Ce TP a pour but de mettre en oeuvre et observer quelques fonctionnalités avancées de la commutation sur Ethernet avec un ou plusieurs commutateurs (switchs). Nous utiliserons ici des switchs de type HP ProCurve.

Exercice 1 - Domaines de diffusion

En prenant un switch pour quatre PC, réaliser le montage suivant.

1. Donner une adresse IP aux interfaces ethernet des PC de sorte qu'ils puissent communiquer entre eux (utilisez les adresses IP données dans la figure avec un masque d'adresse de 255.255.0.0).
2. Vérifier l'état de la table d'adressage du switch et regarder le trafic sur chacune des interfaces des PC (avec tcpdump ou ethereal), en particulier lors de ping entre les différents PC.
3. En l'absence de toute information dans la table d'adressage du switch, vérifier que tous les PC voient les messages ICMP générés par un ping, y compris les trames unicast.
4. Vérifiez que lorsque le switch dispose de l'association, seules les deux machines concernées par le ping voient le trafic. Que se passe-t-il alors si la machine réalisant le ping n'a plus rien dans sa table ARP ?

Exercice 2 - VLANs non taggés

On désire maintenant que le trafic entre PC1 et PC4 soit complètement différencié du trafic entre PC2 et PC3, c'est à dire qu'aucun échange ni observation ne puisse avoir lieu entre ces deux réseaux locaux virtuels. Pour cela, on peut créer deux VLANs distincts: le VLAN rouge pour PC1 et PC4 et le VLAN vert pour PC2 et PC3. Ce sont des VLANs par port, compatibles avec la norme IEEE 802.1Q. En l'absence de toute configuration, les switchs considèrent que tous les ports font partie du même VLAN par défaut.

1. Autoriser les VLANs
   Dans le menu principal d'administration du switch, aller dans Switch Configuration, éventuellement Advanced Features pour les anciens modèles, puis VLAN Menu et finalement VLAN Support. Pour les anciens modèles, choisir Yes dans le champ Activate VLANs et sauvegarder (le nombre de VLAN de 8 par défaut peut être modifié). L'astérisque qui apparaît indique alors qu'il faut rebooter le switch pour prendre en compte cette configuration. Donc, rebooter le switch (à partir du menu principal).
2. Définir les VLANs
   Ensuite, dans le menu VLAN, faire VLAN Names et ajouter les deux VLANs, le rouge et le vert. Par défaut, tous les ports du switch appartiennent au DEFAULT_VLAN qui a 1 pour numéro (VLAN ID). Il est important de ne pas modifier ce VLAN par défaut. Donner des VLAN ID différents pour les VLAN créés. Par exemple, 20 pour le VLAN rouge et 30 pour le VLAN vert.
3. Assigner les ports aux VLANs
   Dans le menu VLAN, faire VLAN Port Assignment. Chaque port est alors proposé pour chaque VLAN (défaut, rouge, vert), et taggé ou non. Dans un premier temps, utiliser les VLAN rouge et vert sans les tagger. Associer le rouge aux ports reliant le PC1 et le PC4 et le vert aux ports reliant le PC2 et le PC3.
4. Tester alors la communication entre les différents PC et regarder l'activité du trafic sur les différentes interfaces, comme dans l'exercice 1. Expliquer ce qui se passe.
5. Vérifier en particulier si les broadcasts ARP générés par un ping d'une machine sur un VLAN atteignent ou non les machines de l'autre VLAN.

Exercice 3 - VLANs non taggés entre deux switchs

On désire maintenant ajouter un second switch et répartir les machines comme indiqué dans la figure suivante. On désire toujours n'utiliser que des VLANs non taggés.

1. Pourquoi placer deux liens entre les switchs ?
2. Comment configurer les switchs et quelles sont les modifications à apporter aux associations ports/VLAN?
3. Configurer correctement ce montage. Vérifier quelles communications sont possibles entre chaque PC et les trafics visibles sur chaque interface (unicast et broadcast).

Exercice 4 - VLANs et Spanning Tree

Y a t il une boucle dans cette configuration et un risque d'inondation par les switchs eux-mêmes. Pourrait il y en avoir avec d'autres interfaces raccordées à ces switchs. Que se passerait-il dans la configuration actuelle si on mettait en oeuvre le STA ?

Exercice 5 - VLANs taggés

Supposons maintenant que l'on veuille un seul lien entre les deux switchs. Cela nécessite que les trafics des VLANs rouge et vert passent par ce même lien, et donc que ses deux ports soient associés à la fois au VLAN rouge et au VLAN vert. Cela n'est pas possible si les 2 VLANs sont non taggés. Note: Un port peut appartenir à plusieurs VLANs, mais un seul (au plus) de ces VLANs peut être non taggé.

1. Modifier les associations entre les VLANs et les ports de sorte que les VLANs rouge et vert soient taggés tous les deux entre les deux switchs. Vérifier quelles communications sont possibles entre les PC et quels trafics (unicast et broadcast) sont visibles.
2. Vérifiez que si le port reliant un switch à un PC est taggé, alors le switch ne laisse pas entrer les trames (non taggées) émises par ce PC.
3. Pour configurer une interface de PC de sorte qu'elle émette et accepte les VLAN taggés, il faut créer une nouvelle interface logique. Du point de vue des systèmes, il faut disposer d'un noyau linux compatible avec la norme 820.1Q sur les VLANs qui fournit les utilitaires nécessaires. Vous aurez besoin de la commande vconfig (apt-get install vlan) et de charger le module 8021q (modprobe 8021q). Par exemple, pour le PC4 :
   • Ajout d'une nouvelle interface logique eth0.20, correspondant au VLAN rouge (dont le VLAN ID est 20), sur l'interface physique eth0:
     vconfig add eth0 20
     Tant que l'interface n'est pas montée, elle n'est pas visible par la commande ifconfig. Pour la voir, il faut donc faire ifconfig -a.
   • Le montage de cette interface logique se fait alors classiquement:
     ifconfig eth0.20 ... up
4. Vérifier qu'un PC « VLAN aware » qui émet des trames taggées peut communiquer avec un PC « legacy » à travers les switchs. Faire attention aux routes et aux adresses de chaque interface des PC. Décrire alors la configuration que vous avez utilisée en expliquant quels sont les problèmes liés aux adresses IP et aux routes.
5. Vérifier que deux PC « VLAN aware » peuvent communiquer. Décrire la configuration que vous avez utilisée.
6. Réaliser la configuration décrite par la figure suivante, et vérifier quelles sont les communications possibles, dans quels mode (taggé, non taggé...) et quels trafics sont visibles par quels PC (unicast, broadcast).

Exercice 6 - VLANs et serveur

On suppose maintenant que le PC3 est un serveur qui doit pouvoir communiquer avec les deux VLANs. Néanmoins, on veut conserver les deux VLANs avec des trafics distincts. Pour cela, on peut associer une deuxième interface logique de VLAN (rouge) au PC3 (sur la même interface physique ou sur une autre). Réaliser l'exemple de configuration ci-dessous, et vérifier qu'il est possible, à partir du PC3, de communiquer avec le VLAN rouge, le VLAN vert et le VLAN par défaut.
Note: dans certains cas (désormais rares) de multiples interfaces logiques sur une même interface physique, on peut être amené à donner "à la main" des routes au PC (commande route).

Exercice 7 - Port Trunking

Le port trunking est la faculté d'associer plusieurs liens (jusqu'à 4) entre 2 switchs en une sorte de congrégation de liens. Les différents liens constituant ce trunk seront alors utilisés simultanément, permettant ainsi d'augmenter le débit inter-switch. La distribution du trafic sur chacun des liens du trunk est effectuée sur la base d'une résolution d'adresse source et/ou destination, voir d'une négociation. Au pire des cas, même si c'est rare, il se peut donc qu'un lien du trunk soit saturé tandis que les autres sont inutilisés.

Du point de vue du switch, la connexion à un trunk est vue comme un seul port. Par exemple, le STA décide soit de transmettre sur tous les liens du trunk, soit de bloquer tous les liens. De même, tous les ports des liens d'un même trunk doivent appartenir aux mêmes VLANs.

La figure suivante illustre une utilisation du trunk: dans la configuration de l'exercice 3 (voir figure), nous avions des liens entre 2 switchs. VLAN rouge uniquement du port 1 au port 2 et VLAN vert uniquement du port 3 au port 4. On peut imaginer qu'il aurait été utile (pour l'administration des switchs, par exemple) d'avoir un lien du port 6 au port 6 pour le VLAN par défaut.

Placer ces trois liens dans un seul trunk permet d'éviter d'avoir des boucles entre les switchs (sans utiliser le STA qui n'est pas adapté ici), tout en conservant les trois liens disponibles. Le seul pré-requis est de créer un trunk dont les caractéristiques regroupent toutes celles des liens qui le constituent: il doit appartenir au VLAN rouge, au VLAN vert et au VLAN par défaut. C'est possible puisque seul le VLAN par défaut est non taggé.

Réaliser ce montage et tester les communications et le trafic.