1

Table des matières Quelques notions sur les réseaux locaux Ethernet ........................................ 2

Correspondance entre modélisation OSI et standard Ethernet ………………………………………………… 2

Définitions et rôles .............................................................................................................................. 3

Introduction aux VLAN ................................................................................... 4 Définitions .................................................................................................................................................. 4

L’intérêt Des VLAN ............................................................................................................................. 5

Ensemble Logique ........................................................................................................................ 6

VLANS : mise en œuvre ..................................................................................................... 7

Segmentation / filtrage .................................................................................................... 8

VLANS : à quoi cela sert-il ? ...................................................................................... 9

Types de VLAN : ............................................................................................. 10 Vlan de niveau 1 ..................................................................................................................................... 10

Vlan de niveau 2 ................................................................................................................................. 11

Vlan de niveau 3 ............................................................................................................................ 12

Les VLAN se font de deux manières .................................................................................. 14

Les Normes ....................................................................................................... 15 Le protocole 802.1Q ............................................................................................................................. 15

Le protocole 802.1X .......................................................................................................................... 16

Le protocole 802.1P ....................................................................................................................... 20

Conclusions ...................................................................................................... 21

2

Quelques notions sur les réseaux locaux Ethernet :

– Aujourd'hui, un réseau local repose presque systématiquement sur la technologie Ethernet. Il hérite donc des caractéristiques de cette technologie. Les deux notions clé dans ce contexte sont collision et diffusion.

– Une collision intervient lorsque deux hôtes d'un réseau émettent simultanément sur un média partagé. On appelle domaine de collision un sous-ensemble du réseau à l'intérieur duquel les hôtes sont en compétition pour accéder à un même média ou canal de communication. Plus le nombre d'hôtes présents dans un même domaine de collision est important, plus la fréquence des collisions augmente et plus les performances se dégradent. Pour garantir les meilleures conditions de communication, on cherche donc à réduire au maximum l'étendue du domaine de collision.

– Sur les réseaux filaires actuels, les domaines de collision ne posent plus aucun problème depuis que l'on utilise des commutateurs. Nous verrons pourquoi dans la section suivante. La diffusion est un mécanisme d'annonce générale qui assure que tous les hôtes d'un réseau local reçoivent les trames de diffusion émises par n'importe quel autre hôte de ce même réseau. On appelle domaine de diffusion un réseau à l'intérieur duquel tous les hôtes peuvent émettre et doivent recevoir des trames de diffusion. Comme dans le cas précédent, plus le nombre d'hôtes présents dans le domaine de diffusion est important,plus les performances se dégradent. Là encore, pour garantir les meilleures conditions de communication,on cherche à réduire «raisonnablement» l'étendue du domaine de diffusion. C'est précisément sur le dimensionnement des domaines de diffusion que le débat sur le choix du niveau d'interconnexion entre réseaux locaux intervient. Le document Segmentation des réseaux locaux apporte un premier niveau d'éclairage.Voyons comment on délimite les domaines de collision et de diffusion en faisant la correspondance entre les définitions données par la modélisation OSI et le standard Ethernet. Une fois cette correspondance faite, les unités de données manipulées par les équipements d'interconnexion permettent de définir les bornes de ces domaines.

Correspondance entre modélisation OSI et standard Ethernet :

– Depuis plus de deux décennies, la modélisation OSI sert de référence à la description des couches orientées transmission de l'information. Elle est présentée de façon plus détaillée dans le support Modélisations réseau5.

– Les spécifications des réseaux Ethernet sont elles aussi publiées depuis plus de deux décennies par l'Institute of Electrical and Electronics Engineers. Elles sont accessibles à la page IEEE 802.3™: ETHERNET6. Si on fait correspondre le modèle OSI et le standard Ethernet, ce sont les couches physique et une moitié de la couche liaison qui nous intéressent.

3

Aujourd’hui une entreprise peut occuper tout un immeuble et avoirs plusieurs

secteurs répartis dans chaque niveau de l’immeuble utilisant les mêmes ressources. On peut retrouver par exemple le service comptabilité au premier niveau, au troisième niveau et au dernier niveau de l’immeuble.

Etant dans le même réseau bien sûr ses activités sont dispersées, pour pallier à cela il y’a naissance des Vlan pour faciliter le travail de l’administrateur. En premier lieu nous allons voir quelques définitions des différents éléments qui feront l’objet de ce document. Définitions et rôles :

a. Domaines de diffusion : C’est la zone logique d’un réseau informatique composée de tous les ordinateurs et

les équipements de communication qui peuvent être contactés en envoyant une trame à l'adresse de diffusion de la couche liaison.

Les vlan permettent de séparer virtuellement un commutateur en plusieurs domaines de diffusion

b. Domaines de collision : Un domaine de collision est une zone logique d'un réseau informatique où les

paquets de données peuvent entrer en collision entre eux, dans un réseau Ethernet. Un commutateur ou un routeur crée des domaines de collisions par ports.

Finalement un domaine de diffusion contient des domaines de collision. c. Requête ARP : C’est un protocole qui permet de connaître l’adresse MAC d’un hôte à partir de son

adresse IP. d. Commutateur : Un commutateur est un équipement qui ne diffuse pas les trames. Il met en relation

les seuls postes concernés par l’échange, avant de réémettre les trames le commutateur vérifie que si le support de communication est libre, il évite aussi les collisions contrairement à un concentrateur.

e. Hub : reçoit l’information et le diffuse à tous ces ports. f. Switch : C'est un équipement qui est capable d'apprendre et de retenir les adresses MAC qui

se présentent sur chacun de ses ports. Hormis les trames de diffusion qui seront systématiquement répercutées sur tous les ports, il ne laissera communiquer entre eux que les ports concernés par un dialogue entre deux nœuds. C'est sa fonction principale de pont Ethernet.

4

Introduction aux VLAN :

Définitions :

• On a vu qu'un réseau local (LAN) est défini par un domaine de diffusion dans lequel tous les hôtes reçoivent les messages de diffusion émis par n'importe quel autre hôte du réseau. Par définition, un réseau local est délimité par une interface d'équipement de niveau 3 du modèle OSI (couche réseau).

• Généralement, un réseau local (LAN) est défini par un domaine de diffusion. Tous les hôtes d'un réseau localreçoivent les messages de diffusion émis par n'importe quel autre hôte de ce réseau. Par définition, un réseau local est délimité par des équipements fonctionnant au niveau 3 du modèle OSI : la couche réseau. Un réseau local virtuel (VLAN) est un réseau local (LAN) distribué sur des équipements fonctionnant au niveau 2 du modèle OSI : la couche liaison. À priori, il n'est donc plus nécessaire d'avoir recours à un équipement de niveau 3 pour «borner» le réseau local. Cette formulation bute sur une fonction difficile à contourner : l'interconnexion des réseaux locaux. Dès que l'on a besoin de communiquer entre domaines de diffusion, il est absolument nécessaire de passer par les fonctions de routage du niveau réseau du modèle OSI. Le réseau local est distribué sur différents équipements via des liaisons dédiées appelées trunks. Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs réseaux virtuels. Les trames qui traversent le trunk sont complétées avec un identificateur de réseau local virtuel (VLAN id). Grâce à cette identification, les trames sont conservées dans un même VLAN (ou domaine de diffusion). Les trunks peuvent être utilisés : entre deux commutateurs C'est le mode de distribution des réseaux locaux le plus courant. entre un commutateur et un hôte C'est le mode de fonctionnement à surveiller étroitement. Un hôte qui supporte le trunking a la possibilité d'analyser le trafic de tous les réseaux locaux virtuels. Enfin, il ne faut pas oublier que tous les VLANs véhiculés dans le même trunk partagent la bande passante du média utilisé. Si un trunk utilise un lien 100Mbps Full-Duplex, la bande passante de tous les VLANs associés est limitée à ces 100Mbps Full-Duplex.

Figure 1 : Exemple d'architecture D'un LAN

5

L’intérêt Des VLAN :

• La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le libérant de certaines contraintes physiques.

• C’est une technique de segmentation, qui participe donc à la sécurité. • Cependant, les protocoles utilisés ne sont pas spécialement conçus pour être « sécurisés ». • Il faut donc utiliser cette technique quand elle est vraiment utile, et maîtriser les conséquences sur

la sécurité du réseau.

• Les VLANs doivent être utilisés pour : • regrouper des postes selon un critère logique et non plus géographique • gérer correctement la mobilité des postes • contrôler la taille des domaines de broadcast • Leur utilisation n’est pas motivée par des raisons liées à la sécurité, mais à l’architecture • La conception d’une architecture bien pensée, avec si besoin l’utilisation des VLAN est le

prérequis à une bonne gestion de la sécurité

Figure 2.2: L'intérêt des VLANs

Figure 2.1: L'intérêt des VLANs

6

Ensemble Logique :

• Les VLANs doivent être utilisés pour cloisonner un réseau indépendamment de la répartition géographique des postes

• On peut créer des ensembles de machines, cohérents au sens :

• de l’utilisation qui en est faite (groupes de travail)

Figure 3.1: Ensemble Logique d’un VLAN

• On peut créer des ensembles de machines, cohérents :

– au sens de la sécurité :

• identification et gestion des droits

• On peut utiliser l’@MAC ou le couple login/mdp pour mettre les utilisateurs qui se connectent dans le VLAN qui correspond à leurs droits

Figure 3.2: 1er Méthode pour sécuriser un VLAN login/mdp

1er Etape : 2ème Etape :

7

• On peut créer des ensembles de machines, cohérents : – au sens de la sécurité :

• accès aux trames de broadcast (visibles avec un sniffer)

• Un utilisateur malveillant peut utiliser un sniffer pour décoder des trames de broadcast qui ne le concernent pas. Pire encore, un switch peut, si sa table d’adresses MAC lui impose, retransmettre une trame unicast sur toutes ses interfaces.

Figure 4.1: 2ème Méthode pour sécuriser un VLAN

VLANS : mise en œuvre :

• La définition des VLANs se fait sur les équipements d’interconnexion de niveau 2 (switchs).

• Les équipements terminaux ignorent leur appartenance à un VLAN.

• Les switchs ont donc un IOS qui permet de mettre à jour une micro base de données.

• Cela peut se faire par le branchement d’une console en mode texte directement sur switch.

• Certains switch contiennent un mini serveur web qui permet de paramétrer les VLANs (entre autres choses).

• Un switch peut donc avoir une adresse IP .

8

Segmentation / filtrage :

• La technique des VLANs est une technique de niveau 2.

• Elle permet de créer des domaines de broadcast qui correspondent aux ensembles logiques définis par l’administrateur.

• La segmentation crée des groupes séparés strictement.

• La séparation peut être rendue perméable par l’utilisation d’un routeur ceci qui conduit alors à attribuer des réseaux IP différents pour chaque VLAN.

• Figure 5.1: Séparation Logique des domaines de Broadcast

• L’utilité de cette technique de segmentation réside dans la possibilité de faire du routage avec filtres entre les segments ainsi créés

• Ainsi, même si il s’agit d’une technique de niveau 2, son utilisation est motivée par des raisons s’attachant au niveau 3.

C’est le switch qui sépare en différents VLANs, c’est le routeur qui autorise les communications utiles entre ces VLANs

9

VLANS : à quoi cela sert-il ?

• Figure 6.2: La Segmentation

• Réseau logique, non tributaire de l’emplacement physique

• Les domaines de broadcast sont définis administrativement

• Les utilisateurs sont affectés par logiciel aux différents VLANs

• Un switch contient donc un IOS et une base de données montrant l’appartenance aux VLANs • Figure 6.2: La Segmentation

10

Types de VLAN :

– Il existe quatre types de VLAN : Les Vlan par port (Vlan de niveau 1) :

• On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une trame à un VLAN

est alors déterminée par la connexion de la carte réseau à un port du commutateur. Les ports sont donc affectés statiquement à un VLAN.Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on déplace logiquement une station (on veut la changer de Vlan) il faut modifier l’affectation du port au Vlan.

• Chaque port physique du commutateur est configuré par l’administrateur du réseau pour appartenir à un (plusieurs ?) VLAN, et toute machine (ou ensemble de machines) qui se trouve branchée sur ce port fera partie de ce VLAN. C’est le mode de fonctionnement le plus simple et le plus déterministe, c’est à dire celui où potentiellement les défauts de logiciel sont le moins probable. Ce type de réseaux virtuels n’a rien de bien innovant. Au bon vieux temps, lorsque les équipements réseau étaient simples et fiables, on faisait déjà des VLAN par port tout simplement en construisant des réseaux physiquement séparés, chacun ayant son câblage et ses propres équipements actifs. C’est bien le branchement physique sur un port d’un concentrateur plutôt qu’un port d’un autre concentrateur qui déterminait l’appartenance à un réseau.

• On peut se risquer à comparer les VLAN par port à la construction de réseaux séparés .

11

Les Vlan par adresse MAC (Vlan de niveau 2) :

• On affecte chaque adresse MAC à un VLAN.L’appartenance d’une trame à un VLAN est déterminée par son adresse MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port.L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement est bien adapté à l'utilisation de machines portables).Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.

• Le critère d’appartenance à un VLAN n’est plus lié au port sur lequel la machine est connectée, mais à un ou plusieurs critères liés à la nature de trafic généré par cette machine. On va par exemple définir l’appartenance à un VLAN à un protocole particulier : un VLAN pour IP, un autre VLAN pour le trafic Appletalk. Si l’intérêt du VLAN par protocole n’est pas évident lorsque son réseau à été bien conçu dès le départ et qu’il n’utilise pas des protocoles bizarres, on peut imaginer quelques situations dans lesquelles le VLAN par protocole peut aider à faire progresser le fonctionnement du réseau. Imaginons un réseau de campus qui est fortement maillé et routé (plutôt que commuté). Ce réseau utilise les protocoles IP et Appletalk. Pour eux tout se passe bien, parce que par conception ces deux protocoles sont adaptés aux réseaux routés. Ajoutons maintenant sur ce réseau d’entreprise un protocole réseau de mauvaise qualité qui n’a pas été conçu pour être routé (le lecteur mettra ici le nom du protocole non routé qu’il déteste le plus). Que peut-on faire ? Construire un deuxième réseau physique pour ce protocole ? Trop coûteux. C’est ici que le VLAN par protocole a son intérêt : l’administrateur du réseau va définir un VLAN qui recueillera le trafic correspondant au protocole choisi. Le commutateur va analyser et trier chaque trame qu’il reçoit afin de la placer dans le VLAN qui lui correspond.La gestion et l’administration de ce type de VLAN peuvent être compliquées et ne répondent pas aux mêmes besoins de sécurité que le VLAN par port (en fait je dirais que cela ne répond pas vraiment à des besoins de sécurité).

12

Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

• On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations).En fait, il s’agit à partir de l’association adresse niveau 3

• VLAN d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN. • Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des

VLAN en accédant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de niveau 2. Le critère d’appartenance à un VLAN n’est plus lié à un protocole où à une localisation sur le réseau, mais à

• un identifiant de la machine et plus particulièrement de sa carte réseau. Avec de l’ethernet c’est l’adresse MAC de

• la carte qui peut être l’identifiant, et c’est justement ce que de nombreux produits du marché permettent de faire.

• L’intérêt de cette configuration est la banalisation de chaque prise informatique du réseau. Aussitôt un poste .

13

VLAN par port

VLAN par @MAC

VLAN par port

14

Les VLAN se font de deux manières :

• Attribution statique (niveau 1)

C'est la méthode la plus simple et aussi la moins souple, qui consiste à attribuer un port du

SWITCH à un VLAN donné, en configurant statiquement le SWITCH.

• Attribution dynamique (niveaux > 1)

C’est la méthode qui fait appel à 802.1x et à un procédé d'authentification(serveur d’authentification RADIUS). Il faut disposer d’un switch capable d’envoyer à un serveur d’authentification l’adresse MAC de la station connectée à un port, en guise de "login/password". Si l'adresse MAC est connue (Authentification réussie), le serveur pourra envoyer au SWITCH le numéro du VLAN attaché à la station. Cette méthode est plus souple, puisqu'une station donnée pourra se connecter sur n'importe quel port, elle se retrouvera toujours sur le VLAN qui lui convient.

• Fonctionnement des ports : – Il existe trois modes d’accès au port :

Mode d’accès Mode trunk (étiquetage de trame) Mode dynamique ou automatique

• Une autre méthode pour définir des Vlan :

– On trouve dans la littérature des références au Vlan par protocoles. – C’est à dire qu’on associe une trame à un Vlan en fonction du protocole qu’elle

transporte. Ce protocole peut être un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk .etc…

– Mais on peut trouver aussi des Vlan construits à partir de protocole supérieur (notamment H320). On parle quelquefois de Vlan par règles ou par types de service.

– Enfin l’apparition du Wi-fi pose des problèmes de sécurité que les Vlan peuvent résoudre. Ainsi une solution basée sur des Vlan par SSID est envisageable.

15

Les Normes :

Déploiement et transport des Vlans:

Le protocole 802.1Q: • Historique :

La norme 802.1q est née en 1998 pour répondre à un besoin de normalisation sur le transport des Vlans.

• Description de la norme :

Elle définit, en premier lieu, l'ajout de 2 octets dans la trâme ethernet. Ces deux octets ajoutent plusieurs champs pour répondre à plusieurs besoins. La norme définit alors sur la trame ethernet le champ VPID à 0x8100 pour désigner la trame 802.1q. La principale fonction de la norme est de transporter les Vlans sur le réseau, pour permettre à deux machines d'un même Vlan de communiquer au travers un nombre non définit d'équipement réseau. La norme 802.1q prévoit également un mécanisme de prioritisation de flux. Cette prioritisation est définie par la norme 802.1p. Un champ protocole définit sur 1 bit est prévu pour pouvoir utiliser le 802.1q aussi bien sur ethernet que sur TokenRing. Enfin, le champ Vlan ID permet de fixer un identifiant sur 12 bits d'un Vlan.

• Architecture d'un commutateur 802.1Q: Un commutateur respectant la norme 802.1q se décompose en trois couches : - La couche configuration qui permet d'écrire les informations dans la MIB et s'occupe des commandes d'administrations de l'OS implémenté sur le switch. - La couche définition automatique et propagation. Cette couche est chargé d'enregistrer les Vlans présents sur les différents ports du switch et d'avertir le reste du réseau de l'appartenance du switch au Vlan. Il doit donc pour cela maintenir plusieurs tables à jour, que nous détaillerons plus tard. - La couche relais qui, comme son nom l'indique relais les informations qu'il collecte sur ses ports. La partie la plus importante dans le protocole 802.1q est la définition automatique et propagation. On rappelle qu'on appelle "trunk" un lien transportant plusieurs Vlans.

• Transport statique: Il est possible de configurer le 802.1q à la main pour permettre de transporter les Vlans. Pour cela, il faut configurer chaque port se trouvant sur le chemin d'un port tagué d'un Vlan à un autre. IL faut de plus répeter l'opération pour chaque lien défini. On peut comprendre que le processus s'avère long et fastidieux. La norme prévoit donc un mécanisme qui tague les ports automatiquement suivant les Vlans déclarés.

16

Contrôle d'accès:

Le protocole 802.1X: • Historique :

– Le 802 .1x est un standard mis en place en juin 2001 par l’IEEE, et fait partie du groupe des

protocoles IEEE 802 (802.1). Ce standard provient du besoin de s’authentifier dès l’accès physique au réseau. Ce besoin s’est particulièrement fait sentir dans le domaine du WIFI, où les clés de cryptage WEP ne sont pas très efficaces, d’où l’idée d’une authentification physique dès les bornes.

– Cette norme 802.1x fut donc développée aussi pour les VLAN et s’appuie sur toutes les normes de niveau 2 comme le 802.5 (Token Ring), le 802.3 (Ethernet), mais également sur le WIFI. L’IEEE souhaitait donc standardiser un mécanisme de relais d’authentification au niveau 2. • Objectif :

– L’objectif du 802.1x est d’autoriser l’accès physique à un réseau local après une phase

d’authentification, peu importe le système de transmission utilisé. Le mécanisme d’authentification de l’accès au réseau se fait lors de la connexion physique ( en général connexion sur un réseau Ethernet), avant même tout autre mécanisme d’auto-configuration tel que DHCP pour l’attribution dynamique des adresses IP.

– En plus de cela, le 802.1x va apporter des avantages considérables au niveau de l’administration du réseau, notamment par l’affectation dynamique des VLAN en fonction des caractéristiques de cette authentification. • Principe Général :

– Le 802.1x s’appuie sur un protocole particulier : l’EAP (Extensible Authentification Protocol) décrit

par la suite. Le standard s’appuie sur des mécanismes d’authentification existants. – Il se base sur 3 entités :

– le système à authentifier ou supplicant :

– Il s’agit en général d’un poste de travail, éventuellement d’un serveur. Le point d’accès au réseau

varie donc selon ce dernier. Le point d’accès physique peut être une prise RJ45. Le point d’accès logique est par exemple le 802.11.

– le système authentificateur ou Authentificator System :

– Ce système sert de relais. Il s’agit d’un équipement réseau, comme une borne sans fil pour le WIFI, un routeur, …

– Cet équipement gère un PAE (Port Access Entity) qui sera décrit après, qui permettra au supplicant d’accéder ou non aux ressources du réseau.

– le système authentificateur ou authentification serveur : – Ce serveur d’authentification est en général un serveur Radius. Selon la requête du supplicant, ce

serveur détermine les services auxquels le demandeur a accès.

17

• Mécanisme Général : – Le supplicant souhaite accéder aux ressources du réseau. Mais pour cela il va devoir s’authentifier.

Le système authentificateur gère cet accès via le PAE. Il se comporte comme un relais, comme un proxy entre l’entité qui souhaite être sur le réseau et le serveur d’authentification.

– Le supplicant va dialoguer avec le serveur via le relais, grâce au protocole EAP. Si l’authentification réussit, le serveur donne au demandeur l’accès aux ressources via le système authentificateur et son PAE.

– La structure du 802.1x s’appuie donc sur 4 couches : o Couche média : le Token Ring, l’Ethernet, .. o Couche protocole : l’EAP, protocole d’identification o Couche méthode d’authentification : elle s’appuie sur les mots de passe, les certificats. o Couche infrastructures qui comporte le matériel d’authentification comme le serveur Radius .

– L’utilisation du 802.1x en Wifi permettra l’authentification du demandeur, le contrôle d’accès aux bornes et la distribution des clés WEP.

– Mais attention, il faut que le 802.1x soit bien implémenté sur les différentes machines. Si les implémentations sur les bornes et serveurs sont disponibles, il n’en est pas de même chez les postes clients. Le 802.1x est maintenant de plus en plus intégré avec le système d’exploitation.

• Transport Dynamique:

Le 802.1x dans les environements filaires et la gestion de Vlan dynamique :

– Comme présenté en introduction, ce protocole vient en remplacement du WEP, jugé trop faible. Fortement implémenté dans les sytèmes sans fil, le 802.1x connaît aujourd’hui un déploiement de plus en plus large dans les environnements filiaires. En effet il permet une authentification au réseau local lié aux caractéristiques de la personne et non à la prise physique où est racordé l’utilisateur. Dans un contexte d’entreprises de plus en plus accès sur la mobilité on comprend bien le réel enjeu de ce protocole.

– Dans le protocole 802.1x, il est possible, grace à la centralisation des profils au niveau des serveurs RADIUS, de mettre en place des services supplémentaires comme l'affectation dynamique de VLAN.

– Les VLANs à configuration dynamique vont permettre de ne pas avoir à reconfigurer les commutateurs dans le cas où un utilisateur est déplacé (ce qui est nécessaire dans le cas de VLAN affectés par port).

– Un port peut être placé de façon dynamique dans un VLAN en fonction de la réussite ou de l’échec de l’authentification.

– L’affectation dynamique des VLANs est un paramètre qui se configure sur le serveur RADIUS. – Sur un port configuré en 802.1x, nous avons les 3 comportements d’attribution suivants :

VLAN d’accès du port :

– Authentification échouée d’un client, – Authentification réussie d’un client mais pas d’affectation dynamique sur le serveur RADIUS,

Connexion d’un client sans authentification (sans Guest VLAN).

18

Guest VLAN :

– Connexion d’un client ne supportant pas l’authentification LAN spécifique à l’utilisateur :

– Authentification réussie d’un client, affectation du vlan définie au niveau du serveur RADIUS pour

l’utilisateur ou le groupe. – Le Guest VLAN accueille uniquement les utilisateurs qui ne font pas de requête d’authentification. Il

n’inclut pas les échecs d’authentification. Avantages :

Protection :

– Etant donné qu'il assure une validation de l'accés au médium, il s'occupe ainsi en amont des

intrusions sur le réseau. – Ceci est très important de nos jours, notamment dans le cadre des réseaux sans fils, qui sont de

véritables portes ouvertes .De plus, les technologies de sécurité employées par défaut (filtrage d'adresse MAC, mise en place de clé WEP) sont très vulnérables.

– A l’inverse des protections WEP par exemple, le 802.1x par l’adoption de clés de cryptage dynamiques par utilisateur et par session n’interdit pas les attaques de force brute mais les rend pratiquement impossible. Pour rappel :

– Une attaque de force brute consiste à essayer successivement toutes les valeurs possibles. – En 802.1x les clés de session sont dynamique par utilisateur et par session. Lorsque l’utilisateur se

déplace, une nouvelle session est rejouée, et la clé change, même si cele est complètement transparent pour l’utilisateur.

– Le protocole 802.1x réduit aussi les attaques du type Man in the middle. Gestion :

– Le 802.1x en permettant une base de comptes unique, simplifie le travail des administrateurs. Il

permet à l’utilisateur d’utiliser les mêmes identifiants de connexion pour tous les accès avec ou sans fil au réseau sans modification de configuration.

– Il permet aussi de gérer les comptes utilisateurs à partir de bases existantes comme les bases LDAP par exemple.

– Le standart 802.1x apporte mobilité et transparence (selon le typed'authentification choisi). En effet, le supplicant peut se brancher àn'importe quelle prise ou borne.

– Il permet aussi l’attribution de Vlan dynamiques ce qui renforce encore la flexibilité du système. Et réduit les coûts de déplacement en supprimant la réattribution manuelle de port.

19

Inconvénients :

– Une des principales faiblesses vient du fait que rien n’empêche un utilisateur de mettre un hub équipement transparent à 802.1x et de faire bénéficier d’autres utilisateurs de son ouverture de session. Cette faiblesse est détournée par les constructeurs qui bloquent le port ethernet lorsque l’adresse MAC de l’équipement connecté change.

– Les faiblesses du 802.1x peuvent aussi provenir de l’EAP utilisée (voir chapitre correspondant). – Le client qui ne suporte pas le 802.1x, ne peux pas acceder au réseau, sauf configuration spéciale

d’un accès minimum. – La mise en place du 802.1x sur le réseau, impose d’avoir du matériel neuf, implémentant le

protocole. – A noter : aujourd’hui la plupart des équipements réseaux supportent le 802.1x.

Mise en place du 802.1x :

Côté Supplicant :

– Pour cette opération il faut se rapporter aux spécificités du systèmes d'exploitation. – La mise en place du 802.1x du coté client n’est pas compliquée. Il suffit d’activer les paramêtres

correspondants au niveau de la carte réseau. (Bien sur il faut que la carte réseau supporte le 802.1x) Il suffit alors de choisir sa méthode d'authentification EAP et de renseigner les paramètres d'authentification. Côté authentificateur :

– Avant toute mise en place de la norme, il faut s'assurer du support de celle-ci sur tous les

équipements actifs du réseau. – Ensuite il faut entrer en mode configuration du terminal et entrer les lignes de commande

correspondantes à l’activation du protocole. Côté Authentication Server :

– Création d'un profil et mise en place de droits. – Pour effectuer cette opération, il faut se référer au manuel de l'interface web de configuration du

serveur. Affectation dynamique de VLAN :

– Elle se base sur la modification de trois paramètres :

o Tunnel-Type (064): VLAN o Tunnel-Medium-Type (065): 802 o Tunnel-Private-Group-ID (081): { nom du VLAN }

20

• Affectation dynamique d'adresses IP :

Côté RADIUS, option IP Assignement: – Attribution d’une adresse IP statique pour un utilisateur. – Mise en place d’un lien vers un pool DHCP, pour un utilisateur ou un groupe.

Côté équipement de routage:

– Mise en place de l’option ip dhcp-helper vers le pool d’adresses. Evolutions :

– L’une des modifications importantes du protocole introduit la notion d’authentification mutuelle.

• Authentification mutuelle :

– Lorsque le client est lui-même un fournisseur de service réseau (ex un commutateur a brancher sur un

autre commutateur), il a besoin d’être sûre que le port 802.1x auquel il s’adresse est bien un port de confiance. L’authentification mutuelle met en œuvre une double authentification, où les rôles sont échangés, chacun jouant successivement le rôle de l’authentificateur et de l’authentifié. Les contrôles de flux :

La norme 802.1P :

– IEEE 802.1p définit les 3 bits d'un champ contenu dans l'en-tête d'une trame Ethernet, utilisé pour marquer les trames d'un réseau IEEE 802.1. Il détermine la priorité, valeur entre 0 et 7 inclus, qui peut être utilisée par un mécanisme de Qualité de service (Quality of Service ou QoS) pour différencier les flux.

– IEEE P802.1p est également le nom d'un groupe de travail actif durant la période 1995-1998, dont l'objectif consistait à ajouter au standard IEEE 802.1D une accélération par classe de trafic (traffic class expediting) et un filtrage dynamique de la multi-diffusion (dynamic multicast filtering).

– Essentiellement, il a fourni un mécanisme de qualité de service au niveau 2, Media Access Control (MAC). Le travail du groupe, sur les nouvelles classes de priorité et le Generic Attribute Registration Protocol (GARP), n'a pas été publié séparément, mais a été incorporé dans IEEE 802.1D-1998, révision majeure du standard.

• Principes :

– Le 802.1p est une extention du 802.1q permettant d'offrir un mecanisme de prioritisation des trâmes au niveau LAN. Pour cela, il s'appuie sur le champ priorité de la trame 802.1q définit sur 3 bits. Il existe deux utilisations du 802.1p, la première dans le cadre du GMRP et le deuxième dans un mécanisme de classe de service.

21

• Le mécanisme de GMRP :

– Le GMRP est un protocole de multicast équivalent à l'IGMP mais au niveau 2. Ce protocole étant assez complexe.

– Le mécanisme de classe de service. – La deuxième utilisation du 802.1p consiste à buffériser les trames et à émettre des plus prioritaires

aux moins prioritaires. Cette solution est très basique puisqu’elle ne garantit aucun débit et n'assure aucun contrôle de flux.

– Les classes de services ne sont pas définies dans l'ordre numérique (de 0 à 7) mais dans un ordre différent.

– 802.1p définit 8 classes de service différentes, qui sont disponibles, et habituellement exprimée dans les 3 bits du champ priorité utilisateur (user_priority) dans l'en-tête IEEE 802.1Q ajouté à la trame. La manière dont le trafic sera ensuite géré, en fonction de la classe à laquelle il sera affecté, n'est pas défini et reste du ressort des choix d'implémentation.

– Toutefois, l’IEEE a publié une vaste gamme de recommandations :

Conclusions : « L’avenir des VLANs»

– Les Vlans sont aujourd'hui en pleine expansion dans le monde de l'entreprise pour répondre à des LANs de plus en plus grand et des services de plus en plus diversifiés. De nouvelles idées ont récemment vu le jour dans une utilisation plus complexe des Vlans et les constructeurs continuent à travailer sur des implémentations de la norme.

– L'avenir des Vlans est néanmoins menacé à long terme par l'arrivé de l'IPV6 qui limitera grandement leur utilisation.

1 Méta-Information : Ce exposé est écrit avec Microsoft Word. Il est disponible en Version imprimable au format PDF Introduction aux VLAN.pdf.

1 inter-vlan.routing.pdf ² Appert-Bouvet-Chaveron-VLAN.pdf ³ https://fr.wikipedia.org/ ₄ CCNA 3 Chapitre

• Figure 10: Recommandation publié par IEEE