc1

2

VLAN

1020

3 30

4 40

5 pc5 10

11

pc1 pc5 pc9

7

2

3

4

5

6

1Couleur

?

pc11

MACPort

1

2

VLAN

1020

3 30

7

7

7

Left switch Right switch

VLAN Fonctionnement

03/09/2018

17

33

PC1 (10.10.10.1) ping PC11 (10.10.10.11)

ARP vers <10.10.10.11, FF:FF:FF:FF:FF:FF>

Table ARP de PC5 : < 10.10.10.1, pc1>

1

2

3

4

5

6

117

8

9

10MACPort

1 pc1

2

VLAN

1020

3 30

4 40

5 pc5 10

11

pc1 pc5 pc9

7

2

3

4

5

6

1Tag: 10

pc11

MACPort

1

2

VLAN

1020

3 30

10

7

7

7


TRUNK portsTRUNK ports

pc1

VLAN Fonctionnement

34

PC1 (10.10.10.1) ping PC11 (10.10.10.11)

Réponse ARP vers PC1 : <10.10.10.1, pc1>

Table ARP de PC1 : <10.10.10.11, pc11>

1

2

3

4

5

6

117

8

9

10MACPort

1 pc1

2

VLAN

1020

3 30

4 40

5 pc5 10

11 10

pc1 pc5 pc9

7

2

3

4

5

6

1Tag: 10

pc11

MACPort

1

2

VLAN

10

20

3 30

10

7

7

7



pc1

pc11

VLAN Fonctionnement

pc11

03/09/2018

18

35

PC1 (10.10.10.1) ping PC11 (10.10.10.11)

ARP answer to 10.10.10.1

PC1 ARP table: <10.10.10.11, pc11>

1

2

3

4

5

6

117

8

9

10MACPort

1 pc1

2

VLAN

1020

3 30

4 40

5 pc5 10

11 10

pc1 pc5 pc9

7

2

3

4

5

6

1Tag: 10

pc11

MACPort

1

2

VLAN

1020

3 30

10

10

7 20

7

7



pc1

pc11

pc5

pc2

VLAN Fonctionnement

pc11

Technologie ad-hoc qui sert à interconnecter des commutateurs (backbone)

supportant plusieurs VLAN (issu de Inter Switch Link de Cisco)

Place un identificateur unique en tête de chaque trame qui entre sur le

réseau fédérateur (backbone – câblage vertical)

Retire cet identificateur de l’en-tête de trame quand elle entre dans le

réseau de distribution (câblage horizontal)

36

Segmentation en VLAN

ISL a été normalisé en IEE 802.1Q

03/09/2018

19

37


Configuration des commutateurs L2 802.1Q

int range fa0/1 – 8

switchport access vlan 10



int gi0/1

switchport mode trunk

Configuration

« statique » de la

table de commutation

MACPort

Fa0/1

VLAN

10

10

10

20

…

20

…

Fa0/2Fa0/3

Fa0/9Fa0/10

38


Configuration des commutateurs L2 802.1Q





int gi0/1


Apprentissage

dynamique des MAC

« voisines » et de leur

VLAN, via les Tags

MACPort

Fa0/1

VLAN

10

10

10

20

10

30

…

20

…

Gi/0/1

Fa0/2Fa0/3

Fa0/9Fa0/10

Gi/0/1

Gi/0/1

20

pc10

pc12

pc1

pc2

pc3

03/09/2018

20

39

Troisième question

Comment opérer le routage entre les VLAN ?

1

2

3

4

5

6

117

8

9

10

En général, chaque VLAN (L2) va correspondre à un réseau IP (L3)

Dans notre exemple il existe 4 réseaux, associés à nos 4 VLAN

10.10.10.0 / 24

10.10.30.0 / 24

10.10.40.0 / 24

10.10.20.0 / 24

10.10.10.2

10.10.30.1

10.10.20.1 10.10.20.2

10.10.40.1

?L2

L3

Plan d’adressage IP

40

Solution 1 : une interface de routeur

pour chaque VLAN

1

2

3

4

5

6

117

8

9

10

Solution évidente : connecter une interface L3 sur chaque VLAN L2

Mais cela « coûte cher » en interface et cela ne règle pas la question du câblage vertical !

10.10.10.254/24

10.10.30.254/24

10.10.40.254/24

10.10.20.254/24

10.10.10.2

10.10.30.1

10.10.20.1 10.10.20.2

10.10.40.1

n VLAN

=

n liens

verticaux

Port Based

03/09/2018

21

41

Routage Inter-VLAN

Solution 1 : Port Based

Configuration du routeur (Port Based)

L’interface fa0/0 du routeur est connectée sur un port vlan 10 du commutateur

int fa0/0

ip address 10.10.10.254 255.255.255.0

L’interface fa0/1 du routeur est connectée sur un port vlan 20 du commutateur

Int fa0/1

ip address 10.10.20.254 255.255.255.0

Aucune configuration spécifique sur le routeur

10.10.10.254/24

42

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Où est sa passerelle (10.10.10.254) ?

C’est cette interface de routeur :

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.10.1

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


03/09/2018

22

10.10.10.254/24

43

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

ARP vers 10.10.10.254

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.1

10.10.10.254/24

44

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Réponse ARP de10.10.10.254

MàJ de la table ARP de PC1:

<10.10.10.254/r10>

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.10.1

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


03/09/2018

23

10.10.10.254/24

45

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Ping vers 10.10.20.2, MAC dest : r10

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.10.1

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.254/24

46

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Routage entre les réseaux 10.10.10.0 et 10.10.20.0

ARP de 10.10.20.254 vers 10.10.20.2

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.10.1

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


03/09/2018

24

10.10.10.254/24

47

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Réponse ARP de PC2 et MàJ de sa table : <10.10.20.254/r20>

MàJ de la table ARP du routeur :

<10.10.20.2/pc2>

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.10.1

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.254/24

48

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Le routeur transmet le Ping PC1 to PC2 dans une trame adressée à pc2

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.1

03/09/2018

25

10.10.10.254/24

49

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Réponse de PC2 à PC1, dans une trame adressée à r20

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.1

10.10.10.254/24

50

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Transmission par le routeur de la réponse de PC2 à PC2

La trame est adressée à pc1

1

2

3

4

5

6

117

8

9

10

10.10.20.254/24

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

10.10.30.254/24

10.10.40.254/24

Routage Inter-VLAN


10.10.10.1

03/09/2018

26

51

Solution 2 : Stick Routing

1

2

3

4

5

6 11

7

8

9

10

Connecter le routeur au commutateur via un lien « Trunk »

Le routeur doit être « 802.1Q » : il va prendre en compte les différents VLAN via des sous-interfaces virtuelles

Fa0/0.10: 10.10.10.254/24

Fa0/0.20: 10.10.20.254/24

Fa0/0.30: 10.10.30.254/24

Fa0/0.40: 10.10.40.254/24

10.10.10.2

10.10.30.1

10.10.20.1 10.10.20.2

10.10.40.1

n VLAN

=

1 lien

vertical

Interfaces virtuelles

Stick Routing

Une interface physique

Plusieurs interfaces virtuelles

52

Configuration du routeur (802.1Q) en mode Router-on-a-stick pour un petit nombre de clients (<30)

L’interface physique fa0/0 du routeur est connectée sur un port trunk du commutateur

Pas d’adresse IP sur l’interface, mais sur des sous-interfaces

int fa0/0.10

encapsulation dot1q 10

ip address 10.10.10.254 255.255.255.0

Int fa0/0.20


ip address 10.10.20.254 255.255.255.0

ISL

ISL

Routage Inter-VLAN


Création d’interface « virtuelles » sur le routeur

Configuration ISL

Protocole abandonné

depuis les années 2000

03/09/2018

27

53

Configuration du routeur (802.1Q) en mode Router-on-a-stick pour un petit nombre de clients (<30)

L’interface physique fa0/0 du routeur est connectée sur un port trunk du commutateur

Pas d’adresse IP sur l’interface, mais sur des sous-interfaces

int fa0/0.10


ip address 10.10.10.254 255.255.255.0

Int fa0/0.20


ip address 10.10.20.254 255.255.255.0

Routage Inter-VLAN


Création d’interface « virtuelles » sur le routeur

Configuration 802.1Q

Actuelle !

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

54

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

ARP vers 10.10.10.254

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 4010.10.10.1

Fa0/0

Tag: 10

Routage Inter-VLAN


03/09/2018

28

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

55

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Réponse de la sous-interface fa0/0.10

MàJ de la table ARP de PC1 : <10.10.10.254/r10>

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 4010.10.10.1

Fa0/0Tag: 10

Routage Inter-VLAN


Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

56

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Ping vers PC2

Trame à destination de r10

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

Fa0/0

Tag: 10

Routage Inter-VLAN


10.10.10.1

03/09/2018

29

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

57

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Routage entre les réseaux 10.10.10.0 to 10.10.20.0

ARP de fa0/0.20 vers PC2

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 4010.10.10.1

Fa0/0Tag: 20

Routage Inter-VLAN


Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

58

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

MàJ de la table ARP de PC2 <10.10.20.254, r20>

Réponse ARP de PC2 à fa0/0.20

MàJ de la table ARP du routeur : <10.10.20.2, pc2>

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 4010.10.10.1

Fa0/0

Tag: 20

Routage Inter-VLAN


03/09/2018

30

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

59

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Transmission du Ping PC1 à PC2 par le routeur (r20)

Trame à destination de pc2

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

Fa0/0Tag: 20

Routage Inter-VLAN


10.10.10.1

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24

60

PC1 (10.10.10.1) ping PC2 (10.10.20.2)

Transmission du Ping PC1 à PC2 par le routeur (r20)

Trame à destination de pc2

1

2

3

4

5

6

117

8

9

10

10.10.10.5

10.10.30.3

10.10.20.2 10.10.20.6

10.10.40.4


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

Fa0/0Tag: 20

Routage Inter-VLAN


10.10.10.1

Etc, etc …

03/09/2018

31

61

Solution 3 : Commutateur L3

1

2

3

4

5

6 11

7

8

9

10

La fonction de routage est assurée par le commutateur lui-même : commutateur couche 3.

Les interfaces virtuelles sont directement définies dans le commutateur.

Elles sont nommées : vlan 10, vlan 20…

10.10.10.2

10.10.30.1

10.10.20.1 10.10.20.2

10.10.40.1

n VLAN = Bus interne

Fa0/0.10 - 10.10.10.254/24

Fa0/0.20 - 10.10.20.254/24

Fa0/0.30 - 10.10.30.254/24

Fa0/0.40 - 10.10.40.254/24


10.10.10.0/24 – VLAN 10

10.10.20.0/24 – VLAN 20

10.10.30.0/24 – VLAN 30

10.10.40.0/24 – VLAN 40

62

Solution 3 : Commutateur L3

1

2

3

4

5

6 11

7

8

9

10

La fonction de routage est assurée par le commutateur lui-même : commutateur couche 3.

Les interfaces virtuelles sont directement définies dans le commutateur.

Elles sont nommées : vlan 10, vlan 20…

Vlan10: 10.10.10.254/24

Vlan20: 10.10.20.254/24

Vlan30: 10.10.30.254/24

Vlan40: 10.10.40.254/24

10.10.10.2

10.10.30.1

10.10.20.1 10.10.20.2

10.10.40.1

n VLAN = Bus interne

Interfaces virtuelles

03/09/2018

32

63

Routage Inter-VLAN /

Switch L3

Pour un grand nombre de clients (>50)

Les interfaces de routage (couche 3) sont virtuelles

interface vlan 10

ip address 10.10.10.254 255.255.255.0

interface vlan 20

ip address 10.10.20.254 255.255.255.0

sh ip route

C 10.10.10.0/24 directly connected vlan 10

C 10.10.20.0/24 directly connected vlan 20

Routage à la vitesse du lien (Giga) par ASICs

64


Configuration d’un commutateur L3





int gi0/1


int vlan 10

ip address 10.10.10.254 255.255.255.0

int vlan 20

ip address 10.10.20.254 255.255.255.0

03/09/2018

33

65

Spanning tree protocol

Protocole qui vérifie l’absence de boucles de couche 2

=> tempêtes de broadcast

Un commutateur est élu « Root Bridge »

Les liens vers le root sont des « root port »

Les liens qui mènent au root sont des « designed port »

Les autres sont « bloqués »

Pendant le calcul le led est orange, puis passe au vert

au bout d’environ 60 secondes

Spaning tree peut être désactivé, mais attention !!!

Broadcast storm66

2 3

1

10.10.10.1/24

10.10.10.2/24

ARP

03/09/2018

34

Broadcast storm67

2 3

1

10.10.10.1/24

10.10.10.2/24

ARP

Broadcast storm68

2 3

1

10.10.10.1/24

10.10.10.2/24

ARP

03/09/2018

35

STP

Permet d’éviter les boucles de couche 2

Plusieurs versions Cisco/OSI/Cisco/OSI…

Algorithme Spanning Tree

Choix du Root Bridge (Commutateur racine)

Calcul du chemin le moins coûteux vers le Root : Root Port

Les autres ports sont les ports désignés : Designated Port…

… sauf s’ils sont face à un autre port désigné : Blocked Port

Coût des ports (sauf si modifiés par spanning-tree cost)

STP69

Spanning Tree Protocol70

D

D

D D

ROOT

1Gb/s

03/09/2018

36


D

D

D D

RR

R

RR


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D DRD

D

D

03/09/2018

37


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

R


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

R

D D D D D D

100Mb/s

03/09/2018

38


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

R

D D D D D D


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

R

D D D D D D

X

X X

XXX

X X X

X

03/09/2018

39


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

R

D D D D D D

X

X X

XXX

X X X

Diamètre : doit être ≤ 7 !!!

X


D

D

D D

R

R

R

DD

RR

R

R D D R

Dans cette configuration: 6 switchs traversés

Départ Arrivée

R

D

03/09/2018

40


D

D

D D

DRR

R

R

D

DD

D

D

D

D

D

D

DDD

D D

RRR

RD

D

D

RD D D

X

X X

XXX

X X X

Architecture croisée

D

D

X

D D

XD D

DX


D

D

D D

DRR

R

R

D

D

D

D

D

D

D

D

DDD

D D

RR

RD

D

R D D

X

X X

XXX

X X

Diamètre de ce réseau = 4, quelque soit la situation

D

D

X

D D

XD R

D

Départ Arrivée

03/09/2018

41


D

D

D D

RR

R

R

DD

RR

R

R

Diamètre de ce réseau = 4, quelque soit la situation

D

R

D

Départ Arrivée


Configuration

spanning-tree XXX priority 4096

Nota Bene : il y a en plus une notion de VLAN que nous verrons

plus tard

03/09/2018

42

Election du root

Basée sur l’adresse MAC la plus petite (LOL)

Evidemment modifié par l’admin via la « priority »

Per VLAN STP83

Election du root

spanning-tree vlan 10,30 root primary

spanning-tree vlan 20,40 root secondary

A ne pas confondre avec vtp primary ! (version 3 de vtp)

La commande « priority » est une façon alternative

spanning-tree vlan 10,30 priority 8192

Pour truquer l’élection port Désigné / port Bloqué

spanning-tree port-priority 112

Valeurs entre 0 et 240 par incréments de 16, valeur par défaut 128 (re LOL)

Per VLAN STP

84

Trucages d’élections

Trucages d’élections

03/09/2018

43

Vérification

sh spanning-tree

Per VLAN STP

85

Etat des ports

Per VLAN STP

86

03/09/2018

44

Variantes de STP

Per VLAN STP

87

Cas pratique - 188

Un réseau par étage

Pas d’évolutivité

Pas de souplesse

03/09/2018

45

Cas pratique - 189

Un réseau par

étage

Pas d’évolutivité

Pas de souplesse

Ajout d’un réseau Invités ?

Cas pratique – 2 – Port Based90

Plusieurs VLAN par étage

Ajout d’un commutateur intermédiaire

03/09/2018

46

Cas pratique – 2 – Port Based91

Plusieurs VLAN par

étage

Ajout d’un

commutateur

intermédiaire


Cas pratique – 3 – Stick92

Lien « trunk » entre

le routeur et le

switch intermédiaire

Sous-interface sur le

routeur

03/09/2018

47

Cas pratique – 3 – Stick93

Lien « trunk » entre

le routeur et le

switch intermédiaire

Sous-interface sur le

routeur


Cas pratique – 4 – L394

Un switch L3 remplace le routeur et le switch

Topologie très simple, mais complètement virtualisée

03/09/2018

48

Cas pratique – 4 – L395

Un switch L3 remplace le routeur et le switch

Topologie très simple, mais complètement virtualisée


Questions ?

96

Merci de votre attention

VLAN ad Nauseamlalevee/ismin/reseaux_2/poly_vlan.pdf · VLAN ad Nauseam… 1 Open SI.nergie /...

Documents

Transcript of VLAN ad Nauseamlalevee/ismin/reseaux_2/poly_vlan.pdf · VLAN ad Nauseam… 1 Open SI.nergie /...