Les VLANs - un retour à la couche 2 du modèle OSI PDF
Document Details
Uploaded by SelectiveRetinalite8071
EFREI Paris Panthéon-Assas Université
Yaovi SOGLO
Tags
Summary
Ce document présente les VLANs (Virtual Local Area Networks) et leur rôle dans la segmentation des réseaux. Il explique comment les VLANs fonctionnent à la couche 2 du modèle OSI, et les différentes configurations possibles. Le document détaille également les protocoles et les meilleures pratiques pour sécuriser les VLANs.
Full Transcript
Les VLANs: un retour à la couche 2 du modèle OSI Yaovi SOGLO [email protected] Acquis d ’apprentissage Comprendre le rôle des VLANs dans la segmentation des réseaux Différencier les types de VLANs Configurer des VLANs sur un switch Mettre en œuvre le routage inter- VLAN Appli...
Les VLANs: un retour à la couche 2 du modèle OSI Yaovi SOGLO [email protected] Acquis d ’apprentissage Comprendre le rôle des VLANs dans la segmentation des réseaux Différencier les types de VLANs Configurer des VLANs sur un switch Mettre en œuvre le routage inter- VLAN Appliquer les bonnes pratiques de sécurité pour les VLANs 2 Les VLANs 3 Introduction Objectifs et Utilité : Isolation des réseaux : Sépare les groupes de travail ou les départements au sein d'une organisation, augmentant ainsi la Définition : Un VLAN (Virtual Local Area sécurité et la confidentialité des données. Network) est un réseau logique créé au Optimisation du trafic : Limite la portée des broadcasts, sein d'un réseau physique. Il permet de améliorant les performances et réduisant la congestion du segmenter un réseau en plusieurs parties réseau. Flexibilité et gestion simplifiée : Facilite la gestion des isolées, même si elles utilisent la même utilisateurs en regroupant logiquement les ressources et en infrastructure physique. permettant une administration centralisée. 4 Les VLANs dans le Modèle OSI Les VLANs segmentent le réseau à la couche 2 pour isoler et gérer le trafic local. La couche 3 intervient pour permettre la communication entre ces segments logiques via le routage inter-VLAN. Couche 2 : La Couche Liaison de Données Les VLANs opèrent principalement à la couche 2 (Liaison de Données) du modèle OSI. Ils utilisent les adresses MAC pour segmenter le réseau en plusieurs domaines de diffusion indépendants, créant des sous-réseaux logiques au sein du réseau physique. Couche 3 : La Couche Réseau Bien que les VLANs soient créés à la couche 2, le routage inter-VLAN (communication entre VLANs) nécessite un dispositif de couche 3 (routeur ou switch de niveau 3). Le routage inter-VLAN permet aux VLANs de communiquer entre eux via des adresses IP, facilitant ainsi l'interconnexion entre segments de réseau. 5 Types de VLANs VLANs de données : Ces VLANs sont les plus VLANs de voix : Les communications VoIP (voix courants et servent à isoler les données générées sur IP) sont sensibles à la latence et nécessitent par différents groupes d'utilisateurs ou une qualité de service (QoS) élevée. En assignant départements. Par exemple, on peut créer un le trafic VoIP à un VLAN spécifique, il est possible VLAN pour les utilisateurs du service marketing et de prioriser ce trafic et d’assurer une meilleure un autre pour les utilisateurs du service qualité d’appel. informatique. Il existe plusieurs types de VLANs: VLAN natif : Le VLAN natif est utilisé pour gérer le VLAN de gestion : Un VLAN de gestion est utilisé trafic non marqué, c'est-à-dire les trames qui ne pour administrer les équipements réseau, comme sont pas étiquetées pour un VLAN spécifique. Par les commutateurs et les routeurs. Cela permet de défaut, tous les ports non configurés sont séparer le trafic d'administration du reste du trafic assignés au VLAN natif. Dans la plupart des utilisateur, garantissant une plus grande sécurité implémentations, ce rôle est tenu par le VLAN 1. et une meilleure gestion. 6 Switches L2 et L3 : Rôles dans les VLANs Switch de couche 2 (L2) : Fonction principale : connecte les périphériques au sein d’un même VLAN et gère la segmentation des domaines de diffusion. Fonctionnement : Travaille au niveau de la couche 2 (Liaison de Données) et utilise les adresses MAC pour transmettre les données entre les ports. Segmente le réseau en VLANs, isolant ainsi le trafic de chaque VLAN sans nécessiter de routage. Limitation : Ne permet pas la communication directe entre VLANs sans l'intervention d'un routeur ou d’un switch L3. Switch de couche 3 (L3) : Fonction principale : En plus de la segmentation en VLANs, le switch L3 permet le routage inter-VLAN. Fonctionnement : Travaille au niveau de la couche 3 (Réseau) et utilise les adresses IP pour permettre la communication entre VLANs. Remplit les fonctions de routage sans recourir à un routeur externe, optimisant ainsi la rapidité et l’efficacité du réseau. Avantage : Intégré dans un même équipement, le switch L3 combine le routage et la commutation pour une gestion plus efficace des VLANs. 7 Les switches CISCO Chez Cisco, plusieurs gammes de switches prennent en charge les VLANs. Voici les modèles les plus courants, classés en fonction de leur usage : Cisco Catalyst 2960, 3560, 3650, 3850 : Modèles de niveau d'entrée et intermédiaires, largement utilisés pour la segmentation VLAN dans les entreprises. Cisco Catalyst 9300, 9400, 9500 : Gammes de switches modulaires et hautes performances, qui permettent la segmentation VLAN et le routage inter-VLAN, idéales pour des réseaux d'entreprise. Cisco Catalyst 6500, 6800, 9600 : Switches de niveau supérieur, adaptés aux grands réseaux nécessitant des fonctionnalités VLAN avancées, de la haute disponibilité et une sécurité renforcée. 8 Les autres switches Chez les autres grandes marques de réseaux, de nombreux modèles de switches prennent en charge les VLANs. Voici quelques exemples populaires chez HP, Juniper et Netgear : Entrée de gamme : Aruba 2530 Series, Juniper EX Series (EX2200, EX2300, EX3400), Netgear ProSAFE Smart Managed (GS728, GS752). Switches de niveau intermédiaire : Aruba 2930F et 2930M Series, Juniper QFX Series (QFX5100, QFX5200), Netgear M4300 Series. Switches haute performance : Aruba 3810 et 5400R Series, Juniper MX Series, Netgear M4500 Series. 9 Configurations de base des VLANs Création, visualisation et assignation de ports 10 Configuration de base des VLANs Accéder au mode de 1 configuration globale Pour créer des VLANs sur un 2 Créer les VLANs commutateur Cisco 3 Assigner les ports aux VLANs spécifiques Commandes Objectif Autres show vlan Affichage des vlans ainsi que des affectations de port commandes: no vlan Affichage des vlans ainsi que des affectations de port 11 Le Mode Trunk Le mode Trunk est utilisé pour transporter le trafic de plusieurs VLANs entre deux équipements réseau, généralement entre deux switches ou entre un switch et un routeur. Fonctionnement : Un port configuré en mode Trunk permet le passage de trames provenant de plusieurs VLANs. Chaque trame est balisée (taguée) pour indiquer son VLAN d'origine, sauf pour le VLAN natif. Avantage : Essentiel pour relier plusieurs VLANs entre différents switches et permettre leur communication à travers le réseau. Connection de switches sans mode Trunk Connection de switches avec mode Trunk 12 Configuration du Le mode Trunk est nécessaire pour transporter plusieurs VLANs entre switches et assurer la continuité du réseau. mode Trunk Pour configurer le mode Trunk, la commande est: switchport mode trunk switchport trunk allowed vlan 13 Les VLANs Protocoles associés aux VLANs 14 Protocoles associés aux VLANs ▪ Les VLANs ne se limitent pas à leur simple configuration sur un commutateur. Pour simplifier la gestion des VLANs dans un environnement de réseau complexe, plusieurs protocoles facilitent la configuration, la gestion, et la négociation automatique des VLANs entre commutateurs. ▪ Les principaux protocoles utilisés sont le VTP (VLAN Trunking Protocol) et le DTP (Dynamic Trunking Protocol). 15 VTP (VLAN Trunking Protocol) Objectif : Permet de gérer et de propager les VLANs sur plusieurs switches d’un même réseau, réduisant ainsi la nécessité de les configurer manuellement sur chaque switch. Opération : Lorsqu’un VLAN est créé ou supprimé sur un switch, le serveur VTP propage cette modification aux autres switches clients VTP. Modes VTP : Server : Crée, modifie et supprime des VLANs. Propagation vers les clients. Client : Ne peut pas créer ni modifier des VLANs, mais reçoit les informations des serveurs. Transparent : Le switch peut créer et supprimer des VLANs localement, mais ne propage pas les informations vers d’autres switches. Avantages : Inconvénients : Gestion centralisée des VLANs sur plusieurs Mode serveur peut entraîner des risques si mal switches. configuré. Réduit les erreurs de configuration. Peut causer des incohérences si des VLANs sont mal propagés. 16 Dans cet exemple, le commutateur est configuré pour appartenir au Exemple de domaine VTP "MyDomain" et il est configuré en tant que serveur VTP, capable de gérer les VLANs. L'utilisation d'un mot de passe VTP configuration VTP ("MyPassword") permet de sécuriser les annonces VTP afin d'éviter toute modification non autorisée. Voici un exemple de configuration d'un serveur VTP : 17 DTP (Dynamic Trunking Protocol) Objectif : Négocie automatiquement la formation de trunks entre deux switches. Opération : Permet aux ports de décider s'ils doivent être en mode Access ou Trunk, selon la configuration du lien et la négociation. Modes DTP : Dynamic Auto : Le port attend une demande de trunk. Dynamic Desirable : Le port initie activement la négociation de trunk. Access : Le port ne permet pas de trunking, il est en mode access. Trunk : Le port est forcé en mode trunk sans négociation. Avantages : Inconvénients : Négociation automatique, réduisant le besoin Peut mener à des connexions trunk non de configuration manuelle des trunks. désirées si mal configuré. Adapté aux réseaux dynamiques où les connexions peuvent changer fréquemment. 18 Exemple de Dans cet exemple, le port GigabitEthernet 0/1 est configuré en mode trunk, le VLAN natif est configuration DTP défini sur 999, et la négociation DTP est désactivée avec la commande nonegotiate. 19 VTP/DTP Caractéristique VTP DTP But Gestion centralisée des VLANs à travers Négociation automatique de trunks plusieurs switches entre deux switches Modes Server, Client, Transparent Dynamic Auto, Dynamic Desirable, Access, Trunk Configuration Réduire la configuration des VLANs Configurer la négociation de trunks manuellement Avantages Gestion centralisée, réduction des Facilité de mise en place, adaptation erreurs dynamique du lien Inconvénients Risque de propagation erronée des Peut provoquer des trunks non VLANs souhaités si mal configuré 20 Les VLANs Routage entre VLANs 21 Routage Les VLANs permettent de segmenter un réseau en plusieurs réseaux logiques indépendants. Toutefois, pour que ces VLANs entre VLANs puissent communiquer entre eux, il est nécessaire de mettre en place un mécanisme de routage inter-VLAN. Le routage inter-VLAN permet de faire transiter les données entre différents VLANs à travers un routeur ou un commutateur de niveau 3. Il existe deux méthodes principales pour implémenter le routage inter-VLA : Router on a Stick (ROAS) Switch Virtual Interface (SVI) 22 Router on a Stick (ROAS) Le Router on a Stick est une méthode où un routeur avec une seule interface physique est utilisé pour router le trafic entre plusieurs VLANs. Cette interface physique est divisée en plusieurs sous- interfaces, chacune étant associée à un VLAN spécifique. Le commutateur utilise un trunk pour transporter le trafic de plusieurs VLANs vers le routeur. Le routeur effectue le routage entre les différents VLANs en utilisant ces sous-interfaces. Avantages : Inconvénients : Solution simple à implémenter. Le routeur peut devenir un goulot Idéal pour les petits réseaux avec un nombre d’étranglement si le trafic entre VLANs est limité de VLANs. important, car tout le trafic entre les VLANs doit passer par cette interface unique. 23 Router on a Stick (ROAS) 24 ▪ L'utilisation de Switch Virtual Interface (SVI) est Switch Virtual Interface (SVI) une méthode plus moderne qui repose sur des commutateurs de niveau 3 (commutateurs capables de réaliser des fonctions de routage). ▪ Dans cette approche, le routage inter-VLAN est effectué directement par le commutateur sans nécessiter de routeur externe. ▪ Fonctionnement : Un commutateur de niveau 3 (ou multi- niveaux) est utilisé pour effectuer le routage ▪ Avantages : entre VLANs. Pas besoin de routeur externe. Pour chaque VLAN, une interface virtuelle (SVI) est créée. Chaque SVI agit comme une Solution performante et évolutive pour les passerelle pour les appareils dans le VLAN. grands réseaux. Le commutateur de niveau 3 route le trafic Le routage est effectué localement par le entre les VLANs via les SVIs. commutateur, réduisant ainsi les goulots d’étranglement potentiels. 25 Sur un switch de niveau 3: (Dans cet exemple, deux interfaces Switch Virtual virtuelles (VLAN 10 et VLAN 20) sont créées sur le commutateur, chacune avec une adresse IP servant de passerelle pour les Interface (SVI) hôtes du VLAN correspondant. Le commutateur route alors le trafic entre les VLANs de manière interne.) 26 Sécurité des VLANs 27 Principales menaces liées aux VLANs La sécurité des VLANs est un élément essentiel dans la conception d'un réseau segmenté. Ils sont vulnérables à: ▪ VLAN Hopping : Une technique d'attaque où un attaquant parvient à accéder à un VLAN non autorisé en profitant de failles dans la configuration des trunks ou des VLANs natifs. ▪ Attaques sur les trunks : Exploitation des failles dans les configurations de trunk, par exemple, pour accéder à des VLANs non autorisés. ▪ Attaques de type Double-Tagging : Technique d'attaque où une trame avec deux tags VLAN est injectée dans le réseau, permettant ainsi à l'attaquant de sauter d’un VLAN à un autre. 28 Bonnes pratiques pour sécuriser les VLANs Configuration des VLANs natifs pour prévenir les attaques VLAN hopping changer le VLAN natif par défaut (VLAN 1) en le configurant sur un VLAN inactif ou isolé, généralement un VLAN vide : cela limite les possibilités d’exploitation des trames non marquées. Utilisation de VLANs séparés pour différents types de trafic la segmentation des réseaux en VLANs distincts peut être utilisée pour isoler les différents types de trafic. Cette séparation limite l'accès des utilisateurs à certaines parties du réseau et améliore la gestion de la bande passante et des performances. Désactivation des ports inutilisés Les ports de commutateur non utilisés doivent être désactivés ou placés dans un VLAN de quarantaine qui n’a pas accès au réseau. Cela empêche les attaquants de se brancher sur des ports inactifs et d'exploiter le réseau. Utilisation des ACL (Access Control Lists) Les Listes de Contrôle d'Accès (ACL) permettent de filtrer le trafic entre VLANs et de limiter les communications uniquement aux flux autorisés. Port Security Le Port Security permet de limiter le nombre d'adresses MAC qui peuvent être apprises dynamiquement sur un port d'accès VLAN. Sécurisation du Protocole VTP Il est recommandé de configurer les commutateurs en mode transparent, sauf si la synchronisation VTP est absolument nécessaire. 29 30 Conclusion ▪ Nous avons exploré l’univers des VLANs et leur importance cruciale dans la segmentation et l’organisation des réseaux modernes. En mettant en place des VLANs, les administrateurs réseau peuvent isoler les groupes d’utilisateurs, améliorer la sécurité et optimiser l’utilisation de la bande passante, tout en simplifiant la gestion du réseau. ▪ Les VLANs sont un élément fondamental dans les réseaux d’entreprise, car ils permettent une gestion plus efficace et une plus grande flexibilité. La compréhension des VLANs, des modes de ports, et des protocoles de gestion associés vous prépare à concevoir des réseaux robustes et évolutifs, capables de répondre aux besoins des organisations. ▪ Avec les compétences acquises dans ce module, vous êtes désormais en mesure de configurer et d’optimiser un réseau local en utilisant des VLANs, en prenant en compte les meilleures pratiques et les considérations de sécurité. 31 Merci pour votre attention!
