Veille Technologique

mardi 21 mai 2013

le protocole VTP (VLAN Trunking protocol)

VLAN Trunking Protocol est un protocole de niveau 2 utilisé par les commutateurs Cisco pour s’échanger des informations de configuration des VLAN. VTP fonctionne par l’envoi de mise à jour entre les commutateurs pour que l’ensemble des commutateurs se synchronisent et utilisent tous la même configuration. Un commutateur peut être dans l’un de ces trois modes : Serveur, Client ou Transparent.
La configuration des VLAN sera faite sur un commutateur en mode serveur. Les autres commutateurs en mode client ou serveur prendront connaissance des nouvelles informations de VLAN. Les commutateurs en mode client ne peuvent pas être utilisés pour la configuration des VLAN. Pour qu’un commutateur ne prenne pas en compte les annonces VTP, il doit être configuré en mode transparent. Il ne prendra donc pas en compte le contenu des annonces mais les relayera au commutateur suivant.

1. Fonctionnement de VTP

Pour permettre le trafic dans un VLAN, un commutateur doit connaitre le nom et l’identifiant de ce VLAN. L’ensemble des configurations de VLAN est contenu dans la base de données de configuration de VLAN. Lors de la création, modification ou suppression d’un VLAN sur un serveur VTP, celui-ci diffuse le changement aux autres commutateurs via une annonce VTP, celle-ci contient un numéro de révision incrémenté de 1 à chaque changement dans la configuration. Lorsqu’un serveur ou client VTP reçoit l’annonce avec un numéro de révision supérieur à celui qu’il possède, il actualise sa base.

2. Conditions du fonctionnement de VTP

Pour que les messages VTP puissent être échangés entre clients ou serveurs VTP, Cisco IOS requiert trois conditions :

Le lien entre les commutateurs doit être configuré en mode trunk
Les noms de domaine doivent être identiques
Les mots de passe doivent correspondre

Le concept du nom de domaine permet de diviser le réseau en plusieurs domaines. Les commutateurs ignorent alors les annonces VTP des autres domaines. Le mot de passe est un moyen de sécuriser les commutateurs des changements forcés de configuration.

3. Versions de VTP

Il existe plusieurs versions de VTP : 1, 2 ou 3. Un commutateur configuré en mode transparent version 1 vérifie le nom de domaine et le mot de passe de l’annonce qu’il reçoit, si ces paramètres ne correspondent pas aux siens, il ne relaye pas l’annonce aux autres commutateurs. Avec la version 2, un commutateur en mode transparent transmet toutes les annonces VTP qu’il reçoit.

4. Limiter le trafic VTP

Il existe plusieurs moyens de préserver la bande passante en limitant le trafic diffusé. On peut restreindre la liste des VLAN autorisés sur un tronçon ou alors activer le pruning VTP. Ce processus permet d’identifier automatiquement les commutateurs ne devant pas recevoir certaines trames car elles sont destinées aux VLAN d’autres commutateurs.
Remarque : La fonction pruning est désactivée par défaut.

5. Configurer VTP

Switch#configure terminal
Switch(config)#vtp domain <domain>
Switch(config)#vtp password <password>
Switch(config)#vtp version 2
Switch(config)#vtp pruning
Switch(config)#vtp mode {server | client | transparent}

Pour visualiser les statistiques vtp :

Switch#show vtp {status | counters}
Switch#show vtp password

6. Fonctionnalités de VTP

Fonction	Serveur	Client	Transparent
Accepte la configuration des VLAN	Oui	Non	Oui
Synchronise sa base de données lors de la réception d’annonces VTP avec un numéro de révision supérieur	Oui	Oui	Non
Crée et envoie des annonces VTP toutes les 5 minutes	Oui	Oui	Non
Ne traite pas les annonces VTP mais les transmet	Non	Non	Oui
Place l’ID, le nom des VLAN et la configuration VTP dans le fichier running-config	Non	Non	Oui
Place l’ID, le nom des VLAN et la configuration VTP dans le fichier vlan.dat en mémoire Flash

16 millions de VLAN, ça vous suffit ?

Gandi.net lance une offre qui va bouleverser le marché : pour la première fois dans le monde des hébergeurs Cloud, nous mettons à votre disposition, via une technologie ouverte et standard, un système à la demande pour créer des réseaux privés entre vos serveurs Cloud.
Notre équipe R&D travaille sur cette fonctionnalité depuis près de 2 ans. Pour nos clients experts, c'est une fonctionnalité de plus que nous leur offrons, en l'incluant dans le service de base. Mais l'impact va être bien plus important pour le monde de l'hébergement car c'est une innovation dont nous prévoyons d'ouvrir le code dans les mois à venir.
C'est un problème qui prend de l'importance dans le Cloud Computing : avec la multiplication des serveurs virtuels, la capacité des infrastructures réseaux à gérer la charge est arrivée au point de rupture, sans parler de l'augmentation des coûts engendrés.
Chez Gandi, en plus du nombre croissant de serveurs, nous offrons de plus en plus de ressources réseau pour le même tarif et nos clients ne se privent pas de les utiliser (nous sommes d'ailleurs en train de passer notre réseau en infrastructure 10Gb).
Le nerf de la guerre pour vous fournir une infrastructure Cloud de qualité passe donc de plus en plus par la qualité de nos équipements réseaux. Forcément, nous avons toujours de plus en plus de clients, ayant chacun de plus en plus de serveurs. Il devenait impératif pour nous de pouvoir vous proposer un service de réseaux privés afin de vous permettre d'échanger vos données entre serveurs sans surcharger nos équipements réseaux et engendrer des investissements colossaux.
Lorsque le projet a été lancé, nous avions plusieurs options : dépenser des millions chez les grands équipementiers réseaux et répercuter d'une manière ou d'une autre ce coût sur nos clients, ou bien attendre que les technos balbutiantes soient opérationnelles, ou encore, comme à notre habitude, retrousser nos manches, recruter les meilleurs ingénieurs sur le sujet et innover !
Résultat des courses:

la limite de 4096 VLANs a été explosée, nous pouvons gérer plus de 16 millions de VLANs au sein d'un même réseau,
Notre implémentation de la RFC TRILL soulage les équipements réseaux en place.

Donc, non, désolé messieurs les équipementiers réseaux, nous ne dépenserons pas un centime dans vos solutions SDN. Innovants nous sommes, innovants nous resterons, afin de garder une longueur d'avance technologique

Et surtout, oui, chers clients actuels et futurs, vous allez pouvoir créer gratuitement des réseaux virtuels, dès maintenant, via notre interface d'administration ou, d'ici quelques semaines via notre API.
Nous lançons notre service en Bêta dans un premier temps avec une limite à 1 VLAN par client, si vous souhaitez participer et vous n'êtes pas déjà client Bêta, il suffit de demander. La documentation sur comment créer des VLANs et des interfaces privés est disponible sur notre wiki.
Enfin, si vous souhaitez comprendre techniquement comment fonctionne notre solution à base de TRILL, je vous invite à lire notre présentation technique des réseaux privés virtuels (en anglais).

Source : http://www.lebardegandi.net/post/2013/02/11/16-millions-de-VLAN-%C3%A7a-vous-suffit

Nouveau type de VLAN, le VXLAN

Introduction

Il est aujourd’hui monnaie courante pour les hébergeurs et les opérateurs Telco de fournir des réseaux virtuels sur lesquels leurs clients peuvent déployer leurs VLANs 802.1Q.
En raison du nombre limité de VLANs possible (4096) en 802.1Q , les constructeurs ont mis au point de nouvelles technologies de VLANs déployable dynamiquement au dessus d’un réseau IP routé.

VxLAN est l’une d’entre elles.

Nous sommes là au coeur des technologies réseau permettant de faire fonctionner des clouds répartis sur plusieurs DataCenters.

Présentation de VxLAN

VxLAN est un format d’encapsulation porté par Cisco et VMware ayant des fonctionnalités semblables aux VLANs mais avec quelques améliorations que nous allons détailler dans cet article.

VxLAN est l’acronyme de Virtual eXtensible LAN est une standardisation à été proposée à l’IETF en 2011.

Grâce à ce format, il est possible de faire transiter des trames de niveau 2, dans UDP.

Cette propriété permet, par conséquent, d’utiliser une segmentation de type VLAN au delà d’un domaine Ethernet.

De plus, grâce à son champ d’identification sur 24 bits, il est possible de créer sur un même domaine VxLAN plus de 16 millions de VLANs différents (224 plus précisément). Cependant, puisque VxLAN est un format d’encapsulation, il provoque une surcharge d’entête dans les trames ethernet. Le schéma ci-dessous compare une trame Ethernet avec VLAN “standard” avec une trame Ethernet avec VxLAN.

Comme on peut le constater sur ce schéma, VxLAN provoque un “overhead” (i.e surcharge d’encapsulation) assez important (A peu de chose près équivalente à la taille des entêtes de niveau 2 + niveau 3 + niveau 4) soit environ 50 octets.

Un peu de vocabulaire

ARP : Address Resolution Protocol, mécanisme de base permettant d’obtenir l’adresse physique d’une machine en fonction de son IP. Protocol de base sur lequel repose IP.

MTU : Maximum Transmission Unit, correspond à la taille maximum transmissible sur une interface (Ethernet dans notre cas) sans fragmentation.

Multicast : Méthode de diffusion permettant à une machine de communiquer avec un groupe de machines avec un système d’abonnement

TTL : Time To Live, valeur incluse dans un paquet IP étant décrementé lors du passage dans un routeur permettant d’éliminer les paquets entrés dans des boucles de routage.

VTEP : VXLAN Tunnel End Point, correspond à la porte d’entrée (ou de sortie) d’un domaine VXLAN : Ces éléments permettent l’encapsulation et la désencapsulation des paquets VXLAN afin d’acheminer ceux-ci vers leur destination finale. Cette fonctionnalité peut-être assuré par le noyau Linux depuis le noyau 3.7.

Principe de fonctionnement

VxLAN repose sur l’encapsulation de trames Ethernet dans UDP.

Le schéma simplifié d’une trame réseau utilisant VXLAN est donc le suivant :

Niveau 5

MAC Dest

MAC Src

IP Src

IP Dest

TCP/UDP

DATA

Niveau 4

UDP

Niveau 3

IP VTEP Source

IP VTEP Destination

Niveau 2

MAC VTEP Dest (ou MAC GW)

MAC VTEP Source

Niveau 1

Cuivre / Fibre

On voit ci-dessus que le paquet originellement emis par la machine dans le domaine VxLAN ne se retrouve qu’au niveau 5. Il est donc possible d’effectuer un routage entre les VTEP avant de décapsuler le paquet et ainsi permettre une segmentation de type V(X)LAN en s’affranchissant des domaines Ethernet.

Etudions maintenant comment fonctionnent les fonctions de niveau 2 (ARP, broadcast, …) au sein d’un domaine VxLAN.

Alors que sur un domaine Ethernet standard, ces protocoles fonctionnent grâce à l’adresse de broadcast, un domaine VXLAN utilise quand à lui une adresse IP Multicast.

De cette façon, lors du déploiement d’un nouveau VTEP sur un domaine VxLAN, il faudra simplement l’abonner au groupe multicast correspondant à son VxLAN.

VXLAN dispose ensuite d’un mecanisme faisant transiter les données de broadcast sur ce groupe multicast permettant à tous les VTEP de communiquer ensemble afin de répondre (par exemple) aux requêtes ARP.

Ceci ce traduit lors de la création d’une interface vxlan, par une commande du type :

$ ip link add vxlan10 type vxlan id 10 group 239.0.0.10 ttl 10 dev eth0

$ ip link set vxlan10 up

Grâce à ces deux commandes nous créons une interface VxLAN avec le tag 10 dont l’interface physique sera eth0, dont le domaine de broadcast est géré grâce à l’adresse multicast 239.0.0.10 et le TTL des packets encapsulés à 10.

De ce fait, toutes les machines abonnées au groupe multicast 239.0.0.10 recevront le trafic de broadcast de ce VXLAN.

Limites et remarques

Le fonctionnement de VxLAN reposant sur IP, celui-ci donne aux architecture l’utilisant l’avantage d’être scalable. Seules les limites des VTEP et de la bonne configuration de votre réseau peuvent limiter les performances du protocole.

En effet, comme nous l’avons vu dans l’introduction, ce protocole d’encapsulation provoque une surcharge d’entête. Celle ci pourrait avoir des conséquences importantes sur les performances de votre réseau si celui-ci est mal configuré.

Plus précisement, avec une surcharge d’environ 50 octets en IPv4 et 100 octets en IPv6, votre VTEP est susceptible d’avoir à générer des trames Ethernet de 1550 à 1600 octets. Si votre réseau est configuré avec une MTU à 1500 (comme dans la majorité des cas), vous risquez d’avoir un taux de fragmentation assez important qui aura un impact sur les performances du réseau.

Afin de résoudre ce problème, deux solutions existent :

1) Limiter vos machines dans un domaine VXLAN à envoyer des trames plus petite (MTU à 1450 ou 1400o)

2) Augmenter le MTU global de votre réseau à 1550 ou 1600, si vous pouvez le paramétrer de bout en bout.

Source : http://www.randco.fr/actualites/2013/vxlan/

Un petit logiciel utile

Après avoir été essentiellement utilisé pour l'échange de fichier illégal, le P2P gagne peu à peu ses lettres de noblesse sur des applications plus officielles. C'est le cas avec le logiciel Hamachi qui permet de donner accès aux répertoires et périphériques partagés d'une machine à ses amis de l'autre côté d'Internet.

Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade. Il devient alors possible d'imprimer un document depuis son domicile sur l'imprimante réseau partagée du bureau.

Le logiciel est bien entendu très orienté "sécurité" et les plus aguerris dans ce domaine pourront aller vérifier sur le site de l'éditeur qu'il tient la route de ce côté là.

Hamachi permet de créer autant de réseau privé que souhaité, chacun protégé par un mot de passe. La connexion à un réseau utilise les serveurs d'Hamachi (pour les retrouver) mais le transit d'information se fait exclusivement en peer to peer (de machine à machine, sans passer par les serveurs de l'éditeur.

Lien de téléchargement : http://www.clubic.com/telecharger-fiche14515-hamachi.html

Norme IEEE 802

Voici les documents pour la norme IEEE 802 Standard for Local Area networks (en anglais) :

http://standards.ieee.org/about/get/802/802.html

les réseaux locaux virtuels

http://www.reseaucerta.org/docs/didactique/VLAN.pdf

Qu'est ce qu'un VLAN ?

Au-delà de la commutation (le fait d'aiguiller une trame vers un port), les switchs ont acquis de nouvelles capacités au cours du temps pour améliorer le fonctionnement des réseaux. Une de ces fonctionnalités est très répandue et intéressante, il s'agit des VLANs.

Qu'est-ce qu'un VLAN ?

Un VLAN est un LAN virtuel (ou virtual LAN en anglais).

Sachant qu'un LAN est un réseau local (ou Local Area Network en anglais) un VLAN est donc un réseau local virtuel.

Ça ne nous aide malheureusement pas beaucoup à mieux comprendre de quoi il s'agit... mais la réalité est beaucoup plus simple.

Cela revient à séparer certains ports d'un switch. Ils ne pourront donc plus communiquer ensemble, vraiment plus du tout.

Prenons un exemple, illustré en figure suivante.

Nous avons un switch de 10 ports sur lequel sont branchées six machines.

Nous souhaitons que ces groupes de machines ne puissent pas parler entre eux. Les trois premières parlent ensemble, les trois autres aussi, mais pas d'un groupe à l'autre. Les VLANs peuvent nous aider à faire cela !

L'idée du VLAN est de couper notre switch en plusieurs morceaux, comme si l'on avait plusieurs switchs.

Dans notre cas, nous allons créer deux VLANs. Un VLAN pour les trois machines de gauche, et un autre pour les trois machines de droite.

Ainsi, nous aurons fait en sorte qu'elles ne puissent plus parler entre elles d'un groupe à l'autre.

Voici à la figure suivante ce que cela donne.

Nous voyons ici en vert et en rouge les deux VLANs. Ainsi, les machines connectées aux ports appartenant au VLAN vert ne peuvent communiquer qu'avec le VLAN vert. Et de même pour les machines connectées aux ports appartenant au VLAN rouge. Par contre, il est impossible pour une machine connectée au VLAN vert de communiquer avec une machine connectée au VLAN rouge. C'est comme si l'on avait séparé le switch en deux petits switchs, chacun ayant sa propre table CAM, comme sur la figure suivante.

Quel est l'intérêt des VLANs ?

Dans l'exemple que nous avons choisi, l'intérêt n'est pas flagrant, mais imaginons que nous ayons à gérer une école, avec une administration, 100 enseignants et 1000 élèves. Nous avons alors plusieurs switchs répartis dans l'école. Des gros switchs de 256 ports ! (on appelle cela souvent des châssis.)

Il est intéressant de pouvoir segmenter ces switchs pour séparer les trois populations, pour que les élèves n'aient pas accès au réseau administratif ou à celui des enseignants, et que les enseignants n'aient pas accès au réseau administratif (pour changer leur fiche de paye par exemple). Plutôt que d'acheter 25 petits switchs de 48 ports, on en achète 5 gros de 256 ports.

En plus de la sécurité offerte par la séparation des réseaux, cela apporte de la facilité de configuration. Si je veux qu'un port passe d'un VLAN à un autre, il me suffit de le configurer sur le switch.

Je peux faire tout cela sans bouger de mon bureau d'administrateur réseau à travers une interface web d'administration du switch.

Est-ce vraiment impossible de passer d'un VLAN à un autre ?

Non. Ce n'est pas impossible, mais presque. D'ailleurs, rien n'est impossible en réseau. Si c'est impossible, c'est juste que personne ne l'a encore fait !

vous savez maintenant connecter des machines ensemble ;
vous savez aussi créer un réseau local ;
vous pouvez faire communiquer des machines ensemble sur un réseau local ;
vous comprenez comment les machines communiquent et comment sont aiguillées les informations sur le réseau.

Source : http://www.siteduzero.com/informatique/tutoriels/apprenez-le-fonctionnement-des-reseaux-tcp-ip/pour-aller-plus-loin-les-vlans