Introduction

Durée : 1h30

Environnement de travail : Avoir un PC et le logiciel Packet Tracer

Prérequis : Avoir un minimum de connaissances sur le fonctionnement du réseau et sur Packet Tracer

Contexte

Dans cette séance, nous allons étudier le rôle des VLANs, leurs types et les protocoles qui leur sont associés.

Le VLAN

Avant la naissance des VLANs, il existait un seul domaine de broadcast et tous les éléments du réseau se trouvaient au sein du même groupe. Actuellement, on a la possibilité de séparer les différents flux à l'aide des VLANs afin de dissocier, par exemple, le trafic des personnes qui travaillent à la comptabilité et celui des ressources humaines, ou alors de séparer des équipements comme les ordinateurs et les imprimantes/scanners. Avant que le VLAN ne fasse son apparition, on devait dissocier physiquement les équipements et les connecter sur des switches différents pour séparer le trafic de chaque entité. Mais avec les VLANs, on peut maintenant éviter ces séparations physiques et effectuer une séparation logique sur le même switch.

Une illustration schématique de plusieurs VLANs

RappelLe fonctionnement du LAN

Dans un LAN, autrement dit un réseau composé de commutateurs, on sait que chacune des interfaces hôtes possède une adresse unique (une adresse physique MAC).

Le switch possède une table de commutation (Mac Address Table) se composant des informations faisant correspondre les ports et les adresses MAC des hôtes, pour une circulation efficace.

Sur ces types de réseaux, on trouve le trafic unicast (à destination d'un seul hôte), le trafic de broadcast (diffusion, à destination de tous les hôtes) et le trafic multicast (à destination de certains hôtes).

Le commutateur déplace le trafic de broadcast et multicast en passant par tous les ports, excepté celui d'origine ; le routeur fait office de filtre du trafic de diffusion en ne le transférant pas. Le trafic unicast connu par le commutateur est tout de suite transféré via le bon port de sortie.

Un VLAN est finalement un LAN logique, qui est en fonctionnement sur une infrastructure LAN physique commutée.

Rôle des VLANs et norme IEEE 802.1Q

Définition

Les VLANs, ou réseaux privés virtuels (Virtual Local Area Networks), ont pour but de définir une segmentation logique au sein d'un réseau informatique. La norme utilisée porte l'identifiant 802.1Q.

IEEE 802.1G ajoute une étiquette à l'en-tête de la trame (l'ensemble de champs situés à la suite du champ d'adresse MAC d'origine). La taille de l'étiquette est de 4 octets ou de 32 bits, et 12 bits sont réservés au numéro de VLAN. Le standard supporte les technologies IEEE 802.3 (Ethernet), IEEE 802.11 (Wi-Fi), IEEE 802.5 (token ring), et étant donné qu'il s'agit d'un protocole de « pontage » (bridging), IEEE 802.1. Comme la trame sera changée, le commutateur fera à nouveau le calcul de la valeur du champ CRC ou FCS.

ExempleUne étiquette

Le domaine

Cette segmentation a pour rôle de dissocier les différents éléments du réseau (ordinateurs, imprimantes et autres) et, de cette façon, les différents groupes d'équipements ou d'utilisateurs pourront être dissociés les uns des autres. Avec l'aide de cette technologie, il nous est possible d'améliorer la sécurité entre ces diverses catégories, en y ajoutant des listes d'accès (ACL) dans un routeur pour chacun des différents VLANs, pour qu'ils puissent de la sorte communiquer entre eux, ou non.

La taille des différents domaines de broadcast pourra également être réduite en se servant des VLANs. Chaque VLAN possède son domaine attitré de broadcast.

Matériel permettant la configuration des VLANs

Conseil

On sait qu'il est possible de créer plusieurs VLANs, mais cela n'est pas toujours réalisable du fait du type de matériel utilisé.

Si vous voulez mettre en place plusieurs VLANs, alors il vous faudra acquérir un switch de type professionnel plutôt qu'un switch de type « tout public », avec lequel il n'est pas possible de faire toutes les configurations souhaitées. Par exemple, il n'est pas possible de mettre en place un VLAN, car ce switch n'a pas les mêmes capacités qu'un switch professionnel.

Exemple

VLAN et sous-réseau

Lorsque l'on configure un VLAN, on va obtenir un sous-réseau séparé. Les équipements qui se retrouvent connectés sur le même VLAN posséderont donc un plan d'adressage commun pour permettre la communication.

Remarque

On observe bien les différents sous-réseaux associés, et les différents VLANs mis en place de chaque côté.

Il y a un sous-réseau en 192.168.10.0/24, un second en 192.168.20.0/24, un troisième en 192.168.30.0/24 et enfin le dernier en 192.168.40.0/24. Les VLANs disposant du même sous-réseau pourront sans problème communiquer entre eux sans avoir accès aux autres sous-réseaux, tant qu'il n'y a pas d'autres règles qui permettent ou interdisent certains accès.

Différents modes de ports

Pour les commutateurs Cisco, il existe 2 types de modes de port :

Composé du « switchport », viennent ensuite le mode « access » ou le mode « trunk ».

• Le port « access » est un port qui déplace les informations d'un unique VLAN. Normalement, ce genre de port connectera un hôte terminal, une station de travail ou un serveur. Ce port ne met pas d'étiquette supplémentaire au trafic qu'il dépose.

• Le port « trunk », lui, est un port qui déplace les informations de multiples VLANs. On y connecte par la suite un autre commutateur, un routeur ou encore la carte réseau IEEE 802.1Q d'un serveur configuré en port « trunk ».

Remarque

Un port « trunk », contrairement au port « access », met des étiquettes supplémentaires au trafic puisqu'il est destiné à un autre commutateur. Le VLAN natif est celui pour lequel il n'y aura pas d'étiquette en plus sur le port « trunk ». À savoir que ce paramètre se règle sur le port « trunk ».

Pour conclure, on comprend bien qu'un port « access » n'est pas un port « trunk », et vice versa.

Illustration schématique des modes ports « trunk » et « access »

Différents types de VLANs

Il existe différents types de VLANs. Le type de trafic réseau qu'ils transportent définit un type particulier de VLAN, et d'autres dérivent leurs noms en raison du type ou d'une fonction spécifique que le VLAN effectue.

Ici, nous allons parler des différents types de VLANs, présents chez Cisco notamment. Nous allons trouver :

• Le VLAN 1 : c'est un VLAN par défaut situé sur tous les ports. Les protocoles de la couche 2 spécifiques suivants, tels que CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et DTP (Dynamic Trunk Protocol) devront absolument passer à travers ce VLAN spécifique.

Le VLAN 1 ne peut en aucun cas être enlevé, il est existant de base.

• Le Vlan par défaut : le VLAN 1 de base (par défaut) est défini à tous les ports d'un commutateur, du moment qu'ils n'ont pas reçu d'autres configurations. Cela veut dire que tous les autres types de VLANs (utilisateur, gestion et natif, et autres) font partie du VLAN 1 par défaut.

• Le VLAN réservé : il y a aussi des VLANs qui ne sont pas exploitables (dits réservés) comme les VLANs de 1 002 à 1 005, car ils sont utilisés de base pour les technologies FDDI et token ring. En mettant de côté les VLANs par défaut et les VLANs réservés, l'étendue de VLANs disponibles varie de 1 à 1 001 et de 1 006 à 4 094.

• Le VLAN utilisateur : ce genre de VLAN est un VLAN classique dans le sens où il est celui qui a été configuré afin d'obtenir une segmentation logique du commutateur dans le cadre de l'utilité des VLANs. La numérotation des VLANs est effectuée sur 12 bits. Chaque type de switch sera limité en nombre total à créer pour gérer les VLANs. Pour connecter des utilisateurs et leurs services, on s'abstiendra d'utiliser le VLAN 1 puisque, nous l'avons vu précédemment, il est le VLAN par défaut.

• Le VLAN de gestion : un VLAN de gestion est un VLAN configuré pour accéder aux capacités de gestion d'un commutateur. Un VLAN de gestion configuré doit être attribué avec une adresse IP et un masque de sous-réseau. Un VLAN de commutateur peut être configuré comme VLAN de gestion si vous n'avez pas configuré ou défini un VLAN unique pour servir de VLAN de gestion. Dans certains cas, un administrateur de réseau définit de manière proactive le VLAN 1 comme le VLAN de gestion, cela laisse une faille pour une connexion non autorisée à un commutateur. De cette façon, si un problème de diffusion se présente, l'administrateur réseau aura toujours la possibilité d'accéder au matériel afin de résoudre les problèmes avec ce VLAN.

• Le VLAN natif : un VLAN natif est assigné à un port « trunk » 802.1Q. Un port « trunk » 802.1Q prend en charge le trafic provenant de nombreux VLANs, ainsi que le trafic qui ne provient pas d'un VLAN. Le port principal 802.1Q place le trafic non balisé (le trafic qui ne provient pas d'un VLAN) sur le VLAN natif. En résumé, le VLAN natif observe et identifie le trafic provenant de chaque extrémité d'une liaison principale.

Conseil

Les protocoles de contrôle comme CDP, VTP, PAgP et DTP sont toujours transmis par le VLAN natif. Si l'identifiant du VLAN natif est modifié, ce qui est d'ailleurs conseillé, il faut appliquer cette modification sur toutes les liaisons « trunk » de la structure.

• Le VLAN vocal : le VLAN vocal (voice) est configuré pour acheminer le trafic vocal, il se configure via un port « access » et crée une sorte de mini-trunk vers un téléphone IP. Les VLANs vocaux ont pour la plupart la priorité de transmission sur d'autres types de trafics réseau. La communication sur le réseau n'est pas complète sans les appels téléphoniques. Plus d'appels sont passés sur le réseau que d'autres formes de transmission de messages. L'envoi de courriels et de SMS est aussi une forme d'interrelations, mais l'écoute d'une véritable voix apporte légitimité et assurance.

Le VLAN Voice