Les rseaux locaux virtuels (VLAN)

Objectif : Prsenter la norme 802.1Q et les implmentations des constructeurs

Auteur : Roger SANCHEZ
Sommaire
Les rseaux locaux virtuels (VLAN)........................................................................................................ 1
Introduction : le retour de la couche 2............................................................................................ 2
Les Vlan : approche usuelle............................................................................................................. 3
Rappels sur la commutation............................................................................................................ 3
Ethernet commut .......................................................................................................................... 4
Laccroissement des domaines de diffusion.................................................................................... 4
Premire dfinition des Vlan............................................................................................................ 5
Les Vlan par port (Vlan de niveau 1)............................................................................................... 6
Les Vlan par adresse MAC (Vlan de niveau 2 )............................................................................... 6
Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 ) ................................................................ 6
Les autres mthodes pour dfinir des Vlan .................................................................................... 8
Les questions quon est en droit de se poser ................................................................................. 8
La norme 802.1Q .............................................................................................................................. 9
Introduction...................................................................................................................................... 9
Les types de trames........................................................................................................................ 9
Dfinitions dpendant du type de trame........................................................................................ 10
La commutation de trames dans un commutateur Vlan inform .............................................. 10
Les types de port dans un commutateur Vlan inform ............................................................ 11
Dclaration des Vlan et affectation des ports un Vlan................................................................ 12
Le protocole GVRP (norme 802.1Q).............................................................................................. 13
Prsentation ................................................................................................................................. 13
Premier exemple........................................................................................................................... 15
Deuxime exemple........................................................................................................................ 15
Paramtrage des ports associs laffectation dynamique de Vlan.............................................. 15
Les questions auxquelles on va maintenant rpondre............................................................... 16
Une trame peut-elle appartenir plusieurs Vlan ?......................................................................... 16
Un port peut-il appartenir plusieurs Vlan ?................................................................................. 16
Un poste peut-il appartenir plusieurs Vlan ?............................................................................... 17
O sont les Vlan de niveau 1 2 3 .etc. dans la norme 802.1Q?..................................................... 19
Quelques implmentations des Vlan par les quipementiers et les didacticiens ................. 19
Introduction.................................................................................................................................... 19
Commutateur CISCO 2950 (un best seller CISCO)....................................................................... 19
Allied-Telesyn AT- S68 ................................................................................................................. 20
Allied-Telesyn 8800 (commutateur / routeur)................................................................................ 20
Allied Telesyn 4400 (un routeur / commutateur )........................................................................... 21
HP procurve 2524 (best seller HP)................................................................................................ 21
Simulateur rseau (constructeur CERTA )............................................................................... 21
Linux.............................................................................................................................................. 22
Travaux pratiques et exercices ..................................................................................................... 22
Travaux pratiques sur commutateur.............................................................................................. 22
Travaux pratiques avec le simulateur Boson................................................................................. 23
Travaux pratiques avec le simulateur rseau du CERTA ............................................................. 23
Travaux pratiques sur Linux ......................................................................................................... 24
Exercices....................................................................................................................................... 24
Conclusion: Enseigner larchitecture commute......................................................................... 24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 1/24

Introduction : le retour de la couche 2

La technologie Ethernet sest impose ces dernires annes face ses concurrents, en offrant des
dbits de 100 Mb/s, 1 Gb/s et 10 Gb/s. Aujourdhui seul ATM parat en mesure encore de rsister.
Mais ceux qui prdisaient le tout ATM semblent stre tromps, le march des rseaux locaux se
fonde, certainement durablement, sur Ethernet.
Cependant, laccroissement du dbit sest accompagn dun changement sur les structures
dinterconnexion.
Ce nest pas la premire fois. Lhistoire dEthernet est riche en versions: ALOHA, 10base5, 10base2,
10 BaseT, etc... Ces changements nont jamais affect ni la structure de la trame (Ethernet II ou
802.3) ni la mthode daccs (CSMA / CD).
Par contre lvolution en cours remet en cause pour la premire fois ces piliers technologiques
dEthernet. En effet le tout commut remplace ce qui tait la base la gestion dune liaison
multipoint par un ensemble de liaisons point point. Cette modification profonde nest pas sans
consquence sur la mthode daccs, sur la notion de segment mais aussi sur la structure de la
trame.
Mais la force dEthernet cest davoir toujours su voluer de faon cohrente, cest dire en
prservant systmatiquement la compatibilit ascendante, permettant ainsi de faire communiquer des
structures de rseaux correspondant des priodes historiques diffrentes. Cest peut-tre cela qui
cre quelquefois temporairement, des difficults supplmentaires dapprentissage.
Lobjet de ce document est de prsenter les rseaux locaux virtuels (Virtual Local Area Network
VLAN). Cest dire la segmentation des rseaux permise par les commutateurs, une segmentation
qui nest plus physique mais uniquement logique. Ce document propose aussi une dmarche
dapprentissage.
La plupart des ouvrages et des articles confondent la dfinition des principes dun Vlan et leur
mthode de construction (Vlan de niveau 1 2 3 .etc.). Cette approche rend plus difficile la
comprhension et fortiori lexplication de cette technologie en masquant les mcanismes mis en
uvre.
Crer et administrer des rseaux bass sur les Vlan ncessite daller au-del de cette liste de niveaux.
Il faut prsenter la norme 802.1q qui dfinit les principaux concepts mis en uvre, et montrer (comme
pour le modle OSI) comment elle se dcline dans lindustrie.
Enfin il faut mesurer lintelligence de plus en plus importante qui est associe aux lments actifs
de la couche 2 (carte rseau et commutateurs). En effet ce niveau du modle OSI tait
essentiellement associ aux problmes dadressage en liaison avec la couche 3 o la majorit des
traitements taient dtailles. Aujourdhui les technologies Vlan, qualit de service, authentification,
Wi-Fi, (on peut mme dclarer des triggers pour dclencher des scripts en fonction dvnements
sur un port) routage la source, obligent une redistribution des squences denseignement.
Ce document respectera le plan suivant :
On rappellera dans un premier temps le principe de la commutation. On exposera la prsentation
classique de la notion de VLAN. Puis on approfondira la norme 802.1q en montrant ses carts par
rapport la prsentation classique. Enfin nous verrons quelques implmentations chez les
constructeurs pour finir par des questionnements pdagogiques, et une suite de TP et dexercices.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 2/24

Les Vlan : approche usuelle

Rappels sur la commutation
Contrairement un concentrateur, un commutateur ne diffuse pas les trames. Il met en relation les
seuls postes concerns par lchange. Avant de rmettre les trames le commutateur vrifie que le
support de communication est libre. Un commutateur vite donc les collisions au contraire dun
concentrateur.
A chaque fois quun message lui parvient, le commutateur associe le port par lequel arrive la trame
ladresse matrielle (adresse MAC) de lmetteur de la trame. Ainsi aprs un certain nombres de
trames, le commutateur connat lemplacement (c'est dire le port de rattachement) des postes
sur le rseau et peut les mettre en relation deux deux.

Cette association adresse MAC / port est gre dans des tables dassociation prsentes dans chaque
commutateur. Cette table est construite progressivement par apprentissage.
Si une trame contient une adresse de destination qui nest pas prsente dans la table, cette trame est
transmise sur tous les ports du commutateur lexception du port metteur de la trame. Cest aussi
ainsi que sont traits les trames de diffusion.
Il y a dun point de vue transversalit un algorithme intressant propos par lexonet suivant :
www.reseaucerta.org/exonets/exonet52.htm

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 3/24

On distingue deux modes de fonctionnement du commutateur :

Store and forward : il stocke les trames entirement avant de les rmettre. Il ne rmet donc
pas les trames errones (CRC "Control Redundancy Check" innatendu) ou en collision. Par
contre ces commutateurs sont plus lents et ncessitent des mmoires tampons importantes
On the fly (appel aussi cut through chez CISCO) : la vole, les commutateurs rmettent
immdiatement aprs lecture de ladresse MAC destinataire, cest plus rapide mais on
propage les trames errones - notamment les trames en collision et celles dont le CRC
indique une erreur de transmission.
Le commutateur permet de garantir la bande passante dun rseau. La bande passante cest le dbit
dun rseau. En ne diffusant pas tous les postes mais aux seuls postes concerns par lchange, le
commutateur optimise lutilisation de la bande passante. Ainsi un commutateur 100 mb/s de 12 ports
garantira 100 mb/s par port alors quun concentrateur 100 mb/s de 12 ports divisera cette bande
passante entre tous ses ports.
Ethernet commut
Lactualit des architectures rseau est lEthernet entirement commut et donc la disparition
progressive des concentrateurs. En utilisant uniquement des commutateurs, il ny a plus de collision
possible. Chaque port forme un mini-segment compos du commutateur et dune carte ou aucune
collision ne peut se produire.
Dans ce cas, pendant lmission dune trame, la paire de rception nest plus monopolise par la
dtection de collision et on peut recevoir en mme temps, cest dire travailler en mode bidirectionnel
(full duplex).
Il faut souligner aussi que labsence de collision supprime les limitations de distance que leur
dtection impliquait.
Dans une architecture entirement commute on met gnralement en uvre des interconnexions
redondantes entre commutateurs pour garantir une plus grande tolrance aux pannes. Les liaisons
redondantes doivent tre invalides quand elles ne sont pas utiles et valides en cas de rupture dune
liaison. Cette gestion de la redondance est prise en charge par le protocole 802.1d (arbre de
recouvrement,
en
anglais
spanning
tree
).
voir
le
document
:
http://www.reseaucerta.org/cotecours/cotecours.php?num=259
Laccroissement des domaines de diffusion
Avec les concentrateurs et les commutateurs de premire gnration, la sparation des flux grs par
la couche 2 ne peut se faire quen regroupant gographiquement les groupes de travail. En effet, si le
commutateur segmente les domaines de collision, il maintient cependant un seul domaine de
diffusion.

Segmentation des domaines de diffusion par les routeurs

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 4/24

Si linterconnexion du rseau repose sur les commutateurs et non sur les routeurs (ce qui est de plus
en plus le cas) cela pose deux problmes :
les trames de diffusion sont propages sur tout le rseau, or ces trames sont nombreuses (ARP,
DHCP, Netbios, .etc.).
en mettant une carte rseau en mode promiscus on peut capturer ces trames

Un seul domaine de diffusion (avec liaison redondante)

La sparation et la scurit des domaines de diffusion exigeaient, avant lapparition des Vlans, une
sparation gographique des domaines de diffusion et une interconnexion par routeur
Premire dfinition des Vlan
Un VLAN permet de crer des domaines de diffusion (domaines de broadcast) grs par les
commutateurs indpendamment de lemplacement o se situent les nuds, ce sont des domaines de
diffusion grs logiquement

Domaines de diffusion logique et commutateurs/routeurs

Les avantages des VLANs sont les suivants :
La rduction des messages de diffusion (notamment les requtes ARP) limits l'intrieur dun VLAN.
Ainsi les diffusions d'un serveur peuvent tre limits aux clients de ce serveur.
La cration de groupes de travail indpendants de l'infrastructure physique ; possibilit de dplacer la
station sans changer de rseau virtuel.
Laugmentation de la scurit par le contrle des changes inter-VLAN utilisant des routeurs (filtrage
possible du trafic chang entre les VLANs).
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 5/24

Lindpendance entre infrastructure physique et groupe de travail implique quun commutateur puisse
grer plusieurs Vlan et quun mme Vlan puisse tre rparti sur plusieurs commutateurs. En
consquence, une trame qui circule dans un commutateur et entre les commutateurs doit pouvoir tre
associe un Vlan.
Pour rpondre aux objectifs des Vlan la rgle suivante doit tre imprativement respecte : une trame
doit tre associe un Vlan et un seul et ne peut pas sortir du Vlan, sinon ltanchit du niveau 2
nest plus respecte.
Les mthodes de construction dun Vlan doivent donc dterminer la faon dont le commutateur va
associer la trame un Vlan. Usuellement on prsente trois mthodes pour crer des VLAN : les vlan
par port (niveau 1), les Vlan par adresses MAC (niveau 2), les Vlan par adresses IP (niveau 3) ainsi
que des mthodes drives.
Les Vlan par port (Vlan de niveau 1)
On affecte chaque port des commutateurs un VLAN.
Lappartenance dune trame un VLAN est alors dtermine par la connexion de la carte rseau un
port du commutateur.
Les ports sont donc affects statiquement un VLAN.
Si on dplace physiquement une station il faut dsaffecter son port du Vlan puis affecter le nouveau
port de connexion de la station au bon Vlan. Si on dplace logiquement une station (on veut la
changer de Vlan) il faut modifier laffectation du port au Vlan.

Les Vlan par adresse MAC (Vlan de niveau 2 )

On affecte chaque adresse MAC un VLAN.
Lappartenance dune trame un VLAN est dtermine par son adresse MAC. En fait il sagit, partir
de lassociation Mac/VLAN, daffecter dynamiquement les ports des commutateurs chacun des
VLAN en fonction de ladresse MAC de lhte qui met sur ce port.
L'intrt principal de ce type de VLAN est l'indpendance vis--vis de la localisation gographique. Si
une station est dplace sur le rseau physique, son adresse physique ne changeant pas, elle
continue dappartenir au mme VLAN (ce fonctionnement est bien adapt l'utilisation de machines
portables).
Si on veut changer de Vlan il faut modifier lassociation Mac / Vlan.
Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 )
On affecte une adresse de niveau 3 un VLAN.
Lappartenance dune trame un VLAN est alors dtermine par ladresse de niveau 3 ou suprieur
quelle contient (le commutateur doit donc accder ces informations).
En fait, il sagit partir de lassociation adresse niveau 3/VLAN daffecter dynamiquement les ports
des commutateurs chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en
accdant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de
niveau 2.
Quand on utilise le protocole IP on parle souvent de Vlan par sous-rseau.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 6/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 7/24

Les autres mthodes pour dfinir des Vlan

On trouve dans la littrature des rfrences au Vlan par protocoles
Cest dire quon associe une trame un Vlan en fonction du protocole quelle transporte. Ce
protocole peut tre un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk .etc
Mais on peut trouver aussi des Vlan construits partir de protocole suprieur (notamment H320). On
parle quelquefois de Vlan par rgles ou par types de service.
Enfin lapparition du Wi-fi pose des problmes de scurit que les Vlan peuvent rsoudre. Ainsi une
solution base sur des Vlan par SSID est envisageable.

Ce schma est tir dun prsentation faite par Sylvie Dupuis et Catherine Grenet le 13 Octobre 2004
lENSAM ( www.cru.fr/nomadisme-sans-fil/J1310/cg-sd.pdf )
Les questions quon est en droit de se poser
Peut-on associer une trame plusieurs Vlan ?
En fonction de la rgle nonce plus haut, la rponse est toujours non. En effet une trame associe
un VLAN quelle que soit la mthode dassociation ne peut tre adresse qua une carte rseau
associe ce VLAN. Une trame de diffusion mise par une carte rseau associe un VLAN sera
transmise toutes les cartes rseaux composant ce VLAN et uniquement celles-ci.
Cela implique-t-il quun port de commutateur ne doit tre associe qu un seul Vlan ?
Car si un port est associ plusieurs Vlan, quel Vlan associe-t-il la trame quil reoit ?
Et sil nest associ qu un seul Vlan comment rpartir un Vlan sur plusieurs commutateurs, car les
ports dinterconnexion doivent pouvoir faire transiter des trames en provenance de diffrents Vlan ?
Une rponse serait de mettre en place des Vlan de niveau 2 mais alors quen est-il pour les Vlan de
niveau 1 ?
La carte rseau dun poste peut-elle tre associe plusieurs Vlan ?
Si oui comment savoir quel Vlan appartient une trame mise par une telle carte rseau ? Si non
comment partager laccs des ressources communes entre diffrentes Vlan ? Une rponse serait
des Vlan de niveau 3 mais alors quen est-il pour le niveau 1 et le niveau 2 ?
Comment communiquer entre les Vlan ?
Ltanchit de la couche 2 implique de remonter jusqu la couche 3 pour lchange entre Vlan. Cet
change peut donc tre entirement contrl.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 8/24

La norme 802.1Q
Les schmas de ce paragraphe sont issus de la norme 802.1Q publie par lIEEE.
Introduction
La norme 802.1q date de dcembre 1998, cest donc une norme rcente. Une amlioration a t
propose en octobre 2003 pour rduire le trafic du protocole GVRP (Compact-GVRP). La norme
802.1Q dpend de la norme ISO/IEC 15802-3 qui dfinit les principaux concepts utiliss par la norme.
Elle reprend ltiquette dfinit par la norme 802.3ac en spcifiant lutilisation des champs.
O sinsre la norme ?

Les types de trames

La norme dfinit trois types de trames :
les trames non tiquetes (untagged frame)
les trames tiquetes (tagged frame)
les trames tiquetes par une priorit (priority-tagged frame)
Une trame non tiquetes est une trame qui ne contient aucune information sur son appartenance
un Vlan.
Une trame tiquetes est une trame qui contient une entte supplmentaire. Cette entte modifie le
format standard dune trame, notamment de la trame 802.3.
Le format dune trame tiquete 802.1Q est le suivant :
Adresse destination : 6 octets
Adresse Source : 6 octets
VPID (Vlan Protocol Identifier) : 2 octets. Fix 0x8100 . Attention ne pas confondre avec
l'identifiant d'un VLAN. Ici il s'agit d'identifier une trame de type 802.1q
UP (User priority) : 3 bits. Permet de dfinir 8 niveaux de priorits. Utilis par le protocole
802.1p.
CFI (Canonical Format Identifier) : 1bit. indique que le format est standard (utilis par le
routage par la source)
VID (Vlan Identifier) : 12 bits. Indique sur quel Vlan circule la trame.
Longueur/type : 2 octets. En 802.3 donne la longueur de la trame. En Ethernet II ou
DIX(Digital Intel Xerox) indique le type de donnes transport.
Donnes : 46 1500 octets
FCS : 4 octets. Frame Check Sequence.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 9/24

La modification de l'entte implique que les lments recevant la trame tiquete (tagge) disposent
du protocole 802.1q. Ce n'est gnralement pas le cas de la majorit des cartes rseaux aujourdhui.
Une trame tiquete par une priorit est une trame dont lentte 802.1Q contient le champ
priorit (UP) renseign mais dont lidentifiant de Vlan (VID) est zro. Remarque : la gestion
des priorits est plutt dfinie par la norme 802.1p.
Remarque : dans cette prsentation il nest pas fait mention du routage la source de niveau 2
champ E-RIF (Embedded Route Information Field) dfini par la norme. La prsence de ce champ
est indique par le CFI (Canonical Format Identifier). Il est situ aprs la longueur (ou type) de la
trame. Il se dcompose en un champ RC (Route contrle Field) de 2 octets (indiquant sa longueur LT
(length) ) et au maximum de 28 octets
Dfinitions dpendant du type de trame
Un Vlan est un sous-ensemble dune topologie active dun rseau local commut. Ce sous-ensemble
est identifi par un VID (Vlan Identifier ).
Un lment actif dun rseau est dit vlan inform (Vlan-aware) sil reconnat les trames tiquetes.
Il est dit Vlan non-inform (Vlan-unaware) dans le cas contraire.
Un rseau local virtuel est un rseau o lexistence dlments actifs Vlan inform (Vlan-aware)
permet la cration, la modification et la maintenance de Vlan.
Larchitecture logique dun commutateur vlan inform est la suivante :

La partie configuration dfinit les lments de la Mib (Management Information Base) lis au VLAN qui
seront utiliss par le protocole SNMP (Single Network Management Protocol). Elle dfinit aussi les
commandes administratives ncessaires la gestion des Vlan.
La partie distribution se proccupe des lments lis la dfinition automatique des Vlan et leur
propagation dans un rseau. Cette partie dans la norme est prise en charge par le protocole GVRP
(GARP Vlan Registration Protocol).
La partie relay dfinit le processus de traitement dune trame par un commutateur Vlan
inform .
La commutation de trames dans un commutateur Vlan inform
Le processus de commutation (relay) se dcompose en trois oprations :

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 10/24

Les oprations lies au traitement dune trame en entre dun port vlan inform . Elles sont
contrles par des rgles dentre (ingress rules)
Les oprations lies la dcision de commutation (forwarding process) dune trame prise par un
commutateur vlan inform . Elles sont contrles par des tables de filtrage (filtering database) qui
rpertorient les associations entre ports et adresses Mac et entre port et Vlan. On associe ces
oprations les oprations de gestion de priorit si celles-ci sont actives. Dans ce cas il y a une table
des priorits qui associe une file dattente chaque niveau de priorit (8 maximum).
Les oprations lies au traitement dune trame en sortie dun port vlan inform . Elles sont
contrles par des rgles de sorties (egress rules). Il faut ventuellement ajouter ou retirer une
tiquette la trame et recalculer le FCS.

Les rgles dentre permettent de classer les trames reues dans un et un seul Vlan. Si cela nest pas
possible la trame est dtruite.
La table de filtrage permet de dfinir les ports sur lesquels la trame doit tre transmise.
Les rgles de sortie permettent dliminer les trames qui ne correspondent pas aux Vlan associs au
port et de dterminer le format dans laquelle la trame doit tre transmise.
Remarque : on ne dtaille pas ici la notion dIVL (Independant Vlan) et SVL (Shared Vlan) au niveau
des tables de filtrage. Schmatiquement, les commutateurs de type SVL connaissent lensemble des
associations mac/vlan rparties sur chaque commutateur (ce qui suppose des changes importants)
et les commutateurs de type IVL nont connaissance que de la table mac/vlan associe leurs ports.
Les types de port dans un commutateur Vlan inform
Les paramtres associs un port (Port State Information) sont entre autres son type (tagged,
untagged, priority tagged) et les Vlans auxquels il participe (les PVID, Port Vlan Identifier).
Une trame en entre ne comportant pas de VID ou bien un VID nul sera associe un Vlan soit en
fonction des paramtres du port de rception soit en fonction dextensions propritaires non dfinies
par le protocole 802.1Q. Une trame en entre doit toujours tre associe un VID. Un port peut
admettre toutes les trames ou seulement les trames tiquetes . Si la trame nest pas tiquete et
que le port nest pas tiquet, la trame sera associe au PVID du port (qui doit alors tre unique)
sinon elle est dtruite.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 11/24

Une trame en sortie dont lassociation avec un Vlan ne correspond pas au(x) PVID du port en sortie
sera dtruite.
Un port tiquet transmet des trames tiquetes mais peut traiter des trames non tiquetes.
Un port non tiquet transmet des trames non tiquetes mais peut traiter des trames tiquetes
(en enlevant notamment ltiquette).
Enfin un port tiquet par une priorit transmet des trames tiquet par une priorit mais peut
traiter les autres types de trames.
Un commutateur peut avoir des ports de diffrents types en mme temps.
Dclaration des Vlan et affectation des ports un Vlan
Un port sur un commutateur ne peut participer quaux Vlan dclars sur ce commutateur. La
dclaration des Vlan est donc pralable ou conjointe laffectation des ports aux Vlan.
La dclaration de Vlan consiste crer un VID sur un commutateur. Cette cration peut tre statique
(Static Vlan) ou dynamique (Dynamic Vlan).
Un Vlan statique est un Vlan cr manuellement sur le commutateur.
Un Vlan dynamique est un Vlan dont la cration sur le commutateur rsulte dun change avec un
autre commutateur.
La cration dynamique des Vlan permet de contrler celle-ci partir de un ou plusieurs commutateurs
et dviter ainsi les erreurs sur les identifiants (VID) quand un Vlan est rparti sur plusieurs
commutateurs (voir exemples plus bas).
Laffectation dun port un Vlan peut tre statique ou dynamique. Cela donne les cas de figure
suivants :
Ports/Vlan
Statique
Dynamique

Statique
X
X

Dynamique
X
X

A ltat initial un commutateur comporte un Vlan statique, le Vlan par dfaut et tous les ports sont
affects ce Vlan
La cration statique des Vlan et laffectation statique des ports se fait via les commandes
dadministration du commutateur.
La cration dynamique des Vlan et laffectation dynamique des ports se fait via le protocole GVRP qui
doit tre activ sur le commutateur.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 12/24

Le protocole GVRP (norme 802.1Q)

Prsentation
Le protocole GVRP est bas sur un change de BPDU (Bridge Protocol Data Unit) entre les
commutateurs. Ladresse MAC associe est 01-80-C2-00-00-21 .
Si le GVRP est actif sur un commutateur, le protocole GVRP est alors actif au niveau de chaque port
du commutateur. Mais le protocole GVRP peut tre actif aussi au niveau dune carte rseau. Il est
compos dune partie applicative (GVRP application), des messages changs ( GID GARP
Information Dclaration) entre ports de commutateurs diffrents ou avec les cartes rseaux et des
messages changs entre ports sur un mme commutateur (GIP GARP Information Propagation).

Schma issu de la norme 802.1Q

GVRP doit permettre un membre participant (GVRP-enabled et GVRP-aware) lchange GVRP de
dclarer lensemble des Vlan auxquels il participe ce qui veut dire quil doit recevoir aussi le trafic
associ ces Vlan (sil lui est adress bien sr). Cette opration est un enregistrement (Register).
Un participant doit aussi pouvoir se dsaffecter dun Vlan, cest une opration de d-enregistrement
(De-register).
A la rception dun enregistrement GVRP, un port participant au GVRP enregistre dans la table de
filtrage du commutateur une association entre lui et les Vlan dclars dans le GID (affectation
dynamique). Attention il faut que la limite de la table de filtrage nai pas t atteinte. Le port va ensuite
propager (GIP) linformation aux autres ports du commutateur. Ceux-ci vont transmettre linformation
sans saffecter dynamiquement au Vlan. Le comportement dun port est donc diffrent selon que
linformation GVRP lui parvient travers un GID ou un GIP.
Un port affect dynamiquement est implicitement un port tiquet .
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 13/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 14/24

Premier exemple
Double propagation dinformation GVRP avec affectation des ports

schma issu du hp2524mgmnt&config guide.pdf

Deuxime exemple
Propagation de la dclaration des VID partir dun serveur source puis affectation des ports.

schma issu du document gvrp_use.pdf du site Hewlett Packard

Paramtrage des ports associs laffectation dynamique de Vlan
Par rapport au protocole GVRP un port peut tre dans trois tats :
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 15/24

Apprentissage (learn)
Bloqu (block)
Non actif (disable)
Un port qui reoit un GID annonant (advertisement) un Vlan non dclar sur le commutateur
(Unknown Vlan) ragira en fonction de son tat :
apprentissage : il cre le Vlan, sassocie lui et propage le GIP
bloqu : il ne sassocie pas au Vlan mais propage le GIP
non actif : il ne sassocie pas au Vlan et ne propage pas le GIP
Un port qui reoit un GID annonant (advertisement) un Vlan dclar sur le commutateur (static Vlan)
ragira en fonction de son tat :
apprentissage : il sassocie lui et propage le GIP
bloqu : il sassocie au Vlan et propage le GIP
non actif : il ne sassocie pas au Vlan et ne propage pas le GIP
Si un Vlan statique est dclar sur le commutateur et que les ports sont dj affects ce Vlan, le
comportement sera le suivant (HP procurve 2512 et 2524) :

Les questions auxquelles on va maintenant rpondre

Une trame peut-elle appartenir plusieurs Vlan ?
Non. Rien de chang, mais l cest dfinitif, en effet lentte 802.1Q nadmet quun seul identifiant
VLAN (VID) pour une trame
Un port peut-il appartenir plusieurs Vlan ?

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 16/24

Oui. Mais si une trame non tiquete arrive sur ce port il doit pouvoir lassocier sans ambigut avec
un VID. Dans la pratique les ports seront affects un seul Vlan et les ports dinterconnexion entre
commutateurs plusieurs Vlan. En fait un port qui reoit une trame non tiquete en rception ne doit
avoir quun seul PVID actif ou bien doit disposer dun moyen pour associer cette trame un VLAN. Ce
moyen est forcment un champ quelconque de la trame, et ce moyen ntant pas spcifi par la
norme sera forcment propritaire.
Un poste peut-il appartenir plusieurs Vlan ?
Oui. Mais alors la carte rseau du poste doit tre vlan inform et toutes les trames mises et
reues par ce poste seront tiquetes. Le port de raccordement au commutateur sera lui aussi
tiquet. Voir le TP sous Linux.
Lexemple suivant est donn dans la documentation de lAllied 8800.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 17/24

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 18/24

O sont les Vlan de niveau 1 2 3 .etc. dans la norme 802.1Q?

La norme ne fait rfrence explicitement quaux Vlan par port (port-based Vlan). Dans ce type de
Vlan, lassociation dune trame un Vlan est dtermine par lappartenance du port un Vlan. Seuls
les ports dinterconnexion ou les ports o sont connects des machines vlan informes devraient
donc avoir plusieurs Vlan associs.
La norme ne fait aucune rfrence dautres catgories, mais elle ne sy oppose pas. Le mcanisme
dassociation dune trame non tiquete un Vlan nest alors pas dfini. Les constructeurs ont donc
toute libert pour proposer une solution.
Cette solution doit bien sr tre compatible avec la norme.
Remarque : si tous les lments actifs sont Vlan aware (y compris les postes de travail )
lassociation de la trame un Vlan se fera par celui qui met la trame, et l tout est envisageable.
Cependant la scurit devra tre redfinie car il serait trs simple dassocier un poste un Vlan (Voir
TP sous Llinux). La norme 802.1x spcifie des solutions dauthentification au niveau de la couche 2.

Quelques implmentations des Vlan par les quipementiers et les

didacticiens
Introduction
Cette partie ne prtend pas lexhaustivit mais veut prsenter lapproche retenue par quelques
constructeurs pour la mise en uvre de Vlan. On prsentera aussi ici lapproche du simulateur
rseau comme un constructeur parmi dautres mais qui a le mrite d'tre immdiatement disponible
et surtout de montrer visuellement les concepts.. Enfin on parlera de limplmentation Linux qui
permet ce systme dtre Vlan-inform (Vlan Aware).
La plupart des commutateurs disposent dun langage de commande utilisable partir dun port
console ou de telnet , ou bien encore dune interface Web.
Commutateur CISCO 2950 (un best seller CISCO)
CISCO leader du march a contribu activement llaboration des normes.
Un commutateur CISCO utilise diffrents protocoles associs au VLAN : ISL, CDP, VTP, 802.1Q et
VMPS. Seul 802.1Q nest pas propritaire.
ISL (Inter-switch Link) est un protocole dtiquetage de trames au mme titre que 802.1Q mais
ltiquette est plac en en-tte de trame et ne comporte pas les mmes informations (30 octets
rpartis sur treize champs).
CDP (Cisco Discovery Protocol) est un protocole qui permet aux commutateurs de propager des
informations sur leurs caractristiques.
VTP (Vlan Trunk protocol) est un protocole qui permet de grer dynamiquement les Vlan au mme
titre que GVRP.
VMPS (VLAN Management Protocol Server) est un protocole client/serveur (le 2950 est un client) qui
permet un port dinterroger un serveur VMPS pour associer une trame un Vlan. Ce serveur VMPS
peut tre situ sur un autre commutateur ou sur un serveur Windows 200x. Il est intressant ici de
constater qu'on ne se proccupe pas de niveau 2 3 4 .etc. Ce qui est important c'est d'associer la
trame un VLAN peu importe le critre d'association choisi. En procdant avec un modle
client/serveur CISCO rpond tous les besoins, en effet du point de vue du commutateur client il faut
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 19/24

envoyer les critres de dcision (tous les lments de la trame sont candidats l'tre)
programme charg de prendre le dcision et de la renvoyer.

un

Un 2950 distingue deux types de liens : les liens access-link et les liens trunk link . Un lien
access link est un lien o la trame qui circule na pas dtiquette. Un lien trunk link est un lien o la
trame qui circule comporte une tiquette ISL ou 802.1Q.
Un port access-link nest associ qu un seul Vlan. Un port trunk link est associ tous les Vlan (sur
ce point on s'loigne de la norme)
Lassociation entre trame et Vlan se fait soit par le port, soit par une rponse une requte VQP (Vlan
Query Protocol) adresse un serveur VMPS. Dans ce cas le port est affect dynamiquement au
Vlan et reste affect ce Vlan tant que le port est actif.
Un port miroir est attach un Vlan.
Un Private port isole le trafic entre ports appartenant un mme Vlan. Ces ports doivent passer
par un port matre (lexemple classique est la chambre dhtel, on met toutes les chambres dans le
mme Vlan pour offrir un accs Internet mais on empche une chambre davoir accs au flux dune
autre chambre. Certains hbergeurs lutilisent pour dissocier leur client tout en les grant dans un
mme Vlan).
Remarque : dans la terminologie CISCO un lien trunk correspond un lien tiquete alors que pour la
plupart des autres constructeurs un lien trunk correspond une agrgation de liens (notamment chez
Allied-Telesyn et HP) Une agrgation de liens chez CISCO est un Etherchannel.
Allied-Telesyn AT- S68
Ce commutateur permet de crer des Port based VLAN uniquement. Il ny a pas de fonction de
routage prise en charge.
Les ports ne sont pas vlan-inform et ne mettent donc pas dtiquettes 802.1Q dans la trame. Si
on veut relier les commutateurs entre eux et que les Vlan sont rpartis il faudra donc prvoir autant de
liens que de Vlan car chaque port dinterconnexion ne sera affect qu un seul Vlan.
Le AT-FS7016 et AT-FS7024 permettent a priori daffecter un port plusieurs Vlan pour grer
linterconnexion. Cependant il nest pas prcis si ce port est vlan inform ou pas. Mais lexemple
donn laisse supposer quil sagit de partager une ressource non vlan inform dans ce cas le port
est forcment non tiquet .
Un port miroir peut mirrorer 23 autres ports qui doivent tre sur le mme commutateur mais pas
forcment sur le mme Vlan.
Un lien trunk correspond une agrgation de liens.
Ce commutateur gre la qualit de service, donc a priori les trames tiquetes par une priorit le
VID reste nul (on gre 802.1P et non 802.1Q).
Allied-Telesyn 8800 (commutateur / routeur)
Ce commutateur associe des fonctions de routage et de commutation.
Il y a une fonction de limitation du nombre de trames par port par secondes (Packet storm) qui permet
de limiter les flux.
On a aussi la possibilit dautoriser ou non des adresses mac sur un port (256 maximum), cette
fonction est appele port security .
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 20/24

Le port miroir est le seul port non affect un Vlan, on peut donc mirrorer tous les ports du
commutateur quel que soit leur Vlan dappartenance.
Enfin les ports trunk sont des ports dagrgat.
Ce commutateur accepte les trames tiquetes et non tiquetes et dispose donc de ports tiquets
et non tiquets. Chaque trame traite par le commutateur est associe un VID.
Si une trame arrive sur un port tiquet, elle est associe au Vlan correspondant au VID de la trame.
Si une trame arrive sur un port non tiquet elle est associe au VID du port.
Remarque : ce nest pas tout fait conforme la norme.
Un port peut appartenir plusieurs Vlan si et seulement si, ce port est un port tiquet. Les ports
dinterconnexion doivent tre tiquets.
Ce commutateur gre le protocole GVRP.
Les rgles respecter sont les suivantes :
Chaque port doit appartenir a au moins un Vlan statique (sauf le port miroir)
Un port non tiquet appartient zro (dfaut) ou un Vlan. Ce port transmet des trames non
tiquetes pour ce Vlan
Un port tiquet peut ltre pour zro (dfaut) ou plusieurs Vlan. Ce port ne transmet que des trames
pour ces Vlan et ces trames sont tiquetes, (ltiquette a t mise la rception de la trame par un
port ou lenvoi de celle-ci)
Pour un mme Vlan un port ne peut pas tre tiquet et non tiquet
Le port miroir nest affect aucun Vlan
Le commutateur associe des fonctions de routage et de commutation.
On associe le VID dun Vlan une interface. Linterface est en fait purement virtuelle. Puis on associe
cette interface une adresse IP et un masque, ventuellement le protocole de routage RIP.
Allied Telesyn 4400 (un routeur / commutateur )
Un routeur dans la liste cela peut surprendre maisil sagit dun routeur Vlan inform.
Dans ce routeur, les interfaces Ethernet sont considres comme des ports de switch appartenant
un Vlan. Chaque Vlan est associ une interface virtuelle. Le routage se fait entre deux Vlan
(mcanisme assez proche de lAT 8800).
A voir en pratique.
HP procurve 2524 (best seller HP)
Ce commutateur HP respecte assez bien la norme 802.1Q.
Il gre des ports tagged, untagged et priority tagged.
Et il implmente le protocole GVRP.
Simulateur rseau (constructeur CERTA )
Le simulateur sest inspir de CISCO et de fait respecte lapproche vlan port based dfinie par la
norme 802.1Q.
On utilise des ports non vlan informs (untagged) pour connecter les stations et des ports 802.1Q
( vlan inform ou tagged ) pour linterconnexion des commutateurs.
Il y a deux niveaux de Vlan traits, le Vlan par port et le Vlan par adresses Mac.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 21/24

La gestion des Vlan par adresses MAC est gre par lintermdiaire dune table Mac/Vlan configure
sur chaque commutateur. Une fois lassociation faite on affecte dynamiquement le port au VLAN et
cette association reste tant que le port est actif (comme avec VMPS sur CISCO).
Indpendamment dune utilisation en dmonstration ou en TP, on peut aussi ici montrer une
implmentation algorithmique associe un commutateur
Linux
Linux implmente la prise en charge du protocole 802.1Q, et permet donc la carte rseau dtre
vlan inform (Vlan aware).
La version de noyau doit tre suprieure 2.4.14.
Sur une distribution Debian, la commande
"CONFIG_VLAN_8021Q=y"

"grep

VLAN

/usr/src/linux"

doit

rpondre

La suite de commandes suivantes teste la prsence du module 802.1Q, inhibe linterface relle
puis lassocie au vlan 2 avec une adresse IP.
modprobe 8021q
ifconfig eth0 0.0.0.0 up
vconfig add eth0 200
ifconfig eth0.200 192.168.50.1 up

Travaux pratiques et exercices

Travaux pratiques sur commutateur
La progression des TP est la suivante avec des commutateurs :
Configurer deux vlan sur un commutateur et les faire communiquer par un routeur
Configurer deux vlan sur deux commutateurs et les faire communiquer par un routeur connect un
seul commutateur
Configurer deux vlan rpartis sur deux commutateurs et les faire communiquer par un routeur
connect un seul commutateur
Ces TPs ne dtaillent que les objectifs. Il ny a pas de mode opratoire associ. Il faut consulter la
documentation des commutateurs et trouver les commandes suivantes :
Cration dun Vlan
Affectation dun port non-tiquet (untagged) un Vlan
Cration dun port miroir
Cration dun port tiquet (tagged) ou dun port trunk (cisco) pour linterconnexion (dans le cas
dun commutateur qui ne dispose pas de cette fonctionnalit, il faut autant de liaisons entre
commutateurs que de Vlan transporter, cest le cas du AT S68)
Si on dispose de commutateur / routeur, il faut consulter les commandes qui permettent le routage
entre Vlan (voir plus haut AT 8800).
Si on dispose de routeur les commandes sont supposes connues.
La mise en uvre peut tre simple et avec un mode opratoire bien rdig on peut faire monter des
architectures complexes un tudiant qui ignore ce quest une adresse Mac. Ce nest pas le but de
ces Travaux pratiques.
http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 22/24

Le premier objectif est de bien dissocier les logiques couche 2 et couche 3. On montre notamment
que deux postes sur un mme rseau IP et sur un mme commutateur ne peuvent pas communiquer
sils sont sur des Vlan diffrents. On montre aussi que deux postes sur des rseaux IP diffrents non
relis par un routeur et qui sont sur un mme Vlan, communiquent cependant par la couche 2.
Le deuxime objectif est de dissocier lorganisation physique de linterconnexion de lorganisation
logique de la communication. On montrera linterconnexion de commutateurs et la rpartition des
Vlan.
Lutilisation dun analyseur de trames est indispensable.
Travaux pratiques avec le simulateur Boson
Merci Pierre-Alain Goupille pour avoir t le premier explorer ce produit.
Le simulateur boson (www.boson.com) payant, permet de simuler partiellement le comportement
dun commutateur 2950 (et dautres produits CISCO).
BOSON est un produit destin lorigine la prparation des certifications CISCO. Il est dailleurs
livr avec une srie de labs prparatoires aux examens.
BOSON est compos de deux modules :
Network designer qui permet de dessiner des architectures rseaux
Network sim qui simule le comportement des architectures
Les architectures intgrent des routeurs, des commutateurs et des PC.
Avec le simulateur on travaille en mode console (simulation telnet).
On choisit llment sur lequel on travaille, une console souvre et on peut utiliser une grande partie
des commandes IOS associes cet lment pour le paramtrer.
Une fois la configuration termine on peut la tester (commande ping sur les PC).
On ne peut pas cependant crer de port miroir ni faire de lanalyse de trames. Attention, dans la
version teste, Boson fait communiquer deux postes si ils sont sur le mme rseau IP mais pas sur le
mme Vlan (bug ?), cest dire que la diffusion ARP nest pas limite au VLAN.
Donc, plutt pour les amateurs de CISCO (qui ont des moyens financiers limits ;-) ), cest
extrmement pratique pour enseigner le langage de commandes Cisco .
Remarque : Freddy Didier a explor le logiciel de simulation Packet Tracer 3.2.
Travaux pratiques avec le simulateur rseau du CERTA
Rappelons que Pierre Loisel est lauteur de ce chef duvre.
Avec le simulateur rseau la progression des TP VLAN est la suivante:
Fiche 5 : les Vlan par port
Fiche 6 : les Vlan par adresses MAC
Fiche 10 : Routage inter-Vlan
Bien sr la lecture des fiches intermdiaires peut savrer ncessaire.
Le grand intrt ici est la visualisation des oprations et la dcomposition algorithmique des
oprations effectues par les commutateurs et les routeurs.

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 23/24

Mais cest aussi le seul produit prsent ici qui permet de montrer simplement le comportement dun
Vlan par adresses Mac.
Travaux pratiques sur Linux
Ce TP a t ralis avec un poste sous Fedora core 1 qui intgre le module 8021Q.
Lavantage ici cest davoir une chane de liaison entirement Vlan inform .
Le TP configure un serveur de ressources et un serveur DHCP accessible sur un seul poste quip
dune seule carte rseau mais appartenant cependant 2 vlans. Deux autres postes appartenant
chacun un VLAN se voient servir une adresse IP par le serveur DHCP.
Le poste LINUX est connect un port forcment tiquet appartenant aux deux VLAN. Les
autres postes sont connects des ports non tiquets appartenant bien sr un seul VLAN.
Le fait dtre Vlan inform, permet un poste Linux quip dun analyseur de trames comme Ethereal
de capturer des trames 802.1Q.
Mais on peut aussi partir dEthereal sous XP capturer des trames 802.1Q. On le fera ici en mettant
en place un poste miroir pour capturer le flux du port multi-VLAN.
Exercices
Les exercices sont encore peu nombreux mais cela devrait senrichir sous peu ;-) .
Les Exonets 78 et 79 portent sur les Vlan :
78 : Mise en place dun Vlan sans 802.1Q
79 : Mise en place dun Vlan avec 802.1Q

Conclusion: Enseigner larchitecture commute

Larchitecture tout commute annule les collisions et tout ce qui est associ, cest dire les limitations
en distance (rgles de 5 4 3, round trip delay .etc. ) et la mthode CSMA/CD. Elle rend possible de
nombreux traitements sur la couche 2.
Le Vlan est certainement la nouvelle base de structuration organisationnelle des rseaux complexes.
Son enseignement est donc incontournable.
Lapproche usuelle des Vlan nest pas satisfaisante car elle ne permet pas dapprhender
correctement la diversit des solutions existantes.
Il est plus simple de prsenter la norme 802.1q (en partie bien sr et sans GVRP) aux tudiants. En
effet il suffit pour eux de comprendre quune trame doit tre associe un VLAN par un port en entre
quelle que soit la mthode utilise pour cela et que cette trame en sortie ne sera prise en compte que
par les ports associs ce Vlan ..
Finalement tout a pour a !!! (dur constat du prof rseau qui met des heures dcortiquer un sujet
quil prsentera en 2 minutes ses tudiants) ;-)

http://www.reseaucerta.org Roger SANCHEZ CERTA - janvier 2006 v1.0

Page 24/24