Introduction

Contexte d'organisation

La petite histoire ...

Phase 1

L'Assistant Informatique de service est missionné sur la configuration des équipements.

 

Oui, mais voilà, la connexion est lente car il y a une visio en cours. En plus, la sauvegarde de la prod sur les serveurs et la connexion des comptable juste avant le WE génèrent une surcharge de trafic qui met le routeur à plat.

...

Mais le chef (encore lui) grommelle dans son coin que ce foutu réseau est minable.

L'Apso(*) propose :

- Chef, chef !
- Quoi encore ? T'as de nouveau fait une bourde ?
- Non, non, j'ai une idée (c'est mieux, hein, Chef?)
- Ok, c'est quoi, l'idée du jour ?
- Et si on mettait un routeur pour le trafic interne ?
- OUI, bonne idée, mais à la place d'un routeur, on utilisera le switch L3 du coeur de réseau. Bravo, c'est bien l'idée du jour.

 

Exemples d'organisation de travail

Toute PME ayant un réseau informatique et des employés à l'utilité des VLAN, gérés par les administrateurs-système qui, dans le cas des PME, ont également le rôle d'administrateurs réseau.

Le principe des VLAN va être de découper un switch physique en plusieurs switch virtuels pour séparer les domaines de broadcast (objectifs fonctionnels, géographiques, sécurité) : comptabilité, production, services infos, agences, voixIP, vidéosurveillance, accès public, wifi, serveurs, etc. ...

L'idée étant d'avoir un ou plusieurs switchs manageables qui vont être configurés pour isoler entre eux les machines en fonction de leur classification.

 

Chaque VLAN aura donc sa propre plage IP et l'utilisation d'un routeur sera nécessaire pour passer d'un VLAN à un autre.

 

Contraintes

  • Avoir un réseau étendu,
  • Avoir un switch L3 en coeur de réseau
  • Activer le routage sur ce switch L3

 

Contexte exemple

Une entreprise de recouvrement possède un centre d'appel composé d'environ 70 téléphones en VoIP.

Le service de téléphonie a besoin de mettre en place des VLAN entre plusieurs bâtiments afin d'avoir un réseau sécurisé et réparti.

 

On voit, ci-dessus, les outils de production (téléphones en ligne, services d'impression, serveur de téléphonie, etc.

Les deux switchs L3 sont reliés par plusieurs liens en LACP et chaque switch a un lien de vers chaque routeur (il y a du STP dans l'air ...)

 

 

 

Les switchs "multilayer" 0 et 1 (nommés MS0 et MS1) seront utilisés comme switchs de niveau 3. Les autres sont des switchs classiques, L2.

Le but sera d'assurer le routage entre les 3 vlan. Un échange de route sera nécessaire entre eux.

 

  • La configuration des vlan n'est pas détaillée mais il y a 3 vlans (jaune, rose et vert) qui sont répartis sur les différents switchs d'accès/distribution,
  • Idem pour la liaison LACP,
  • Les ports entre les switchs d'accès/distribution et les deux switchs cœur de réseau sont en mode trunk négociés (DTP, desirable/auto - c'est pas très bon pour la sécu mais bon ...).

 

Rappels des principes

N.B. Voir le cours sur le routage.

Couche Unité Rôle
7 - Application
6 - Présentation
5 - Session		DonnéeAccès aux services applicatifs
Conversion et chiffrement
Communication inter hôtes
4 - TransportSegment
Datagramme		 Connexion, contrôle de flux (TCP)
Transfert sans contrôle (UDP)
Filtrage de ports et PAT
3 - RéseauPaquetRoute, parcours, adressage logique (IP)
filtrage d'adresse, NAT
2 - LiaisonTrameAdressage physique, zones de diffusion et commutation
Sous-couches MAC et LLC
1 - PhysiqueBitTransmission du signal binaire numérique ou analogique
Média support de communication

Routage et OSI

Objectif : l'interconnexion inter-réseau

Le routage permet de connecter plusieurs réseaux locaux comme des réseaux distants.

Il utilise des rêgles de passage, de cheminement vers les réseaux connéctés.

 

Le routage est basé sur la couche 3, routage, du modèle OSI.

  • L2 Liaison : le switch est à l'intérieur d'un réseau local (LAN)
    • utilise des adresses MAC
    • sert de "multiprise" entre les hôtes
    • utilise les VLAN pour diviser le réseau
  • L3 Routage : le routeur est entre deux réseaux
    • Connaît aussi les réseaux adjacents, voisins et distants
    • La passerelle est un service effectué par le routeur qui permet de sortir du LAN
  • L4 Transport : la passerelle assure la connexion entre des services
    • Utilise les ports TCP/UDP
    • Gère l'acheminement (TCP) avec un mécanisme d'accusé de réception
    • Services souvent proposés : NAT/PAT, filtrage (ACL)
    • Service offert normalement par un routeur
  • Services L5 et + : firewall, DHCP, DNS, etc. …

Routage, le retour

Chaque routeur échange sa table de routage avec ses voisins, par configuration manuelle ou automatique, pour indiquer les réseaux auxquels il a accès et la métrique associée (est-ce un réseau connecté localement ou accessible à travers un autre routeur plus loin ? problème de passerelles, i.e. de route).

 

Dans le schéma ci-dessous, le routeur 1 ne connaît pas le réseau vert. Pour atteindre le réseau vert, il faut soit l'indiquer manuellment au routeur 1, soit que le routeur 0 lui envoie sa table de routage.

De même, chaque routeur dispose d'une route par défaut "de sortie" pour tout envoi vers un réseau inconnu (adresse filtre = 0.0.0.0/0).

Routage inter vlan

Le routage inter-vlan est surtout fait pour contrôler l'accès des sous-réseaux entre eux.

Selon les capacités du routeur, il est possible d'appliquer des règles de contrôle d'accès basées sur :

  • l'adresse IP, permettant ainsi d'autoriser ou interdir l'accès d'une machine à celle d'un autre réseau. Par exemple, un client du réseau "production" vers le serveur "VoIP".
  • l'adresse IP, le type de protocole (TCP/UDP) et le n° de port afin de filtrer les connexions sur les ports associés aux services applicatifs : 80=http, 25=smtp, etc.

 

Ceci, un routeur sait souvent le faire, on appelle ça des ACL (Access Control List).

 

Architecture classique

Les PME ayant un découpage du réseau en VLANs ont très souvent une topologie de "router on a stick", facile à installer et configurer.

 

Ici, le lien entre le routeur et le switch est "trunké".

Il est de niveau 2 et fait remonter au routeur plusieurs VLAN.

Le lien est de niveau 2 : cela indique que le travail du switch est au niveau Ethernet (L2 - liaison et adresses MAC) et non IP (L3 - réseau).

 

Problème : toutes les communications inter-VLAN passent par le routeur.

La vitesse de communication entre les VLAN dépend, bien sûr, de la vitesse de routage, mais aussi de la vitesse du lien trunk car les VLANs y sont multiplexés.
C'est la vitesse du(des) port(s) connecté(s), qui est souvent inférieure au débit du fond de panier du switch (vitesse intrinsèque).

De plus, comme le routeur fait l'interface entre les deux VLAN ainsi que vers internet, si le nombre de VLANs et d'hôtes sont important, celui-ci risque d'être surchargé.

 

Si on n'a pas besoin de haute performance, avec peu de clients, c'est tout bon. Mais dans une situation plus réaliste ou évolutive, c'est moyen voire pas bon du tout.

Il y aura un goulot d'étranglement et la performance des applications s'en ressentira.

 

Malheureusement, un switch ne fait pas de routage. A moins que ...

 

Switch L3

Les switchs L3 sont des switchs qui ont la capacité d'accéder à la couche 3 (IP) et donc peuvent y faire du routage.
Comme ils prennent en charge le routage dans le switch même, le routage se fait donc à la vitesse switchée !
Le débit de routage devient celui de la vitesse de commutation de fond de panier.

 

Avec un switch L3 pour faire le routage inter-VLAN, le routeur chargé de la relation avec internet et les réseaux distants sera allégé. Le switch L3 effectuera aussi du filtrage au niveau des VLANS avec des ACL L3 seulement. Le routeur conservant le filtrage au niveau L3/L4.

 

 

Stratégie de configuration

De la création des VLAN au routage

Les VLANs

Opérations basiques de création de ce schéma :

  • Créer les VLANs sur les switchs L2 et L3,
  • Configurer les ports Acces sur les switchs L2,
  • Configurer les ports Trunk entre les SwL2 et SwL3,
  • Configurer

    LACP entre les SwL3,

 

Opérations de création du routage entre MS0 et MS1 :

  • Créer les interfaces IP virtuelles (SVI)
  • Activer la fonction de routage

 

Création des SVI

Une SVI est une interface virtuelle IP créée dans les switch afin d'avoir la notion de réseau.

Un peu comme les interfaces virtuelles des routeurs avec plusieurs vlans.

 

Les commandes sont les suivantes pour le switch L3 MS0 :

Switch-MS0(config)# interface vlan 10
 
Switch-MS0(config-if)# ip address 10.0.10.250 255.255.255.0
 
Switch-MS0(config)# interface vlan 20
 
Switch-MS0(config-if)# ip address 10.0.20.250 255.255.255.0</p>
 
Switch-MS0(config)# interface vlan 30
Switch-MS0(config-if)# ip address 10.0.30.250 255.255.255.0

C'est comme sur les routeurs ...

Il suffit de donner une adresse IP au VLAN.

Activation du routage

Switch-MS0(config)# ip routing

C'est tout.

 

Contrôle

Les SVI sont visibles avec : 

Switch-MS0#show ip interface brief
Interface IP-Address OK? Method Satus Protocol
Vlan1 unassigned YES NVRAM administratively down down
Vlan10 10.1.10.1 YES manual up
Vlan20 10.1.20.1 YES manual up
Vlan30 10.1.30.1 YES manual up

 

Ce sont les mêmes pour l'autre Switch (MS1)

 

Configuration du lien entre les deux switchs

ATTENTION, pour commencer, on ne va pas faire de LACP entre les deux switchs, ce sera plus clair.

 

Configuration des interfaces

En admettant que les deux switchs soient connectés avec l'interface fa0/1.

 

Par défaut, les interfaces sont configurées en mode access par défaut.

On va configurer l'interface avec : 

no switchport
afin de convertir l'interface en L3.

Ensuite, on lui donne une adresse IP

Remarquer que l'adressage correspond à un réseau inter-switch.

 

Pour MS0 : 

Switch-MS0(config)#interface fa0/1 10
Switch-MS0(config-if)#no switchport
Switch-MS0(config-if)#ip address 10.0.0.250 255.255.255.0

 

Et MS1 : 

Switch-MS1(config)#interface fa0/1 10
Switch-MS1(config-if)#no switchport
Switch-MS1(config-if)#ip address 10.0.0.251 255.255.255.0

 

Configuration du routage inter-switch

Bon, Deux solutions possibles :

  • routage statique
  • routage dynamique avec un protocole de routage automatique (OSPF, EIGRP, BGP, ... selon les capacités du switch)

 

Routes statiques

Il faut déclarer chaque route, on verra ça pour des routeurs après les vacances.

 

Routage dynamique

On va utiliser l'algo par défaut (OSPFv2 - Open Shortest Path First) pour configurer le routage.

Et on déclare les réseaux adjacents : 

Switch-MS1#router ospf 1
Switch-MS1(router)#network 10.0.0.0 0.0.255.255 area 0

Remarquer que :

  • J'ai simplifié l'adresse IP de chaque réseau en 10.0.*.* /16 ...
  • Le masque est INVERSÉ, comme si on avait fait un négatif photo en remplaçant les 0 par 255 et les 255 par 0.

0.0.0.255 en masque inversé correspond à 255.255.255.0 en masque normal.

 

Dans NOTRE config, le second switch est identique.

 

Contrôle de la configuration

Le contrôle de la configuration est fait avec : 

sh ip route
, comme pour un routeur et des pings sur les postes.

 

Gestion des interdictions : les ACL

ACL = access-list : liste de contrôle d'accès

Ces listes permettent de bloquer le trafic entre des vlans avec le routage.

C'est la même chose sur les switchs L3 que sur les routeurs.

 

Si on veut que VLAN10 ne passe pas au VLAN30, on va :

  • Définir une ACL sur un réseau
  • Appliquer l'ACL à un VLAN donné

 

Définition de l'ACL

Définition de l'ACL 1 et ajout d'une règle d'interdiction (on utilise l'adresse du vlan 10) : 

Switch-MS1(config)#ip access-list standard 1
Switch-MS1(config-std-nacl)#deny 10.0.10.0 0.0.0.255

 

Application de l'ACL

Configuration de la SVI du vlan 30 et application de l'ACL 1 en mode d'entrée : 

Switch-MS1(config)#interface vlan 30
Switch-MS1(config-if)#ip access-group 1 in

 

Il ne reste plus qu'à tester ...

 

Ceci dit, les ACL, c'est un grand roman, très intéressant pour bloquer les intrus :

[openclassroom] Définissez les accès utilisateur avec les ACLs (Access Control List)

 

Routeur vs switch L3, et les autres

Maintenant qu'on s'est bien amusé, quelles sont les différences entre les routeurs et les switchs L3 ??

 

La différence est surtout dans le type de routes qu'on va mettre en place ou laisser au switch le soin d'apprendre (ce qu'il ne fait pas comme le routeur).

Par ailleurs, sur le routeur, les ACL sont parfois complétées avec le port (couche OSI 4 et pas 3) pour faire du filtrage "applicatif". Et ça, le switch ne sait pas faire.

On s'approche alors plus d'un service de firewall.

 

Le routeur héberge souvent des services supplémentaires : DHCP, Proxy/cache, translation d'adresses (NAT), routage et translation de ports (PAT), etc. ...

Ce n'est pas un problème technologique, c'est juste une question de rôle dans le réseau.

Quoi que, avec l'évolution du matos, on peut s'attendre à tout

 

Le switch L3 se place dans les couches 2 et 3

 

Mais il existe aussi des switchs multicouche. Ceux-là peuvent travailler jusqu'à la couche 7 !

Quel intérêt ? On dégage le routeur. Zou, à la benne !?

 

NOoooon, surtout pas, le routeur possède souvent des interfaces vers des réseaux non Ethernet, par exemple le réseau téléphonique commuté (RTC) car il contient souvent un modem. De même, les protocoles de connexions tunnelisées, ne sont souvent pas gérés par un switch, sauf pour les accès directs (ouf, sauvé! On a eu chaud)

 

Mais l'histoire n'est pas finie, les FAI proposent de plus en plus souvent des accès directs en ethernet donc ...

 

En revanche, dans une architecture à 2 "routeurs" avec DMZ, firewall, etc. le routeur garde toute sa place.

 

Ci-dessus, le bastion est un serveur en DMZ ou un IDS ; R2 peut être un switch L3

 

Critère Switch L2Switch L3routeur
Interconnexion matérielle
Nombreux ports de connexion
Commutation ARP L2
Interconnexion de réseaux
Routage L3
ACL, filtrage IP
Redirection de ports
Services NAT/PAT
Filtrage de ports, firewall
Services chiffrement des communications (L2TP, SSH ; VPN)
Services DHCP
Services Proxy/cache
Hébergement de services avancés (IDS/IPS, LDAP, ...)

 

 

Un petit QUIZZ ?

Quiz

Petites questions ...

Question Réponse
1
Quels sont les roles classiques d'un routeur ou switch L3 ?
Connecter le LAN à internet
Effectuer le routage
Pare-feu
Sert de passerelle pour sortir ou entrer dans le réseau.
Sortir ou entrer dans le réseau.
Gérer le trafic entre les réseaux.
Convertir les adresses privées en adresses publique.
DHCP
DNS
Filtrage des paquets IP.
Connecter plusieurs hôtes ensemble.
Créer un réseau wifi.
Créer une DMZ.
2
Dans quelle couche travaille un routeur ?
Couche 1, physique.
Couche 2, liaison.
Couche 3, Réseau.
Couche 4, transport.
Couches 5 et +.
3
Dans quelle couche travaille un switch ?
Couche 1, physique.
Couche 2, liaison.
Couche 3, Réseau.
Couche 4, transport.
Couches 5 et +.

 

Conclusion

Docs diverses

Comparatif routeur, switch L3 et plus

https://community.fs.com/blog/layer-3-switch-vs-router-what-is-your-best-bet.html

https://www.reddit.com/r/paloaltonetworks/comments/c7lc51/router_on_a_stick_vs_multilayer_switch/

http://millysu.e-monsite.com/blog/reseau-d-entreprise/switch-de-niveau-3-vs-routeur-quel-est-le-meilleur-choix.html

 

Crédit documentaire et images :

https://www.ciscomadesimple.be/2013/12/29/routage-statique-sur-un-switch-ws-c2960/

https://www.clemanet.com/interlan-switch.php

https://community.fs.com/fr/blog/layer-2-switch-vs-layer-3-switch-what-is-the-difference.html

https://www.developpez.net/forums/d1280363/systemes/reseaux/hardware/routage-ospf-entre-switch-couche-3-a/

https://www.networklab.fr/routage-inter-vlan-et-switch-l3/