Les VLAN

(Réseaux Locaux Virtuels)

1
 Qu’est-ce qu’un VLAN ?
Un commutateur Ethernet segmente physiquement un LAN en domaines de

collision individuels

Toutefois, tous les segments font toujours partie d'un même domaine de

broadcast

tous les nœuds de tous les segments peuvent voir un broadcast d'un nœud

situé sur un segment

Un réseau local virtuel (ou VLAN) est un groupe d'unités réseau ou

d'utilisateurs qui ne sont pas limités à un segment de commutation physique

Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par fonction,

service, application, etc., et ce, quel que soit le segment physique où ils se

trouvent
2
 Qu’est-ce qu’un VLAN ?
Un VLAN crée un domaine de

broadcast unique qui n'est pas

limité à un segment physique

et qui est traité comme un

sous-réseau

La configuration d'un VLAN

est effectuée, par logiciel,

dans le commutateur

Les VLAN ont été uniformisés

conformément à la

spécification IEEE 802.1Q 3

VLAN et frontières physiques

4
 VLAN et frontières physiques
Les configurations de LAN virtuels regroupent les utilisateurs par

association logique plutôt que par emplacement physique

5
 VLAN et frontières physiques
Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du modèle

de référence OSI.

La communication entre les LAN virtuels est assurée par le routage de

couche 3.

Les LAN virtuels fournissent une méthode de contrôle des broadcasts

de réseau.

L'administrateur réseau affecte les utilisateurs à un LAN virtuel.

Les LAN virtuels peuvent améliorer la sécurité des réseaux en

définissant quels nœuds de réseau peuvent communiquer entre eux.

6
 Le transport des LAN virtuels
(VLAN) dans les backbones
La circulation des informations VLAN entre des commutateurs et des

routeurs interconnectés résidant sur le backbone d'une entreprise est

très importante pour toute architecture VLAN.

Cette fonction de transport présente les avantages suivants :

elle élimine les frontières physiques entre les utilisateurs ;

elle améliore la flexibilité de configuration d'une solution VLAN lorsque

des utilisateurs déménagent ;

elle fournit des mécanismes permettant l'interopérabilité entre les

composants du système backbone.

7
 Le transport des LAN virtuels
(VLAN) dans les backbones
Le backbone sert

habituellement de point de

convergence pour les volumes

de trafic importants

Il transporte également les

informations VLAN et

l'identification de l'utilisateur

final entre les commutateurs,

les routeurs et les serveurs

directement connectés
8
Le rôle des routeurs dans les VLAN
Le rôle traditionnel d'un routeur est :

o de fournir des pare-feu,

o d'effectuer la gestion des broadcasts,

o d'assurer le traitement des routes et l'acheminement

les routeurs demeurent extrêmement importants dans les architectures VLAN

car ils assurent l'interconnexion de différents LAN virtuels

Ces connexions offrent les avantages suivants :

elles augmentent le débit entre les commutateurs et les routeurs ;

elles regroupent tous les ports de routeurs physiques nécessaires à la

communication entre les LAN virtuels.

9
Utilisation des trames dans les VLAN

Chaque commutateur est en mesure de prendre les décisions relatives

au filtrage et à l'acheminement par trame, en fonction des paramètres

VLAN définis par les administrateurs réseau.

Le commutateur peut aussi communiquer ces informations à d'autres

commutateurs et routeurs du réseau.

Les méthodes les plus utilisées pour regrouper logiquement des

utilisateurs en VLAN distincts sont le filtrage de trames et

l'identification de trames (étiquetage de trames).

10
Utilisation des trames dans les VLAN
Ces deux techniques examinent la trame au moment de sa réception ou

de son acheminement par le commutateur

Selon l'ensemble de règles définies par l'administrateur, ces

techniques déterminent l'endroit où la trame doit être envoyée,

filtrée ou diffusée

Le filtrage de trames consiste à examiner les informations

particulières à chaque trame

Une table de filtrage est élaborée pour chaque commutateur

11
Utilisation des trames dans les VLAN

12
Utilisation des trames dans les VLAN
L'étiquetage de trames est le mécanisme de liaison standard utilisé

pour le filtrage de trames

Il fournit une solution plus évolutive pour le déploiement de VLAN à

l'échelle d'un campus

Cette méthode place un identificateur unique dans l'en-tête de chaque

trame au moment où celle-ci est acheminée dans le backbone du réseau

L'identificateur est interprété et examiné par chaque commutateur

avant tout broadcast ou transmission à d'autres commutateurs,

routeurs ou équipements de station d'extrémité

13
Utilisation des trames dans les VLAN
Lorsque la trame quitte le backbone du réseau, le commutateur retire

l'identificateur avant de transmettre la trame à la station d'extrémité cible

L'identification des trames est effectuée au niveau de la couche 2 ; elle

nécessite des temps de traitement ou d'administration peu élevés

14
La relation entre les ports, les VLAN
et les broadcasts
Chaque port de commutateur peut être attribué à un LAN virtuel

Les ports affectés au même LAN virtuel partagent les broadcasts

Trois méthodes de mise en œuvre de LAN virtuels qui peuvent être

utilisées pour affecter un port de commutateur à un LAN virtuel :

Les LAN virtuels axés sur le port

Les LAN virtuels statiques

Les LAN virtuels dynamiques

15
 VLAN axés sur les ports
les utilisateurs sont

affectés en fonction de

chaque port,

les LAN virtuels sont

faciles à administrer,

la sécurité entre les LAN

virtuels est accrue,

les paquets ne passent pas

dans d'autres domaines.

16
 VLAN statiques
les ports d'un commutateur

que sont affectés de

manière statique à un LAN

virtuel

Ces ports conservent les

configurations VLAN

attribuées jusqu'à ce que

vous les changiez

17
 VLAN dynamiques
Lorsqu'une station est

connectée pour la première

fois à un port de

commutateur non affecté,

le commutateur approprié

vérifie l'adresse MAC dans

la base de données de

gestion VLAN et configure

dynamiquement le port

selon la configuration VLAN

correspondante 18
La contribution des VLAN au contrôle
de l'activité de broadcast
Les LAN virtuels constituent un mécanisme efficace pour étendre les

pare-feu des routeurs à la matrice de commutation et protéger le

réseau contre des problèmes de broadcast potentiellement dangereux

Ce type de configuration réduit substantiellement l'ensemble du trafic

de broadcasts, libère de la bande passante pour le véritable trafic

utilisateur et réduit la vulnérabilité globale du réseau aux tempêtes de

broadcast

Plus le groupe VLAN est réduit, plus le nombre d'utilisateurs touchés

par le trafic de broadcasts à l'intérieur du groupe est petit

19
 Amélioration de la sécurité des
réseaux grâce aux LAN virtuels
Cette technique offre à
l'administrateur les
avantages suivants :
elle restreint le nombre
d'utilisateurs dans un
groupe VLAN,
elle configure tous les
ports non utilisés et les
affecte à un LAN virtuel à
faible niveau de service
par défaut.
Elle limite l’accès du trafic
qu’au VLAN correspondant
à la source du trafic

20
 Mise en pratique des VLAN
Dans le cas habituel les switchs agissent d’une façon indépendante
En utilisant les Vlans un certain niveau d’interdépendence doit
exister entre les switchs :
Chaque Vlan logique est considéré comme un pont physique
séparé
VLANs peuvent recouvrir plusieurs switchs
Les liaisons d’agrégation de type « trunk » portent le trafic
pour plusieurs VLANS.

Switch A Switch B
Fast Ethernet

Trunk

Vlan Vlan Vlan Vlan Vlan Vlan

Rouge Bleu vert Rouge Bleu vert

21
Configuration des VLAN statiques
Les VLAN statiques correspondent à l'affectation manuelle des ports

d’un commutateur à un VLAN via une application de gestion de VLAN

ou directement en travaillant sur le commutateur.

La création d’un VLAN sur un commutateur est une tâche très simple

et directe :

Switch# vlan database

Switch(vlan)# vlan numéro_vlan name nom_vlan

Switch(vlan)# exit

22
Configuration des VLAN statiques
L’étape suivante consiste à affecter le VLAN à une ou à plusieurs
interfaces:

Switch(config)# interface fastethernet 0/9

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan numéro_vlan

Il est fortement recommandé de vérifier la configuration VLAN à

l’aide des commandes ‘show vlan’

Pour enlever un VLAN entièrement d'un commutateur, entrez les

commandes:

Switch# vlan database

Switch(vlan)# no vlan 300
23
Configuration des VLAN statiques
Les VLANs sont implémentés au niveau de la couche liaison de
donnée (niveau 2) dans la topologie de commutation du réseau.
Pour mettre un port donné dans un VLAN :

vous devez créer un VLAN sur le commutateur

assigner ensuite cette adhésion de port sur le commutateur

Dans le IOS de Cisco, un port niveau 2 est définie comme switchport

Un switchport peut être membre d’un seul VLAN ou configuré comme une
agrégation ( trunk ) pour porter le trafic sur plusieurs VLANS.

ISL (propriétaire de Cisco) et IEEE 802.1Q sont deux méthodes

différentes pour mettre en œuvre un identificateur VLAN dans une trame
communiquée entre plusieurs switches en mode trunk.

24
Configuration des VLAN statiques

Un ID du VLAN
Ajouté par le
Port d’entrée
La liaison
d'inter-switch
porte l‘ID vlan

L’ID VLAN
Supprimé par le
Port de sortie
25
 La norme IEEE802.1Q
Un switch Cisco supporte la norme IEEE 802.1Q pour les interfaces
réseaux FastEthernet et GigabitEthernet.

Une liaison 802.1Q fournit une identification VLAN en ajoutant une

étiquette de 4 octets à une trame sortant d’un port en mode trunk

26
 La norme IEEE802.1Q
Le Tag protocol ID est égal à la valeur 8100 (hexa) pour spécifier le
protocole 802.1Q

Les trois premiers bits du TCI (Tag control Information) indiquent

la priorité de la trame utilisée comme paramètre de qualité de
service

Le bit suivant indiquent le CFI (canonical Format Identifier) qui est

égal à 0 pour les trames Ethernets

Le reste représente l’identificateur du VLAN

Le protrocole ISL propriétaire de Cisco utilise un autre format du

tag et ne peut être appliqué qu’entre les switch cisco

27
 Protocole VTP
(VLAN Trunking protocol)
Pour assurer qu'un VLAN existe entre chaque paire de ports en
modeTrunk, un administrateur doit créer manuellement tout le
VLAN nécessaires sur chacun des commutateurs.

Un VLAN Cisco fournit une méthode pour maintenir la configuration

VLAN cohérente entre les switchs en utilisant le protocole VTP
(Vlan Trunking Protocol) .
VTP est un protocole permettant de distribuer et synchroniser des
informations sur les VLAN configurés par tous les switchs appartenant au
même domaine VTP

Les configurations faites par un serveur VTP seul sont propagées, à travers
des liaisons en mode trunk, à tous les switchs clients connectés dans le
réseau
28
 Protocole VTP
(VLAN Trunking protocol)
Trois modes VTP¨disponibles pour les switch cisco :
Serveur : ceux qui sont configurés manuellement et propagent
l’information aux autres switch (synchronisation).

Client : ceux qui reçoivent et ré-envoient les nouvelles configs Vlan du

switch serveur et affectent leurs valeurs

Transparent : reçoivent et ré-envoient les nouvelles configs Vlan du

switch serveur et n’affectent pas leurs valeurs

29
 Configuration d’une agrégation
« Trunk »
Pour créer ou configurer une agrégation de VLAN sur un

commutateur à base de commandes Cisco IOS, configurez d'abord

le port en mode d'agrégation de VLAN :

Switch(config-if)# switchport mode trunk

spécifiez ensuite l’encapsulation d’agrégation

Switch(config-if)# switchport trunk encapsulation {dot.1q|isl}

Dot.1q : le protocole 802.1Q

isl: le protocole ISL

30
 Mise en œuvre de VTP
Pour créer un domaine de gestion, utilisez la commande suivante:
Switch(vlan)# vtp domain cisco

Pour définir le mode approprié du commutateur à base de

commandes Cisco IOS, utilisez la commande suivante:
Switch(vlan)# vtp { [mode {server | transparent | client}] [domain
domain-name] [password password] [pruning {enable | disable}]}

La configuration par défaut de VTP

VTP domain name: None
VTP mode: Server
VTP password: None
VTP pruning: Disabled
VTP trap: Disabled 31