VLAN | Maîtrisez les bases en 5 minutes

Article de blog | Finger In The Net

Un VLAN (Virtual LAN), ou Réseau Local Virtuel, est une solution astucieuse qui permet de diviser un réseau Ethernet physique en plusieurs sous-réseaux logiquement distincts. Malgré leur partage d’une infrastructure physique unique, ces sous-réseaux agissent comme s’ils étaient séparés, offrant une isolation entre eux. La normalisation des VLANs est définie par le standard IEEE 802.1Q, qui spécifie les protocoles et méthodes permettant cette segmentation au sein d’une infrastructure commune.

Pour mieux visualiser cela, imaginons une entreprise composée de trois départements : Secrétariat, Direction et Commercial. Dans un scénario traditionnel, pour isoler la communication de chaque groupe, l’administrateur aurait besoin de trois switchs distincts. Cette solution, non seulement coûteuse, manquerait également de flexibilité.

Exemple de segmentation réseau sans VLAN montrant l'isolement des départements Secrétariat, Commercial et Direction avec des switches distincts.

En revanche, avec la technologie VLAN, on peut obtenir cette séparation tout en économisant sur le matériel. Il suffirait simplement de créer trois VLANs distincts sur un switch :

  • VLAN 10 pour le Secrétariat
  • VLAN 20 pour la Direction
  • VLAN 30 pour le Commercial

Grâce à cette configuration, les membres de chaque groupe peuvent communiquer librement entre eux au sein de leur VLAN respectif. Mais ils restent isolés des autres groupes, tout comme s’ils étaient connectés à des switchs physiques séparés.

Schéma montrant la segmentation réseau avec VLANs, isolant les départements Secrétariat, Commercial et Direction tout en utilisant un seul switch

Décryptage de la table CAM : Prenons un moment pour plonger dans la mécanique de notre switch et examiner sa table CAM.

				
					Switch# show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
10 0002.1604.94c5 DYNAMIC Fa0/1
10 0050.0f58.58ca DYNAMIC Fa0/2
20 0006.2a77.6cb9 DYNAMIC Fa0/3
20 00d0.ff8c.2b36 DYNAMIC Fa0/4
30 0001.64ac.30ed DYNAMIC Fa0/5
30 0060.3e9b.26ae DYNAMIC Fa0/6
				
			

À la lecture de cette table, on note que chaque adresse MAC est associée à un VLAN spécifique. Pour que notre switch puisse acheminer efficacement une trame à son destinataire, il est impératif que l’expéditeur et le destinataire appartiennent au même VLAN. C’est une condition sine qua non pour garantir la communication entre les dispositifs.

La Notion de VLAN : Visibilité et Marquage des Trames

Dans le monde des réseaux, le concept de VLAN (Virtual Local Area Network) est crucial pour créer des segments logiques qui améliorent la sécurité et la performance des réseaux physiques. Mais lorsque deux PC sont branchés sur le même équipement et font partie du même VLAN, comment cela fonctionne-t-il en coulisse ? Les PC sont-ils conscients de leur appartenance à un VLAN ? Leurs trames sont-elles marquées (taguées) ?

Compréhension du VLAN pour les PC :
Les PC ou autres dispositifs finaux (comme les imprimantes ou les serveurs) ne sont généralement pas au courant de leur appartenance à un VLAN. Pour eux, ils sont simplement connectés à un réseau. Le VLAN est transparent pour ces dispositifs et est principalement une abstraction au niveau du switch pour organiser et contrôler le trafic.

"Illustration montrant le concept de VLAN appliqué aux PC connectés à un switch avec des liens de communication.

Tagging des trames dans un VLAN :
Lorsque deux PC du même VLAN communiquent entre eux et sont connectés au même switch, la trame n’a pas besoin d’être taguée. En effet, puisque le switch sait déjà à quel VLAN chaque port appartient, il n’a pas besoin d’insérer de balise dans la trame pour identifier le VLAN de destination. C’est seulement lorsque la trame doit quitter le switch pour aller vers un autre switch à travers un lien trunk que le marquage (ou tagging) devient nécessaire.

les avantages des VLANs

Les réseaux d’entreprise modernes doivent être flexibles, sécurisés et faciles à gérer pour répondre efficacement aux besoins changeants des utilisateurs et des applications. Dans cette optique, les VLANs (Virtual Local Area Networks) ont été introduits comme une solution pour surmonter les défis posés par les grands domaines de diffusion traditionnels. Ils offrent une manière élégante de segmenter les réseaux, permettant une meilleure performance, une sécurité renforcée et une gestion plus aisée. Examinons de plus près les avantages distincts des VLANs et comment ils peuvent transformer la manière dont les entreprises gèrent leurs infrastructures réseau.

  1. Réduction des diffusions de broadcast : Les VLAN permettent de limiter les diffusions de broadcast en isolant les groupes d’utilisateurs dans des réseaux logiques distincts. Chaque groupe d’utilisateur ne peut communiquer qu’avec les utilisateurs du même VLAN, ce qui réduit considérablement les diffusions de broadcast sur l’ensemble du réseau.
  2. Optimisation de la bande passante : En limitant les diffusions de broadcast, les VLAN permettent d’optimiser la bande passante du réseau. Cela permet d’améliorer les performances et de réduire les temps de latence, en particulier dans les réseaux à forte charge.
  1. Gestion des utilisateurs par fonction ou département : Les VLAN permettent de regrouper les utilisateurs par fonction ou département, ce qui facilite la gestion du réseau. Les administrateurs peuvent définir des politiques de sécurité, de qualité de service ou de bande passante pour chaque VLAN, en fonction des besoins des utilisateurs.
  1. Amélioration de la sécurité : Les VLAN permettent également d’améliorer la sécurité en limitant l’accès aux ressources du réseau. Chaque VLAN est considéré comme un réseau distinct, ce qui permet de définir des politiques de sécurité spécifiques pour chaque groupe d’utilisateurs.

En résumé, les VLAN sont un moyen efficace de limiter les diffusions de broadcast, d’optimiser la bande passante, de faciliter la gestion des utilisateurs et d’améliorer la sécurité du réseau. En comprenant les avantages des VLAN, vous pouvez optimiser la performance de votre réseau local.

La numérotation VLAN

Tableau de numérotation des VLANs avec trois catégories : VLANs standard (1 à 1001), VLANs réservés (1002 à 1005), et VLANs étendus (1006 à 4094).

Il existe trois types de VLANs :

  • VLANs standard (numéroté de 1 à 1001) ;
  • VLANs réservés (numéroté de 1002 à 1005) ;
  • VLANs étendus (numéroté de 1006 à 4094).

Chacun de ces types de VLANs a des caractéristiques et des utilisations spécifiques.

  • Les VLANs 1 à 1001 sont considérés comme les VLANs “normaux” et peuvent être utilisés pour n’importe quel type de trafic Ethernet.
  • Les VLANs 1002 à 1005 sont réservés pour des raisons historiques liées à Token Ring et FDDI et ne doivent généralement pas être utilisés dans les architectures Ethernet modernes.
  • Les VLANs 1006 à 4094 sont considérés comme les VLANs “étendus”. Bien que cette distinction soit plus pertinente pour les anciens commutateurs Cisco, de nombreux commutateurs modernes traitent tous les VLANs de la même manière, quelle que soit leur numérotation.

Le VLAN par défaut

Le VLAN 1 est le VLAN par défaut sur la plupart des commutateurs. Cela signifie que tous les ports d’un commutateur sont membres du VLAN 1 par défaut lorsqu’ils sont initialisés. De nombreuses fonctions de gestion, telles que la gestion des adresses CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol) et d’autres fonctions de gestion, utilisent également le VLAN 1 par défaut. Pour des raisons de sécurité, il est recommandé de ne pas utiliser le VLAN 1 pour le trafic des utilisateurs.

En résumé, la numérotation VLAN est essentielle pour identifier, gérer et segmenter efficacement le trafic au sein d’un réseau. Une planification et une gestion appropriées sont essentielles pour garantir l’efficacité et la sécurité des communications au sein des VLANs.

AFFECTER UN VLAN

Il existe plusieurs méthodes pour affecter un VLAN à un port ou à un dispositif sur un commutateur. Voici les principales méthodes d’affectation :

  1. Affectation statique : L’administrateur attribue manuellement un port à un VLAN. C’est la méthode la plus basique et la plus utilisée, généralement via le CLI ou le GUI du commutateur.
  2. Affectation dynamique : Un serveur, comme RADIUS, assigne le VLAN en fonction de critères spécifiques, comme l’adresse MAC ou le nom d’utilisateur. C’est pratique pour des réseaux nécessitant une gestion dynamique des utilisateurs.
  3. Affectation basée sur le protocole : Le type de protocole utilisé (comme IP ou IPX) détermine le VLAN. Ainsi, différents protocoles peuvent se retrouver dans différents VLANs.
  4. Affectation par Voix : Pour les téléphones IP. Certains commutateurs séparent automatiquement le trafic vocal dans un VLAN dédié pour assurer une bonne qualité des appels.

L’affectation des VLANs est une composante fondamentale de la gestion d’un réseau commuté. Choisir la bonne méthode d’affect

Configurer UN VLAN

Par défaut, tous les ports sont dans le Vlan 1.

Pour mettre le port et donc un poste client dans un Vlan différent, il va falloir :

  • Créer le Vlan dans la Vlan Database.
  • Affecter un port dans ce Vlan.

Créer le Vlan dans la Vlan Database.

				
					Switch(config)# vlan 10
Switch(config-vlan)# name SERVEUR
				
			

Affecter un port dans un Vlan.

				
					Switch(config)# interface Interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

				
			

Exemple de configuration

Architecture de base

Schéma de configuration VLAN avec trois VLANs distincts pour le Secrétariat (VLAN 10), le Commercial (VLAN 20), et la Direction (VLAN 30) connectés à un switch.

Configuration

				
					Switch(config)# vlan 10
Switch(config-vlan)# name SECRÉTAIRE
Switch(config)# vlan 20 
Switch(config-vlan)# name BOSS
Switch(config)# vlan 30 
Switch(config-vlan)# name VENDEUR

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface FastEthernet 0/4 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 20 

Switch(config)# interface FastEthernet 0/7 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30 

				
			

Dépannage Vlan

Lorsque vous rencontrez des problèmes de VLAN sur un équipement Cisco, il existe plusieurs commandes de troubleshooting que vous pouvez utiliser pour diagnostiquer et résoudre les problèmes.

Voici quelques-unes des commandes les plus courantes :

				
					Switch# show vlan
				
			

La commande “show vlan” affiche la configuration des VLAN sur l’équipement Cisco. Elle affiche également les ports associés à chaque VLAN et l’état de chaque VLAN.

				
					Switch# show interfaces switchport
				
			

La commande “show interfaces switchport” affiche la configuration des ports switchport, y compris les VLAN associés à chaque port. Elle affiche également l’état de chaque port.

				
					Switch# show interfaces trunk
				
			

La commande “show interfaces trunk” affiche la configuration des ports trunk, y compris les VLAN associés à chaque port. Elle affiche également l’état de chaque port.

				
					Switch# debug vlan
				
			

La commande “debug vlan” active le débogage du protocole VLAN. Elle peut être utilisée pour diagnostiquer les problèmes de VLAN en temps réel.

				
					Switch# show logging
				
			

La commande “show logging” affiche les logs du commutateur. Elle peut être utilisée pour identifier les événements récents qui pourraient être liés aux problèmes de VLAN.

 

				
					Switch# show mac-address-table
Mac Address Table 
------------------------------------------- 
Vlan Mac Address Type Ports 
---- ----------- -------- ----- 
10 0002.1604.94c5 DYNAMIC Fa0/1
10 0050.0f58.58ca DYNAMIC Fa0/2
20 0006.2a77.6cb9 DYNAMIC Fa0/3
20 00d0.ff8c.2b36 DYNAMIC Fa0/4
30 0001.64ac.30ed DYNAMIC Fa0/5
30 0060.3e9b.26ae DYNAMIC Fa0/6
				
			

Les VLAN en vidéo

BONUS : Configuration VLAN VOICE

Schéma de configuration VLAN Voice, isolant les VLANs de données et de voix pour le Secrétariat, le Commercial et la Direction.
				
					Switch(config)# vlan 10
Switch(config-vlan)# name SECRÉTARIAT
Switch(config)# vlan 20 
Switch(config-vlan)# name COMMERCIAL
Switch(config)# vlan 30 
Switch(config-vlan)# name DIRECTION

Switch(config)# vlan 11
Switch(config-vlan)# name SECRÉTARIAT-VOIP
Switch(config)# vlan 21 
Switch(config-vlan)# name COMMERCIAL-VOIP
Switch(config)# vlan 31 
Switch(config-vlan)# name DIRECTION-VOIP

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport voice vlan 11

Switch(config)# interface FastEthernet 0/3 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 20 
Switch(config-if)# switchport voice vlan 21

Switch(config)# interface FastEthernet 0/5 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30 
Switch(config-if)# switchport voice vlan 31
				
			

Conclusion

En conclusion, les VLAN sont un moyen efficace de limiter les diffusions de broadcast et de gérer la bande passante dans un réseau local. Ils permettent également une meilleure gestion du réseau et une amélioration de la sécurité. En comprenant le fonctionnement des VLAN et en les configurant correctement, vous pouvez optimiser la performance de votre réseau local.

Afin de faire discuter plusieurs Vlans ensemble, je vous invite à lire l’article sur le routage inter-vlan.

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Sur le même thème :

Tu veux débloquer l'intégralité du site et avoir accès à notre formation CCNA 200-301 ?

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

CURSUS DE FORMATION

Administrateur Réseau