Réseaux privés virtuels. Que ferons-nous du matériel reçu. Technologies pour la construction de réseaux Ethernet. Contrôle de flux en duplex intégral. Mise en miroir des ports. Consolidation des ports en lignes principales. Réseaux virtuels

Programmes utiles

La fonctionnalité des commutateurs modernes vous permet d'organiser des réseaux virtuels (VLAN) pour créer une infrastructure réseau flexible. Actuellement, les VLAN ne sont pas encore répandus, en particulier dans les petits réseaux d'entreprise. Cela est largement dû au fait que la configuration des commutateurs pour les VLAN n'est pas facile, surtout si l'infrastructure réseau comprend plusieurs commutateurs. De plus, la configuration des commutateurs lors de la création de VLAN, ainsi que la configuration d'autres fonctionnalités, peuvent différer considérablement entre les commutateurs de différentes sociétés, ce qui fait que des fabricants bien connus équipement réseau tels que Cisco, HP, 3Com, Allied Telesyn, Avaya, organisent des cours spéciaux sur la façon de travailler avec leur équipement. Il est clair qu'il n'est clairement pas dans l'intérêt des constructeurs eux-mêmes de simplifier la configuration de leurs équipements, de rendre ce processus intuitif et simple, et encore plus de développer des accords communs et une interface unique pour configurer les équipements des différents constructeurs, mais les utilisateurs sont tout à fait capables de comprendre par eux-mêmes de nombreuses capacités de commutation. Par conséquent, dans cet article, nous examinerons les capacités des commutateurs modernes pour organiser des réseaux virtuels et parlerons des principes de base de leur configuration.

Objectif des réseaux virtuels

Un VLAN virtuel (Virtual LAN) fait référence à un groupe de nœuds de réseau qui forment un domaine de diffusion. Cette définition est tout à fait correcte, mais pas très informative, nous allons donc essayer d'interpréter le concept de réseau virtuel d'une manière légèrement différente.

Lors de la création d'un réseau local basé sur un commutateur, malgré la possibilité d'utiliser des filtres personnalisés pour limiter le trafic, tous les nœuds du réseau représentent un seul domaine de diffusion, c'est-à-dire que le trafic de diffusion est transmis à tous les nœuds du réseau. Ainsi, le commutateur ne restreint pas initialement le trafic de diffusion, et les réseaux eux-mêmes, construits selon ce principe, sont dits plats.

Réseaux virtuels forment un groupe de nœuds de réseau dans lequel tout le trafic, y compris le trafic de diffusion, est complètement isolé au niveau de la liaison des autres nœuds du réseau. Cela signifie que la transmission de trames entre des nœuds de réseau appartenant à différents réseaux virtuels sur la base de l'adresse de la couche liaison n'est pas possible (bien que les réseaux virtuels puissent communiquer entre eux au niveau de la couche réseau à l'aide de routeurs).

L'isolement de nœuds de réseau individuels au niveau de la liaison à l'aide de la technologie de réseau virtuel permet de résoudre plusieurs problèmes simultanément. Premièrement, les réseaux virtuels améliorent les performances du réseau en localisant le trafic de diffusion au sein du réseau virtuel et en créant une barrière à la tempête de diffusion. Transfère les paquets de diffusion (ainsi que les paquets de multidiffusion et d'adresse inconnue) au sein d'un réseau virtuel, mais pas entre les réseaux virtuels. Deuxièmement, l'isolement des réseaux virtuels les uns des autres au niveau de la couche liaison de données permet d'augmenter la sécurité du réseau, rendant certaines ressources indisponibles pour certaines catégories d'utilisateurs.

Types de réseaux virtuels

A l'émergence de la norme généralement reconnue pour l'organisation des réseaux virtuels IEEE 802.1Q, chaque fabricant d'équipements réseaux a utilisé sa propre technologie pour organiser les VLAN. Cette approche présentait un inconvénient majeur : les technologies d'un fabricant étaient incompatibles avec les technologies d'autres entreprises. Par conséquent, lors de la construction de réseaux virtuels basés sur plusieurs commutateurs, il était nécessaire d'utiliser uniquement des équipements d'un seul fabricant. L'adoption de la norme de réseau virtuel IEEE 802.1Q nous a permis de surmonter le problème d'incompatibilité, mais il existe encore des commutateurs qui soit ne supportent pas la norme IEEE 802.1Q, soit, en plus de la possibilité d'organiser des réseaux virtuels selon la norme IEEE 802.1 Q standard, prévoir d'autres technologies.

Il existe plusieurs façons de créer des réseaux virtuels, mais aujourd'hui, les commutateurs implémentent principalement la technologie de jonction de ports ou utilisent la spécification IEEE 802.1Q.

Réseaux virtuels basés sur l'agrégation de ports

Les réseaux virtuels basés sur les ports sont généralement implémentés dans des commutateurs intelligents ou des commutateurs gérés en plus de la capacité VLAN IEEE 802.1Q.

Cette méthode de création de réseaux virtuels est assez simple et, en règle générale, ne pose pas de problèmes. Chaque port du commutateur est affecté à l'un ou l'autre réseau virtuel, c'est-à-dire que les ports sont regroupés en réseaux virtuels. La décision de transférer un paquet réseau sur ce réseau est basée sur l'adresse MAC de destination et le port associé. Si vous connectez le PC d'un utilisateur à un port qui est assigné pour appartenir à un certain réseau virtuel, par exemple, au VLAN #1, alors ce PC appartiendra automatiquement au VLAN #1. Si un commutateur est connecté à ce port, alors tous les ports de ce commutateur appartiendront également au VLAN #1 (Fig. 1).

Riz. 1. Réseaux virtuels construits à l'aide de la technologie de jonction de ports basée sur un commutateur

Lors de l'utilisation de la technologie d'agrégation de ports, le même port peut être affecté simultanément à plusieurs réseaux virtuels, ce qui permet de mettre en œuvre des ressources partagées entre les utilisateurs de différents réseaux virtuels. Par exemple, pour mettre en œuvre partageà une imprimante réseau ou à un serveur de fichiers des utilisateurs des réseaux virtuels VLAN #1 et VLAN #2, le port du commutateur auquel il est connecté imprimante réseau ou un serveur de fichiers, doit être affecté simultanément au VLAN #1 et au VLAN #2 (Fig. 2).

Riz. 2. Création d'une ressource partagée entre plusieurs réseaux virtuels à l'aide de la technologie de jonction de ports

La technologie décrite présente un certain nombre d'avantages par rapport à l'utilisation de la norme IEEE 802.1Q, mais elle a également ses inconvénients.

Les avantages incluent la simplicité de la configuration des réseaux virtuels. De plus, il n'est pas nécessaire que les points de terminaison du réseau prennent en charge la norme IEEE 802.1Q, et comme la plupart des contrôleurs LAN Ethernet ne prennent pas en charge cette norme, la mise en réseau basée sur l'agrégation de ports peut être plus facile. De plus, avec une organisation similaire des réseaux virtuels, ils peuvent se croiser, ce qui vous permet de créer des ressources réseau partagées.

La technologie Port Trunking VLAN est utilisée dans les cas où un seul commutateur ou une pile de commutateurs avec une seule gestion est utilisé. Cependant, si le réseau est suffisamment grand et construit sur plusieurs commutateurs, les possibilités d'organiser des réseaux virtuels basés sur l'agrégation de ports ont des limites importantes. Tout d'abord, cette technologie n'évolue pas bien et se limite dans la plupart des cas à un seul interrupteur.

Considérons, par exemple, une situation où un réseau est construit sur la base de deux commutateurs supportant la technologie d'organisation de réseaux virtuels basée sur le port trunking (Fig. 3).

Riz. 3. Implémentation de réseaux virtuels basés sur l'agrégation de ports lors de l'utilisation de deux commutateurs

Soit qu'il soit nécessaire que certains des ports des premier et deuxième commutateurs appartiennent au VLAN #1 et l'autre partie au VLAN #2. Pour ce faire, il faut, d'une part, que les deux commutateurs permettent non seulement d'organiser des réseaux virtuels basés sur le regroupement de ports, mais aussi de répartir de tels réseaux sur plusieurs commutateurs (cette fonction n'est pas implémentée dans tous les commutateurs), et d'autre part , que tant de connexions physiques combien de réseaux virtuels ont été créés. Considérez deux commutateurs à 6 ports. Laissez dans le premier commutateur les ports 1 et 2 appartiennent au VLAN # 1, et les ports 3 et 4 au VLAN # 2 ; sur le deuxième commutateur, les ports 1, 2 et 3 sont pour le VLAN n° 1 et le port 4 est pour le VLAN n° 2. Pour que les utilisateurs du VLAN #1 sur le premier switch puissent communiquer avec les utilisateurs du VLAN #1 sur le second switch, ces switchs doivent être connectés entre eux par des ports appartenant au VLAN #1 (par exemple, le port 5 du premier et les deuxièmes commutateurs doivent être affectés au VLAN # 1). De même, pour que les utilisateurs du VLAN n° 2 sur le premier commutateur communiquent avec les utilisateurs du VLAN n° 2 sur le deuxième commutateur, ces commutateurs doivent être connectés via les ports attribués au VLAN n° 2 (cela peut être les ports 6 sur les deux commutateurs). Ainsi, le problème de l'évolutivité des réseaux virtuels basés sur la technologie de jonction de ports est résolu (mais pas dans tous les cas) en établissant des liens redondants entre les commutateurs.

Réseaux virtuels basés sur la norme IEEE 802.1Q

Si vous disposez d'une infrastructure réseau développée avec de nombreux commutateurs, la technologie IEEE 802.1Q sera une solution plus efficace pour créer des réseaux virtuels. Dans les réseaux virtuels basés sur la norme IEEE 802.1Q, les informations sur l'appartenance des trames Ethernet transmises à un réseau virtuel particulier sont intégrées dans la trame transmise elle-même. Ainsi, la norme IEEE 802.1Q définit des modifications de la structure de trame Ethernet pour permettre la transmission des informations VLAN sur le réseau.

Une balise de 4 octets est ajoutée à la trame Ethernet - ces trames sont appelées trames balisées. Des bits supplémentaires contiennent des informations sur l'appartenance de la trame Ethernet au réseau virtuel et sur sa priorité (Fig. 4).

La balise de trame ajoutée comprend un champ TPID (Tag Protocol Identifier) ​​​​à deux octets et un champ TCI (Tag Control Information) à deux octets. Le champ TCI, à son tour, se compose des champs Priorité, CFI et VID. Le champ Priorité a une longueur de 3 bits et spécifie huit niveaux de priorité de trame possibles. Le champ VID 12 bits (ID VLAN) est l'ID VLAN. Ces 12 bits permettent d'identifier 4096 VLAN différents, cependant, les ID 0 et 4095 sont réservés pour usage spécial, il est donc possible de définir 4094 réseaux virtuels dans la norme 802.1Q. Le champ CFI (Canonical Format Indicator) à 1 bit est réservé pour indiquer les trames d'autres types de réseau (Token Ring, FDDI) transmises sur le backbone Ethernet, et est toujours 0 pour les trames Ethernet.

La modification du format de trame Ethernet conduit au fait que les périphériques réseau qui ne prennent pas en charge la norme IEEE 802.1Q (de tels périphériques sont appelés Tag-unaware) ne peuvent pas fonctionner avec des trames dans lesquelles des balises sont insérées, et aujourd'hui la grande majorité Périphériques réseau(en particulier, les contrôleurs de point de terminaison Ethernet) ne prennent pas en charge cette norme. Par conséquent, pour assurer la compatibilité avec les appareils prenant en charge la norme IEEE 802.1Q (appareils compatibles avec les balises), les commutateurs standard IEEE 802.1Q doivent prendre en charge à la fois les trames Ethernet traditionnelles, c'est-à-dire les trames non balisées (Untagged) et les trames avec balises (Tagged). .

Le trafic entrant et sortant, selon le type de source et de destination, peut être constitué à la fois de trames balisées et de trames non balisées - ce n'est que dans ce cas qu'il est possible d'obtenir la compatibilité avec des appareils externes au commutateur. Le trafic à l'intérieur du commutateur est toujours constitué de paquets étiquetés. Ainsi, afin de supporter différents types de trafic et pour que le trafic interne du commutateur soit formé de paquets Tagged, les trames sur les ports de réception et d'émission du commutateur doivent être converties selon des règles prédéfinies.

Règles d'entrée

Considérons plus en détail le processus de transmission d'une trame à travers un commutateur (Fig. 5). En ce qui concerne le trafic, chaque port du commutateur peut être à la fois entrant et sortant. Une fois la trame reçue par le port d'entrée du commutateur, la décision concernant son traitement ultérieur est prise en fonction des règles d'entrée prédéfinies. Étant donné que la trame reçue peut être à la fois de type Tagged et Untagged, les règles du port d'entrée déterminent quels types de trame doivent être acceptés par le port et lesquels doivent être filtrés. Les options suivantes sont possibles : recevoir uniquement des trames de type Tagged, recevoir uniquement des trames de type Untagged, recevoir des trames des deux types. Par défaut, pour tous les commutateurs, les règles de port d'entrée définissent la possibilité de recevoir les deux types de trames.

Riz. 5. Processus de transfert dans un commutateur conforme IEEE 802.1Q

Si les règles du port d'entrée déterminent qu'il peut recevoir une trame Tagged, qui contient des informations sur l'appartenance à un réseau virtuel (VID) spécifique, alors cette trame est transmise inchangée. Et s'il est possible de travailler avec des trames Untagged, qui ne contiennent pas d'informations sur l'appartenance à un réseau virtuel, alors tout d'abord, une telle trame est convertie par le port d'entrée du commutateur au type Tagged (rappelons que toutes les trames à l'intérieur le commutateur doit avoir des balises sur l'appartenance à un réseau virtuel) ...

Pour rendre cette conversion possible, chaque port du commutateur se voit attribuer un PVID (Port VLAN Identifier) ​​unique, qui identifie le port appartenant à un réseau virtuel spécifique au sein du commutateur (par défaut, tous les ports du commutateur ont le même PVID = 1). La trame Untagged est convertie en type Tagged, pour laquelle elle est complétée par la balise VID (Fig. 6). La valeur du champ VID de la trame non étiquetée entrante est définie égale à la valeur du PVID du port entrant, c'est-à-dire que toutes les trames non étiquetées entrantes sont automatiquement attribuées au réseau virtuel à l'intérieur du commutateur auquel appartient le port entrant.

Règles du processus de transfert

Une fois que toutes les trames entrantes ont été filtrées, transformées ou laissées inchangées conformément aux règles du port entrant, la décision de les envoyer au port sortant est basée sur des règles de transfert de paquets prédéfinies. La règle de transfert des paquets au sein d'un commutateur est que les paquets ne peuvent être envoyés qu'entre les ports associés au même réseau virtuel. Comme déjà noté, chaque port se voit attribuer un PVID, qui est utilisé pour convertir les trames non étiquetées reçues, ainsi que pour déterminer si le port appartient à un réseau virtuel à l'intérieur du commutateur avec VID = PVID. Ainsi, des ports de même identifiant au sein d'un même commutateur sont associés au même réseau virtuel. Si un réseau virtuel est construit sur la base d'un seul commutateur, alors l'identifiant de port PVID, qui détermine son appartenance au réseau virtuel, suffit amplement. Cependant, les réseaux ainsi créés ne peuvent pas se chevaucher, puisqu'un seul identifiant correspond à chaque port du commutateur. En ce sens, les réseaux virtuels que vous créez ne seraient pas aussi flexibles que les réseaux virtuels basés sur les ports. Cependant, la norme IEEE 802.1Q a été conçue dès le départ pour créer une infrastructure VLAN évolutive qui comprend plusieurs commutateurs, et c'est son principal avantage par rapport à la technologie VLAN basée sur les ports. Cependant, les ID de port seuls ne suffisent pas pour étendre le réseau au-delà d'un seul commutateur, de sorte que chaque port peut être associé à plusieurs VLAN avec différents VID.

Si l'adresse de destination du paquet correspond à un port de commutateur qui appartient au même réseau virtuel que le paquet lui-même (le paquet VID et le port VID ou le paquet VID et le port PVID peuvent correspondre), alors un tel paquet peut être transmis. Si la trame transmise appartient à un réseau virtuel avec lequel le port de sortie n'est connecté d'aucune façon (le VID du paquet ne correspond pas au PVID/VID du port), alors la trame ne peut pas être transmise et est rejetée.

Règles de sortie

Une fois que les trames à l'intérieur du commutateur sont transmises au port de sortie, leur conversion ultérieure dépend des règles du port de sortie. Comme déjà mentionné, le trafic à l'intérieur du commutateur est généré uniquement par des paquets étiquetés, et le trafic entrant et sortant peut être formé par les deux types de paquets. Selon les règles du port de sortie (règle de contrôle des balises), il est déterminé si les trames balisées doivent être converties au format non balisé.

Chaque port du commutateur peut être configuré en tant que port balisé ou non balisé. Si le port sortant est défini en tant que port balisé, le trafic sortant sera généré par des trames balisées contenant des informations sur l'appartenance au VLAN. Par conséquent, le port de sortie ne change pas le type de trame, les laissant les mêmes qu'ils étaient à l'intérieur du commutateur. Seul un appareil conforme à la norme IEEE 802.1Q, tel qu'un commutateur ou un serveur avec une carte réseau prenant en charge les VLAN de cette norme, peut être connecté au port spécifié.

Si le port de sortie du commutateur est défini comme port non étiqueté, toutes les trames sortantes sont converties au type non étiqueté, c'est-à-dire que des informations supplémentaires sur l'appartenance au réseau virtuel en sont supprimées. N'importe quel périphérique réseau peut être connecté à ce port, y compris un commutateur non conforme à la norme IEEE 802.1Q ou des PC clients finaux dont les cartes réseau ne prennent pas en charge les VLAN de cette norme.

Configuration des VLAN IEEE 802.1Q

Considérons des exemples spécifiques de configuration de réseaux virtuels de la norme IEEE 802.1Q.

Pour former un VLAN conformément à la norme IEEE 802.1Q, vous devez procéder comme suit :

  • définir le nom du réseau virtuel (par exemple, VLAN # 1) et déterminer son identifiant (VID);
  • sélectionnez les ports qui appartiendront à ce réseau virtuel ;
  • définir les règles pour les ports d'entrée du réseau virtuel (la possibilité de travailler avec des trames de tous types, uniquement avec des trames non étiquetées ou uniquement avec des trames étiquetées);
  • définir les mêmes PVID de ports inclus dans le réseau virtuel ;
  • définissez des règles de port de sortie pour chaque port de réseau virtuel en les configurant en tant que port balisé ou port non balisé.

Ensuite, vous devez répéter les étapes ci-dessus pour le prochain réseau virtuel. Il ne faut pas oublier qu'un seul PVID peut être affecté à chaque port, mais le même port peut faire partie de différents réseaux virtuels, c'est-à-dire qu'il peut être associé à plusieurs VID en même temps.

Tableau 1. Définition des caractéristiques des ports lors de la création de réseaux virtuels basés sur un commutateur

Exemples de construction de réseaux VLAN basés sur des commutateurs compatibles avec la norme IEEE 802.1Q

Examinons maintenant des exemples typiques de création de réseaux virtuels basés sur des commutateurs prenant en charge la norme IEEE 802.1Q.

S'il n'y a qu'un seul commutateur sur les ports auxquels les ordinateurs des utilisateurs finaux sont connectés, alors pour créer des réseaux virtuels complètement isolés les uns des autres, tous les ports doivent être déclarés en tant que ports Untagget pour assurer la compatibilité avec les contrôleurs de réseau Ethernet client. L'appartenance des hôtes à un VLAN particulier est déterminée en définissant l'identifiant de port PVID.

Prenez un commutateur à huit ports qui crée trois réseaux virtuels isolés VLAN #1, VLAN #2 et VLAN #3 (Figure 7). Les premier et deuxième ports du commutateur sont affectés PVID = 1. Puisque les identifiants de ces ports coïncident avec l'identifiant du premier réseau virtuel (PVID = VID), ces ports forment le VLAN #1 (Tableau 1). Si les ports 3, 5 et 6 sont affectés PVID = 2 (coïncidant avec le VID du VLAN #2), alors le deuxième réseau virtuel sera formé par les ports 3, 4 et 8. Le VLAN #3 est formé de la même manière sur la base des ports 5, 6 et 7. Pour assurer la compatibilité avec l'équipement final (il est supposé que les PC des clients réseau dont les cartes réseau ne sont pas compatibles avec la norme IEEE 802.1Q sont connectés aux ports du commutateur), tous les ports doivent être configurés comme non étiquetés.

Riz. 7. Organisation de trois VLAN selon la norme IEEE 802.1Q basée sur un switch

Si l'infrastructure réseau comprend plusieurs commutateurs prenant en charge la norme IEEE 802.1Q, un principe de configuration légèrement différent doit être utilisé pour communiquer les commutateurs entre eux. Considérez deux commutateurs à six ports qui prennent en charge la norme IEEE 802.1Q et sur la base desquels vous devez configurer trois réseaux virtuels isolés VLAN #1, VLAN #2 et VLAN #3.

Laissez le premier réseau virtuel inclure les clients connectés aux ports 1 et 2 sur le premier commutateur et aux ports 5 et 6 sur le deuxième commutateur. Le VLAN n° 2 fait référence aux clients connectés au port 3 du premier commutateur et au port 1 du deuxième commutateur, tandis que le VLAN n° 3 fait référence aux clients connectés aux ports 4 et 5 du premier commutateur et aux ports 2 et 3 du deuxième commutateur. Le port 6 du premier commutateur et le port 4 du deuxième commutateur sont utilisés pour connecter les commutateurs entre eux (figure 8).

Riz. 8. Organisation de trois VLAN selon la norme IEEE 802.1Q basée sur deux commutateurs

Pour configurer ces réseaux virtuels, vous devez tout d'abord définir sur chacun des commutateurs trois réseaux virtuels VLAN #1, VLAN #2 et VLAN #3, en précisant leurs identifiants (VID = 1 pour VLAN #1, VID = 2 pour VLAN # 2 et VID = 3 pour le VLAN #3).

Sur le premier commutateur, les ports 1 et 2 doivent faire partie du VLAN #1, pour lequel ces ports sont affectés PVID = 1. Le port 2 du premier commutateur doit être affecté au VLAN # 2, pour lequel l'ID de port est affecté à la valeur PVID = 2. De même, les ports 5 et 6 du premier commutateur sont définis sur PVID = 3, car ces ports appartiennent au VLAN # 3. Tous les ports spécifiés sur le premier commutateur doivent être configurés en tant que port non balisé pour être compatibles avec les cartes réseau client.

Le port 4 du premier commutateur est utilisé pour communiquer avec le deuxième commutateur et doit transférer les trames des trois VLAN inchangés vers le deuxième commutateur. Par conséquent, il doit être configuré en tant que port étiqueté et inclus dans les trois réseaux virtuels (associé à VID = 1, VID = 2 et VID = 3). Dans ce cas, l'identifiant du port n'a pas d'importance et peut être n'importe quoi (dans notre cas, PVID = 4).

Une procédure similaire de configuration des réseaux virtuels est effectuée sur le deuxième commutateur. Les configurations de port des deux commutateurs sont indiquées dans le tableau. 2.

Tableau 2. Définition des caractéristiques des ports lors de la création de réseaux virtuels basés sur deux commutateurs

Inscription automatique aux réseaux virtuels IEEE 802.1Q

Les exemples considérés de réseaux virtuels appartenaient aux réseaux virtuels dits statiques (VLAN statique), dans lesquels tous les ports sont configurés manuellement, ce qui, bien que très évident, mais avec une infrastructure réseau développée est une affaire plutôt routinière. De plus, chaque fois que des utilisateurs se déplacent au sein du réseau, il est nécessaire de reconfigurer le réseau afin de maintenir leur appartenance aux réseaux virtuels donnés, ce qui, bien entendu, est hautement indésirable.

Il y a et manière alternative configuration de réseaux virtuels, et les réseaux créés par cela sont appelés réseaux virtuels dynamiques (Dynamic VLAN). Dans de tels réseaux, les utilisateurs peuvent s'enregistrer automatiquement dans le VLAN à l'aide d'un protocole d'enregistrement spécial GVRP (GARP VLAN Registration Protocol). Ce protocole définit la manière dont les commutateurs échangent des informations VLAN pour enregistrer automatiquement les membres VLAN sur les ports du réseau.

Tous les commutateurs qui prennent en charge GVRP peuvent recevoir dynamiquement des informations d'enregistrement VLAN d'autres commutateurs (et donc les transmettre à d'autres commutateurs), y compris des informations sur les membres VLAN actuels, le port via lequel les membres VLAN sont accessibles, etc. GVRP utilise des messages GVRP Bridge Protocol Data Units (GVRP BPDU) pour communiquer d'un commutateur à un autre. Tout périphérique compatible GVPR qui reçoit un tel message peut rejoindre dynamiquement le VLAN pour lequel il est annoncé.

Le concept de réseaux privés virtuels, abrégé en VPN (de l'anglais est apparu dans la technologie informatique récemment. La création de ce type de connexion a permis de combiner des terminaux informatiques et des appareils mobiles dans des réseaux virtuels sans les fils habituels, et quel que soit l'emplacement d'un terminal particulier. Nous allons maintenant examiner la question du fonctionnement d'une connexion VPN et, en même temps, nous donnerons quelques recommandations pour la configuration de tels réseaux et programmes clients associés.

Qu'est-ce qu'un VPN ?

Comme vous l'avez déjà compris, un VPN est un réseau privé virtuel auquel plusieurs appareils sont connectés. Il ne faut pas se leurrer - il est généralement impossible de connecter une douzaine de deux ou trois terminaux informatiques fonctionnant simultanément (comme cela peut être fait en LAN). Cela a ses propres limites dans la configuration du réseau ou même simplement dans la bande passante du routeur chargé d'attribuer les adresses IP et

Cependant, l'idée initialement intégrée dans la technologie de connexion n'est pas nouvelle. Ils ont longtemps essayé de le prouver. Et de nombreux utilisateurs modernes réseaux informatiques ils n'imaginent même pas qu'ils en ont eu connaissance toute leur vie, mais ils n'ont tout simplement pas essayé de saisir l'essence du problème.

Comment fonctionne une connexion VPN : principes et technologies de base

Pour une meilleure compréhension, nous donnerons l'exemple le plus simple, connu de tous. l'homme moderne... Prenez la radio, par exemple. En effet, en fait, il s'agit d'un appareil émetteur (traducteur), d'une unité intermédiaire (répéteur) chargée de la transmission et de la distribution du signal, et d'un appareil récepteur (récepteur).

Une autre chose est que le signal est diffusé à absolument tous les consommateurs et que le réseau virtuel fonctionne de manière sélective, en combinant uniquement certains appareils en un seul réseau. Notez que ni dans le premier ni dans le second cas, les fils pour connecter les appareils émetteurs et récepteurs qui échangent des données entre eux ne sont pas nécessaires.

Mais il y a aussi quelques subtilités ici. Le fait est qu'au départ, le signal radio n'était pas protégé, c'est-à-dire qu'il peut être reçu par n'importe quel radioamateur doté d'un appareil fonctionnant à la fréquence appropriée. Comment fonctionne un VPN ? Oui, exactement pareil. Seulement dans ce cas, le rôle de répéteur est joué par un routeur (routeur ou modem ADSL), et le rôle de récepteur est joué par un terminal informatique fixe, un ordinateur portable ou un appareil mobile équipé d'un module spécial. connexion sans fil(Wifi).

Avec tout cela, les données provenant de la source sont d'abord cryptées, et seulement ensuite, à l'aide d'un décodeur spécial, sont reproduites sur appareil spécifique... Ce principe de communication via un VPN est appelé tunneling. Et ce principe est le plus cohérent avec connexion mobile lorsque la redirection se produit vers un abonné spécifique.

Tunneling des réseaux virtuels locaux

Voyons comment fonctionne le VPN en mode tunnel. Essentiellement, cela implique la création d'une certaine ligne droite, disons, du point "A" au point "B", lorsque, lors de la transmission de données à partir d'une source centrale (un routeur avec une connexion serveur), tous les périphériques réseau sont automatiquement déterminés selon une configuration prédéterminée.

En d'autres termes, un tunnel est créé avec cryptage lors de l'envoi de données et décodage lors de la réception de données. Il s'avère qu'aucun autre utilisateur ayant tenté d'intercepter des données de ce type lors de la transmission ne pourra les déchiffrer.

Moyens de mise en œuvre

Les systèmes Cisco sont l'un des outils les plus puissants pour ce type de connectivité et de sécurité. Certes, certains administrateurs inexpérimentés se demandent pourquoi l'équipement VPN-Cisco ne fonctionne pas.

Ceci est principalement dû à mauvais réglage et les pilotes installés pour les routeurs D-Link ou ZyXEL, qui nécessitent réglage fin uniquement parce qu'ils sont équipés de pare-feu intégrés.

De plus, vous devez faire attention aux schémas de connexion. Il peut y en avoir deux : route à route ou accès à distance. Dans le premier cas, il s'agit de combiner plusieurs dispositifs de distribution, et dans le second, il s'agit de gérer la connexion ou le transfert de données à l'aide d'un accès distant.

Protocoles d'accès

En termes de protocoles, les outils de configuration de la couche PCP/IP sont majoritairement utilisés aujourd'hui, bien que les protocoles internes des VPN puissent varier.

Le VPN ne fonctionne plus ? Il y a quelques paramètres cachés à regarder. Ainsi, par exemple, les protocoles supplémentaires PPP et PPTP basés sur la technologie TCP appartiennent toujours aux piles de protocoles TCP / IP, mais pour une connexion, disons, dans le cas de l'utilisation de PPTP, vous devez utiliser deux adresses IP au lieu de celle prescrite. . Cependant, dans tous les cas, le tunneling implique le transfert de données enfermées dans des protocoles internes tels que IPX ou NetBEUI, et tous sont fournis avec des en-têtes spéciaux basés sur PPP pour une transmission fluide des données au pilote réseau correspondant.

Périphériques matériels

Examinons maintenant la situation où la question se pose de savoir pourquoi le VPN ne fonctionne pas. Il est compréhensible que le problème puisse être lié à une configuration incorrecte de l'équipement. Mais une autre situation peut également apparaître.

Il convient de prêter attention aux routeurs eux-mêmes, qui contrôlent la connexion. Comme mentionné ci-dessus, vous ne devez utiliser que des appareils adaptés aux paramètres de connexion.

Par exemple, des routeurs comme le DI-808HV ou le DI-804HV sont capables de connecter jusqu'à quarante appareils en même temps. Quant à l'équipement ZyXEL, dans de nombreux cas, il peut fonctionner même via le système d'exploitation réseau embarqué ZyNOS, mais uniquement en utilisant le mode ligne de commande via le protocole Telnet. Cette approche vous permet de configurer n'importe quel appareil avec transmission de données sur trois réseaux dans un environnement Ethernet commun avec trafic IP, ainsi que d'utiliser la technologie Any-IP unique conçue pour utiliser une table de routeur standard avec trafic redirigé comme passerelle pour les systèmes qui ont été configuré à l'origine pour fonctionner sur d'autres sous-réseaux.

Que faire si le VPN ne fonctionne pas (Windows 10 et versions antérieures) ?

La toute première condition et la plus importante est la correspondance des clés de sortie et d'entrée (clés pré-partagées). Ils doivent être les mêmes aux deux extrémités du tunnel. Il convient également de prêter attention aux algorithmes de chiffrement cryptographique (IKE ou Manuel) avec ou sans fonction d'authentification.

Par exemple, le même protocole AH (dans la version anglaise - Authentication Header) ne peut fournir qu'une autorisation sans possibilité d'utiliser le cryptage.

Les clients VPN et leur configuration

En ce qui concerne les clients VPN, ce n'est pas si simple. La plupart des programmes basés sur de telles technologies utilisent des méthodes de configuration standard. Cependant, il y a des pièges ici.

Le problème est que peu importe comment vous installez le client, lorsque le service est désactivé dans le système d'exploitation lui-même, rien de bon n'en sortira. C'est pourquoi vous devez d'abord activer ces paramètres dans Windows, puis les activer sur le routeur (routeur), et ensuite seulement procéder à la configuration du client lui-même.

Dans le système lui-même, vous devrez créer une nouvelle connexion et ne pas utiliser celle existante. Nous ne nous attarderons pas là-dessus, car la procédure est standard, mais sur le routeur lui-même, vous devrez entrer dans des paramètres supplémentaires (le plus souvent ils se trouvent dans le menu Type de connexion WLAN) et activer tout ce qui concerne le serveur VPN.

Il convient également de noter que vous devrez vous-même l'installer dans le système en tant que programme d'accompagnement. Mais alors il peut être utilisé même sans réglage manuel en choisissant simplement l'emplacement le plus proche.

L'un des plus populaires et des plus faciles à utiliser est un client-serveur VPN appelé SecurityKISS. Le programme est installé, mais vous n'avez même pas besoin d'entrer dans les paramètres afin d'assurer une communication normale pour tous les appareils connectés au distributeur.

Il arrive que le package Kerio VPN Client bien connu et populaire ne fonctionne pas. Ici, vous devrez faire attention non seulement au système d'exploitation lui-même, mais également aux paramètres du programme client. En règle générale, la saisie des paramètres corrects éliminera le problème. Dans les cas extrêmes, vous devrez vérifier les paramètres de la connexion principale et les protocoles TCP/IP utilisés (v4/v6).

Quelle est la ligne de fond?

Nous avons expliqué comment fonctionne un VPN. En principe, il n'y a rien de difficile dans la connexion elle-même ou dans la création de réseaux de ce type. Les principales difficultés résident dans la mise en place d'un équipement spécifique et le paramétrage de ses paramètres, ce que, malheureusement, de nombreux utilisateurs oublient, s'appuyant sur le fait que tout le processus sera réduit à l'automatisation.

D'autre part, nous avons maintenant davantage traité les problèmes liés au fonctionnement technique des VPN virtuels eux-mêmes, vous devrez donc configurer l'équipement, installer les pilotes de périphériques, etc., en utilisant des instructions et des recommandations distinctes.


DANS Ces derniers temps dans le monde des télécommunications, il y a un intérêt accru pour les réseaux privés virtuels (VPN). Cela est dû à la nécessité de réduire le coût de maintenance des réseaux d'entreprise en raison de la connexion moins chère des bureaux distants et des utilisateurs distants via Internet (voir Fig. 1). En effet, lorsque l'on compare le coût de connexion de plusieurs réseaux sur Internet, par exemple, avec des réseaux Frame Relay, vous pouvez remarquer une différence de coût significative. Cependant, il convient de noter que lors de la connexion de réseaux via Internet, la question se pose immédiatement de la sécurité de la transmission des données, il est donc devenu nécessaire de créer des mécanismes pour assurer la confidentialité et l'intégrité des informations transmises. Les réseaux construits sur la base de tels mécanismes sont appelés VPN.

Figure 1. Réseau privé virtuel.

Dans mon essai, je vais essayer d'expliquer ce qu'est un VPN, quels sont ses avantages et ses inconvénients cette technologie et quelles implémentations VPN sont là.

Qu'est-ce que le VPN

Qu'est-ce qu'un VPN ? Il existe de nombreuses définitions, mais la principale poinçonner Cette technologie est l'utilisation d'Internet comme épine dorsale pour la transmission du trafic IP d'entreprise. Les VPN sont conçus pour relever les défis de la connexion d'un utilisateur final à un réseau distant et de la connexion de plusieurs réseaux locaux. La structure VPN comprend des liens WAN, des protocoles sécurisés et des routeurs.

Comment fonctionne un réseau privé virtuel ? Pour intégrer des réseaux locaux distants dans un réseau virtuel d'entreprise, des canaux virtuels dédiés sont utilisés. Pour créer de telles connexions, un mécanisme de tunnel est utilisé. L'initiateur de tunnel encapsule les paquets LAN (y compris les paquets de protocole non routables) dans de nouveaux paquets IP qui contiennent l'adresse de cet initiateur de tunnel et l'adresse du terminateur de tunnel dans leur en-tête. À l'extrémité opposée, la terminaison de tunnel effectue le processus inverse d'extraction du paquet d'origine.

Comme indiqué ci-dessus, un tel transfert nécessite la prise en compte des problèmes de confidentialité et d'intégrité des données qui ne peuvent pas être atteints avec un simple tunneling. Pour atteindre la confidentialité des informations d'entreprise transmises, il est nécessaire d'utiliser un certain algorithme de cryptage, qui est le même aux deux extrémités du tunnel.

Afin de pouvoir créer un VPN basé sur du matériel et des logiciels de différents fabricants, un mécanisme standard est nécessaire. L'un de ces mécanismes de construction VPN est la sécurité du protocole Internet (IPSec). IPSec décrit toutes les méthodes VPN standard. Ce protocole définit les méthodes d'authentification utilisées pour initialiser le tunnel, les méthodes de chiffrement utilisées par les extrémités du tunnel et les mécanismes d'échange et de gestion des clés de chiffrement entre ces points. Les inconvénients de ce protocole incluent le fait qu'il est orienté IP.

Les autres protocoles de construction VPN sont PPTP (Point-to-Point Tunneling Protocol) développé par Ascend Communications et 3Com, L2F (Layer-2 Forwarding) par Cisco Systems et L2TP (Layer-2 Tunneling Protocol), qui combine les deux protocoles ci-dessus. Cependant, ces protocoles, contrairement à IPSec, ne sont pas entièrement fonctionnels (par exemple, PPTP ne définit pas la méthode de cryptage), nous nous concentrerons donc principalement sur IPSec.

En parlant d'IPSec, il ne faut pas oublier le protocole IKE (Internet Key Exchange), qui permet d'assurer le transfert des informations via le tunnel, hors interférences extérieures. Ce protocole résout le problème de la gestion et de l'échange sécurisés des clés cryptographiques entre les appareils distants, tandis qu'IPSec crypte et signe les paquets. IKE automatise le processus de transfert de clé à l'aide d'un mécanisme de cryptage Clé publique, établir Connexion sécurisée... De plus, IKE permet de changer la clé d'une connexion déjà établie, ce qui augmente considérablement la confidentialité des informations transmises.

Comment créer un VPN

Il existe différentes options pour créer un VPN. Lorsque vous choisissez une solution, vous devez tenir compte des facteurs de performance de votre constructeur VPN. Par exemple, si un routeur fonctionne déjà à la limite de la puissance de son processeur, alors l'ajout de tunnels VPN et l'application du chiffrement/déchiffrement des informations peuvent arrêter le fonctionnement de l'ensemble du réseau du fait que ce routeur ne pourra pas faire face à trafic simple, sans parler du VPN.

L'expérience montre qu'il est préférable d'utiliser un équipement spécialisé pour construire un VPN, mais si les moyens sont limités, vous pouvez alors faire attention à une solution purement logicielle.

Considérons quelques options pour créer un VPN :

VPN basé sur des pare-feu

Les pare-feu de la plupart des fournisseurs prennent en charge le tunneling et le cryptage des données. Tous ces produits sont basés sur le fait que si le trafic passe par un pare-feu, pourquoi ne pas le chiffrer en même temps. Un module de cryptage est ajouté au logiciel de pare-feu réel. L'inconvénient de cette méthode est la dépendance des performances vis-à-vis du matériel sur lequel le pare-feu s'exécute. Lorsque vous utilisez des pare-feu pour PC, n'oubliez pas que décision similaire ne peut être utilisé que pour les petits réseaux avec une petite quantité d'informations transmises.

Figure 2. Pare-feu VPN

Le Firewall-1 de Check Point Software Technologies est un exemple de solution de pare-feu. FairWall-1 utilise une approche standard basée sur IPSec pour créer un VPN. Le trafic entrant dans le pare-feu est déchiffré, puis des règles de contrôle d'accès standard lui sont appliquées. FireWall-1 fonctionne sur les systèmes d'exploitation Solaris et Windows NT 4.0.

Basé sur un routeur VPN

Une autre façon de créer un VPN consiste à utiliser des routeurs pour créer des canaux sécurisés. Etant donné que toutes les informations sortant du réseau local transitent par le routeur, il est conseillé d'affecter à ce routeur les tâches de chiffrement.

Un exemple frappant d'équipement pour construire un VPN sur des routeurs est l'équipement de Cisco Systems. À partir de la version du logiciel IOS 11.3 (3) T, les routeurs Cisco prennent en charge L2TP et IPSec. En plus de cryptage simple Cisco prend également en charge d'autres fonctionnalités VPN telles que l'authentification par tunnel et l'échange de clés.


Figure 3. Routeur VPN

Pour créer un VPN, Cisco utilise le tunneling avec cryptage de n'importe quel flux IP. Dans ce cas, le tunnel peut être établi en fonction des adresses source et destination, du numéro de port TCP (UDP) et de la qualité de service (QoS) spécifiée.

Un module de cryptage ESA (Encryption Service Adapter) en option peut être utilisé pour améliorer les performances du routeur.

En outre, Cisco System a lancé une appliance VPN dédiée appelée Cisco 1720 VPN Access Router pour les petites et moyennes entreprises et les grandes succursales.

Logiciel VPN basé

La prochaine approche pour créer un VPN est purement logicielle. Lors de la mise en œuvre d'une telle solution, un Logiciel qui s'exécute sur un ordinateur dédié et agit dans la plupart des cas comme un serveur proxy. Un ordinateur avec un tel logiciel peut être situé derrière un pare-feu.


Figure 4. VPN logiciel

Le logiciel AltaVista Tunnel 97 de Digital est un exemple d'une telle solution. Lors de l'utilisation de ce logiciel, le client se connecte au serveur Tunnel 97, s'y authentifie et échange des clés. Le chiffrement est effectué sur la base de clés Rivest-Cipher 4 de 56 ou 128 bits obtenues lors du processus d'établissement de la connexion. Ensuite, les paquets cryptés sont encapsulés dans d'autres paquets IP, qui à leur tour sont envoyés au serveur. En cours de fonctionnement, Tunnel 97 vérifie l'intégrité des données à l'aide de l'algorithme MD5. De plus, ce logiciel génère de nouvelles clés toutes les 30 minutes, ce qui augmente considérablement la sécurité de la connexion.

L'AltaVista Tunnel 97 bénéficie d'une facilité d'installation et d'utilisation. Les inconvénients de ce système peuvent être considérés comme une architecture non standard (algorithme d'échange de clé propriétaire) et de faibles performances.

VPN basé sur le système d'exploitation du réseau

Nous considérerons des solutions basées sur un système d'exploitation réseau en utilisant l'exemple du système Windows NT de Microsoft. Pour créer un VPN, Microsoft utilise PPTP, qui est intégré à Système Windows NT. Cette décision très attrayant pour les organisations utilisant Windows en tant qu'entreprise système opérateur... Il est à noter que le coût d'une telle solution est nettement inférieur au coût des autres solutions. VPN en fonctionnement le Basé sur Windows NT utilise la base d'utilisateurs NT stockée sur le contrôleur de domaine principal (PDC). Lors de la connexion à un serveur PPTP, l'utilisateur est authentifié à l'aide de PAP, CHAP ou MS-CHAP. Les paquets transmis sont encapsulés dans des paquets GRE/PPTP. Pour crypter les paquets, un protocole de cryptage point à point Microsoft non standard est utilisé avec une clé de 40 ou 128 bits obtenue au moment de l'établissement de la connexion. Les inconvénients de ce système sont l'absence de contrôle d'intégrité des données et l'impossibilité de changer les clés lors de la connexion. Les points positifs sont la facilité d'intégration avec Windows et le faible coût.

Les réseaux privés sont utilisés par les organisations pour se connecter à des sites distants et à d'autres organisations. Les réseaux privés sont constitués de lignes de communication louées à diverses compagnies de téléphone et fournisseurs de services Internet. Ces liens se caractérisent par le fait qu'ils ne relient que deux objets, étant séparés du reste du trafic, puisque les liens loués assurent une communication bidirectionnelle entre deux sites. Les réseaux privés présentent de nombreux avantages.

  • L'information est gardée secrète.
  • Les sites distants peuvent échanger des informations immédiatement.
  • Les utilisateurs distants ne se sentent pas isolés du système auquel ils accèdent.

Malheureusement, ce type de réseau présente un gros inconvénient : son coût élevé. L'utilisation de réseaux privés coûte très cher. L'utilisation de liaisons plus lentes peut économiser de l'argent, mais les utilisateurs distants commenceront alors à remarquer le goulot d'étranglement de la vitesse et certains des avantages ci-dessus deviendront moins évidents.

Avec le nombre croissant d'utilisateurs d'Internet, de nombreuses organisations sont passées aux réseaux privés virtuels (VPN). Réseaux privés virtuels offrent de nombreux avantages des réseaux privés à moindre coût. Cependant, avec l'introduction d'un VPN, toute une série de problèmes et de dangers se posent pour l'organisation. Un VPN correctement construit peut être très avantageux pour une organisation. Si le VPN n'est pas implémenté correctement, toutes les informations transmises via le VPN sont accessibles depuis Internet.

Définir des VPN

Ainsi, nous avons l'intention de transférer les données classifiées de l'organisation via Internet sans utiliser de canaux de communication loués, tout en prenant toutes les mesures pour assurer confidentialité du trafic... Comment arrivons-nous à séparer notre trafic du trafic des autres utilisateurs du réseau mondial ? La réponse à cette question est le cryptage.

Tout type de trafic peut être trouvé sur Internet. Une grande partie de ce trafic va à formulaire ouvert et tout utilisateur observant ce trafic pourra le reconnaître. Cela s'applique à la plupart des e-mails et du trafic Web, ainsi qu'aux sessions telnet et FTP. Le trafic Secure Shell (SSH) et Hypertext Transfer Protocol Secure (HTTPS) est un trafic crypté et ne peut pas être consulté par l'utilisateur de suivi. Cependant, le trafic tel que SSH et HTTPS ne forme pas un VPN.

Réseaux privés virtuels ont plusieurs caractéristiques.

  • Le trafic est crypté pour fournir une protection contre les écoutes clandestines.
  • Le site distant est authentifié.
  • Les VPN prennent en charge une variété de protocoles.
  • La connexion assure la communication uniquement entre deux abonnés spécifiques.

Étant donné que SSH et HTTPS ne sont pas capables de prendre en charge plusieurs protocoles, il en va de même pour les vrais VPN. Les paquets VPN sont mélangés au trafic Internet normal et existent séparément car ce trafic ne peut être lu que par les points de terminaison de la connexion.

Noter

Il est possible de mettre en œuvre la transmission du trafic sur une session SSH à l'aide de tunnels. Cependant, pour les besoins de ce chapitre, nous ne considérerons pas SSH comme un VPN.

Examinons de plus près chacune des caractéristiques du VPN. Comme mentionné ci-dessus, le trafic VPN est crypté pour empêcher l'écoute clandestine. Le cryptage doit être suffisamment fort pour être garanti confidentialité informations transmises pour la période aussi longtemps qu'elles sont pertinentes. Les mots de passe ont une durée de validité de 30 jours (cela implique une politique de changement de mot de passe tous les 30 jours) ; cependant, les informations classifiées peuvent ne pas perdre de leur valeur au fil des ans. Par conséquent, l'algorithme de cryptage et l'utilisation de VPN devraient empêcher le décryptage illégal du trafic pendant plusieurs années.

La deuxième caractéristique est que le site distant est authentifié. Cette fonctionnalité peut nécessiter l'authentification de certains utilisateurs sur un serveur central ou l'authentification mutuelle des deux nœuds connectés par le VPN. Le mécanisme d'authentification utilisé est contrôlé par la politique. La politique peut prévoir l'authentification de l'utilisateur à l'aide de deux paramètres ou à l'aide de mots de passe dynamiques. À authentification mutuelle il peut être nécessaire que les deux sites démontrent la connaissance d'un certain secret partagé (un secret signifie certaines informations qui sont connues à l'avance par les deux sites), ou il peut être nécessaire

Vous avez aimé l'article ? A partager avec des amis :
Vous pouvez également être intéressé par