Architecture des réseaux:

VLAN, NAT et Routage : VLAN :

Rappel :

Un VLAN (Virtual Local Area Network) est un ensemble d’unités regroupées quel que

soit l’emplacement de leur segment physique. Un VLAN permet : - Plus de souplesse pour l'administration et les modifications du réseau car toute

l'architecture peut être modifiée par simple paramétrage des commutateurs

- Un gain en sécurité car les informations sont encapsulées dans un niveau

supplémentaire et éventuellement analysées

- Une réduction de la diffusion du trafic sur le réseau

Un VLAN peut être statique (les ports du commutateur sont affectés aux différents VLAN)

ou dynamique (les ports des commutateurs peuvent automatiquement déterminer leur

VLAN d’appartenance). Un VLAN dynamique est basé sur filtrage par rapport aux adresses

MAC et IP, cette méthode demande moins d’administration mais plus de paramétrage.

Type de VLAN :

Niveau 1 : Câblage physique sur les ports. Les ports sont associés à un VLAN

Niveau 2 : Table de correspondances. Les adresses MAC sont associés à un VLAN.

Les machines des RH sont sur le VLAN 110

Les machines R&D sur le VLAN 210

Ce qui transite sur le VLAN 110 n’est pas visible du 210 et vice versa

On ne peut plus atteindre les machines dans un autre VLAN.

Imaginons désormais qu’on souhaite ajouter un autre bâtiment dans l’entreprise : RH et R&D doivent

être toujours séparés :

Solution 1 :

Connection des

switchs avec un lien

en mode Trunk

(protocole 802.1Q)

→ Optimal

Solution 2 : Connection des deux

switches via deux

segments appartenant

à chacun des VLAN.

Mode Trunk (ou Inter Switch Link)

Fonctionne comme un pont transparent, il permet de définir des groupes de machines

formant des LAN arbitraires, changeables par logiciel au gré de la configuration (VLAN).

Plusieurs switches peuvent supporter un même ensemble de VLAN, on parle de domaine

de commutation. Ils sont alors reliés entre eux par un Inter Switch Link, aussi appelé Trunk

(Tronçon), qui supporte sans les mélanger les trafics des différents VLANs

Le switch doit donc être configuré en Spanning Tree pour éviter les boucles.

Explications, sans le mode Spanning Tree (protocole réseau de niveau 2) lorsque des

machines essayent de communiquer ensemble elle envoi des requêtes ARP broadcast,

cependant cela peut générer une Broadcast Storm (tempête de broadcast) avec des requêtes

qui tournent indéfiniment et peuvent bloquer le réseau.

Spanning Tree Protocol :

1. Voilà un réseau avec deux switchs, au cas

où le premier tomberait en panne par

exemple :

2. La station A doit communiquer à la station

B sans connaitre son adressage MAC, il y a

donc une requête ARP Broadcast : Le switch du haut reçoit la trame sur son port, extrait

l’adresse MAC de destination (FFFF.FFFF.FFFF) et la duplique sur tous ses ports car c’est une adresse

de broadcast. La trame sort donc du switch du haut et se dirige vers le switch du bas.

De même pour le switch du bas; il reçoit la trame sur son port, extrait l’adresse MAC de destination

(FFFF.FFFF.FFFF) et la duplique sur tous ses ports car c’est une adresse de broadcast. La trame sort

donc du switch du bas et se dirige vers le switch du haut

Et ces trames tournent sans arrêt entre les 2 switchs, il s’agit d’une Broadcast Storm.

3. Mise en place du protocole Spanning Tree :

NAT (Network Address Translation) : Introduction :

Le NAT est né de la difficulté à obtenir suffisamment d’adresse IP pour un réseau local.

L’objectif est de faire correspondre une seule adresse externe publique visible sur Internet

à toutes les adresses d'un réseau privé (non uniques et non routables)

Avantages : - Un réseau local est vu de l’extérieur uniquement par son adresse publique

- Inutiles pour le firewall de filtrer des plages d’adresses

- On peut modifier le plan d’adressage réseau sans modifier les routeurs

externes

- Les machines du réseau ne sont pas directement visibles de l’extérieur.

C’est un plus pour la sécurité.

Sans NAT : 1000adresses IPv4 uniques Avec NAT : Adresses privées non retrouvables sur Internet

(Sources supplémentaires : http://reussirsonccna.fr/)

(Sources supplémentaires : https://fr.wikipedia.org/)

Fonctionnement :

- Pour faire correspondre les adresses privées avec un groupe d'adresses publiques, on se

sert d'une table.

- La table du NAT contient des paires (adresse privée, adresse externe publique

(traduite)).

- Quand l'adresse privée émet une trame qui traverse le routeur qui NAT, cette adresse

est remplacée dans l'entête du paquet TCP/IP par son adresse IP publique.

Exemple : Une trame partant de 10.0.0.1 aura comme IP 138.76.29.7 hors du NAT

- Le remplacement inverse sera fait quand une trame vers cette adresse externe doit être

traduite en IP privée.

- L'association entre une adresse privée et sa contrepartie publique externe est créée

dynamiquement au moment de l'initiation de la connexion.

- Ce sont les numéros de ports qui vont permettre d'identifier la traduction en place : le

numéro du port source (celui de la machine privée) va être modifié par le routeur.

- La notion de port logiciel permet, sur un ordinateur donné, de distinguer différents

interlocuteurs qui sont des programmes informatiques, selon les cas, écoutent ou

émettent des informations sur ces ports.

- Le numéro de port va servir pour identifier la machine privée.

Problème :

Si un client par exemple veut se connecter à un serveur qui a une adresse privée 10.0.0.1, il

lui est impossible d’utiliser cette adresse comme destination. Seule l’adresse NAT 138.76.29.7

est visible.

Il alors possible de configurer un NAT statique qui redirige les connexions entrantes

avec un numéro de port particulier sur un port particulier du serveur.

(123.76.29.7, port 2500) always forwarded to 10.0.0.1 port 25000

Tous les paquets sortant du réseau

local ont le même IP (138.76.29.7)

Paquets ayant comme adresse source ou destination

une adresse privée dans le réseau 10.0.0/24

Routage : Lorsqu’un routeur reçoit un datagramme IP :

1. Vérifie le checksum. Si faux, destruction du datagramme.

2. Décrémente le TTL (durée de vie).

3. Décide du routage en regardant la table de routage.

4. Fragmente le datagramme si nécessaire.

5. Reconstruit l’entête IP avec les champs mis à jour.

6. Retransmet les datagrammes au protocole d’accès de l’interface réseau de sortie avec

l’adresse de sous-réseau correspondante

Examen de la table de routage :

1. Si la destination est sur le même réseau physique : routage direct ↴

L’adresse physique suivante est celle de la destination, le paquet est transmis directement.

2. Sinon, si la destination correspond à celui d'un réseau accessible via un routeur on

récupère l'adresse physique de ce routeur et on lui transmet le paquet : routage indirect.

L'adresse IP de l'émetteur reste inchangée.

3. Si le préfixe n'a pas de correspondance dans la table mais il existe un routeur par défaut

(gateway) dans la table ; on transmet au routeur par défaut.

4. Si aucun des trois cas précédents n'est rempli, on déclare une erreur de routage.

Rappel d’une table de routage :

Passerelle