1 / 84

L'INTERCONNEXION DES RESEAUX

L'INTERCONNEXION DES RESEAUX. Introduction. La protection et la sécurité des données échangées sur les réseaux publics et locaux doit être complétée par la maîtrise du trafic des informations qui les traversent. Introduction. PLAN

Download Presentation

L'INTERCONNEXION DES RESEAUX

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. L'INTERCONNEXION DES RESEAUX

  2. Introduction La protection et la sécurité des données échangées sur les réseaux publics et locaux doit être complétée par la maîtrise du trafic des informations qui les traversent.

  3. Introduction PLAN • Le Virtual Local Area Network (VLAN) avec l'aide de Roger SANCHEZ du Certa • Le Virtual Private Network (VPN) • Les techniques du filtrage • Le routage filtrant • Le pare-feu (Firewall) • Le serveur NAT (Network Adress Translation) • Le serveur Proxy • Notion de "Zone Démilitarisée" (DMZ)

  4. Le VLAN • L'idée du VLAN est de regrouper des machines d'un réseau local et de limiter la diffusion des informations qu'entre les membres de ce groupe de machines. • On parlera de réseau virtuel car les machines restent physiquement connectés aux autres machines. • Le "dispatching" des trames est assuré par les appareils d'interconnexion du réseau commuté.

  5. A D B C SWITCH VLAN 1 : A, C, E, G, I VLAN 2 : B, D, F, H E I G H F Le VLAN

  6. Le VLAN • Les postes appartenant au même Vlan peuvent communiquer entre eux. Les Switchs ne diffusant pas les trames ARP entre les VLAN. Un Vlan définira donc un domaine de Broadcast • Comment des postes de VLAN différents peuvent communiquer ? Sans l'utilisation d'interface 802.1q, des postes qui sont dans des domaines de Broadcast (Vlan) différents pourront communiquer entre eux par l’intermédiaire d’un routeur.

  7. A D B SWITCH C VLAN 1 : A, C, R Réseau IP : IP1 VLAN 2 : B, D, S Réseau IP : IP2 R S Remarque : Les VLAN doivent définir des réseaux IP différents Routeur Le VLAN

  8. Le VLAN Il y a 3 façons de déterminer l'appartenance à un VLAN : • Les VLAN par port (VLAN de niveau 1) : L'appartenance d'une interface réseau à un VLAN est déterminée par sa connexion sur un port du commutateur (dépendance géographique). 1 VLAN = 1 regroupement de ports

  9. Le VLAN Il y a 3 façons de déterminer l'appartenance à un VLAN : • Les VLAN par adresse MAC (VLAN de niveau 2) : L'appartenance au VLAN est ici déterminée par l'adresse MAC de l'interface (indépendance géographique – portable par exemple). 1 VLAN = 1 regroupement d'adresses MAC

  10. Le VLAN • Il y a 3 façons de déterminer l'appartenance à un VLAN : • Les VLAN par adresse de niveau 3 -IP par exemple- (VLAN de niveau 3) : Le regroupement se fait ici sur l'adresse de niveau 3 ou supérieur. 1 VLAN = 1 regroupement d'adresses de niveau 3

  11. Le VLAN – La norme 802.1Q La norme Ethernet 802.1Q date de décembre 1998 avec une amélioration en 2003. Elle définit, normalise et organise la notion de VLAN. L'implantation de cette norme est encore récente. Peu d'interface réseau la prennent en compte, en conséquence elle est mise en œuvre par les commutateurs qui offrent souvent des fonctionnalités propriétaires.

  12. Le VLAN – La norme 802.1Q Cette norme définit explicitement les VLAN par port (port-based VLAN). Dans ce contexte l'appartenance à un VLAN se fait par l'association du port à ce VLAN. La norme peut être mise en œuvre par l'interface réseau ou le commutateur. Par conséquent un port ne peut appartenir qu'a un seul VLAN sauf si le port est un port d'interconnexion et si le port est associé à une interface normalisée 802.1q.

  13. Port A Commutateur 1 Interface Non compatible 802.1q Port B Port C Port H Port I Port D Commutateur 2 Port F Port E Port G Interface compatible 802.1q Le VLAN – La norme 802.1Q Vlan 1 : A, F et E Vlan 2 : C et D Vlan 3 : H et I Port B d'interconnexion appartient aux Vlan 1 et 2 Port G connecté sur une machine 802.1q appartient aux Vlan 2 et 3 Les appareils reconnaissants la norme 802.1q sont dits "Vlan informé" (Vlan aware) dans le cas contraire "Vlan non-informé" (Vlan unaware)

  14. @ MAC Destination @ Mac Source Longueur Ou Type Données FCS 6 octets 6 octets 2 octets 46 a 1500 octets 4 octets Rappel trame Ethernet II et 802.3 Le VLAN – La norme 802.1Q La norme Ethernet 802.1Q définit 3 types de trame Ethernet : • La trame non étiquetée (Untagged frame)La trame ne contient aucun information d'appartenance à un VLAN. Étiquette implicite sur le contenu (@MAC, IP) ou le port de rattachement.

  15. @ MAC Destination @ Mac Source TPID TCI-Tag Données FCS 6 octets 6 octets 2 octets 2 octets 42 a 1500 octets 4 octets Longueur Ou Type 2 octets Le VLAN – La norme 802.1Q • La trame étiquetée (Tagged frame) • La trame étiquetée d'un priorité (Priority-Tagged frame)Ces trames contiennent une information, étiquette explicite, d'appartenance à un VLAN

  16. VLAN Tag @ MAC Destination @ Mac Source TPID TCI-Tag Données FCS 6 octets 6 octets 2 octets 2 octets 42 a 1500 octets 4 octets Priorité CFI VID Longueur Ou Type 3 bits 1 bit 12 bits 2 octets Le VLAN – La norme 802.1Q TPID(VLAN Tag Protocol Identifier) :Valeur fixée à (8100)h, identificateur de la trame 802.1Q

  17. Priorité CFI VID 3 bits 1 bit 12 bits Le VLAN – La norme 802.1Q Priorité : Il est possible d'affecter 8 niveaux de priorité à la trame. Champ utilisé aussi en dehors des Vlan. Fonctionnalité décrite dans la norme 802.1p. CFI (Canonical Format Identifier) : = 1 pour les réseaux 802.3 ; = 0 pour Token Ring VID (Vlan Identifier) : Permet d'identifier un VLAN afin d'y affecter la trame.

  18. Le VLAN – La norme 802.1Q Un commutateur VLAN-Informé gérera les VLAN à l'aide de 3 structure de données : • La table habituelle Port / @Mac qui enregistre l'adresse Mac de l'interface connectée au port. • La table Port / VLAN qui enregistre l'appartenance d'un port à un ou plusieurs VLAN. • Une file d'attente pour gérer les priorités

  19. Le VLAN – La norme 802.1Q Le VLAN est défini par l'administrateur au niveau du commutateur qui dans ce cas doit être manageable en général à l'aide d'un navigateur Web et/ou un client Telnet. • Première étape : Création d'un VLAN en lui affectant un identificateur (VID) associé parfois à un nom.

  20. Le VLAN – La norme 802.1Q • Deuxième étape : Affectation des ports aux VLAN. Ainsi un port, vis à vis d'un VLAN*, peut être : • Exclu du VLAN (No) • Non Etiqueté (Untagged). Le port est associé à un seul VLAN * Un port peut être également fermé (forbid) ; dans ce cas aucun trafic n'est envoyé sur ce port par le commutateur.

  21. Le VLAN – La norme 802.1Q • Deuxième étape : Affectation des ports aux VLAN : • Étiqueté (Tagged). Les trames qui entrent et sortent par ce type de port sont marquées par un champs 802.1Q.Un port "Tagged" peut appartenir à plusieurs VLAN. Un port étiqueté doit être relié soit à une interface réseau 802.1q soit à un autre port étiqueté (interconnexion de switchs)

  22. Le VLAN – La norme 802.1Q L'interconnexion de plusieurs commutateurs "contenant" des VLAN peut être : • Statique c'est à dire créée manuellement par l'administrateur • Dynamique, la création se fait à la suite d'un échange d'information entre les commutateurs. Ce type de création se fait à l'aide du protocole GVRP qui doit être activé sur le commutateur.

  23. Le VLAN – La norme 802.1Q Quelques règles : • Une trame doit être associée à un VLAN et à un seul • Un commutateur peut gérer plusieurs VLAN • Un VLAN peut s'étendre sur plusieurs commutateurs • Un port peut être rattaché à plusieurs VLAN • Un station peut communiquer avec plusieurs VLAN avec une interface 802.1q.

  24. A C 1 2 3 4 5 6 B D VLAN - Exemples Assignation des ports – Solution Untagged Déclaration des VLAN Un seul "Untagged" par ligne

  25. A C 1 2 3 4 5 6 1 2 3 4 5 6 B D VLAN - Exemples Assignation des ports Solution Untagged Premier commutateur Second commutateur

  26. VLAN - Exemples Assignation des ports : Solution entièrement "Untagged" • Les configurations précédentes montrent 2 VLAN complètement indépendants. Le trafic d'un VLAN ne "croise" jamais celui de l'autre. • On peut noter que dans cette configuration, il est possible d'associer un sous-réseau IP à chaque VLAN et mettre en place un routeur pour faire communiquer les deux VLAN.

  27. VLAN - Exemples Assignation des ports : Solution entièrement "Untagged" • Attention de ne pas mettre deux interconnexions sur le même VLAN au risque de créer une boucle et d'entraîner un disfonctionnement du commutateur.Pour éviter ce problème, il faut activer le Spanning Tree.

  28. A C 1 2 3 4 5 6 1 2 3 4 5 6 B D VLAN - Exemples Assignation des ports Port des stations : Untagged Interconnexion : Tagged Premier commutateur Second commutateur

  29. VLAN - Exemples Assignation des ports : Port des stations sont déclarés Untagged Ports d'interconnexion sont déclarés Tagged • Dans cette solution les stations ne peuvent appartenir qu'a un seul VLAN • Les trames sont étiquetées par les ports d'interconnexion

  30. A C 1 2 3 4 5 6 1 2 3 4 5 6 B D VLAN - Exemples Assignation des ports Solution Tagged Premier commutateur Second commutateur

  31. VLAN - Exemples Assignation des ports : Tous les ports sont déclarés Tagged • Dans cette solution les stations : • doivent être configurées 802.1Q • peuvent accéder à plusieurs VLAN

  32. A C E 1 2 3 4 5 6 1 2 3 4 5 6 B D VLAN - Exemples Assignation des ports Accès au serveur (A) Premier commutateur Second commutateur

  33. VLAN - Exemples Assignation des ports : Accès au serveur En général les serveurs doivent être accessibles par toutes les stations. Les serveurs doivent donc appartenir à tous les VLAN. On peut noter ici qu'il est aussi possible de sécuriser un réseau en rattachant le ou les serveurs à un VLAN particulier.

  34. VLAN - Exemples Notion de port TRUNKING : • Un TRUNK permet d'associer plusieurs liens d'interconnexion entre 2 commutateurs. • Le trafic est réparti sur les liens du TRUNK ce qui améliore de débit • L'ensemble des liens du TRUNK est vu par l'administrateur comme un seul lien.

  35. A C 1 2 3 4 5 6 Trunk 1 2 3 4 5 6 B D VLAN - Exemples

  36. Fibre optique Switchs stackés Connexion au Switch à l'aide d'un navigateur Le VLAN Exemple de configuration d'un Switch HP Procurve 2524

  37. Informations sur le système Le VLAN Utilisation de Telnet

  38. Liste des Vlan existants Assignation des ports au VLan Créer un VLan Le VLAN

  39. Le VLAN • Intérêts du VLAN • Le trafic est contrôlé. • Le déplacement d'une machine d'un VLAN à un autre se fait simplement par la configuration du commutateur. Alors qu'un séparation physique des LAN oblige à modifier le câblage (jarretières). • Inconvénients • Augmentation du travail d'administration. • Matériels plus coûteux, doivent coopérés entre eux. Les protocoles sont souvent propriétaires.

  40. Le VPN Le Virtual Private Network (VPN) trouve son origine dans la recherche d'une interconnexion sécurisée des réseaux locaux au travers des réseaux publics, en particulier de l'Internet (où l'information circule en clair). A l'heure actuelle les VPN se placent surtout dans le contexte de l'Internet. Note : La technique traditionnelle pour construire un réseau privé est d'utiliser des lignes spécialisée (louée), Numeris ou le RTC (cf. cours sur les réseaux de transports)

  41. Le VPN Qu'est-ce qu'un VPN ? Un VPN va consister à transmettre les données portées par un protocole (TCP/IP en général) par l'intermédiaire d'un autre protocole. On parlera de protocole de "tunneling" (tunnel) qui : • après avoir authentifié les deux extrémités, • permettra de créer un chemin virtuel du client vers le serveur, • puis de faire transiter les données après les avoir cryptées et compressées.

  42. Le VPN Le VPN doit donc assurer : • L'authentification, en remplaçant ou sécurisant les protocoles qui ne chiffrent pas l'authentification (HTTP par exemple) • L'intégrité • La confidentialité (cryptage) • La protection contre le rejeu (gestion des clés) • Éventuellement affecter une @IP au client • Éventuellement la compression

  43. Le VPN Les applications traditionnelles des VPN sont : • L'accès à l'Intranet d'une entreprise depuis l'extérieur (commerciaux en déplacement • Interconnexion de 2 réseaux locaux (sites) d'une organisation • La sécurisation des échanges dans les relations commerciales clients/fournisseurs. Note : Il également possible d'installer un VPN au sein d'un réseau strictement local.

  44. Le VPN VPN d'accès Client VPN Serveur VPN Tunnel Réseau local Internet ou autre réseau public Connexion d'un client mobile

  45. Réseau local Tunnel Réseau local Internet ou autre réseau public Le VPN VPN interconnexion de sites Interconnexion de 2 (ou plus) réseaux locaux

  46. 200.8.120.12 192.168.2.1 192.168.1.1 Client VPN 140.15.40.1 Serveur VPN P1 P1 Réseau Public P2 P2 P3 P3 192.168.2.0/24 192.168.1.0/24 Le VPN VPN interconnexion de sites

  47. Le VPN Les composants d'un VPN • Le client VPN initie une connexion vers un serveur VPN. Ce client peut être : • Une station (par exemple un poste mobile qui de l'extérieur crée un VPN avec son entreprise) • Un routeur qui initie un VPN avec un autre routeur. Dans ce cas toutes les stations du réseau local utiliseront le tunnel.

  48. Le VPN Les composants d'un VPN • Serveur VPN qui accepte les demandes des clients VPN. Symétriquement le serveur peut donc fournir un : • VPN Accès distant (pour un poste "isolé") • VPN routeur à routeur

  49. Le VPN Les composants d'un VPN • Le tunnel est la portion de connexion dans laquelle les données sont encapsulées. Les tunnels VPN peuvent être établis selon 2 modes : • Le mode volontaire qui correspond à un tunnel entre un client et un serveur VPN.

More Related