Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1714 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Utilité des VLAN avec IPV6

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Utilité des VLAN avec IPV6

n°71764
jujudu44
Prophète du CAC
Posté le 20-09-2010 à 10:26:18  profilanswer
 

Yop
 
Je commence à jeter un oeil sur IPV6 et je m'interroge. Comme le broadcast n'existe plus y'a-t-il encore un intéret de mettre en oeuvre des VLAN dans un réseau full IPV6? L'utilité principale en V4 était de disjoindre les domaines de broadcast. En IPV6 j'ai tendance à me dire qu'un LAN à plat va fonctionner tout aussi bien qu'un réseau segmenté avec VLAN (si on fait bien les choses à coté : sécu, qos etc)
 
Merci pour vos avis éclairés


---------------
Jujudu44
mood
Publicité
Posté le 20-09-2010 à 10:26:18  profilanswer
 

n°71841
jujudu44
Prophète du CAC
Posté le 21-09-2010 à 19:12:55  profilanswer
 

Didon dreamer tu pourrais répondre ^^


---------------
Jujudu44
n°71842
dreamer18
CDLM
Posté le 21-09-2010 à 19:40:12  profilanswer
 

bah oui mais j'ai jamais bossé avec ipv6 à part sur un workshop de deux jours chez ciscotte.
 
Perso je pense que tu gardes la même segmentation en vlan par réseaux "logiques". Vue la quantité de subnet dispo ça pose pas de problème. Après j'attendrai que les cours de design entreprise ciscotte soit mis à jour :)


Message édité par dreamer18 le 21-09-2010 à 19:40:48

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°71848
Je@nb
Modérateur
Kindly give dime
Posté le 21-09-2010 à 21:27:22  profilanswer
 

J'avoue ne pas trop trop connaitre ces problématiques.
Si on enlève le côté sécu (tu veux mettre quoi ? Ipsec ?), qos, c'est sûr qu'on doit pas avoir énormément d'intéret à faire des vlans (pour ségmenter les flux).
 
Après même si il n'y a pas de broadcast il y a qd même du multicast et du multicast sur all-nodes par exemple avec ff02::1 (je ne sais pas à quel point c'est utilisé).

n°71852
splurf
Rm -Rf / && oops :o
Posté le 21-09-2010 à 22:20:41  profilanswer
 

Séparer VoIP des postes utilisateur, des serveurs, de ...
 
Toutes les machines sur un même segment, sur un hub, ...
 
Principalement la raison est la sécurité. Aucun intérêt à la maison.
 
Si maintenant qq'un se branche à ton LAN avec un laptop et fixe sur son interface réseau une IP d'un de tes serveurs, ou de la passerelle par défaut... ça fait des chocapic.

n°71857
dreamer18
CDLM
Posté le 22-09-2010 à 08:29:32  profilanswer
 

oui je pensais au spoofing de messages RA


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°71902
o'gure
Multi grognon de B_L
Posté le 22-09-2010 à 21:14:44  profilanswer
 

L'utilité première des VLAN étaient de limiter la diffusion de certain message, le broadcast. Même si en IPv6 tu n'as pas de broadcast au sens IPv4, l'utilisation du multicast est très renforcé, on l'utilise à toute les sauces.
 
Ne serait-ce que pour les "Neighbor Solicitation" (remplacement de l'ARP), tu envoies toujours ta sollicitation sur tout le lien à une adresse multicast, certes liée à l'adresse IPv6 de destination mais il y a toujours diffusion du message pour que le destinataire puisse le recevoir. [:spamafote]
 
Sur ton réseau à plat, tu voudrais voir tes Neighbor sollicitations dans tous les coins ?


---------------
Relax. Take a deep breath !
n°71966
trictrac
Posté le 23-09-2010 à 19:08:44  profilanswer
 

OK avec ogure : il n'y a plus de broadcast, qui est massivement remplacé par le multicast en pratique,mais les usages sont sensiblement les mêmes.
Il faudra toujours continuer à segmenter et designer les réseaux, même si certaines petites choses évolueront (et heureusement pour notre job ;) )

n°72008
jujudu44
Prophète du CAC
Posté le 24-09-2010 à 14:50:25  profilanswer
 

Ouai je suis OK. J'avais pas trop lu de littérature IPV6 mais après découverte de NDP, autoconfig etc je vois bien que les VLAN seront toujours d'actualité...


---------------
Jujudu44
n°72123
Jab Hounet
¿uıɐƃɐ ʎɐs
Posté le 29-09-2010 à 11:05:47  profilanswer
 

L'utilité première des VLAN n'est pas de limiter les domaines de broadcast, c'est juste un bénéfice qui découle de la segmentation logique.
 
L'utilité première des VLAN est de segmenter divers trafic permettant de :
- Améliorer la sécurité
- Pouvoir mettre en place de la qualité de service en priorisant le trafic de certains VLAN au détriment d'autres
 
 
Donc oui, les VLAN sont toujours d'actualité avec IPv6 et ont une utilité.
 
D'ailleurs, Ethernet dans les WAN utilise les ID de VLAN pour faire du "routage" mais la c'est un peu HS.

mood
Publicité
Posté le 29-09-2010 à 11:05:47  profilanswer
 

n°72144
dreamer18
CDLM
Posté le 29-09-2010 à 14:55:21  profilanswer
 

Jab Hounet a écrit :

L'utilité première des VLAN n'est pas de limiter les domaines de broadcast, c'est juste un bénéfice qui découle de la segmentation logique.
 
L'utilité première des VLAN est de segmenter divers trafic permettant de :
- Améliorer la sécurité
- Pouvoir mettre en place de la qualité de service en priorisant le trafic de certains VLAN au détriment d'autres

heu non c'est le contraire. VLAN = Virtual LAN, et la définition d'un LAN ethernet c'est un domaine de broadcast. Les vlans ne servent à rien en sécurité (pire que ça, le vlan hopping n'est pas possible avec des switchs physiquement séparé, introduire des VLANs afaiblit la sécurité


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72164
Jab Hounet
¿uıɐƃɐ ʎɐs
Posté le 29-09-2010 à 17:01:44  profilanswer
 

Les possibilités de spoofing sont largement réduites avec des VLANs

n°72168
dreamer18
CDLM
Posté le 29-09-2010 à 17:25:52  profilanswer
 

Sur les vlans t'as le vlan hopping (trame avec double header 802.1q), une autre attaque sympa c'est le cam overflow qui pète le cloisonnement en vlans justement donc au contraire, les vlans c'est bien moins sûr que des switchs physiquement séparés (puisque par définition tu mutualises)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72178
o'gure
Multi grognon de B_L
Posté le 29-09-2010 à 18:22:09  profilanswer
 

Jab Hounet a écrit :

Les possibilités de spoofing sont largement réduites avec des VLANs


J'ai du mal à voir en quoi les vlans réduisent les possibilités de spoofing [:pingouino]


---------------
Relax. Take a deep breath !
n°72184
Zostere
Posté le 29-09-2010 à 21:48:49  profilanswer
 

dreamer18 a écrit :

heu non c'est le contraire. VLAN = Virtual LAN, et la définition d'un LAN ethernet c'est un domaine de broadcast. Les vlans ne servent à rien en sécurité (pire que ça, le vlan hopping n'est pas possible avec des switchs physiquement séparé, introduire des VLANs afaiblit la sécurité


Sincèrement tu as vu ou fait une attaque réussie de style, parce que bon la seule doc que j'avais lu la dessus (un document CISCO), vu le nombre de conditions nécessaires pour réussir l'attaque, c'est quasi impossible d'y parvenir si on prend un minimum de précautions (entre autre ne pas diffuser, via les switch, la liste des VLAN sur le réseau ce qui est le baba de la sécurité).


---------------
Zostere
n°72185
dreamer18
CDLM
Posté le 29-09-2010 à 22:02:36  profilanswer
 

Pour le VLAN hopping, je suis d'accord. Par contre la CAM overflow (décrite dans mon post d'après :D) pour péter le cloisonnement en VLAN c'est super simple..


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72188
jujudu44
Prophète du CAC
Posté le 30-09-2010 à 09:10:40  profilanswer
 

Clairement le VLAN hopping c'est sur le papier... on a lu la meme doc ciscotte je pense ^^ Surtout que si ca réussit tu attaques en aveugle. Tu pourras envoyer ton flux dans un VLAN ID donné mais tu verras jamais le retour... Imo c'est bien plus simple d'attaquer le IIS ou l'appli web qui tourne avec du XSS/CSRF.Braif
Par contre pour le cam overflow je pensais que c'était un truc plus vraiment d'actualité. Avec un simple mac-locking ca se gere simplement. Pas plus de X MAC par port et c'est réglé. Ou alors j'ai oublié un truc?


---------------
Jujudu44
n°72191
dreamer18
CDLM
Posté le 30-09-2010 à 09:20:21  profilanswer
 

non t'as rien oublié, mais t'en connais beaucoup des clients qui mettent vraiment le port security partout ?
 
Moi à part en env. bancaire j'ai jamais vu :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72193
jujudu44
Prophète du CAC
Posté le 30-09-2010 à 09:34:10  profilanswer
 

Je fais bien mon métier moi !


---------------
Jujudu44
n°72196
Jab Hounet
¿uıɐƃɐ ʎɐs
Posté le 30-09-2010 à 09:43:42  profilanswer
 

Dreamer :Oui, bien sur la sécurité est meilleure avec des LAN physiquement séparés. De mon coté, je voulais dire que la sécurité est meilleure avec des VLAN par rapport à un réseau unique :)
 
O'gure : Tu peux toujours spoofer des @MAC mais tu n'a plus la possibilité d'intercepter du trafic destiné à l'adresse usurpée si elle se trouve dans un autre VLAN

n°72199
dreamer18
CDLM
Posté le 30-09-2010 à 10:08:27  profilanswer
 

sauf si tu pètes le cloisonnement en vlan avec une CAM overflow avant :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Utilité des VLAN avec IPV6

 

Sujets relatifs
vlan sur hp procurveproblème vlan et routeur
Différence entre VLAN et subnetPorts tagged et untagged sur VLAN
Des VLAN qui se partagent des serveurs et des copieurs..besoin d'aide VLAN svp
CISCO : Principe VLAN et access ListEtendre une plage IP dans un réseau avec VLAN et VPN
LAN ou VLAN?Différence Routage / Vlan
Plus de sujets relatifs à : Utilité des VLAN avec IPV6


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR