Yop
 
Je commence à jeter un oeil sur IPV6 et je m'interroge. Comme le broadcast n'existe plus y'a-t-il encore un intéret de mettre en oeuvre des VLAN dans un réseau full IPV6? L'utilité principale en V4 était de disjoindre les domaines de broadcast. En IPV6 j'ai tendance à me dire qu'un LAN à plat va fonctionner tout aussi bien qu'un réseau segmenté avec VLAN (si on fait bien les choses à coté : sécu, qos etc)
 
Merci pour vos avis éclairés

Didon dreamer tu pourrais répondre ^^

bah oui mais j'ai jamais bossé avec ipv6 à part sur un workshop de deux jours chez ciscotte.
 
Perso je pense que tu gardes la même segmentation en vlan par réseaux "logiques". Vue la quantité de subnet dispo ça pose pas de problème. Après j'attendrai que les cours de design entreprise ciscotte soit mis à jour

J'avoue ne pas trop trop connaitre ces problématiques.
Si on enlève le côté sécu (tu veux mettre quoi ? Ipsec ?), qos, c'est sûr qu'on doit pas avoir énormément d'intéret à faire des vlans (pour ségmenter les flux).
 
Après même si il n'y a pas de broadcast il y a qd même du multicast et du multicast sur all-nodes par exemple avec ff02::1 (je ne sais pas à quel point c'est utilisé).

Séparer VoIP des postes utilisateur, des serveurs, de ...
 
Toutes les machines sur un même segment, sur un hub, ...
 
Principalement la raison est la sécurité. Aucun intérêt à la maison.
 
Si maintenant qq'un se branche à ton LAN avec un laptop et fixe sur son interface réseau une IP d'un de tes serveurs, ou de la passerelle par défaut... ça fait des chocapic.

oui je pensais au spoofing de messages RA

L'utilité première des VLAN étaient de limiter la diffusion de certain message, le broadcast. Même si en IPv6 tu n'as pas de broadcast au sens IPv4, l'utilisation du multicast est très renforcé, on l'utilise à toute les sauces.
 
Ne serait-ce que pour les "Neighbor Solicitation" (remplacement de l'ARP), tu envoies toujours ta sollicitation sur tout le lien à une adresse multicast, certes liée à l'adresse IPv6 de destination mais il y a toujours diffusion du message pour que le destinataire puisse le recevoir.
 
Sur ton réseau à plat, tu voudrais voir tes Neighbor sollicitations dans tous les coins ?

OK avec ogure : il n'y a plus de broadcast, qui est massivement remplacé par le multicast en pratique,mais les usages sont sensiblement les mêmes.
Il faudra toujours continuer à segmenter et designer les réseaux, même si certaines petites choses évolueront (et heureusement pour notre job )

Ouai je suis OK. J'avais pas trop lu de littérature IPV6 mais après découverte de NDP, autoconfig etc je vois bien que les VLAN seront toujours d'actualité...

L'utilité première des VLAN n'est pas de limiter les domaines de broadcast, c'est juste un bénéfice qui découle de la segmentation logique.
 
L'utilité première des VLAN est de segmenter divers trafic permettant de :
- Améliorer la sécurité
- Pouvoir mettre en place de la qualité de service en priorisant le trafic de certains VLAN au détriment d'autres
 
 
Donc oui, les VLAN sont toujours d'actualité avec IPv6 et ont une utilité.
 
D'ailleurs, Ethernet dans les WAN utilise les ID de VLAN pour faire du "routage" mais la c'est un peu HS.

heu non c'est le contraire. VLAN = Virtual LAN, et la définition d'un LAN ethernet c'est un domaine de broadcast. Les vlans ne servent à rien en sécurité (pire que ça, le vlan hopping n'est pas possible avec des switchs physiquement séparé, introduire des VLANs afaiblit la sécurité

Les possibilités de spoofing sont largement réduites avec des VLANs

Sur les vlans t'as le vlan hopping (trame avec double header 802.1q), une autre attaque sympa c'est le cam overflow qui pète le cloisonnement en vlans justement donc au contraire, les vlans c'est bien moins sûr que des switchs physiquement séparés (puisque par définition tu mutualises)

J'ai du mal à voir en quoi les vlans réduisent les possibilités de spoofing

Sincèrement tu as vu ou fait une attaque réussie de style, parce que bon la seule doc que j'avais lu la dessus (un document CISCO), vu le nombre de conditions nécessaires pour réussir l'attaque, c'est quasi impossible d'y parvenir si on prend un minimum de précautions (entre autre ne pas diffuser, via les switch, la liste des VLAN sur le réseau ce qui est le baba de la sécurité).

Pour le VLAN hopping, je suis d'accord. Par contre la CAM overflow (décrite dans mon post d'après ) pour péter le cloisonnement en VLAN c'est super simple..

Clairement le VLAN hopping c'est sur le papier... on a lu la meme doc ciscotte je pense ^^ Surtout que si ca réussit tu attaques en aveugle. Tu pourras envoyer ton flux dans un VLAN ID donné mais tu verras jamais le retour... Imo c'est bien plus simple d'attaquer le IIS ou l'appli web qui tourne avec du XSS/CSRF.Braif
Par contre pour le cam overflow je pensais que c'était un truc plus vraiment d'actualité. Avec un simple mac-locking ca se gere simplement. Pas plus de X MAC par port et c'est réglé. Ou alors j'ai oublié un truc?

non t'as rien oublié, mais t'en connais beaucoup des clients qui mettent vraiment le port security partout ?
 
Moi à part en env. bancaire j'ai jamais vu

Je fais bien mon métier moi !

Dreamer ui, bien sur la sécurité est meilleure avec des LAN physiquement séparés. De mon coté, je voulais dire que la sécurité est meilleure avec des VLAN par rapport à un réseau unique
 
O'gure : Tu peux toujours spoofer des @MAC mais tu n'a plus la possibilité d'intercepter du trafic destiné à l'adresse usurpée si elle se trouve dans un autre VLAN

sauf si tu pètes le cloisonnement en vlan avec une CAM overflow avant