TD n°1 - David Bertho

Part of the document

TD n°2
Les réseaux locaux virtuels (VLAN) Exercice 1 Utilité des VLANs 1. Rappelez pourquoi les VLANs sont utiles
2. Pourquoi sont-ils un élément important de la sécurité d'un réseau ?
3. Quels matériels sont mis à contribution pour faire fonctionner un réseau
de VLANs ?
4. Quels paramètres sont à régler sur une station de travail pour qu'elle
puisse participer à un VLAN ?
5. Comment rendre possible la communication entre VLANs ?
6. Dans le cas où on attribue un sous-réseau IP par VLAN, cette technique
ne devient-elle pas équivalente à la simple segmentation en sous-
réseaux ?
7. Quels sont les protocoles mis en oeuvre pour faire fonctionner un
réseau de VLANs ?
8. Pouvez-vous donnez des exemples des situations réelles où l'utilisation
des VLANs est indispensable ?
Exercice 2 Les différents types de VLANs 1. Rappelez quels sont les différents types de VLAN
2. Discutez des avantages de ces différentes techniques
3. Laquelle vous semble la plus intéressante ?
Exercice 3 Fonctionnement des switchs 1. Combien y-a-t-il de tables d'adresses MAC dans un switch ?
2. A quel VLAN appartient un port en mode trunk ?
3. Que se passe-t-il quand un switch reçoit un broadcast de niveau 2 sur un
port appartenant à un VLAN ?
4. Que se passe-t-il quand un switch reçoit un broadcast de niveau 2 sur un
port appartenant à plusieurs VLAN ?
5. Que se passe-t-il quand un switch reçoit un broadcast de niveau 2 sur un
port utilisé en mode trunk ?
6. Que se passe-t-il quand un switch reçoit un broadcast de niveau 3 sur un
port appartenant à un VLAN ?
Exercice 4 Topologie Vous disposez d'un routeur avec deux ports série et un port Ethernet. Vous
devez le connecter à un lien WAN vers votre fournisseur d'accès Internet et
à quatre VLANs internes. 1. Que devez-vous vérifier sur le routeur avant de faire quoi que ce soit
d'autre ?
2. Quel type de configuration allez-vous donner à l'interface Ethernet ?
3. Vous avez choisi le marquage des trames 802.1q. Il n'y a aucune erreur
dans la configuration du routeur, tous les cordons de brassage sont
correctement positionnés, et pourtant, rien ne marche. Quel est la cause
probable de l'erreur ?
Exercice 5 VLAN versus sous-réseaux
1. Comparez les deux architectures ci-dessus. Pourquoi n'obtient-on pas le
même fonctionnement ?
2. Laquelle des solutions vous semble la meilleure du point de vue de la
sécurité ?
Exercice 6 Configuration [pic] Un switch a été configuré comme il est montré dans la figure ci dessus.
L'hôte 1 est connecté au port 0/4 avec l'adresse IP 192.168.1.22/28. L'hôte
2 est connecté au port 0/5 avec l'adresse IP 192.168.1.33/28. L'hôte 3 est
connecté au port 0/6 avec l'adresse IP 192.168.1.30/28. 1. L'hôte 1 peut-il faire un ping sur l'hôte 2 ?
2. L'hôte 1 peut-il faire un ping sur l'hôte 3 ?
3. L'hôte 2 peut-il faire un ping sur l'hôte 3 ?
Exercice 7 Topologie [pic] 1. Pourquoi les hôtes 1 et 2 ne peuvent-ils pas communiquer entre eux ?
Exercice 8 Configuration [pic] Le routeur RA a été configuré selon la figure ci dessus. 1. A quoi peut correspondre cette configuration (faites un schéma) ?
2. Un paquet arrive sur l'interface physique FastEthernet 0/1 du VLAN 10.
Le paquet est à destination de l'adresse 192.168.1.120. Que va faire le
routeur avec ce paquet ? Réponses
Exercice 1 :
1. Ils permettent de s'affranchir du lieu de connexion des postes, pour
pouvoir les grouper en domaines de broadcast selon leur fonction. Cela
permet de concentrer les communications à l'intérieur des VLANs.
2. La technique des VLANs est une technique de segmentation. Une fois
séparés en groupes de travail, les ordinateurs se voient autorisés,
par l'administrateur réseau, uniquement les communications utiles au
sens de la politique de sécurité.
3. Switchs et routeurs
4. Aucun, les postes ne connaissent pas leur appartenace à un VLAN.
5. En les interconnectant avec un routeur
6. Non :
. dans le cas de l'utilisation d'un seul switch, on utilise les VLAN
pour économiser des interfaces et des switchs : . dans le cas de machines dispersées, on utilise plusieurs switchs,
et l'apport des VLANs permet de s'affranchir des contraintes de
câblage
7. Protocoles d'étiquetage des trames : ISL ou 802.1q (802.10 pour FDDI
et LANE pour ATM) puis éventuellement VTP pour propager les tables
MAC/VLAN de switch en switch
8. Exemples :
. quand un domaine de broadcast est trop grand, il faut le segmenter,
les VLANs sont une bonne solution
. dans le cas d'utilisateurs identifiés par leur adresse MAC, quel
que soit l'endroit où ils se connectent physiquement sur le réseau
. partout où le câblage doit rester figé alors que la fonction des
postes peut changer en fonction des l'utilisateur à qui on attribue
ces postes Exercice 2 :
Types de VLAN :
. statiques ou VLAN par port : facile à mettre en oeuvre, difficile à
maintenir, peu sécurisant, sauf si vos ordinateurs sont absolument
inamovibles
. dynamiques ou VLAN par adresse MAC : plus difficile à mettre en
route (tables d'adresses MAC à construire), mais plus facile à
maintenir. Plus sécurisant car les machines peuvent bouger.
. il existe des VLAN dynamiques par adresse IP, ou VLAN de niveau 3,
ils sont peu utilisés car peu sécurisant puisque l'@IP est
facilement paramétrable sur un ordinateur.
Ce sont les VLANs dynamiques par adresse MAC qui sont, de loin, les plus
utilisés. Exercice 3 :
1. Il y a une table MAC par VLAN
2. A aucun, ils sont utiles pour « propager » tous les VLAN entre deux
switch ou entre un switch et un routeur
3. Il renvoie la trame uniquement aux ports participants au même VLAN (y
compris les ports trunk, après étiquetage)
4. Il renvoie la trame à tous les ports participants à chacun des VLANs
concernés
5. Une trame de broadcast de niveau 2 provenant d'un port trunk porte
l'identification d'un seul VLAN. Après détiquetage, la trame est
retransmise vers tous les ports participants à ce VLAN (y compris les
ports trunk, mais sans détiquetage)
6. Un broadcast IP est toujours contenu dans un broadcast MAC car :
. dans un réseau IP, si on veut faire un broadcast IP, il faut que
toutes les cartes prennent la trame, donc il y a aussi broadcast
MAC
. vers un réseau IP, un routeur pourrait transmettre un broadcast
IP à l'interface MAC du routeur qui sert le réseau. C'est une
situation techniquement possible, mais qui ne se rencontre pas
en pratique car on s'arrange toujours pour que les routeurs ne
transmettent pas les broadcast IP
Exercice 4 :
1. Il faut vérifier que le routeur dispose d'une carte Fastethernet,
sinon la définition de sous-interfaces sera impossible. Il faut aussi
que l'IOS du routeur supporte les fonctions attachées à l'utilisation
des VLANs
2. Il faudra obligatoirement mettre l »interface Ethernet en mode trunk Exercice 5 :
Sans VLAN :
. les trames de broadcast de niveau 2 sont visibles par toutes les
machines, même si elles ne sont pas dans le même réseau IP.
. il suffit de changer d'@IP pour changer de réseau, c'est bien plus
facile que de changer d'@MAC !
. l'architecture n'est pas propre, en ce sens que on ne s'attend pas
à trouver des réseaux différents interconnectés par un switch ! Exercice 6 :
1 peut faire un ping sur 3 car ils sont dans le même VLAN et dans le même
réseau Exercice 7 :
Car ils ne sont pas dans le même réseau Exercice 8 : Le routeur routera le paquet vers la même interface, mais avec l'étiquette
du VLAN 120, à condition qu'il satisfasse à l'ACL !
-----------------------
Routeur Switch VLAN 1
SR 1 VLAN 2
SR 2 SR 1 SR 2 Avec VLANs :
1 seule interface du routeur
1 seul switch Sans VLAN :
2 interfaces du routeur
2 switchs Routeur Switch Switch SR 1 SR 2 SR 2 SR 1 SR 2 SR 1 VLAN 2
SR 2 VLAN 1
SR 1 Switch Routeur trunk trunk VLAN 2
SR 2 VLAN 1
SR 1 Switch trunk Avec VLANs : Sans VLAN : 1 interface physique, mode trunk dot1q (802.1q) SR 2