RE16 TD2fa

Universit de Technologie de Troyes
Travaux dirigs RE16 : scurisation des rseaux IP

__________________________________________________________________________________________
TD n2
Les rseaux locaux virtuels (VLAN)
Exercice 1 Utilit des VLANs

1.
2.
3.
4.
5.
6.
7.
8.
Rappelez pourquoi les VLANs sont utiles

Pourquoi sont-ils un lment important de la scurit dun rseau ?
Quels matriels sont mis contribution pour faire fonctionner un rseau de VLANs ?
Quels paramtres sont rgler sur une station de travail pour quelle puisse participer un
VLAN ?
Comment rendre possible la communication entre VLANs ?
Dans le cas o on attribue un sous-rseau IP par VLAN, cette technique ne devient-elle
pas quivalente la simple segmentation en sous-rseaux ?
Quels sont les protocoles mis en oeuvre pour faire fonctionner un rseau de VLANs ?
Pouvez-vous donnez des exemples des situations relles o lutilisation des VLANs est
indispensable ?
Exercice 2 Les diffrents types de VLANs

1. Rappelez quels sont les diffrents types de VLAN
2. Discutez des avantages de ces diffrentes techniques
3. Laquelle vous semble la plus intressante ?
Exercice 3 Fonctionnement des switchs
1. Combien y-a-t-il de tables dadresses MAC dans un switch ?
2. A quel VLAN appartient un port en mode trunk ?
3. Que se passe-t-il quand un switch reoit un broadcast de niveau 2 sur un port appartenant
un VLAN ?
plusieurs VLAN ?
5. Que se passe-t-il quand un switch reoit un broadcast de niveau 2 sur un port utilis en
mode trunk ?
un VLAN ?

__________________________________________________________________________________________
Exercice 4 Topologie
Vous disposez dun routeur avec deux ports srie et un port Ethernet. Vous devez le connecter
un lien WAN vers votre fournisseur daccs Internet et quatre VLANs internes.
1. Que devez-vous vrifier sur le routeur avant de faire quoi que ce soit dautre ?
2. Quel type de configuration allez-vous donner linterface Ethernet ?
3. Vous avez choisi le marquage des trames 802.1q. Il ny a aucune erreur dans la
configuration du routeur, tous les cordons de brassage sont correctement positionns, et
pourtant, rien ne marche. Quel est la cause probable de lerreur ?
Exercice 5 VLAN versus sous-rseaux
Routeu
SR 1 r SR 2
Routeu
SR 1 r SR 2
trunk
Switch
Switch
VLAN 1
SR 1
VLAN 2
SR 2
SR 1
SR 2
1. Comparez les deux architectures ci-dessus. Pourquoi nobtient-on pas le mme

fonctionnement ?
2. Laquelle des solutions vous semble la meilleure du point de vue de la scurit ?
Exercice 6 Configuration
Un switch a t configur comme il est montr dans la figure ci dessus. Lhte 1 est connect
au port 0/4 avec ladresse IP 192.168.1.22/28. Lhte 2 est connect au port 0/5 avec ladresse
IP 192.168.1.33/28. Lhte 3 est connect au port 0/6 avec ladresse IP 192.168.1.30/28.

__________________________________________________________________________________________
1. Lhte 1 peut-il faire un ping sur lhte 2 ?

Exercice 7 Topologie
1. Pourquoi les htes 1 et 2 ne peuvent-ils pas communiquer entre eux ?

Exercice 8 Configuration
Le routeur RA a t configur selon la figure ci dessus.

1. A quoi peut correspondre cette configuration (faites un schma) ?
2. Un paquet arrive sur linterface physique FastEthernet 0/1 du VLAN 10. Le paquet est
destination de ladresse 192.168.1.120. Que va faire le routeur avec ce paquet ?

__________________________________________________________________________________________
Rponses
Exercice 1 :
1. Ils permettent de saffranchir du lieu de connexion des postes, pour pouvoir les
grouper en domaines de broadcast selon leur fonction. Cela permet de concentrer les
communications lintrieur des VLANs.
2. La technique des VLANs est une technique de segmentation. Une fois spars en
groupes de travail, les ordinateurs se voient autoriss, par ladministrateur rseau,
uniquement les communications utiles au sens de la politique de scurit.
3. Switchs et routeurs
4. Aucun, les postes ne connaissent pas leur appartenace un VLAN.
5. En les interconnectant avec un routeur
6. Non :
dans le cas de lutilisation dun seul switch, on utilise les VLAN pour conomiser
des interfaces et des switchs :
Avec VLANs :
1 seule interface du routeur
1 seul switch
Sans VLAN :
2 interfaces du routeur
2 switchs
Routeu
SR 1 r SR 2
Routeu
SR 2
r
SR 1
trunk
Switch
VLAN 1
SR 1
VLAN 2
SR 2
Switch
Switch
SR 1
SR 2
dans le cas de machines disperses, on utilise plusieurs switchs, et lapport des

VLANs permet de saffranchir des contraintes de cblage
Avec VLANs :
Routeu
SR 1 r SR 2
trunk
Switch
VLAN 1
SR 1
VLAN 2
SR 2
trunk
Switch
VLAN 1
SR 1
VLAN 2
SR 2

__________________________________________________________________________________________
Sans VLAN :
SR 1
Routeu
r
SR 2
Switch
SR 1
Switch
SR 2
SR 1
SR 2
7. Protocoles dtiquetage des trames : ISL ou 802.1q (802.10 pour FDDI et LANE pour
ATM) puis ventuellement VTP pour propager les tables MAC/VLAN de switch en
switch
8. Exemples :
quand un domaine de broadcast est trop grand, il faut le segmenter, les VLANs
sont une bonne solution
dans le cas dutilisateurs identifis par leur adresse MAC, quel que soit lendroit
o ils se connectent physiquement sur le rseau
partout o le cblage doit rester fig alors que la fonction des postes peut changer
en fonction des lutilisateur qui on attribue ces postes
Exercice 2 :
Types de VLAN :
statiques ou VLAN par port : facile mettre en oeuvre, difficile maintenir, peu
scurisant, sauf si vos ordinateurs sont absolument inamovibles
dynamiques ou VLAN par adresse MAC : plus difficile mettre en route (tables
dadresses MAC construire), mais plus facile maintenir. Plus scurisant car les
machines peuvent bouger.
il existe des VLAN dynamiques par adresse IP, ou VLAN de niveau 3, ils sont peu
utiliss car peu scurisant puisque l@IP est facilement paramtrable sur un
ordinateur.
Ce sont les VLANs dynamiques par adresse MAC qui sont, de loin, les plus utiliss.
Exercice 3 :
1. Il y a une table MAC par VLAN
2. A aucun, ils sont utiles pour propager tous les VLAN entre deux switch ou entre
un switch et un routeur
3. Il renvoie la trame uniquement aux ports participants au mme VLAN (y compris les
ports trunk, aprs tiquetage)
4. Il renvoie la trame tous les ports participants chacun des VLANs concerns
5. Une trame de broadcast de niveau 2 provenant dun port trunk porte lidentification
dun seul VLAN. Aprs dtiquetage, la trame est retransmise vers tous les ports
participants ce VLAN (y compris les ports trunk, mais sans dtiquetage)

__________________________________________________________________________________________
6. Un broadcast IP est toujours contenu dans un broadcast MAC car :

dans un rseau IP, si on veut faire un broadcast IP, il faut que toutes les cartes
prennent la trame, donc il y a aussi broadcast MAC
vers un rseau IP, un routeur pourrait transmettre un broadcast IP l'interface
MAC du routeur qui sert le rseau. Cest une situation techniquement possible,
mais qui ne se rencontre pas en pratique car on sarrange toujours pour que les
routeurs ne transmettent pas les broadcast IP
Exercice 4 :
1. Il faut vrifier que le routeur dispose dune carte Fastethernet, sinon la dfinition de
sous-interfaces sera impossible. Il faut aussi que lIOS du routeur supporte les
fonctions attaches lutilisation des VLANs
2. Il faudra obligatoirement mettre l interface Ethernet en mode trunk
Exercice 5 :
Sans VLAN :
les trames de broadcast de niveau 2 sont visibles par toutes les machines, mme si
elles ne sont pas dans le mme rseau IP.
il suffit de changer d@IP pour changer de rseau, cest bien plus facile que de
changer d@MAC !
larchitecture nest pas propre, en ce sens que on ne sattend pas trouver des
rseaux diffrents interconnects par un switch !
Exercice 6 :
1 peut faire un ping sur 3 car ils sont dans le mme VLAN et dans le mme rseau
Exercice 7 :
Car ils ne sont pas dans le mme rseau
Exercice 8 :
Routeu
1r interface physique, mode trunk
dot1q (802.1q)
3 interfaces logiques
.49/27
VLAN 10
.65/27
VLAN 60
.193/27
VLAN 120
Le routeur routera le paquet vers la mme interface, mais avec ltiquette du VLAN 120,
condition quil satisfasse lACL !

RE16 TD2fa

Transféré par

Droits d'auteur :

Formats disponibles

RE16 TD2fa

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RE16 TD2fa

Transféré par

Droits d'auteur :

Formats disponibles

Universit de Technologie de Troyes

Travaux dirigs RE16 : scurisation des rseaux IP

Exercice 1 Utilit des VLANs

Rappelez pourquoi les VLANs sont utiles

Exercice 2 Les diffrents types de VLANs

Universit de Technologie de Troyes

1. Comparez les deux architectures ci-dessus. Pourquoi nobtient-on pas le mme

Universit de Technologie de Troyes

1. Lhte 1 peut-il faire un ping sur lhte 2 ?

1. Pourquoi les htes 1 et 2 ne peuvent-ils pas communiquer entre eux ?

Le routeur RA a t configur selon la figure ci dessus.

Universit de Technologie de Troyes

dans le cas de machines disperses, on utilise plusieurs switchs, et lapport des

Universit de Technologie de Troyes

Universit de Technologie de Troyes

6. Un broadcast IP est toujours contenu dans un broadcast MAC car :

Vous aimerez peut-être aussi