Technologie LAN

Cours 4
Principe des VLANs

1
:


 SOMMAIRE
• Etherne

• Principe des VLAN

• Le 802.1

• Con gurations des VLAN

• Routage Inter-VLA

• Le protocole VT

• Pré-requis:
a. VLSM - CID
b. con guration de base commutateu
c. con guration de base routeur
2
fi
fi
fi
t

Commutateurs vs Routeurs
• Les switchs (commutateurs
• Apprend l’emplacement de chaque noeud en regardant l’adresse
source de chaque trame entrant et construit une table de transfert
(forwarding table)

• Transfert chaque trame entrant uniquement sur le port où le noeud de

destination est connect

• réduit les collision

• les noeuds ne perdent pas de temps à véri er les champs de trames
qui ne lui sont pas destinée

• Les switchs di usent quelques trames quand

• la destination n’est pas trouvée dans la tabl

• la trame est destinée à une adresse de di usion (FF:FF:FF:FF:FF:FF
• la trame est destinée à une adresse éthernet muticas

• Donc les switchs ne réduisent pas les domaines de broadcast

3
ff
s

fi
ff
e

Commutateurs vs Routeurs
• Switch VS Routeu
• Les routeurs font plus ou moins avec les packets IP ce que les switchs font
avec les trames Etherne
routeur regarde la destination du paquet IP et consulte sa table de
routage pour décider sur quelle interface de sortie transférer le paque

• Quelques diférences
• IP sont encapsulés dans des trames Etherne
• les réseaux IP peuvent être segmentés logiquement en sous-réseau
• les switchs ne connaisent habituellement rien de IP, ils ne traitent
que les trames Etherne

• Les routeurs ne transférent pas les diffusions Ethernet, donc

• Switch réduit les domaines de collision
• Routeur réduit les domaines de diffusion (de broadcast

• Ceci devient très important lorsque vous concevez des réseaux

4
:

 Principe des VLANs

Princip
• La taille des domaines de diffusion et des domaines de collision
affecte le ux de tra

• Au fur et à mesure que le nombre de commutateurs

connectés augmente, le domaine de diffusion s’étend.

• La séparation et la sécurité des domaines de diffusion

exigeaient une séparation géographique des domaines de
diffusion et une interconnexion par routeur

5
e

fl
fi
c

 Les VLANS
Dé nition
• Un VLAN est un domaine de diffusion logique qui peut s’étendre sur plusieurs segments de
réseau local physique. Il permet à un administrateur de regrouper des stations par fonction
logique, par équipe de projet ou par application, quel que soit l’emplacement physique des
utilisateurs

• Un VLAN permet de créer des domaines de diffusion gérés par les commutateurs
indépendamment de l’emplacement où se situe les nœud

• Les VLAN permettent la mise en œuvre des stratégies d'accès et de sécurité en fonction de
groupes d'utilisateurs précis

• Un VLAN est une partition logique d'un réseau de couche 2

• Plusieurs partitions peuvent être créées pour permettre à plusieurs VLAN de coexister

• Chaque VLAN constitue un domaine de diffusion, généralement avec son propre réseau IP

• Les VLAN sont isolés les uns des autres et les paquets ne peuvent circuler entre eux qu'en
passant par un routeur.
6
fi
.

 Les VLANS
Indépendance entre infrastructure physique et
groupe de travail implique qu’un commutateur
puisse gérer plusieurs Vlan et qu’un même Vlan
puisse être réparti sur plusieurs commutateurs
Conséquence: une trame qui circule dans un
commutateur et entre les commutateurs doit
pouvoir être associée à un Vla
Règle : une trame doit être associée à un Vlan et un
seul et ne peut pas sortir du Vlan, sinon l’étanchéité
du niveau 2 n’est plus respectée

7
n

Les VLANS

8
 Les VLANS
Avantage
• Limitation des messages de diffusion ( paquets
ARP, DHCP, etc.) limités à l’intérieur d’un VLAN
• Possibilité de création de groupe de travail
indépendant de l’infrastructure physiqu
• L’augmentation de la sécurité par le contrôle des
échanges inter-VLAN utilisant des routeurs

9
s

 Les VLANS
Avantage
• Les VLAN peuvent être utilisés pour limiter la portée des trames
de diffusion

• Un VLAN est un domaine de diffusion à part entière

• Par conséquent, une trame de diffusion envoyée par un appareil

d'un VLAN donné est transmise au sein de ce VLAN uniquement

• Cela permet de contrôler la portée des trames de diffusion et

leur impact sur le réseau

• Les trames monodiffusion et multidiffusion sont également

transmises dans le VLAN d'où elles ont été émises.

10
.

Les VLANS

11
 Les VLANS
Deux fonctions principale
• permet de contenir les diffusion
• regroupe des périphériques. Les périphériques
sur un même Vlan ne peuvent pas être vus par les
périphériques situés sur un autre Vla
Affectation à un Vlan en fonction de
• son emplacement (par port
• son adresse MAC (par adresse MAC
• son adresse IP 12
s

 Les VLANS
Vlan par port (niveau 1
• affectation de chaque port du commutateur à un Vla
• l’appartenance à un Vlan est déterminée par la
connexion de la carte réseau à un port du
commutateu
• les ports sont affectés statiquement à un Vla
• Ce type d’appartenance à un réseau local virtuel est
le plus simple à con gurer et également le plus
répandu, mais il est également le plus exigeant en
termes d’administration pour gérer les ajouts, les
déplacements et les modi cations.
13
r

fi
fi
)

 Les VLANS
Vlan par adresse MAC (niveau 2
• affectation de chaque adresse MAC à un Vla
• l’appartenance à un Vlan est déterminée à son
adresse MA
• à partir de l’association MAC/Vlan, affecter
dynamiquement les ports des commutateurs à
chacun des Vlan en fonction de l’adresse MAC de
l’hôte qui émet sur ce por
• Intérêt : indépendance vis-à-vis de la localisation
géographique ( bien adapté à l’utilisation des
ordinateurs portables)
14
C

 Les VLANS
Vlan par adresse IP (niveau 3
• affectation d’une adresse de niveau 3 à un Vla
• l’appartenance à un Vlan est déterminée par l’adresse
de niveau 3 ( le commutateur doit accéder à ces
informations
• à partir de l’association adresse de niveau 3/Vlan
d’affecter dynamiquement les ports des
commutateurs à chacun des Vla
• apprentissage automatique de la con guration des
Vlan en accédant aux informations de couche 3.
Fonctionnement moins rapide que le Vlan de niveau 2
15
)

fi
n

 Les VLANS
Serveur de stratégies de gestion des Vlans (VMPS

• comprend une base de données qui associe adresse MAC / Vla

• Lorsqu'une machine se connecte à un port, le switch récupère son
adresse MAC et se connecte au serveur VMPS (VLAN Membership Policy
Server) a n de véri er le droit d'accès de cette machine. Lorsque celle-ci
est autorisée, le serveur envoie au client le Vlan dans lequel cette machine
doit se connecter. Le switch place donc le port dans le bon Vlan et la
machine a donc accès au réseau
• le serveur VMPS est le plus souvent un switch ou un routeur cisco, ou un
serveur libre

16
fi
fi
.

Identi cation des Vlans 802.1Q

Princip
• Lorsqu’un réseau comporte plusieurs commutateurs, chaque
commutateur doit pouvoir localiser toutes les machines (table
d’acheminement) et connaître le VLAN d’appartenance de la source et
du destinataire ( ltrage de tra c)

• Lorsque le réseau est important les tables peuvent devenir très grandes
et pénaliser les performances. Il est plus ef cace d’étiqueter les trames.

• Un commutateur associe chaque port à un numéro de Vlan(réseau local

virtuel) spéci que. Lorsque la trame arrive sur ce port, le commutateur
insère une étiquette VLAN dans l'en-tête de trame, recalcule la séquence
de contrôle de trame, puis envoie la trame étiquetée par un port trunk.

• L’ajout du numéro d’ID de réseau local virtuel à la trame Ethernet est

appelé étiquetage de trames.

17
e

fi
fi
fi
fi
.

fi

Identi cation des Vlans 802.1Q

• L'étiquetage des trames consiste à ajouter un en-tête d'identi cation du
VLAN à la trame.

• Les commutateurs étiquettent les trames pour identi er le VLAN auquel

elles appartiennent.

• Il existe différents protocoles d'étiquetage, IEEE 802.1Q étant le plus

répandu

• Le protocole dé nit la structure de l'en-tête d'étiquetage ajoutée à la

trame

• Les commutateurs ajoutent des étiquettes VLAN aux trames avant de les

placer dans les trunks. Ils les enlèvent avant de transmettre les trames
via les autres ports (non trunk)

• Une fois qu'elles sont correctement étiquetées, les trames peuvent

traverser tous les commutateurs via les trunks. Elles resteront dans le
VLAN approprié pour atteindre leur destination.
18
.

fi
fi

fi
fi
Identi cation des Vlans 802.1Q
La Norme 802.1
• La norme IEEE 802.1Q dé nit l’étiquetage des trames.

19
fi
Q

fi
Identi cation des Vlans 802.1Q
La Norme 802.1
• La norme IEEE 802.1Q dé nit l’étiquetage des trames.

VPID ou type : il s’agit

d’identi er une trame de type
802.1
User priority : dé nit 8 niveau de
priorité dé nis dans 802.1p/
CFI (Canonical Format
Identi er): indique que le format
est standar
VID: indique sur quel Vlan circule
la trame

20
q

fi
fi
fi
d

fi
fi
Q

fi
Identi cation des Vlans 802.1Q
Types de por
• Les ports de commutateur peuvent être con gurés pour jouer deux rôles
différents. Un port est classé comme port d’accès ou comme port agrégé

• Un port d’accès appartient à un seul réseau local virtuel. En général, des

périphériques uniques tels que des PC ou des serveurs se connectent à ce
type de port. Si un concentrateur connecte plusieurs PC à un port d’accès
unique, chaque périphérique connecté au concentrateur est un membre du
même réseau local virtuel

• Un port agrégé (trunk) est une liaison point à point entre le commutateur et un
autre périphérique réseau. Les agrégations transportent le tra c provenant de
plusieurs réseaux locaux virtuels via une liaison unique et permettent à chaque
réseau local virtuel d’atteindre l’intégralité d’un réseau. Les ports agrégés sont
nécessaires à l’acheminement entre des périphériques de tra c provenant de
plusieurs réseaux locaux virtuels, lors de la connexion de deux commutateurs,
d’un commutateur et d’un routeur, ou d’une carte réseau hôte prenant en
charge l’agrégation 802.1Q.
21
fi
t

fi
fi
fi
.

Identi cation des Vlans 802.1Q

Types de port

22
fi
Identi cation des Vlans 802.1Q
Types de Vlan
• Vlan de donnée: est un réseau local virtuel qui est con guré pour ne
transporter que le tra c généré par l’utilisateur. Un VLAN peut
transporter le tra c vocal ou le tra c utilisé pour gérer le commutateur,
mais ces deux formes de tra c ne peuvent pas faire partie d’un même
VLAN de données. Il est d’usage de séparer le tra c de voix et de gestion
du tra c de données

• Vlan par défaut: au démarrage du commutateur tous les ports

appartiennent au vlan par défaut. Ils font partie au même domaine de
diffusion. Sur les commutateurs cisco, le Vlan 1 est le Vlan par défaut

• Le Vlan 1 possède les mêmes caractéristiques que n’importe quel autre

VLAN, sauf que vous ne pouvez ni le renommer, ni le supprimer. Le tra c
de contrôle de couche 2, tel que le tra c des protocoles CDP et STP
(Spanning Tree Protocol), est toujours associé au VLAN 1 et il est
impossible de modi er ce paramètre.
23
fi
fi
s

fi
fi
.

fi
fi
fi
fi
fi
fi
.

fi
Identi cation des Vlans 802.1Q
Types de Vlan
• Un VLAN natif est affecté à un port d’agrégation 802.1Q. Un port
d’agrégation 802.1Q prend en charge le tra c provenant de nombreux
VLAN (tra c étiqueté ou « tagged traf c »), ainsi que le tra c qui ne
provient pas d’un VLAN (tra c non étiqueté ou « untagged traf c »).

• Le port d’agrégation 802.1Q place le tra c non étiqueté sur le VLAN

natif. Le tra c non étiqueté est généré par un ordinateur connecté à un
port du commutateur sur lequel est con guré le VLAN par défaut

• Les trames reçues sans étiquette restent sans étiquetage et sont

placées dans le VLAN natif lors de la transmission sur le lien trunk

• S'il n'y a pas de ports associés au VLAN natif et en l'absence d'autres

trunks, une trame non étiquetée est ignorée

•
24
fi
fi
fi
s

fi
fi
fi
fi
fi
.

fi
fi
.

Identi cation des Vlans 802.1Q

Types de Vlan
• Un VLAN Voix

25
fi
s

 Identi cation des Vlans 802.1Q

Types de Vlan
• Un VLAN de gestion est un réseau local virtuel que vous
con gurez pour accéder aux fonctionnalités de gestion d’un
commutateur. C’est le VLAN 1 qui fait of ce de VLAN de gestion si
vous ne dé nissez pas explicitement un VLAN distinct pour remplir
cette fonction.

• Une adresse IP et un masque de sous-réseau sont attribués au VLAN

de gestion. Un commutateur peut être géré par le biais de HTTP, de
Telnet, de SSH ou de SNMP . Étant donné que le VLAN 1 est déjà le
VLAN par défaut dans la con guration initiale d’un commutateur
Cisco, il est évident qu’il ne peut pas servir en plus de VLAN de
gestion.

26
fi
fi
fi

fi
fi
 Con guration Vlan
Création de Vlan sur un commutateu
• Qu’ils soient créés de façon statique ou dynamique, le nombre maximal de
réseaux locaux virtuels dépend du type de commutateur et du logiciel
IOS utilisés. Par défaut,VLAN1 est le réseau local virtuel de gestion

• Un administrateur utilisera l’adresse IP du réseau local virtuel de gestion

pour con gurer le commutateur à distance.
• Par ailleurs, le Vlan de gestion est utilisé pour échanger des informations,
tel que le tra c CDP (Cisco Discovery Protocol) et le tra c VTP (VLAN
Trunking Protocol), avec d’autres périphériques réseau.
• Lorsqu’un Vlan est créé, un numéro et un nom lui sont affectés. Le numéro
de Vlan correspond à un nombre compris dans la plage disponible sur le
commutateur, sauf pour VLAN1

27
fi
fi
fi

fi
.

 Con guration Vlan

Création de Vlan sur un commutateu
• Les commutateurs Catalyst 2960 et 3560 prennent en charge plus de 4 000 VLAN
• Ces VLAN se répartissent dans 2 catégories 
VLAN à plage normal
• Ce sont les VLAN du numéro 1 au numéro 1 005
• Les con gurations sont stockées dans le chier vlan.dat (dans la mémoire Flash)
• Les ID 1 002 à 1 005 sont réservés aux VLAN Token Ring et FDDI (Fiber Distributed
Data Interface), qui sont créés automatiquement et que vous ne pouvez pas
supprimer
Réseaux locaux virtuels à plage étendu
• Ce sont les VLAN du numéro 1 006 au numéro 4 096
• Les con gurations sont stockées dans la con guration en cours (dans la mémoire
NVRAM)
• Le protocole VTP (VLAN Trunking Protocol) ne prend pas en compte les VLAN
appartenant à la plage étendue
28
fi
fi
.

fi
e

fi
fi
:

 Con guration Vlan

• la commande show vlan (gérer, administrer, dépanner
show vla

Af che une liste détaillée de tous les numéros et noms des réseaux locaux virtuels actifs sur le
commutateur, ainsi que les ports associés à chacun d’eux
Af che des statistiques STP si la con guration a été effectuée individuellement pour chaque
réseau local virtuel

show vlan brie

Af che une liste résumée indiquant uniquement les réseaux locaux virtuels actifs et les ports
associés à chacun d’eux

show vlan id numéro_i

Af che des informations relatives à un réseau local virtuel spéci que, en fonction du numéro
d’ID

show vlan name nom_vla

Af che des informations relatives à un réseau local virtuel spéci que, en fonction du nom.

29
fi
fi
fi
fi
fi
.

fi
f

fi
.

fi
fi
)

 Con guration Vlan

Etape 1 : Création de réseaux locaux virtuels

30
fi

 Con guration Vlan

Etape 2 : affectation de ports vers des réseaux locaux virtuels différents
constituent deux fonctions distinctes. Un port ne peut être associé qu’à un
seul réseau local virtuel spéci que,

31
fi
fi

 Con guration Vlan

La suppression de réseaux locaux virtuels et la réaffectation de ports vers des
réseaux locaux virtuels différents constituent deux fonctions distinctes.
Lorsqu’un port est dissocié d’un réseau local virtuel spéci que, il est réaffecté
à VLAN1.

• Pour supprimer un réseau local virtuel 

Switch(con g) #no vlan numéro_vla

• Pour dissocier un port d’un réseau local virtuel spéci que 

Switch(con g) #interface fa# /
Switch(con g-if) #no switchport access vlan numéro_vla

32

fi
fi
fi
fi
#

fi
n

fi
:

 Con guration Vlan

La con guration des liens trunk

33
fi
fi
s

 Con guration Vlan

Exemple: réaliser la con guration du réseau ci-dessou
•

Nom PC1-Vlan100 PC2-Vlan100 PC1-Vlan200 PC2-Vlan200 PC1-Vlan300 PC2-Vlan300

Adresse IP 10.10.0.1 10.10.0.2 10.20.0.1 10.20.0.2 10.30.0.1 10.30.0.2

Masque 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0

Gateway 10.10.255.254 10.10.255.254 10.20.255.254 10.20.255.254 10.30.255.254 10.30.255.254

Vlan VLAN 100 VLAN 100 VLAN 200 VLAN 200 VLAN 300 VLAN 300

34
fi
fi
s

 Dépannage des Vlans et trunks

Les problèmes d'adressage IP avec les VLA
• Il est très fréquent d'associer un VLAN à un réseau IP
• Comme les différents réseaux IP communiquent uniquement via un
routeur, tous les appareils d'un VLAN doivent appartenir au même
réseau IP pour communiquer
• La gure montre que le PC1 ne peut pas communiquer avec le serveur
parce que son adresse IP est incorrecte.

35
fi
.

Dépannage des Vlans et trunks

Vlans manquant
• Si tous les problèmes de concordance des adresses IP ont été résolus et
que l'appareil ne peut toujours pas se connecter, véri ez que le VLAN
existe dans le commutateur
•

36
.

fi
Dépannage des Vlans et trunks
Vlans manquant
• Si le VLAN auquel appartient le port est supprimé, le port devient inactif.
Tous les ports appartenant au VLAN qui a été supprimé ne peuvent plus
communiquer avec le reste du réseau.
• Le port n'est pas opérationnel tant que le VLAN manquant n'est pas créé
à l'aide de la commande de con guration globale vlan id-vlan.
•

37
s

fi
 

Dépannage des Vlans et trunks

Dépannage des con gurations de liens trunks 

Remarque : pour résoudre un

problème de concordance,
choisissez le même VLAN
natif aux deux extrémités de
la liaison.

38
fi
 Dépannage des Vlans et trunks
Problèmes courants des liens truck
• Les problèmes de trunking sont généralement associés à des
con gurations incorrectes.
• Le plus souvent, les erreurs de con guration des trunks sont les
suivantes 
• Non-concordance du VLAN nati
• Non-concordance du mode trunk
• VLAN autorisés sur les trunk
• En cas de problème sur un trunk, il est recommandé de faire les
véri cations dans l'ordre ci-dessus
•

39
fi
fi
:

fi
s

Dépannage des Vlans et trunks

Problèmes courants des liens trucks

40
Dépannage des Vlans et trunks
Liste de VLAN incorrect
•

41
e

 Routage inter Vlan

Même si les réseaux locaux virtuels
s’étendent sur plusieurs commutateurs,
seuls des membres du même réseau local
virtuel peuvent communiquer entre eux.
Un périphérique de couche 3 est
nécessaire pour offrir une connectivité
entre différents réseaux locaux virtuels.
Il est possible pour effectuer un routage
entre des réseaux locaux virtuels d’utiliser
une connexion d’interface distincte vers le
périphérique de couche 3 sur chaque
réseau local virtuel

Les grands réseaux comptant un grand

nombre de VLAN avaient besoin de
nombreuses interfaces de routeur.
42
.

 Routage inter Vlan

Une autre approche est d’utiliser la fonctionnalité des sous-interfaces des
routeurs. Les sous-interfaces divisent de façon logique une interface
physique en voies d’accès logiques multiples.
L’objectif est utilise une seule interface physique du routeur
Une des interfaces physiques du routeur est con gurée en tant que port
trunk 802.1Q a n de comprendre les balises VLAN
Des sous-interfaces logiques sont créées (une seule par VLAN)
Chaque sous-interface est con gurée avec une adresse IP du VLAN qu'elle
représente
Les membres (hôtes) du VLAN sont con gurés pour utiliser l'adresse de la
sous-interface comme passerelle par défaut.

43
.

fi
fi
fi

fi
.

 Routage inter Vlan

Commutateur
Con gurez une interface de
commutateur en tant que liaison
agrégée 802.1Q
Routeu
Choisir une interface de routeur avec
au moins 100 Mbits/s (FastEthernet)
Con gurez des sous-interfaces
prenant en charge l’encapsulation
802.1Q
Con gurez une sous-interface pour
chaque réseau local virtuel.

44
fi
fi
fi
.

Routage inter Vlan

45
 Routage inter Vlan
Commutateur
S1(con g)#vlan 1
S1(con g)# vlan 3
S1(con g)#interface fa0/
S1(con g-if)#switchport mode trun

46
fi
fi
fi
fi
0

 Routage inter Vlan

Routeur

47
 Véri cation des sous-
interfaces

48
fi
 Véri cation des sous-
interfaces

49
fi
50