Présentation des vlan...

17
Présentation des vlan Mikrotik WIFI FRANCE NETWORKING SOLUTIONS www.wifi-France.com

Transcript of Présentation des vlan...

Page 1: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

PrésentationdesvlanMikrotikWIFI FRANCENETWORKINGSOLUTIONS

www.wifi-France.com

Page 2: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

IntroductionQu’estcequ’unvlan?

UnVLANpermetdecréerdesdomainesdediffusion(domainesdebroadcast)gérés parlescommutateursindépendammentdel’emplacementoùsesituentlesnœuds,cesontdesdomainesdediffusiongéres logiquement

LesavantagesdesVLANs sontlessuivants:

Laréductiondesmessagesdediffusion(notammentlesrequetes ARP)limitésàl'intérieur d’unVLAN.Ainsilesdiffusionsd'unserveurpeuventetre limités auxclientsdeceserveur.Lacréationdegroupesdetravailindépendantsdel'infrastructurephysique;possibilitédedéplacerlastationsanschangerderéseauvirtuel.

www.wifi-France.com

Page 3: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

L’augmentationdelasécuritéparlecontroledeséchangesinter-VLANutilisantdesrouteurs(filtragepossibledutraficéchangéentrelesVLANs).

L’indépendanceentreinfrastructurephysiqueetgroupedetravailimpliquequ’uncommutateurpuissegérerplusieursVlanetqu’unmemeVlanpuisseetrerépartisurplusieurscommutateurs.

Enconséquence,unetramequicirculedansuncommutateuretentrelescommutateursdoitpouvoiretreassociéeàunVlan.

PourrépondreauxobjectifsdesVlanlarèglesuivantedoitetreimpérativementrespectée:unetramedoitetreassociéeàunVlanetunseuletnepeutpassortirduVlan,sinonl’étanchéitéduniveau2n’estplusrespectée.

Lesméthodesdeconstructiond’unVlandoiventdoncdéterminerlafacondontlecommutateurvaassocierlatrameàunVlan.UsuellementonprésentetroisméthodespourcréerdesVLAN:lesvlanparport(niveau1),lesVlanparadressesMAC(niveau2),lesVlanparadressesIP(niveau3)ainsiquedesméthodesdérivées.

www.wifi-France.com

Page 4: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

LesVlanparport(Vlandeniveau1)OnaffectechaqueportdescommutateursàunVLAN.

L’appartenanced’unetrameàunVLANestalorsdéterminéeparlaconnexiondelacarteréseauàunportducommutateur.LesportssontdoncaffectésstatiquementàunVLAN.

SiondéplacephysiquementunestationilfautdésaffectersonportduVlanpuisaffecterlenouveauportdeconnexiondelastationaubonVlan.Siondéplacelogiquementunestation(onveutlachangerdeVlan)ilfautmodifierl’affectationduportauVlan.

www.wifi-France.com

Page 5: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

LesVlanparadresseMAC(Vlandeniveau2)OnaffectechaqueadresseMACàunVLAN.

L’appartenanced’unetrameàunVLANestdéterminéeparsonadresseMAC.Enfaitils’agit,àpartirdel’associationMac/VLAN,d‘affecterdynamiquementlesportsdescommutateursàchacundesVLANenfonctiondel’adresseMACdel’hôtequiémetsurceport.

L'intérêtprincipaldecetypedeVLANestl'indépendance vis-a-visdelalocalisationgéographique.Siunestationestdéplacéesurleréseauphysique,sonadressephysiquenechangeantpas,ellecontinued’apparteniraumêmeVLAN(cefonctionnementestbienadaptéàl'utilisationdemachinesportables).

SionveutchangerdeVlanilfautmodifierl’associationMac/Vlan.

www.wifi-France.com

Page 6: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

LesVlanparadressedeNiveau3(VLANdeniveau3)Onaffecteuneadressedeniveau3àunVLAN.

L’appartenanced’unetrameàunVLANestalorsdéterminéeparl’adressedeniveau3ousupérieurqu’ellecontient(lecommutateurdoitdoncaccéderàcesinformations).Enfait,ils’agitàpartirdel’associationadresseniveau3/VLANd‘affecterdynamiquementlesportsdescommutateursàchacundesVLAN.

DanscetypedeVLAN,lescommutateursapprennentautomatiquementlaconfigurationdesVLANenaccédantauxinformationsdecouche3.CeciestunfonctionnementmoinsrapidequeleVlandeniveau2.

QuandonutiliseleprotocoleIPonparlesouventdeVlanparsous-réseau.

www.wifi-France.com

Page 7: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Lesautresméthodes pourdéfinir desVlanOntrouvedanslalidérature desréférences auVlanparprotocolesC’estàdirequ’onassocieunetrameàunVlanenfonctionduprotocolequ’elletransporte.Ceprotocolepeutetre unprotocoledeniveau3pourisolerlesfluxIP,IPX,Apppletalk .etc...

MaisonpeuttrouveraussidesVlanconstruitsàpartirdeprotocolesupérieur (notammentH320).OnparlequelquefoisdeVlanparrègles oupartypesdeservice.

Enfinl’apparitionduWi-fi posedesproblèmes desécuritequelesVlanpeuventrésoudre.Ainsiunesolutionbasée surdesVlanparSSIDestenvisageable.

www.wifi-France.com

Page 8: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Lanorme802.1QEtiquetage du réseau VLANOnutilisedesétiquettesVLANpourindiquerlappartenanceàtelréseau VLANdunetrameencirculation.

Cesétiquettes sontfixéesàlatrameaumomentoùellefaitsonentrée dansunportdecommutateurappartenantàunréseau VLAN.

Ellessontretiréeslorsquelatramequitteunportappartenantàceréseau VLAN.

Letypeduportappartenantauréseau VLANdéterminesil’étiquette VLANdoitounonresterfixéeàlatrame.LesdeuxtypesdeportspossiblesauseindunenvironnementVLANsontlesportsd’accès etlesportsdeliaison.

www.wifi-France.com

Page 9: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

ChaquetrameavecuneétiquetteVLANcomportedeschampsindiquantsonappartenanceàunréseauVLAN.IlexistedeuxgrandsformatsdétiquettesVLAN:

§ leformatdeliaisoninter-commutateurISLdeCisco

§ leformatstandard802.1Q.

TandisqueISLestunformatpropriétairedeCisco,802.1QestunformatIEEEstandard.Leformat802.1Qpermetauxtramesétiquetéesdecirculerentrelescommutateursdeplusieursconstructeurs.

L’étiquette802.1Qcomportemoinsdechampsquel’étiquette ISL.Elleestinséréedanslatrameetnonplacéeendébutdetrame.

www.wifi-France.com

Page 10: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Comme lemontre leschéma, letagdot1q comporte plusieurs informations:

Un identifiant duprotocole (2octets)

3bitspour indiquer unepriorité (utiliséspour desfonctionnalités deQoS auniveau delatrame).

CFI:1bitservant àgarantir lacompatibilité entre lestrames ethernetettoken-ring (cebitesttoujours à0pourune trameethernet).

L’identifiant duvlan, codésur12bits(valeurs allant de0à4096, certainesn’étant pasutilisées)

www.wifi-France.com

Page 11: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Vlanbasésurlesports

www.wifi-France.com

Page 12: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

/interfacevlanadd interface=ether2name=eth2-vlan200 vlan-id=200add interface=ether2name=eth2-vlan300 vlan-id=300add interface=ether2name=eth2-vlan400 vlan-id=400

/interfacebridgeadd name=bridge-vlan200add name=bridge-vlan300add name=bridge-vlan400

/interfacebridgeportadd bridge=bridge-vlan200 interface=eth2-vlan200add bridge=bridge-vlan200 interface=ether6add bridge=bridge-vlan300 interface=eth2-vlan300add bridge=bridge-vlan300 interface=ether7add bridge=bridge-vlan400 interface=eth2-vlan400add bridge=bridge-vlan400 interface=ether8

www.wifi-France.com

Page 13: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

VlanbasésurlesadressesMAC

www.wifi-France.com

Page 14: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Create agroupofswitched ports./interfaceethernetsetether7master-port=ether2

Enable MACbased VLANtranslationonaccess port./interfaceethernet switchportsetether7allow-fdb-based-vlan-translate=yes

Add MAC-to-VLAN mapping entriesinMACbased VLANtable./interfaceethernet switchmac-based-vlanaddsrc-mac=A4:12:6D:77:94:43new-customer-vid=200addsrc-mac=84:37:62:DF:04:20new-customer-vid=300addsrc-mac=E7:16:34:A1:CD:18new-customer-vid=400

Add VLAN200,VLAN300andVLAN400tagging onether2porttocreate it asVLANtrunk port./interfaceethernet switchegress-vlan-tagadd tagged-ports=ether2vlan-id=200add tagged-ports=ether2vlan-id=300add tagged-ports=ether2vlan-id=400

www.wifi-France.com

Page 15: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Vlanbasésurleprotocole

www.wifi-France.com

Page 16: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

Create agroupofswitched ports./interfaceethernetsetether6master-port=ether2setether7master-port=ether2setether8master-port=ether2

SetVLANforIPandARPprotocols/interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=arp set-customer-vid-for=all new-customer-vid=0add port=ether6protocol=arp set-customer-vid-for=all new-customer-vid=200add port=ether2protocol=ip set-customer-vid-for=all new-customer-vid=0add port=ether6protocol=ip set-customer-vid-for=all new-customer-vid=200

SetVLANforIPXprotocol/interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=ipx set-customer-vid-for=all new-customer-vid=0add port=ether7protocol=ipx set-customer-vid-for=all new-customer-vid=300

SetVLANforAppleTalkAARPandAppleTalkDDPprotocols./interfaceethernet switchprotocol-based-vlanadd port=ether2protocol=0x80F3 set-customer-vid-for=all new-customer-vid=0add port=ether8protocol=0x80F3 set-customer-vid-for=all new-customer-vid=400add port=ether2protocol=0x809Bset-customer-vid-for=all new-customer-vid=0add port=ether8protocol=0x809Bset-customer-vid-for=all new-customer-vid=400

www.wifi-France.com

Page 17: Présentation des vlan Mikrotikmum.mikrotik.com/presentations/FR16/presentation_3575_1464616689.… · L’augmentation de la sécurité par le contrôle des échanges inter -VLAN

RetrouveztoutelagammeMikroTik surwww.wifi-France.com