🔄 Commutation (Switching) – Couche 2, MAC & VLANs

La Circulation Intelligente du LAN

La Commutation (Switching) est le processus de réception de données (Trames) sur un port d'un appareil réseau et de leur transmission (commutation) vers le port de destination spécifique, à l'intérieur d'un même réseau local (LAN).

C'est une opération de Couche 2 (Liaison) du modèle OSI.

• L'appareil est le Switch (Commutateur).
• L'unité de donnée est la Trame (Frame).
• L'adresse utilisée est l'Adresse MAC.

Comprendre la différence entre ces trois appareils est la base du réseau.

L'Identifiant Physique (Couche 2)

L'adresse MAC (aussi appelée "adresse physique" ou "BIA") est l'identifiant unique au monde (gravé en usine) de chaque carte réseau (NIC).

C'est l'adresse utilisée par les Switchs pour la communication locale.

Format

• Taille : 48 bits (6 octets).
• Notation : Héxadécimale (ex: 00:1A:2B:3C:4D:5E ou 001A.2B3C.4D5E).
• Structure :
  • 00:1A:2B (OUI - 24 bits) : Organizationally Unique Identifier. Attribué au fabricant (Cisco, Apple, Intel...).
  • 3C:4D:5E (ID - 24 bits) : Numéro de série unique assigné par le fabricant.

Comment un switch "apprend-il" où se trouvent les appareils ? En inspectant passivement le trafic.

Le switch construit sa "Table MAC" en lisant l'adresse MAC source de chaque trame qu'il reçoit.

Exemple

Un switch neuf (Table MAC vide) est allumé.

1. PC A (MAC: AAAA) est sur le Port 1.
2. PC B (MAC: BBBB) est sur le Port 2.

3. PC A envoie une trame (n'importe quoi, ex: un ARP) à PC B.
   (Source: AAAA, Destination: BBBB)

4. Le Switch reçoit la trame sur le Port 1.
   Il lit l'ADRESSE SOURCE (AAAA).

5. Le Switch se dit : "Aha ! L'adresse AAAA se trouve
   sur mon Port 1."

6. Le Switch AJOUTE cette entrée à sa Table MAC :
   [ MAC: AAAA  |  PORT: 1 ]

Il fait cela pour chaque trame entrante, remplissant sa table dynamiquement.

La Table MAC (ou "CAM Table" sur les switchs Cisco) est le "cerveau" du switch. C'est une table de correspondance (Port <-> MAC).

Exemple de Table MAC

Aging Time (Temps de Vieillissement)

Les entrées "Dynamiques" (apprises) ne sont pas permanentes. Si un appareil (ex: un laptop) est débranché, son entrée doit disparaître.

Chaque entrée a un "timer" (par défaut : 300 secondes / 5 minutes). Si le switch ne voit pas de trafic de AAAA pendant 5 minutes, il supprime l'entrée [AAAA | Port 1] de sa table.

Quand un switch reçoit une trame sur un port, il lit l'adresse MAC de destination et prend l'une de ces 3 décisions :

La Méthode Fiable

C'est la méthode de commutation par défaut sur la plupart des switchs modernes (ex: Cisco).

Processus

1. Le switch reçoit la trame sur un port.
2. Il stocke (Store) la trame entière dans un buffer (mémoire tampon).
3. Il effectue une vérification d'erreur (FCS - Frame Check Sequence) à la fin de la trame.
4. Si la trame est valide (pas d'erreur) : Il consulte sa table MAC et transmet (Forward) la trame vers le bon port.
5. Si la trame est corrompue (erreur FCS) : Il la jette (drop).

• Avantage : Très fiable. Ne propage pas les erreurs réseau (les "runts" et "giants").
• Inconvénient : Latence plus élevée (le switch doit attendre la fin de la trame avant d'envoyer).

La Méthode Rapide

Utilisée dans les environnements où la latence est critique (HPC, finance).

Processus

1. Le switch reçoit le début de la trame.
2. Il lit uniquement l'en-tête (les 6 premiers octets : l'adresse MAC de destination).
3. Il consulte immédiatement sa table MAC.
4. Il commence à transmettre (Cut-Through) la trame vers le port de destination avant même d'avoir reçu la fin de la trame.

• Avantage : Latence extrêmement faible.
• Inconvénient : Propage les erreurs. Si la trame est corrompue (erreur FCS à la fin), le switch l'aura déjà transmise.

La Méthode Hybride

C'est un compromis entre "Store-and-Forward" (fiable) et "Cut-Through" (rapide).

Processus

1. Le switch lit les 64 premiers octets de la trame (la taille minimale d'une trame Ethernet).
2. La plupart des erreurs (collisions) se produisent dans ces 64 premiers octets.
3. S'il n'y a pas d'erreur (pas un "fragment"), il transmet la trame (sans lire la fin).

C'est plus rapide que Store-and-Forward, et plus fiable que Cut-Through. (Moins courant aujourd'hui).

La Segmentation Logique

Un VLAN (Virtual LAN) permet de prendre un switch physique et de le diviser en plusieurs switchs virtuels (logiques).

Chaque VLAN est un domaine de broadcast séparé. Par défaut, le trafic ne peut pas passer d'un VLAN à un autre.

Exemple

Un switch de 8 ports. L'admin configure :

• Ports 1-4 = VLAN 10 (Compta) (Réseau 192.168.10.0/24)
• Ports 5-8 = VLAN 20 (Ventes) (Réseau 192.168.20.0/24)

Résultat

• Un PC sur le Port 1 (VLAN 10) envoie un broadcast (ex: ARP). Seuls les ports 2, 3, 4 le reçoivent.
• Le PC sur le Port 5 (VLAN 20) ne voit jamais ce trafic.
• PC (Port 1) et PC (Port 5) sont totalement isolés, comme s'ils étaient sur deux switchs physiques distincts.

Nécessite un switch manageable.

Problème : Comment faire passer le trafic du VLAN 10 (Compta) d'un Switch A à un Switch B ?

Solution : Un port "Trunk" (Liaison).

Les VLANs isolent le trafic (Couche 2). Pour qu'un PC du VLAN 10 (Compta, 192.168.10.x) parle à un PC du VLAN 20 (Ventes, 192.168.20.x), il faut un Routeur (Couche 3).

(Trafic) PC-10 -> Switch -> Routeur (via Trunk)
(Routage) Routeur (de Vlan 10 à Vlan 20)
(Trafic) Routeur -> Switch -> PC-20 (via Trunk)

La redondance physique est bonne (ex: 2 câbles entre 2 switchs), mais elle crée des boucles (loops) de Couche 2, ce qui est catastrophique pour un réseau commuté.

La Tempête de Broadcast (Broadcast Storm)

 (Lien 1)
[ SW A ] ========= [ SW B ]
   │                 │
 (Lien 2)            (PC)

1. Un PC envoie un Broadcast (ex: ARP, DHCP).
2. SW B le "flood" (inonde) sur tous ses ports, y compris Lien 1 et Lien 2.
3. SW A reçoit le broadcast sur Lien 1. Il le "flood" sur tous ses ports, y compris Lien 2.
4. SW A reçoit le broadcast sur Lien 2. Il le "flood" sur tous ses ports, y compris Lien 1.
5. La trame tourne en boucle, se multipliant à l'infini.

Résultat : Saturation de la bande passante, 100% CPU sur les switchs, le réseau s'effondre (DoS).

STP (IEEE 802.1D) est un protocole de Couche 2 qui prévient les boucles en bloquant logiquement les liens redondants.

Processus (Simplifié)

Les switchs s'envoient des "BPDUs" (trames STP) pour :

1. Élire un "Root Bridge" (Pont Racine) : Le switch "chef" (basé sur la Priorité + MAC la plus basse).
2. Définir les "Root Ports" : Chaque switch non-root détermine son *meilleur* (plus court) chemin vers le Root Bridge.
3. Définir les "Designated Ports" : Sur chaque segment, le port le plus proche du Root Bridge.
4. BLOCAGE : Tous les autres ports (non-root, non-designated) sont mis en état Blocking.

 (Lien 1 - FORWARD)
[ SW A (Root) ] === [ SW B ]
   │                 │
 (Lien 2 - BLOCKED)  (PC)

Le Lien 2 est bloqué, la boucle est rompue. Si le Lien 1 tombe, STP recalcule et débloque le Lien 2 (convergence).

Le STP (802.1D) original était très lent. La convergence (passer du blocage au forwarding si un lien tombe) pouvait prendre 30 à 50 secondes.

RSTP (802.1w)

RSTP (Rapid Spanning Tree Protocol) est le standard moderne. Il est rétrocompatible mais beaucoup plus rapide.

Il optimise les états des ports et le mécanisme de "handshake" pour permettre une convergence en quelques millisecondes (ou < 1-2 secondes).

MSTP (802.1s)

Multiple Spanning Tree Protocol. (Avancé) Permet de créer différentes "instances" de Spanning Tree, une pour chaque groupe de VLANs. (Permet d'utiliser le Lien 1 pour le VLAN 10 et le Lien 2 (bloqué) pour le VLAN 20, optimisant ainsi la bande passante).

Port Security est une fonctionnalité de sécurité de Couche 2 (sur switch manageable) qui limite le nombre d'adresses MAC autorisées à se connecter sur un port spécifique.

Objectif : Empêcher un utilisateur de débrancher son PC de bureau et de brancher un mini-switch (ou un PC pirate) sur la prise murale.

Modes

• maximum [N] : Définit le nombre max d'adresses MAC (ex: maximum 1).
• sticky (Apprentissage collant) : Le switch apprend la première (ou N) MAC qui se connecte et l'ajoute à la configuration (la "colle").

Violation

Que faire si une MAC inconnue se connecte ?

• shutdown (Défaut) : Le port est désactivé (état "err-disabled"). L'admin doit le réactiver manuellement.
• restrict / protect : Bloque le trafic de l'intrus, mais laisse le port actif.

IEEE 802.1X (ou "PNAC" - Port-based Network Access Control) est la solution de sécurité d'entreprise pour le Wi-Fi (WPA-Enterprise) et le filaire.

Il ne se base pas sur l'adresse MAC (facile à spoofer), mais sur une authentification.

Les 3 Acteurs

1. Supplicant (Demandeur) : Le PC client.
2. Authenticator (Authentificateur) : Le Switch (ou l'AP Wi-Fi).
3. Authentication Server (Serveur) : Un serveur RADIUS (souvent lié à Active Directory).

Processus

1. [PC] se branche au [Switch].
   (Le port est "non autorisé", ne laisse passer que EAP).

2. [Switch] -> [PC] : "Qui es-tu ?"
3. [PC] -> [Switch] : "Je suis Bob. (via EAP)"
4. [Switch] -> [RADIUS] : "Bob veut se connecter."
5. [RADIUS] (vérifie Bob dans AD) -> [Switch] : "OK, Bob est autorisé."

6. [Switch] ouvre le port pour le trafic normal.

La Link Aggregation (Agrégation de liens), aussi appelée "EtherChannel" (Cisco) ou "Bonding" (Linux), permet de grouper plusieurs ports physiques (ex: 4 x 1 Gbps) en un seul lien logique (ex: 1 x 4 Gbps).

Objectifs

• Augmenter la Bande Passante : (ex: entre deux switchs "core" ou vers un NAS).
• Redondance : Si un des câbles du "bundle" est coupé, le trafic continue sur les autres.

Protocoles

• Statique ("On") : Configuration manuelle (risqué).
• LACP (802.3ad) : (Standard ouvert) Link Aggregation Control Protocol. Négocie la création du lien (Mode "Active" ou "Passive").
• PAgP : (Propriétaire Cisco, obsolète).

PoE (Power over Ethernet) est une technologie qui permet de transmettre l'alimentation électrique via le câble Ethernet (RJ45), en plus des données.

Composants

• PSE (Power Sourcing Equipment) : L'équipement qui fournit le courant.
  • Switch PoE : Un switch manageable (ou non) dont les ports fournissent du courant.
  • Injecteur PoE : Un adaptateur pour un seul port.
• PD (Powered Device) : L'équipement qui reçoit le courant (ex: Caméra IP, Point d'Accès Wi-Fi, Téléphone VoIP).

Sur un switch manageable (via CLI), la commande la plus importante pour le diagnostic de Couche 2 est celle qui affiche la Table MAC.

show mac address-table (Cisco)

Affiche la "mémoire" du switch (voir 2.2).

Switch# show mac address-table
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 10     00aa.bb11.2233    DYNAMIC     Fa0/1
 10     00aa.bb44.5566    DYNAMIC     Fa0/2
 20     00aa.bb77.8899    DYNAMIC     Fa0/10
 10     00aa.bbFFFFFF    STATIC      Gi0/1

Diagnostic :

• MAC "flapping" : Si une MAC apparaît tantôt sur Port 1, tantôt sur Port 2, cela indique une boucle (loop) ! (STP devrait l'empêcher).
• Trop de MACs sur 1 port : Indique qu'un autre switch (ou un hub) est branché sur ce port.