Se connecter / S'enregistrer
Votre question

Configurer et paramétrer des VLans [TUTO]

Tags :
  • Réseau
  • Tutoriel
  • vlan
  • Internet
Dernière réponse : dans Internet
11 Octobre 2007 10:09:35

EDIT Fenrir :
post édité pour épingler le sujet, il commence à contenir un bon paquet d'infos, il serait dommage de le perdre au fin fond du forum
**************************************

Bonjour ,

j'aimerais savoir si vous pouviez m'aider car je dois rédiger un dossier sur les vlans mais je ne trouve pas toutes les informations que je souhaite

j'aimerais savoir pour quel genre d'entreprise les vlans sont-ils utiles ? ( entre combien et combien de machines sur le réseau ? ) ( quelle type de structure ? des services différents dans l'entreprise ? )

J'ai vu que cela limitait l'étendue de diffusion du broadcast , ce que je conçoit , mais comment les vlans permettent-ils d'augmenter la bonne utilisation de la bande passante ?

comment cela peut-il être plus facile ou maniable d'administrer son réseau ?

Si j'ai 3 vlans , et que je n'ai qu'un seul switch , comment faire pour que le vlan 1 puisse communiquer avec le vlan 2 et qu'il ne puisse pas communiquer avec le vlan 3 ? ( ou tout simplement , comment faire pour que 2 vlans communiquent ensemble ? car j'ai vu le cas avec de deux switchs et un lien trunk mais je ne sais pas non plus comment cela marche vraiment )

En quoi cela améliore t'il la sécurité ?

comment faire pour faire un vlan de secour ? au cas où un tombe

Merci d'avance ( beaucoup de questions :s désolé )

Autres pages sur : configurer parametrer vlans tuto

11 Octobre 2007 13:26:58

ici c'est tres bien expliqué : http://www.locoche.net/vlan.php :) 
apres il s'agit de la partie technique, pour la partie utilisation, je pense que le mieux serait de contacter une entreprise qui en utilise, et essayé d'avoir un peu plus d'info la dessus.
je ne pense pas que tu ai de reponse precise ici, ce forum n'est pas tres "poussé" on va dire, dans le sens ou la il s'agit de quelque chose de precis, qui releve de connaissance particuliere en entreprise :) 
11 Octobre 2007 15:57:42

D'accord :p  pourtant info-du-net est quand même un forum ou il y a des gens qui "touchent" bien.

Merci de ta réponse ;) 
Contenus similaires
11 Octobre 2007 16:04:08

oué mais plus sur le coté maintenance & reseaux de particuliers, apres quand il s'agit de pratique en entreprise, c'est vrai qu'a moins d'avoir bosser la dessus en cours ou entreprise, c'est chaud de repondre... :??: 
tout les topics que j'ai créé moi ou c'etait sur la partie entreprise et non particuliers, je n'ai jamais eu de reponse... d'ailleurs dont un toujours non elucidé :D 
11 Octobre 2007 16:22:00

oki :) 

c'est lequel qui est non elucidé ? :p 
11 Octobre 2007 19:23:57

Salut,

Tout d'abord je suis aps expert en reseau alors il peut y avoir des betises ^^. (je suis juste etudiant en ecole de reseau )

Vlan c'est pour effectivement des services différents dans ton entreprise, ca permet d'isoler les services et les accés a certains serveurs par exemple ou entre services. Pour la secu tu isoles ton reseaux donc les attaques, le filtrage mac est plus facile idem pour sniffer le reseau et voir les soucis plus rapidement. tu peux mieux gerer tes ports aussi.

Piur le broadcast ca doit etre les tables configurer qui font que cela est plus rapide (le fait de segmenter deja ton reseau ^^ packet avec identifiant du vlan surement (hypothese)) Pour faire communiquer 2 vlans ensemble inter vlan c'est possible

Pour un admin c'est bien d'un point de vue organisation et filtrage du trafic. Pour le reste tu trouves les reponses dans la certif cisco ccna theorique .... j'en suis pas encore a ce chapitre :D  .

11 Octobre 2007 23:33:40

je vais essayer d'être clair
Un vlan c'est un réseau isolé de manière "logique" d'un autre

Il y a plusieurs types de vlan, le plus courant consiste à assigner un vlan à un port physique d'un switch et ajoutant un tag dans la couche 2 des paquets passant par ce port, ce tag contient le numéro du vlan associé (ici le 4)
Exemple :
  1. Ethernet II, Src: 1.1.1.1 (00:0c:29:34:6b:e9), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
  2. Destination: Broadcast (ff:ff:ff:ff:ff:ff)
  3. Address: Broadcast (ff:ff:ff:ff:ff:ff)
  4. .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
  5. .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
  6. Source: 1.1.1.1 (00:0c:29:34:6b:e9)
  7. Address: 1.1.1.1 (00:0c:29:34:6b:e9)
  8. .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
  9. .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
  10. Type: 802.1Q Virtual LAN (0x8100)
  11. 802.1Q Virtual LAN
  12. 000. .... .... .... = Priority: 0
  13. ...0 .... .... .... = CFI: 0

.... 0000 0000 0100 = ID: 4
  1. Type: ARP (0x0806)
  2. Address Resolution Protocol (request)

Ensuite les paquets transitent dans le réseau, l'équipement qui reçoit les paquets voit le tag, et détermine ainsi son vlan

A titre d'exemple :
Un campus universitaire dispose de plusieurs bâtiments, certains sont des bâtiments de cours, d'autres son des bâtiments administratifs et les autres sont les chambres des étudiants
Une manière classique d'isoler les différentes population est de mettre chaque zone dans un réseau (au sens IP) et de connecter les switchs de chaque bâtiment à un routeur/firewall, c'est ce dernier qui fera le filtrage/flicage
Maintenant on a un bâtiment contenant à la fois des administratifs, des étudiants et des salles de cours, une façon de faire est de mettre autant de switch que de populations, ce qui implique d'avoir soit un routeur sur place, soit une ligne entre chacun des switch et le routeur
Une autre façon de faire, beaucoup plus rentable et souple (du point de vue administration réseau/maintenance) consiste à utiliser les vlans
On va par exemple mettre les ports 1 à 9 de notre switch dans le vlan 2 (vlan dédié aux administratifs), les ports 10 à 39 dans le vlan 3 (vlan des étudiants) et les ports 40 à 48 dans le vlan 4 (vlan des salles de cours)
Il ne reste plus qu'à relier le switch au routeur via une simple liaison (en mode trunk)

Toutes les trames passants par un des ports de ce switch seront marquées, et à leur arrivée sur le routeur, celui ci appliquera les bonnes règles

(je ne sais pas si cet exemple est clair...)

Sinon les vlans permettent d'optimiser plusieurs choses :
-le nombre d'équipements à maintenir (on peut mettre plusieurs populations sur un même switch)
-le broadcast sur le réseau (comme la séparation est faite au niveau 2, le broadcast d'un vlan n'atteint pas les autres vlans)
-on peut changer de réseau toute une population sans intervention sur les postes et (si c'est bien fait) sans interruption de service
-l'administration du réseau simplifiée, on ne se déplace plus pour mettre un utilisateur sur un autre switch, on change simplement le vlan assigné à son port

Sinon pour tes autres questions, on ne fait pas communiquer un vlan avec un autre directement (ce n'est pas possible et ça n'a aucun intérêt, autant mettre les 2 populations dans le même vlan), par contre, de la même manière qu'un routeur IP permet de faire communiquer un réseau avec un autre, on peut faire du routage inter-vlans (on en profite en général pour filtrer le trafic)

Pour ce qui est de la bande passante, en limitant les échanges entres des postes qui n'ont rien à ce dire et en segmentant un réseau physique en plusieurs réseaux logiques (ce qui permet d'appliquer de la QoS sur des populations et non plus sur des liens physiques), elle est grandement optimisée (mieux utilisée/moins de gâchis)

Un "trunk" est simplement un lien sur lequel on fait passer plusieurs vlan, les équipements situés à chaque extrémité de ce lien aiguillent les paquets "taggués" pour qu'ils n'aillent que sur les destinations autorisées (celles du même n° de tag, donc du même vlan)
on peut aussi limiter le nombre de vlan autorisés à passer dans un trunk

Ca augmente la sécurité dans le sens où les populations différentes ont l'impression d'être sur des équipements différents
PC A, port 1, vlan 2
PC B, port 10, vlan 3
tu peux faire ce que tu veux sur le poste B, jamais tu n'auras accès au poste A (sauf faille dans ton équipement réseau bien sur)

pour le coup du vlan de secours, un vlan ça ne tombe pas, c'est le switch qui tombe, ou la liaison physique
le pire : tes équipements arrêtent de tagguer les paquets, tous les utilisateurs branchés sur ces équipements vont se retrouver dans le même réseau

c'est pourquoi on évite tout de même de mettre trop de populations différentes sur un même équipement (ou une même cascade d'équipements)

je fais partie de l'équipe réseau d'une entreprise de bonne taille, on a environ 150 switchs, une vingtaine de fédérateurs (c'est une sorte de switch pour relier les switchs entre eux) et quelques routeurs
La dedans il y a une centaine de vlan...
12 Octobre 2007 09:26:13

pas mal du tout maith, tu es bien calé la dessus. :)  j'ai été mauvaise langue :D 
tu veux pas m'aider pour mon poste non elucidé? :D  :D  :D 
15 Octobre 2007 22:51:17

Merci pour ta réponse ! ça m'a éclairé sur pas mal de trucs :

mais tu dis :

-le broadcast sur le réseau (comme la séparation est faite au niveau 2, le broadcast d'un vlan n'atteint pas les autres vlans)
( le broadcast est plutot causé par les requêtes arp non ? )
le broadcast est effectué par plusieurs machines sur toutes les machines du réseau , tu pourrais m'expliquer plus en détail stp ?

je veux dire , le cache arp d'un pc qui associe l'adresse mac d'un pc à un pc , il reste valide combien de temps ?
comment fonctionne le cache arp sous windows ? car si le broadcast est un problème c'est que les requêtes doivent etre nombreuses , ou alors il y a d'autres truc qui causent les broadcast.

Et dans quel cas y a t'il des requêtes arp ?
Merci d'avance
15 Octobre 2007 23:28:19

je parlai du broadcast généré par les applications où les protocoles à la con (netbios pour ne citer que lui), donc du broadcast de niveau 3 (c'est le plus lourd)
mais c'est aussi vrai pour le broadcast ARP (ou tout autre type de broadcast)
le filtrage est fait au niveau 2 INCLUS, pas seulement après, donc tout ce qui est de niveau 2 ou plus y est soumis (ARP compris)

si on trouve le TAG de vlan dans la couche 2, c'est qu'il est difficile d'aller écrire plus bas :p 

pour la durée du cache ARP, ça dépend des systèmes (moins de 60sec en général)

une requête arp sert à une chose (enfin principalement) :
connaitre l'adresse physique à laquelle transmettre un paquet

quand tu veux envoyer un paquet de l'ip 192.168.0.1 vers l'ip 192.168.0.2, ton pc fait les actions suivantes :
1-il regarde dans son cache s'il n'a pas une correspondance IP<->MAC pour 192.168.0.2
2-sinon, il fait un broadcast ARP disant ceci : "Qui possède l'IP 192.168.0.2 ?"
3-cette demande étant envoyée à toutes les cartes réseau accessibles (dans le même vlan), la carte qui possède cette IP répond ceci "L'adresse 192.168.0.2 est à la MAC 00:...." à destination de la MAC adresse de 192.168.0.1
4-192.168.0.1 ajoute cette réponse dans son cache ARP et commence à discuter avec 192.168.0.2

tout ceci n'a de sens que si on se rappel d'une chose
les données sont TOUJOURS transportée de MAC ADDRESS vers MAC ADDRESS, JAMAIS d'ip vers ip
les ip sont là pour découvrir les MAC ADDRESS ou pour franchir les routeur (pour passer d'un réseau à un autre)

d'ailleurs prenons l'exemple d'un routeur
192.168.0.1 (masque sur 24bits et 192.168.0.254 comme passerelle) veux envoyer un paquet à 192.168.1.1 (masque sur 24bits et 192.168.1.254 comme passerelle)
avant d'envoyer quoi que ce soit dans le réseau, 192.168.0.1 s'aperçoit que 192.168.1.1 n'est pas dans son réseau, il demande donc à sa passerelle de transmettre le paquet à sa place

1-pas le bon réseau->j'envoie à ma passerelle
2-pour envoyer à ma passerelle, je détermine son adresse MAC
3-dans le paquet je précise que la destination est l'ip 192.168.1.1
4-le routeur récupère le paquet et cherche laquelle de ses interfaces connait le réseau 192.168.1.0/24
5-une fois qu'il a trouvé, il cherche l'adresse MAC de l'IP 192.168.1.1
6-il envoi le paquet à cette MAC ADDRESS

donc pour répondre à ta dernière question, il y a une requête ARP dès qu'il faut trouver transférer un truc à une destination qui n'est pas dans notre cache ARP

je ne sais pas ce que tu fais comme études, mais renseigne toi sur les différentes couche du modèle OSI

à titre d'indication en faisant de grosses approximations :
couche 1 : couche physique (signal électrique ou optique ou électromagnétique...), c'est le support
couche 2 : couche liaison (ethernet, fddi, mpls...), c'est elle qui assure la communication finale (et initiale), c'est dans cette couche que tu vas trouver les TAG et les adresses MAC
couche 3 : couche réseau (IP, IPX...), elle s'occupe principalement du routage, elle contient les adresses IP


edit : pour ton dossier

Cisco préconise de ne pas mettre plus de 200 postes sur un même VLAN, 50 recommandé
au delà il faut faire du layer3 (du routage en gros)
dans la pratique, le plus gros de mes vlans comprend 500postes, et on le sens passer :s (on va le découper asap mais d'autres priorités en ce moment)
j'ai plusieurs vlan d'une centaine de postes, pas de pb dessus
et dans tous les cas, on combien vlan et plans d'adressage pour optimiser le trafic, le filtrage et l'administration

->
un plan d'adressage par vlan/un vlan par plan d'adressage
ce n'est pas du tout une obligation, mais sinon tes routeurs vont perdre la tête (ou c'est toi qui va la perdre pour faire tes routes)
16 Octobre 2007 19:54:58

Merci :)  je suis en bts informatique de gestion en alternance , pour le model osi il n'y a pas de problèmes :)  mais j'aime bien avoir l'avis de tout le monde , et surtout approfondir les points dont je doute un peu :p  ( car bon le jury va me poser plein de questions auxquelles je n'aurais surement pas pensé )

merci :) 

( donc pour le vlan de secours , ça n'existe pas , donc il faut avoir un switch de secours sous la main ? configuré exactement comme le switch qui tombe ? )
16 Octobre 2007 20:44:07

tu as un truc qui s'appelle le VTP et un autre qui s'appelle le STP
je te laisse chercher un peu...mais sinon, oui, il vaut mieux avec quelques switchs de secours et être capable de remplacer les switchs défaillants avec la même configuration le plus vite possible

pour la redondance des liens, ne laisse jamais un switch fédérateur avec un seul chemin vers ton cœur de réseau, prévois toujours au moins un itinéraire bis

switch1--switch2--switch3
| |
| |
fédérateur-------backbone
| |
| |
switch4--switch5--switch6
(en rouge le chemin secondaire à utiliser en cas de panne)

dans ce schéma (très simplifié), n'importe quel switch peut tomber, le backbone reste joignable par tous les autres (la bascule d'un chemin à un autres est de l'ordre du centième de seconde avec du fastSTP)
18 Octobre 2007 00:06:53

alors le VTP c'est pour centraliser ses vlans et avoir une administration plus simple de ceux-ci , le spanning tree peut être intéressant pour mon dossier ( j'avais déja vu cette notion mais c'est vite oublié lol ) car je cherchais comment automatisé le fait que le réseau continue de tourner même si un switch tombe , donc si j'ai un switch qui est configuré pareil branché en plus , à mettons , et que le précedent tombe , le STP va automatiquement chercher un autre chemin sur les switchs , et va trouver une route pour bosser sur le dernier switch de secour ( vrai ? faux ? ).

Ensuite aspect sécurité , quelles sont les sécurités qu'apportent les vlans ?

bon ok donc , les broadcast ne sont plus diffusés partout sur le réseau , donc moins de traffic inutile , et comme les pc reçoivent des infos par broadcast , ça bouffe un peu de CPU pour rien non ?

heu , si un pc dans un vlan est atteint d'un virus ( pouf d'un coup comme ça lol ) , il peut infecter les autres pc du vlan ( en prenant juste en compte que le virus se balade tout seul , entre guillemets ) , mais pas les pc des autres vlans ?

j'ai entendu parler de virus qui se transmettent par broadcast ( vrai , faux ? )

sinon bein .... niveau sécurité il y a quoi de plus ? :p 

merci de ton aide :)  !
18 Octobre 2007 20:01:54

bloodeyes a dit :
up ?

:( 
laisse le temps aux gens de rentrer du travail, surtout un jour de grève (et là j'ai fini plus tôt en plus)

en gros oui

niveau sécu, ni plus ni moins que des réseaux séparés par des routeur avec ACL ou par des routeurs/firewall, en tout cas de prime abord, dans la pratique ça évite de se casser la tête à gérer des multiples règles de sécurité selon qu'un poste passe par telle ou telle pâte d'un routeur, donc comme c'est plus simple, il y a moins de risques d'erreur, moins d'erreur=plus de sécu

oui, ça allège la charge de traitement des paquets du réseau pour la carte réseau (si elle a son propre cpu) ou pour le cpu

un virus dans un vlan se comportera exactement de la même manière que dans un lan physique (séparé des autres lan par des routeur ou des parefeu)

pas tout à fait vrai, les vers (puisqu'en général il s'agit de vers) se servent du broadcast pour découvrir les postes qui ont la bonne faille

tu peux par exemple séparer un poste des autres postes du même bureau juste en le changeant de vlan, personne ne le verra, dans le même genre, quand tu as un problème de saturation causé par un poste infecté, c'est plus facile de le repérer car il suffit de regarder le vlan qui cause le plus et dans ce vlan, tu cherche ton poste problématique
tu peux également rediriger tout un groupe de postes sur un autre routeur sans changer quoique ce soit sur les postes, il suffit juste de monter l'adresse de la passerelle des postes sur un autre routeur qui accède à ce vlan
...en faite, en sécurité directe, ça n'apporte rien de plus qu'un LAN physique, mais en réactivité, en gestion de crise, en diagnostique, en PRA... c'est nettement plus souple, donc la sécurité (pas au sens attaque mais au sens fiabilité) de ton réseau en est améliorée
21 Octobre 2007 21:21:23

D'accord :) 

( le up ? c'était pour pas que le post parte dans les 3 ou 4 :/  désolé )

"tu peux également rediriger tout un groupe de postes sur un autre routeur sans changer quoique ce soit sur les postes, il suffit juste de monter l'adresse de la passerelle des postes sur un autre routeur qui accède à ce vlan"

Ca se passe comment sans vlans ?



Sinon :

Tu disais que les broadcast étaient surtout engendrés par Netbios ,netbios associe un nom à une ip si je me trompe pas.
Enfin , je ne sais pas vraiment comment ça marche ....
Pourrais tu m'expliquer en quoi cela produit des broadcast ? ( j'ai fais des recherche mais j'ai pas trouvé grand chose sur le fait que cela produise des broadcast )

Edit : Question supplémentaire lol

Dans les premiers post tu parlais d'un tag ;

Quelle que soit la manière de créer le vlan ( port , protocole , mac ) le paquet qui est envoyé d'une machine ou port appartenant à un vlan , se verra octroyé un tag qui contient son numéro de vlan auquel il appartient ( mais pas le vlan auquel le paquet est destiné , c'est bien ça ? )


merci
22 Octobre 2007 20:54:56

sans vlan, tu recâble une partie du réseau (toujours dans l'optique que l'on sépare les populations)

installe wireshark sur un réseau avec des postes windows et regarde la quantité de trames associées au netbios (colonne Protocol : browser, smb, nbns)
le netbios fonctionne par éléction, ça broadcast tout le réseau pour trouver le poste qui s'est "élu" maitre des noms, tu trouveras plus d'info ici :
http://www.linux-france.org/article/serveur/netbios/

c'est une question de vocabulaire
j'ai tendance à dire (je ne sais pas si j'ai raison ou tord) que toute séparation logique dans un réseau physique (en dessous de la couche 3) est un vlan
en fait en y réfléchissant, j'ai tord :) 
si on considère le 802.1Q, on tag (après que le critère soit le port physique ou la mac-address, ça importe peu)
si on considère l'ISL, on encapsule

mais dans le monde réel, on fait du 802.1Q, donc on tag

quand à ta dernière parenthèse :
( mais pas le vlan auquel le paquet est destiné , c'est bien ça ? )
tu n'as pas compris, un paquet ça reste TOUJOURS dans son propre réseau (que ce soit un vlan ou pas), SAUF, si ça passe par un routeur (que ce routeur gère ou non les vlan)

on ne parle donc pas de vlan de destination, ça n'a pas de sens, on parle de réseau de destination, si ce réseau est dans un autre vlan, alors il faudra faire la double action de router le paquet et de le mettre dans le bon vlan

rappelle toi qu'on travail on niveau 2 du modèle OSI

paquet sortant du poste, pas nécessairement de tag
paquet entrant dans le switch sur un port d'un vlan défini, on ajoute au paquet un TAG (n° du vlan)
le paquet et son tag se baladent sur le réseau (au sens physique) là où ils ont le droit (en fonction du tag) et là où ils doivent aller (ça c'est le fait qu'on utilise des switchs et pas des hubs)
ils arrivent sur l'équipement de couche 3 auxquels ils sont destiné (on va dire un routeur)
comme on est en couche 3, tout ce qui est en dessous on jette (donc le tag saute)
on examine le contenu de la couche 3 du paquet pour déterminer la carte réseau à utiliser pour la sortie
on balance le paquet (après quelques manipulations dans la couche 3 pour faire le routage et un ajout d'une nouvelle couche 2 contenant la MAC de la carte du routeur) à cette carte réseau
et éventuellement, on remet un tag sur la couche 2 du nouveau paquet s'il doit passer dans un vlan

après tu peux aussi faire du routage inter-vlan, mais je n'aborderai pas le sujet car tu ne maitrise ni le vlan ni le routage et qu'il faut maitriser les 2 à fond pour comprendre le fonctionnement en détail (je ne dis pas ça méchamment, je veux juste éviter de t'embrouiller)
23 Octobre 2007 19:32:54

Oki

heu ( mais pas le vlan auquel le paquet est destiné , c'est bien ça ? )
j'ai écris ça sans réfléchir lol ,j'ai bien compris le principe.
et quand je disais qui sort du poste ,je me suis mal exprimé ,je voulais dire évidement un poste qui envoie des données et qui appartient à un vlan ,mais par adresse MAC ,c'est pour ça que je dis d'un port ou d'une "machine".
et Je parlais évidemment de données qui circulent dans le switch ,car c'est le switch qui ajoute le tag ,pas les pc.
J'essayerais de mieu m'exprimer.

Pour le routage inter-vlan ,cela m'intéresse aussi car je dois faire un dossier assez complet

ah , et aussi , pour le netbios j'ai suivi ton lien , et il est dit que le nom netbios de chaques pc est envoyé toutes les 12 minutes, cela est encore d'actualité ? car le sujet à l'air un peu vieux.
le principe en gros c'est :
les pc envoyent toutes les X minutes leur nom qui iront se stockés dans une liste du maitre.
c'est ça ?
Donc , au niveau du broadcast ,ça se passe à quel moment ?
pour connaitre à quel pc ( maître ) les pc vont envoyer leurs nom ,ils font comment ? par broadcast ?

23 Octobre 2007 22:03:04

un PC peut aussi tagguer un paquet, à mon bureau par exemple, j'ai une carte réseau sur mon poste mais entre 15 et 20 vlans, le port du switch est juste configurer pour autoriser cette action

pour le routage inter-vlan, le Pvlan, le rapidSTP ou encore le mstp, je pense que ça dépasse largement le cadre de ce qui t'es demandé
mais si tu veux en savoir plus, le site de cisco regorge de docs, et wikipedia (en version anglaise) n'est pas mal non plus, sinon je viens de te trouver un petit lien :
http://docs.us.dell.com/support/edocs/network/pc6024/fr...

ais garde une chose en tête avec les réseaux, il y a de nombreuses techno, mais bien souvent il s'agit de techno qui sont propre à tel ou tel constructeur (cisco, nortel, 3com...) donc pas généralisables (et même chez un même constructeur, les techno dépendent du modèle des équipements)

un petit exemple qui n'a aucun rapport avec les vlan (mais qui fonctionne parfaitement dans un tel environnement) : le dhcp snooping
cette fonction permet de bloquer tout serveur dhcp ne venant pas de port autorisés (autrement dit, mettre un serveur dhcp sur une prise non autorisé ne sert à rien car le switch va bloquer le dhcp offer dans un sens et le dhcp discover dans l'autre)
et bien pour mettre cette fonction sur mon parc, j'ai du mettre à jour 80% de mes équipements (mise à jour du firmware, donc pas trop lourd)
maintenant si je veux passer mon réseau en mstp, je dois REMPLACER près d'une centaine de switch car ils ne savent pas faire), garde ça en tête pour ton dossier, les super fonctions c'est top, mais ça a un cout (et je ne parle même pas de l'augmentation de la charge cpu des switchs à force de leurs ajouter des fonctions)

pour le netbios, ça ne fonctionne que par broadcast, donc chaque requête est envoyée à tout le réseau
en partant du principe qu'il s'agisse d'une mise à jour toutes les 12min, si tu as 12postes sur ton réseau, ça fait un broadcast de découverte par minute + 11 broadcast de réponse (en moyenne)
donc sur un réseau de 120postes, tu as 120 broadcast toutes les 6secondes, soit 20 broadcast/sec
à cela tu ajoute le broadcast naturel du réseau (découverte ARP par exemple, dhcp discover/offer ...), ça te donne une idée du taux de broadcast que tu peux avoir sur un réseau
24 Octobre 2007 19:59:53

Message posté en MP, je le colle là qu'il est interessant :

Citation :
Bonsoir ,

Donc les vlans permettent d'avoir des équipements en moins à gérer/administrer/configurer/maintenir ,je peux donc mettre 2 services ( par exemple ) sur un seul switch ,comme s'ils étaient séparément sur deux switchs.

oui
Citation :

Séparer deux services peut par exemple permettre à l'un ,l'accès à internet ,et l'autre non.
oui
Citation :

Cela permet aussi de limiter les domaines de broadcast ( à cause de tout ce qui est ARP , Netbios , etc ... ).
Donc de gâcher inutilement la bande passante.
oui
Citation :

( p.s : donc pour le coup du virus ça ne changera rien d'avoir ou non des vlans si j'ai bien compris ,à par pour les virus qui se baladent en vérifiant les failles en utilisant des broadcast ).

Si, ça aurra le même effet qu'un virus souhaitant passer d'un réseau à un autre, séparé par un routeur ou un firewall
si les équipements de sécurité qui séparent ces réseau (ou ces vlans) sont efficaces, le virus sera bloqué
Citation :

Séparer deux services sert à quoi d'autre ?
ça permet d'éviter que des curieux essayent de voir ce qu'il ce passe sur un autre réseau, ça facilite aussi l'administration
Citation :

Si un PC service 1 ne peut pas accèder à un PC service 2 ,cela permet une meilleur sécurisation ( si on a des utilisateurs qui bidouillent par ex ? ) mais comment autrement ? ( dans quel cas ? )
en les mettant sur des switchs différents
Citation :

alors sinon j'ai bien compris que si un utilisateur utilise un pc portable et qu'il change souvent d'endroits il peut se connecter n'importe où dans l'entreprise ,il sera toujours associé à son vlan ( si les vlans sont fait par adresses MAC ).
oui mais on le fait rarement, assez lourd à gérer dans le cas d'une flotte importante, mais c'est possible, par contre comme une MAC-ADDRESS ça peut se changer...niveau sécu c'est pas top
Citation :

Le démenagement de postes est plus souple aussi.
oui
Citation :


voila , je récapitule ce que j'ai compris , si tu pouvais me dire si j'ai raison en tord , ça serait sympa :) 

merci d'avance
25 Octobre 2007 13:17:21

Citation :


Si un PC service 1 ne peut pas accèder à un PC service 2 ,cela permet une meilleur sécurisation ( si on a des utilisateurs qui bidouillent par ex ? ) mais comment autrement ? ( dans quel cas ? )


je me suis mal exprimé , je voulais dire dans quel cas on sépare deux services à par un mec du service qui voudrait bidouiller pour savoir ce qu'il y a sur le réseau ?

Oui c'est vrai que l'adresse mac on peut la changer sans avoir besoin d'utiliser de logiciels .... alors bon .... alors que par ports

tu dis aussi :

Si, ça aurra le même effet qu'un virus souhaitant passer d'un réseau à un autre, séparé par un routeur ou un firewall
si les équipements de sécurité qui séparent ces réseau (ou ces vlans) sont efficaces, le virus sera bloqué

Quand tu dis ,les équipements de sécurité ,tu parle plutôt de la configuration du switch par rapport aux vlans (quelles fonctions peuvent fournir cette éfficacitée ?) ou plutot de la qualité du switch en terme de protocoles qu'il utilise ou de marque ou ....
Ou alors tu parle du routeur et de ses règles ? ou même des protocoles qu'il utilise ?
( je pose beaucoups de questions XD dsl )

merchi :) 
25 Octobre 2007 20:21:08

pas compris l'histoire du mec

je parle des routeurs/firewall/proxy/ips/...
même si avec les switchs actuels, on a déjà on bon paquet de fonctions de filtrage de niveau 3 et 4
25 Octobre 2007 23:01:11

"ça permet d'éviter que des curieux essayent de voir ce qu'il ce passe sur un autre réseau"

tu parle bien des utilisateurs là non ?

c'est pour ça que je dis ,séparer deux services peut servir à quoi d'autre au niveau sécurité des données ? ( je cherche peut être trop loin ,là où il n'y a rien à chercher mdr )
25 Octobre 2007 23:43:43

je vais radoter là

ça permet de réduire le champs d'action de tout ce qui est nuisible sur un réseau : un vers ne peut pas plus passer d'un vlan à un autre qu'un utilisateur, un pirate ayant pris possession d'un poste ne peut pas sortir du vlan dans lequel est le poste, un problème de configuration sur le réseau de ce vlan n'affecte pas les autres vlan (par exemple un serveur dhcp pirate ne peut toucher que les postes du vlan dans lequel il est), l'usurpation est limitée (un spoofing arp pour se faire passer pour le routeur "officiel" de touchera que les utilisateurs du vlan dans lequel est le faux routeur)...

sachant que la plupart de ces problèmes peuvent être bloqués en amont (dhcp snoopping pour éviter les dhcp pirates, arp watch pour éviter le spoonfing arpo...)

et encore une fois, quelque soit le problème qui affecte ton réseau, il est plus facile d'en trouver la source car tu aura pris soin de diviser ton réseau en petits sous-réseaux cloisonnés par des vlans

c'est ce dernier point qui est le plus important et le plus intéressant avec les vlans, la possibilité de diviser à moindre cout un grand réseaux en petits segments plus facilement administrables

histoire d'enfoncer le clou, imagine toi dans cette situation (et là je vais faire simple, c'est un problème que j'ai eu cet après midi) :
1-tu as un réseau de plusieurs milliers de postes, dont tu ne maitrise que quelques centaines (les autres postes sont ceux d'intervenants extérieurs par exemple)
2-un problème est signalé par DES utilisateurs D'UN bâtiment, il s'agit d'un problème de déconnexions fréquentes d'Internet

-comme personne d'autre n'a le problème, tu sais que ce n'est pas un problème général
-comme tu alloue les IP des utilisateurs en fonction de leur bâtiment, tu sais quelles sont les ip tracer dans les parefeu
-comme tu sais aussi que la configuration de tes équipements est exactement la même dans le bâtiment d'à coté, tu sais que ce n'est pas un problème de configuration des équipements
-comme tu as pris soin de ne pas mettre tous tes bâtiments dans le même vlan, tu sais directement quel est le vlan concerné

donc sans avoir ouvert le moindre outil de supervision, tu sais déjà que le problème est soit un équipement qui déconne, soit un mariole qui sature les postes autour de lui (il y a d'autres causes possibles, mais comme je connais bien mon réseau, elles ont vite été éliminées avant d'ouvrir le moindre outil)

en gros, tu as pu cibler géographiquement ton problème et il n'affecte qu'un morceau de ton réseau, le tout sans avoir à faire quoi que ce soit

maintenant admettons que j'ai mal fait mon diagnostique et que le problème vienne de la configuration du vlan (la patte du routeur dédiée à ce vlan déconne par exemple)
tout ce que j'ai à faire, c'est me connecter sur le switch où sont ces utilisateurs et les passer sur un autre vlan qui marche parfaitement, temps de l'opération, quelques secondes (ou 2min si tu reconfigure les ports à la main en ligne de commande)

combien de temps te faudrait il pour cibler le même problème dans un réseau sans vlans ?
et combien pour réparer ? (il faut aller changer le dhcp, demander aux utilisateurs de renouveller leurs IP, recâbler le routeur pour que le réseau arrive sur une patte qui fonctionne, ...)

donc les vlans, sans être l'arme absolue, représentent un moyen simple et efficace de sécuriser un réseau, pas seulement contre les "attaques", mais surtout du point de vue fiabilité/réactivité

Pour les utilisateurs, la sécurité n'est pas synonyme de pare feu ou de contre mesure, mais de fiabilité

Ce qui compte, ce n'est pas que ton réseau soit inviolable, ce n'est pas possible (même en environnement cloisonné), c'est en combien de temps et à quel prix il sera de nouveau opérationnel le jour (il arrivera obligatoirement) où un problème se présentera
27 Février 2008 00:13:29

Ce sujet a été déscotché du haut du forum par SuseX
13 Mai 2009 15:40:08

Bonjour bloodeyes,
Je suis nouvelle sur ce forum !!! j'ai lu sur un message que tu avais posté que tu rédigeais un dossier sur les Vlans ... J'ai vraiment besoin d'aide sur ce sujet là ... je te laisse mon @ si
tu peux m'envoyer ton document cela me sera d'une grande aide! J'ai presque les mêmes
questions que toi ... Voilà mon @: mariamoutman@yahoo.fr ! Même si ton message date depuis 2007, j'espère que tu pourras m'aider ....
Merci d'avance !!!
13 Mai 2009 16:38:52

Bonjour maith je suis nouvelle sur le forum ... je viens de lire ton message concernant les
vlans, j'ai bien compris, c'est même bien détaillé ...

J'ai en fait un petit cas à résoudre, j'ai :
- un routeur,
- 2 switchs,
- une dizaine de postes ...

Je voudrais partager le réseau en deux vlans (séparation des équipements ...) pour de raison de sécurité ... mais je ne sais pas comment procéder !!!! Voilà mon @ mail :
mariamoutman@yahoo.fr !!!

Merci d'avance .

























maith a dit :
je vais essayer d'être clair
Un vlan c'est un réseau isolé de manière "logique" d'un autre

Il y a plusieurs types de vlan, le plus courant consiste à assigner un vlan à un port physique d'un switch et ajoutant un tag dans la couche 2 des paquets passant par ce port, ce tag contient le numéro du vlan associé (ici le 4)
Exemple :
  1. Ethernet II, Src: 1.1.1.1 (00:0c:29:34:6b:e9), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
  2. Destination: Broadcast (ff:ff:ff:ff:ff:ff)
  3. Address: Broadcast (ff:ff:ff:ff:ff:ff)
  4. .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
  5. .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
  6. Source: 1.1.1.1 (00:0c:29:34:6b:e9)
  7. Address: 1.1.1.1 (00:0c:29:34:6b:e9)
  8. .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
  9. .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
  10. Type: 802.1Q Virtual LAN (0x8100)
  11. 802.1Q Virtual LAN
  12. 000. .... .... .... = Priority: 0
  13. ...0 .... .... .... = CFI: 0

.... 0000 0000 0100 = ID: 4
  1. Type: ARP (0x0806)
  2. Address Resolution Protocol (request)

Ensuite les paquets transitent dans le réseau, l'équipement qui reçoit les paquets voit le tag, et détermine ainsi son vlan

A titre d'exemple :
Un campus universitaire dispose de plusieurs bâtiments, certains sont des bâtiments de cours, d'autres son des bâtiments administratifs et les autres sont les chambres des étudiants
Une manière classique d'isoler les différentes population est de mettre chaque zone dans un réseau (au sens IP) et de connecter les switchs de chaque bâtiment à un routeur/firewall, c'est ce dernier qui fera le filtrage/flicage
Maintenant on a un bâtiment contenant à la fois des administratifs, des étudiants et des salles de cours, une façon de faire est de mettre autant de switch que de populations, ce qui implique d'avoir soit un routeur sur place, soit une ligne entre chacun des switch et le routeur
Une autre façon de faire, beaucoup plus rentable et souple (du point de vue administration réseau/maintenance) consiste à utiliser les vlans
On va par exemple mettre les ports 1 à 9 de notre switch dans le vlan 2 (vlan dédié aux administratifs), les ports 10 à 39 dans le vlan 3 (vlan des étudiants) et les ports 40 à 48 dans le vlan 4 (vlan des salles de cours)
Il ne reste plus qu'à relier le switch au routeur via une simple liaison (en mode trunk)

Toutes les trames passants par un des ports de ce switch seront marquées, et à leur arrivée sur le routeur, celui ci appliquera les bonnes règles

(je ne sais pas si cet exemple est clair...)

Sinon les vlans permettent d'optimiser plusieurs choses :
-le nombre d'équipements à maintenir (on peut mettre plusieurs populations sur un même switch)
-le broadcast sur le réseau (comme la séparation est faite au niveau 2, le broadcast d'un vlan n'atteint pas les autres vlans)
-on peut changer de réseau toute une population sans intervention sur les postes et (si c'est bien fait) sans interruption de service
-l'administration du réseau simplifiée, on ne se déplace plus pour mettre un utilisateur sur un autre switch, on change simplement le vlan assigné à son port

Sinon pour tes autres questions, on ne fait pas communiquer un vlan avec un autre directement (ce n'est pas possible et ça n'a aucun intérêt, autant mettre les 2 populations dans le même vlan), par contre, de la même manière qu'un routeur IP permet de faire communiquer un réseau avec un autre, on peut faire du routage inter-vlans (on en profite en général pour filtrer le trafic)

Pour ce qui est de la bande passante, en limitant les échanges entres des postes qui n'ont rien à ce dire et en segmentant un réseau physique en plusieurs réseaux logiques (ce qui permet d'appliquer de la QoS sur des populations et non plus sur des liens physiques), elle est grandement optimisée (mieux utilisée/moins de gâchis)

Un "trunk" est simplement un lien sur lequel on fait passer plusieurs vlan, les équipements situés à chaque extrémité de ce lien aiguillent les paquets "taggués" pour qu'ils n'aillent que sur les destinations autorisées (celles du même n° de tag, donc du même vlan)
on peut aussi limiter le nombre de vlan autorisés à passer dans un trunk

Ca augmente la sécurité dans le sens où les populations différentes ont l'impression d'être sur des équipements différents
PC A, port 1, vlan 2
PC B, port 10, vlan 3
tu peux faire ce que tu veux sur le poste B, jamais tu n'auras accès au poste A (sauf faille dans ton équipement réseau bien sur)

pour le coup du vlan de secours, un vlan ça ne tombe pas, c'est le switch qui tombe, ou la liaison physique
le pire : tes équipements arrêtent de tagguer les paquets, tous les utilisateurs branchés sur ces équipements vont se retrouver dans le même réseau

c'est pourquoi on évite tout de même de mettre trop de populations différentes sur un même équipement (ou une même cascade d'équipements)

je fais partie de l'équipe réseau d'une entreprise de bonne taille, on a environ 150 switchs, une vingtaine de fédérateurs (c'est une sorte de switch pour relier les switchs entre eux) et quelques routeurs
La dedans il y a une centaine de vlan...

Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS