Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MODÉLISATION HIÉRARCHIQUE DU RÉSEAU Pourquoi et comment hiérarchiser ? Construi

MODÉLISATION HIÉRARCHIQUE DU RÉSEAU Pourquoi et comment hiérarchiser ? Construire un réseaux ? • Un réseau n'est pas la simple accumulation de switch et routeur ! • Il faut l'organiser, le hiérarchiser – Pour simplifier son administration – Pour isoler rapidement les problèmes – Pour rendre modulable le réseau et pour pouvoir facilement l'agrandir • Un réseau d'entreprise est donc découpé suivant un modèle en 3 couches – Access Layer – Distribution Layer – Core Layer • Chaque couche va avoir des fonctionnalités particulières Access Layer Rôle de l'Acess Layer • Attribution des VLANs • Sécurité des ports Distribution Layer Rôle du Distribution Layer • Limiter les zones de broadcast • Transférer les paquets entre VLAN • Filtrer l'accès entre certains VLAN Rôle du Core Layer • C'est le cœur du réseau • Doit transférer les données le plus rapidement possible • Apporte la connexion à Internet ou aux autres réseaux de la société via un MAN ou WAN Représentation physique • Généralement, une salle de brassage par étage • Serveur dans une salle spécialisée • Tous les étages reliés au core layer Avantages d'une architecture hiérarchique • Scalabilité – Pouvoir faire des agrandissements du réseau simplement • Redondance – Les services doivent être opérationnel 24/24 – Exemple : pour la ToIP, on doit avoir une fiabilité de 99,999%, soit 5 min par an d'interruption de service • Performance – Eviter les goulots d'étranglement • Sécurité – Sécurisation des données et des accès au plus près de la source • Administration simplifiée • Maintenance facilité en raison de la modularité du réseau VLANS (VIRTUAL LANS) Introduction aux VLAN • Les VLANs offrent la possibilité de segmenter les réseaux en domaines • VLAN = Sous-réseau • Les VLANs aident à organiser les réseaux selon : • Localisation Physique (Exemple : Bâtiment) • Organisation (Exemple : Dept. Marketing) • Fonction (Exemple : Personnel) 11 vlan 10 Default vlan 1 Default vlan 1 Introduction aux VLAN • Les VLANs créent des domaines qui autrefois demandaient l'usage d'un routeur • Les VLANs aident la gestion du réseau (sécurité, scalabilité, administration) 12 Sans VLANs 10.3.0.0/16 10.2.0.0/16 10.1.0.0/16 Un lien par VLAN ou un lien Trunk Avec VLANs 10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 Scénario sans VLANs • Diffusions de couche 2 (Broadcasts) • Qu'est-ce que se passe lorsque 10.1.0.10 envoie une requête ARP pour 10.1.0.30 ? 13 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Scénario sans VLANs • Diffusion couche 2 • Le switch "inonde" tous les ports • Toutes machines reçoivent le broadcast, même celles d'un réseau différent • Les diffusions de couche 2 devraient être limitées à ce sous-réseau 14 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Scénario sans VLANs • Messages unicast pour des destinataires couche 2 inconnus • C'est la même situation qu'avec les diffusions • Déjà, ce scénario n'est pas correct • Deux sous-réseaux doivent être reliés par un routeur, pas un switch ! 15 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Scénario sans VLANs • Un routeur est le seul équipement vraiment "autorisé" à relier deux sous-réseaux • Il faut quand même séparer le trafic qui passe par ce switch 16 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Fa 0/0 Fa 0/1 10.1.0.1/16 10.2.0.1/16 Solution traditionnelle • La solution traditionnelle consistait à concentrer les équipements des réseaux sur des switches différents • C'est une solution "sûre" (pour la diffusion couche 2) mais n'est pas bien scalable 17 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Fa 0/0 Fa 0/1 10.1.0.1/16 10.2.0.1/16 ARP Request Utilisation de VLANs • Un VLAN est un domaine de diffusion crée par un ou plusieurs switches • Les VLANs sont attribués par le switch et correspondent aux différents réseaux • Chaque pour d'un switch peut être assigné à un VLAN différent 18 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Port 1 VLAN 10 Port 9 VLAN 10 Port 12 VLAN 20 Port 4 VLAN 20 Utilisation des VLAN • Les ports appartenant au même VLAN partagent le même domaine de diffusion • Les ports dans des VLANs différents sont séparés 19 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Port 1 VLAN 10 Port 9 VLAN 10 Port 12 VLAN 20 Port 4 VLAN 20 ARP Request Attribution des VLANs • Deux méthodes peuvent être utilisés • Attribution statique • Chaque port est attribué à un VLAN • N'importe quel équipement connecté à ce port "rentre" dans le domaine de diffusion de ce VLAN • Attribution dynamique • Le switch consulte un tableau avec les adresses MAC des équipements et identifie le VLAN auquel un équipement doit appartenir • Procédure très rare (car bien plus complexe) 20 Configuration de VLANs Statiques • Les VLANs statiques se basent sur le port • Lorsqu'un équipement se connecte, il est automatiquement annexé à ce VLAN • Un switch "neuf" a tous les ports préconfigurés pour le VLAN default • Dans les switches CISCO, c'est le VLAN 1 21 VLAN 10 Configuré Default VLAN 1 Default VLAN 1 Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan 10 Opération des VLANs • Si les VLANs sont attribués suivant les ports, il faut encore configurer les adresses IP • Une machine doit être configurée avec la plage d'adresses IP correspondant à son VLAN • VLAN = Sous-réseau 22 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Port 1 VLAN 10 Port 9 VLAN 10 Port 12 VLAN 20 Port 4 VLAN 20 Organisation des VLANs • Les VLANs sont normalement organisés selon deux modèles • "End-to-End" ou "Campus-wide" • L'organisation la plus "ancienne" • Géographique ou Local • L'organisation recommandée aujourd'hui 23 . VLANs End-to-End ou Campus-wide • Les VLANs sont basés sur la fonctionnalité • Modèle "VLAN un peu partout" • Problème de scalabilité 24 VLAN Géographique ou Local • Modèle basé sur la localisation physique • Des VLANs dédiés à chaque switch "d'accès" 25 Règles du 80/20 et 20/80 • Originalement, les réseaux étaient prévus pour gérer 80 percent du trafic à l'intérieur du VLAN • Imprimantes, serveurs, collègues • C'est la règle 80/20 • Problème : • Aujourd'hui, le trafic est plutôt inversé : 20% se fait en local, et 80% vient de l'extérieur (Internet) • Ceci rend les réseaux "campus" trop difficiles à gérer 26 Exercice 1 • Examiner le fonctionnement d'un réseau avec des VLANs Rick Graziani graziani@cabrillo.edu 27 Exercice 2 • Configurer un réseau avec des VLANs Rick Graziani graziani@cabrillo.edu 28 VLAN TRUNKING Transporter plusieurs VLAN ? • L'un des problèmes de la configuration "Campus" est qu'il faut transporter plusieurs VLAN à travers deux ou plus switches • Comment le faire sans utiliser un câble par VLAN ? Rick Graziani graziani@cabrillo.edu 30 La solution : VLAN Tagging • Le VLAN Tagging est utilisé pour permettre le passage de plusieurs VLAN à travers un seul lien • Lien "Trunk" : lorsque les paquets sont reçus par le switch, il les attribue un identifiant unique qui correspond à son VLAN • Les paquets de plusieurs VLAN sont ainsi transmis sur le même lien 31 VLAN Tagging • Le paquet est forwardé selon son tag et son adresse MAC • En arrivant au switch de destination, le tag est retiré et le paquet est envoyé au destinataire 32 VLAN Tagging • Le VLAN Tagging permet une meilleure utilisation des liens 33 Sans VLAN Tagging VLAN Tagging 802.1Q • Le VLAN Tagging est fait grâce à une modification de l'entête Ethernet • La norme IEEE 802.1Q inclut le tag juste après les champs MAC destination et MAC source 34 Configuration du mode Trunking • En ligne de commande, il faut entrer ces deux commandes, dans la configuration de l'interface • Switchport mode trunk • Switchport trunk encapsulation dot1q 35 Configuration du mode Trunking 36 SwitchA(config-if)switchport mode trunk SwitchB(config-if)switchport mode trunk No Trunk 802.1Q 802.1Q ROUTAGE INTER-VLAN Le routage Inter-VLAN • Lorsqu'une machine doit communiquer avec une machine d'un autre réseau, il faut passer par un routeur • Sans un équipement de routage, la connexion est impossible 38 10.1.0.10/16 DG: 10.1.0.1 10.2.0.20/16 DG: 10.2.0.1 10.1.0.30/16 DG: 10.1.0.1 10.2.0.40/16 DG: 10.2.0.1 Fa 0/0 Fa 0/1 10.1.0.1/16 10.2.0.1/16 Routage Inter-VLAN – Sans liens trunk • Une option est d'utiliser un lien pour chaque VLAN, mais cette solution ne passe pas bien à l'échelle 39 10.10.0.1/16 10.20.0.1/16 10.10.0.11/16 10.20.0.22/16 Interfaces physiques et logiques • Dans les équipements réseau, il est possible de sous-diviser des interfaces physiques en plusieurs interfaces logiques Rtr(config)#interface fastethernet port/interface.subinterface 40 Routage Inter-VLAN – Avec trunk Rtr(config)#interface fastethernet 0/1.1 Rtr(config-subif)#description VLAN 1 Rtr(config-subif)#encapsulation dot1q 1 Rtr(config-subif)#ip address 10.1.0.1 255.255.0.0 • Grâce aux sous-interfaces, un seul lien peut être utilisé pour relier plusieurs sous-réseaux 41 10.10.0.11/16 10.20.0.22/16 10.1.0.1/16 10.20.0.1/16 10.10.0.1/16 “Router-on-a-Stick” Routage Inter-VLAN – Avec trunk Rtr(config)#interface fastethernet 0/1.10 Rtr(config-subif)#description Management VLAN 10 Rtr(config-subif)#encapsulation dot1q 10 Rtr(config-subif)#ip address 10.10.0.1 255.255.0.0 Rtr(config)#interface fastethernet 0/1.20 Rtr(config-subif)#description Management VLAN 20 Rtr(config-subif)#encapsulation dot1q uploads/Ingenierie_Lourd/ modelisation-hierarchique-du-reseau-pourquoi-et-comment-hierarchiser.pdf