Standard 802.3ad

Définition générale du standard 802.3ad

Le standard 802.3ad (couche 2 du modèle OSI) définit le fonctionnement d’une agrégation de lien (LAG – Link Aggregation Group). Une LAG est une association d’interfaces physiques en une seule interface virtuelle.

Pré-requis

Pour que des interfaces soient regroupées dans un même LAG, elles doivent avoir des caractéristiques identiques :

  • Vitesse (100Mbps minimum)
  • Mode full duplex
  • vLAN ID

Propriétés

Le LAG à 3 objectifs :

  1. Améliorer la bande passante (bp × nb de liens) ;
  2. Augmenter tolérance de panne (jusqu’à n-1 où n = nb liens) ;
  3. Faire du load-balacing (entre les liens).

Ses propriétés sont les suivantes :

  • Découverte automatique des liens physiques qui tombent. Tant qu’un lien est actif, le LAG restera fonctionnel (tolérance de panne) ;
  • Le trafic réseau est distribuée sous forme de trames sur les liens physiques ( ↑ bande passante)  ;
  • Les trames appartenant à un même paquet de données sont envoyées sur le même lien physique pour assurer l’ordre de réception des trames par l’équipement voisin.

Le standard 802.3ad n’impose pas d’algorithme de load-balancing. Néanmoins, tout algorithme de distribution doit garantir l’ordre des trames et leur non-duplication, à la réception.

Protocole LACP

Le protocole LACP (Link Aggregation Control Protocol) est standardisée par l’IEEE et applique le standard 802.1ad. Il est supporté par la plus part des constructeurs.

Un LAG LACP peut être composé de 16 ports maximum (8 fonctionnels, 8 de secours). Le protocole LACP propose 3 algorithmes de load-balancing :

  • par adresse MAC (source et ou destination) ;
  • par adresse IP (source et ou destination) ;
  • par port applicatif (destination).

Par défaut, c’est le load-balacing se fait par l’adresse MAC source.

Le protocole LACP comprend 2 modes :

  1. actif : l’équipement va négocier avec son voisin, en envoyant des requêtes LACP à travers les ports du LAG pour initialiser le LACP ;
  2. passif : l’équipement va attendre que son voisin vienne négocier, en répondant aux requêtes LACP à travers les ports du LAG pour que le voisin puisse initialiser le LACP ;

Fonctionnement du LACP

Les switches s’échangent des paquets LACP (LACPDU – Link Aggregation Control Protocol Data Unit) au travers les liens physiques pour l’initialiser et contrôler l’état du LAG en permanence. Cette fonctionnalité offre 2 avantages :

  1. Détection automatique d’un liens échoué et éjection de celui-ci du LAG pour éviter que des trames s’y perdent. Détection automatique du passage d’un lien, précédemment échoué, en up et réintégration de celui-ci dans le LAG ;
  2. Les deux équipements (en mode active) peuvent initialiser ensemble la configuration du LAG.

Voici un tableau indiquant les modes compatibles et non-compatibles :

Active Passive
Active Oui Oui
Passive Oui Non

Le LACP permet également l’ajout ou le retrait dynamique d’interfaces du le LAG, sans interrompre la circulation trafic.


Sources :

IEEE 802.3ad Link Aggregation (LAG)

EtherChannel and IEEE 802.3ad Link Aggregation

Link Aggregation and LACP basics

Standard 802.1q

Définition générale du standard 802.1Q

Le standard 802.1Q (couche 2 du modèle OSI) répond à la problématique suivante : lorsqu’une trame circule d’un commutateur à un autre, comment identifier son appartenance à un vLAN ?
Quand un réseau comporte plusieurs switches gérant un ensemble de vLAN’s, il devient nécessaire de déterminer à quel vLAN chaque trame circulant appartient.
La réponse de lu standard 802.1Q est de définir comment les trames doivent être marquées pour être identifiées par les switches :
01
Un lien 802.1Q est un lien par lequel on transporte plusieurs vLAN’s.

Marquage de la trame

Il existe 2 types de marquage :

  • Untagged (non taggé) : les trames ne sont pas marquées car il est possible de déterminer leur vLAN en fonction de leur source.
  • Tagged (taggé) : on insère dans la trame son numéro de vLAN ID pour identifier son appartenance.

Il n’est pas nécessaire de tagged une trame si celle-ci passe par un lien reliant 2 vLAN’s (sur 2 switches différents) ayant le même vLAN ID.
Des lors que l’on souhaite faire circuler une trame à travers plusieurs switches en passant par un lien 802.1Q, il devient nécessaire de la tagged.
Néanmoins, il peut arriver que des trames untagged passent par un lien 802.1Q. Pour cette raison, les switches intégrent la fonctionnalité de vLAN natif, auquel sera envoyé toutes les trames untagged.

Format de la trame

Pour tagged la trame, on y ajoute 4 octets :
02.PNG
TPID (16 bits) : ID du protocole utilisé (0x8100 pour 802.1Q)
Priority (3 bits) : niveau de priorité (de 0 à 7) permettant la gestion QoS. Plus la valeur est haute, plus la priorité l’est.
CFI (1 bit) : format de l’adresse MAC (valeur 0 en Ethernet)
VID (12 bits) : vLAN ID auquel appartient la trame.
 
 

Virtual Local Area Network (vLAN)

Définition générale du vLAN

Un vLAN (Réseau Local Virtuel), est un réseau logique isolé et indépendant. Il permet notamment :

  • la commutation logique de niveau 2
  • l’affectation d’un utilisateur à un réseau virtuel spécifique
  • la diminution du domaine de broadcast
  • l’amélioration de la sécurité par la création de réseaux virtuels isolés

Le vLAN avec un switch

Utilité

Grâce au vLAN, il est possible de créer plusieurs réseaux virtuels sur un même réseau physique. Dans le cas d’un switch physique, on va le découper en plusieurs switches virtuels.
Virtuellement, nous auront alors plusieurs switches en un, chacun gérant un domaine de diffusion spécifique et fonctionnant de la même façon que plusieurs réseaux physiques :

01.PNG

Le vLAN est une technologie en standard sur les switches actuels. Par défaut, un vLAN est toujours configuré sur un switch avec sa configuration initiale.
Grâce à cette fonctionnalité, un seul équipement permet le gérer plusieurs réseaux.
Il existe 3 types de vLAN :

  • Par port ⇒ Niveau 1
  • Par adresse MAC ⇒ Niveau 2
  • Par sous-réseau / protocole ⇒ Niveau 3

Routage inter-vlan

La communication entre vLAN’s ne se fait qu’au travers d’un routeur. Pour que 2 vLAN’s communiquent entre eux, leur réseau IP doit être différente.
On peut utiliser un routeur en supplément du switch ou bien, le switch peut également servir de routeur, s’il est capable de faire du routage bien sûr.
02.png

vLAN de niveau 1

Le vLAN de niveau 1 s’effectue par port, c’est-à-dire que l’on assigne à un port un numéro de vLAN. Le switch entretien par la suite une table qui lie chaque vLAN au port associé.
Avantages :

  • Permet une isolation maximale des réseaux : on ne peut pas y accéder depuis n’importe quel emplacement sur le réseau physique.
  • Une attaque extérieure nécessite un accès direct au switch physique.

Désavantage :

  • Chaque switch possède sa propre « vlan database », qui contient la configuration de ses vLAN’s, pouvant générer une configuration générale lourde (surtout si le réseau est constitué de dizaines de switches).

90% des vLAN’s utilisés sont des vLAN’s de niveau 1.

vLAN de niveau 2

Le vLAN de niveau 2 s’effectue par adresse MAC, c’est-à-dire que l’on assigne un numéro de vLAN à l’adresse MAC d’une interface.
Avantages :

  • L’assignation en fonction de l’adresse MAC de la machine et non de son emplacement sur le réseau physique.
  • Permet de regrouper les utilisateurs par service au sein d’un réseau.
  • Offre la possibilité de centraliser la « vlan database » qui sera interrogée par les switches du réseau.
  • Un accès au switch physique devient inutile pour tenter une attaque : le pirate a besoin d’une adresse MAC spécifique.

Désavantages :

  • L’indépendance de la localisation de l’utilisateur le rend difficilement localisable sur le réseau.
  • Ajoute une difficulté pour appliquer des règles de filtrage.
  • A chaque nouvel utilisateur, il est nécessaire d’ajouter son poste de travail à un vLAN, générant de l’administration supplémentaire.

vLAN de niveau 3

Le vLAN de niveau 3 s’effectue par sous-réseau ou par protocole, c’est-à-dire que l’on assigne à un protocole ou un sous-réseau un numéro de vLAN.
Avantages :

  • La machine est automatiquement affectée à un vLAN.
  • Permet une séparation des flux réseaux. Néanmoins.

Désavantages :

  • Nécessite d’avantages de ressources pour isoler les nombreux flux circulant sur le réseau : le switch doit décapsuler chaque paquet pour déterminer à quel vLAN il appartient.
  • Un pirate peut assez facilement déterminer l’adresse IP ou le protocole utilisé par un utilisateur pour l’usurper son identité.
  • Nécessite un Switch de niveau 3 (relativement chère)