Notions de Switching

Notions de switching

1. Latence

Dfinition

La latence, parfois appele dlai, est le temps que prend une trame (ou un paquet) pour voyager

entre la station d'origine (nud) et la destination finale sur le rseau.

Causes :

Dlai carte rseau

Premirement, il y a le temps ncessaire la carte rseau d'origine pour placer des impulsions

lectriques sur le fil et le temps ncessaire la carte rseau rceptrice pour interprter ces

impulsions. On parle parfois, dans ce cas, de dlai de carte rseau (il s'agit gnralement d'un dlai

de 1 microseconde pour les cartes rseau 10BaseT).

Dlai propagation

Vient ensuite le dlai de propagation proprement dit, qui se produit lorsque le signal prend le temps,

quoique trs court, ncessaire son dplacement sur le fil (environ 0,556 microseconde par 100

mtres pour du cble UTP de catgorie 5). Plus le cble est long, plus le dlai de propagation est

important. De mme, plus la vitesse de propagation nominale, ou NVP, du cble est faible, plus le

dlai de propagation est important.

Dlais units couches 1, 2 ou 3

Enfin, du temps de latence est ajout en fonction des units rseau (qu'elles soient de couche 1, 2 ou

3) ajoutes sur la voie entre deux htes en communication, ainsi que de leur configuration. Il convient

galement de tenir compte du temps de transmission rel (priode pendant laquelle l'hte transmet

effectivement des bits) pour bien comprendre la notion de synchronisation dans le domaine des

rseaux.

Dure d'un bit

= l'unit de base au cours de laquelle UN bit est envoy.

Pour que les dispositifs lectroniques ou optiques soient en mesure de reconnatre un 1 ou un 0

binaire, il doit y avoir une priode minimale durant laquelle le bit est " ouvert " ou " ferm ".

Si la dure d'un bit est de 100ns (Ethernet 10 Mbits/s) alors pour

Taille d'un trame (Octet) Temps de transmission (microseconde)

64 51,2

512 410

1000 800

1518 1214

(trame X 8 X 100ns)/1000 = temps de transmission en microsecondes

2. Les rpteurs

Les rpteurs sont des lments de couche 1 qui rgnrent le signal avant de le transmettre.

Les rpteurs autorisent des distances de bout en bout suprieures

Les rpteurs augmentent le domaine de collision

Les rpteurs augmentent le domaine de broadcast

3. Full-Duplex

Le commutateur Ethernet full duplex tire parti des deux paires de fils du cble grce l'tablissement

d'une connexion directe entre l'metteur (TX) une extrmit du circuit et le rcepteur (RX) l'autre

extrmit. Lorsque les deux stations sont connectes de cette faon, un domaine sans collision

est cr, car la transmission et la rception des donnes s'effectuent sur deux circuits non

concurrents.

En rgle gnrale, Ethernet utilise seulement entre 50 et 60 % de la bande passante de 10 Mbits/s

disponible en raison des collisions et de la latence. Le mode Ethernet full duplex offre 100 % de la

bande passante dans les deux directions. Cela produit un dbit potentiel de 20 Mbits/s : 10 Mbits/s

en transmission et 10 Mbits/s en rception.

4. Pourquoi segmenter un LAN ?

La segmentation permet d'isoler le trafic ente les segments

Elle augmente la bande passante disponible pour chaque utilisateur en crant des domaines de

collisions plus petits.

5. Le matriel

Les ponts

Les ponts sont des units de couche 2 qui acheminent des trames de donnes en fonction des

adresses MAC contenues dans les trames. De plus, les ponts sont transparents pour les autres units

du rseau.

Les ponts " apprennent " la segmentation d'un rseau en crant des tables d'adresses qui renferment

l'adresse de chacune des units du rseau, ainsi que le segment utiliser pour atteindre cette unit.

moins d'utilisateurs par segment

Un pont est considr comme une unit de type " Store and Forward " parce qu'il doit examiner le

champ adresse de destination et calculer le code de redondance cyclique (CRC) dans le champ de

squence de contrle de trame avant de transmettre ladite trame vers tous les ports. Ils augmentent

la latence de 10 30%

Les routeurs

Un routeur fonctionne au niveau de la couche rseau et fonde toutes ses dcisions en matire

d'acheminement des donnes entre les segments sur l'adresse de niveau protocole de la couche

rseau.

Les commutateurs

Un commutateur peut segmenter un LAN en microsegments, qui sont des segments hte

unique. Cela a pour effet de crer des domaines sans collision partir d'un grand domaine de

collision. ( ! domaine de broadcast identique). + Latence faible

Dans une implmentation Ethernet commute, la bande passante disponible peut atteindre prs de

100 %. Chaque ordinateur branch sur port dispose d'une bande passante maximale de point point.

L'un des inconvnients des commutateurs est leur prix, plus lev que celui des concentrateurs.

6. La commutation

Deux activits de base

- La commutation de trames de donnes - Cette opration se produit lorsqu'une trame qui est

parvenue au niveau d'un mdia d'entre est transmise un mdia de sortie.

- La gestion des oprations de commutation - Un commutateur cre et gre des tables de

commutation.

En rgle gnrale, les ponts assurent la commutation au niveau logiciel, les commutateurs au niveau

matriel.

La commutation de couche 2 et de couche 3

La commutation est un processus qui consiste prendre une trame entrante sur une interface et

l'acheminer par une autre interface. Les routeurs utilisent la commutation de couche 3 pour acheminer

un paquet ; les commutateurs (units de couche 2) utilisent la commutation de couche 2 pour

acheminer les trames

Dans le cas de la commutation de couche 2, les trames sont commutes en fonction des adresses

MAC. Dans le cas de la commutation de couche 3, les trames sont commutes selon les informations

de couche rseau.

Contrairement la commutation de couche 3, la commutation de couche 2 ne regarde pas l'intrieur

d'un paquet pour y trouver les informations de couche rseau. La commutation de couche 2 regarde

l'adresse MAC de destination contenue dans une trame. Elle envoie les informations la bonne

interface, si elle connat l'emplacement de l'adresse de destination. La commutation de couche 2 cre

et met jour une table de commutation qui consigne les adresses MAC associes chaque port ou

interface.

Si le commutateur de couche 2 ne sait pas o envoyer la trame, il l'envoie par tous ses ports au

rseau pour connatre la bonne destination. Lorsque la rponse est renvoye, le commutateur prend

connaissance de l'emplacement de la nouvelle adresse et ajoute les informations la table de

commutation.

Comment un commutateur prend-il connaissance des adresses ?

Apprend l'emplacement d'une station en examinant l'adresse d'origine.

Envoie par tous les ports (sauf sur le port d'origine) lorsque l'adresse de destination est un broadcast,

un multicast ou inconnue.

Achemine les donnes lorsque la destination est situe sur une interface diffrente.

Filtre les donnes lorsque la destination est situe sur la mme interface.

Les avantages de la commutation LAN

Rduction du nombre de collision

Plusieurs communications simultanes

Liaisons montantes (Uplink) simultanes

Amlioration des rponses du rseau

Hausse de la productivit de l'utilisateur

Economie et souplesse de gestion

Deux modes de commutation

Store and Forward

La trame entire doit tre reue avant de pouvoir tre achemine. Les adresses de destination

et/ou d'origine sont lues et des filtres sont appliqus avant que la trame ne soit achemine. De

la latence se produit pendant la rception de la trame ; la latence est plus leve dans le cas des

grandes trames, car la trame entire est plus longue lire. La dtection d'erreurs est leve, car le

commutateur dispose de beaucoup de temps pour vrifier les erreurs en attendant de recevoir toute la

trame.

Cut-through

Le commutateur lit l'adresse de destination avant d'avoir reu toute la trame. La trame est

ensuite achemine avant d'avoir t entirement reue. Ce mode rduit la latence de la transmission

et dtecte peu d'erreurs de commutation LAN. " FastForward " et " Fragment Free " sont deux

types de commutation " Cut-through ".

Mode de commutation " FastForward "

Ce mode de commutation offre le plus faible niveau de latence en acheminant un paquet ds

rception de l'adresse de destination. Comme le mode de commutation " FastForward " commence

l'acheminement avant que le paquet entier n'ait t reu, il peut arriver que des paquets relays

comportent des erreurs. Bien que cela ne se produise qu'occasionnellement et que l'adaptateur

rseau de la destination rejette le paquet dfectueux lors de sa rception, le trafic superflu peut tre

jug inacceptable dans certains environnements. Utilisez le mode Fragment Free pour rduire le

nombre de paquets qui sont achemins avec des erreurs. En mode FastForward, la latence est

mesure partir du premier bit reu jusqu'au premier bit transmis (c'est la mthode du premier entr,

premier sorti).

Mode de commutation Fragment Free

Ce mode de commutation filtre les fragments de collision, qui constituent la majorit des erreurs de

paquet, avant que l'acheminement ne puisse commencer. Dans le cas d'un rseau qui fonctionne

correctement, les fragments de collision doivent tre d'une taille infrieure 64 octets. Tout fragment

d'une taille suprieure 64 octets constitue un paquet valide et est habituellement reu sans erreur.

En mode de commutation Fragment Free, le paquet reu doit tre jug comme n'tant pas un

fragment de collision pour tre achemin. Selon ce mode, la latence est mesure en fonction du

premier entr, premier sorti.

7. STP (Spanning Tree Protocol)

1. Assure la commutation des trames de broadcast

2. Empche les boucles

3. Permet les liaisons redondantes

4. Elague (pruning) la topologie un arbre d'acheminement (spanning tree) minimal

5. Supporte les changements topologique et les pannes d'unit

Les 5 tats du STP

1. Blocage - Aucune trame achemine, units BPDU entendues

2. coute - Aucune trame achemine, coute des trames

3. Apprentissage - Aucune trame achemine, apprentissage des adresses

4. Acheminement - Trames achemines, apprentissage d'adresses

5. Dsactivation - Aucune trame achemine, aucune unit BPDU entendue

Le protocole Spanning Tree Le protocole Spanning Tree (STP) est un protocole de couche 2 (liaison de donnes) conu pour les switches et les bridges. La spcification de STP est dfinie dans le document IEEE 802.1d. Sa principale fonction est de s'assurer qu'il n'y a pas de boucles dans un contexte de liaisons redondantes entre des matriels de couche 2. STP dtecte et dsactive des boucles de rseau et fourrnit un mcanisme de liens de backup. Il permet de faire en sorte que des matriels compatibles avec le standard ne fournissent qu'un seul chemin entre deux stations d'extrmit.

Spanning-Tree rpond la problmatique de trames dupliques dans un environnement de liaisons

redondantes (section 1). Le fonctionnement est bas sur la slection d'un bridge Root et de calculs

des chemins les plus courts vers ce bridge (section 2). Les ports des bridges rencontrent cinq tats

dont le "Blocking" qui ne transfre pas de trames de donne et le "Forwarding" qui transfre les

trames de donne (section 3). Quelques commandes essentielles sont retenir, mais elles peuvent

tre lgrement diffrentes sur les OS (section 4).

1. Problmatique Dans un contexte de liaisons redondantes sans STP deux problmes peuvent survenir :

1. Des temptes de broadcast : lorsque des trames de broadcast sont envoyes (FF-FF-FF-FF-FF-

FF en destination), les switchs les renvoient par tous les ports. Les trames circulent en boucles et sont

multiplies. Les trames n'ayant pas de dure de vie (TTL comme les paquets IP), elles peuvent

tourner indfiniment.

2. Une instabilit des tables MAC : quand une trame, mme unicast, parvient aux switches

connects en redondance, le port du switch associ l'origine risque d'tre erron. Une boucle est

susceptible d'tre cre.

Dans cet exemple, le PC1 envoie une trame au PC2. Les deux commutateurs recoivent la trame sur

leur port 0/2 et associent ce port l'adresse mac de PC1. Si l'adrese de PC2 est inconnue, les deux

commutateurs transfrent la trame travers leur port 0/1. Les commutateurs recoivent respectivement

ces trames inversment et associent l'adresse MAC de PC1 au port 0/1. Ce processus peut se rpter

indfiniment.

2. Fonctionnement de STP Bien qu'une topologie physique puisse fournir de multiple chemins dans un contexte de redondance et

ainsi amliorer la fiabilit d'un rseau, STP cre un chemin sans boucle bas sur le chemin le plus

court. Ce chemin est tabli en fonction de la somme des cots de liens entre les switchs, ce cot tant

bas sur la vitesse d'un port. Aussi, un chemin sans boucle suppose que certains ports soient bloqus

et pas d'autres. STP change rgulirement des informations (appeles des BPDU - Bridge

Protocol Data Unit) afin qu'une ventuelle modification de topologie puisse tre adapte sans boucle.

1. Slection d'un switch Root

Le switch Root sera le point central de l'arbre STP. Le switch qui aura l'ID la plus faible sera celui qui

sera lu Root. L'ID du switch comporte deux parties, d'une part, la priorit (2 octets) et, d'autre part,

l'adresse MAC (6 octets). La priorit 802.1d est d'une valeur de 32768 par dfaut (ce sont des

multiples de 4096 sur 16 bits). par exemple, un switch avec une priorit par dfaut de32768 (8000

Hex) et une adresse MAC 00 :A0 :C5:12:34:56, prendra l'ID 8000:00A0 :C512:3456. On peut changer

la priorit d'un switch avec la commande :

(config)#spanning-tree [vlan vlan-id] priority priority

Sur un switch Root, tous les ports sont des ports dsigns, autrement dit, ils sont en tat

forwarding , il envoient et reoivent le trafic.

2. Slection d'un port Root pour les switch non-root.

Chaque switch non-root va slectionner un port Root qui aura le chemin le plus court vers le switch

Root. Normalement, un port Root est en tat forwarding .

Vitesse du lien Cot Plage de cot recommande

4Mbps 250 100 to 1000

10Mbps 100 50 to 600

16Mbps 62 40 to 400

100Mbps 19 10 to 60

1Gbps 4 3 to 10

10Gbps 2 1 to 5

S'il s'agit d'un port d'accs [1], la commande de configuration est :

(config-if)#spanning-tree cost cost

S'il s'agit d'un port de tronc, la commande de configuration est :

(config-if)#spanning-tree vlan vlan-id cost cost

A noter aussi qu'en cas de cot gaux, c'est la priorit la plus faible (d'une valeur de 0 255) qui

emporte le choix (elle est de 128 par dfaut) en dterminant l'ID du port compos de 2 octets (priorit

+ numro STP du port) :

Sur des ports d'accs :

(config-if)#spanning-tree port-priority priority

Sur des ports de tronc :

(config-if)#spanning-tree vlan vlan-id port-priority priority

3. Slection d'un port dsign pour chaque segment

Pour chaque segment d'un Lan (domaine de collision), il y a un port dsign. Le port dsign est celui

qui a le chemin le plus court vers le bridge Root. Les ports dsigns sont normalement en tant

forwarding , autrement dit, envoient et reoivent du trafic de donnes. Si plus d'un port sur un

mme segment a le mme cot vers le switch Root, le port du switch qui l'ID la plus faible est choisi.

Tous les autres sont des ports non-dsigns en tat blocking .

En bref,

1 switch Root par rseau dont tous les ports sont dsigns

http://cisco.goffinet.org/s3/spanning_tree#nb1

1 port Root par switch non-root

1 port dsign par domaine de collision

tous les autres ports sont non-dsigns

Aussi, on peut rsumer les liaisons :

Port Port Etats Etats Switch Switch

Root Dsign Forwarding Forwarding Non-root Root

Dsign Root Forwarding Forwarding Non-root Non-root

Dsign Non-dsign Forwarding Blocking Non-root Non-root

Une animation flash illustre le principe de fonctionnement de STP

3. Diffrents tats STP Cinq tats de ports peuvent rencontrs sur un port STP. Chaque tat comporte un dlai. En voici les

proprits.

http://www.cisco.com/warp/public/473/spanning_tree1.swf

L'age maximal de 20 secondes par dfaut est le temps maximal avec que STP effectue de nouveaux

calculs quand une interface ne reoit plus de BPDUs. Le temps de forwarding de 15 secondes par

dfaut est le temps de passage d'un tat "listening" "learning" et de "learning" "forwarding". Aussi,

la frquence d'envoi de BPDUs Hello est de 2 secondes par dfaut.

Etat Blocking

Rejette toutes les trames de donnes venant du segment attach

Rejette toutes les trames de donnes venant d'un autre port de transfert

N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)

Reoit les BPDUs et les transmet son systme

N'envoie pas de BPDUs reus de son systme

Rpond SNMP

Etat Listening



N'intgre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)


Envoie les BPDUs reus de son systme

Rpond SNMP

Etat Learning



Intgre les emplacements de station dans sa MAC table (apprentissage)



Rpond SNMP

Etat Forwarding

Commute toutes les trames de donnes venant du segment attach

Commute toutes les trames de donnes venant d'un autre port de transfert

Intgre les emplacements de station dans sa MAC table (apprentissage)



Rpond SNMP

Etat Disabled

Cet tat est similaire l'tat blocking sauf que le port est considr physiquement non

oprationnel (shut down ou problme physique).

4. Quelques commandes Pour le diagnostic :

#show spanning-tree [?]

Dsactivation de STP :

(config)#no spanning-tree vlan vlan-id

Ports Portfast :

La configuration d'une interface en "Portfast" (passage directe de l'tat "blocking" l'tat "forwarding"

uniquement pour les segments qui ne connectent pas de switches) :

(config-if)#spanning-tree portfast

Priorit du switch :

(config)#spanning-tree [vlan vlan-id] priority priority

Cot et priorit d'un port :

(config-if)#spanning-tree [vlan vlan-id] cost cost

(config-if)#spanning-tree [vlan vlan-id] port-priority priority

Paramtres de timing :

(config)#spanning-tree [vlan vlan-id] max-age seconds

6 200 secondes

(config)#spanning-tree [vlan vlan-id] forward-time seconds

4 200 secondes

(config)#spanning-tree [vlan vlan-id] hello-time seconds

1 10 secondes

Notions sur les VLANs Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la sparation logique entre,

d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 liaison de donnes fournis par

les commutateurs. Cet article reprend les notions ncessaires la bonne comprhension de cette technologie.

FONCTIONNEMENT D'UN LAN

Au sein d'un LAN dfini comme une infrastructure commute, soit un rseau compos de commutateurs,

toutes les interfaces htes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE

802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des htes afin de

transfrer rapidement le trafic. Sur ces rseaux, on connat du trafic unicast ( destination d'un seul

hte), du trafic de broadcast (diffusion, destination de tous les htes) et du trafic multicast(

destination de certains htes). Un commutateur transfre le trafic de diffusion et multicast travers tous

ses ports sauf celui d'origine; un routeur filtre le trafic de diffusion en ne le transfrant pas.

LAN VIRTUEL (VLAN)

Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commute. Une

infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera

comme n'importe quel LAN distinct. Concrtement, les ports du commutateur prennent un identifiant

VLAN. Cet identifiant logique dfinit l'tendue du domaine de diffusion : le trafic de diffusion ne sera

transfr que sur les ports ayant le mme identifiant. Autrement dit, par exemple, le trafic de diffusion

venant d'un port appartenant au VLAN 66 ne se sera transfr que sur les ports ayant pour attribution le

VLAN 66. La sparation fonctionnelle entre deux ports ayant des identifiants VLAN diffrents correspond

une sparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports

du commutateur, soit l'infrastructure physique elle-mme.

La virtualisation d'un LAN consiste en la sparation logique entre, d'une part, l'infrastructure

physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.

L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que dcrit plus haut

indpendante de l'infrastructure physique. Cette technologie s'intgre pleinement dans les marchs des

environnements virtualiss, des dploiements de rseaux sans fil, de la VoIP, des passerelles Internet

d'entreprise et familiales.

Cette fonctionnalit peut tre tendue sur des ports de commutateurs distants travers toute

l'infrastructure. Dans ce cas, les commutateurs devront transporter entre eux du trafic appartenant

plusieurs VLANs sur une ou plusieurs liaisons spcifiques ...

TRUNKS OU LIAISON D'AGRGATION

... Les ports d'une liaison qui agrgent le trafic de plusieurs VLANs s'appellent un Trunk chez le

constructeur Cisco Systems et liaison d'agrgation chez d'autres. Sur ce type de liaison, le

commutateur ajoute des champs supplmentaires dans ou autour de la trame Ethernet. Ils servent

notamment distinguer le trafic de VLANs diffrents car ils contiennent entre autres le numro

d'identification du VLAN.

Deux protocoles de Trunk ou de liaison d'agrgation VLAN peuvent tre rencontrs. Il agissent

tout deux au niveau de la couche 2 liaison de donnes . Ils oprent sous les couches TCP/IP.

Inter-Switch Link (ISL) : protocole propritaire Cisco qui encapsule la trame d'origine avec un en-

tte spcifique qui contient entre autres le numro de VLAN et un nouveau champ FCS. Il est

indpendant de la technologie sous-jacente. Il est de moins en moins rencontr au profit de IEEE

802.1q.

IEEE 802.1q : Standardis et interoprable, il ajoute une tiquette dans l'en-tte de la trame (un

ensemble de champs juste aprs le champ d'adresse MAC d'origine). Cette tiquette a une taille de 4

octets ou 32 bits dont 12 bits sont consacrs au numro de VLAN. Le standard supporte les

technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que

protocole de pontage (bridging, IEEE 802.1). Vu que la trame sera modifie, le commutateur

recalculera la valeur du champ CRC/FCS.

IEEE 802.1q est actuellement la technologie standardise et dominante sur le march

indpendamment des constructeurs .

ENCAPSULATION

Quand est-ce que cette encapsulation IEEE 802.1q intervient ? Un hte A veut joindre un hte L connect

un commutateur distant. Les commutateurs sont interconnects par une liaison d'agrgation . La

trame ne sera tiquete seulement si elle quitte le commutateur sur un port qui connecte une liaison

d'agrgation. Lors de la livraison locale de la trame la station destinataire, elle sort du port du

commutateur sans tiquette.

Si le standard est largement disponible sur les commutateurs d'entreprise, les htes tels que les serveurs

ou du matriel embarqu peuvent annoncer le support de la technologie en fonction des pilotes

dvelopps pour l'interface physique. Alors que les systmes d'exploitation Linux/BSD supportent un

grand nombre de cartes, les cartes Intel sont bien supportes sous Microsoft Windows ; elles sont

proposes d'emble par les grands assembleurs comme HP ou Dell.

Le trafic de diffusion comme celui de multicast sera port la destination de tous les ports ayant le

mme identifiant VLAN, travers des ports de liaison d'agrgation . Les htes connects un port d'un

identifiant VLAN diffrent ne seront pas affectes par ce trafic. En ce sens, la taille des domaines de

diffusion peut tre contrle sur une infrastructure commute des fins de performance,

d'administration du trafic, des machines et des utilisateurs.

DOMAINE IP ET VLANS

Comme dans tout LAN, le rseau IP est homogne et correspond un adressage marqu par un prfixe et

un masque de rseau. Au sein d'un LAN, toutes les interfaces qui participent l'Internet Protocol dans la

perspective de communiquer entre des rseaux diffrents partagent le mme adressage. Un routeur

constitue la limite d'un VLAN comme celle d'un LAN. Donc, pour que des VLANs communiquent ensembles,

en tant que rseaux logiques diffrents, une fonction de routage est ncessaire. On parle dans la

littrature de routage inter-VLAN. Cette fonction peut tre remplie par des plate-formes d'entreprise

comme les routeurs d'accs, des routeurs Linux/BSD ou des commutateurs LAN disposant d'un logiciel de

routage. Les routeurs sont capables de transfrer du trafic de VLANs diffrents partir d'un seul port

physique reconnu comme port d'agrgation VLAN.

CONCLUSION

D'un point de vue technique, la technologie VLAN permet de dployer des architectures plus souples,

fournissant plus de services qu'un LAN classique en combinaison d'autres protocoles et technologies.

Voici quelques exemples non-exhaustifs qui permettent de grer dynamiquement les utilisateurs et les

applications sur les plus basses couches de la communication.

Fonctionnalit de Qualit de Service (QoS), notamment grce IEEE 802.1p en perspective d'une

diffrenciation trafic selon les applications (voix, vido, etc.);

Le support du protocole Spanning-Tree et ses variantes (STP, MST, RSTP, PVST, PVST+, PVRST+, UDLD) ainsi

que les protocoles de contrle (CDP, VTP, DTP, etc.);

Une srie de protocoles connexes utiles ou moins, propritaires ou standardiss comme VTP, DTP, PaGP,

Etherchannel, etc.;

Le support d'une authentification sur les ports (IEEE 802.1x/EAP) en vue d'authentifier les utilisateurs

dynamiquement et de leur appliquer des paramtres de scurit adapts en les plaant dynamiquement

dans un VLAN soumis une politique de filtrage;

Il sera possible de ponter/commuter les VLANs entre eux, de rpartir la charge entre plusieurs liaisons

d'agrgation de manire redondante, d'encapsuler plusieurs tiquettes dans plusieurs tiquettes (double,

triple, voire quadruple).

Scurit Wifi : les bases

En cours de rdaction

I. LA NATURE "INSCURISE" DES RSEAUX SANS FIL

Utilisant les ondes radios pour transmettre le signal, les rseaux sans fils sont naturellement inscuriss.

La propagation des ondes travers les airs ne connait pas le confinement localis et "physiquement

protg" des rseaux filaires.

Dans cette perspective, il semblait lgitime et suffisant d'introduire dans le standard IEEE 802.11 un

protocole de scurit assurant autant d'intimit qu'un fil ... Le WEP ( Wired Equivalent Privacy) n'a

d'ailleurs que cette seule prtention.

D'un point de vue pragmatique, les implmentations sans fil sont couramment laisses sans aucune

mesure de scurit. Mise en oeuvre facile et rapide, omission justifie ou non, ignorance sont des

lments qui expliquent cet tat de fait. Il suffit de se promener en rue avec un client wifi pour

constater que l'on peut se connecter l'Internet et aux rseaux locaux sans aucune difficult.

A ce titre, la principale menace des rseaux sans fil est celle du "man-in-the-middle" : une attaque

partir de l'intrieur d'un rseau local. Elle se concrtisera par la prsence de "points d'accs voyous"

("rogue APs") ou de clients wifi espions. Ces "intrus" peuvent tre placs dlibrment avec une volont

de nuisance. Mais le plus grand danger viendrait plutt des utilisateurs, remplis des meilleures intentions,

qui placent du matriel actif pour leur confort personnel ou mme professionnel.

Egalement, on citera des attaques bien plus aises et efficaces mettre en oeuvre telles que :

l'attaque par interfrence rendant un rseau sans fil inoprant en polluant l'espace d'ondes aussi puissantes

sur le mme canal utilis;

l'attaque du dni de service en tentant d'envoyer des trames de contrle qui rendent les services ou le

matriel hors d'usage.

Aussi, la dfinition d'un SSID ou d'un filtrage MAC sur le point d'accs ne constituent en rien une scurit

suffisante :

un logiciel tel que Netstumbler (http://www.netstumbler.com/) ou le logiciel airodump-ng de la

suite aircrack-ng permet de connaitre le SSID mme lorsqu'il est cach;

une coute du traffic permet de prendre connaissance d'adresses MAC autorises (l'en-tte de trame

contenant les adresses MAC ne sont pas encrypts par le WEP) et de les usurper (spoofing).

D'un autre point de vue, les logiciels (firmware, pilotes, systmes d'exploitation) peuvent prsenter des

dfauts de conception et des failles exploitables.

Enfin, on verra ci-dessous que le protocole WEP n'est pas exempt de faiblesses, ce n'est pas une

nouveaut. Sans comptence particulire, une attaque WEP peut tre mene uniquement avec des

logiciels libres (voir Attaques WEP simple).

Quoi qu'il en soit , pour les petites entreprises ou la maison, le WEP sera mieux que rien. Toutefois, le

WPA-PSK est largement disponible aujourd'hui et il augmentera considrablement la scurit de ces petits

rseaux.

II. PRSENTATION BRVE DU PROTOCOLE WEP

http://www.netstumbler.com/http://www.aircrack-ng.org/http://cisco.goffinet.org:8080/cursus/cisco/wireless/resolveuid/e36434428cdd307494b7cc2814312b5f

Le WEP (Wired Equivalent Privacy) est le protocole initial de scurit des rseaux WIFI. Il est dclar dans

le document IEEE 802.11. Le standard dfinit des mthodes d'authentification et d'encryption.

II.a. Authentification

En matire d'authentification, on trouvera deux mthodes :

L'authentification ouverte. Il s'agit d'une authentification nulle, pour le principe. Celle-ci consiste

seulement fournir le bon SSID (Service Set ID).

L'authentification partage. Chaque intervenant dispose d'une mme cl WEP. Le point d'accs envoie un

message en clair au client qui rpond avec un message crypt avec la cl WEP. Dans ce cas seul le client

authentifie le point d'accs. Il s'agit d'uneauthentification asymtrique.

II.b. Encryption

"Le cryptage consiste prendre un message, dit en clair , et le soumettre un algorithme

mathmatique pour produire un texte crypt . Le dcryptage est la transformation inverse. Les

algorithmes de cryptage se servent le plus souvent d'une valeur, appele cl, qui sert crypter et

dcrypter les donnes.

Le cryptage WEP utilise le chiffrement continu RC4 invent par Ron Rivest de RSA Data Security, Inc.

(RSADSI). L'algorithme de cryptage RC4 est un chiffrement en continu symtrique qui supporte les cls de

longueur variable.

Le chiffrement en continu consiste excuter la fonction de cryptage ou de dcryptage sur une unit du

texte en clair (dans ce cas, la trame 802.11b).

Dans le cryptage symtrique, la cl est un lment d'information qui doit tre partag par les units

d'extrmit pour raliser le cryptage et le dcryptage.

RC4 autorise une cl de longueur variable, qui peut atteindre 256 octets contrairement d'autres

algorithmes dont la cl a une longueur fixe. L'IEEE a spcifi que les units 802.11 devaient supporter les

cls de 40 bits, avec la possibilit d'accepter des cls plus longues. Plusieurs constructeurs proposent le

cryptage WEP 128 bits dans leurs solutions WLAN.

Le protocole WEP est un chiffrement en continu, et il est indispensable de disposer d'un mcanisme pour

garantir que le mme texte en clair ne gnrera pas le mme texte crypt. L'IEEE a stipul l'utilisation

d'un vecteur d'initialisation (IV) qui doit tre concatn avec la cl symtrique avant de gnrer le texte

crypt en continu.

Ce vecteur d''initialisation est un nombre de 24 bits qui prend donc une valeur entre 0 et 16 777 215.

L'IEEE

suggre mais n'exige pas de modifier le vecteur d'initialisation pour chaque trame. Comme l'metteur

gnre le vecteur d'initialisation sans schma ni calendrier prdfini, ce vecteur doit tre envoy en clair

au rcepteur, dans la partie d'en-tte de la trame de donnes 802.11. Le rcepteur peut ensuite

concatner le vecteur d'initialisation reu avec la cl WEP (la cl de base) stocke localement pour

dcrypter la trame de donnes.

Comme le montre la figure suivante, l'algorithme RC4 ne crypte pas le texte en clair lui-mme mais sert

gnrer un flux de cl unique pour la trame de donnes 802.11 concerne en reprenant le vecteur

d'initialisation et la cl de base comme cl de cryptage. Le flux de cl unique ainsi obtenu est ensuite

combin avec le texte en clair et le tout est transform par une fonction mathmatique appele XOR qui

produit le texte chiffr."

Partie tire de Cisco SAFE : Description dtaille de la scurit pour les rseaux locaux sans fil

II.c. La faiblesse du WEP

II.c.1. Une cl statique

Une premire faiblesse de la scurit de base du WIFI est la gestion et la distribution des cls. Un

administrateur devra configurer la mme cl WEP sur tous les clients Wifi d'un rseau local. On notera

que l'identification se fondra seulement sur les priphriques et non sur les utilisateurs.

Primo, la cl WEP unique ne permettra pas d'attribuer des ressources en fonction d'un profil utilisateur.

Secundo, un priphique Wifi drob remet en cause l'ensemble de la scurit d'un rseau local en

obligeant l'administrateur reconfigurer l'ensemble des clients. Cette dernire remarque est valable pour

tout mcanisme cl partage dont WPA-PSK.

II.c.2. Les attaques FMS - attaques passives

"Les cryptoanalystes Fluhrer, Mantin et Shamir (FMS) ont dcouvert des faiblesses inhrentes

l'algorithme RC4 de programmation des cls. Or l'algorithme RC4 utilis par WEP se sert d'un vecteur

d'initialisation de 24 bits et ne renouvelle pas les cls de cryptage de manire dynamique.

Fluhrer, Mantin et Shamir ont pu montrer que ces faiblesses pouvaient avoir des applications pratiques

dans le dcryptage des trames 802.11 qui utilisent WEP. Cette attaque se concentre sur une classe largie

de vecteurs d'initialisation faibles qui peuvent tre gnrs par RC4 et met en vidence les mthodes qui

permettent de casser la cl en utilisant certaines formes rcurrentes des vecteurs d'initialisation.

L'attaque appele attaque FMS est pragmatique, mais le plus dconcertant est quelle est totalement

passive. L'attaque FMS prsente la drivation thorique d'une cl WEP sur un ventail de paquets entre

100 000 et 1 000 000 crypts avec la mme cl."

Des informations techniques sur l'attaque FMS peuvent tre obtenues sur :

http://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.html

http://www.cs.umd.edu/~waa/wireless.html

http://www-search.cisco.com/global/FR/documents/pdfs/tdm/wlan/SAFE_WLAN_v2.pdfhttp://www.workingwireless.net/wireless/Documents/wireless_extreme/wep_attack.htmlhttp://www.cs.umd.edu/~waa/wireless.html

http://www.securiteinfo.com/crypto/802_11.shtml

En amliorant les attaques statistiques mise en oeuvre par Korek avec du trafic captur, on obtient

d'excellents rsultats.

II.c.3 Les attaques actives par rejeu

Supposons qu'un attaquant connaisse exactement le texte clair d'un message crypt. Il peut utiliser cette

connaissance pour construire des paquets crypts. La procdure implique qu'il construise un nouveau

message en calculant la somme de contrle en l'occurence CRC-32 et en appliquant des changements

minimes (bits flips) sur le trafic crypt original pour changer le texte en clair. Ce paquet peut tre

accept par le point d'accs ou une station mobile lgitime.

On peut aussi mener une attaque plus insidieuse qui vise changer quelques bits dans le message et

d'adapter correctement le CRC sans aucune connaissance du paquet pour en obtenir une version crypte

correcte. Par exemple, il pourrait tre possible avec une connaissance partielle d'altrer des commande

shell d'une session Telnet.

On peut encore aller plus loin. Un attaquant ne connait rien d'une trame capture mais pourra comme

expliqu plus haut modifier les bits d'adresses IP de destination et l'envoyer par une passerelle sur

l'Internet. Vu que ce trafic quitte le rseau sans fil, il sera envoy en clair sur l'inter-rseau.

IV. SOLUTIONS

Aujourd'hui, on peut dire que la scurit sans fil est meilleure que les services fournis par dfaut sur le

fil. Les solutions proposes aujourd'hui proposent toutes une authentification 802.11 ouverte :

solution authentification Encryption standard 802.11

WPA Home ou WPA-PSK Open TKIP (PreSharedKey) IEEE 802.11i

WPA2 Home ou WPA2-PSK Open TKIP ou AES (PreSharedKey) IEEE 802.11i

WPA Enterprise EAP/802.1x TKIP IEEE 802.11i

WPA2 Enterprise EAP/802.1x TKIP ou AES (PreSharedKey) IEEE 802.11i

Les solutions pour les petits rseaux utilisent une cl partage avec du TKIP (grosso modo du WEP

amlior) ou de l'AES avc authentification nulle et pour de plus grosses implmentation on peut utiliser

une authentification des utilisateurs par un serveur Radius avec EAP/802.1x.

Encryption

Authentification

PEAP MS-chapv2 EAp-fast eap-tls leap

Tunnel TLS pralable Oui Oui Oui Non

http://www.securiteinfo.com/crypto/802_11.shtmlhttp://www.netstumbler.org/showthread.php?postid=89036#post89036

PEAP MS-chapv2 EAp-fast eap-tls leap

Autorisation Radius

Oui, MS-ISA, Cisco ACS,

Juniper Odyssey (anc. Funk),

MeetingHouse (nouv. Cisco)

Oui, Cisco ACS Oui, ouvert Oui, Cisco ACS

Serveur de certificat Oui Non Oui Non

Certificat ct serveur Oui Non Oui Non

Certificat ct client Non Non Oui Non

Crdits utiliss Mot de passe Windows Mot de passe Windows, ...

DB d'authentification

Standardisation

Pilotes

Avantages

Dsavantages

Indicateurs LED sur le matriel Wifi Les indicateurs LED peuvent tre utiliss pour diagnostiquer des problmes de communication et des erreurs.

Nous proposons un tableau rcapitulatif pour les adaptateurs Aironet et le point d'accs 1200.

SUR L'ADAPTATEUR CLIENT AIRONET

Link Integrity/Power LED (vert) - Ce LED s'allume quand l'adapteur reoit de la tension et clignote

lentement si l'adaptateur est connect au rseau

Link Activity LED (brun)- Ce LED clignote rapidement quand l'adaptateur reoit et transmet des donnes.

Quand il clignote rptitivement d'une certaine manire, il indique une condition d'erreur.

Table 3-1 LED Operating Messages

LED Vert LED Brun Condition

Operations

normales

Clignotement

rapide

Clignotement

rapide

La tension est reue,

self-test est OK,

l'adaptateur cherche un

rseau.

Clignotement lent Clignotement

rapide

L'adaptateur est associ

un AP.

Clignotement

continuel ou lent Clignotement

L'adaptateur transmet et

reoit des donnes tant

qu'il est associ un AP.

Eteint Clignotement

rapide

L'adaptateur est en

"power save mode".

Allum

continuellement

Clignotement

rapide

L'adaptateur est en "ad

hoc mode".

Conditions

d'erreurs

Eteint Eteint

L'adaptateur n'est pas

aliment et une erreur est

survenue.

Eteint

1 clignotement 2-

secondes

d'intervalle

Problme de RAM.

Eteint

2 clignotements

rapides, 2-secondes

de pause

Problme Flash.

Eteint

3 clignotements

rapides, 2-secondes

de pause

Problme de firmware.

Recharger le firmware.

Eteint

4 clignotements

rapides, 2-secondes

de pause

Erreur d'adresse MAC

(Erreur de lecture).

Recharger le firmware.

Eteint

5 clignotements

rapides, 2-secondes

de pause

Erreur de couche PHY.

Eteint

6 clignotements

rapides, 2-secondes

de pause

Firmware incompatible.

Charger le bon firmware.

LE POINT D'ACCS 1200

L'indicateur Ethernet concerne le trafic sur le rseau filaire. Cet indicateur est normalement vert quand

un cble est connect au point d'accs. Il clignote quand du trafic transite sur le cble. Il est teint quand

le point d'accs n'est pas connect au rseau filaire.

L'indicateur Status donne le statut oprationnel. Une couleur verte rgulire signifie que l'AP est associ

au moins avec un client. Une couleur verte qui clignote signifie que l'AP fonctionne normalement mais

qu'aucun client ne lui est associ.

L'indicateur Radio clignote en vert quand il y a une activit radio. En temps normal, le LED est teint.

Message

type

Ethernet

indicator

Status

indicator

Radio

indicator Meaning

Statut de

chargement de

dmmarrage

Vert - Vert Test mmoire DRAM

memory.

- Brun Rouge Test d'initialisation de la

carte;

- Vert

clignotant

Vert

clignotant Test mmoire Flash

Brun Vert - Test d'initialisation

Ethernet.

Vert Vert Vert Dmarrage IOS.

Association

status

- Vert - Au moins un client est

associ.

- Vert

clignotant -

Aucun client n'est

associ; Regarder aux

paramtres SSID et

scurit.

Operating

status

- Vert Vert

clignotant

L'interface Radio envoie

et transmet des paquets.

Vert - - La liaison Ethernet est

oprationnelle.

Vert

clignotant - -

L'interface Ethernet

envoie et transmet des

paquets.

Boot Loader

Errors

Rouge - Rouge Echec du test de

mmoire DRAM.

- Rouge Rouge Echec du systme de

fichier.

Rouge Rouge - Echec Ethernet lors de la

rcupration de l'image.

Brun Vert Brun Erreur de l'environnment

de dmarrage.

Rouge Vert Rouge Pas de fichiers d'image

IOS.

Brun Brun Brun Echec de dmarrage.

Operation

Errors

- Vert Brun

clignotant

Essais maximum ou

tampon rempli sur

l'interface Radio.

Brun

clignotant - -

Erreurs de

transmission/rception

sur l'interface Ethernet.

- Brun

clignotant - Alerte gnrale.

Configuration

Reset - Brun -

Remise zro des

options de configuration

aux paramtres par

dfaut 'usine'.

Failure Rouge Rouge Rouge

Echec du firmware

failure; essayer de

dconnecter et de

reconnecter la tension.

Firmware

Upgrade - Rouge -

Chargement d'une

nouvelle image du

firmware.

Notions de Switching

Documents

Transcript of Notions de Switching