Notions de Switching
description
Transcript of Notions de Switching
-
Notions de switching
1. Latence
Dfinition
La latence, parfois appele dlai, est le temps que prend une trame (ou un paquet) pour voyager
entre la station d'origine (nud) et la destination finale sur le rseau.
Causes :
Dlai carte rseau
Premirement, il y a le temps ncessaire la carte rseau d'origine pour placer des impulsions
lectriques sur le fil et le temps ncessaire la carte rseau rceptrice pour interprter ces
impulsions. On parle parfois, dans ce cas, de dlai de carte rseau (il s'agit gnralement d'un dlai
de 1 microseconde pour les cartes rseau 10BaseT).
Dlai propagation
Vient ensuite le dlai de propagation proprement dit, qui se produit lorsque le signal prend le temps,
quoique trs court, ncessaire son dplacement sur le fil (environ 0,556 microseconde par 100
mtres pour du cble UTP de catgorie 5). Plus le cble est long, plus le dlai de propagation est
important. De mme, plus la vitesse de propagation nominale, ou NVP, du cble est faible, plus le
dlai de propagation est important.
Dlais units couches 1, 2 ou 3
Enfin, du temps de latence est ajout en fonction des units rseau (qu'elles soient de couche 1, 2 ou
3) ajoutes sur la voie entre deux htes en communication, ainsi que de leur configuration. Il convient
galement de tenir compte du temps de transmission rel (priode pendant laquelle l'hte transmet
effectivement des bits) pour bien comprendre la notion de synchronisation dans le domaine des
rseaux.
Dure d'un bit
= l'unit de base au cours de laquelle UN bit est envoy.
Pour que les dispositifs lectroniques ou optiques soient en mesure de reconnatre un 1 ou un 0
binaire, il doit y avoir une priode minimale durant laquelle le bit est " ouvert " ou " ferm ".
Si la dure d'un bit est de 100ns (Ethernet 10 Mbits/s) alors pour
Taille d'un trame (Octet) Temps de transmission (microseconde)
64 51,2
512 410
1000 800
1518 1214
(trame X 8 X 100ns)/1000 = temps de transmission en microsecondes
2. Les rpteurs
Les rpteurs sont des lments de couche 1 qui rgnrent le signal avant de le transmettre.
Les rpteurs autorisent des distances de bout en bout suprieures
Les rpteurs augmentent le domaine de collision
Les rpteurs augmentent le domaine de broadcast
-
3. Full-Duplex
Le commutateur Ethernet full duplex tire parti des deux paires de fils du cble grce l'tablissement
d'une connexion directe entre l'metteur (TX) une extrmit du circuit et le rcepteur (RX) l'autre
extrmit. Lorsque les deux stations sont connectes de cette faon, un domaine sans collision
est cr, car la transmission et la rception des donnes s'effectuent sur deux circuits non
concurrents.
En rgle gnrale, Ethernet utilise seulement entre 50 et 60 % de la bande passante de 10 Mbits/s
disponible en raison des collisions et de la latence. Le mode Ethernet full duplex offre 100 % de la
bande passante dans les deux directions. Cela produit un dbit potentiel de 20 Mbits/s : 10 Mbits/s
en transmission et 10 Mbits/s en rception.
4. Pourquoi segmenter un LAN ?
La segmentation permet d'isoler le trafic ente les segments
Elle augmente la bande passante disponible pour chaque utilisateur en crant des domaines de
collisions plus petits.
5. Le matriel
Les ponts
Les ponts sont des units de couche 2 qui acheminent des trames de donnes en fonction des
adresses MAC contenues dans les trames. De plus, les ponts sont transparents pour les autres units
du rseau.
Les ponts " apprennent " la segmentation d'un rseau en crant des tables d'adresses qui renferment
l'adresse de chacune des units du rseau, ainsi que le segment utiliser pour atteindre cette unit.
moins d'utilisateurs par segment
Un pont est considr comme une unit de type " Store and Forward " parce qu'il doit examiner le
champ adresse de destination et calculer le code de redondance cyclique (CRC) dans le champ de
squence de contrle de trame avant de transmettre ladite trame vers tous les ports. Ils augmentent
la latence de 10 30%
Les routeurs
Un routeur fonctionne au niveau de la couche rseau et fonde toutes ses dcisions en matire
d'acheminement des donnes entre les segments sur l'adresse de niveau protocole de la couche
rseau.
Les commutateurs
Un commutateur peut segmenter un LAN en microsegments, qui sont des segments hte
unique. Cela a pour effet de crer des domaines sans collision partir d'un grand domaine de
collision. ( ! domaine de broadcast identique). + Latence faible
Dans une implmentation Ethernet commute, la bande passante disponible peut atteindre prs de
100 %. Chaque ordinateur branch sur port dispose d'une bande passante maximale de point point.
L'un des inconvnients des commutateurs est leur prix, plus lev que celui des concentrateurs.
-
6. La commutation
Deux activits de base
- La commutation de trames de donnes - Cette opration se produit lorsqu'une trame qui est
parvenue au niveau d'un mdia d'entre est transmise un mdia de sortie.
- La gestion des oprations de commutation - Un commutateur cre et gre des tables de
commutation.
En rgle gnrale, les ponts assurent la commutation au niveau logiciel, les commutateurs au niveau
matriel.
La commutation de couche 2 et de couche 3
La commutation est un processus qui consiste prendre une trame entrante sur une interface et
l'acheminer par une autre interface. Les routeurs utilisent la commutation de couche 3 pour acheminer
un paquet ; les commutateurs (units de couche 2) utilisent la commutation de couche 2 pour
acheminer les trames
Dans le cas de la commutation de couche 2, les trames sont commutes en fonction des adresses
MAC. Dans le cas de la commutation de couche 3, les trames sont commutes selon les informations
de couche rseau.
Contrairement la commutation de couche 3, la commutation de couche 2 ne regarde pas l'intrieur
d'un paquet pour y trouver les informations de couche rseau. La commutation de couche 2 regarde
l'adresse MAC de destination contenue dans une trame. Elle envoie les informations la bonne
interface, si elle connat l'emplacement de l'adresse de destination. La commutation de couche 2 cre
et met jour une table de commutation qui consigne les adresses MAC associes chaque port ou
interface.
Si le commutateur de couche 2 ne sait pas o envoyer la trame, il l'envoie par tous ses ports au
rseau pour connatre la bonne destination. Lorsque la rponse est renvoye, le commutateur prend
connaissance de l'emplacement de la nouvelle adresse et ajoute les informations la table de
commutation.
Comment un commutateur prend-il connaissance des adresses ?
Apprend l'emplacement d'une station en examinant l'adresse d'origine.
Envoie par tous les ports (sauf sur le port d'origine) lorsque l'adresse de destination est un broadcast,
un multicast ou inconnue.
Achemine les donnes lorsque la destination est situe sur une interface diffrente.
Filtre les donnes lorsque la destination est situe sur la mme interface.
Les avantages de la commutation LAN
Rduction du nombre de collision
Plusieurs communications simultanes
Liaisons montantes (Uplink) simultanes
Amlioration des rponses du rseau
Hausse de la productivit de l'utilisateur
Economie et souplesse de gestion
Deux modes de commutation
Store and Forward
La trame entire doit tre reue avant de pouvoir tre achemine. Les adresses de destination
et/ou d'origine sont lues et des filtres sont appliqus avant que la trame ne soit achemine. De
la latence se produit pendant la rception de la trame ; la latence est plus leve dans le cas des
-
grandes trames, car la trame entire est plus longue lire. La dtection d'erreurs est leve, car le
commutateur dispose de beaucoup de temps pour vrifier les erreurs en attendant de recevoir toute la
trame.
Cut-through
Le commutateur lit l'adresse de destination avant d'avoir reu toute la trame. La trame est
ensuite achemine avant d'avoir t entirement reue. Ce mode rduit la latence de la transmission
et dtecte peu d'erreurs de commutation LAN. " FastForward " et " Fragment Free " sont deux
types de commutation " Cut-through ".
Mode de commutation " FastForward "
Ce mode de commutation offre le plus faible niveau de latence en acheminant un paquet ds
rception de l'adresse de destination. Comme le mode de commutation " FastForward " commence
l'acheminement avant que le paquet entier n'ait t reu, il peut arriver que des paquets relays
comportent des erreurs. Bien que cela ne se produise qu'occasionnellement et que l'adaptateur
rseau de la destination rejette le paquet dfectueux lors de sa rception, le trafic superflu peut tre
jug inacceptable dans certains environnements. Utilisez le mode Fragment Free pour rduire le
nombre de paquets qui sont achemins avec des erreurs. En mode FastForward, la latence est
mesure partir du premier bit reu jusqu'au premier bit transmis (c'est la mthode du premier entr,
premier sorti).
Mode de commutation Fragment Free
Ce mode de commutation filtre les fragments de collision, qui constituent la majorit des erreurs de
paquet, avant que l'acheminement ne puisse commencer. Dans le cas d'un rseau qui fonctionne
correctement, les fragments de collision doivent tre d'une taille infrieure 64 octets. Tout fragment
d'une taille suprieure 64 octets constitue un paquet valide et est habituellement reu sans erreur.
En mode de commutation Fragment Free, le paquet reu doit tre jug comme n'tant pas un
fragment de collision pour tre achemin. Selon ce mode, la latence est mesure en fonction du
premier entr, premier sorti.
7. STP (Spanning Tree Protocol)
1. Assure la commutation des trames de broadcast
2. Empche les boucles
3. Permet les liaisons redondantes
4. Elague (pruning) la topologie un arbre d'acheminement (spanning tree) minimal
5. Supporte les changements topologique et les pannes d'unit
Les 5 tats du STP
1. Blocage - Aucune trame achemine, units BPDU entendues
2. coute - Aucune trame achemine, coute des trames
3. Apprentissage - Aucune trame achemine, apprentissage des adresses
4. Acheminement - Trames achemines, apprentissage d'adresses
5. Dsactivation - Aucune trame achemine, aucune unit BPDU entendue
-
Le protocole Spanning Tree Le protocole Spanning Tree (STP) est un protocole de couche 2 (liaison de donnes) conu pour les switches et les bridges. La spcification de STP est dfinie dans le document IEEE 802.1d. Sa principale fonction est de s'assurer qu'il n'y a pas de boucles dans un contexte de liaisons redondantes entre des matriels de couche 2. STP dtecte et dsactive des boucles de rseau et fourrnit un mcanisme de liens de backup. Il permet de faire en sorte que des matriels compatibles avec le standard ne fournissent qu'un seul chemin entre deux stations d'extrmit.
Spanning-Tree rpond la problmatique de trames dupliques dans un environnement de liaisons
redondantes (section 1). Le fonctionnement est bas sur la slection d'un bridge Root et de calculs
des chemins les plus courts vers ce bridge (section 2). Les ports des bridges rencontrent cinq tats
dont le "Blocking" qui ne transfre pas de trames de donne et le "Forwarding" qui transfre les
trames de donne (section 3). Quelques commandes essentielles sont retenir, mais elles peuvent
tre lgrement diffrentes sur les OS (section 4).
1. Problmatique Dans un contexte de liaisons redondantes sans STP deux problmes peuvent survenir :
1. Des temptes de broadcast : lorsque des trames de broadcast sont envoyes (FF-FF-FF-FF-FF-
FF en destination), les switchs les renvoient par tous les ports. Les trames circulent en boucles et sont
multiplies. Les trames n'ayant pas de dure de vie (TTL comme les paquets IP), elles peuvent
tourner indfiniment.
-
2. Une instabilit des tables MAC : quand une trame, mme unicast, parvient aux switches
connects en redondance, le port du switch associ l'origine risque d'tre erron. Une boucle est
susceptible d'tre cre.
-
Dans cet exemple, le PC1 envoie une trame au PC2. Les deux commutateurs recoivent la trame sur
leur port 0/2 et associent ce port l'adresse mac de PC1. Si l'adrese de PC2 est inconnue, les deux
commutateurs transfrent la trame travers leur port 0/1. Les commutateurs recoivent respectivement
ces trames inversment et associent l'adresse MAC de PC1 au port 0/1. Ce processus peut se rpter
indfiniment.
2. Fonctionnement de STP Bien qu'une topologie physique puisse fournir de multiple chemins dans un contexte de redondance et
ainsi amliorer la fiabilit d'un rseau, STP cre un chemin sans boucle bas sur le chemin le plus
court. Ce chemin est tabli en fonction de la somme des cots de liens entre les switchs, ce cot tant
bas sur la vitesse d'un port. Aussi, un chemin sans boucle suppose que certains ports soient bloqus
et pas d'autres. STP change rgulirement des informations (appeles des BPDU - Bridge
Protocol Data Unit) afin qu'une ventuelle modification de topologie puisse tre adapte sans boucle.
1. Slection d'un switch Root
Le switch Root sera le point central de l'arbre STP. Le switch qui aura l'ID la plus faible sera celui qui
sera lu Root. L'ID du switch comporte deux parties, d'une part, la priorit (2 octets) et, d'autre part,
l'adresse MAC (6 octets). La priorit 802.1d est d'une valeur de 32768 par dfaut (ce sont des
multiples de 4096 sur 16 bits). par exemple, un switch avec une priorit par dfaut de32768 (8000
Hex) et une adresse MAC 00 :A0 :C5:12:34:56, prendra l'ID 8000:00A0 :C512:3456. On peut changer
la priorit d'un switch avec la commande :
(config)#spanning-tree [vlan vlan-id] priority priority
Sur un switch Root, tous les ports sont des ports dsigns, autrement dit, ils sont en tat
forwarding , il envoient et reoivent le trafic.
2. Slection d'un port Root pour les switch non-root.
Chaque switch non-root va slectionner un port Root qui aura le chemin le plus court vers le switch
Root. Normalement, un port Root est en tat forwarding .
-
Vitesse du lien Cot Plage de cot recommande
4Mbps 250 100 to 1000
10Mbps 100 50 to 600
16Mbps 62 40 to 400
100Mbps 19 10 to 60
1Gbps 4 3 to 10
10Gbps 2 1 to 5
S'il s'agit d'un port d'accs [1], la commande de configuration est :
(config-if)#spanning-tree cost cost
S'il s'agit d'un port de tronc, la commande de configuration est :
(config-if)#spanning-tree vlan vlan-id cost cost
A noter aussi qu'en cas de cot gaux, c'est la priorit la plus faible (d'une valeur de 0 255) qui
emporte le choix (elle est de 128 par dfaut) en dterminant l'ID du port compos de 2 octets (priorit
+ numro STP du port) :
Sur des ports d'accs :
(config-if)#spanning-tree port-priority priority
Sur des ports de tronc :
(config-if)#spanning-tree vlan vlan-id port-priority priority
3. Slection d'un port dsign pour chaque segment
Pour chaque segment d'un Lan (domaine de collision), il y a un port dsign. Le port dsign est celui
qui a le chemin le plus court vers le bridge Root. Les ports dsigns sont normalement en tant
forwarding , autrement dit, envoient et reoivent du trafic de donnes. Si plus d'un port sur un
mme segment a le mme cot vers le switch Root, le port du switch qui l'ID la plus faible est choisi.
Tous les autres sont des ports non-dsigns en tat blocking .
En bref,
1 switch Root par rseau dont tous les ports sont dsigns
http://cisco.goffinet.org/s3/spanning_tree#nb1
-
1 port Root par switch non-root
1 port dsign par domaine de collision
tous les autres ports sont non-dsigns
Aussi, on peut rsumer les liaisons :
Port Port Etats Etats Switch Switch
Root Dsign Forwarding Forwarding Non-root Root
Dsign Root Forwarding Forwarding Non-root Non-root
Dsign Non-dsign Forwarding Blocking Non-root Non-root
Une animation flash illustre le principe de fonctionnement de STP
3. Diffrents tats STP Cinq tats de ports peuvent rencontrs sur un port STP. Chaque tat comporte un dlai. En voici les
proprits.
http://www.cisco.com/warp/public/473/spanning_tree1.swf
-
L'age maximal de 20 secondes par dfaut est le temps maximal avec que STP effectue de nouveaux
calculs quand une interface ne reoit plus de BPDUs. Le temps de forwarding de 15 secondes par
dfaut est le temps de passage d'un tat "listening" "learning" et de "learning" "forwarding". Aussi,
la frquence d'envoi de BPDUs Hello est de 2 secondes par dfaut.
Etat Blocking
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
N'envoie pas de BPDUs reus de son systme
Rpond SNMP
Etat Listening
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Learning
Rejette toutes les trames de donnes venant du segment attach
Rejette toutes les trames de donnes venant d'un autre port de transfert
Intgre les emplacements de station dans sa MAC table (apprentissage)
-
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Forwarding
Commute toutes les trames de donnes venant du segment attach
Commute toutes les trames de donnes venant d'un autre port de transfert
Intgre les emplacements de station dans sa MAC table (apprentissage)
Reoit les BPDUs et les transmet son systme
Envoie les BPDUs reus de son systme
Rpond SNMP
Etat Disabled
Cet tat est similaire l'tat blocking sauf que le port est considr physiquement non
oprationnel (shut down ou problme physique).
4. Quelques commandes Pour le diagnostic :
#show spanning-tree [?]
Dsactivation de STP :
(config)#no spanning-tree vlan vlan-id
Ports Portfast :
La configuration d'une interface en "Portfast" (passage directe de l'tat "blocking" l'tat "forwarding"
uniquement pour les segments qui ne connectent pas de switches) :
(config-if)#spanning-tree portfast
Priorit du switch :
(config)#spanning-tree [vlan vlan-id] priority priority
Cot et priorit d'un port :
(config-if)#spanning-tree [vlan vlan-id] cost cost
(config-if)#spanning-tree [vlan vlan-id] port-priority priority
Paramtres de timing :
(config)#spanning-tree [vlan vlan-id] max-age seconds
6 200 secondes
(config)#spanning-tree [vlan vlan-id] forward-time seconds
4 200 secondes
(config)#spanning-tree [vlan vlan-id] hello-time seconds
1 10 secondes
-
Notions sur les VLANs Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la sparation logique entre,
d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 liaison de donnes fournis par
les commutateurs. Cet article reprend les notions ncessaires la bonne comprhension de cette technologie.
FONCTIONNEMENT D'UN LAN
Au sein d'un LAN dfini comme une infrastructure commute, soit un rseau compos de commutateurs,
toutes les interfaces htes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE
802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des htes afin de
transfrer rapidement le trafic. Sur ces rseaux, on connat du trafic unicast ( destination d'un seul
hte), du trafic de broadcast (diffusion, destination de tous les htes) et du trafic multicast(
destination de certains htes). Un commutateur transfre le trafic de diffusion et multicast travers tous
ses ports sauf celui d'origine; un routeur filtre le trafic de diffusion en ne le transfrant pas.
LAN VIRTUEL (VLAN)
Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commute. Une
infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera
comme n'importe quel LAN distinct. Concrtement, les ports du commutateur prennent un identifiant
VLAN. Cet identifiant logique dfinit l'tendue du domaine de diffusion : le trafic de diffusion ne sera
transfr que sur les ports ayant le mme identifiant. Autrement dit, par exemple, le trafic de diffusion
venant d'un port appartenant au VLAN 66 ne se sera transfr que sur les ports ayant pour attribution le
VLAN 66. La sparation fonctionnelle entre deux ports ayant des identifiants VLAN diffrents correspond
une sparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports
du commutateur, soit l'infrastructure physique elle-mme.
La virtualisation d'un LAN consiste en la sparation logique entre, d'une part, l'infrastructure
physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que dcrit plus haut
indpendante de l'infrastructure physique. Cette technologie s'intgre pleinement dans les marchs des
-
environnements virtualiss, des dploiements de rseaux sans fil, de la VoIP, des passerelles Internet
d'entreprise et familiales.
Cette fonctionnalit peut tre tendue sur des ports de commutateurs distants travers toute
l'infrastructure. Dans ce cas, les commutateurs devront transporter entre eux du trafic appartenant
plusieurs VLANs sur une ou plusieurs liaisons spcifiques ...
TRUNKS OU LIAISON D'AGRGATION
... Les ports d'une liaison qui agrgent le trafic de plusieurs VLANs s'appellent un Trunk chez le
constructeur Cisco Systems et liaison d'agrgation chez d'autres. Sur ce type de liaison, le
commutateur ajoute des champs supplmentaires dans ou autour de la trame Ethernet. Ils servent
notamment distinguer le trafic de VLANs diffrents car ils contiennent entre autres le numro
d'identification du VLAN.
Deux protocoles de Trunk ou de liaison d'agrgation VLAN peuvent tre rencontrs. Il agissent
tout deux au niveau de la couche 2 liaison de donnes . Ils oprent sous les couches TCP/IP.
-
Inter-Switch Link (ISL) : protocole propritaire Cisco qui encapsule la trame d'origine avec un en-
tte spcifique qui contient entre autres le numro de VLAN et un nouveau champ FCS. Il est
indpendant de la technologie sous-jacente. Il est de moins en moins rencontr au profit de IEEE
802.1q.
IEEE 802.1q : Standardis et interoprable, il ajoute une tiquette dans l'en-tte de la trame (un
ensemble de champs juste aprs le champ d'adresse MAC d'origine). Cette tiquette a une taille de 4
octets ou 32 bits dont 12 bits sont consacrs au numro de VLAN. Le standard supporte les
technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que
protocole de pontage (bridging, IEEE 802.1). Vu que la trame sera modifie, le commutateur
recalculera la valeur du champ CRC/FCS.
IEEE 802.1q est actuellement la technologie standardise et dominante sur le march
indpendamment des constructeurs .
ENCAPSULATION
Quand est-ce que cette encapsulation IEEE 802.1q intervient ? Un hte A veut joindre un hte L connect
un commutateur distant. Les commutateurs sont interconnects par une liaison d'agrgation . La
trame ne sera tiquete seulement si elle quitte le commutateur sur un port qui connecte une liaison
d'agrgation. Lors de la livraison locale de la trame la station destinataire, elle sort du port du
commutateur sans tiquette.
Si le standard est largement disponible sur les commutateurs d'entreprise, les htes tels que les serveurs
ou du matriel embarqu peuvent annoncer le support de la technologie en fonction des pilotes
dvelopps pour l'interface physique. Alors que les systmes d'exploitation Linux/BSD supportent un
grand nombre de cartes, les cartes Intel sont bien supportes sous Microsoft Windows ; elles sont
proposes d'emble par les grands assembleurs comme HP ou Dell.
Le trafic de diffusion comme celui de multicast sera port la destination de tous les ports ayant le
mme identifiant VLAN, travers des ports de liaison d'agrgation . Les htes connects un port d'un
-
identifiant VLAN diffrent ne seront pas affectes par ce trafic. En ce sens, la taille des domaines de
diffusion peut tre contrle sur une infrastructure commute des fins de performance,
d'administration du trafic, des machines et des utilisateurs.
DOMAINE IP ET VLANS
Comme dans tout LAN, le rseau IP est homogne et correspond un adressage marqu par un prfixe et
un masque de rseau. Au sein d'un LAN, toutes les interfaces qui participent l'Internet Protocol dans la
perspective de communiquer entre des rseaux diffrents partagent le mme adressage. Un routeur
constitue la limite d'un VLAN comme celle d'un LAN. Donc, pour que des VLANs communiquent ensembles,
en tant que rseaux logiques diffrents, une fonction de routage est ncessaire. On parle dans la
littrature de routage inter-VLAN. Cette fonction peut tre remplie par des plate-formes d'entreprise
comme les routeurs d'accs, des routeurs Linux/BSD ou des commutateurs LAN disposant d'un logiciel de
routage. Les routeurs sont capables de transfrer du trafic de VLANs diffrents partir d'un seul port
physique reconnu comme port d'agrgation VLAN.
-
CONCLUSION
D'un point de vue technique, la technologie VLAN permet de dployer des architectures plus souples,
fournissant plus de services qu'un LAN classique en combinaison d'autres protocoles et technologies.
Voici quelques exemples non-exhaustifs qui permettent de grer dynamiquement les utilisateurs et les
applications sur les plus basses couches de la communication.
Fonctionnalit de Qualit de Service (QoS), notamment grce IEEE 802.1p en perspective d'une
diffrenciation trafic selon les applications (voix, vido, etc.);
Le support du protocole Spanning-Tree et ses variantes (STP, MST, RSTP, PVST, PVST+, PVRST+, UDLD) ainsi
que les protocoles de contrle (CDP, VTP, DTP, etc.);
Une srie de protocoles connexes utiles ou moins, propritaires ou standardiss comme VTP, DTP, PaGP,
Etherchannel, etc.;
Le support d'une authentification sur les ports (IEEE 802.1x/EAP) en vue d'authentifier les utilisateurs
dynamiquement et de leur appliquer des paramtres de scurit adapts en les plaant dynamiquement
dans un VLAN soumis une politique de filtrage;
Il sera possible de ponter/commuter les VLANs entre eux, de rpartir la charge entre plusieurs liaisons
d'agrgation de manire redondante, d'encapsuler plusieurs tiquettes dans plusieurs tiquettes (double,
triple, voire quadruple).
Scurit Wifi : les bases
-
En cours de rdaction
I. LA NATURE "INSCURISE" DES RSEAUX SANS FIL
Utilisant les ondes radios pour transmettre le signal, les rseaux sans fils sont naturellement inscuriss.
La propagation des ondes travers les airs ne connait pas le confinement localis et "physiquement
protg" des rseaux filaires.
Dans cette perspective, il semblait lgitime et suffisant d'introduire dans le standard IEEE 802.11 un
protocole de scurit assurant autant d'intimit qu'un fil ... Le WEP ( Wired Equivalent Privacy) n'a
d'ailleurs que cette seule prtention.
D'un point de vue pragmatique, les implmentations sans fil sont couramment laisses sans aucune
mesure de scurit. Mise en oeuvre facile et rapide, omission justifie ou non, ignorance sont des
lments qui expliquent cet tat de fait. Il suffit de se promener en rue avec un client wifi pour
constater que l'on peut se connecter l'Internet et aux rseaux locaux sans aucune difficult.
A ce titre, la principale menace des rseaux sans fil est celle du "man-in-the-middle" : une attaque
partir de l'intrieur d'un rseau local. Elle se concrtisera par la prsence de "points d'accs voyous"
("rogue APs") ou de clients wifi espions. Ces "intrus" peuvent tre placs dlibrment avec une volont
de nuisance. Mais le plus grand danger viendrait plutt des utilisateurs, remplis des meilleures intentions,
qui placent du matriel actif pour leur confort personnel ou mme professionnel.
Egalement, on citera des attaques bien plus aises et efficaces mettre en oeuvre telles que :
l'attaque par interfrence rendant un rseau sans fil inoprant en polluant l'espace d'ondes aussi puissantes
sur le mme canal utilis;
l'attaque du dni de service en tentant d'envoyer des trames de contrle qui rendent les services ou le
matriel hors d'usage.
Aussi, la dfinition d'un SSID ou d'un filtrage MAC sur le point d'accs ne constituent en rien une scurit
suffisante :
un logiciel tel que Netstumbler (http://www.netstumbler.com/) ou le logiciel airodump-ng de la
suite aircrack-ng permet de connaitre le SSID mme lorsqu'il est cach;
une coute du traffic permet de prendre connaissance d'adresses MAC autorises (l'en-tte de trame
contenant les adresses MAC ne sont pas encrypts par le WEP) et de les usurper (spoofing).
D'un autre point de vue, les logiciels (firmware, pilotes, systmes d'exploitation) peuvent prsenter des
dfauts de conception et des failles exploitables.
Enfin, on verra ci-dessous que le protocole WEP n'est pas exempt de faiblesses, ce n'est pas une
nouveaut. Sans comptence particulire, une attaque WEP peut tre mene uniquement avec des
logiciels libres (voir Attaques WEP simple).
Quoi qu'il en soit , pour les petites entreprises ou la maison, le WEP sera mieux que rien. Toutefois, le
WPA-PSK est largement disponible aujourd'hui et il augmentera considrablement la scurit de ces petits
rseaux.
II. PRSENTATION BRVE DU PROTOCOLE WEP
http://www.netstumbler.com/http://www.aircrack-ng.org/http://cisco.goffinet.org:8080/cursus/cisco/wireless/resolveuid/e36434428cdd307494b7cc2814312b5f
-
Le WEP (Wired Equivalent Privacy) est le protocole initial de scurit des rseaux WIFI. Il est dclar dans
le document IEEE 802.11. Le standard dfinit des mthodes d'authentification et d'encryption.
II.a. Authentification
En matire d'authentification, on trouvera deux mthodes :
L'authentification ouverte. Il s'agit d'une authentification nulle, pour le principe. Celle-ci consiste
seulement fournir le bon SSID (Service Set ID).
L'authentification partage. Chaque intervenant dispose d'une mme cl WEP. Le point d'accs envoie un
message en clair au client qui rpond avec un message crypt avec la cl WEP. Dans ce cas seul le client
authentifie le point d'accs. Il s'agit d'uneauthentification asymtrique.
II.b. Encryption
"Le cryptage consiste prendre un message, dit en clair , et le soumettre un algorithme
mathmatique pour produire un texte crypt . Le dcryptage est la transformation inverse. Les
algorithmes de cryptage se servent le plus souvent d'une valeur, appele cl, qui sert crypter et
dcrypter les donnes.
Le cryptage WEP utilise le chiffrement continu RC4 invent par Ron Rivest de RSA Data Security, Inc.
(RSADSI). L'algorithme de cryptage RC4 est un chiffrement en continu symtrique qui supporte les cls de
longueur variable.
Le chiffrement en continu consiste excuter la fonction de cryptage ou de dcryptage sur une unit du
texte en clair (dans ce cas, la trame 802.11b).
Dans le cryptage symtrique, la cl est un lment d'information qui doit tre partag par les units
d'extrmit pour raliser le cryptage et le dcryptage.
RC4 autorise une cl de longueur variable, qui peut atteindre 256 octets contrairement d'autres
algorithmes dont la cl a une longueur fixe. L'IEEE a spcifi que les units 802.11 devaient supporter les
cls de 40 bits, avec la possibilit d'accepter des cls plus longues. Plusieurs constructeurs proposent le
cryptage WEP 128 bits dans leurs solutions WLAN.
Le protocole WEP est un chiffrement en continu, et il est indispensable de disposer d'un mcanisme pour
garantir que le mme texte en clair ne gnrera pas le mme texte crypt. L'IEEE a stipul l'utilisation
d'un vecteur d'initialisation (IV) qui doit tre concatn avec la cl symtrique avant de gnrer le texte
crypt en continu.
Ce vecteur d''initialisation est un nombre de 24 bits qui prend donc une valeur entre 0 et 16 777 215.
L'IEEE
suggre mais n'exige pas de modifier le vecteur d'initialisation pour chaque trame. Comme l'metteur
gnre le vecteur d'initialisation sans schma ni calendrier prdfini, ce vecteur doit tre envoy en clair
au rcepteur, dans la partie d'en-tte de la trame de donnes 802.11. Le rcepteur peut ensuite
concatner le vecteur d'initialisation reu avec la cl WEP (la cl de base) stocke localement pour
dcrypter la trame de donnes.
Comme le montre la figure suivante, l'algorithme RC4 ne crypte pas le texte en clair lui-mme mais sert
gnrer un flux de cl unique pour la trame de donnes 802.11 concerne en reprenant le vecteur
-
d'initialisation et la cl de base comme cl de cryptage. Le flux de cl unique ainsi obtenu est ensuite
combin avec le texte en clair et le tout est transform par une fonction mathmatique appele XOR qui
produit le texte chiffr."
Partie tire de Cisco SAFE : Description dtaille de la scurit pour les rseaux locaux sans fil
II.c. La faiblesse du WEP
II.c.1. Une cl statique
Une premire faiblesse de la scurit de base du WIFI est la gestion et la distribution des cls. Un
administrateur devra configurer la mme cl WEP sur tous les clients Wifi d'un rseau local. On notera
que l'identification se fondra seulement sur les priphriques et non sur les utilisateurs.
Primo, la cl WEP unique ne permettra pas d'attribuer des ressources en fonction d'un profil utilisateur.
Secundo, un priphique Wifi drob remet en cause l'ensemble de la scurit d'un rseau local en
obligeant l'administrateur reconfigurer l'ensemble des clients. Cette dernire remarque est valable pour
tout mcanisme cl partage dont WPA-PSK.
II.c.2. Les attaques FMS - attaques passives
"Les cryptoanalystes Fluhrer, Mantin et Shamir (FMS) ont dcouvert des faiblesses inhrentes
l'algorithme RC4 de programmation des cls. Or l'algorithme RC4 utilis par WEP se sert d'un vecteur
d'initialisation de 24 bits et ne renouvelle pas les cls de cryptage de manire dynamique.
Fluhrer, Mantin et Shamir ont pu montrer que ces faiblesses pouvaient avoir des applications pratiques
dans le dcryptage des trames 802.11 qui utilisent WEP. Cette attaque se concentre sur une classe largie
de vecteurs d'initialisation faibles qui peuvent tre gnrs par RC4 et met en vidence les mthodes qui
permettent de casser la cl en utilisant certaines formes rcurrentes des vecteurs d'initialisation.
L'attaque appele attaque FMS est pragmatique, mais le plus dconcertant est quelle est totalement
passive. L'attaque FMS prsente la drivation thorique d'une cl WEP sur un ventail de paquets entre
100 000 et 1 000 000 crypts avec la mme cl."
Des informations techniques sur l'attaque FMS peuvent tre obtenues sur :
http://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.html
http://www.cs.umd.edu/~waa/wireless.html
http://www-search.cisco.com/global/FR/documents/pdfs/tdm/wlan/SAFE_WLAN_v2.pdfhttp://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.htmlhttp://www.cs.umd.edu/~waa/wireless.html
-
http://www.securiteinfo.com/crypto/802_11.shtml
En amliorant les attaques statistiques mise en oeuvre par Korek avec du trafic captur, on obtient
d'excellents rsultats.
II.c.3 Les attaques actives par rejeu
Supposons qu'un attaquant connaisse exactement le texte clair d'un message crypt. Il peut utiliser cette
connaissance pour construire des paquets crypts. La procdure implique qu'il construise un nouveau
message en calculant la somme de contrle en l'occurence CRC-32 et en appliquant des changements
minimes (bits flips) sur le trafic crypt original pour changer le texte en clair. Ce paquet peut tre
accept par le point d'accs ou une station mobile lgitime.
On peut aussi mener une attaque plus insidieuse qui vise changer quelques bits dans le message et
d'adapter correctement le CRC sans aucune connaissance du paquet pour en obtenir une version crypte
correcte. Par exemple, il pourrait tre possible avec une connaissance partielle d'altrer des commande
shell d'une session Telnet.
On peut encore aller plus loin. Un attaquant ne connait rien d'une trame capture mais pourra comme
expliqu plus haut modifier les bits d'adresses IP de destination et l'envoyer par une passerelle sur
l'Internet. Vu que ce trafic quitte le rseau sans fil, il sera envoy en clair sur l'inter-rseau.
IV. SOLUTIONS
Aujourd'hui, on peut dire que la scurit sans fil est meilleure que les services fournis par dfaut sur le
fil. Les solutions proposes aujourd'hui proposent toutes une authentification 802.11 ouverte :
solution authentification Encryption standard 802.11
WPA Home ou WPA-PSK Open TKIP (PreSharedKey) IEEE 802.11i
WPA2 Home ou WPA2-PSK Open TKIP ou AES (PreSharedKey) IEEE 802.11i
WPA Enterprise EAP/802.1x TKIP IEEE 802.11i
WPA2 Enterprise EAP/802.1x TKIP ou AES (PreSharedKey) IEEE 802.11i
Les solutions pour les petits rseaux utilisent une cl partage avec du TKIP (grosso modo du WEP
amlior) ou de l'AES avc authentification nulle et pour de plus grosses implmentation on peut utiliser
une authentification des utilisateurs par un serveur Radius avec EAP/802.1x.
Encryption
Authentification
PEAP MS-chapv2 EAp-fast eap-tls leap
Tunnel TLS pralable Oui Oui Oui Non
http://www.securiteinfo.com/crypto/802_11.shtmlhttp://www.netstumbler.org/showthread.php?postid=89036#post89036
-
PEAP MS-chapv2 EAp-fast eap-tls leap
Autorisation Radius
Oui, MS-ISA, Cisco ACS,
Juniper Odyssey (anc. Funk),
MeetingHouse (nouv. Cisco)
Oui, Cisco ACS Oui, ouvert Oui, Cisco ACS
Serveur de certificat Oui Non Oui Non
Certificat ct serveur Oui Non Oui Non
Certificat ct client Non Non Oui Non
Crdits utiliss Mot de passe Windows Mot de passe Windows, ...
DB d'authentification
Standardisation
Pilotes
Avantages
Dsavantages
Indicateurs LED sur le matriel Wifi Les indicateurs LED peuvent tre utiliss pour diagnostiquer des problmes de communication et des erreurs.
Nous proposons un tableau rcapitulatif pour les adaptateurs Aironet et le point d'accs 1200.
SUR L'ADAPTATEUR CLIENT AIRONET
Link Integrity/Power LED (vert) - Ce LED s'allume quand l'adapteur reoit de la tension et clignote
lentement si l'adaptateur est connect au rseau
Link Activity LED (brun)- Ce LED clignote rapidement quand l'adaptateur reoit et transmet des donnes.
Quand il clignote rptitivement d'une certaine manire, il indique une condition d'erreur.
Table 3-1 LED Operating Messages
LED Vert LED Brun Condition
Operations
normales
Clignotement
rapide
Clignotement
rapide
La tension est reue,
self-test est OK,
l'adaptateur cherche un
-
rseau.
Clignotement lent Clignotement
rapide
L'adaptateur est associ
un AP.
Clignotement
continuel ou lent Clignotement
L'adaptateur transmet et
reoit des donnes tant
qu'il est associ un AP.
Eteint Clignotement
rapide
L'adaptateur est en
"power save mode".
Allum
continuellement
Clignotement
rapide
L'adaptateur est en "ad
hoc mode".
Conditions
d'erreurs
Eteint Eteint
L'adaptateur n'est pas
aliment et une erreur est
survenue.
Eteint
1 clignotement 2-
secondes
d'intervalle
Problme de RAM.
Eteint
2 clignotements
rapides, 2-secondes
de pause
Problme Flash.
Eteint
3 clignotements
rapides, 2-secondes
de pause
Problme de firmware.
Recharger le firmware.
Eteint
4 clignotements
rapides, 2-secondes
de pause
Erreur d'adresse MAC
(Erreur de lecture).
Recharger le firmware.
Eteint
5 clignotements
rapides, 2-secondes
de pause
Erreur de couche PHY.
-
Eteint
6 clignotements
rapides, 2-secondes
de pause
Firmware incompatible.
Charger le bon firmware.
LE POINT D'ACCS 1200
L'indicateur Ethernet concerne le trafic sur le rseau filaire. Cet indicateur est normalement vert quand
un cble est connect au point d'accs. Il clignote quand du trafic transite sur le cble. Il est teint quand
le point d'accs n'est pas connect au rseau filaire.
L'indicateur Status donne le statut oprationnel. Une couleur verte rgulire signifie que l'AP est associ
au moins avec un client. Une couleur verte qui clignote signifie que l'AP fonctionne normalement mais
qu'aucun client ne lui est associ.
L'indicateur Radio clignote en vert quand il y a une activit radio. En temps normal, le LED est teint.
Message
type
Ethernet
indicator
Status
indicator
Radio
indicator Meaning
Statut de
chargement de
dmmarrage
Vert - Vert Test mmoire DRAM
memory.
- Brun Rouge Test d'initialisation de la
carte;
-
- Vert
clignotant
Vert
clignotant Test mmoire Flash
Brun Vert - Test d'initialisation
Ethernet.
Vert Vert Vert Dmarrage IOS.
Association
status
- Vert - Au moins un client est
associ.
- Vert
clignotant -
Aucun client n'est
associ; Regarder aux
paramtres SSID et
scurit.
Operating
status
- Vert Vert
clignotant
L'interface Radio envoie
et transmet des paquets.
Vert - - La liaison Ethernet est
oprationnelle.
Vert
clignotant - -
L'interface Ethernet
envoie et transmet des
paquets.
Boot Loader
Errors
Rouge - Rouge Echec du test de
mmoire DRAM.
- Rouge Rouge Echec du systme de
fichier.
Rouge Rouge - Echec Ethernet lors de la
rcupration de l'image.
Brun Vert Brun Erreur de l'environnment
de dmarrage.
-
Rouge Vert Rouge Pas de fichiers d'image
IOS.
Brun Brun Brun Echec de dmarrage.
Operation
Errors
- Vert Brun
clignotant
Essais maximum ou
tampon rempli sur
l'interface Radio.
Brun
clignotant - -
Erreurs de
transmission/rception
sur l'interface Ethernet.
- Brun
clignotant - Alerte gnrale.
Configuration
Reset - Brun -
Remise zro des
options de configuration
aux paramtres par
dfaut 'usine'.
Failure Rouge Rouge Rouge
Echec du firmware
failure; essayer de
dconnecter et de
reconnecter la tension.
Firmware
Upgrade - Rouge -
Chargement d'une
nouvelle image du
firmware.