Cette attaque (qu'on appelle aussi le VLAN Hopping) n'est possible que si l'attaquant connait le native VLAN. Et comme il est égal à 1 par défaut, il est donc conseillé de changer son ID. Parce que dès lors que l'ID est changé, l'attaquant n'a aucun moyen de le découvrir.
Il est important de se préoccuper du vlan natif pour plusieurs raisons: Il est préférable de ne pas véhiculer des trames de protocoles comme CDP, DTP etc dans le même vlan que des données.
La séparation fonctionnelle entre deux ports ayant des identifiants VLAN différents correspond à une séparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports du commutateur, soit l'infrastructure physique elle-même.
Généralement le VLAN par défaut est le VLAN 1. Lors de la mise en oeuvre des VLAN sur un matériel au moins un VLAN doit être définit, d'où la nécessité du VLAN par défaut. - VLAN utilisateur : Ce sont les VLANs que l'on déclare, pour une utilisation courante.
Afin de configurer le VLAN natif, la commande Switch port trunk native VLAN est utilisée. Les VLAN natifs sont reconnus s'ils ne sont étiquetés sur aucune jonction. Il n'est pas nécessaire d'avoir un VLAN natif sur le tronc.
Un VLAN, pour Virtual Local Area Network, décrit un type de réseau local. On le traduit en français par réseau local virtuel. Le VLAN regroupe, de façon logique et indépendante, un ensemble de machines informatiques. On peut en retrouver plusieurs coexistant simultanément sur un même commutateur réseau.
Si un appareil peut ajouter le numéro à une trame, le port auquel il est connecté devra être Tagged de son n° de VLAN. Lorsque celui communiquera avec le Switch, il ajoutera un identifiant dans la trame et le Switch pourra alors reconnaître l'appartenance à son VLAN et rediriger correctement le trafic.
Afin de laisser passer les trames de différents Vlan, Nous avons besoin de tagger les ports afin qu'ils laissent passer les trames d'un commutateur vers un autre. Ce mode est principalement utilisé pour les interconnexions entre switch ou vers un routeur.
Un trunk est un lien entre deux équipements, le plus souvent entre deux switch, configuré de telle sorte que l'on peut y faire circuler des trames ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent.
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmanter la bande passante...)
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
Quelles sont les deux caractéristiques qui décrivent le VLAN natif ? Le VLAN natif par défaut est en cours d'utilisation. Le mode d'agrégation est défini sur « auto ». L'agrégation est possible avec des commutateurs autres que Cisco.
Le VLAN de gestion (management VLAN) est utilisé à des fins de gestion (c'est-à-dire pour accéder à l'interface utilisateur de gestion du commutateur). Pour les périphériques Nuclias, le VLAN de gestion est utilisé par D-Link Cloud pour communiquer directement avec le périphérique Nuclias.
entrer dans le mode de configuration globale du routeur (configure terminal) entrer dans le mode de configuration de l'interface physique en question (interface FastEthernet 0/1) définir l'adresse IP et son masque (ip address 10.1.1.9 255.255.255.0) activer électriquement l'interface (no shutdown)
Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien.
Pour autoriser une communication entre vlan, il faut faire du routage |inter-VLAN. Cela est faisable uniquement avec un périphérique de couche 3, comme un routeur, car ces interfaces peuvent être connectées à des VLAN séparés. Pour rappel, le switch est un périphérique de couche 2.
Les ports numérotés avec Po sont des canaux de port (un groupe de liaisons Ethernet). Une fois les VLAN créés, vous devez affecter les ports au VLAN approprié. Vous pouvez configurer des ports à l'aide de la commande switchport et spécifier si le port doit être en mode accès ou trunk.
Vlans asymétriques :
On utilise cette fonctionnalité lorsqu'on veut créer des réseaux virtuels indépendants mais qui partagent des ressources communes comme un serveur ou une imprimante.
Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN. Entrez la commande switchport trunk encapsulation [isl | dot1q] pour configurer le port afin qu'il prenne en charge l'encapsulation ISL ou 802.1q. Vous devez configurer chaque extrémité du lien avec le même type d'encapsulation.
Les avantages du VLAN
Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs. Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées.
Si tu l'obtiens en interrogeant le switch (snmp ou ssh/telnet), il faut récupérer en plus l'affectation des ports du switch dans les vlan et ensuite, tu pourras dire ce vlan contient cette liste d'adresse MAC (même si le VLAN est sur plusieurs switches).
Le GVRP va permettre de taguer les ports nécessaires pour que les deux ports tagués puissent communiquer. - Une partie définissant les messages echangés entre les ports d'un même switch que l'on appellera GIP.
Pour la trame 802.1Q, qui ajoute une étiquette de 4 octets dans l'en-tête de la trame Ethernet standard, la taille maximale de la trame peut atteindre 1522 octets.