PrésentationdesvlanMikrotikWIFI FRANCENETWORKINGSOLUTIONS
www.wifi-France.com
IntroductionQu’estcequ’unvlan?
UnVLANpermetdecréerdesdomainesdediffusion(domainesdebroadcast)gérés parlescommutateursindépendammentdel’emplacementoùsesituentlesnœuds,cesontdesdomainesdediffusiongéres logiquement
LesavantagesdesVLANs sontlessuivants:
Laréductiondesmessagesdediffusion(notammentlesrequetes ARP)limitésàl'intérieur d’unVLAN.Ainsilesdiffusionsd'unserveurpeuventetre limités auxclientsdeceserveur.Lacréationdegroupesdetravailindépendantsdel'infrastructurephysique;possibilitédedéplacerlastationsanschangerderéseauvirtuel.
www.wifi-France.com
L’augmentationdelasécuritéparlecontroledeséchangesinter-VLANutilisantdesrouteurs(filtragepossibledutraficéchangéentrelesVLANs).
L’indépendanceentreinfrastructurephysiqueetgroupedetravailimpliquequ’uncommutateurpuissegérerplusieursVlanetqu’unmemeVlanpuisseetrerépartisurplusieurscommutateurs.
Enconséquence,unetramequicirculedansuncommutateuretentrelescommutateursdoitpouvoiretreassociéeàunVlan.
PourrépondreauxobjectifsdesVlanlarèglesuivantedoitetreimpérativementrespectée:unetramedoitetreassociéeàunVlanetunseuletnepeutpassortirduVlan,sinonl’étanchéitéduniveau2n’estplusrespectée.
Lesméthodesdeconstructiond’unVlandoiventdoncdéterminerlafacondontlecommutateurvaassocierlatrameàunVlan.UsuellementonprésentetroisméthodespourcréerdesVLAN:lesvlanparport(niveau1),lesVlanparadressesMAC(niveau2),lesVlanparadressesIP(niveau3)ainsiquedesméthodesdérivées.
www.wifi-France.com
LesVlanparport(Vlandeniveau1)OnaffectechaqueportdescommutateursàunVLAN.
L’appartenanced’unetrameàunVLANestalorsdéterminéeparlaconnexiondelacarteréseauàunportducommutateur.LesportssontdoncaffectésstatiquementàunVLAN.
SiondéplacephysiquementunestationilfautdésaffectersonportduVlanpuisaffecterlenouveauportdeconnexiondelastationaubonVlan.Siondéplacelogiquementunestation(onveutlachangerdeVlan)ilfautmodifierl’affectationduportauVlan.
www.wifi-France.com
LesVlanparadresseMAC(Vlandeniveau2)OnaffectechaqueadresseMACàunVLAN.
L’appartenanced’unetrameàunVLANestdéterminéeparsonadresseMAC.Enfaitils’agit,àpartirdel’associationMac/VLAN,d‘affecterdynamiquementlesportsdescommutateursàchacundesVLANenfonctiondel’adresseMACdel’hôtequiémetsurceport.
L'intérêtprincipaldecetypedeVLANestl'indépendance vis-a-visdelalocalisationgéographique.Siunestationestdéplacéesurleréseauphysique,sonadressephysiquenechangeantpas,ellecontinued’apparteniraumêmeVLAN(cefonctionnementestbienadaptéàl'utilisationdemachinesportables).
SionveutchangerdeVlanilfautmodifierl’associationMac/Vlan.
www.wifi-France.com
LesVlanparadressedeNiveau3(VLANdeniveau3)Onaffecteuneadressedeniveau3àunVLAN.
L’appartenanced’unetrameàunVLANestalorsdéterminéeparl’adressedeniveau3ousupérieurqu’ellecontient(lecommutateurdoitdoncaccéderàcesinformations).Enfait,ils’agitàpartirdel’associationadresseniveau3/VLANd‘affecterdynamiquementlesportsdescommutateursàchacundesVLAN.
DanscetypedeVLAN,lescommutateursapprennentautomatiquementlaconfigurationdesVLANenaccédantauxinformationsdecouche3.CeciestunfonctionnementmoinsrapidequeleVlandeniveau2.
QuandonutiliseleprotocoleIPonparlesouventdeVlanparsous-réseau.
www.wifi-France.com
Lesautresméthodes pourdéfinir desVlanOntrouvedanslalidérature desréférences auVlanparprotocolesC’estàdirequ’onassocieunetrameàunVlanenfonctionduprotocolequ’elletransporte.Ceprotocolepeutetre unprotocoledeniveau3pourisolerlesfluxIP,IPX,Apppletalk .etc...
MaisonpeuttrouveraussidesVlanconstruitsàpartirdeprotocolesupérieur (notammentH320).OnparlequelquefoisdeVlanparrègles oupartypesdeservice.
Enfinl’apparitionduWi-fi posedesproblèmes desécuritequelesVlanpeuventrésoudre.Ainsiunesolutionbasée surdesVlanparSSIDestenvisageable.
www.wifi-France.com
Lanorme802.1QEtiquetage du réseau VLANOnutilisedesétiquettesVLANpourindiquerlappartenanceàtelréseau VLANdunetrameencirculation.
Cesétiquettes sontfixéesàlatrameaumomentoùellefaitsonentrée dansunportdecommutateurappartenantàunréseau VLAN.
Ellessontretiréeslorsquelatramequitteunportappartenantàceréseau VLAN.
Letypeduportappartenantauréseau VLANdéterminesil’étiquette VLANdoitounonresterfixéeàlatrame.LesdeuxtypesdeportspossiblesauseindunenvironnementVLANsontlesportsd’accès etlesportsdeliaison.
www.wifi-France.com
ChaquetrameavecuneétiquetteVLANcomportedeschampsindiquantsonappartenanceàunréseauVLAN.IlexistedeuxgrandsformatsdétiquettesVLAN:
§ leformatdeliaisoninter-commutateurISLdeCisco
§ leformatstandard802.1Q.
TandisqueISLestunformatpropriétairedeCisco,802.1QestunformatIEEEstandard.Leformat802.1Qpermetauxtramesétiquetéesdecirculerentrelescommutateursdeplusieursconstructeurs.
L’étiquette802.1Qcomportemoinsdechampsquel’étiquette ISL.Elleestinséréedanslatrameetnonplacéeendébutdetrame.
www.wifi-France.com
Comme lemontre leschéma, letagdot1q comporte plusieurs informations:
Un identifiant duprotocole (2octets)
3bitspour indiquer unepriorité (utiliséspour desfonctionnalités deQoS auniveau delatrame).
CFI:1bitservant àgarantir lacompatibilité entre lestrames ethernetettoken-ring (cebitesttoujours à0pourune trameethernet).
L’identifiant duvlan, codésur12bits(valeurs allant de0à4096, certainesn’étant pasutilisées)
www.wifi-France.com
Vlanbasésurlesports
www.wifi-France.com
/interfacevlanadd interface=ether2name=eth2-vlan200 vlan-id=200add interface=ether2name=eth2-vlan300 vlan-id=300add interface=ether2name=eth2-vlan400 vlan-id=400
/interfacebridgeadd name=bridge-vlan200add name=bridge-vlan300add name=bridge-vlan400
/interfacebridgeportadd bridge=bridge-vlan200 interface=eth2-vlan200add bridge=bridge-vlan200 interface=ether6add bridge=bridge-vlan300 interface=eth2-vlan300add bridge=bridge-vlan300 interface=ether7add bridge=bridge-vlan400 interface=eth2-vlan400add bridge=bridge-vlan400 interface=ether8
www.wifi-France.com
VlanbasésurlesadressesMAC
www.wifi-France.com
Create agroupofswitched ports./interfaceethernetsetether7master-port=ether2
Enable MACbased VLANtranslationonaccess port./interfaceethernet switchportsetether7allow-fdb-based-vlan-translate=yes
Add MAC-to-VLAN mapping entriesinMACbased VLANtable./interfaceethernet switchmac-based-vlanaddsrc-mac=A4:12:6D:77:94:43new-customer-vid=200addsrc-mac=84:37:62:DF:04:20new-customer-vid=300addsrc-mac=E7:16:34:A1:CD:18new-customer-vid=400
Add VLAN200,VLAN300andVLAN400tagging onether2porttocreate it asVLANtrunk port./interfaceethernet switchegress-vlan-tagadd tagged-ports=ether2vlan-id=200add tagged-ports=ether2vlan-id=300add tagged-ports=ether2vlan-id=400
www.wifi-France.com
Vlanbasésurleprotocole
www.wifi-France.com
Create agroupofswitched ports./interfaceethernetsetether6master-port=ether2setether7master-port=ether2setether8master-port=ether2
SetVLANforIPandARPprotocols/interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=arp set-customer-vid-for=all new-customer-vid=0add port=ether6protocol=arp set-customer-vid-for=all new-customer-vid=200add port=ether2protocol=ip set-customer-vid-for=all new-customer-vid=0add port=ether6protocol=ip set-customer-vid-for=all new-customer-vid=200
SetVLANforIPXprotocol/interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=ipx set-customer-vid-for=all new-customer-vid=0add port=ether7protocol=ipx set-customer-vid-for=all new-customer-vid=300
SetVLANforAppleTalkAARPandAppleTalkDDPprotocols./interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=0x80F3 set-customer-vid-for=all new-customer-vid=0add port=ether8protocol=0x80F3 set-customer-vid-for=all new-customer-vid=400add port=ether2protocol=0x809Bset-customer-vid-for=all new-customer-vid=0add port=ether8protocol=0x809Bset-customer-vid-for=all new-customer-vid=400
www.wifi-France.com
RetrouveztoutelagammeMikroTik surwww.wifi-France.com
Top Related