Vous êtes sur la page 1sur 8

Réseaux locaux c

lasse : 2 CPI

CHAPITRE 3: Virtual Local Area Network (VLAN)


I- Introduction

Un LAN virtuel (ou VLAN) est un groupe de services réseau qui ne sont pas limités à un
segment physique ou à un commutateur LAN.

Les VLAN segmentent les réseaux commutés de manière logique sur la base des
fonctions, des équipes de projet ou des applications de l’entreprise, quel que soit
l’emplacement physique ou les connexions au réseau. L’ensemble des stations de travail
et des serveurs utilisés par un groupe de travail partagent le même VLAN,
indépendamment de l’emplacement ou de la connexion physique.

La configuration ou la reconfiguration des VLAN est effectuée par l’intermédiaire d’un


logiciel. La configuration d’un VLAN ne nécessite pas de connecter ou de déplacer
physiquement des câbles et des équipements.

La communication d’une station de travail appartenant à un groupe VLAN est limitée aux
serveurs de fichiers de ce groupe. Les LAN virtuels segmentent logiquement le réseau en
différents domaines de broadcast, afin que les paquets soient commutés uniquement
entre les ports d’un même VLAN. Les VLAN sont composés d’ordinateurs hôte ou
d’équipements réseau connectés par un même domaine de pontage. Le domaine de
pontage est pris en charge sur différents équipements de réseau. Les commutateurs LAN
utilisent des protocoles de pontage avec un groupe de ponts distinct pour chaque VLAN.

Les VLAN sont créés pour fournir des services de segmentation habituellement fournis par
les routeurs physiques dans les configurations LAN. Les VLAN répondent aux problèmes
d’évolutivité, de sécurité et de gestion des réseaux. Les routeurs dans les topologies
VLAN offrent des services de filtrage des broadcasts, de sécurité et de gestion du flux du
trafic. Les commutateurs ne peuvent pas acheminer de paquets entre des VLAN par le
biais de ponts, car cela pourrait violer l’intégrité du domaine de broadcast VLAN. Le trafic
doit uniquement être routé entre les VLAN.

II-Définition d’un VLAN

Un réseau local virtuel est un sous-réseau IP logique distinct. Les réseaux locaux virtuels
permettent à plusieurs réseaux et sous-réseaux IP de coexister sur le même réseau
commuté. La figure représente un réseau comportant trois ordinateurs. Pour que les
ordinateurs communiquent sur le même VLAN, chacun d’entre eux doit avoir une adresse
IP et un masque de sous-réseau compatible avec ce VLAN. Le VLAN doit être configuré
sur le commutateur et chaque port du VLAN doit être affecté au VLAN. Un port de
commutateur sur lequel un seul VLAN est configuré s’appelle un « access port ».
Souvenez-vous que ce n’est pas parce que deux ordinateurs sont physiquement
connectés au même commutateur qu’ils peuvent communiquer. Des périphériques se
trouvant sur deux réseaux et sous-réseaux distincts doivent communiquer par le biais
d’un routeur (couche 3), que des VLAN soient utilisés ou non. Les VLAN ne sont pas
indispensables pour avoir plusieurs réseaux et sous-réseaux sur un réseau commuté,
mais leur utilisation présente des avantages certains.

Enseignant: M.Turki 1 ITBS


Réseaux locaux c
lasse : 2 CPI

III- Avantages d’un réseau local virtuel

La productivité des utilisateurs et l’adaptabilité du réseau sont des facteurs clés de


croissance et de réussite de l’entreprise. L’implémentation de la technologie VLAN
permet à un réseau d’assurer une prise en charge plus souple des objectifs de
l’entreprise. Les principaux avantages des VLAN sont les suivants :

Sécurité : les groupes contenant des données sensibles sont séparés du reste du réseau,
ce qui diminue les risques de violation de confidentialité. Les ordinateurs de la faculté se
trouvent sur le VLAN 10 et sont complètement séparés du trafic des données des
étudiants et des invités.

Meilleures performances : le fait de diviser des réseaux linéaires de couche 2 en


plusieurs groupes de travail logiques (domaines de diffusion) réduit la quantité de trafic
inutile sur le réseau et augmente les performances.

Atténuation des tempêtes de diffusion : le fait de diviser un réseau en plusieurs


réseaux VLAN réduit le nombre de périphériques susceptibles de participer à une tempête
de diffusion.

Efficacité accrue du personnel informatique : les VLAN facilitent la gestion du


réseau, car les utilisateurs ayant des besoins réseau similaires partagent le même VLAN.

IV- Plages d’ID de VLAN


Les réseaux locaux virtuels d’accès sont divisés selon une plage normale ou une plage
étendue.

Enseignant: M.Turki 2 ITBS


Réseaux locaux c
lasse : 2 CPI

Réseaux locaux virtuels à plage normale


Utilisés dans les réseaux de petites, moyennes et grandes entreprises.
Identifiés par un ID de VLAN compris entre 1 et 1005.
Les ID de 1002 à 1005 sont réservés aux VLAN Token Ring et aux VLAN à interface de
données distribuées sur fibre (FDDI).
Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés.
Vous en apprendrez plus sur le VLAN 1 plus loin dans ce chapitre.
Les configurations sont stockées dans un fichier de base de données VLAN, appelé
vlan.dat. Le fichier vlan.dat se trouve dans la mémoire flash du commutateur.
Le protocole VTP (VLAN Trunking Protocol), qui permet de gérer des configurations de
VLAN entre des commutateurs, ne peut apprendre que les VLAN à plage normale et les
stocke dans le fichier de base de données VLAN.

Réseaux locaux virtuels à plage étendue


Permettent aux fournisseurs de services d’étendre leur infrastructure à un plus grand
nombre de clients. Certaines multinationales peuvent être suffisamment grandes pour
avoir besoin d’une plage étendue d’ID de VLAN.
Sont identifiés par un ID de VLAN compris entre 1006 et 4094.
Prennent en charge moins de fonctionnalités VLAN que les VLAN à plage normale.
Sont enregistrés dans le fichier de configuration en cours.
Le protocole VTP ne prend pas en compte les VLAN à plage étendue.

255 réseaux locaux virtuels configurables

Un commutateur Cisco Catalyst 2960 peut prendre en charge jusqu’à 255 VLAN à plage
normale et à plage étendue, bien que le nombre de VLAN configurés affecte les
performances du matériel du commutateur. Étant donné qu’un réseau d’entreprise peut
avoir besoin d’un commutateur doté d’un grand nombre de ports, Cisco a mis au point
des commutateurs d’entreprise qui peuvent être raccordés ou empilés pour créer une
seule unité de commutation composée de neuf commutateurs distincts. Chaque
commutateur peut avoir 48 ports, soit un total de 432 ports pour une seule unité de
commutation. Dans ce cas, la limite de 255 VLAN par commutateur peut constituer une
contrainte pour certaines entreprises.

V- Fonctionnement d’un VLAN

Chaque port de commutateur peut être attribué à un LAN virtuel différent. Les ports
affectés au même LAN virtuel partagent les broadcasts. Les ports qui n’appartiennent pas
à ce LAN virtuel ne partagent pas ces broadcasts. Cela améliore les performances
globales du réseau.

Enseignant: M.Turki 3 ITBS


Réseaux locaux c
lasse : 2 CPI

Figure : VLAN Statique

Les VLAN statiques sont dits «axés sur le port». Lorsqu'un équipement accède au réseau,
il adopte automatiquement le VLAN d'appartenance du port auquel il est
connecté. L’administrateur réseaux effectue une configuration port par port, chaque port
est associé a un vlan spécifique, il est chargé de saisir l’association entre les ports et les
vlans.

Les VLAN dynamiques permettent une appartenance axée sur l’adresse MAC (vlan niveau
2) de l’unité connectée au port du commutateur. Ce type de VLAN est beaucoup plus
souple que le VLAN par port car le réseau est indépendant de la localisation de la station.

Figure : Vlan dynamique

Ces derniers peuvent permettent une appartenance en fonction de l’adresse ip (vlan


niveau 3) de la machine. Quand un appareil arrive sur un réseau, le commutateur auquel
il est connecté questionne une base de données sur le serveur de configuration de VLAN
pour déterminer son appartenance à un VLAN. La configuration dynamique apporte une
grande souplesse dans la mesure où la configuration des commutateurs se modifie
automatiquement en cas de déplacement d'une station. En contrepartie une légère
dégradation de performances peut se faire sentir dans la mesure où les informations
contenues dans les paquets doivent être analysées plus finement.

VLAN voix : un port est configuré en mode voix pour qu’il puisse prendre en charge un
téléphone IP qui est connecté dessus. Avant de configurer un VLAN voix sur le port, vous
devez d’abord configurer un VLAN pour le trafic vocal et un VLAN pour les données. Dans
la figure, le VLAN 150 est le VLAN voix et le VLAN 20 est le VLAN de données. On suppose
que le réseau a été configuré pour garantir que le trafic vocal peut être transmis en
priorité sur le réseau. Lorsqu’un téléphone est branché pour la première fois sur un port
de commutateur configuré en mode voix, celui-ci envoie des messages au téléphone pour
lui fournir la configuration et l’ID de VLAN voix appropriés. Le téléphone IP étiquette les
trames de voix avec l’ID de VLAN voix et transfère la totalité du trafic vocal par le biais du
VLAN voix.

Enseignant: M.Turki 4 ITBS


Réseaux locaux c
lasse : 2 CPI

L’en-tête d’une trame est encapsulé ou modifié pour inclure un ID de VLAN avant que la
trame ne soit envoyée sur la liaison entre les commutateurs. Avant le transfert de la
trame vers l’unité de destination, le format d’origine de son en-tête est rétabli.

Il existe deux méthodes principales d’étiquetage de trames: ISL (Inter-Switch Link) et


802.1Q. L’étiquetage de trames ISL, un protocole propriétaire Cisco, était autrefois très
courant. Il est aujourd'hui remplacé progressivement par le standard 802.1Q d’étiquetage
de trames.

Lorsque des trames sont reçus par le commutateur à partir d’une unité de station
d’extrémité reliée, un identifiant de trame unique est ajouté dans chaque en-tête. Cette
information d’en-tête désigne l’appartenance à un VLAN de chaque trame. La trame est
ensuite transmise aux commutateurs ou routeurs appropriés sur la base de l’ID de VLAN
et de l’adresse MAC. Sur le nœud de destination, l’ID du VLAN est supprimé du trame par
le commutateur contigu et transmis à l’unité connectée. L’étiquetage de trames est un
mécanisme de contrôle du flux de broadcasts et d’applications qui n'interfère pas avec le
réseau et les applications.

VI- Communication VLAN

a- Communication intra-VLAN

Dans la figure, PC1 souhaite communiquer avec un autre périphérique, PC4. PC1 et PC4
se trouvent tous les deux sur le VLAN 10. Le fait de communiquer avec un périphérique
qui se trouve sur le même VLAN s’appelle la communication intra-VLAN. Le déroulement
de ce processus est expliqué ci-après :

Enseignant: M.Turki 5 ITBS


Réseaux locaux c
lasse : 2 CPI

Étape 1. L’ordinateur PC1 sur le VLAN 10 envoie sa trame de requête ARP (diffusion) au
commutateur Comm2. Les commutateurs Comm2 et Comm1 envoient la trame de
requête ARP par le biais de tous les ports du VLAN 10. Le commutateur Comm3 envoie la
requête ARP par le biais du port F0/11 à l’ordinateur PC4 sur le VLAN 10.

Étape 2. Les commutateurs du réseau transfèrent la trame de réponse ARP


(monodiffusion) par le biais de tous les ports configurés pour le VLAN 10. PC1 reçoit la
réponse qui contient l’adresse MAC de PC4.

Étape 3. PC1 dispose désormais de l’adresse MAC de destination de PC4 et l’utilise pour
créer une trame de monodiffusion dont la destination est l’adresse MAC de PC4. Les
commutateurs Comm2, Comm1 et Comm3 remettent la trame à PC4.

b- Communication inter-VLAN

Dans la figure, l’ordinateur PC1 sur le VLAN 10 veut communiquer avec l’ordinateur PC5
sur le VLAN 20. Le fait de communiquer avec un périphérique qui se trouve sur un autre
VLAN s’appelle la communication inter-VLAN.

Remarque : il y a deux connections entre le commutateur Comm1 et le routeur : l’une


pour acheminer les transmissions sur le VLAN 10 et l’autre pour acheminer les
transmissions sur le VLAN 20 jusqu’à l’interface du routeur.

Le déroulement de ce processus est expliqué ci-après :

Étape 1. L’ordinateur PC1 sur le VLAN 10 veut communiquer avec l’ordinateur PC5 sur le
VLAN 20. PC1 envoie une trame de requête ARP pour déterminer l’adresse MAC de la
passerelle par défaut R1.

Étape 2. Le routeur R1 répond en envoyant une trame de réponse ARP à partir de


l’interface configurée pour le VLAN 10.

Tous les commutateurs transfèrent la trame de réponse ARP et PC1 la reçoit. La réponse
ARP contient l’adresse MAC de la passerelle par défaut.

Étape 3. PC1 crée ensuite une trame Ethernet avec l’adresse MAC de la passerelle par
défaut. La trame est envoyée du commutateur Comm2 au commutateur Comm1.

Étape 4. Le routeur R1 envoie une trame de requête ARP sur le VLAN 20 pour déterminer
l’adresse MAC de PC5. Les commutateurs Comm1, Comm2 et Comm3 diffusent la trame
de requête ARP par le biais des ports configurés pour le VLAN 20. PC5 sur le VLAN 20
reçoit la trame de requête ARP en provenance du routeur R1.

Enseignant: M.Turki 6 ITBS


Réseaux locaux c
lasse : 2 CPI

Étape 5. PC5 sur le VLAN 20 envoie une trame de réponse ARP au commutateur Comm3.
Les commutateurs Comm3 et Comm1 transfèrent la trame de réponse ARP au routeur R1
avec l’adresse MAC de destination de l’interface F0/2 sur le routeur R1.

Étape 6. Le routeur R1 envoie la trame reçue de PC1 par le biais des commutateurs Comm1 et
Comm3 à PC5 (sur le VLAN 20).

VII- Agrégation de vlan

a- Définition d’une agrégation de VLAN

Une agrégation est une liaison point à point entre deux périphériques réseau qui porte
plusieurs VLAN. Une agrégation de VLAN vous permet d’étendre les VLAN à l’ensemble
d’un réseau. Cisco prend en charge la norme IEEE 802.1Q pour coordonner les
agrégations sur les interfaces Fast Ethernet et Gigabit Ethernet. Vous en apprendrez plus
sur cette norme plus loin dans cette section.

Une agrégation de VLAN n’appartient pas à un VLAN spécifique, mais constitue plutôt un
conduit pour les VLAN entre les commutateurs et les routeurs.

b- Étiquetage des trames avec 802.1Q

Souvenez-vous que les commutateurs sont des périphériques de couche 2. Ils n’utilisent
les informations de l’en-tête des trames Ethernet que pour transférer les paquets. L’en-
tête d’une trame ne contient pas d’informations permettant de déterminer à quel VLAN la
trame doit appartenir. Par la suite, lorsque les trames Ethernet sont placées sur une
agrégation, elles ont besoin d’informations supplémentaires sur les VLAN auxquels elles
appartiennent. Il faut alors utiliser l’en-tête d’encapsulation 802.1Q. Cet en-tête ajoute à
la trame Ethernet d’origine une étiquette spécifiant le VLAN auquel la trame appartient.
Vue d’ensemble de l’étiquetage des trames VLAN

Avant d’examiner les détails d’une trame 802.1Q, il peut être utile de comprendre ce que
fait un commutateur lorsqu’il transfère une trame par le biais d’une liaison agrégée.
Lorsque le commutateur reçoit une trame sur un port configuré en mode accès avec un
VLAN statique, il décompose la trame et insère une étiquette VLAN, recalcule la séquence
de contrôle de trame, puis envoie la trame étiquetée via un port d’agrégation.

Enseignant: M.Turki 7 ITBS


Réseaux locaux c
lasse : 2 CPI

Détails du champ de l’étiquette VLAN

Le champ de l’étiquette VLAN se compose d’un champ EtherType, d’un champ


d’informations de contrôle d’étiquette et du champ de la séquence de contrôle de trame.

Champ EtherType

Défini sur la valeur hexadécimale 0x8100. Cette valeur s’appelle la valeur de l’ID de
protocole d’étiquette (TPID). Le champ EtherType étant défini sur la valeur du TPID, le
commutateur qui reçoit la trame sait qu’il doit rechercher des informations dans le champ
d’informations de contrôle d’étiquette.

Champ Paramètres de contrôle des étiquettes

Le champ Paramètres de contrôle des étiquettes contient :

3 bits de priorité utilisateur : utilisés par la norme 802.1p qui spécifie comment assurer la
transmission prioritaire des trames de couche 2. Ce cours ne prétend pas décrire la
norme IEEE 802.1p, mais nous en avons parlé un peu plus haut dans la section sur les
VLAN voix.
1 bit d’identificateur de format canonique (CFI) : permet aux trames Token Ring d’être
facilement transportées sur des liens Ethernet.
12 bits d’ID de VLAN (VID) : numéros d’identification de VLAN ; prend en charge jusqu’à
4 096 ID de VLAN.

Enseignant: M.Turki 8 ITBS