Vous êtes sur la page 1sur 12

VLAN balisés, non balisés

et natifs Domicile > Des articles > Théorie > VLAN balisés, non balisés et natifs

VLAN balisés, non balisés et natifs


Dernière mise à jour : [dernière modification] (UTC)

Examen du VLAN
Histoire de base

Autrefois, avant que les commutateurs


et les VLAN n'existent, les réseaux Ethernet se connectaient via des
concentrateurs. Les hubs ont placé tous les hôtes en réseau sur un seul
segment Ethernet. C'était un peu comme enchaîner chaque hôte au
suivant. Il s'agissait toujours d'une amélioration par rapport aux anciens
réseaux de bus à jetons. Au moins, une panne d'hôte ne provoque pas de
rupture dans la chaîne.
Une limitation principale aux hubs était que tous les hôtes étaient sur le
même domaine de collision. Cela signifie que si deux hôtes sont transmis à la
fois, les données peuvent « entrer en collision » et doivent être
renvoyées. Des commutateurs ont été introduits pour résoudre ce
problème, chaque port devenant un domaine de collision individuel.

Les commutateurs de base, appelés « commutateurs non gérés » n'ont que


des fonctionnalités simples. Ils n'ont pas de support VLAN configurable. Cela
signifie que tous les hôtes du commutateur font toujours partie du même
domaine de diffusion.

Les commutateurs gérés permettent la séparation du trafic à l'aide de


VLAN. Alors que les commutateurs gérés sont courants aujourd'hui, les
commutateurs non gérés sont encore nombreux.

Que font les VLAN

La fonction principale d'un VLAN est de


séparer le trafic de couche 2. Les hôtes d'un VLAN ne peuvent pas
communiquer avec les hôtes d'un autre VLAN sans services
supplémentaires. Un exemple de service est un routeur pour transmettre
des paquets entre les VLAN.

Bien sûr, une façon d'atteindre ces objectifs serait de connecter chaque
groupe d'hôtes à leur propre commutateur. Cela est parfois fait pour le trafic
de gestion. Malheureusement, cela devient prohibitif, c'est pourquoi les
VLAN sont souvent préférés. Le VLAN est comme un commutateur virtuel
dans son concept.

L'une des raisons de placer les hôtes dans des VLAN distincts serait de
limiter le nombre de diffusions sur le réseau. IPv4, par exemple, repose sur
des diffusions. La séparation de ces hôtes limitera jusqu'où iront ces
diffusions.

Une autre raison de séparer les hôtes serait la sécurité. Considérons deux


exemples. Dans un centre de données multi-locataire, il est important que
les données d'un client ne soient pas visibles par un autre. Les séparer
empêchera que cela se produise (à la couche 2).

Un autre cas de sécurité serait si un attaquant utilise un renifleur de paquets


pour capturer les données du réseau. Une stratégie d'atténuation pourrait
consister à créer un VLAN « invité » pour toute personne visitant les
locaux. La communication de serveur à serveur peut utiliser un VLAN
« sécurisé ».

L'affectation d'un hôte à un VLAN lui permet de communiquer avec un autre


hôte sur le même VLAN. Les commutateurs peuvent transmettre le trafic
VLAN entre eux, de sorte que les hôtes sur un VLAN n'ont pas besoin d'être
sur le même commutateur.

Comment fonctionnent les VLAN


Ci-dessous se trouve une trame Ethernet normale. Cela consiste en:

 Adresses MAC source et destination


 Champ Type / Longueur
 Charge utile (les données)
 Séquence de contrôle de trame (FCS) pour l'intégrité

La trame a une balise VLAN de quatre octets ajoutée, qui inclut l'ID
VLAN. Comme indiqué ci-dessous, la balise est juste après le MAC
source. Le FCS est également supprimé au cours de cette étape.
 

Enfin, le FCS est recalculé sur la base de l'ensemble de la trame.

L'ID de VLAN a une longueur de 12 bits, ce qui permet un maximum


théorique de 4096 VLAN possibles. En pratique, il y a plusieurs VLAN
réservés (selon le fournisseur). Cela permet environ 4090 VLAN utilisables.

Connaissez-vous la différence entre un LAG et un tronc ?

[maxbutton id="4″ text="Etherchannels"


url="https://networkdirection.net/Etherchannels+and+LAGs"]
 

Types de VLAN
VLAN non balisés
Un port de commutation peut être un port "marqué" ou "non balisé". Un
port non balisé, ou port d'accès sur un commutateur Cisco, se connecte aux
hôtes (tels qu'un serveur). L'hôte n'a connaissance d'aucune configuration
VLAN.
L'hôte connecté envoie son trafic sans aucune balise VLAN sur les
trames. Lorsque la trame atteint le port du commutateur, le commutateur
ajoute la balise VLAN. Le port du commutateur est configuré avec un ID de
VLAN qu'il mettra dans la balise.

La plupart des ports de commutation utiliseront ce mode par défaut, avec


l'ID VLAN 1.

Lorsqu'une trame quitte un port non balisé, le commutateur supprime la


balise VLAN de la trame. Le trafic est ensuite transféré normalement.

Le schéma suivant illustre ce processus :

Le trafic se déroule comme ceci :

1. L'hôte A envoie le trafic au commutateur. Le trafic n'a pas de balise


VLAN
2. La trame est reçue sur le port 1 du commutateur. Il s'agit d'un port
non balisé, configuré avec l'ID VLAN 10. Le commutateur insère ensuite la
balise VLAN dans la trame
3. Le commutateur détermine que la trame doit être transférée hors du
port 2. Il s'agit également d'un port non balisé, la balise VLAN est donc
supprimée de la trame.
4. L'hôte B reçoit normalement la trame non balisée

VLAN balisés
Un port est un « port balisé » lorsque l'interface attend des trames contenant
des balises VLAN. Un exemple de ceci est lorsque deux commutateurs sont
connectés et transmettent le trafic balisé. Les commutateurs Cisco utilisent
le terme « tronc » pour désigner un port étiqueté.

L'expéditeur enverra une trame avec une balise VLAN. Le commutateur de


réception verra la balise VLAN, et si le VLAN est autorisé, il transmettra la
trame selon les besoins. Par exemple, une diffusion peut être reçue sur le
VLAN 10. Dans ce cas, le commutateur inondera la trame vers tous les
autres ports configurés avec le VLAN 10.

Ici, vous pouvez voir ce processus en action :

Dans ce cas, les événements suivants se produiront :

1. Un hôte enverra une trame sans tag


2. La trame entre dans un port non balisé sur le commutateur 1,
configuré avec le VLAN 10 dans ce cas. Le commutateur ajoute la balise
VLAN à la trame
3. Le commutateur 1 détermine que le port 2 doit envoyer cette trame
au commutateur 2. Il s'agit d'un port balisé, il vérifie donc que le VLAN 10
est autorisé sur ce port. Si c'est le cas, il laisse la balise intacte et envoie la
trame. Si le VLAN 10 n'est pas autorisé, il supprime la trame
4. Le commutateur 2 reçoit la trame sur le port 1 balisé. Ce commutateur
détermine également si le VLAN 10 est autorisé sur ce port et le supprime
si ce n'est pas le cas. Le commutateur 2 détermine que le port 2 doit
envoyer la trame
5. Étant donné que le port 2 est un port non balisé, il retire le tag de la
trame, puis l'envoie
6. L'hôte B reçoit la trame non étiquetée

VLAN natifs
Dans certains cas, une trame non étiquetée arrivera sur un port
étiqueté. Pour gérer cela, les ports étiquetés ont un VLAN spécial configuré
sur eux appelé VLAN non étiqueté. Ceci est également connu sous le nom
de « VLAN natif ».

Le commutateur attribue toute trame non balisée qui arrive sur un port
balisé au VLAN natif. Si une trame sur le VLAN natif quitte un port de
jonction (marqué), le commutateur supprime la balise VLAN.

En bref, le VLAN natif est un moyen de transporter du trafic non balisé sur
un ou plusieurs commutateurs.

Considérez cet exemple. Les ports auxquels les hôtes se connectent sont


des ports de jonction, avec le VLAN natif 15 configuré.

1. L'hôte A envoie une trame sans balise VLAN


2. Le commutateur 1 reçoit la trame sur le port de jonction. Il n'a pas de
balise, il ajoute donc la balise VLAN ID 15 à la trame
3. Le commutateur envoie la trame hors du port 2. La trame a une balise
pour le VLAN 15, qui correspond au VLAN natif sur le port 2, de sorte
que le commutateur supprime la balise.
4. L'hôte B reçoit la trame
 

Transporter du trafic non balisé a son utilité. Cela se produit lorsqu'un


commutateur souhaite envoyer des informations à un autre commutateur.

CDP est un exemple de communication de commutateur à


commutateur. CDP est un protocole Cisco utilisé pour partager des
informations sur les appareils connectés.

Dans ce cas, s'il existe une liaison de jonction entre deux commutateurs,
comment le commutateur expéditeur décide-t-il quel VLAN utiliser ? En
bref, il envoie du trafic non balisé, qui se trouve sur le VLAN natif.

Autres types de VLAN

Sachez qu'il existe d'autres


types et utilisations de VLAN, qui sortent du cadre de cet article. Jusqu'à
présent, les VLAN de données ont été couverts, mais il existe également des
VLAN de voix.

Il existe également différentes manières d'utiliser les VLAN de données. Cela


inclut la réservation de VLAN pour la gestion ou la création de « VLAN
distants » à utiliser dans les ports ERSPAN.

De plus, il existe des méthodes de manipulation des VLAN pour la sécurité,


telles que les VLAN privés. Il s'agit d'une méthode de subdivision des VLAN
pour séparer le trafic au sein d'un VLAN.

Il est également possible d'utiliser le double marquage, qui consiste à ajouter


deux balises à un cadre. Ceci est parfois utilisé par les fournisseurs de
services pour séparer le trafic client. Il peut également être utilisé pour
étendre le nombre de VLAN disponibles. Malheureusement, cela est
également couramment associé à une attaque appelée « VLAN Hopping ».
 

Scénarios spéciaux
Non-concordance du VLAN natif
Lorsque deux commutateurs sont connectés via des ports de jonction et que
le VLAN natif entre les deux ne correspond pas, le commutateur enregistre
une erreur comme celle-ci :

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on


FastEthernet0/2 (2), with Switch FastEthernet0/2 (1)

La question est, est-ce que cela pose un problème? La réponse courte


est ; non. Il existe deux types de trames qui pourraient passer par ce
lien ; étiqueté et non étiqueté. Tout trafic balisé sera transmis sans être
modifié, car il s'agit d'un lien de jonction. Par conséquent, la seule
préoccupation ici concerne le trafic non balisé.

Regardez ce schéma pour un exemple :

Dans cet exemple, les deux commutateurs sont


connectés avec une liaison de jonction. Cependant, les VLAN natifs (15 et
20) ne correspondent pas, ce qui entraîne l'erreur ci-dessus. Que se passe-t-
il donc si un paquet non balisé traverse ce lien ?
Comme indiqué précédemment, lorsqu'une trame non balisée entre dans un
port de commutateur, le VLAN natif est balisé sur la trame. Ainsi, si le
commutateur A envoyait une trame au commutateur B, elle serait envoyée
non étiquetée et le commutateur B la baliserait comme VLAN 20. Si le
commutateur B envoyait la trame, le commutateur A la baliserait comme
VLAN 15.

Que se passerait-il si un hôte sur Switch-A était sur VLAN 15 et qu'il


envoyait une trame à un hôte sur Switch-B ? Premièrement, la trame serait
étiquetée comme VLAN 15 lors de l'entrée dans Switch-A. Cependant, la
partie intéressante est que la balise VLAN 15 sera supprimée lorsqu'elle
quittera le commutateur A, car elle correspond au VLAN natif « non balisé »
sur la liaison montante. Ensuite, comme auparavant, lorsqu'elle entre dans le
commutateur B, la trame non étiquetée aura une étiquette VLAN 20
appliquée.

Ainsi, si le trafic circule toujours entre les commutateurs, même s'il y a une
incompatibilité de VLAN natif, de quoi s'agit-il avec l'erreur syslog ? C'est
CDP qui vous informe que la configuration actuelle n'est pas la meilleure
pratique et peut entraîner un comportement inattendu. Les deux façons de
résoudre ce problème sont (1) de modifier les VLAN natifs pour qu'ils
correspondent et (2) de désactiver le CDP.

Liaison des ports d'accès au commutateur


Que se passerait-il si deux ports d'accès étaient utilisés pour relier deux
commutateurs, au lieu de ports de jonction ? Ceci est très similaire au
scénario de discordance de VLAN natif ci-dessus. Les trames entrantes
seront ajoutées au VLAN sur le port d'accès, quel qu'il soit.

La différence est que bien que le trafic circule, essentiellement un seul VLAN
est autorisé d'un commutateur à l'autre. Cependant, gardez à l'esprit que
chaque commutateur, dans ce cas, verrait un VLAN différent, tel que VLAN
15 et 20 dans l'exemple précédent.

En général, utilisez la jonction pour connecter les commutateurs.

 
Le VLAN 1 est-il spécial ?

Parfois, vous pouvez entendre que le


VLAN 1 est un VLAN spécial ou réservé sur les commutateurs
Cisco. Certaines personnes peuvent même dire que ce VLAN ne peut pas
être partagé. Est-ce correct?

Ce sont généralement des concepts trompeurs. Le VLAN 1 est le VLAN par


défaut sur les ports de commutation Cisco, y compris le VLAN natif par
défaut. C'est spécial car c'est la valeur par défaut.

En outre, certains types de trafic de couche 2 utiliseront toujours le VLAN


(au moins sur un commutateur Cisco), tels que CDP et LLDP. Donc, dans ce
sens, VLAN 1 spécial.

Qu'en est-il de l'agrégation du VLAN 1 ? Oui, cela peut certainement être


fait. Pourquoi les gens disent-ils parfois que non ? Comme le VLAN 1 est le
VLAN natif par défaut, il est utilisé pour le trafic non balisé. Si vous devez
passer des trames étiquetées VLAN 1, vous ne pourrez pas,  par défaut .

La solution consiste à remplacer le VLAN par défaut par une autre


valeur. Une fois cela fait, le VLAN 1 peut être transmis à travers le tronc de
la même manière que n'importe quel autre VLAN.

Quelques notes de dernière minute


Sur un commutateur Cisco, un port peut être configuré avec des
informations de jonction (VLAN autorisés, VLAN natif, etc.) ainsi que des
informations de mode d'accès (ID de VLAN). Cependant, le type doit
toujours être défini sur une ligne réseau ou un port d'accès. Seule la
configuration correspondant au type sera utilisée.
La configuration du VLAN est tout localement significative. Cela signifie que
la configuration VLAN sur un commutateur ne doit pas nécessairement
correspondre exactement au commutateur auquel il est
connecté. Cependant, il est possible de partager la configuration entre
plusieurs commutateurs Cisco à l'aide du protocole DTP (Dynamic Trunking
Protocol), qui est une technologie propriétaire de Cisco.

Il est recommandé de limiter les VLAN autorisés sur une liaison de jonction
aux seuls VLAN nécessaires. Cela permet de limiter la propagation des
diffusions, et est bon pour la sécurité. C'est ce qu'on appelle l'élagage VLAN
et peut être effectué manuellement ou dynamiquement avec DTP.

Le VLAN 0 est réservé à un usage spécial. Lorsque CoS est utilisé et qu'un


client ne sait pas quel VLAN utiliser, il peut baliser une trame avec le VLAN
0, ce qui oblige le commutateur à utiliser le VLAN natif pour ce trafic.

Le VLAN 4095 est utilisé en interne dans un commutateur. Cela dépend de


la mise en œuvre et peut être utilisé pour une gestion spéciale ou un « trou
noir » pour supprimer le trafic.

Vous aimerez peut-être aussi