Trunk – Vlan – Trunking (802.1Q) – Couche réseau

Vlan et Trunk

Design de réseau d’entreprise

Une conception LAN hiérarchique comprend les trois types de couches:

  • La Couche d’accès, fourni des points d’extrémité. Les utilisateurs ont un accès direct au réseau.
  • La Couche de distribution regroupe les couches d’accès et fournit une connectivité aux services
  • Et la Couche Core, offre une connectivité pour les couches de distribution dans des environnements LAN de grande taille

Couche d'accès

Selon les caractéristiques du site de déploiement, on peut avoir besoin d’une, de deux ou des trois couches. Par exemple, un site qui occupe un seul bâtiment n’aura besoin que des couches d’accès et de distribution, alors qu’une entreprise de plusieurs bâtiments aura probablement besoin des trois couches.

Trunk

Access Layer

La couche d’accès est pour les périphériques contrôlés ou accessibles par l’utilisateur et par d’autres périphériques d’extrémité qui sont connectés au réseau. Elle fournit une connectivité filaire et sans fil et contient des fonctionnalités et des services qui garantissent la sécurité et le bon fonctionnement du réseau.

Access Layer

  • Connectivité de périphérique:la couche d’accès fournit une connectivité  périphérique avec une très grande bande passante afin de pouvoir prendre en charge un pique de Traffic quand les utilisateurs effectuent des tâches de routines sur le réseau. Ces taches peuvent être par exemple un envoi de mail avec de grosses pièces jointes ou l’ouverture d’un fichier. Étant donné que de nombreux types de périphériques utilisateurs se connectent à la couche d’accès comme des PC, des téléphones IP, des bornes wifi ou des caméras,- la couche d’accès peut supporter de nombreux réseaux logiques, offrant des avantages pour la performance, la gestion et la sécurité.
  • Services de résilience et de sécurité :

    la conception de lacouche d’accès doit s’assurer que le réseau est disponible pour tous les utilisateurs qui en ont besoin. En tant que point de connexion entre le réseau et les périphériques clients, la couche d’accès doit aider à protéger le réseau des erreurs humaines et des attaques malveillantes. Cette protection inclut de veiller à ce que les utilisateurs aient accès uniquement aux services autorisés et les empêchent de jouer un rôle différent , par exemple de se faire passer pour un autre équipement sur le réseau

  • Capacités technologiques avancées : La couche d’accès fournit un ensemble de services réseau qui prennent en charge des technologies avancées, telles que la voix et la vidéo. Elle doit leurs fournir, un accès spécialisé, afin de s’assurer que le trafic n’est pas gêné par d’autre d’autres périphériques. La couche d’accès doit également assurer une livraison efficace du trafic, dont de nombreux périphériques du réseau ont besoin.

Couche de distribution

La couche de distribution prend en charge de nombreux services importants. Dans un réseau où la connectivité doit parcourir le LAN de bout en bout, que ce soit entre différents périphériques de couche d’accès, la couche de distribution permet de faciliter cette connectivité.

Couche de distribution

  • Routage et manipulation de paquets:la couche de distribution est la couche qui fournit une connectivité basée sur des règles. En ce qui concerne le routage IP, la couche de distribution représente un point de redistribution entre les domaines de routage statique et dynamique. Le routage peut également être contrôlé ou filtré.
  • Évolutivité:

    Dans un réseau avec plus de deux ou trois périphériques de couche d’accès, il n’est pas très pratique de les interconnecter ensemble. La couche de distribution sert de point d’agrégation pour les switchs de couche d’accès multiples. Elle permet de réduire les couts d’exploitation en rendant le réseau plus efficace. Elle augmente également la disponibilité du réseau en renfermant les pannes dans des zones plus petites.

Couche centrale (core layer)

Dans un grand environnement LAN, il faut souvent avoir plusieurs switches de couche de distribution, car souvent les switchs sont situées dans de multiples bâtiments et géographiquement dispersées. Ainsi pour économiser des longueurs de fibres optiques qui coutent assez cher, il est plus judicieux de mettre un équipement de couche de distribution dans chaque bâtiment. Si les réseaux dépassent trois couches de distribution dans un seul emplacement, il est conseillé d’utiliser une couche centrale pour optimiser la conception.

Couche centrale

La couche centrale du LAN est une partie essentielle d’un réseau évolutif, et c’est la conception la plus simple. La couche de distribution segmente le réseau et la couche centrale permet une connectivité 24 heures sur 24. La connectivité aux ressources est essentielle pour n’importe quelle entreprise.

Problèmes liés à l’architecture réseau

Un réseau mal conçu peut faire augmenter fortement les couts de support, provoqué une disponibilité réduite des services et également un soutien limité pour les nouvelles applications et solutions. Une performance moins optimale affecte directement les utilisateurs finaux et leur accès aux ressources.

Voyons plusieurs types de problèmes qu’on peut retrouvé sur des réseaux mal conçus :

architecture réseau

  • des Domaines de Broadcast étendus : desbroadcasts existent dans tous les réseaux. De nombreuses applications et opérations réseau utilisent les broadcasts pour fonctionner correctement. Par conséquent, on ne pourra pas les éliminer complètement. De la même manière, que pour éviter une propagation des problèmes il faut définir clairement les limites.
  • des Difficultés de gestion :

    un réseau mal conçu peut être désorganisé, mal documenté et les flux de trafic devenir difficilement identifiable. Ces problèmes peuvent rendre le support, la maintenance et la résolution des problèmes très difficiles.

  • des Faiblesses de sécurité :un réseau commuté qui a été conçu avec peu d’attention aux exigences de sécurité sur la couche d’accès peut compromettre l’intégralité de l’ensemble du réseau.
  • et des Problèmes étendus: l’une des raisons d’implémenter une architecture de réseau efficace est de minimiser l’étendue des problèmes lorsqu’ils se produisent. Lorsque l’on ne définit pas clairement les limites de la couche 2 et 3, une défaillance dans une zone de réseau peut avoir un effet de grande portée.

Un réseau mal conçu a toujours un effet négatif. Il devient un fardeau pour le support et un fardeau financier pour n’importe quelle entreprise.

VLAN (Virtual LAN)

Pour comprendre les VLAN ,ou les réseaux locaux virtuels , il est important d’avoir une bonne compréhension des réseaux LAN qui signifie « Local Area Network ». Un LAN c’est un groupe de périphériques qui partagent un domaine de broadcast commun. Lorsqu’un périphérique sur le LAN envoie des broadcast, tous les autres périphériques du même réseau local les reçoivent. On peut dire qu’un LAN est un domaine de broadcast, c’est pareil. Sans VLAN, un switch considère que toutes ses interfaces sont dans le même domaine de broadcast. Ce qui revient à dire que tous les périphériques connectés se trouvent dans le même LAN. Avec les VLAN, un commutateur peut mettre certaines de ses interfaces dans un domaine de broadcast et d’autres interfaces dans un autre.

Chaque domaine de broadcast créée par le switch est appelé un VLAN.

  • Un VLAN est un LAN virtuel.
  • c’est un domaine de broadcast
  • c’est aussi un réseau logique (sous-réseau)
  • Les VLAN répondent à 3 besoins:
    • Segmentation
    • Sécurité
    • et Flexibilité du réseau

VLAN

Les VLAN

améliorent les performances du réseau en séparant les grands domaines de broadcast en segments plus petits. il permet à un administrateur réseau de créer des groupes logiques de périphériques. Ces dispositifs agissent comme si, ils étaient dans leur propre réseau indépendant, même s’ils partagent une infrastructure commune avec d’autres VLAN. Un VLAN est un domaine de broadcast logique qui peut s’étendre sur plusieurs segments LAN physiques. Dans un réseau interconnecté, les VLAN offrent une segmentation et une flexibilité mieux organisées. Il est possible de concevoir une structure VLAN pour nous permettre de grouper des PC’s par fonctions, ou bien par équipes sans se soucier de l’emplacement physique des utilisateurs. Les VLAN permettent de mettre en œuvre des politiques d’accès et de sécurité à des groupes particuliers d’utilisateurs. Les ports dans le même VLAN partagent des broadcasts. Ceux qui sont dans différents VLAN ne partagent pas les mêmes broadcasts. Contenir les broadcasts dans un VLAN améliore les performances globales du réseau.

Un VLAN

peut exister sur un ou plusieurs switches. Ils peuvent inclure des stations dans un ou plusieurs bâtiments. Ils peuvent également se connecter à travers les WAN qui signifient «  Wide area Network ».

Le processus qui permet de transférer du trafic réseau d’un VLAN à un autre à l’aide d’un routeur est appelé le routage inter-VLAN. Chaque VLAN est associés à un sous-réseau IP uniques sur le réseau. Cette configuration de sous-réseau par vlan facilite grandement le processus de routage dans un environnement multi-VLAN.

Pour faciliter le routage entre VLAN, il faut connecter des interfaces du routeur au vlan. Ainsi un vlan pourra en joindre un autre en passant par le routeur.

En général, les sous-réseaux sont choisis en fonction des VLAN auxquels ils sont associés. La figure montre que VLAN 2 utilise le sous-réseau 10.0.2.0/24, le VLAN 3 utilise 10.0.3.0/24 et le VLAN 4 utilise 10.0.4.0/24. Dans cet exemple, le troisième octet identifie clairement le VLAN auquel appartient l’appareil.

Création d’un VLAN

Sur de nombreuses switchs Cisco, la commande de configuration globale « vlan + son N° » permet de créer un VLAN et de rentrer dans son mode de configuration afin de lui associer une IP. La même commande précédée de « no » supprime le VLAN en question. Par exemple, nous voulons créer un VLAN qui porte l’id 2 et qu’on nommera « Sales » pour « ventes ».

Création d'un VLAN

Tout d’abord, il faut rentrer en mode de configuration globale en faisant un « Configure terminal ».
Ensuite, la commande « vlan 2 » permet de créer le vlan (s’il n’est pas déjà créé) et rentre dans son mode de configuration.
Le sigle (config-vlan) montre bien qu’on est dans la configuration du vlan.
La commande « name Sales » permet d’affecter le nom « Sales » au vlan 2

vlan

Pour créer un VLAN,

il faut simplement lui affectez un numéro et un nom. Le VLAN 1 est le VLAN  par défaut. Les VLAN sont identifiés avec un numéro compris entre 1 et 1001, il s’agit du range normal. Les VLAN de1002 à 1005 sont réservés aux protocoles Token Ring et FDDI.

le token ring, est une topologie de réseau associé à un protocole de réseau local qui fonctionne sur la couche « liaison » du modèle OSI. Le protocole utilise une trame spéciale de trois octets, appelée jeton, qui circule dans une seule direction autour d’un anneau. Les trames token ring parcourent l’anneau dans un sens unique.
FDDI est un type de réseau informatique LAN ou MAN permettant d’interconnecter plusieurs LAN à une vitesse de 100 Mbit/s sur de la fibre optique (ce qui lui permet d’atteindre une distance maximale de 200 km).
C’est un protocole utilisant un anneau à jeton à détection et correction d’erreurs.
Ca topologie, ressemble de près à celle de token ring, à la différence près qu’un ordinateur faisant partie d’un réseau FDDI peut aussi être relié à un second réseau.

Revenons au VLAN, Les ID’ vlan 1 et de 1002 à 1005 sont automatiquement créés et il est impossible de les supprimer.

Les configurations des vlans sont écrites dans un fichier sur le switch qui se nomme vlan.dat C’est la base de données des VLAN. Pour afficher les VLANs il faut faire un : « show vlan » dans le mode privilégié de l’ios. Le fichier vlan.dat est stocké dans la mémoire flash.

Pour ajouter un VLAN, il faut spécifier au moins un numéro de VLAN. Si on ne saisit pas de nom pour le VLAN, il sera nommé par défaut. Par exemple pour un vlan id de 4, il portera le nom par défaut de VLAN0004.

Show vlan id 2

Show vlan id

La commande show vlan id + son Numéro_de_vlan affiche les informations du vlan.

Cela affiche le contenu du fichier vlan.dat. Dans l’exemple, Le VLAN « Sales », qui est le VLAN 2, est configuré sur le port Fa0/3 du switch.

Cette commande permet d’afficher les ports de switch attribués sur chaque VLAN.

Affectation d’un port à un VLAN

Lorsqu’on connecte un système sur le port d’un switch, il faut l’associer à un VLAN. Pour cela, il faut affectez le vlan au port du switch. Un port qui est associé à un VLAN devient un port d’accès.

VLAN

switchport mode

La commande configure terminal permet d’entré dans le mode de configuration global.
Interface FastEthernet 0/3 entre dans la configuration de cette interface.
Switchport mode access permet de configurer le port en mode accès.
Et switchport access vlan 2 définit le port dans le vlan 2.

Après la création d’un VLAN, il faut affecter manuellement un port ou plusieurs ports à ce VLAN. Un port peut appartenir à un seul VLAN à la fois.

Par défaut, tous les ports sont membres du vlan1

la commande show vlan brief permet d’afficher les affectations des vlan au port du switch.
Par exemple ici, on voit bien que le port Fa0/3 du switch fait partit du vlan 2

show vlan brief

La commande show vlan en mode de configuration privilégié affiche l’affectation de VLAN et d’autre détail de tous les ports du switch.

show vlan

La commande show interface FastEthernet0/3 switchport affichera uniquement les informations du VLAN pour l’interface demandée. La sortie de cette commande, montre des informations sur l’interface, où l’on voit bien le VLAN2 ainsi que son nom.

Trunking (802.1Q)

En théorie, pour faire passer les flux d’un vlan d’un switch à un autre, il faudrait un câble pour chaque vlan créé entre les 2 switchs. Plus il y’a de Vlan et plus il y’aura de câbles physiques entre les deux switchs.
Les ports sont donc utilisés pour l’ interconnexion entre les deux switchs et non pour des utilisateurs. Sur la photo, on a 3 vlan, et donc 6 ports (3 par switch), utilisés uniquement pour faire passer les flux du vlan d’un switch à un autre.

Trunking

pour éviter de gâcher des ressources sur le switch, on utilise un lien Trunk.
Ainsi il sera possible de faire passer plusieurs VLAN sur un même lien.

Un trunk permet le transport de trames de différents VLAN.

Chaque trame qui passe sur ce lien est taguée par un numéro correspondant à son numéro de VLAN.
Le switch transmettra les trames au vlan correspondant en fonction de ses tags.
Un Tag, c’est comme une étiquette qu’on colle au paquet afin de savoir à quel groupe il appartient.

Tag VLAN

Tag VLAN

Sur des réseaux de plusieurs VLAN et qui ont plusieurs switches interconnectées, il faut utiliser un lien Trunk entre les switchs. Le trunk marque le VLAN sur l’entête du paquet, avant de l’envoyer sur l’autre switch.

Trunk

Le Trunk permet aux switchs de faire circuler des trames de plusieurs VLAN sur un seul lien physique. Par exemple, sur la figure, si le switch1 reçoit un broadcast du port Fa0/1 faisant partit du vlan1, comme le switch 2 à également des ports du même vlan, il devra tagué la trame et l’envoyer sur le trunk pour la transmettre au port du vlan 1 de l’autre switch. Le switch 2, quand il recevra cette trame tagué du vlan1, il supprimera l’entête et la transmettra à tous les ports faisant partit du vlan 1.

IEEE 802.1Q

IEEE 802.1Q

Le Trunk, connu aussi sous le nom de I3E 802.1Q, insère à l’entête de la trame d’origine, un champ de 4 octets permettant d’y placer l’id du vlan. L’entête contient toujours les adresses MAC source et destination d’origine. Comme l’entête d’origine a été modifié, l’encapsulation 802.1Q oblige à recalculer le champ FCS d’origine dans la trame Ethernet, car il est basé sur le contenu de la trame entière. FCS signifie : Frame Check Sequence

 Frame Check Sequence

Configuration d’un Trunk

Pour configurer un trunk entre 2 switchs, afin de faire circuler les VLAN’s, il faut aller en mode de configuration globale en faisant un « Conf T », se connecter sur l’interface en question, ici le port 0/11, et faire un « switchport mode trunk » C’est tout ce qu’il y’a à faire.

La commande que l’on voit : « switchport trunk native vlan 99 » permet de définir le vlan native sur l’id 99. Par défaut sur l’ensemble des switchs le vlan natives est le 1.
Certaines trames véhiculées sur un trunk ne sont pas taguées. Il faut donc pouvoir les placer quelque part. C’est là qu’intervient le vlan natif.

Le vlan natif,

est le vlan dans lequel sont véhiculées les trames non taguées. Donc si un switch reçoit sur une interface trunk une trame Ethernet standard, il la placera dans ce vlan natif, en quelque sorte, c’est comme un vlan par défaut.

Sur les équipements Cisco, certains protocoles comme CDP (Cisco Discovery Protocol) ou DTP (Dynamic Trunk Protocol) sont véhiculés dans des trames non taguées et donc dans le vlan natif.
DTP est un protocole propriétaire de Cisco, qui gère la négociation automatique du trunk.
DTP est automatiquement activé.

 

Pour revenir à la configuration du trunk, il faut bien s’assurer que de l’autre côté la configuration est identique. Dans l’exemple le port Fa0/6 doit être configuré à l’identique que le Fa0/11. En mode trunk et avec un vlan natif défini sur 99 au lieu de 1.

Configuration d'un Trunk switchport mode trunk Configuration d'un Trunk show interfaces trunk

 

Les commandes : « show interfaces switchport » et « show interfaces trunk » permettent d’affiché les paramètres détaillés du trunk et les informations des vlan’s.

DESIGNER LES VLAN’S

Les VLAN’s permettent de créer des limites afin d’isoler le trafic. Lors de la conception, la topologie des vlan’s doit être vue avec attention.

La couche d’accès des switches cisco prend en charge jusqu’à 64, 256 ou 1024 VLAN. Le nombre maximum de VLAN dépend du switch.

Les switchs Cisco ont une configuration d’usine par défaut dans laquelle différents VLAN sont préconfigurés. Le VLAN par défaut des switch’s est le VLAN 1. Le protocole CDP  l’ utilise.

Une bonne pratique de sécurité consiste à séparer la gestion du switch et le trafic des données utilisateur afin de rendre impossible aux utilisateurs d’établir une connexion Telnet sur le switch.

Pour administrer un switch Cisco à distance, il doit avoir une adresse IP. Cette IP doit se trouver dans le VLAN de gestion, qui est le VLAN 1 par défaut.

Il est également conseiller, par sécurité, de modifier le VLAN natif par défaut, en vlan 99 par exemple.

DESIGNER LES VLAN’S

Lors de la configuration d’un Trunk, il faut s’assurer que le VLAN natif est bien le même d’un switch à un autre. Si les extrémités sont différentes, des boucles de spanning three peuvent se produirent. Dans ce cas, l’IOS remontera des erreurs.

le protocole DTP pour Dynamic Trunk Protocol, aide à négocier automatiquement le port en mode accès ou en mode trunk. DTP à 2 types de mode :

le mode Dynamic auto :  Ici, le port négociera le mode automatiquement, avec une préférence pour le port d’accès.
et le mode Dynamic desirable : C’est la même chose que le dynamic auto, sauf une préférence pour le port trunk.

la commande « switchport no negotiate » désactive l’auto négociation du switch.

Redondance LAN

Si on ajoute des switchs, il est possible d’établir une redondance. La connexion de deux switchs aux mêmes segments de réseau assure un fonctionnement continu s’il y a des problèmes avec l’un des segments. La redondance assure la disponibilité constante du réseau, mais des boucles peuvent se produire si la conception est mauvaise.

Redondance LAN

Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux points, cela s’appelle une topologie sans boucle. La présence de boucle génère des tempêtes de broadcast, qui paralysent le réseau : quand ça se produit, tous les liens sont saturés de broadcast qui tournent en rond sur les boucles réseau. Les tables d’apprentissage des switchs deviennent complètement instables.

une solution serait de ne pas tirer les câbles en surnombre de manière à ne pas avoir de boucles dans le réseau. Par exemple on pourrait supprimer le segment 4 de la photo. Et de cette manière, il y’aurait bien qu’un seul chemin entre le PCA et le PCB. Mais, un bon réseau doit offrir de la redondance pour proposer un chemin alternatif en cas de panne d’une liaison ou d’un switch.

Spanning Tree Protocol

la solution aux boucles est STP (Spanning Tree Protocol).

C’est un protocole réseau de couche 2, permettant de déterminer une topologie réseau sans boucle.

  • STP, oblige certains ports à être dans un état bloqué afin de ne pas créer de boucle.
  • S’il y a un problème de connectivité avec l’un des segments du réseau, STP rétablira la connectivité en activant automatiquement le chemin bloqué. Cela n’entrainera des retards que de 30 secondes au maximum.

L’algorithme de spanning tree, garantit l’unicité du chemin entre deux points du réseau tout en n’interdisant pas les câbles en surnombre. Pour cela, il bloque administrativement certains ports des commutateurs.

Sur les switchs cisco, le spanning tree est activé par défaut

wikipedia

Connectivité Internet : NAT PAT client DHCP

Routage entre Vlan’s

Laisser un commentaire