Scribd Logo
Upload

Welcome to Scribd!

  • VL An Dasilva

    Uploaded by

    Daba Cheikh Wade
    63 views13 pages
    GNS3 avec VLAN

    Original Title

    Vl an Dasilva

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    GNS3 avec VLAN

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    63 views13 pages

    VL An Dasilva

    Uploaded by

    Daba Cheikh Wade
    GNS3 avec VLAN

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 13

    VIRTUAL LAN

    Pourquoi vlan ?

    Optimisation des performances du rseau passe entre autres par la


    segmentation rseau. Faire du vlan consiste sparer de faon virtuelle ou
    logique les flux du rseau afin de scuriser les accs.

    On a la segmentation de niveau deux et la segmentation de niveau trois. On


    sintresse la segmentation de niveau 2 qui est faite par les commutateurs
    (switch) vlan

    Intrt des vlan

    Avoir un rseau modulable

    Rduire le domaine de broadcast

    Augmenter la scurit sur le rseau

    Exemple

    NB : tous les commutateurs ne supporte pas le vlan. Quelques exemples de


    commutateur supportant le vlan, on a cisco catalyse 2960, 3750, 2950. On parle
    de commutateur vlan inform.

    Configuration des Vlans au niveau dun commutateur

    Page 1
    Nous ne disposons pas de commutateur virtuel pouvant faire du vlan cest
    pourquoi nous allons transformer notre routeur en switch grce la
    commande vlan database

    cration des vlan 10 (cisco) et 20 (linux) sur le switch: le routeur R1 3745


    sera utilis dans notre TP comme switch.

    La commande show vlan-switch ou show vlan brief nous permet de


    voir les vlan crs et de constater aussi que par dfaut les ports sont dans le
    vlan natif vlan 1le confirme:

    Page 2
    Nous allons configurer les paramtres TCP/IP de nos machines: nous allons
    utiliser des routeurs comme machines dans notre TP pour les tests de
    connectivit

    machine1 172.16.0.1/24

    machine2 172.16.0.2/24

    Test de connectivit: entre machine1 et machine2

    Page 3
    NB: prendre soin d'activer les interfaces au niveau du switch.

    On remarque donc que nos deux machines communiquent entre elles vu qu'elles
    appartiennent tous au vlan1. Nous allons prsent mettre la machine1 dans le
    vlan 10 et la machine2 dans le vlan20 puis tester la connectivit:

    Cration du VLAN sur le commutateur et affectation des ports au Vlan


    correspondant
    - On passe en mode privilge
    - en mode configuration laide de la commande configure terminal
    - on indique le Vlan suivi de son nom.
    - On affecte les diffrents ports au vlan. Pour ce faire il faut indiquer les
    ports concerns et leur associer le vlan correspondant

    Sur le switch:

    NB :

    - Switchport access permet dajouter linterface ou les interfaces prcises


    dans un vlan.
    - on peut affecter un vlan plusieurs interfaces.

    (config)#interface range fastEthernet 0/5-8 (interface fa0/5 fa0/8)

    donn.

    Page 4
    La commande show vlan-switch nous montre bien les ports
    appartenant au diffrents vlan

    Test de connectivit entre machine1 et machine2 aprs affectation des ports aux
    vlans.

    On remarque que lorsque les machines appartiennent des vlans diffrents elles
    ne communiquent plus entre elles. Pour autoriser des vlans diffrents
    communiquer, on fait du routage inter-vlan

    Page 5
    Routage inter-vlan:

    Soit l'architecture ci dessous:

    Nous allons utiliser dans ce TP, le routeur 3745 comme switch et le routeur
    7200 pour le routage intervlan:

    NB: les machines appartenant au vlan 10 sont dans le rseau


    192.168.10.0/24 et ceux du vlan 20 sont dans le rseau 192.168.20.0/24

    Cration des VLAN 10 et 20 sur le RouteurSwitch

    RouteurSwitch# vlan database


    RouteurSwitch(vlan)# vlan 10 name cisco
    RouteurSwitch(vlan)# vlan 20 name linux
    NB: La commande "show" excute en mode vlan database permet d'avoir
    des informations

    Page 6
    Affectation du port f1/0 au vlan 10 et du port f1/1 au vlan 20:

    RouteurSwitch(config)#interface fastethernet1/0
    RouteurSwitch(config-if)#switchport access vlan 10
    RouteurSwitch(config-if)#exit
    RouteurSwitch(config)#interface fastethernet1/1
    RouteurSwitch(config-if)#switchport access vlan 20
    dfinir l'interface f1/2 du Routeurswitch comme trunk(car cest un seul
    port qui est partag)

    Crer des sous-interfaces au niveau de l'interface f0/0 du RouteurInterVlan


    Au niveau de f0/0 du RouteurVlan:

    Sous- interface fa0/0.10 pour le vlan 10

    Page 7
    Sous- interface fa0/0.20 pour le vlan 20

    NB on naffecte pas dadresse IP linterface principale fa0/0 toutefois il faut


    lactiver. De plus, il faut faire lencapsulation avant de prciser ladresse IP des
    sous-interfaces. Lencapsulation dot1Q (norme 802.1Q) se fait au niveau des
    sous interfaces. Elle permet en fait dajouter des tiquettes spciales aux trames
    pour identifier le Vlan auquel elles appartiennent.

    Les machines du vlan 10 indiqueront comme passerelle ladresse IP de


    linterface fa0/0.10 et celles du vlan 20 indiqueront ladresse de linterface
    fa0/0.20

    Les utilisateurs des diffrents vlan peuvent prsent changer bien


    quappartenant des vlan diffrents (on peut le tester en faisant un ping)

    Page 8
    AUTHENTIFICATION ET ATTRIBUTION DUN VLAN

    Un utilisateur se connecte au rseau, il doit sauthentifier afin quil soit mis


    dans son vlan

    Scnario :

    Le switch se prsente comme un authenticator et il relaie donc les


    informations dauthentification de lutilisateur vers le serveur radius du
    rseau, lui a son tour va interroger lannuaire Ldap pour vrification des
    informations reues. En cas de conformit, il envoie au switch les
    informations ncessaire pour quil intgre lutilisateur dans son vlan adquat
    sinon lutilisateur reoit un message dchec dauthentification.

    Sous fedora

    On suppose que nous disposons dj dun annuaire ldap

    - installer freeradius
    - Ensuite laide de la commande suivante
    - #rpm -qa|grep freeradius . vous verrez afficher une ligne similaire
    freeradius-ldap qui montre que le module ldap de freeradius a t bien
    install sinon installez ce paquet.
    - dans /etc/open/ldapSchema, vous vrifiez la prsence du fichier
    radiusldap.schema
    - Editez le fichier /etc/openldap/slapd.conf et indiquez lannuaire ldap
    quil doit recevoir des requtes dauthentification venant de radius. Pour
    cela, ajoutez un include /etc/openldap/schema/Radiusldap.schema

    Page 9
    -
    NB : Ne modifiez aucun lment schma dfini dans les fichiers schma
    installs par OpenLDAP.

    Dans votre fichier.ldif (dans notre cas userradius.ldif) dans lequel vous
    dfinissez vos utilisateurs, prcisez que lauthentification se fera par radius

    - Il faut clairement tablir le mapping entre radius et ldap.


    Editez /etc/raddb/modules/ldap, dans la section ldap, spcifiez le basedn
    server, le filter et le password attribute

    Page 10
    Page 11
    - Editez le fichier /etc/raddb/ldap.attrmap

    Page 12
    Sous fedora les trois dernires lignes en gras existe dj. Au cas o vous
    ne les aurez pas ,ajoutez-les.

    Enfin dans /etc/raddb/site-enable/inner-tunnel activer ldap de la section


    authorize en le dcommentant

    Page 13

    You might also like