Réseaux VLAN

• Sommaire
  • Cahier des Charges
  • Solutions mises en oeuvre
    • Réseaux VLAN
    • Protocole 802.1x
    • Protocole VMPS
    • Portail Captif
    • Réseaux VPN
    • Réseau Wifi
    • Annuaire LDAP
    • Serveur Radius
    • Projet EduRoam
  • Choix réalisés
  • Déploiement
    • Procédure de déploiement
    • Installation OpenLDAP
    • Installation FreeRadius
    • Installation DHCP
    • Installation Chillispot
    • Installation OpenVPN
    • Installation VMPS
    • Configuration des Routeurs et commutateurs
    • Configuration Wifi
  • Outils de gestion
    • 802.1x : client SecureW2
    • 802.1x : client WPA_supplicant
    • Portail captif : navigateur Web
    • Client OpenVPN
    • Interface Visiteurs
    • Interface WPA
    • Interface RadiusGroupName
  • Conclusion
  • Glossaire

Au sein du site CNRS, il est nécessaire d'autoriser la mobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau interne de son laboratoire même s'il se trouve physiquement dans un autre bâtiment. Cette opération est réalisée grâce aux VLAN (Virtual Local Area Network) de chaque laboratoire. Un VLAN est un réseau virtuel défini par port de commutateur. Chaque port de commutateur peut être placé dans un VLAN différent. Selon le statut de la personne, il faut qu'elle soit placée dans un VLAN particulier. Pour ce faire, il a été défini une liste répertoriant les adresses IP utilisées dans chacun de ces VLAN.

Principe

Le CNRS de Grenoble possède une classe B publique (soit 65536 adresses IP). Ces adresses ont été réparties de façon à ce que chaque laboratoire dispose de 16 classes C (soit 4096 adresses IP). Il a été défini les différents VLAN nécessaires, ainsi que le réseau IP que l'on trouve dans chaque VLAN. Par exemple, pour le laboratoire de test, les VLAN et adresses IP sont définies dans le Tableau 2.

Le VLAN interne est de 1021 machines (soit un sous-réseau en /22).

Les numéros de VLAN sont définis en fonction de la plage d'adresses IP qui sera disponible dans ce VLAN selon le tableau ci-dessous :

• Numéro de VLAN Public = numéro de plage IP en classe C pour les réseaux en 147.173.x.x,
• Numéro de VLAN Administration = numéro de plage IP en classe C + 300 pour 192.168.x.x (adresses privées),
• Numéro de VLAN AuthChilli = numéro de plage IP en classe C Trafic-Chilli + 600 pour 10.8.x.x (adresses privées également).

Le VLAN AuthChilli possède une adresse non-routable en 10.x.x.x. En effet, cette plage d'adresses est propagée par tunnel sur la plaque métropolitaine pour donner accès aux serveurs de tunnel des universités via un réseau non routé. Le réseau 10.8.0.0/16 a été attribué au CNRS, l'IMAG a le réseau 10.6.0.0/16, l'INPG le 10.4.0.0/16, etc.

Comme le réseau n'est que routé, il a été nécessaire de concevoir une nouvelle topologie, basée sur des liens permettant de transmettre des VLAN. En utilisant les fonctionnalités de trunk1 des commutateurs-routeurs, il a été possible de concevoir le schéma de la figure 5 pour chaque laboratoire.

Authentification

Les VLAN ne sont là que pour la séparation des réseaux. Ils ne savent pas gérer de procédure d'authentification. Celle-ci sera donc mise en place avec d'autres méthodes comme 802.1x et le VPN.

Discussion

Comme les VLAN sont disponibles sur tous les équipements réseaux administrables, ils sont faciles à déployer et leur fonctionnement est fiable. Ils trouveront ici leur plein emploi. Le chapitre 5 détaillera la procédure pour déployer les VLAN dans un laboratoire.

---

CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)