Leçon Précédent

Présentation des VLAN

Qu’est ce qu’un VLAN ?

Un VLAN (Virtual LAN), ou Réseau Local Virtuel, est une solution astucieuse qui permet de diviser un réseau Ethernet physique en plusieurs sous-réseaux logiquement distincts. Malgré leur partage d’une infrastructure physique unique, ces sous-réseaux agissent comme s’ils étaient séparés, offrant une isolation entre eux.

Pour mieux visualiser cela, imaginons une entreprise composée de trois départements : Secrétariat, Direction et Commercial. Dans un scénario traditionnel, pour isoler la communication de chaque groupe, l’administrateur aurait besoin de trois switchs distincts. Cette solution, non seulement coûteuse, manquerait également de flexibilité.

En revanche, avec la technologie VLAN, on peut obtenir cette séparation tout en économisant sur le matériel. Il suffirait simplement de créer trois VLANs distincts sur un switch :

  • VLAN 10 pour le Secrétariat
  • VLAN 20 pour la Direction
  • VLAN 30 pour le Commercial

Grâce à cette configuration, les membres de chaque groupe peuvent communiquer librement entre eux au sein de leur VLAN respectif. Mais ils restent isolés des autres groupes, tout comme s’ils étaient connectés à des switchs physiques séparés.

Décryptage de la table CAM : Prenons un moment pour plonger dans la mécanique de notre switch et examiner sa table CAM.

Switch# show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
10 0002.1604.94c5 DYNAMIC Fa0/1
10 0050.0f58.58ca DYNAMIC Fa0/2
20 0006.2a77.6cb9 DYNAMIC Fa0/3
20 00d0.ff8c.2b36 DYNAMIC Fa0/4
30 0001.64ac.30ed DYNAMIC Fa0/5
30 0060.3e9b.26ae DYNAMIC Fa0/6

À la lecture de cette table, on note que chaque adresse MAC est associée à un VLAN spécifique. Pour que notre switch puisse acheminer efficacement une trame à son destinataire, il est impératif que l’expéditeur et le destinataire appartiennent au même VLAN. C’est une condition sine qua non pour garantir la communication entre les dispositifs.

La Notion de VLAN : Visibilité et Marquage des Trames

Dans le monde des réseaux, le concept de VLAN (Virtual Local Area Network) est crucial pour créer des segments logiques qui améliorent la sécurité et la performance des réseaux physiques. Mais lorsque deux PC sont branchés sur le même équipement et font partie du même VLAN, comment cela fonctionne-t-il en coulisse ? Les PC sont-ils conscients de leur appartenance à un VLAN ? Leurs trames sont-elles marquées (taguées) ?

Compréhension du VLAN pour les PC :
Les PC ou autres dispositifs finaux (comme les imprimantes ou les serveurs) ne sont généralement pas au courant de leur appartenance à un VLAN. Pour eux, ils sont simplement connectés à un réseau. Le VLAN est transparent pour ces dispositifs et est principalement une abstraction au niveau du switch pour organiser et contrôler le trafic.

Tagging des trames dans un VLAN :
Lorsque deux PC du même VLAN communiquent entre eux et sont connectés au même switch, la trame n’a pas besoin d’être taguée. En effet, puisque le switch sait déjà à quel VLAN chaque port appartient, il n’a pas besoin d’insérer de balise dans la trame pour identifier le VLAN de destination. C’est seulement lorsque la trame doit quitter le switch pour aller vers un autre switch à travers un lien trunk que le marquage (ou tagging) devient nécessaire.

les avantages des VLANs

Les réseaux d’entreprise modernes doivent être flexibles, sécurisés et faciles à gérer pour répondre efficacement aux besoins changeants des utilisateurs et des applications. Dans cette optique, les VLANs (Virtual Local Area Networks) ont été introduits comme une solution pour surmonter les défis posés par les grands domaines de diffusion traditionnels. Ils offrent une manière élégante de segmenter les réseaux, permettant une meilleure performance, une sécurité renforcée et une gestion plus aisée. Examinons de plus près les avantages distincts des VLANs et comment ils peuvent transformer la manière dont les entreprises gèrent leurs infrastructures réseau.

  1. Réduction de la surcharge CPU sur chaque appareil : Les VLANs réduisent le nombre d’appareils qui reçoivent des trames de diffusion (broadcast). Cela diminue la charge de travail du CPU de chaque appareil, améliorant ainsi ses performances.
  2. Amélioration de la sécurité du réseau : Les VLANs limitent la diffusion de trames à un sous-ensemble d’appareils. Cela signifie qu’un nombre réduit d’hôtes recevra des trames potentiellement nuisibles ou non pertinentes, comme les broadcasts, les multicasts, et les unicasts inconnus.
  3. Application de différentes politiques de sécurité : Vous pouvez appliquer des politiques de sécurité distinctes à chaque VLAN, offrant ainsi une flexibilité pour répondre aux exigences spécifiques de chaque groupe d’utilisateurs ou de chaque service.
  4. Conception plus flexible : Au lieu de regrouper les utilisateurs en fonction de leur emplacement physique, les VLANs permettent de les regrouper par département, fonction ou même projet. Cela facilite la communication et la collaboration entre les équipes.
  5. Résolution de problèmes plus rapide : Lorsqu’un problème survient sur le réseau, il est souvent limité au VLAN concerné. Cela facilite le diagnostic et la résolution des problèmes, car vous savez exactement où chercher.
  6. Réduction de la charge de travail pour STP : En limitant un VLAN à un seul switch d’accès, vous réduisez la complexité du Protocole Spanning Tree (STP). Cela peut rendre le réseau plus stable et prévisible.

En fin de compte, l’utilisation des VLANs rend les réseaux plus organisés, plus sécurisés, et plus faciles à gérer.

NUMérotation VLAN

Numérotation vlan

La numérotation VLAN est essentielle pour identifier et distinguer les différents VLANs au sein d’un réseau. Voici une présentation détaillée de la numérotation VLAN :

Identifiant VLAN (VLAN ID) : Chaque VLAN est identifié par un VLAN ID unique. Ce numéro est utilisé pour marquer le trafic Ethernet appartenant à un VLAN spécifique, surtout lorsqu’il traverse des liens qui transportent des informations pour plusieurs VLANs.

Il existe trois types de VLANs :

  • VLANs standard (numéroté de 1 à 1001) ;
  • VLANs réservés (numéroté de 1002 à 1005) ;
  • VLANs étendus (numéroté de 1006 à 4094).

Chacun de ces types de VLANs a des caractéristiques et des utilisations spécifiques :

  • Les VLANs 1 à 1001 sont considérés comme les VLANs “normaux” et peuvent être utilisés pour n’importe quel type de trafic Ethernet.
  • Les VLANs 1002 à 1005 sont réservés pour des raisons historiques liées à Token Ring et FDDI et ne doivent généralement pas être utilisés dans les architectures Ethernet modernes.
  • Les VLANs 1006 à 4094 sont considérés comme les VLANs “étendus”. Bien que cette distinction soit plus pertinente pour les anciens commutateurs Cisco, de nombreux commutateurs modernes traitent tous les VLANs de la même manière, quelle que soit leur numérotation.

VLAN par défaut : VLAN 1 est le VLAN par défaut sur la plupart des commutateurs. Cela signifie que tous les ports d’un commutateur sont membres du VLAN 1 par défaut lorsqu’ils sont initialisés. De nombreuses fonctions de gestion, telles que la gestion des adresses CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol) et d’autres fonctions de gestion, utilisent également le VLAN 1 par défaut. Pour des raisons de sécurité, il est recommandé de ne pas utiliser le VLAN 1 pour le trafic des utilisateurs.

En résumé, la numérotation VLAN est essentielle pour identifier, gérer et segmenter efficacement le trafic au sein d’un réseau. Une planification et une gestion appropriées sont essentielles pour garantir l’efficacité et la sécurité des communications au sein des VLANs.

AFFECTER UN VLAN

Il existe plusieurs méthodes pour affecter un VLAN à un port ou à un dispositif sur un commutateur. Voici les principales méthodes d’affectation :

  1. Affectation statique : L’administrateur attribue manuellement un port à un VLAN. C’est la méthode la plus basique et la plus utilisée, généralement via le CLI ou le GUI du commutateur.
  2. Affectation dynamique : Un serveur, comme RADIUS, assigne le VLAN en fonction de critères spécifiques, comme l’adresse MAC ou le nom d’utilisateur. C’est pratique pour des réseaux nécessitant une gestion dynamique des utilisateurs.
  3. Affectation basée sur le protocole : Le type de protocole utilisé (comme IP ou IPX) détermine le VLAN. Ainsi, différents protocoles peuvent se retrouver dans différents VLANs.
  4. Affectation par Voix : Pour les téléphones IP. Certains commutateurs séparent automatiquement le trafic vocal dans un VLAN dédié pour assurer une bonne qualité des appels.

L’affectation des VLANs est une composante fondamentale de la gestion d’un réseau commuté. Choisir la bonne méthode d’affectation dépend des besoins et de la taille du réseau, ainsi que des exigences de sécurité et de gestion.

Configuration VLAN

Switch(config)# vlan 10
Switch(config-vlan)# name SECRÉTAIRE
Switch(config)# vlan 20 
Switch(config-vlan)# name BOSS
Switch(config)# vlan 30 
Switch(config-vlan)# name VENDEUR

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface FastEthernet 0/3 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 20 

Switch(config)# interface FastEthernet 0/5 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30