Vous êtes sur la page 1sur 8

Les VLANs.

Objectifs
Comprendre l'utilit, les protocoles et les techniques
associes la technologie des VLANs.

1. Historique
2. Le principe de fonctionnement.
3. Les diffrents types de VLANs.
3.1. VLAN par port.
3.2. VLAN par adresse MAC.
3.3. VLAN par protocole.
3.4. VLAN par sous -rseau.
3.5. VLAN par rgles.
4. Les avantages.
5. Le marquage des trames IEEE 802.1q.
5.1. Qu'est-ce que le marquage ?
5.2. Marquage, Tag, Trunk.
5.3. Les ports des commutateurs.
5.4. Usages et limites du marquage.
5.5. Interconnexion des VLANs.
6. Les plus des commutateurs administrables.
6.1. L'agrgation de liens.
6.2. Les mcanismes dauthentification dans les VLANs.
6.3. La redondance de lien.
1. Historique.
Les premiers rseaux Ethernet (on se situe donc en couche 2) taient conus base de cbles coaxiaux
raccords entre eux et connects aux ordinateurs, si bien que tout signal lectrique mis par l'un d'eux tait
reu par tous les autres. L'ensemble des machines ainsi relies entre elles sappelait un domaine de collision
(puisque ces machines partageaient le mme mdium physique).
Dans le cas de grands rseaux locaux, il tait impossible d'avoir un seul domaine de collision (pour des
raisons d'loignement gographique, de longueur de cbles, de temps de propagation ou cause du nombre
trop important dordinateurs) et il fallait donc concevoir des domaines de collision de taille raisonnable,
relis entre eux par des routeurs. Des ponts Ethernet n'auraient pas suffi car ils augmentent le temps de
propagation des signaux lectriques, d'o la ncessit de remonter en couche 3. Chacun de ces domaines de
collision tait galement appel segment Ethernet.
chaque segment Ethernet correspondait donc un sous-rseau IP. Au bout du compte, on aboutissait un
dcoupage logique calqu trs exactement sur le dcoupage physique du rseau. Cela imposait une
proximit gographique des machines si l'on voulait qu'elles appartiennent au mme segment Ethernet, ce
qui n'est pas ncessairement pratique. Par ailleurs, ceci limitait grandement la mobilit des ordinateurs.
Aprs l'arrive des premiers commutateurs, de nouvelles possibilits sont apparues. Compte tenu de
l'lectronique interne des commutateurs, plus complexe que celles des rpteurs, il devenait possible de
disposer de plusieurs segments Ethernet au sein d'un mme commutateur. Mais, en ajoutant quelques enttes supplmentaires aux trames Ethernet, il devenait possible d'tendre la taille de ces segments Ethernet
l'ensemble d'un rseau de commutateurs interconnects. Les rseaux virtuels (virtual LAN, VLAN) taient
ns.
1

2. Le principe de fonctionnement.
Les VLAN sont une volution du concept de rseau local sur une topologie en toile construite autour de
commutateurs. Il s'agit de dcouper virtuellement les quipements de commutation pour construire plusieurs
sous-rseaux indpendants, le cblage restant inchang.
Les rseaux virtuels permettent de raliser des rseaux axs sur l'organisation de l'entreprise en
saffranchissant de certaines contraintes techniques comme la localisation gographique. On peut ainsi
dfinir des domaines de diffusion (domaines de broadcast) indpendamment de l'endroit o se situent les
systmes.
Un VLAN est l'quivalent moderne des segments Ethernet de l'ancien temps. Tous les ordinateurs faisant
partie d'un mme VLAN sont capables de communiquer entre eux directement sans avoir passer par un
routeur. On ne parle plus de domaine de collision, tant donn qu'il n'y a pas de collisions avec des
commutateurs, mais de domaine de diffusion, puisqu'une trame de diffusion mise par un ordinateur sera
reue par toutes les machines faisant partie du mme VLAN. A contrario, deux machines n'appartenant pas
au mme VLAN ne peuvent plus communiquer bien qu'elles soient physiquement connectes au mme
rseau.
3. Les diffrents types de Vlans.
Il existe plusieurs mthodes de construction des VLAN : par port, par adresse MAC, par protocole, par sous
-rseau, par rgles.
3.1. VLAN par port.
Un VLAN par port, aussi appel VLAN de niveau 1 (pour physique), est obtenu en associant chaque port du
commutateur un VLAN particulier. C'est une solution simple, qui a t rapidement mise en uvre par les
constructeurs.

Les premires implmentations ne permettaient pas de crer un mme VLAN sur plusieurs commutateurs.
Depuis une nouvelle gnration de commutateurs permet de raliser de tels VLANs, grce l'change
d'informations entre les commutateurs et au marquage des trames.
Les VLAN par port manquent de souplesse. Tout dplacement d'une station ncessite une reconfiguration
des ports. De plus, toutes les stations relies sur un port par l'intermdiaire d'un concentrateur, appartiennent
au mme VLAN. Le VLAN port est impossible mettre en uvre dans le cas d'ordinateurs portables
pouvant se connecter des emplacements banaliss dans l'entreprise.
3.2. VLAN par adresse MAC.

Un VLAN par adresse MAC, ou VLAN de niveau 2 est constitu en associant les adresses MAC des stations
chaque VLAN.

L'intrt de ce type de VLAN est surtout l'indpendance vis vis de la localisation. La station peut tre
dplace sur le rseau physique, son adresse physique ne changeant pas, il est inutile de reconfigurer le
VLAN. Les VLAN par adresse MAC sont trs adapts l'utilisation de stations portables.
La configuration peut s'avrer rapidement fastidieuse puisqu'elle ncessite de renseigner une table de
correspondance avec toutes les adresses du rseau. Cette table doit aussi tre partage par tous les
commutateurs, ce qui peut engendrer un trafic supplmentaire sur le rseau.
Il est possible de coupler un serveur RADIUS ce genre de solution pour grer les adresses MAC.
3.3. VLAN par protocole.
Un VLAN par protocole, ou VLAN de niveau 3, est obtenu en associant un rseau virtuel par type de
protocole rencontr sur le rseau. On peut ainsi constituer un rseau virtuel pour les stations
communiquant avec le protocole TCP/IP, un rseau virtuel pour les stations communiquant avec le
protocole IPX, ...
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN. Par
contre, elle est lgrement moins performante puisque les commutateurs sont obligs d'analyser des
informations de niveau 3 pour fonctionner.
Les VLAN par protocole sont surtout intressant dans des environnements htrognes multi-protocoles
(Novell Netware avec IPX, Unix avec TCP/IP, Macintosh
avec Appletalk...). La gnralisation de TCP/IP leur a fait
toutefois perdre de l'intrt.
3.4. VLAN par sous -rseau.
Egalement appel VLAN de niveau 3 et variante des
prcdents, un VLAN par sous-rseau utilise les adresses
IP sources des datagrammes mis. Un rseau virtuel est
associ chaque sous-rseau IP.
3

Dans
ce
cas,
les
commutateurs
apprennent
automatiquement la configuration des VLAN et il est
possible de changer une station de place sans
reconfiguration des VLAN.
Il suffit galement de changer une station de travail de
sous rseau pour la changer de VLAN.
Cette solution est l'une des plus intressantes, malgr une lgre dgradation des performances de la
commutation due l'analyse des informations de niveau rseau (niveau
3.5. VLAN par rgles.
Plus rcemment est apparue une nouvelle mthode de dfinition de rseaux virtuels base sur la possibilit
des commutateurs d'analyser le contenu des trames. Les possibilits sont multiples, allant des rseaux
virtuels par type de service (ports TCP) aux rseaux virtuels par adresse multicast IP.
4. Les avantages.

rduction des messages de diffusion, par exemple les requtes ARP (Address Resolution Protocol)
lies au protocole IP (Internet Protocol) qui peuvent occuper une part non ngligeable du trafic quand
le rseau devient important. Les messages de diffusion (broadcast) sont limits l'intrieur de chaque
VLAN. Ainsi les broadcasts d'un serveur peuvent tre limits aux clients de ce serveur.

cration de groupes de travail indpendamment de l'infrastructure physique. Des groupes de stations


peuvent tre raliss sans remettre en cause l'architecture physique du rseau. De plus, un membre de
ce groupe peut se dplacer sans changer de rseau virtuel. Dans le cas de VLAN par adresse MAC ou
par sous -rseau IP, il n'y a mme pas de reconfiguration des commutateurs.

augmentation de la scurit par le contrle des changes inter-VLAN. Les changes inter-VLAN se
ralisent tout comme des changes inter-rseaux, c'est--dire au travers de routeurs. Il est par
consquent possible de mettre en uvre un filtrage du trafic chang entre les VLAN.

5. Le marquage des trames IEEE 802.1q.


La plupart des commutateurs administrables sont compatibles avec le protocole IEEE 802.1q. Cela signifie
qu'ils s avent grer le marquage des trames.
5.1. Qu'est-ce que le marquage ?
Un VLAN peut tre local un commutateur ou stendre un ensemble de commutateurs relis entre eux.
On a donc la possibilit d'organiser la structure logique de son rseau sans avoir se soucier de sa structure
physique, ce qui apporte une souplesse fort apprciable.
Dans le cas o une trame Ethernet doit tre transporte d'un commutateur un autre, il est ncessaire de
connatre le VLAN auquel elle appartient. C'est ce qu'on appelle le marquage. Le marquage permet de
reconnatre le VLAN d'origine d'une trame. Il peut tre implicite, c'est--dire que l'appartenance tel ou tel
VLAN peut tre dduite des informations contenues dans la trame (adresse MAC, protocole, sous- rseau
IP) ou par son origine (port). Il peut tre explicite, dans ce cas une information (souvent un numro de
VLAN) est insre dans la trame. Tout dpend du type de VLAN.
Dans le cas d'un VLAN par port, le transfert d'une trame vers un autre commutateur ne conserve pas
d'information sur l'appartenance tel ou tel VLAN. Il est ncessaire de mettre en uvre un marquage
explicite des trames.
4

Dans le cas d'un VLAN par adresse MAC, il est possible d'envisager que la table de correspondance entre les
adresses MAC et les numros de VLAN soit distribue sur tous les commutateurs. C'est une solution lourde
laquelle on peut prfrer un marquage explicite.
Dans le cas d'un VLAN de niveau 3, il fut utilis un marquage implicite. Il n'est pas ncessaire de marquer
les trames sur les liaisons inter-commutateurs. L'analyse des trames dgradant les performances, il est l
aussi prfrable de marquer explicitement les trames.
Plusieurs solutions de marquages ont t proposes par des constructeurs telles Virtual Tag Trunking de
3Com ou encore ISL (InterSwitch Link Protocol) de Cisco, toutes incompatibles entre elles. Pour cette
raison, l'IEEE a dfini une norme de dfinition des VLAN sous la rfrence 802.1q.
5.2. Marquage, Tag, Trunk.
En franais, on parle de marquage, encore que les termes tiquette ou tag sont couramment admis. Il est
galement possible, dans la terminologie Cisco, de parler de trunk.
L'ide serait d'arriver ce que certains ports du switch puissent tre assigns plusieurs VLANs, ce qui
fera conomiser du cble et des ports sur le commutateur.
Le principe consiste ajouter dans l'en-tte Ethernet ou MAC, un marqueur (Tag) qui permet d'identifier le
VLAN.
Attention : toutes les solutions propritaires ne rpondent pas ncessairement cette norme.

Un champ Tag 802.1q de 4 octets est insr avant le champ Ether Type.
Ce dernier servait et sert toujours identifier le type de protocole utilis en couche rseau. Il contient toujours
0800 ou 0x0800 qui signifient IPv4.
0x permet de rappeler que le champ est exprim en hexadcimal.
Le champ Tag 802.1q est compos de deux champs, de deux octets chacun :

TPID

Nom
Tag
Protocol
Identifier

16
Priorit
TCI

Tag 802.1q

Taille
bits

Description
Dsigne le type de tag. Il permet par exemple au commutateur
didentifier la trame comme comportant un tag 802.1Q pour celle
ayant un format Ethernet II / 802.3.
Dans ce cas, cette valeur est gale la constante hexadcimale
0x8100.
Sur 3 bits on peut coder 8 niveaux de priorits de 0 7. Ces 8
niveaux sont utiliss pour fixer une priorit aux trames d'un
VLAN relativement aux autres VLANs.
5

Tag Control
Information

CFI
1
12

VLAN ID
VID

Canonical Format Identifier.


Ce champ est utilis pour des raisons de compatibilit entre les
rseaux Ethernet et les rseaux de type Token ring. Il doit tre
marqu 0.
Ce champ est cod sur 12 bits et reprsente le numro du VLAN.
Il est donc possible d'intgrer la trame dans 1 VLAN parmi 4096
possibilits. La valeur 0 indique qu'il n'y a pas de VLAN.

Ci-dessous, une prsentation de la capture d'une trame ICMP tiquete ralise avec WireShark.

TPId
TCI
Ether Type

5.3. Les ports des commutateurs.


Les ports d'un commutateur peuvent tre dans l'un des trois tats suivants : untagged, tagged ou no.
Untagged : le port n'est associ qu' un seul VLAN. C'est dire que tout quipement raccord ce port
fera partie du VLAN.
Tagged : signifie que les trames qui arrivent et sortent sur le port sont marques par un en-tte 802.1q
supplmentaire dans les champs Ethernet.
Un mme port peut tre "tagged" sur plusieurs VLAN diffrents.
No : aucune configuration dans le VLAN. Le port est inactif.
Chez Cisco, la terminologie est un peu diffrente : untagged devient ACCESS, tagged devient Trunk. Le
tout, c'est de le savoir.
Le marquage est implment pour la gestion des VLANs rpartis sur plusieurs commutateurs. Lest rames
voyagent alors au format Ethernet sur les ports untagged ou no et au format IEEE802.1q sur les ports
tagged dans les commutateurs.
Lorsqu'une trame arrive sur un port tagged, son entte Ethernet est complt pour recevoir le tag, et le
FCS est recalcul.
5.4. Usages et limites du marquage.
Le premier intrt du protocole IEEE802.1q est de permettre la cration de VLAN rpartis sur plusieurs
commutateurs.
On peut ainsi mettre dans un mme VLAN les prises destines aux imprimantes, l'administration rseau,
la comptabilit, mme si pour des raisons divers es les bureaux ne sont pas regroups.
Il peut tre galement possible, grce aux ports tagged, de partager un mme port entre plusieurs VLANs,
pour accder un serveur,
6

Si le serveur est directement reli ce port, il faut que sa carte rseau soit compatible 802.1q.
5.5. Interconnexion des VLANs.
Pour interconnecter les VLANs, mme sils sont dans le mme sous rseau IP, ce qui est viter, il faut
mettre ne uvre un routeur, qui aura une interface dans chaque VLAN.
Cette technique est nomme routage inter VLAN.
Remarque : 802.1q est bas sur un protocole propritaire CISCO ISL (Inter Switch Linking) et permet
galement de grer la qualit de service (QoS) par la mme technique de marquage de la trame.
6. Les plus des commutateurs administrables.
Bien que n'ayant rien voir directement avec les VLANs, les commutateurs administrables sont galement
capables de faire d'autres choses : intgration d'un agent SNMP, d'un serveur HTTP destin uniquement
son administration, intgration de la gestion de redondance de liens, de l'agrgation de ports, de mcanismes
d'authentification,
6.1. L'agrgation de liens.
Il sagit d'une technique propose par de nombreux constructeurs, sur des matriels haut de gamme :
Au lieu d'tablir une liaison simple entre deux commutateurs, il est possible de les agrer c'est--dire
dutiliser plusieurs liaisons en parallle, ce qui augmente d'autant le dbit "virtuel" de la liaison :

Cette agrgation porte galement le nom de trunk.


6.2. Les mcanismes dauthentification dans les VLANs.
La scurit des VLANs repos e sur les mcanismes mis en uvre pour lauthentification des machines se
connectant aux ports des switchs.
Ci-dessous sont dtailles les principales mthodes utilisables pour lauthentification :
Fixer une adresse MAC un port physique : cette mthode, certes efficace, pose le problme de
ladministration qui devient trs lourde grer notamment lors des dplacements de machines dans le
rseau. Ainsi chaque port physique fait partie dun seul VLAN et seule linterface rseau paramtre peut se
connecter au port.
802.1x (RFC 2284) : cette norme dauthentification est galement employe dans la rcente norme de
rseaux WIFI 802.11i. On distingue 3 rles dans le schma dauthentification :
7

lauthentificateur qui met en uvre lauthentification et route le trafic vers le rseau si


lauthentification a march.
le demandeur qui demande laccs au rseau. Dans notre cas, il sagit de la machine
cliente.
le serveur dauthentification qui effectue lauthentification du demandeur en vrifiant les
donnes quil a transmises. La plupart du temps il sagit dun serveur radius.
Le concept de Controlled/Uncontrolled Port :
lUncontrolled Port (UP) et le Controlled Port (CP) sont 2 abstractions fonctionnelles qui sont physiquement
sur la mme connexion rseau. Une trame du client est route par lAP (Access Point
qui est dans notre cas le switch) vers lUP ou le CP en fonction de ltat de lauthentification.
Le rsultat de cette abstraction logique est que si le client nest pas authentifi il aura seulement accs au
serveur dauthentification. Une fois lauthentification russie il pourra accder aux services du rseau.
Un point important est que cette authentification doit tre mutuelle ce qui rend quasi impossible toute
attaque de type man in the middle .
Port security (propritaire cisco) : Cette technologie permet dimplmenter de faon plus souple les
rgles ci-dessus en indiquant des rgles sur les adresses mac permettant de se connecter : une liste de macs
autoriss, des conditions de connections (horaires, ).
Dynamics Vlans (VQP et VMPS) (propritaire cisco) : VQP (Vlan Query Protocol) est un
protocole qui permet au switch client dinterroger un serveur VMPS (VLAN Members hip Policy
Server) avec des informations sur les stations enregistres et leur VLAN associ. Ainsi le switch client
pourra associer le port avec le bon VLAN. Le serveur VMPS peut tre un switch (ex : cisco catalyst)
ou un serveur windows avec active directory server.
6.3. La redondance de liens.
Imaginons un rseau Ethernet mettant en uvre plusieurs commutateurs. Au lieu d'tablir une
structure en toile, ou en arbre si elle est plus complexe, il devient possible de rajouter des
liaisons entre les commutateurs qui n'taient pas interconnects.
Cette redondance de lien a pour but de crer des chemins alternatifs en cas de rupture
d'un chemin inter commutateur.
Cela a aussi une incidence : le domaine de diffus ion offre des boucles dans lesquelles les trames de diffus
ion (broadcast) risquent de tourner en rond, provoquant une tempte de diffus ion (broadcast storm) qui
paralyse le rseau et des problmes d'identification des trames : une mme trame risque d'apparatre
plusieurs fois en suivant des chemins diffrents, ce que les lments du rseau ne s auront pas grer.
L'ide est donc bonne, mais pas aussi simple que cela. Il faut mettre en uvre les chemins redondants,
mais sarranger pour qu'ils ne sactivent que lorsque ce sera ncessaire.
Tous les appareils compatibles IEEE 802.1d utilise le STP (Spanning Tree Protocol) : un algorithme
permet de dterminer les liaisons conserver (chemins courants) et les liaisons dsactiver (chemin
invalids), en fonction d'un coefficient fix pour chacune par l'administrateur rseau et bas sur la qualit
de la liaison, les volumes passants par la liaison,
La reprsentation du rseau devient un arbre et plus un rseau, d'o le nom.