L'internet rapide et permanent
Analyse sectorielle : L'internet rapide et permanent. Recherche parmi 300 000+ dissertationsPar dissertation • 2 Mars 2014 • Analyse sectorielle • 3 293 Mots (14 Pages) • 747 Vues
bbbb
Vous êtes ici: L'internet rapide et permanent » Sécuriser son réseau » Les VLANs » VLANs niveau 2
Les chapitres
La fibre optique
Bande passante
Le codage des caractères
TCP/IP(v4)
IP v6
IP et le Routage
Le routage, compléments
Le routage sélectif
Partage de connexion
TCP/IP & sécurité
NetFilter et IPtables
PPPoE
DNS
DHCP
SMTP
POP3
IMAP
SMTP/IMAP en pratique
FTP
HTTP
SNMP
Squid et SquidGuard
Notions de cryptographie
Virtual Private Network
Le Wi-Fi
Sécuriser son réseau
Les VLANs
Théorie
Manip VLANs
VLANs niveau 2
Réseaux sans fils sécurisés
RADIUS
Kerberos
NTP (l'art d'être à l'heure)
Divers
Astuces diverses
PlayGround
wiki
A notre regretté internet
Pas de « Facebook » pour moi
Table des matières
VLANs niveau 2
Position du problème
Remarques à propos du ProCurve 2650
Choix VLAN suivant l'authentification
Revenir en arrière
VLANs niveau 2
Position du problème
Le principe des VLANs étant compris, la dernière étape va consister à mettre en ?uvre une commutation automatique des ports du SWITCH sur l'un ou l'autre VLAN, suivant que la machine qui s'y connecte sera authentifiée ou non.
Conformément au cahier des charges, nous utilisons simplement l'adresse MAC de la machine, ce qui évitera d'avoir à installer sur chaque client un système d'authentification plus sophistiqué (un certificat, par exemple, comme nous le verrons avec WPA2-TLS). Cette méthode n'est pas parfaite, loin de là, dans la mesure où une adresse MAC peut être falsifiée, mais elle a le mérite d'être simple à mettre en ?uvre.
Il nous faudra tout de même disposer de SWITCHs capables d'interroger un serveur RADIUS, en lui envoyant l'adresse MAC du client en guise de nom d'utilisateur et de mot de passe. Nous utilisons ici un SWITCH HP Procurve 2650.
Remarques à propos du ProCurve 2650
Lorsqu'il sort de sa boîte, ce SWITCH est configuré avec un seul VLAN, nommé « DEFAULT_VLAN » (et qui est aussi le « PRIMARY_VLAN »). Tous les ports du SWITCH sont affectés à ce VLAN, si bien que sans aucune configuration particulière, ce SWITCH fonctionnera comme un SWITCH de base.
Pour le configurer, plusieurs solutions sont proposées, à commencer par une liaison série RS232 (gardez au moins un vieux PC), qui est initialement le seul moyen possible pour accéder à la configuration (In the factory default configuration, the SWITCH has no IP (Internet Protocol) address and subnet mask, and no passwords. In this state, it can be managed only through a direct console connection).
Par la suite, nous pourrons accéder au SWITCH par le réseau, via telnet, un mini serveur web embarqué (mais vraiment minimaliste), ou même ssh. En effet les SWITCHs administrables peuvent recevoir une adresse IP pour accéder à l'administration par le réseau. Sur ce modèle de SWITCH, nous pourrons même assigner une adresse IP par VLAN, ce qui n'est absolument pas nécessaire, voire dangereux. Comme notre propos est plutôt de parler des VLANs, nous passerons ces détails sordides.
Nous supposons donc que la configuration de base du SWITCH est faite, et principalement la configuration IP du DEFAULT_VLAN :
Internet (IP) Service
IP Routing : Disabled
Default Gateway : 192.168.10.1
Default TTL : 64
Arp Age : 20
VLAN | IP Config IP Address Subnet Mask
------------ + ---------- --------------- ---------------
DEFAULT_VLAN | Manual 192.168.10.11 255.255.255.0
Donc, nous avons un « DEFAULT_VLAN » qui est aussi le « PRIMARY_VLAN », et qui contient tous les ports du SWITCH. Il y a quelques contraintes à connaître à propos de ces deux VLANs :
DEFAULT_VLAN ne peut pas être supprimé et a le VID 1, en revanche, rien n'interdit de ne lui assigner aucun port,
PRIMARY_VLAN est nécessaire à certaines fonctions d'administration que nous n'utiliserons pas forcément ici, comme le pseudo empilage de SWITCHs. Cette fonction de PRIMARY_VLAN peut être assignée à n'importe quel VLAN existant, pas forcément au DEFAULT_VLAN, mais il doit exister. Nous laissons la configuration par défaut.
Nous n'allons conserver que quelques ports, dont les deux ports 1GB/s sur DEFAULT_VLAN, laisser PRIMARY_VLAN dessus, tous les autres ports étant réservés à deux autres VLANs qu'il nous reste à créer :
PARADIS_VLAN, de VID 2, qui accueillera le LAN des hôtes connus,
...