Apperçu

Cette formation vous présentera ce que le concept de Virtual Local Area Network (VLAN) représente, à quoi ça peut servir en complément du routage simple, comment ça fonctionne et comment on peut configurer les machines linux et les switches HP qui en ont besoin.

Formations préalables

Temps estimé

60 minutes

Objectifs

Préparation des participant.e.s

Personne guide pour la formation

La personne qui donne la formation doit préparer qqch avant qu'on puisse commencer: on utilisera les switches "laboratoire" qui sont au sous-sol du bureau et quelques machines physiques.

Participant.e.s

Rien! Soyez simplement pret.e.s à utiliser la ligne de commande et à plonger dans un OS différent! (celui des switches)

Théorie, concepts et information

La formation sur les VLANs comporte une courte section d'informations puisque le concept lui-même n'est pas très compliqué. La section des exercices occupera une majorité du temps de la session.

TL;DR:

A quoi ça sert un VLAN

Normalement dans un "réseau local", donc dans un réseau dans lequel on n'a normalement pas besoin de routeur pour communiquer avec d'autres machines, on y retrouve généralement un seul sous-réseau.

On peut en fait avoir plusieurs sous-réseaux sur un même réseau local physique, mais à ce moment là il y a quelques adresses IP qui ne peuvent pas parler à d'autres malgré qu'elles soient sur le même réseau local. Il faudra alors passer par un routeur pour transférer d'un sous-réseau à un autre.

Par contre, cette séparation là n'est pas très forte: on peut facilement rejoindre les autres machines en ajoutant une adresse IP dans les autres sous-réseaux.

Les VLANs permettent d'avoir une séparation plus claire en ajoutant une division dans le réseau au niveau 2. En principe, le trafic de niveau 2 (les MAC addresses) d'un VLAN ne peut pas atteindre un autre VLAN, peu importe sa configuration niveau 3 (adresse IP), sans une aide externe. On force donc le trafic qui échange de VLAN à passer par un routeur et/ou un firewall malgré que les câbles réseau se retrouvent branchés dans le même réseau local physique.

inter-vlan-routing.jpg

Dans l'exemple au dessus, malgré qu'elles sont connectées sur la même switch, donc dans un même "niveau 2", les machines A et B peuvent se parler entre elles, C et D également, mais A ne peut pas parler directement à C ou D puisqu'elle se trouve dans un VLAN différent. A devra alors passer par le routeur via le port trunk pour transiter vers les machines du VLAN bleu. Le routeur pourra à ce moment là appliquer certaines règles de routage ou de firewall pour permettre ou bloquer le transit.

VLAN natif ou untagged vs tagged

Les VLANs sont distingués en étant assignés à un numéro unique dans un réseau local, un VLAN ID. Ces numéros sont encodés sur 12 bits et peuvent donc aller de 1 à 4096.

Il y a deux méthodes sur les switches pour configurer comment un port communique avec un certain VLAN

Format d'un tag 802.1Q

Un tag de VLAN 802.1Q est inséré au niveau 2 du modèle OSI et encapsule le restant du paquet. En pratique, ça veut dire qu'on ajoute un morceau d'information avant les donnés comme démontré dans l'image suivante:

Ethernet_802.1Q_Insert.svg.png

TPID

Tag protocol identifier. Sur 16 bits. C'est une valeur statique de 0x8100 pour identifier qu'on a un tag 802.1Q

PCP
Priority code point. Sur 3 bits. C'est un niveau de priorité pour du Qualilty of Service (QoS) au niveau 2
DEI
Drop eligible indicator. Sur 1 bit. Détermine si les paquets de ce vlan peuvent être abandonnés en cas de congestion
VID
VLAN identifier. Su 12 bits. C'est le numéro d'identification du VLAN

Cas d'usages de VLANs

Réseau privé:

private_vlan.png

Deux machines sont sur un VLAN privé, c'est à dire qui ne se rend pas au routeur pour permettre l'échange avec d'autres VLANs et qui n'englobe pas toutes les machines présentes. Les deux machines sur le VLAN privé peuvent communiquer entre elles de manière confidentielle.

DMZ + trunking vers routeur/firewall

DMZ_vlan.png

Une machine se trouve dans un VLAN identifié comme une DMZ. Les machines sur le VLAN public peuvent communiquer via HTTPS vers la DMZ mais pas par d'autres moyens. La machine dans la DMZ ne peut pas contacter internet et ne peut pas initier une connexion vers le VLAN public. C'est le firewall qui établit ces règles de trafic et le firewall est forcé d'être utilisé vu la différence de VLANs.

Exercices

Configurer les VLANs sur une switch

Créer un VLAN

Assigner un VLAN à certains ports

Références:

Configurer des VLANs sur debian

Faire transiter les paquets d'un VLAN à l'autre via le routeur

Références:

Rétrospective

Pendant un maximum de 15 minutes, les participant.e.s sont invité.e.s à partager les éléments qui ont bien ou moins bien fonctionnés et les idées qui pourraient survenir pour des manières d'améliorer le processus.

Quelques éléments qui peuvent faire partie de la rétrospective, dépendant de la grosseur du projet ou de la formation:

  • Sommaire colletcif (e.g. résumé rapide en termes que tout le collectif peut comprendre)
    • Pas trop utile pour les projets vraiment simples ou les formations.

  • Chronologie des événements marquant pour le projet
    • Surtout utile pour les projet qui se sont étalés sur plusieurs jours ou plus ou bien quand beaucoup de choses se sont produites simultanément, ce qui a rendu la compréhension des influences de chanque événement complexe.

  • Les bons coups -- qu'est-ce qui a bien fonctionné et qu'on veut tenter de reproduire
  • Les problèmes
    • échecs -- avec l'aide de la chronologie (si elle a été faite), tenter de situer les échecs dans un contexte selon ce qui était connu des participant.e.s aux moments qui ont mené à l'échec
    • problèmes techniques
    • manques de ressources
    • perturbations externes
  • Une liste d'actions à court et/ou à plus long terme pour améliorer les choses telles que soulignées pendant les points précédent
    • Transférer les actions dans redmine pour qu'elles puissent être suivies!

N'hésitez pas à partager les échecs à l'extérieur de l'équipe puisqu'on peut apprendre bcoup de ceux-ci, mais surtout évitez de les formuler comme un blame sur la/les personne(s) ayant échoué.

Une rétrospective est surtout utile quand on la partage: ça permet aux autres d'apprendre de nos erreurs et aussi de nos idées d'améliorations. On peut par exemple envoyer une forme écrite par email, ou bien savegardée comme page wiki.

Information complémentaire


CategoryFormation

FormationVLAN (last edited 2021-03-25 17:23:27 by gabriel)