Construction de réseaux Ethernet commutés
La technologie VLAN ou RÉSEAU LOCAL virtuel a severaladvantages.It peut rendre un réseau moins cher et plus simple à construire, et plus facile à entretenir et à modifier.Voyons comment appliquer la technologie VLAN.
Pensons d’abord à votre environnement de réseau idéal et simplifié.
Tous vos périphériques — vos serveurs, clients, imprimantes et routeurs vous connectant à d’autres réseaux et au reste d’Internet — seraient interconnectés avec des commutateurs Ethernet.Les périphériques et leurs ports de commutation fonctionneraient en mode duplex à une vitesse suffisamment élevée.
Le fait qu’il s’agisse d’un commutateur plutôt que d’un concentrateur (également appelé concentrateur ou répéteur à l’époque où les concentrateurs étaient encore utilisés) signifie que votre débit de données réel peut être de 80% de la vitesse réelle du fil, par opposition à 10% et moins.
Le commutateur fournit également une certaine défense contre le reniflage de paquets et la collecte de mots de passe et d’autres données sensibles par des hôtes non autorisés.Juste une certaine protection, pas vraiment beaucoup, car il existe des attaques qui peuvent confondre les caches ARP des points finaux et les inciter à réacheminer les données de manière inappropriée sans aucun signe.Allez chercher arpspoof, une partie du package dsniff, si vous voulez enquêter sur cela.
Vous souhaitez partitionner votre trafic en sous-réseaux relativement petits pour deux raisons.Tout d’abord, la sécurité : une attaque de reniflage basée sur arpspoof ne fonctionne que lorsque l’attaquant est sur le même réseau local.Un plus petit nombre d’hôtes par réseau local signifie soit une plus petite chance que vous soyez sur le même réseau local que l’attaquant, soit un plus petit nombre de cibles disponibles pour un pirate, comme vous le souhaitez.Deuxièmement, un meilleur débit de données.
Ainsi, vous sortiriez acheter un certain nombre de commutateurs, au moins un par sous-réseau.Les sous-réseaux couvrant plusieurs commutateurs nécessiteraient que ces commutateurs soient câblés ensemble.Exécutez ensuite un câble Ethernet de chaque nœud vers le commutateur approprié.Ensuite, connectez les multiples ports d’un ou plusieurs routeursaux commutateurs, un par commutateur, pour connecter les sous-réseaux.Enfin, configurez les routeurs et les hôtes individuels.
Cette approche pose deux problèmes.
Tout d’abord, vos sous-réseaux vont probablement avoir des tailles très variables.Un backbone reliant les sous-réseaux ensemble n’a besoin que d’un grand nombre de ports car il y a des sous-réseaux, probablement plus un pour se connecter au routeur menant à Internet.Pendant ce temps, d’autres sous-réseaux peuvent avoir des dizaines d’hôtes.Vous devrez acheter (et prendre en charge) une grande variété de logiciels, et vous vous retrouverez avec des « ports gaspillés », des commutateurs avec peut-être 48 ports, mais 10 à 20 d’entre eux restent inutilisés.
Deuxièmement, lorsque vous décidez qu’un certain nombre d’hôtes doivent être localisés de leurs sous-réseaux d’origine vers d’autres sous-réseaux, vous avez au moins des câbles à exécuter à nouveau.Plus probablement, vous devez acheter plus de matériel car undes commutateurs viennent de manquer de ports.
Ce que vous faites ressemble à ce qui suit.Supposons que vous ayez deux sous-réseaux, A et B, et deux salles avec des hôtes réseau, les salles 1 et 2.Vous devrez connecter des choses comme celle-ci, oùles lettres « A » et « B » étiquettent des hôtes individuels sur ces sous-réseaux.
Oui, les commutateurs d’occasion sont assez bon marché sur eBay, mais cela implique une pile d’interrupteurs dans chaque pièce.Nous devrons peut-être ajouter un autre commutateur si nous ne déplaçons qu’un seul de son sous-réseau d’origine à un autre.Pire encore, que se passe-t-il si nous décidons d’ajouter un autre sous-réseau pour diviser davantage le trafic?
La technologie VLAN résout ces problèmes!
Vous devez programmer votre collection de commutateurs àpartition eux-mêmes en plusieurs réseaux locaux virtuels.Le commutateur transmet uniquement les trames entre les ports du même VLAN.Autrement dit, chaque VLAN est son propredomain de diffusion.Il dispose également d’un bloc d’adresse IP logique unique.Vous pouvez reconfigurer à quel VLAN appartient un port physique et déplacer efficacement un hôte vers un nouveau réseau local sans changer de câblage.
Les paquets doivent passer par un routeur totravel entre VLAN.Les VLAN partitionnent logiquement le grand LANto physique pour augmenter la sécurité.Les routeurs peuvent transférer des paquets entre VLAN, sous réserve des règles de filtrage des paquets.Cela pourrait conduire à la situation étrange d’un routeur avec plusieurs interfaces Ethernet branchées sur le même commutateur.
Ce que vous faites vraiment, c’est configurer plusieurs sous-interfaces sur une seule interface physique.Un seul câble du routeur au commutateur, mais au niveau de la couche IP logique, c’est comme s’il s’agissait de deux connexions.Vous programmez ce commutateur de sorte que le port où vous branchez le routeur appartient à plusieurs VLAN.
Plusieurs commutateurs peuvent être connectés via un connecteur connecté à des ports spécialement désignés.Vous utiliserez probablement le protocole Ieee 802.1qtrunking pour transférer le trafic entre switches.It insère un champ 32 bits entre l’adresse MAC source et les champs Ethertype.Les commutateurs Cisco peuvent exécuter le protocole de jonction propriétaire DTPDynamic.
Dans l’exemple ci-dessus, chaque hôte sur VLAN A est directement connecté à tous les autres hôtes VLAN A et peut envoyer une trame directement à travers les commutateurs tronqués.Mais pour envoyer un paquet à l’hôte sur VLAN B, il verrait que l’adresse IP de la destination se trouvait sur un autre réseau logique, et il l’enverrait donc au port du routeur sur VLAN A. Le routeur le transmettrait ensuite sur son port VLAN B.
Routage IP
Logique
Le paquet devrait être transmis par le routeur, parce que les commutateurs refusent de transférer des trames entre les VLAN.Le routeur enverrait alors le paquet directement à travers l’autre VLAN à partir de son port connecté au VLAN approprié.
Si vous souhaitez expérimenter cela, des commutateurs VLAN-capableCisco 2900-XL 100 Mbps sont disponibles d’occasion pour 30-60 e chacun, y compris l’expédition.
Rack de commutateurs Ethernet.