Les activités suivantes ont pour objet de découvrir pfSense dans un environnement non virtualisé, et surtout de mettre en pratique les concepts de réseaux locaux virtuels (VLAN) à partir de quelques situations.
¶ Configuration basique
¶ Présentation
Nous allons tout d’abord réaliser la configuration primaire de pfSense : prise en charge d’un réseau local (LAN) depuis un accès à Internet unique (WAN), selon le schéma suivant :
C'est aussi le schéma du miniLab, mais ici, nous sommes dans un environnement non virtualisé.
¶ Matériel nécessaire
- Une unité centrale PC (compatible pfSense) avec deux interfaces réseau cuivre.
- Deux commutateurs réseau (switch) administrables de niveau 2 minimum :
- Switch A : de type simple et webadministrable (type DLINK DGS)
- Switch B : plus complexe (Type Cisco Catalyst) administrable via une console
- Des câbles Ethernet
- Un accès à internet (WAN) depuis le réseau du laboratoire.
- Un PC client à connecter sur le LAN, configuration réseau DHCP, avec un navigateur WEB et un terminal supportant une connexion locale (port console)
¶ Travail demandé
- Installer et configurer pfSense depuis sa console native en prenant soin de :
- Correctement identifier les interfaces réseau WAN et LAN
- Configurer l’interface WAN en mode DHCP
- Configurer l’interface LAN avec l’adresse IP
172.16.X.1/24(Xest un numéro qui vous est attribué en début de session) - Configurer le serveur DHCP de pfSense avec la plage IP
[172.16.X.100 – 172.16. X.199]
Installation détaillée de pfSense (sauf qu’ici il s’agit d’une machine physique, et non virtuelle ; il faudra utiliser la bonne image d'installation).
- Réinitialiser chaque switch avec ses réglages initiaux par défaut (factory reset)
- Connecter le PC client sur le réseau :
- Vérifier qu’il a bien reçu une configuration IP par DHCP de la part de pfSense
- Vérifier la connectivité à interne
- Connecter l'application de terminal sur le port console du switch B et vérifier le fonctionnement
- Se connecter à l’interface WEB d’administration de pfSense
- Effectuer les réglages de base de pfSense (changement de mot de passe admin, fuseau horaire, …) ; inspirez vous pour cela de https://wiki.pminfo.fr/fr/pfsense-configuration
- Ajouter quelques éléments utiles sur la page d’accueil du configurateur web de pfSense (dashboard), comme l’état des passerelles, le graphe de trafic, …
¶ Configuration de VLAN par port
¶ Présentation
A partir du montage précédent, nous allons séparer les switches en deux commutateurs virtuels par la création de deux VLAN distincts. Chaque port physique du switch devra être intégré dans un (et un seul) VLAN. Nous allons créer les VLAN 10 et 11, correspondant respectivement au WAN et au LAN ; ceci nous donne le schéma suivant :
¶ Matériel nécessaire
On utilise le même matériel.
¶ Travail demandé
- La configuration de pfSense est la même que pour l’activité précédente.
- Paramétrer chaque switch de façon à obtenir la configuration ci-dessous (on se limite ici à huit ports).
¶ Configuration souhaitée du switch
- Adresse IP :
172.16.X.5/24(pour l’administration, sur le VLAN 11) - Passerelle par défaut :
172.16.X.1
| port : | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
|---|---|---|---|---|---|---|---|---|---|
| PVID : | 10 | 10 | 10 | 10 | 11 | 11 | 11 | 11 | |
| VLAN | mode : | access | access | access | access | access | access | access | access |
| 10 | WAN | U | U | U | U | ||||
| 11 | LAN | U | U | U | U |
U : untagged - T : tagged - vide : non membre
¶ Rappels théoriques :
Quand un port de switch est configuré UNTAGGED sur le VLAN 10, cela signifie que de ce port ne sortiront que des trames du VLAN 10, sans marquage (ou étiquettage, ou encore tag).
On utilise un port UNTAGGED pour connecter des équipements qui ne gèrent pas les VLANs (PC, imprimante, serveur sans configuration VLAN, etc.). L'équipement "voit" juste une connexion réseau normale, mais le switch le place dans le VLAN 10. On parle aussi d’un port configuré en mode ACCESS.
Un port ne peut généralement avoir qu'un seul VLAN en mode UNTAGGED.
Pour résumer et clarifier avec la notion de PVID :
- PVID (Port VLAN ID) : C'est l'ID de VLAN affecté aux trames entrantes non taguées. C'est le comportement en ingress.
- UNTAGGED : C'est le comportement en sortie (egress). Le switch retire le tag VLAN avant d'envoyer la trame sur ce port.
En pratique, quand on configure un port en UNTAGGED sur VLAN 10, on définit généralement les deux comportements en même temps : - Ingress : PVID = 10 → les trames entrantes non taguées sont affectées au VLAN 10
- Egress : UNTAGGED VLAN 10 → les trames sortantes du VLAN 10 sont « détaguées »
Sur la plupart des switches, configurer un port en "access" ou "UNTAGGED" sur un VLAN définit automatiquement le PVID sur ce même VLAN. Mais conceptuellement, ce sont bien deux paramètres distincts (ingress vs egress). Quand les deux sont configurables distinctement, on parle généralement de commutation (ou de mode) asymétrique.
En règle générale, par défaut, un switch est configuré avec le VLAN 1 (qu’il n’est d’ailleurs pas possible de supprimer sur certains modèles) ; par défaut également, c’est sur ce VLAN 1 que l’interface d’administration WEB du switch (webadmin) est accessible.
- Modifiez la configuration du switch pour que le webadmin soit accessible sur le VLAN 11, à l’adresse IP
172.16.X.5 - Connectez le lien WAN du labo sur le port 1 du switch, l’interface WAN de pfSense sur le port 2, l’interface LAN de pfSense sur le port 7
- Vérifier la connectivité sur chacun des ports du switch avec votre ordinateur :
- Les ports 1 à 4 vous connectent au WAN (vérifier avec l’IP reçue en DHCP)
- Les ports 5 à 8 vous connectent dans le segment LAN de pfSense (vérification idem).
- Vérifier que dans le LAN vous accédez à l’interface d’administration du switch
¶ pfSense avec une seule interface physique
¶ Présentation
Le but maintenant est de réaliser de nouveau l’interconnexion simple d’un LAN et d’un WAN, mais en utilisant une seule carte réseau physique sur pfSense, associé à un switch administrable de niveau 2. Les deux interfaces WAN et LAN de pfSense seront donc virtuelles, et devront être transportées sur le même lien physique (trunk) entre pfSense et le switch.
Cette configuration, appelée "router-on-a-stick", est rarement implémentée en production, mais elle permet de bien comprendre la séparation des flux sur un « trunk » VLAN. En réalité, on lui préfèrera souvent les Switches de Niveau 3 (L3) qui font ce travail beaucoup plus vite.
¶ Rappel théorique
Quand un port de switch est configuré TAGGED sur les VLAN 10 et 11, cela signifie que le port conserve les étiquettes VLAN dans les trames qui transitent.
En pratique :
- Trames sortantes : Le switch envoie les trames avec leur tag 802.1Q intact. Si une trame appartient au VLAN 10, elle sort avec le tag VLAN 10. Si elle appartient au VLAN 11, elle sort avec le tag VLAN 11.
- entrantes : Le switch accepte uniquement les trames déjà taguées avec VLAN 10 ou VLAN 11. Les trames avec d'autres tags VLAN sont rejetées. Les trames non taguées sont affectées au PVID du port (s'il est configuré).
Cas d'usage typique : On utilise un port TAGGED pour connecter :
Un autre switch (trunk/liaison inter-switches) - Un serveur ou hyperviseur qui doit gérer plusieurs VLANs (exemple : Proxmox avec des VMs dans différents VLANs)
- Un point d'accès WiFi qui diffuse plusieurs SSIDs sur différents VLANs
- Un routeur qui fait du routing inter-VLAN
En résumé : TAGGED = "trunk" = transport de plusieurs VLANs sur le même port, avec les équipements connectés qui doivent comprendre et gérer les tags 802.1Q.
Différence clé avec UNTAGGED : L'équipement connecté doit être capable de traiter les VLANs lui-même (il est "vlan aware").
¶ Matériel nécessaire
On utilise toujours le même matériel, mais l'unité centrale pfSense ne peut avoir qu'une seule interface réseau filaire.
¶ Travail demandé
- Reprendre la configuration de pfSense (en mode console) avec les deux VLAN 10 (WAN) et 11 (LAN) sur son interface physique unique.
- La configuration de pfSense, hormis les VLANs, est la même que pour l’activité précédente.
- Configurer les switchs (prévoir un « factory reset » s’il n’a pas déjà effectué). Vous devrez vous documenter sur la méthode d’accès à l’interface de configuration du switch, et sur la façon d’obtenir cette configuration :
| port : | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
|---|---|---|---|---|---|---|---|---|---|
| usage : | WAN | pfSense | LAN | LAN | LAN | LAN | LAN | LAN | |
| PVID : | 10 | 1 | 10 | 10 | 11 | 11 | 11 | 11 | |
| VLAN | mode : | access | trunk | access | access | access | access | access | access |
| 10 | WAN | U | T | U | U | ||||
| 11 | LAN | T | U | U | U | U |
U : untagged - T : tagged - vide : non membre
- Vérifiez la connectivité LAN et l’accès à Internet sur les ports 3 à 8 du switch avec votre ordinateur.
- Quel est l’éventuel intérêt de régler le PVID sur 1 pour le port n°2 ?
¶ Déploiement d’un point d’accès WiFi multi-VLAN
¶ Présentation
Le but est maintenant de déployer deux connexions Wi-Fi via le même point d’accès, chaque connexion établissant un lien sur un LAN spécifique (par exemple, le LAN interne et le LAN invités)
X est le numéro qui vous est attribué, et Y = X + 100
¶ Matériel nécessaire
On utilise toujours le même matériel, avec cette fois deux interfaces sur pfSense. On ajoute également :
- un point d'accès Wi-Fi prenant en charge les VLAN (multi SSID
- un terminal (pc portable, smartphone) pour vérifier la connectivité Wi-Fi.
¶ Travail demandé
- Reprendre la configuration de pfSense avec cette fois :
- une interface WAN physique
- Deux VLAN (LAN11 et LAN12) sur la seconde interface physique. Pour cela, le plus simple est par exemple de restaurer les paramètres d’origine de pfSense (option disponible depuis la console).
- Les deux LAN ont un accès à Internet (WAN) sans restriction (configurer le pare-feu en conséquence).
- Un service DHCP doit être mis en place pour chacun des LAN, selon le plan d’adressage indiqué sur le schéma
- Configurer le switch ainsi :
| port : | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
|---|---|---|---|---|---|---|---|---|---|
| usage : | pfSense | LAN 11 | LAN 11 | LAN 12 | LAN 12 | LAN 12 | LAN 12 | AP WiFi | |
| PVID : | 1 | 11 | 11 | 12 | 12 | 12 | 12 | 1 | |
| VLAN | mode : | trunk | access | access | access | access | access | access | trunk |
| 11 | LAN11 | T | U | U | T | ||||
| 12 | LAN12 | T | U | U | U | U | T |
- Configurer le point d’accès Wi-Fi pour qu’il diffuse les deux SSID pour chacun des LAN (les SSID sont visibles sur le schéma)
- Vérifier la connectivité à Internet avec le terminal Wi-Fi, pour chacun des SSID, ainsi que la bonne configuration IP.
¶ Agrégation de liens
¶ Présentation
Une fonctionnalité de niveau 2 intéressante consiste à agréger deux liens Ethernet (ou plus) pour n’en faire qu’un seul. Cette redondance permet potentiellement deux choses :
- La connexion est maintenue en cas de défaillance d’un des lien (failover)
- La bande passante est multipliée par le nombre de liens disponibles (load balance)
On appelle en général LAG (Link Aggregation Group) un ensemble de liens regroupés pour n’en former qu’un seul. Sur ces LAG sont configurés différents types de protocoles de niveau 2 pour assurer cette fonction d’agrégation. Certains protocoles sont statiques (simples), d’autres dynamiques (élaborés), comme LACP (Link Aggregation Control Protocol) aussi désigné par la norme 802.3ad. Notons aussi la technologie développée par Cisco appelée EtherChannel.
Un LAG doit être configuré de chaque côté de la connexion, de façon cohérente. Il est recommandé quand c’est possible d’utiliser un protocole dynamique, qui optimise l’efficacité du LAG, notamment en cas de perte d’un lien (reconfiguration automatique).
¶ Mise en œuvre avec pfSense
Dans le menu interfaces > assignements, pfSense propose un certain nombre de fonctionnalités, dont la mise en place d’un LAG :
Une des difficultés, c’est que pour créer un LAG, il faut disposer d’interfaces non affectées. Votre mission est de remplacer le lien entre pfSense et chacun des switches par un double lien LAG (on utilisera les ports 1 et 2 des switches)
Quelques pistes pour y parvenir :
- Vérifiez les protocoles LAG disponibles sur vos switches
- Ajouter une interface sur pfSense pour créer le LAG avec un seul lien.
- Transférer le LAN sur le LAG ainsi créé
- Ajouter au LAG l’interface qui a été libérée à l’étape suivante.
¶ Configuration des switches
Voici la configuration modifiée :
| port : | LAG 1+2 | 3 | 4 | 5 | 6 | 7 | 8 | |
|---|---|---|---|---|---|---|---|---|
| usage : | pfSense | LAN 11 | LAN 12 | LAN 12 | LAN 12 | LAN 12 | AP WiFi | |
| PVID : | 1 | 11 | 12 | 12 | 12 | 12 | 1 | |
| VLAN | mode : | trunk | access | access | access | access | access | trunk |
| 11 | LAN11 | T | U | T | ||||
| 12 | LAN12 | T | U | U | U | U | T |
¶ Segmentation Voice VLAN / Data VLAN
¶ Présentation
Pour l'ultime étape dans ce parcours, nous allons revenir sur le principe "routeur-on-a stick" pour pfSense et ajouter un VLAN 20 VoIP. On souhaite également une cascade téléphone > PC, telle que représentée dans le schéma suivant :
X est le numéro qui vous est attribué, Y = X + 100 et Z = X + 150
¶ Matériel
Au matériel existant, nous ajoutons un téléphone IP muni d'un switch "VLAN aware"
¶ Travail demandé
Sur le port 7 du switch, le téléphone IP doit être configuré dans le VLAN 20, et le PC branché en cascade (en aval du téléphone) doit être dans le VLAN 12.
Configurez les équipements afin de réaliser cette maquette.
Configuration du switch (à compléter pour le port 7)
| port : | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
|---|---|---|---|---|---|---|---|---|---|
| usage : | pfSense | LAN 11 | LAN 11 | LAN 12 | LAN 12 | LAN 12 | LAN 12+20 | AP WiFi | |
| PVID : | 1 | 11 | 11 | 12 | 12 | 12 | ? | 1 | |
| VLAN | mode : | trunk | access | access | access | access | access | ? | trunk |
| 10 | WAN | T | |||||||
| 11 | LAN11 | T | U | U | T | ||||
| 12 | LAN12 | T | U | U | U | ? | T | ||
| 20 | VOIP2 | T | ? |