igm.univ-mlv.frigm.univ-mlv.fr/~duris/NTREZO/20042005/Appert... · 8 ˜* ˝ ˚ Adrien Serveur...
Transcript of igm.univ-mlv.frigm.univ-mlv.fr/~duris/NTREZO/20042005/Appert... · 8 ˜* ˝ ˚ Adrien Serveur...
1
������������������� �� �����
����������� ��������������������������
����������� ���� !"#� �����
����������
Exposé de « Nouvelles Technologies Réseaux »
2
������������������� �� �����
$ ����
$ ������
$ �����
$ ������
���� �� �������
3
������ � ��� ��!�
Définition : Virtual Local Area Network
Utilité : Plusieurs réseaux virtuels sur un même réseau physique
VLAN A VLAN B LAN A LAN B
=
4
������ � ��� ��!�
"��#$ �� ������%
$ %���%��&�� �'����(
$ %�����������)���� �'�����
$ %��������������*�%��&������� �'����!
������� ��� �� �%
$ �+���%�����,��&�&��-�����%�����&
$ ���.�����������&����������������/&�.� ��&����
$ ���,����&�������'��������0�1�%�#��&
5
�����& ��� �'��
������ ���� �'������� �����$���$���
� (�%��&�����/&�.�����(��+��
� ���,�����������'��������0�1�%�#��&
� 2 3������+������&������+���%���%��&
VLAN A VLAN BVLAN PAR DEFAUT
6
�����& ��� �'��
������ ���� �'������� �����$������ �(�)
� �+������,���&����������������)��
� ���,�����������'��������0�1�%�#��&
���%���������������������&����������&�&��
�,,���&������%����������"��������,�&������%������
+
-
7
�����& ��� �'�"
������ ���� �'�"����� �����$����'�� �'�'�$���$�������
� �+������,���&���������������������������������&����##��������&4%�����%��&�����
� ���,�����������'��������0�1�%�#��&
��%���&�������,��5
�������&�������%��,��#�����
+
-
8
������ *����������
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP ARP
ARP
ARP
@MAC serveur ���� @IP
VLAN PAR DEFAUT
Situation 1 : VLAN DEFAULT
9
������ *����������
Situation 1 : VLAN DEFAULT
Adrien
Serveur Nicolas
Sniffer
Ping serveur
ICMP
ICMP
ICMP
ICMP
VLAN PAR DEFAUT
Ping ok
10
������ *����������
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <n°port>
Sniffer
# vlan <id_vlan> name <nom_vlan>
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
11
������ *����������
Adrien
Serveur Nicolas
Sniffer
@MAC Serveur ?
ARP
ARP
Ping serveur :���� Destination unreachable
VLAN A VLAN PAR DEFAUT
Situation 2 : Serveur dans VLAN « A » , Adrien & Nicolas dans VLAN DEFAULT
12
������ *����������
Adrien
Serveur Nicolas
VLAN A VLAN PAR DEFAUT
# vlan <id_vlan> untagged <n°port>
Sniffer
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
13
������ *����������
Adrien
Serveur Nicolas
Sniffer
VLAN A VLAN PAR DEFAUT
Situation 3 : Serveur & Adrien dans VLAN « A » , Nicolas dans VLAN DEFAULT
Ping ok
14
������ ������+
������ %
$ (�������1�%�#��&�%����%��������������5
, �-������ %
$ ���#�&�6 �����&���&�������������������%.1��#��&����%��&����������������
$ +#&������,,����������������&�
.�'��� %
$ 7�%���&�������,��5���&����,,����&������%����0�&���&�����
15
�����/�� ,���������' ��!�
� ��&������'��������'���������##�&�&���
� )���-��1�06 %�����&8����������&������'��������'�����&.����&���6 �����'���5���%������
� 9������##��&�%��%������0�%%��&�������6 ����+����0�����##�&�&����'���������&���:
�����#�&1���;����1�0����&��#����������0�����##�&�&����6 �����&��8���##��&����&,��������%%��&�������6 ���'����:
16
�����/�� ,���������' ��!�
VLAN ADEFAULT VLAN
DEFAULT VLAN VLAN A
17
�����/�� � ��� ��!�
$ �����#%�1��������;�
� ������&� �����,�������#<#����+��� �����.�1�����##�&�&�����=#<#���+�����>
� ����&��#�����'��&�<&���&������ ��������&����,��&
Objectif : Transport de plusieurs VLANs sur un lien unique, par exemple :
� Commutateurs / Commutateurs� Commutateurs / Serveurs
18
�����/�� � ��� ��!"
VLAN A
Tags sur les trames
VLAN ADEFAULT VLAN
DEFAULT VLAN VLAN A
19
$ �5&���������,��#�&��&.����&8��-��&����?���&�&�
�����/�� � ��� �"!"
$ �4%��;�@ 5A( B %�������%��&������A �C(D$ A �C(D�;
�����&4�=!�&�>�����=(�&>���9�=(��&�>
20
VLAN ADEFAULT VLAN
DEFAULT VLAN
�����/�& *������������
VLAN A
Adrien
Nicolas Serveur
21
VLAN ADEFAULT VLAN
DEFAULT VLAN
�����/�& *������������
VLAN A
Adrien
Nicolas Serveur
22
VLAN ADEFAULT VLAN
DEFAULT VLAN
# vlan <id_vlan> tagged <n°port>
�����/�& *�����������"
VLAN A
Tag 802.1Q
Adrien
Nicolas Serveur
23
VLAN ADEFAULT VLAN
DEFAULT VLAN
�����/�� *�����������0
VLAN A
Adrien
Nicolas Serveur
24
VLAN ADEFAULT VLAN
DEFAULT VLAN
�����/�& *�����������.��-�.��-
VLAN A
Tag 802.1Q
Sniffer
Nicolas
Adrien
Serveur
25
���.&��&�����������������&��%�����#%��&��&���;
$ ��#���5�'�����$ A �C(D$ ���������������'������;�7��$ ��������'��&�����#��������
12�������+ �� ������ ���'�.�,%������
������� 3�����'�����
26
$ A �C(��E�)7���E���7�
$ ������&�����7���%���'������������0����%����&�
$ ��#%��5��6 #�&&������%�����=����'���������%&��>
$ ���.������������&�8�%������������%%��&���%���&��������#�&�����
������� � ���
27
������& 4�5 ���-�!�����������
Objectifs :
- Meilleure utilisation des liens- Temps de convergence de 3 secondes- Redondance de niveau 2 accrue
Limitations :
- Matériels limités en nombre d’instances- Peu de softs snmp savent gérer 802.1s
28
������& 6� �$� ����(.�,�7�!�8
2/ Configuration 802.1q
3/ Configuration STP
1/ Configuration VLANs vlan vertvlan bleuvlan rouge
vlan vertvlan bleuvlan rouge
vlan vertvlan bleuvlan rouge
R
29
������& 6� �$� ��� ��(.�,�7�!�8
1/ Configuration instances
Instance #1Instance #2Instance #3
Instance #1Instance #2Instance #3
Instance #1Instance #2Instance #3
2/ Configuration mapping
3/ Configuration root bridges: vlan vert: vlan bleu: vlan rouge
: vlan vert: vlan bleu: vlan rouge
: vlan vert: vlan bleu: vlan rouge
R
RR
30
�������� 3�����'�����
• Permet l’élaboration de mécanismes d’authentification et d’autorisation pour l’accès au réseau
• Se développe grâce au WiFi
• Norme développée à l’origine pour les VLANs
=> Attribution d’un VLAN en fonction de l’identification
31
�������� ��� �� ��'�
Serveur
Switch d’accèsClient 802.1x
Supplicant Authenticator Authentication Server
• Avant authentification : seul trafic nécessaire à l’authentification est permis• Après authentification : tout trafic
32
�������� ,�������
• EAP au dessus du réseau local : EAPOL (EAP over LAN)• EAP peut encapsuler plusieurs types de protocoles d’authentification :
• MD5• TLS• TTLS
Serveur Radius
Switch d’accèsClient 802.1x
EAPoL Radius
• Le commutateur joue le rôle de relais
• Le protocole Radius encapsule les messages EAP• Le serveur Radius pourra s’appuyer soit sur sa base de donnée interne, soit sur un annuaire LDAP
33
�������& *����������
‘ Activer l’authentification 802.1x sur le port 23 ’aaa port-access authenticator 23aaa port-access authenticator active‘ Définir le serveur radius, la clé d’échange et le protocole de communication ’radius-server host 10.0.0.1radius-server key clerezoaaa authentication port-access eap-radius
Serveur FreeRadius SwitchNicolas
Adrien
• Le fichier ‘radiusd.conf’ajouter l’authentification eap
• Le fichier ‘client.conf’déclarer les switchs qui feront des requêtes vers le serveur
• Le fichier ‘users’contient les informations de chaque utilisateur
- login- mot de passe- vlan affecté- etc…
• Standard sous XP, SP3 sous 2000• Xsupplicant sous Linux
‘ Vérification des authentifications ’Switch1# show port-access authenticator
34
9 6������