Utilité des VLAN avec IPV6

Utilité des VLAN avec IPV6 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 20-09-2010 à 10:26:18    

Yop
 
Je commence à jeter un oeil sur IPV6 et je m'interroge. Comme le broadcast n'existe plus y'a-t-il encore un intéret de mettre en oeuvre des VLAN dans un réseau full IPV6? L'utilité principale en V4 était de disjoindre les domaines de broadcast. En IPV6 j'ai tendance à me dire qu'un LAN à plat va fonctionner tout aussi bien qu'un réseau segmenté avec VLAN (si on fait bien les choses à coté : sécu, qos etc)
 
Merci pour vos avis éclairés


---------------
Jujudu44
Reply

Marsh Posté le 20-09-2010 à 10:26:18   

Reply

Marsh Posté le 21-09-2010 à 19:12:55    

Didon dreamer tu pourrais répondre ^^


---------------
Jujudu44
Reply

Marsh Posté le 21-09-2010 à 19:40:12    

bah oui mais j'ai jamais bossé avec ipv6 à part sur un workshop de deux jours chez ciscotte.
 
Perso je pense que tu gardes la même segmentation en vlan par réseaux "logiques". Vue la quantité de subnet dispo ça pose pas de problème. Après j'attendrai que les cours de design entreprise ciscotte soit mis à jour :)


Message édité par dreamer18 le 21-09-2010 à 19:40:48

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-09-2010 à 21:27:22    

J'avoue ne pas trop trop connaitre ces problématiques.
Si on enlève le côté sécu (tu veux mettre quoi ? Ipsec ?), qos, c'est sûr qu'on doit pas avoir énormément d'intéret à faire des vlans (pour ségmenter les flux).
 
Après même si il n'y a pas de broadcast il y a qd même du multicast et du multicast sur all-nodes par exemple avec ff02::1 (je ne sais pas à quel point c'est utilisé).

Reply

Marsh Posté le 21-09-2010 à 22:20:41    

Séparer VoIP des postes utilisateur, des serveurs, de ...
 
Toutes les machines sur un même segment, sur un hub, ...
 
Principalement la raison est la sécurité. Aucun intérêt à la maison.
 
Si maintenant qq'un se branche à ton LAN avec un laptop et fixe sur son interface réseau une IP d'un de tes serveurs, ou de la passerelle par défaut... ça fait des chocapic.

Reply

Marsh Posté le 22-09-2010 à 08:29:32    

oui je pensais au spoofing de messages RA


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 22-09-2010 à 21:14:44    

L'utilité première des VLAN étaient de limiter la diffusion de certain message, le broadcast. Même si en IPv6 tu n'as pas de broadcast au sens IPv4, l'utilisation du multicast est très renforcé, on l'utilise à toute les sauces.
 
Ne serait-ce que pour les "Neighbor Solicitation" (remplacement de l'ARP), tu envoies toujours ta sollicitation sur tout le lien à une adresse multicast, certes liée à l'adresse IPv6 de destination mais il y a toujours diffusion du message pour que le destinataire puisse le recevoir. [:spamafote]
 
Sur ton réseau à plat, tu voudrais voir tes Neighbor sollicitations dans tous les coins ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-09-2010 à 19:08:44    

OK avec ogure : il n'y a plus de broadcast, qui est massivement remplacé par le multicast en pratique,mais les usages sont sensiblement les mêmes.
Il faudra toujours continuer à segmenter et designer les réseaux, même si certaines petites choses évolueront (et heureusement pour notre job ;) )

Reply

Marsh Posté le 24-09-2010 à 14:50:25    

Ouai je suis OK. J'avais pas trop lu de littérature IPV6 mais après découverte de NDP, autoconfig etc je vois bien que les VLAN seront toujours d'actualité...


---------------
Jujudu44
Reply

Marsh Posté le 29-09-2010 à 11:05:47    

L'utilité première des VLAN n'est pas de limiter les domaines de broadcast, c'est juste un bénéfice qui découle de la segmentation logique.
 
L'utilité première des VLAN est de segmenter divers trafic permettant de :
- Améliorer la sécurité
- Pouvoir mettre en place de la qualité de service en priorisant le trafic de certains VLAN au détriment d'autres
 
 
Donc oui, les VLAN sont toujours d'actualité avec IPv6 et ont une utilité.
 
D'ailleurs, Ethernet dans les WAN utilise les ID de VLAN pour faire du "routage" mais la c'est un peu HS.

Reply

Marsh Posté le 29-09-2010 à 11:05:47   

Reply

Marsh Posté le 29-09-2010 à 14:55:21    

Jab Hounet a écrit :

L'utilité première des VLAN n'est pas de limiter les domaines de broadcast, c'est juste un bénéfice qui découle de la segmentation logique.
 
L'utilité première des VLAN est de segmenter divers trafic permettant de :
- Améliorer la sécurité
- Pouvoir mettre en place de la qualité de service en priorisant le trafic de certains VLAN au détriment d'autres

heu non c'est le contraire. VLAN = Virtual LAN, et la définition d'un LAN ethernet c'est un domaine de broadcast. Les vlans ne servent à rien en sécurité (pire que ça, le vlan hopping n'est pas possible avec des switchs physiquement séparé, introduire des VLANs afaiblit la sécurité


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-09-2010 à 17:01:44    

Les possibilités de spoofing sont largement réduites avec des VLANs

Reply

Marsh Posté le 29-09-2010 à 17:25:52    

Sur les vlans t'as le vlan hopping (trame avec double header 802.1q), une autre attaque sympa c'est le cam overflow qui pète le cloisonnement en vlans justement donc au contraire, les vlans c'est bien moins sûr que des switchs physiquement séparés (puisque par définition tu mutualises)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-09-2010 à 18:22:09    

Jab Hounet a écrit :

Les possibilités de spoofing sont largement réduites avec des VLANs


J'ai du mal à voir en quoi les vlans réduisent les possibilités de spoofing [:pingouino]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 29-09-2010 à 21:48:49    

dreamer18 a écrit :

heu non c'est le contraire. VLAN = Virtual LAN, et la définition d'un LAN ethernet c'est un domaine de broadcast. Les vlans ne servent à rien en sécurité (pire que ça, le vlan hopping n'est pas possible avec des switchs physiquement séparé, introduire des VLANs afaiblit la sécurité


Sincèrement tu as vu ou fait une attaque réussie de style, parce que bon la seule doc que j'avais lu la dessus (un document CISCO), vu le nombre de conditions nécessaires pour réussir l'attaque, c'est quasi impossible d'y parvenir si on prend un minimum de précautions (entre autre ne pas diffuser, via les switch, la liste des VLAN sur le réseau ce qui est le baba de la sécurité).


---------------
Zostere
Reply

Marsh Posté le 29-09-2010 à 22:02:36    

Pour le VLAN hopping, je suis d'accord. Par contre la CAM overflow (décrite dans mon post d'après :D) pour péter le cloisonnement en VLAN c'est super simple..


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-09-2010 à 09:10:40    

Clairement le VLAN hopping c'est sur le papier... on a lu la meme doc ciscotte je pense ^^ Surtout que si ca réussit tu attaques en aveugle. Tu pourras envoyer ton flux dans un VLAN ID donné mais tu verras jamais le retour... Imo c'est bien plus simple d'attaquer le IIS ou l'appli web qui tourne avec du XSS/CSRF.Braif
Par contre pour le cam overflow je pensais que c'était un truc plus vraiment d'actualité. Avec un simple mac-locking ca se gere simplement. Pas plus de X MAC par port et c'est réglé. Ou alors j'ai oublié un truc?


---------------
Jujudu44
Reply

Marsh Posté le 30-09-2010 à 09:20:21    

non t'as rien oublié, mais t'en connais beaucoup des clients qui mettent vraiment le port security partout ?
 
Moi à part en env. bancaire j'ai jamais vu :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-09-2010 à 09:34:10    

Je fais bien mon métier moi !


---------------
Jujudu44
Reply

Marsh Posté le 30-09-2010 à 09:43:42    

Dreamer :Oui, bien sur la sécurité est meilleure avec des LAN physiquement séparés. De mon coté, je voulais dire que la sécurité est meilleure avec des VLAN par rapport à un réseau unique :)
 
O'gure : Tu peux toujours spoofer des @MAC mais tu n'a plus la possibilité d'intercepter du trafic destiné à l'adresse usurpée si elle se trouve dans un autre VLAN

Reply

Marsh Posté le 30-09-2010 à 10:08:27    

sauf si tu pètes le cloisonnement en vlan avec une CAM overflow avant :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed