IEEE 802.1Q – Présentation et implémentation de “802.1Q” (VLAN)

IEEE 802.1Q – Présentation et implémentation de “802.1Q” (VLAN)

Avant d’introduire le concept de VLAN, il est fortement conseillé de procéder à la lecture d’un article sur le fonctionnement d’Ethernet pour les personnes non familières de la norme. Le concept de réseau local virtuel présenté dans les chapitres suivants se base principalement sur la norme Ethernet. 

Le concept de VLAN fait référence au niveau 2 du modèle OSI, les évolutions technologiques réalisées par les constructeurs permettent actuellement d’associer des informations de couche 3 à un VLAN. On peut citer à titre d’exemple le concept de SVI (Switched Virtual Interface) de Cisco, concept qui consiste à affecter une adresse IP à une interface de type VLAN. Le VLAN tagging étant régi par le référentiel 802.1Q de l’IEEE (IEEE Std 802.1Q-1998 pour la première version), donc pour cette raison je me permet de remettre en cause certaines affirmations spécifiant que 802.1Q fait référence à la couche MAC ou couche 2 du modèle OSI et non de niveau 1 ou 3.

Source : IEEE Std 802.1Q™-2005

« For the purpose of compatible interconnection of information technology equipment using the IEEE 802 MAC Service supported by interconnected IEEE 802 standard LANs using different or identical media access control methods, this standard specifies the operation of MAC Bridges that support Virtual LANs (VLANs). »

Cette norme, d’abord publié en tant que IEEE Std 802.1Q-1998, spécifie les concepts et les mécanismes associés au concept de VLAN afin de combler ce qui a été introduit par l’IEEE Std 802.1D. Elle définit des mécanismes supplémentaires qui permettent la mise en œuvre de réseaux virtuels locaux (VLAN – Virtual Local Area Networks).

Historiquement les réseaux de type Ethernet, l’ensemble des machines devant communiquer sur le réseau, partagées le même domaine de diffusion (broadcast). Dans ce contexte il n’était pas possible d’isoler les différents réseaux logiques partageant le même réseau commuté (N domaine de collision) à moins de procéder au déploiement d’équipements capables d’isoler les domaines de diffusions. Les équipements de routage été la solution à la résolution de ce problème.

Afin de palier à ce manque l’IEEE à précédée au développement d’un standard répondant dans un premier temps à la norme 802.1D, il s’agissait principalement de limiter les domaines de collisions par la conception de réseaux commutés, concevoir des topologies sans boucles  (spaning tree) et autres spécifications concernant les technologie FDDI etc ……….

 

Rappel des normes IEEE associées

Le concept de VLAN est dans les faits associé à plusieurs normes déterminées par l’organisme de standardisation connu sous  l’acronyme suivant, IEEE (Institute of Electrical and Electronics Engineers).

L’IEEE a procédé à la mise en œuvre d’un ensemble de mécanismes autour de la norme 802 correspondant aux standards déterminants les concepts associés aux réseaux locaux et réseaux métropolitains.

802.1 est une extension du standard 802 correspondant à la structure de base des mécanismes associé à la mise en œuvre de réseau de type Ethernet.

La  principale norme associée au concept de VLAN répond sous la dénomination 802.1Q, cette norme permet de déterminer la manière dont sera effectuée l’intégration des réseaux locaux virtuels (VLAN – Virtual Local Area Network).

 

Les évolutions de la norme 802.1Q

1998 :

  • Le fonctionnement du processus « Forwarding » qui est requis.
  • La structure de la base de données de filtrage qui est requis.
  • La nature des protocoles et des procédures nécessaires à la fourniture des services de réseau local virtuel, y compris la définition des formats de trame de VLAN utilisés pour représenter des données d’identification, et les procédés utilisés pour insérer et supprimer les identificateurs  de VLAN et les en-têtes dans lequel ils sont transportés. La capacité de maintien de bout en bout de la signalisation des informations prioritaires indépendamment de la capacité intrinsèque des protocoles sous-jacents à MAC pour la gestion d’information prioritaire.
  • Le protocole d’enregistrement des VLAN GARP (GVRP) qui permet la distribution et l’enregistrement des informations concernant les VLAN membre (le protocole décrit utilise GARP, protocole définies dans l’ISO/ IEC 15802-3).
  • La gestion des services et les opérations requises pour configurer et administrer les réseaux.

2003 :

  • VLAN classification according to link layer protocol type.
  • Support for VLANs carried over multiple Spanning Tree instances.

Normes IEEE ASSOCIES

  • 802.1D : 1D c’est le référentiel pour la couche MAC de l’IEEE qui est la base même du 802.1Q.
  • 802.1ak : Référentiel sur MRP (conçu dans le but de remplacer GVRP), ce protocole est succinctement décrit plus loin dans cet article. Pour les gens connaissant le protocole VTP, il s’agit de l’équivalent conçu par l’IEEE (standard).
    • IEEE Std 802.1u-2001: Ensemble de correction du standard 802.1Q.
    • IEEE Std 802.1v-2001: Classification des VLAN par protocoles : Modification du standard 802.1Q.
    • IEEE Std 802.1s-2002: Multiple Spanning Trees pour les VLAN (MSTP).

 

Détail de la trame basée la norme 802.1Q

Ci-dessous vous trouverez la description du format d’une trame 802.1Q

Trame Ethernet modifiée Le champ FCS est recalculé après l’insertion de la balise de VLAN.

  • Contenu du champ « Tag »
TPID (16 bits) TCI (16 bits)
  • Tag protocol identifier, TPID

Les 16 premiers bits sont utilisés pour identifier le protocole de la balise insérée. Dans le cas de la balise 802.1Q la valeur de ce champ est fixée à 0x8100.

  • Tag Control Information : TCI
Priority (3 bit) CFI (1 bit) Vlan ID, VID (12 bit)
  • Priorité

Ce champ de 3 bits fait référence au standard IEEE 802.1p. Sur 3 bits on peut coder 8 niveaux de priorité de 0 à 7. Ces 8 niveaux sont utilisés pour fixer une priorité aux trames d’un VLAN relativement aux autres VLANs. La notion de priorité dans les VLANs (niveau 2) est indépendante des mécanismes de priorité IP (niveau 3).

  • Canonical Format Identifier, CFI

Ce champ codé sur 1 bit assure la compatibilité entre les adresses MAC Ethernet et Token Ring. Un commutateur Ethernet fixera toujours cette valeur à 0. Si un port Ethernet reçoit une valeur 1 pour ce champ, alors la trame ne sera pas propagée puisqu’elle est destinée à un port «sans balise» (untagged port).

  • VLAN Id, VID

Ce  de 12 bits sert à identifier le virtual lan (VLAN) auquel appartient la trame. Il est possible de coder 4096 VLANs avec ce champ.

Le tableau ci-dessous permet de voir que plusieurs VLAN ID sont déjà réservés, ce qui explique pourquoi il est possible d’exploiter 4094 VLAN (VID 1 compris) et non 4096 :

Sources (IEEE 801.1Q 2005) :

VID value (hexadecimal) Meaning/Use
0 Le null VLAN ID. Indique que l’en-tête tag contient des informations de priorité; aucun identificateur de VLAN est présent dans la trame. Cette valeur ne doit pas être configurée comme un PVID ou un paramètre VID membre, disposer d’une entrée au sein de la base de données de filtrage ou bien utilisé dans toute opération de gestion du processus.
1 La valeur par défaut PVID valeur par défaut utilisée pour la classification des trames entrantes via un port de type Bridge. La valeur PVID d’un port peut être modifiée par un processus de gestion de configuration.
FFF Réservé pour un usage spécifique. Cette valeur ne doit pas être configurée comme un PVID ou un paramètre VID membre, ou transmise dans un en-tête marqué. Cette valeur VID peut être utilisée pour indiquer un VID dont la correspondance est utile aux opérations de gestion ou de filtrage des entrées.

Plages d’ID de VLAN :

Afin d’identifier les VLAN, des tags ou étiquettes sont utilisés dans le but de dissocier l’entité logique (VLAN) auquel appartiennent les paquets en transit entre les commutateurs. L’affectation de ces numéros est régie par le standard 802.Q, celui-ci détermine l’affectation des ID (tags ou étiquettes) de la manière suivante :

  • Plage normale :

Identifiés par un ID de VLAN compris entre 1 et 1005.

Les ID de 1002 à 1005 sont réservés aux VLAN Token Ring et aux VLAN à interface de données distribuées sur fibre (FDDI). Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés. Vous en apprendrez plus sur le VLAN 1 plus loin dans ce chapitre.

  • Plage étendue :

Sont identifiés par un ID de VLAN compris entre 1006 et 4094. Prennent en charge moins de fonctionnalités VLAN que les VLAN à plage normale.

Attention bien que le standard spécifie que le nombre d’identifiant soit compris entre 1 et 4094, il ne faut pas prendre cet ensemble d’identifiant comme étant le nombre de réseaux locaux virtuel intégrable sur n’importe quelle type d’équipement. En règles général sur des équipements destinés à des réseaux d’entreprise de taille moyenne, le nombre de VLAN pouvant être déployés ne dépasse généralement pas 250 réseaux, cette valeur est  approximative.

NOTE : (source IEEE 802.1Q 2005)

The maximum number of VLANs that can be supported is 4094 rather than 4096, as the VID values 0 and FFF are reserved, as indicated in Table 9-2. As conformance to this standard is only with regard to externally visible protocol behavior, this limit on the number of VLANs that can be supported does not imply any such limitation with regard to the internal architecture of a Bridge.

 

Le processus de traitement des TRAMES:

Le traitement des trames par le biais des mécanismes associés à la norme ethernet ressemble au traitement des flux par une ACL. Cela implique de traiter la trame entrante, adopter un comportement en fonction de la stratégie  définie et enfin traiter ou non la trame en fonction de la politique.

Ci-dessous une représentation plus détaillée du processus de gestion d’une trame ethernet sur un port commuté, ceci s’applique également à la norme 802.1Q. Ces éléments sont tirés du référentiel IEEE Std 802.1Q™-2005.

8.6.1 Active topology enforcement

Le processus de transmission alloue chaque trame reçu à un arbre spanning-tree. Si l’état du port de réception associé à un arbre spanning tree est en mode forwarding ou learning, l’adresse source et le VlanID sont soumis au processus Learning. Si l’état du port de réception de la trame et en mode Forwarding, chaque port représentant un port commuté (bridge), autres que le port de réception ayant comme port l’état forwarding par rapport à son arbre d’appartenance sera identifié comme un port de transmission potentiel.

8.6.2 Ingress

Ces règles s’appliquent à toutes les trames entrantes. La prise en compte de ces règles est indiquée pour chaque port.

Exemples de règles :

  • Rejet de trames non «marquées » lorsque les règles de filtrage mise en œuvre n’acceptent que les trames marquées.
  • Contrôle de l’appartenance à un vlan d’une trame reçue par comparaison aux données MAC stockées dans la base de données de filtrage.

8.6.3 Frame filtering

Le fonctionnement du switch 802.1Q est semblable à celui d’un pare-feu. Les ingress rules sont les règles de la table d’entrée applicable à tous paquet entrant. Les « Port statement information » fournissent l’information sur la configuration de chaque port du commutateur. La base de données de filtrage «filtering database » permet d’interpréter la sémantique de tous les paquets du réseau pour pallier au spoofing par exemple. Le process de retransmission analyse l’ensemble de ces paquets selon les données émanant de la base de données de filtrage, des états de port et des règles ingress et egress et leur réserve ensuite le traitement approprié.

8.6.4 Egress

Idem que pour les règles de filtrage ingress et s’appliquent uniquement aux paquets en sortie.

8.6.5 Flow classification and metering

Le processus de transmission peut appliquer une classification des flux et effectuer un calcul des trames reçus par un port commuté.

La classification identifie un sous-ensemble de trafic (trames) pouvant être sujet à terme à un même traitement pour le calcul ou la transmission.

Les règles de classification des flux peuvent se baser sur:

  • Adresse MAC de destination
  • Le VID (Vlan ID)
  • La priorité

8.6.6 Queuing frames

Le processus de transmission permet par le biais d’un mécanisme de mémoire tampon de stocker les trames en file d’attente, le but étant de les émettre dès que l’opportunité se présente.

L’ordre dans lequel les trames sont reçus via un pont commuté (bridge) sera préservé pour:

a) Les trames unicast disposant d’un VID particulier, de leurs priorités et de la combinaison adresse source & destination.

b) Les trames multicast disposant d’un VID particulier, de leurs priorités et de l’adresse de destination.

Le processus de transmission fourni une ou plusieurs files d’attentes pour un port commuté, chacune correspondant à une classe de flux bien distinct. Chaque trame est corrélée à une classe de flux par le biais de l’utilisation d’une table d’association des informations de port et de priorité des trames.

Exemple d’une table associant une valeur de priorité à une file d’attente:

Les classes de trafics sont administrables, plus de huit classes de flux peuvent être supportées, permettant une séparation des files par niveau de priorité.

8.6.7 Queue management

Une trame en file d’attente en attente de transmission sur un port commuté doit être retirée de la file:

a) A la suite d’une demande de transmission de données. Aucune tentative de transmission ne doit être effectuée sur le port si la transmission est identifiée comme ayant échoué.

b) Afin de s’assurer que le délai de transit maximum sur le pont commuté ne va pas excéder le délai imparti
c) Si le port associé est différent de l’état Forwarding (transmission).

La trame peut être retiré de la file et par la suite ne pas être transmise:

d) Si le temps imparti au sein de la mémoire tampon excède le délai imparti.
e) Par le biais de l’utilisation d’algorithme visant à intégrer une qualité de service (QOS) via l’utilisation de mécanismes déterministe et probabiliste.

8.6.8 Transmission selection

L’algorithme suivant peut être supporté par tous les ports commuté comme étant l »algorithme par défaut que la trame utilisera afin d’être transmise:

a) Pour chaque port, La trame est transmise en se basant sur la classe de trafic supporté. Pour une valeur associé à une classe de flux supporté, la trame sera  sélectionné par  la file d’attente correspondante uniquement si les file disposant d’une priorité (valeur numérique entre 0 et 7) supérieur supporté par le port à l »instant donnée sont vide.
b) Pour une file d’attente, l’ordre dans lequel les trames sont sélectionnées pour leurs transmission est maintenu par les spécifications décrite dans le chapitre 8.6.6 du référentiel IEEE Std 802.1Q™-2005.

 

L’identification des hôtes sur les ports d’un commutateur (access port) dans le language ISO « untagged » :

Un lien de type accès est l’interconnexion désignant  le raccordement  des équipements client d’un VLAN particulier au travers du raccordement d’un port du commutateur. Un port de type accès (Access est le terme le plus couramment utilisé) à pour particularité de ne pas recevoir les trames marqué par un hôte, le processus en charge du marquage est effectuer par le processus de marquage des trames qui est un mécanisme interne au commutateur.

Un port de type « access » ne peut pas appartenir à plusieurs VLAN à la fois. Exemple un hôte raccordé à un port du commutateur configuré sur le VLAN 200 ne pourra communiquer uniquement avec les autres hôtes du VLAN 200.

Note:

On entend souvent parler du VLAN natif souvent identifié comme étant le VLAN numéro « 1 » par défaut. L’ensemble des ports d’un commutateur administrable supportant l’intégration de VLAN sont nativement intégré au vlan dit par défaut qui est comme cité précédemment représenté par le VLAN 1.

Si le poste doit communiquer avec N réseaux virtuels, il est nécessaires de configurer le port en mode trunk avec un marquage des VLAN depuis la machine hôte à destination du commutateur (vlan trunking) dans le cas du raccordement d’un serveur par exemple. Ce cas de figure concerne plus souvent l’interconnexion des commutateurs puisque la propagation des VLAN est réalisée plus souvent entre les différents équipements en charge de l’interconnexion du réseau. Voir le prochain paragraphe.

Le concept d’agrégat de VLAN (VLAN Trunking), dans le language ISO tagged :

Un lien de type trunk est un point d’acheminement dont la trame qui circule comporte une étiquette ISL ou 802.1Q permettant d’identifier les différents vlan si plusieurs VLAN doivent y transiter.

L’objectif de cette association est de permettre le transit de N vlan à travers un lien permettant l’interconnexion d’équipements actifs ayant la nécessité de réaliser la communication entre deux hôtes appartenant à un VLAN similaire.

Note :

Le vlan natif présente la particularité de ne pas marqué les trames par un tag (ID de VLAN). Cependant suivant le niveau d’intelligence des équipements, il est possible de déterminer un VLAN par défaut différent du VLAN 1.

Les  cas de figure de mise en œuvre d’un trunk :

  • Interconnexion entre un Hôte et un commutateur :

Ce cas de figure est plutôt rare mais existe, lorsqu’un serveur délivre le service pour N VLAN à la fois.

  • Interconnexion entre deux commutateurs :

Ce cas de figure est sans nul doute le plus courant, puisque que l’extension d’un VLAN sur le réseau est principalement propagé via les liens d’interconnexions entre les commutateurs.

  • Interconnexion entre un commutateur et un routeur:

Lorsque le niveau d’intelligence d’un commutateur ne le permet pas, le routage inter-vlan est réalisé par un routeur, donc un Trunk est mis en œuvre entre les deux équipements (principe du « router on a stick »).

Représentation des deux concepts précédents:

Description succincte de technologies propriétaire

  • ISL (InterSwitchLink) – Cisco

ISL est un protocole propriétaire destiné tout comme 802.1Q au transport des informations correspondant à la mise en œuvre de réseaux locaux virtuels. ISL est caractérisé par un format d’encapsulation de trame différents de celui déterminé par la norme 802.1q.

  • VTT (Virtual Tag Trunking) – 3COM

Au même titre que Cisco, 3COM a dans le passé tenté de concevoir un format de trame avec un marquage des entêtes spécifique aux normes déterminées par le constructeur, mais tous comme ISL cette technologie n’a pas connu le succès escompté.

 

Modèles de mise en œuvre des VLAN :

VLAN par port :

Le premier modèle est souvent appelé par un grand nombre de personne comme étant la mise en œuvre de Vlan  de couche 1, il fait référence au niveau 1 du bien célèbre modèle OSI.

Cette méthode consiste à associer un port ou groupe de ports à un VLAN particulier, par conséquent la distinction se fait de manière physique. Suivant le nombre de machine présente sur le réseau, cette méthode peut devenir une tache lourde en termes d’administration si les déplacements des postes sont fréquents.

VLAN par adresse MAC :

Ce concept consiste à définir l’appartenance d’une station de travail à un VLAN en fonction de son adresse MAC. Lorsqu’un hôte est raccordé au commutateur celui va être associé à un VLAN en informant le commutateur de son adresse physique, ce qui permettra à partir de cette adresse physique l’association à un VLAN. Cette méthode implique de mettre jour régulièrement la base de donnée consistant à associé les adresses MAC en fonction  du VLAN d’appartenance. Cette méthode peut offrir l’avantage de pouvoir déplacer les hôtes sans avoir l’inconvénient de devoir reconfigurer le port associé comme cela est le cas pour la méthode par port.

VLAN de couche 3 :

Ce modèle consiste à mettre en place des VLAN dont la particularité est une mise en œuvre basé sur des informations de couche 3. Bien qu’il soit possible d’associer une information de couche 3 au VLAN, il faut tout de même avoir à l’esprit que ce concept n’intègre pas celui du routage. Le routage est un processus indépendant de la mise en œuvre d’un VLAN. Les évolutions technologiques proposées par les équipementiers permettent à l’heure actuelle de réaliser du routage entre deux VLAN (à notre échelle ça fait un bon bout de temps).

Toujours dans le cadre de Vlan « dit de couche 3», on peut citer des exemples d’implémentations consistant à réaliser une segmentation basé sur des protocoles associé à cette strate du modèle OSI (couche réseau). L’exemple le plus rependu est la mise en œuvre de réseau virtuel basé sur le protocole IP, qui est représenté par une segmentation par sous réseau. Cet exemple est une logique de conception souvent implémenté, mais la communication inter vlan n’est pas implicite.

 

Présentation du concept de Super VLAN (SVLAN) – Norme 802.1ad (Q-in-q)

Ce concept 802.1ad évolution conçu par l’IEEE permet de faire évoluer le concept de VLAN (802.1Q) basé sur un marquage simple vers un système plus évolué dans le but de procéder à un double marquage de l’entête. L’intérêt de ce concept permet d’outrepasser la limite des 4094 VLAN possible de 802.1Q, un réseau de type Metro Ethernet ou de type campus peut dans certain cas de figure atteindre cette limite. Le concept du Q-IN-Q permet de s’affranchir de cette limite en créant sur la base d’un vlan principale, N VLAN secondaire. Ce concept introduit la notion de hiérarchie (empilement de vlan) dans le cadre de la mise en œuvre de réseau ethernet sur la base du Q-IN-Q. Cette hiérarchie peut être représentée de la manière suivante dans le cas d’un réseau de type Metro Ethernet : Un opérateur va mettre en œuvre N vlan principaux, pour chaque numéro de VLAN on peut imaginer un client qui souhaite cloisonner N service à délivrer.

Terminologies (source IEEE 802.1ad 2005):

  • C-VLAN component: Représente un pont supportant les VLAN sur chaque port pris en charge par une instance de l’EISS qui peut reconnaître, insérer et retirer les tags des vlan des clients.
  • C-VLAN Bridge: Un pont supportant les VLAN.
  • Customer Bridge: Un pont MAC est spécifié par le référentiel IEEE 802.1D  alors qu’un pont supportant les VLAN est spécifié par l’IEEE 802.1Q
  • Customer Bridged Local Area Network: A network of Customer Bridges.
  • Customer Edge Port: Un C-VLAN est un élément tel un port sur l’équipement Provider Edge de l’opérateur qui est connecté à l’équipement appartenant à des clients et reçoit et transmet les  trames pour un seul client.
  • Customer equipment: La représentation matérielle d’un ou plusieurs systèmes clients.
  • Customer Network Port: Un S-VLAN est un élément tel un port sur l’équipement Provider et Provider Edge de l’opérateur qui reçoit et transmet les trames pour un seul client.
  • Customer system: Un système associé à un fournisseur d’un réseau de commutation, mais non prévus par le fournisseur de services qu’ils soient sous le contrôle du prestataire de service.
  • customer tagged frames: Trames incluant un C-TAG.
  • C-tagged service interface: L’interface fournie par un commutateur de type Provider Edge afin de permettre au client de choisir entre eux et d’identifier les instances de service en utilisant le C-VID liés aux trames transmises et reçues.
  • Customer VLAN: Un VLAN identifiées par un C-VID.
  • Customer VLAN ID: Un identificateur VLAN transporté dans un C-TAG.
  • Port-based service interface: L’interface fournie par un fournisseur de services qui associe à la clientèle tous les clients avec une instance de service unique.
  • Provider Bridge: Un S-VLAN commuté ou un provider Edge commuté.
  • Provider Bridged Network: Un réseau en utilisant des ponts fournisseur afin d’offrir une connectivité transparente des protocoles clients.
  • Provider Edge Bridge: Un système comportant un seul élément de type S-VLAN et un ou plusieurs éléments de type C-VLAN mis en œuvre conformément à la clause 5 de l’IEEE Std 802.1Q.
  • Provider Edge Port: Un élément  de type C-VLAN est un port de l’équipement Edge Provider qui se connecte à un port réseau du client et reçoit et transmet des trames pour un seul client.
  • Provider Network Port: Un élément de type S-VLAN est un port du fournisseur qui peut transmettre et recevoir des trames pour des clients multiples.
  • Service instance: Une instance du service de la couche MAC, qui fournit le service à un certain nombre de points de service d’accès. Le terme «instance de service» est souvent utilisé pour désigner le service et la connectivité assurée par un prestataire de services à un client.
  • Service tagged frames: Trames incluant un S-TAG.
  • S-tagged service interface: Fournie par une passerelle du fournisseur pour permettre aux clients entre eux de choisir et d’identifier les instances de service en utilisant la S-VID liés aux trames transmises et reçues.
  • Service VLAN: Un VLAN identifié par un  S-VID.
  • Service VLAN ID: Un identifiant de VLAN transporté par un S-TAG.
  • Service VLAN tag: Un VLAN marqué (taggué) avec une valeur de numéro d’identification du Protocole alloué par «802.1Q Service Tag Type.”
  • S-VLAN component: Un élément VLAN-aware avec à chaque port pris en charge par une instance de l’EISS qui peut reconnaître, insérer et retirer du service le marquage d’un VLAN.
  • S-VLAN Bridge: Un système comportant un seul élément S-VLAN  mis en œuvre conformément à la clause 5 de l’IEEE Std 802.1Q.
  • VLAN-aware bridge component: La méthode d’accès au média qui s’appuie de manière indépendante à une instance de l’EISS dans chaque port qui peut reconnaître, insérer et supprimer des balises VLAN, et identifie les mécanismes qui permettent de relayer les trames entre les ports.
  • VLAN Bridge: Un système composé d’un unique élément de type C-VLAN mis en œuvre conformément à la clause 5 de l’IEEE Std 802.1Q.

 

Les technologies  associées aux VLAN :

Ci-dessous sont décrit plusieurs mécanismes  permettant de réaliser pour certains l’apprentissage des informations de VLAN à destination d’autres équipements composant la topologie du réseau, d’autres ont en charge l’affectation des informations suivant l’adresse physique associé au client sur la couche d’accès.

Déploiement des VLAN :

VTP (Vlan Trunking Protocol) – Cisco

VTP (Vlan Trunk protocol) est un protocole qui permet de gérer dynamiquement les Vlan au même titre que GVRP. Afin de simplifier la distribution des VLAN à travers les réseaux, Cisco à mis au point un protocole qui permet au travers d’une architecture client/serveur de déployer des VLAN afin simplifier l’administration de l’architecture.

VTP dispose de 3 modes de fonctionnement :

Mode VTP Server : Ce mode est celui qui va permettre de créer le point de référence de la topologie dans le cadre de la distribution des VLAN, il sera le point de référence des clients VTP.

Mode VTP Client : Ce mode est celui auquel vont appartenir tous les équipements devant apprendre les informations de distribution de VLAN émise par l’équipement en mode VTP Server.

Mode VTP Transparent : Ce mode est un état permettant le transit des informations émises par le processus VTP sans en apprendre le contenu, c’est-à-dire que les informations de VLAN ne seront pas apprises par les éléments actifs utilisant le mode transparent.

GVRP (GARP Vlan Registration Protocol) – IEEE (ISO / IEC 15802-3)

Le GARP VLAN Registration Protocol (GVRP) qui permet la distribution et l’enregistrement des informations d’appartenance aux VLAN (le protocole décrit permet d’utiliser le protocole GARP définis dans l’ISO / IEC 15802-3).

Le GARP VLAN Registration Protocol (GVRP) est une extension de GARP qui fournit le service d’enregistrement des VLAN. GVRP utilise des informations de déclaration de GARP (GID) et GARP Information Propagation (GIP), qui fournissent les informations courantes aux équipements et les mécanismes de propagation des informations communes définies pour  une utilisation dans des applications basées sur GARP.

GVRP prévoit un mécanisme de maintien dynamique du contenu des entrées dynamiques d’enregistrement VLAN pour chaque VLAN, et propager l’information qu’elles contiennent vers d’autres ponts. Cette information permet aux périphériques GVRP-aware de créer dynamiquement et d’actualiser leurs connaissances de l’ensemble des réseaux locaux virtuels qui représentent les membres actifs, et à travers quels Ports ces membres peuvent être joint.

L’objectif principal du protocole GVRP est de permettre aux commutateurs de découvrir automatiquement certaines informations des VLAN qui sans ces mécanismes auraient dû être configurée manuellement.

Generic Attribute Registration Protocol (GARP) est un Protocole générique permettant à un équipement de s’enregistrer auprès d’un autre tout en fournissant les informations nécessaires.

  • GARP Multicast Registration Protocol :

Permet aux stations de communiquer aux commutateurs les groupes de multidiffusion auxquels elles souhaitent s’abonner.

  • GARP VLAN Registration Protocol :

Permet aux commutateurs et aux stations VLAN aware de faire savoir aux autres commutateurs qu’ils gèrent tel VLAN : adresse de diffusion : 01:80:C2:00:00:21

  • But : interopérabilité

Définition d’un standard pour le marquage des trames permettant le transport des VLANs entre différents constructeurs.

Terminologie GVRP :

GARP : Generic Attribute Registration Protocol

GID : GARP Information Declaration

GIP : GARP Information Propagation

GMRP : GARP Multicast Registration Protocol

GVRP : GARP VLAN Registration Protocol

MMRP – Amendment 7: Multiple Registration Protocol – IEEE 802.1ak

MRP (Protocole d’enregistrement multiple), anciennement connu sous le nom générique Attribute Registration Protocol (GARP) est un concept défini par l’IEEE dans le but de fournir aux ponts, commutateurs ou autres dispositifs similaires d’être en mesure d’enregistrer et de-enregistrer  des attributs ayant des valeurs, tels que les identifiants de VLAN et l’appartenance à un groupe multicast au sein d’un réseau local important.

Les abréviations de la liste suivantes sont remplacées :

GARP : Generic Attribute Registration Protocol

GID : GARP Information Declaration

GIP : GARP Information Propagation

GMRP : GARP Multicast Registration Protocol

GVRP : GARP VLAN Registration Protocol

Les abréviations de la liste suivantes ont remplacé la liste précédente :

MAD MRP Attribute Declaration

MAP MRP Attribute Propagation

MMRP Multiple MAC Registration Protocol

MMRPDU Multiple MAC Registration Protocol Data Unit

MRP Multiple Registration Protocol

MRPDU Multiple Registration Protocol Data Unit

MVRP Multiple VLAN Registration Protocol

MVRPDU Multiple VLAN Registration Protocol Data Unit

VMPS – Cisco

Dynamics Vlans (VQP et VMPS) propriétaire cisco : VQP (Vlan Query Protocol) est un protocole qui permet au switch client d’interroger un serveur VMPS (VLAN Membership Policy Server) avec des informations sur les stations enregistrées et leur VLAN associés. Ainsi le switch client pourra associer le port avec le bon VLAN. Le serveur VMPS peut être un switch (ex : cisco catalyst) ou un serveur windows 2000 avec active directory server.

802.1x – IEEE

802.1x (RFC 2284 remplacé par la RFC 3748) Cette norme d’authentification est également employée dans la récente norme de réseaux WIFI 802.11i. On distingue 3 rôles dans le schéma d’authentification :

  • «l’authentificateur » qui met en œuvre l’authentification et route le trafic vers le réseau si l’authentification a marché.
  • le « demandeur » qui demande l’accès au réseau. Dans notre cas, il s’agit de la machine cliente. Le « serveur d’authentification » qui effectue l’authentification du demandeur en vérifiant les données qu’il a transmises. La plupart du temps il s’agit d’un serveur radius.

Exemple de stratégie d’implémentation des VLAN :

Il existe plusieurs manière d’implémenter des VLAN, bien souvent les administrateurs déploies ce type de service en fonction de stratégies bien définis, celle-ci est généralement basée sur l’organisation ou des services fournis par l’entreprise, voir même une combinaison des deux stratégies.

Exemples de stratégies d’implémentation des VLAN:

La majorité des exemples cités ci-dessous, nécessite que chaque domaine de broadcast dispose d’un plan d’adressage logique bien distinct. Bien qu’un vlan dans sa fonction de base permet de réutiliser un plan d’adressage IP identique pour N domaine, il est déconseillé de procéder de cette manière, cela portant à confusion et ne permettant pas d’évoluer vers une solution de routage inter vlan (problématique de chevauchement de sous réseaux).

  • Stratégie d’implémentation des VLAN par sous-réseaux.
  • Stratégie d’implémentation des VLAN par services administratifs.
  • Stratégie d’implémentation des VLAN par étages ou autres localisations physiques.
  • Stratégie d’implémentation des VLAN par catégories d’équipements (VoIP, postes clients, serveur, wifi …….).

Exemples de configurations

Configuration des VLAN sur un commutateur Cisco :

Note : Les informations de VLAN sont stockées dans la mémoire flash du commutateur sous forme d’une base de données qui est connu sous le nom de fichier « vlan.dat ».

Configurer une interface VLAN (SVI):

Attention lorsque vous utilisez cette commande, l’inscription à la base de données de VLAN n’est pas effectuée par ce processus.

! Action à réaliser en mode de configuration global
Config#Interface vlan 2
Config-i)#Description vlan de test
Config-if#Ip address 192.168.100.

Inscription manuel du vlan dans la base de données :

Cette méthode est encore possible mais obsolète, en mode privilégié :

switch# vlan database
switch(vlan)# vlan 2
VLAN 3 added:
Name: VLAN0003
switch(vlan)# apply
switch(vlan)#

Ou bien la méthode actuellement conseillé. Elle est fonctionnellement équivalente à la précédente hormis le fait que celle-ci s’exécute en mode de configuration globale:

NOTE : Lorsque le commutateur est configuré sur la base du mode client VTP, un verrouillage de la base de données (vlan.dat) est effectué par le processus VTP au sein de l’IOS. Ceci implique qu’il n’est pas possible d’intégrer manuellement sur le commutateur un vlan via la base de données, un message indiquant que la base de données est verrouillé apparaitra.

switch# configure terminal
switch(config)# vlan 3
switch(config-vlan)# end
switch# show vlan id 3

Configurer un port en mode access :

switch#Configure terminal
switch(config)#Interface fastethernet 0/1
switch(config-if)#Switchport mode access
switch(config-if)#Switchport access vlan 2

Configurer un agrégat (trunk) de VLAN sur un port :

switch#Configure terminal
switch(config)#Interface gigabitethernet 0/1
switch(config-if)#Switchport mode trunk
switch(config-if)#Switchport trunk encapsulation dot1q
switch(config-if)#Switchport trunk allowed vlan 1,2,3

Consulter l’état de l’interface:

3560# show interface gigabitethernet 0/1 switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: 2,3
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust : none

Configuration des VLAN sur un commutateur 3COM (gamme 5500):

Configurer un port en mode access :

La commande ci-dessous permet la création d’un vlan (exemple le 200), et par la même occasion :

[SwitchB] vlan 200
[SwitchB-vlan200] description Dept2
[SwotchB-vlan200] port Ethernet1/0/11 Ethernet 1/0/12
[SwitchB-vlan200] quit

Configurer un port en mode trunk :

Les commandes ci-dessous permettent de déterminer sur une interface le passage en mode trunk et les ID (tags) pouvant y transiter :

[SwitchB] interface Ethernet 1/0/10
[SwitchB-Ethernet1/0/10] port link-type trunk
[SwitchB-Ethernet1/0/10] port trunk permit vlan 100
[SwitchB-Ethernet1/0/10] port trunk permit vlan 200

Configuration des VLAN sur un commutateur HP

!– L’Interface 26 est l’interface d’interconnexion vers le cœur!– Les interfaces 5 à 25 doivent êtres utilisée pour le raccordement des postes et serveurs (vlan2)
!– Les interfaces 2 à 4 Permettent le raccordement des serveur TOIP (vlan 3)
!– Les interfaces interface 1,21,26 seront utilisée pour le management du réseau.
!
vlan 1
!– Identification du vlan
name « managemet« 
!– Commentaire permettant d’identifier la fonction du vlan
untagged 1,21-26
!– Identification du vlan
ip address 10.0.1.1 255.255.255.0
!— On affecte une adresse IP à l’interface de vlan
no untagged 2-25
!– On indique si les trames sont marquées en fonction d’un port ou une tranche de ports (trunk) ou bien non marqué (access)
exit
!
vlan 2
name « data »
untagged 5-25
ip address 10.0.2.1 255.255.255.0
tagged 26
exit
!
vlan 3
name « voip »
untagged 2-4
ip address 10.0.3.1 255.255.255.0
tagged 1-26
voice
exit

Le routage Inter-VLAN :

Exemple de mise en œuvre sur un équipement de type CISCO :

!— Activer le routage inter-vlan. ip routing!— Affectation des interfaces en fonctions des vlan d’appartenances :
!
!— Configuration du port pour être client du VLAN 3
interface FastEthernet0/5
description to SERVER_1
switchport access vlan 3
switchport mode access
no ip address
spanning-tree portfast
!
!— Configuration du port pour être client du VLAN 2
interface FastEthernet0/6
description to USER_VLAN2
switchport access vlan 2
switchport mode access
no ip address
spanning-tree portfast
!
!— Configuration du port pour être client du VLAN 10
interface FastEthernet0/7
description to USER_VLAN10
switchport access vlan 10
switchport mode access
no ip address
spanning-tree portfast
!

Creation des SVI (Switched Virtual Interface):

interface Vlan1no ip address
shutdown
!
interface Vlan2
description USER_VLAN
ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
description SERVER_VLAN
ip address 10.1.3.1 255.255.255.0
!
interface Vlan10
description MANAGEMENT_VLAN
ip address 10.1.10.1 255.255.255.0
!
ip classless
!
ip route 0.0.0.0 0.0.0.0 200.1.1.2

Conclusion:

L’objectif des réseaux locaux virtuels est dans un premier temps d’accroitre la sécurité des réseaux, cependant la norme 801.1q ne peut pas répondre à elle seule à l’ensemble des critères de sécurité. 802.1q permet d’accroitre la sécurité dans les réseaux par le biais du confinement des flux dans un périmètre restreint (domaine de broadcast). 802.1q est une réponse lorsque l’on souhaite de manière simple procéder à un confinement des flux par le biais d’une segmentation logique des domaines de broadcast.

Par le biais de concepts s’exécutant à des strates supérieurs du modèle OSI, il est possible de procéder à la mise en œuvre de politiques d’accès aux différents VLAN. L’exemple est la mise en œuvre de stratégies consistant à filtrer les flux sur la base d’informations de couche 3 (réseaux) ou couche 3 + couche 4 (transport), ceci peut par la pratique être des Routing ACL ou bien des VLAN ACL.

L’implémentation des VLAN permet de simplifier d’une certaine manière la gestion des utilisateurs sur le réseau, étant donné que les informations d’un VLAN peuvent être transporté indépendamment de la position physique de l’utilisateur (il est nécessaire de concevoir en amont une architecture souple et évolutive). Le déplacement d’un utilisateur d’une position physique à une autre peut se faire de manière aisée par une simple modification de la configuration de l’équipement. Au même titre que l’on peut supposer qu’un utilisateur peut conserver sa position physique initiale, joindre un réseau virtuel permettant la communication avec d’autres collaborateurs d’un service différent par le biais d’une simple réaffectation d’un port à un réseau virtuel différent.

L’implémentation d’un réseau local virtuel implique une amélioration de la gestion du trafic par le biais de la logique de confinement des flux au sein d’un domaine de broadcast. Le flux basés sur des adresses de type Broadcast implique une surcharge non négligeable avec un volume de poste partageant un domaine de diffusion commun. La segmentation des réseaux physique en réseaux virtuels permet de réduire l’impact de ce type de flux. Ces flux pouvant amener dans le cadre de cas extrême à ce que l’on appelle une tempête de broadcast provoquant une forte dégradation des performances du réseau et par la même occasion une potentiel paralysie.

Les évolutions de 802.1q permettent d’optimiser le trafic en file d’attente en procédant à l’intégration d’une logique visant à  intégrer la notion de qualité de service. La QOS est envisageable par le biais d’une dissociation des flux via l’implémentation d’un mécanisme utilisant un marquage basé sur 802.1p contenu dans l’entête du paquet 802.1q nommé le champ priority.

Ce mécanisme permet d’affecter un traitement spécifique, donc spécifier un niveau de qualité de service basé sur un VLAN afin de garantir un niveau de priorité en fonction du type de service délivré aux utilisateurs.

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *