L'internet rapide et permanent

bbbb

Vous êtes ici: L'internet rapide et permanent » Sécuriser son réseau » Les VLANs » VLANs niveau 2

Les chapitres

La fibre optique

Bande passante

Le codage des caractères

TCP/IP(v4)

IP v6

IP et le Routage

Le routage, compléments

Le routage sélectif

Partage de connexion

TCP/IP & sécurité

NetFilter et IPtables

PPPoE

DNS

DHCP

SMTP

POP3

IMAP

SMTP/IMAP en pratique

FTP

HTTP

SNMP

Squid et SquidGuard

Notions de cryptographie

Virtual Private Network

Le Wi-Fi

Sécuriser son réseau

Les VLANs

Théorie

Manip VLANs

VLANs niveau 2

Réseaux sans fils sécurisés

RADIUS

Kerberos

NTP (l'art d'être à l'heure)

Divers

Astuces diverses

PlayGround

wiki

A notre regretté internet

Pas de « Facebook » pour moi

Table des matières

VLANs niveau 2

Position du problème

Remarques à propos du ProCurve 2650

Choix VLAN suivant l'authentification

Revenir en arrière

VLANs niveau 2

Position du problème

Le principe des VLANs étant compris, la dernière étape va consister à mettre en ?uvre une commutation automatique des ports du SWITCH sur l'un ou l'autre VLAN, suivant que la machine qui s'y connecte sera authentifiée ou non.

Conformément au cahier des charges, nous utilisons simplement l'adresse MAC de la machine, ce qui évitera d'avoir à installer sur chaque client un système d'authentification plus sophistiqué (un certificat, par exemple, comme nous le verrons avec WPA2-TLS). Cette méthode n'est pas parfaite, loin de là, dans la mesure où une adresse MAC peut être falsifiée, mais elle a le mérite d'être simple à mettre en ?uvre.

Il nous faudra tout de même disposer de SWITCHs capables d'interroger un serveur RADIUS, en lui envoyant l'adresse MAC du client en guise de nom d'utilisateur et de mot de passe. Nous utilisons ici un SWITCH HP Procurve 2650.

Remarques à propos du ProCurve 2650

Lorsqu'il sort de sa boîte, ce SWITCH est configuré avec un seul VLAN, nommé « DEFAULT_VLAN » (et qui est aussi le « PRIMARY_VLAN »). Tous les ports du SWITCH sont affectés à ce VLAN, si bien que sans aucune configuration particulière, ce SWITCH fonctionnera comme un SWITCH de base.

Pour le configurer, plusieurs solutions sont proposées, à commencer par une liaison série RS232 (gardez au moins un vieux PC), qui est initialement le seul moyen possible pour accéder à la configuration (In the factory default configuration, the SWITCH has no IP (Internet Protocol) address and subnet mask, and no passwords. In this state, it can be managed only through a direct console connection).

Par la suite, nous pourrons accéder au SWITCH par le réseau, via telnet, un mini serveur web embarqué (mais vraiment minimaliste), ou même ssh. En effet les SWITCHs administrables peuvent recevoir une adresse IP pour accéder à l'administration par le réseau. Sur ce modèle de SWITCH, nous pourrons même assigner une adresse IP par VLAN, ce qui n'est absolument pas nécessaire, voire dangereux. Comme notre propos est plutôt de parler des VLANs, nous passerons ces détails sordides.

Nous supposons donc que la configuration de base du SWITCH est faite, et principalement la configuration IP du DEFAULT_VLAN :

Internet (IP) Service

IP Routing : Disabled

Default Gateway : 192.168.10.1

Default TTL : 64

Arp Age : 20

VLAN | IP Config IP Address Subnet Mask

------------ + ---------- --------------- ---------------

DEFAULT_VLAN | Manual 192.168.10.11 255.255.255.0

Donc, nous avons un « DEFAULT_VLAN » qui est aussi le « PRIMARY_VLAN », et qui contient tous les ports du SWITCH. Il y a quelques contraintes à connaître à propos de ces deux VLANs :

DEFAULT_VLAN ne peut pas être supprimé et a le VID 1, en revanche, rien n'interdit de ne lui assigner aucun port,

PRIMARY_VLAN est nécessaire à certaines fonctions d'administration que nous n'utiliserons pas forcément ici, comme le pseudo empilage de SWITCHs. Cette fonction de PRIMARY_VLAN peut être assignée à n'importe quel VLAN existant, pas forcément au DEFAULT_VLAN, mais il doit exister. Nous laissons la configuration par défaut.

Nous n'allons conserver que quelques ports, dont les deux ports 1GB/s sur DEFAULT_VLAN, laisser PRIMARY_VLAN dessus, tous les autres ports étant réservés à deux autres VLANs qu'il nous reste à créer :

PARADIS_VLAN, de VID 2, qui accueillera le LAN des hôtes connus,

...