commutation et segmentation de reseu Show Même si la création d’un réseau d’entreprise nécessite à la fois des routeurs et des commutateurs, dans la plupart des entreprises, la conception du réseau repose essentiellement sur les commutateurs. Par port, les commutateurs coûtent moins cher que les routeurs et fournissent un transfert rapide de trames à la vitesse du câble (« wire speed »). Un commutateur est un périphérique de couche 2 extrêmement adaptable. Dans son rôle premier, il remplace un concentrateur en faisant office de point central de connexion pour plusieurs hôtes. Dans son rôle plus complexe, un commutateur se connecte à un ou plusieurs autres commutateurs pour créer, gérer et assurer la maintenance de liaisons redondantes et la connectivité de réseau local virtuel. Un commutateur traite tous les types de trafic de la même manière, quelle que soit son utilisation. Il achemine le trafic en fonction des
adresses MAC. Chaque commutateur gère une table d’adresses MAC dans une mémoire à haut débit, appelée mémoire associative (CAM, Content Addressable Memory). À chaque fois qu’il est activé, le commutateur recrée cette table en utilisant les adresses MAC source des trames entrantes et le numéro de port par lequel la trame a accédé au commutateur. Lorsqu’une trame monodiffusion arrive sur un port, le commutateur recherche l’adresse MAC source dans la trame, puis il recherche dans la table MAC une entrée correspondant à I’adresse. Si l’adresse MAC source ne se trouve pas dans la table, le commutateur ajoute une entrée d’adresse MAC et de numéro de port, et définit le compteur d’obsolescence. Si l’adresse MAC source existe déjà, le commutateur réinitialise le compteur d’obsolescence. Le commutateur recherche ensuite dans la table l’adresse MAC de destination. Si une entrée est présente, le commutateur transmet la trame vers le numéro de port approprié. Dans le cas contraire, sous l’action du commutateur, la trame inonde tous les ports actifs, sauf le port sur lequel elle a été reçue. Si un commutateur reçoit une trame de diffusion, cette trame inonde toutes les interfaces actives, comme avec une adresse MAC de destination inconnue. Tous les périphériques qui reçoivent cette diffusion constituent le domaine de diffusion. Au fur et à mesure que le nombre de commutateurs connectés augmente, le domaine de diffusion s’étend. Les domaines de collision créent un problème similaire. Plus le nombre de périphériques dans un domaine de collision est important, plus le nombre de collisions est élevé. Les concentrateurs créent des domaines de collision étendus. Les commutateurs quant à eux utilisent une fonctionnalité appelée la microsegmentation pour réduire la taille des domaines de collision à un port de commutateur unique. Lorsqu’un hôte se connecte à un port de commutateur, le commutateur crée une connexion dédiée. Lorsque deux hôtes connectés communiquent entre eux, le commutateur consulte la table de commutation et établit une connexion virtuelle, ou microsegment, entre les deux ports. Le commutateur maintient le circuit virtuel jusqu’à la fin de la session. Plusieurs circuits virtuels peuvent être actifs simultanément. La microsegmentation améliore l’utilisation de la bande passante en réduisant les collisions et en autorisant les connexions simultanées. Les commutateurs peuvent prendre en charge la commutation symétrique ou asymétrique. Les commutateurs dont les ports présentent tous des vitesses identiques sont considérés comme symétriques. Sur de nombreux commutateurs en revanche, les ports offrent des vitesses variées. Ces ports uplink ou ports à haut débit, se connectent à des zones dans lesquelles la demande de bande passante est supérieure. Il s’agit en général des zones suivantes : connexions à d’autres
commutateurs ; Les connexions entre des ports dont les vitesses sont différentes utilisent la commutation asymétrique. Si nécessaire, un commutateur stocke des informations en mémoire pour fournir un tampon entre des ports de vitesses différentes. Les commutateurs asymétriques sont très répandus dans l’environnement d’entreprise. commutations
multicouche Couche 2 Les commutateurs de la couche 2 sont basés sur le matériel. Ils transfèrent du trafic aux vitesses du câble, en utilisant les circuits internes qui raccordent physiquement chaque port entrant à tous les autres ports. Le processus de transfert utilise l’adresse MAC et l’adresse MAC de destination présente dans la table MAC. Un commutateur de couche 2 limite le transfert de trafic à un segment du réseau ou à un sous-réseau unique. Couche 3 Les routeurs sont basés sur le logiciel et utilisent des microprocesseurs pour exécuter le routage basé sur des adresses IP. Le routage de couche 3 permet de transférer le trafic entre différents réseaux et sous-réseaux. Lorsqu’un paquet arrive dans une interface de routeur, le routeur utilise un logiciel pour déterminer l’adresse IP de destination et sélectionner le meilleur chemin vers le réseau de destination. Le routeur transmet ensuite le paquet à l’interface de sortie appropriée. La commutation de couche 3, ou commutation multicouche, combine sur un même périphérique la commutation basée sur le matériel et le routage basé sur le matériel. Un commutateur multicouche combine les fonctionnalités d’un commutateur de couche 2 et d’un routeur de couche 3. La commutation de couche 3 se produit sur un matériel spécial à circuit intégré à application spécifique (CIAS). Les fonctions de transfert de trames et de paquets utilisent le même circuit CIAS. Souvent, les commutateurs multicouches enregistrent, ou mettent en cache, des informations de routage source et de destination provenant du premier paquet d’une conversation. Les paquets suivants n’ont pas besoin d’exécuter une recherche de routage, car les
informations de routage se trouvent déjà dans la mémoire. Cette fonctionnalité de mise en cache optimise les performances de ces périphériques. Stockage et retransmission (Store and Forward) Avec ce type de commutation, la totalité de la trame est lue et stockée en mémoire avant d’être envoyée vers le périphérique de destination. Le commutateur vérifie l’intégrité des octets de la trame en recalculant la valeur du contrôle par redondance cyclique (CRC). Si cette valeur correspond à la valeur du champ CRC de la trame, le commutateur transfère la trame vers le port de destination. Si la valeur est différente, la trame n’est pas transférée. La valeur CRC est spécifiée dans le champ séquence de contrôle de trame d’une trame Ethernet. Même si cette méthode évite que des trames endommagées ne soient transmises vers d’autres segments du réseau, elle présente la quantité de latence la plus importante. C’est pourquoi la méthode Stockage et retransmission (Store and Forward) est dans la plupart des cas utilisée uniquement dans des environnements propices aux erreurs, par exemple ceux qui présentent une forte probabilité de perturbation électromagnétique. Commutation « Cut-through » L’autre méthode principale de commutation est le mode Cut-through. Cette technique est subdivisée en deux autres modes : Fast-Forward et Fragment-Free. Avec ces deux méthodes, le commutateur transfère la trame avant qu’elle n’ait été reçue dans sa totalité. Étant donné que la valeur CRC n’est ni calculée ni vérifiée par le commutateur, il est possible que des trames endommagées soient transférées. Le mode Fast-Forward est la méthode de commutation la plus rapide. Le commutateur transfère les trames à partir du port de destination, dès que l’adresse MAC de destination a été lue. Cette méthode présente la latence la plus faible mais transfère également des fragments de collision et des fragments endommagés. Les performances de ce type de commutation sont optimales dans un réseau stable présentant peu d’erreurs. Dans une commutation Fragment-Free, le commutateur lit les 64 premiers octets de la trame avant de commencer le transfert à partir du port de destination. La trame Ethernet valide la plus courte fait 64 octets. Les trames plus petites résultent généralement d’une collision et sont appelées trames tronquées. En vérifiant les 64 premiers octets de la trame, le commutateur s’assure de ne transférer aucun fragment de collision. Le mode Store and Forward présente la latence la plus élevée et le mode Fast-Forward, la latence la plus basse. Le mode Fragment-Free présente une latence intermédiaire. Les performances de cette méthode de commutation sont optimales dans un environnement où les collisions sont nombreuses. Dans un réseau commuté correctement construit, les collisions ne posent pas de problème, c’est pourquoi la commutation Fast-Forward reste la méthode préférée. Actuellement, la plupart des commutateurs de réseau local Cisco utilisent la méthode de commutation Store and Forward. En effet, grâce aux technologies actuelles et à l’accélération des temps de traitement, les commutateurs peuvent stocker et traiter les trames presque aussi rapidement que la commutation Cut-through, sans le problème des erreurs. De plus, de nombreuses fonctionnalités améliorées, telles que la commutation multicouche, exigent le recours à la méthode Store and Forward. Des commutateurs de couche 2 et 3 récents peuvent également adapter leur méthode de commutation en fonction des conditions du réseau. Ces commutateurs commencent par transférer du trafic via la méthode Fast-Forward afin d’obtenir la latence la plus basse possible. Même si le commutateur ignore les erreurs avant de transférer la trame, il détecte les erreurs et stocke un compteur d’erreurs en mémoire. Il compare le nombre d’erreurs repérées par rapport à une valeur de seuil prédéfinie. Si le nombre d’erreurs dépasse la valeur de seuil, le commutateur a transféré un nombre inacceptable d’erreurs. Le cas échéant, il modifie sa configuration pour passer en mode Store and Forward. Si le nombre d’erreurs redescend en dessous du seuil, le commutateur repasse en mode Fast-Forward. On parle de commutation en mode Cut-through adaptatif. securité des commutateurs Pour garantir que seules les personnes autorisées accèdent aux périphériques, vous devez implémenter les mesures de sécurité de base suivantes sur les commutateurs : sécuriser physiquement le périphérique ; Les entreprises actuelles reposent de plus en plus sur leur réseau pour mener à bien leurs activités quotidiennes. Pour de nombreuses organisations, le réseau fait office de « fil rouge ». Le temps d’arrêt du réseau se traduit parfois par des pertes catastrophiques en termes d’activités et de revenus, et peut même saper la confiance des clients. Une panne sur une liaison unique du réseau, un périphérique spécifique ou un port critique sur un commutateur peut interrompre le fonctionnement du réseau. Afin de maintenir un niveau élevé de fiabilité et d’éliminer tous les points d’échec, la redondance est requise dans la conception d’un réseau. La redondance s’obtient en installant des équipements et des liaisons de réseau en double dans les zones critiques. La mise en place d’une redondance complète de tous les périphériques et liaisons d’un réseau peut parfois s’avérer très coûteuse. Les ingénieurs réseau sont souvent obligés de trouver un compromis entre le coût de la redondance et le besoin de disponibilité du réseau. Le temps d’arrêt du réseau peut parfois se traduire par des pertes en termes d’activités et de revenus, et peut même saper la confiance des clients. La redondance désigne la présence de deux voies d’accès différentes vers une destination spécifique. Les situations qui suivent sont des exemples de redondance dans des environnements non tributaires d’un réseau : deux routes dans une ville, deux ponts enjambant une rivière ou deux portes de sortie d’un bâtiment. Si une voie est bloquée, l’autre est toujours disponible. Pour obtenir une redondance de commutateurs, il suffit de les connecter au moyen de liaisons multiples. Les liaisons redondantes d’un réseau commuté réduisent l’encombrement, et garantissent une disponibilité élevée et l’équilibrage de charge. Le raccordement de commutateurs entre eux peut cependant poser des problèmes. Par exemple, la nature de diffusion du trafic Ethernet crée des boucles de commutation. Les trames de diffusion circulent dans toutes les directions, provoquant ainsi une tempête de diffusion. Les tempêtes de diffusion utilisent toute la bande passante disponible et peuvent empêcher l’établissement de connexions réseau ou entraîner l’interruption de connexions réseau existantes. Les tempêtes de diffusion ne sont pas le seul problème dû à la présence de liaisons redondantes dans un réseau commuté. Les trames de monodiffusion sont parfois à l’origine de problèmes, tels que la transmission de trames multiples et l’instabilité de la base de données MAC. Transmissions de trames multiples Si un hôte envoie une trame de monodiffusion vers un hôte de destination et que l’adresse MAC de destination n’est incluse dans aucune des tables MAC des commutateurs connectés, la trame inonde tous les ports de chaque commutateur. Dans un réseau en boucle, la trame peut être renvoyée au commutateur initial. Le processus est répété, créant ainsi des copies multiples de la trame sur le réseau. Enfin, l’hôte de destination reçoit plusieurs copies de la trame, ce qui provoque trois problèmes : consommation inutile de la bande passante et du temps processeur, et duplication éventuelle du trafic de transaction. Instabilité de la base de données MAC Il est possible pour les commutateurs d’un réseau redondant d’apprendre des informations erronées sur l’emplacement d’un hôte. En présence d’une boucle, un commutateur peut associer l’adresse MAC de destination à deux ports distincts, ce qui peut rendre le transfert de trames confus et inefficace. Les tempêtes de diffusion ne sont pas le seul problème dû à la présence de liaisons redondantes dans un réseau commuté. Les trames de monodiffusion sont parfois à l’origine de problèmes, tels que la transmission de trames multiples et l’instabilité de la base de données MAC. Transmissions de trames multiples Si un hôte envoie une trame de monodiffusion vers un hôte de destination et que l’adresse MAC de destination n’est incluse dans aucune des tables MAC des commutateurs connectés, la trame inonde tous les ports de chaque commutateur. Dans un réseau en boucle, la trame peut être renvoyée au commutateur initial. Le processus est répété, créant ainsi des copies multiples de la trame sur le réseau. Enfin, l’hôte de destination reçoit plusieurs copies de la trame, ce qui provoque trois problèmes : consommation inutile de la bande passante et du temps processeur, et duplication éventuelle du trafic de transaction. Instabilité de la base de données MAC Il est possible pour les commutateurs d’un réseau redondant d’apprendre des informations erronées sur l’emplacement d’un hôte. En présence d’une boucle, un commutateur peut associer l’adresse MAC de destination à deux ports distincts, ce qui peut rendre le transfert de trames confus et inefficace. protocole stp Le protocole STP (Spanning Tree Protocol) fournit un mécanisme permettant de désactiver des liaisons redondantes sur un réseau commuté. Il offre en effet la redondance requise pour assurer la fiabilité du réseau, sans créer de boucles de commutation. STP est un protocole standard ouvert, utilisé dans un environnement commuté pour créer une topologie logique sans boucle. Ce protocole est relativement autonome et requiert une configuration limitée. Lorsque le protocole STP est activé, à la première mise sous tension des commutateurs, ces derniers vérifient si le réseau commuté ne présente pas de boucles. S’ils détectent une boucle potentielle, les commutateurs bloquent certains ports de connexion et laissent d’autres ports actifs pour assurer le transfert des trames. Le protocole STP définit une arborescence qui s’étend sur tous les commutateurs dans un réseau commuté en étoile étendue. Les commutateurs vérifient constamment que le réseau ne présente aucune boucle et que tous les ports fonctionnent correctement. Pour empêcher les boucles de commutation, le protocole STP effectue les opérations suivantes : force certaines interfaces à passer en état de veille ou de blocage ; Dans la terminologie STP, le terme « pont » est souvent utilisé pour désigner un commutateur. Par exemple, le pont racine est le commutateur principal et le point central de la topologie STP. Le pont racine communique avec les autres commutateurs à l’aide d’unités BPDU (Bridge Protocol Data Unit). Les BPDU sont des trames qui envoient une multidiffusion à tous les autres commutateurs, toutes les 2 secondes. Elles contiennent les informations suivantes : identité du commutateur source ; Dès qu’un commutateur est mis sous tension, chaque port passe successivement par les quatre états suivants : blocage, écoute, apprentissage et transmission. Un cinquième état, désactivé, indique que l’administrateur a éteint le port du commutateur. Au cours de ce cycle, les LED du commutateur passent successivement du mode orange clignotant au mode vert continu. Le cycle complet sur le port peut durer jusqu’à 50 secondes, au terme duquel le port est prêt à transférer des trames. Lorsqu’un commutateur est mis sous tension, il adopte d’abord l’état de blocage afin d’empêcher immédiatement la formation d’une boucle. Il passe ensuite en mode d’écoute, afin de recevoir des BPDU provenant de commutateurs voisins. Après avoir traité ces informations, le commutateur détermine quels ports peuvent transférer des trames sans créer de boucle. Si un port peut transférer des trames, il passe en mode d’apprentissage, puis en mode de transmission. Les ports d’accès ne créent pas de boucles dans un réseau commuté et passent toujours en mode de transmission si un hôte est relié à ces ports. Les ports agrégés peuvent éventuellement
créer un réseau en boucle et passer en mode de transmission ou de blocage. Chaque réseau comporte un seul pont racine, qui est choisi en fonction de l’ID de pont (BID). La valeur de priorité du pont à laquelle est ajoutée l’adresse MAC constitue le BID. La valeur par défaut de la priorité du pont est 32 768. Si l’adresse MAC d’un commutateur est AA-11-BB-22-CC-33, le BID de ce commutateur sera : 32768: AA-11-BB-22-CC-33. Le pont racine est basé sur la valeur de BID la plus petite. Étant donné que les commutateurs utilisent généralement la même valeur de priorité par défaut, le commutateur présentant la plus petite adresse MAC devient le pont racine. Lorsqu’un commutateur est activé, il pense être le pont racine et par conséquent, envoie des BPDU comprenant son BID. Par exemple, si S2 annonce un ID racine inférieur à S1, S1 cesse d’annoncer son ID racine et accepte l’ID racine de S2. S2 devient alors le pont racine. Le protocole STP désigne trois types de ports : les ports racine, les ports désignés et les ports bloqués. Port racine Le port qui fournit le chemin au coût le plus bas vers le pont racine devient le port racine. Pour calculer le chemin au coût le plus bas, les commutateurs prennent en compte le coût de la bande passante de chaque liaison requise pour atteindre le pont racine. Port désigné Un port désigné transfère du trafic vers le pont racine sans se connecter au chemin au coût le plus bas. Port bloqué Un port bloqué ne transfère pas de trafic. Avant de configurer le protocole STP, le technicien réseau doit planifier et évaluer le réseau afin de désigner le meilleur commutateur comme racine du Spanning Tree. Si le commutateur racine est celui qui présente l’adresse MAC la plus petite, le transfert ne sera peut-être pas optimal. Idéalement, le pont racine doit être un commutateur situé à un point central. Avec un port bloqué situé à l’extrême périphérie du réseau, le trafic empruntera un chemin plus long pour atteindre la destination que si le commutateur était central. Pour spécifier le pont racine, la priorité du BID du commutateur désigné est configurée sur la valeur la plus petite qui soit. La commande de priorité de pont est utilisée pour configurer la priorité de pont. La plage de priorité s’étend de 0 à 65 535, par incréments de 4 096. La valeur par défaut est 32 768. Pour définir la priorité : S3(config)#bridge priority 4096 Pour restaurer la priorité par défaut : S3(config)#no bridge priority Après avoir établi le pont racine, les ports racine, les ports désignés et les ports bloqués, le protocole STP envoie des BPDU via le réseau commuté, toutes les 2 secondes. Il continue d’écouter ces BPDU afin de s’assurer qu’aucune liaison n’est interrompue et qu’aucune boucle ne se forme. En cas d’interruption de liaison, le protocole STP effectue le recalcul de la façon suivante : en transformant certains ports bloqué en ports de transmission ; Le protocole STP n’est pas instantané. Lorsqu’une liaison est rompue, le protocole STP détecte la panne et recalcule les meilleurs chemins sur tout le réseau. Ce calcul ainsi que la période de transition dure entre 30 à 50 secondes pour chaque commutateur. Au cours du recalcul, aucune donnée d’utilisateur ne transite dans les ports de recalcul. Certaines applications d’utilisateur s’éteignent lors de la période de recalcul, ce qui peut entraîner une perte de productivité et de revenus. Des recalculs fréquents de protocole STP ont un impact négatif sur le temps de fonctionnement. Après avoir établi le pont racine, les ports racine, les ports désignés et les ports bloqués, le protocole STP envoie des BPDU via le réseau commuté, toutes les 2 secondes. Il continue d’écouter ces BPDU afin de s’assurer qu’aucune liaison n’est interrompue et qu’aucune boucle ne se forme. En cas d’interruption de liaison, le protocole STP effectue le recalcul de la façon suivante : en transformant certains ports bloqué en ports de transmission ; Le protocole STP n’est pas instantané. Lorsqu’une liaison est rompue, le protocole STP détecte la panne et recalcule les meilleurs chemins sur tout le réseau. Ce calcul ainsi que la période de transition dure entre 30 à 50 secondes pour chaque commutateur. Au cours du recalcul, aucune donnée d’utilisateur ne transite dans les ports de recalcul. Certaines
applications d’utilisateur s’éteignent lors de la période de recalcul, ce qui peut entraîner une perte de productivité et de revenus. Des recalculs fréquents de protocole STP ont un impact négatif sur le temps de fonctionnement. Mode rapide Le mode rapide STP (« PortFast ») entraîne le passage immédiat d’un port d’accès en mode de transmission, sans passer auparavant par les états d’écoute et d’apprentissage. L’utilisation du mode rapide sur des ports d’accès connectés à une station de travail ou un serveur unique permet à ces périphériques de se connecter immédiatement au réseau, sans attendre la convergence du protocole STP. Liaison montante rapide Le mode liaison montante rapide STP (« UplinkFast ») STP accélère la désignation d’un nouveau port racine lorsqu’une liaison ou un commutateur tombe en panne ou lorsque le STP est automatiquement reconfiguré. Le port racine passe immédiatement à l’état de transmission sans adopter les états d’écoute et d’apprentissage, comme cela serait le cas lors de procédures STP normales. Réseau fédérateur rapide Le mode réseau fédérateur rapide (« BackboneFast ») fournit une convergence rapide après qu’un changement s’est produit sur la topologie du Spanning Tree. Il permet de restaurer rapidement la connectivité du réseau fédérateur. Ce mode est utilisé sur les couches de distribution et cœur de réseau, où se connectent de multiples commutateurs. Port Fast, UplinkFast et BackboneFast sont des technologies propriétaires de Cisco et ne peuvent donc pas être utilisées si le réseau intègre des commutateurs de fournisseurs tiers. Par ailleurs, toutes ces fonctionnalités requièrent une configuration spécifique. Le protocole Spanning Tree rapide (RSTP), défini dans la norme IEEE 802.1w, augmente sensiblement les vitesses de recalcul du Spanning Tree. Contrairement aux technologies Port Fast, UplinkFast et BackboneFast, le protocole RSTP n’est pas propriétaire. Le protocole RSTP requiert une connexion en mode bidirectionnel simultané et point à point entre les commutateurs pour obtenir des vitesses de reconfiguration optimales. La reconfiguration du Spanning Tree par le protocole RSTP prend moins d’1 seconde (comparativement aux 50 secondes nécessaires dans STP). Le protocole RSTP élimine la nécessité d’utiliser des technologies telles que Port Fast et UplinkFast. Il est possible de revenir au protocole RSTP pour garantir des services pour les équipements traditionnels. Pour accélérer la vitesse de recalcul, le protocole RSTP limite à trois le nombre d’états des ports : élimination, apprentissage et transmission. L’état élimination est équivalent à trois des états STP d’origine : blocage, écoute et désactivé. Le
protocole RSTP introduit également le concept de topologie active. Tous les ports qui ne sont pas abandonnés, ou bloqués, sont considérés comme des éléments de la topologie active et passent immédiatement en mode de transmission. Les hôtes et serveurs connectés à des commutateurs de la couche 2 font partie du même segment de réseau. Cette configuration présente deux problèmes considérables : Sous l’impulsion des commutateurs, des
diffusions inondent tous les ports, ce qui consomme de la bande passante de façon inutile. Plus le nombre de périphériques connectés à un commutateur est important, plus le trafic de diffusion généré est volumineux et plus la quantité de bande passante gaspillée augmente. Une méthode recommandée de conception de réseau consiste à contenir le trafic de diffusion dans la zone du réseau sur laquelle il est requis. Des conditions particulières au sein de l’entreprise peuvent expliquer pourquoi certains hôtes peuvent communiquer entre eux, et d’autres non. Ainsi, les membres du service de comptabilité peuvent être les seuls utilisateurs qui ont accès au serveur de comptabilité. Dans un réseau commuté, les réseaux locaux virtuels (VLAN) sont créés pour contenir des diffusions et rassembler des hôtes au sein de communautés d’intérêt. Un
réseau local virtuel est un domaine de diffusion logique qui peut s’étendre sur plusieurs segments de réseau local physique. Il permet à un administrateur de regrouper des stations par fonction logique, par équipe de projet ou par application, quel que soit l’emplacement physique des utilisateurs. Les étudiants d’un établissement sont répartis dans deux groupes. Tous les étudiants du premier groupe reçoivent une carte rouge qui les identifie. Les étudiants du second groupe reçoivent quant à eux une carte bleue. Le principal de l’établissement annonce que les étudiants munis de cartes rouges peuvent parler uniquement aux étudiants du même groupe, et il en est de même pour les étudiants munis de cartes bleues. Les étudiants sont à présent séparés logiquement en deux groupes virtuels, ou réseaux locaux virtuels. En raison de ce regroupement logique, une diffusion est transmise uniquement au groupe de cartes rouges, même si les deux groupes se trouvent physiquement dans le même établissement. Cet exemple illustre également une autre caractéristique des réseaux locaux virtuels : les diffusions ne sont pas transmises entre différents réseaux locaux virtuels, elles sont contenues dans les réseaux locaux virtuels. Un réseau local virtuel présente deux fonctions principales : Il permet de contenir les diffusions. Le trafic requiert un périphérique de couche 3 pour se déplacer entre réseaux locaux virtuels. Dans un réseau commuté, un périphérique peut être affecté à un réseau local virtuel en fonction de son emplacement, de son adresse MAC, de son adresse IP ou des applications qu’il utilise le plus fréquemment. Dans un réseau local virtuel, l’appartenance est affectée de façon statique ou dynamique par les administrateurs. L’appartenance statique à un réseau local virtuel nécessite qu’un administrateur affecte manuellement chaque port de commutateur à un réseau local virtuel spécifique. Ainsi, le port fa0/3 peut être affecté à VLAN 20. Tous les périphériques qui sont branchés au port fa0/3 deviennent automatiquement membres de VLAN 20. Ce type d’appartenance à un réseau local virtuel est le plus simple à configurer et également le plus répandu, mais il est également le plus exigeant en termes d’administration pour gérer les ajouts, les déplacements et les modifications. Par exemple, pour déplacer un hôte d’un réseau local virtuel vers un autre, il est nécessaire de reconfigurer manuellement le port de commutateur sur le nouveau réseau local virtuel ou de brancher le câble de station de travail sur un autre port de commutation au sein du nouveau réseau local virtuel. L’appartenance à un réseau local virtuel spécifique est totalement invisible pour les utilisateurs. Les utilisateurs travaillant sur un périphérique connecté à un port de commutateur ne savent pas qu’ils sont membres d’un réseau local virtuel. L’appartenance dynamique à un réseau local virtuel requiert davantage d’organisation et de configuration, mais crée une structure beaucoup plus flexible que l’appartenance statique à un réseau local virtuel. Dans un réseau local virtuel dynamique, les déplacements, ajouts et modifications sont automatisés, et ne requièrent aucune intervention de l’administrateur. Remarque : tous les commutateurs Catalyst ne prennent pas en charge le VMPS. Un administrateur utilisera l’adresse IP du réseau local virtuel de gestion pour configurer le commutateur à distance. Lorsqu’il accède à distance au commutateur, l’administrateur réseau peut configurer et gérer toutes les configurations de réseaux locaux virtuels. Par ailleurs, le réseau local virtuel de gestion est utilisé pour échanger des informations, tel que le trafic CDP (Cisco Discovery Protocol) et le trafic VTP (VLAN Trunking Protocol), avec d’autres périphériques réseau. Lorsqu’un réseau local virtuel est créé, un numéro et un nom lui sont affectés. Le numéro de réseau local virtuel correspond à un nombre compris dans la plage disponible sur le commutateur, sauf pour VLAN1. Certains commutateurs prennent en charge environ 1 000 réseaux locaux virtuels, d’autres plus de 4 000. L’attribution
d’un nom à un réseau local virtuel est une méthode recommandée de gestion de réseau. Les périphériques connectés à un réseau local virtuel communiquent uniquement avec d’autres périphériques situés dans le même réseau local virtuel, qu’ils se trouvent sur le même commutateur ou sur des commutateurs différents. Un commutateur associe chaque port à un numéro de réseau local virtuel spécifique. Lorsque la trame arrive sur ce port, le
commutateur insère l’ID de réseau local virtuel (VID) dans la trame Ethernet. L’ajout du numéro d’ID de réseau local virtuel à la trame Ethernet est appelé étiquetage de trames. La norme d’étiquetage de trames la plus couramment utilisée est IEEE 802.1q. Les trames Ethernet ont une taille minimale de 64 octets et une taille maximale de 1 518 octets. Cependant, une trame Ethernet étiquetée peut faire jusqu’à 1 522 octets. Les trames contiennent les champs suivants : adresse MAC source et de destination ; Le champ FCS permet de contrôler les erreurs afin de vérifier l’intégrité de tous les octets de la trame. Le champ d’étiquette augmente la valeur minimale de la trame Ethernet qui passe de 64 à 68 octets. La taille maximale passe de 1 518 à 1 522 octets. Le commutateur recalcule la valeur FCS, car le nombre d’octets de la trame a changé. Si un port conforme à la norme 802.1Q est connecté à un autre port 802.1Q, les informations d’étiquetage de réseau local virtuel sont transmises d’un port à l’autre. Si le port de connexion n’est pas conforme à la norme 802.1Q, l’étiquette de réseau local virtuel est supprimée avant que la trame ne soit placée sur le support. Les périphériques présentant des ports non conformes à la norme 802.1Q considèrent que les trames Ethernet étiquetées sont trop longues. Ils ignorent la trame et consignent une erreur, également appelée baby giant. ports agreges limiter la taille des domaines de diffusion ; Pour tirer le meilleur parti des réseaux locaux virtuels, ils sont étendus sur de multiples commutateurs. Les ports de commutateur peuvent être configurés pour jouer deux rôles différents. Un port est classé comme port d’accès ou comme port agrégé. Port d’accès Un port d’accès appartient à un seul réseau local virtuel. En général, des périphériques uniques tels que des PC ou des serveurs se connectent à ce type de port. Si un concentrateur connecte plusieurs PC à un port d’accès unique, chaque périphérique connecté au concentrateur est un membre du même réseau local virtuel. Port agrégé Un port agrégé est une liaison point à point entre le commutateur et un autre périphérique réseau. Les agrégations transportent le trafic provenant de plusieurs réseaux locaux virtuels via une liaison unique et permettent à chaque réseau local virtuel d’atteindre l’intégralité d’un réseau. Les ports agrégés sont
nécessaires à l’acheminement entre des périphériques de trafic provenant de plusieurs réseaux locaux virtuels, lors de la connexion de deux commutateurs, d’un commutateur et d’un routeur, ou d’une carte réseau hôte prenant en charge l’agrégation 802.1Q. Lorsque plusieurs réseaux locaux virtuels utilisent la même liaison, ils requièrent une identification de réseau local virtuel. Un port agrégé prend en charge l’étiquetage de trames, procédure qui ajoute des informations de réseau local virtuel à la trame. La norme IEEE 802.1Q est la méthode
normalisée et approuvée d’étiquetage de trames. Cisco a développé un protocole propriétaire d’étiquetage de trames appelé Inter-Switch Link (ISL). Les commutateurs haut de gamme tels que la gamme Catalyst 6500, continuent à prendre en charge les deux protocoles d’étiquetage de trames. Cependant, la majorité des commutateurs de réseau local, tels que le modèle 2960, acceptent uniquement la norme 802.1Q. Switch(config)#interface fa(n° contrôleur / n° port) Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate} Les commutateurs prenant en charge les protocoles 802.1Q et ISL requièrent la dernière instruction de configuration. Cette instruction n’est pas requise par le modèle 2960, car il n’accepte que la norme 802.1Q. Le paramètre de négociation est le mode par défaut sur de nombreux commutateurs Cisco. Il détecte automatiquement le type d’encapsulation du commutateur voisin. Les commutateurs récents peuvent détecter le type de liaison configurée à l’autre extrémité. En fonction du périphérique connecté, la liaison est automatiquement configurée en tant que port agrégé ou port d’accès. Switch(config-if)#switchport mode dynamic {desirable | auto} En mode desirable, le port devient un port agrégé si l’autre extrémité est définie sur le mode trunk, desirable ou auto. En mode auto, le port devient un port agrégé si l’autre extrémité est définie sur trunk ou desirable. Si vous souhaitez qu’un port agrégé redevienne un port d’accès, émettez l’une des commandes suivantes : Switch(config)#interface fa(n° contrôleur / n° port) Switch(config-if)#no switchport mode trunk ou Switch(config-if)#switchport mode access L’agrégation permet aux réseaux locaux virtuels de transférer du trafic entre des commutateurs, à l’aide d’un port unique. Une liaison agrégée dont les deux extrémités sont conformes à la norme 802.1Q autorise le trafic présentant une trame à laquelle un champ d’étiquette 4 octets a été ajouté. Cette étiquette de trame comprend l’ID de réseau local virtuel. Lorsqu’un commutateur reçoit une trame étiquetée sur un port agrégé, il supprime l’étiquette avant d’envoyer la trame vers un port d’accès. Le commutateur transfère la trame uniquement si le port d’accès est un membre du même réseau local virtuel que la trame étiquetée. Cependant, certains types de trafic doivent traverser la liaison 802.1Q dénuée d’ID de réseau local virtuel. Le trafic qui ne présente pas cet ID est dit non étiqueté. Le protocole CDP (Cisco Discovery Protocol), le protocole VTP et certains types de trafic vocal sont des exemples de trafic non étiqueté. Ce type de
trafic réduit le délai associé à l’inspection de l’étiquette d’ID de réseau local virtuel. Tous les réseaux locaux virtuels peuvent être configurés en tant que réseau local virtuel natif. Assurez-vous que le réseau local virtuel natif pour une agrégation 802.1Q est le même aux deux extrémités de la ligne agrégée. Si ce n’est pas le cas, des boucles Spanning Tree peuvent se former. Sur une agrégation 802.1Q, utilisez les commandes suivantes pour affecter l’ID de réseau local virtuel natif sur une interface physique : Switch(config-if)#dot1q native vlan id-vlan Même si les réseaux locaux virtuels s’étendent sur plusieurs commutateurs, seuls des membres du même réseau local virtuel peuvent communiquer entre eux. Un périphérique de couche 3 fournit une connectivité entre différents réseaux locaux virtuels. Cette configuration permet à l’administrateur réseau de contrôler de façon stricte le type de trafic qui circule d’un réseau local virtuel à un autre. Il est possible pour effectuer un routage entre des réseaux locaux virtuels d’utiliser une
connexion d’interface distincte vers le périphérique de couche 3 sur chaque réseau local virtuel. Pour utiliser des sous-interfaces afin de prendre en charge les communications entre réseaux locaux virtuels (inter-VLAN), il est nécessaire de configurer le commutateur et le routeur. Commutateur Routeur Une sous-interface permet à chaque réseau local virtuel de posséder sa propre voie d’accès logique et sa passerelle par défaut dans le routeur. L’hôte du réseau local virtuel expéditeur transfère le trafic vers le routeur à l’aide de la passerelle par défaut. La sous-interface du réseau local virtuel spécifie la passerelle par défaut pour tous les hôtes de ce réseau local virtuel. Le routeur localise l’adresse IP de destination et effectue un processus de recherche de la table de routage. Si le réseau local virtuel de destination se trouve sur le même commutateur que le réseau local virtuel source, le routeur réachemine le trafic vers le commutateur source en utilisant les paramètres de sous-interface de l’ID de réseau local virtuel de destination. Ce type de configuration est souvent appelée router-on-a-stick. Si l’interface de sortie du routeur est compatible avec la norme 802.1Q, la trame conserve son étiquette de réseau local virtuel à 4 octets. Si l’interface de sortie n’est pas compatible avec la norme 802.1Q, le routeur supprime l’étiquette de
la trame et restaure le format d’origine Ethernet de la trame. Au fur et à mesure que les réseaux s’agrandissent et gagnent en complexité, il devient essentiel de centraliser la gestion de la structure des réseaux locaux virtuels. Le protocole VTP est un protocole de messagerie de couche 2 qui fournit une méthode de distribution et de gestion de la base de données de réseau local virtuel à partir d’un serveur centralisé dans un segment de réseau. Les routeurs ne transmettent pas les mises à jour VTP. Si un réseau d’entreprise comportant des centaines de réseaux locaux virtuels n’est pas géré automatiquement, chaque réseau local virtuel doit être configuré manuellement sur chaque commutateur. Toute modification apportée à la structure de réseau local virtuel requiert une configuration manuelle supplémentaire. Si un nombre n’est pas tapé correctement, des incohérences de connectivité peuvent se produire sur l’ensemble du réseau. Pour
résoudre ce problème, Cisco a créé le protocole VTP qui permet d’automatiser de nombreuses fonctions de configuration des réseaux locaux virtuels. Ce protocole garantit que la configuration est gérée de manière cohérente sur tout le réseau, et il réduit la tâche de gestion et de surveillance des réseaux locaux virtuels. Le protocole VTP présente deux versions différentes : la version 1 et la version 2. La version 1 est la version par défaut et elle n’est pas compatible avec la version 2. Tous les commutateurs doivent être configurés avec la même version. VTP présente trois modes : serveur,
client et transparent. Par défaut, tous les commutateurs sont des serveurs. Il est recommandé d’avoir au moins deux commutateurs configurés en tant que serveurs sur un réseau, afin de fournir des capacités de sauvegarde et de redondance. Chaque commutateur VTP enregistre une base de données de réseau local virtuel dans la mémoire vive non volatile qui comprend un numéro de version. Si un protocole VTP reçoit un message de mise à jour dont le numéro de révision est supérieur à celui stocké dans la base de données, le commutateur met à jour sa base de données de réseau local virtuel avec ces nouvelles informations. Le numéro de révision de la configuration VTP commence à zéro. À chaque changement effectué, ce numéro augmente d’un chiffre. Le numéro de révision continue d’augmenter jusqu’à 2 147 483 648. Une fois ce numéro atteint, le compteur est remis à zéro. Le redémarrage du commutateur réinitialise également le numéro de révision. Si un individu insère dans le réseau un commutateur présentant un numéro de révision plus élevé sans auparavant redémarrer le commutateur, un problème se produira avec le numéro de révision. Les commutateurs étant par défaut des serveurs, des informations nouvelles, mais erronées, écrasent les informations de réseau privé virtuel légitimes sur tous les autres commutateurs. Pour se protéger de cette situation critique, il suffit de configurer un mot de passe VTP pour valider le commutateur. Lors de l’ajout d’un nouveau commutateur sur un réseau existant, veillez à toujours redémarrer le
commutateur immédiatement avant de l’ajouter au réseau, afin de réinitialiser le numéro de révision. Par ailleurs, si vous ajoutez un commutateur à un réseau qui comporte déjà un commutateur serveur, vérifiez que le nouveau commutateur est configuré en mode client ou transparent. Annonces de type résumé Les commutateurs Catalyst émettent des annonces de type résumé toutes les 5 minutes ou à chaque changement dans la base de données de réseau local virtuel. Les annonces de type résumé contiennent le nom de domaine VTP et le numéro de révision de la configuration. Si des réseaux locaux virtuels sont ajoutés, supprimés ou modifiés, le serveur augmente le numéro de version de la configuration et émet une annonce de type résumé. Lorsqu’un commutateur reçoit un paquet d’annonces de type résumé, il compare le nom de domaine VTP à son propre nom de domaine VTP. Si ces noms sont identiques, le commutateur compare le numéro de révision de la configuration à son propre numéro. S’il est inférieur ou égal, le commutateur ignore le paquet. Si le numéro de révision est supérieur, une demande d’annonce est envoyée. Annonces de type sous-ensemble L’annonce de type sous-ensemble comprend les nouvelles informations de réseau local virtuel basées sur l’annonce de type résumé. Si plusieurs réseaux locaux virtuels sont présents, ils requièrent plusieurs annonces de type sous-ensemble. Requêtes d’annonces Des clients VTP utilisent des demandes d’annonces pour obtenir des informations de réseau local virtuel. Les requêtes d’annonces sont requises si le commutateur a été réinitialisé ou si le nom de domaine a été modifié. Le commutateur reçoit une annonce de type résumé VTP dont le numéro de révision de la configuration est supérieur au sien. vlan et telephonie ip et trafic sans fil L’objectif principal des réseaux privés virtuels est de séparer le trafic en groupes logiques. Le trafic provenant d’un réseau local virtuel n’a aucune incidence sur le trafic issu d’un autre réseau local virtuel. Un environnement de réseau local virtuel est idéal pour le trafic sensible aux délais, notamment les signaux vocaux. Le trafic vocal doit être prioritaire par rapport au trafic de données classiques, afin d’éviter les conversations saccadées ou instables. Lorsqu’un réseau local virtuel est dédié au trafic vocal, ce type de trafic n’est pas en concurrence avec des données en termes d’obtention de bande passante. Un téléphone IP comporte généralement deux ports, un pour la voix et l’autre pour les données. Les paquets circulant vers et depuis le PC et le téléphone IP partagent la même liaison physique
vers le commutateur et le même port de commutateur. Pour segmenter le trafic vocal, activez un réseau local virtuel vocal distinct sur le commutateur. La plupart des déploiements sans fil placent l’utilisateur dans un réseau local virtuel en dehors du pare-feu, pour une sécurité accrue. Les utilisateurs doivent s’authentifier pour pouvoir accéder au réseau interne à partir du réseau sans fil. En outre, de nombreuses organisations fournissent un accès « Invité » à leur réseau sans fil. Les comptes Invité offrent à toute personne, dans une portée limitée, des services sans fil temporaires tels que l’accès au Web, au courriel, ftp et SSH. Les comptes Invité sont inclus dans le réseau local virtuel sans fil ou résident dans leur propre réseau local virtuel. vlan: methode recommandée S’ils sont planifiés et conçus avec attention, les réseaux locaux virtuels fournissent un niveau de sécurité adéquat, préservent la bande passante et localisent le trafic sur un réseau d’entreprise. Toutes ces fonctionnalités sont combinées pour améliorer les performances réseau. Certaines méthodes recommandées pour la configuration de réseaux privés virtuels dans un réseau d’entreprise incluent : l’organisation de l’emplacement des serveurs ; Les réseaux locaux virtuels ne résolvent cependant pas tous les problèmes. Une mauvaise implémentation des réseaux locaux virtuels peut avoir pour effet de compliquer un réseau, ce qui entraîne une connectivité sporadique et ralentit les performances réseau. Les réseaux locaux virtuels isolent certains types de trafic pour des raisons de sécurité. Pour acheminer du trafic entre différents réseaux locaux virtuels, un périphérique de couche 3 est requis, ce qui augmente les coûts d’implémentation et accroît le niveau de latence dans le réseau. Cet article a été posté le Lundi 7 mai 2012 à 16 h 02 min et est classé dans Non classé. Vous pouvez suivre les réponses à cet article grâce à ce flux RSS 2.0. Vous pouvez laisser une réponse au bas de la page. Les pings ne sont pas autorisés pour l'instant. Quel type de VLAN est utilisé pour séparer le réseau en groupes d'utilisateurs ou d'appareils ?2. VLAN de données. Les VLAN de données sont des VLAN configurés pour séparer le trafic généré par l'utilisateur. Les VLAN de données sont utilisés pour diviser un réseau en groupes d'utilisateurs ou de périphériques.
Quel type de VLAN particulier permet à un administrateur d'accéder à un commutateur et de le configurer ?Un VLAN de gestion est tout VLAN configuré pour accéder aux capacités de gestion d'un commutateur. Une adresse IP et un masque de sous-réseau lui sont attribués, ce qui permet de gérer le commutateur via HTTP, Telnet, SSH ou SNMP.
Quel type de VLAN est initialement le VLAN de gestion ?Le VLAN 1 est le VLAN de gestion par défaut. Pour créer le VLAN de gestion, l'interface virtuelle du commutateur (SVI) de ce VLAN se voit attribuer une adresse IP et un masque de sous-réseau, ce qui permet de gérer le commutateur via HTTP, Telnet, SSH ou SNMP.
Qu'est1 QU'EST-CE QU'UNE ÉTIQUETTE ? On utilise des étiquettes VLAN pour indiquer l'appartenance à tel réseau VLAN d'une trame en circulation. Ces étiquettes sont fixées à la trame au moment où elle fait son entrée dans un port de commutateur appartenant à un réseau VLAN.
|