Les Vlan : approche usuelle

Rappels sur la commutation Contrairement un concentrateur, un commutateur ne diffuse pas les trames. Il met en relation les seuls postes concerns par lchange. Un commutateur vite donc les collisions au contraire dun concentrateur. A chaque fois quun message lui parvient, le commutateur associe le port par lequel arrive la trame ladresse matrielle (adresse MAC) de lmetteur de la trame. Ainsi aprs un certain nombres de trames, le commutateur connat lemplacement (c'est dire le port de rattachement) des postes sur le rseau et peut les mettre en relation deux deux. Cette association adresse MAC / port est gre dans des tables dassociation prsentes dans chaque commutateur. Cette table est construite progressivement par apprentissage. Si une trame contient une adresse de destination qui nest pas prsente dans la table, cette trame est transmise sur tous les ports du commutateur lexception du port metteur de la trame. Cest aussi ainsi que sont traits les trames de diffusion.

On distingue deux modes de fonctionnement du commutateur :

Store and forward : il stocke les trames entirement avant de les rmettre. Il ne rmet donc pas les trames errones (CRC "Control Redundancy Check" innatendu) ou en collision. Par contre ces commutateurs sont plus lents et ncessitent des mmoires tampons importantes

On the fly (appel aussi cut through chez CISCO) : la vole, les commutateurs rmettent

immdiatement aprs lecture de ladresse MAC destinataire, cest plus rapide mais on propage les trames errones - notamment les trames en collision et celles dont le CRC indique une erreur de transmission. Le commutateur permet de garantir la bande passante dun rseau. La bande passante cest le dbit dun rseau. En ne diffusant pas tous les postes mais aux seuls postes concerns par lchange, le commutateur optimise lutilisation de la bande passante. Ainsi un commutateur 100 mb/s de 12 ports garantira 100 mb/s par port alors quun concentrateur 100 mb/s de 12 ports divisera cette bande passante entre tous ses ports.

Laccroissement des domaines de diffusion

Avec les concentrateurs et les commutateurs de premire gnration, la sparation des flux grs par la couche 2 ne peut se faire quen regroupant gographiquement les groupes de travail. En effet, si le commutateur segmente les domaines de collision, il maintient cependant un seul domaine de diffusion.

Laccroissement des domaines de diffusion

Avec les concentrateurs et les commutateurs de premire gnration, la sparation des flux grs par la couche 2 ne peut se faire quen regroupant gographiquement les groupes de travail. En effet, si le commutateur segmente les domaines de collision, il maintient cependant un seul domaine de diffusion.

Premire dfinition des Vlan

Un VLAN permet de crer des domaines de diffusion (domaines de broadcast) grs par lescommutateurs indpendamment de lemplacement o se situent les nuds, ce sont des domaines de diffusion grs logiquement. Les avantages des VLANs sont les suivants : La rduction des messages de diffusion (notamment les requtes ARP) limits l'intrieur dun VLAN. Ainsi les diffusions d'un serveur peuvent tre limits aux clients de ce serveur. La cration de groupes de travail indpendants de l'infrastructure physique ; possibilit de dplacer la station sans changer de rseau virtuel. Laugmentation de la scurit par le contrle des changes inter-VLAN utilisant des routeurs (filtrage possible du trafic chang entre les VLANs).

Lindpendance entre infrastructure physique et groupe de travail implique quun commutateur puisse grer plusieurs Vlan et quun mme Vlan puisse tre rparti sur plusieurs commutateurs. En consquence, une trame qui circule dans un commutateur et entre les commutateurs doit pouvoir tre associe un Vlan. Pour rpondre aux objectifs des Vlan la rgle suivante doit tre imprativement respecte : une trame doit tre associe un Vlan et un seul et ne peut pas sortir du Vlan. Les mthodes de construction dun Vlan doivent donc dterminer la faon dont le commutateur va associer la trame un Vlan. Usuellement on prsente trois mthodes pour crer des VLAN : les vlan par port (niveau 1), les Vlan par adresses MAC (niveau 2), les Vlan par adresses IP (niveau 3)

Les Vlan par port (Vlan de niveau 1)

On affecte chaque port des commutateurs un VLAN. Lappartenance dune trame un VLAN est alors dtermine par la connexion de la carte rseau un port du commutateur.Les ports sont donc affects statiquement un VLAN. Si on dplace physiquement une station il faut dsaffecter son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on dplace logiquement une station (on veut la changer de Vlan) il faut modifier laffectation du port au Vlan.

Les Vlan par adresse MAC (Vlan de niveau 2 )

On affecte chaque adresse MAC un VLAN. Lappartenance dune trame un VLAN est dtermine par son adresse MAC. En fait il sagit, partir de lassociation Mac/VLAN, daffecter dynamiquement les ports des commutateurs chacun des VLAN en fonction de ladresse MAC de lhte qui met sur ce port. L'intrt principal de ce type de VLAN est l'indpendance vis--vis de la localisation gographique. Si

une station est dplace sur le rseau physique, son adresse physique ne changeant pas, elle continue dappartenir au mme VLAN (ce fonctionnement est bien adapt l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier lassociation Mac / Vlan.

Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 )

On affecte une adresse de niveau 3 un VLAN. Lappartenance dune trame un VLAN est alors dtermine par ladresse de niveau 3 ou suprieur quelle contient (le commutateur doit donc accder ces informations). En fait, il sagit partir de lassociation adresse niveau 3/VLAN daffecter dynamiquement les ports des commutateurs chacun des VLAN. Quand on utilise le protocole IP on parle souvent de Vlan par sous-rseau.

La norme 802.1Q
Les types de trames La norme dfinit trois types de trames : les trames non tiquetes (untagged frame) les trames tiquetes (tagged frame) les trames tiquetes par une priorit (priority-tagged frame)

Une trame non tiquetes est une trame qui ne contient aucune information sur son appartenance un Vlan. Une trame tiquetes est une trame qui contient une entte supplmentaire. Cette entte modifie le format standard dune trame, notamment de la trame 802.3.

Le format dune trame tiquete 802.1Q est le suivant :

Adresse destination : 6 octets Adresse Source : 6 octets VPID (Vlan Protocol Identifier) : 2 octets. Fix 0x8100 . Attention ne pas confondre avec l'identifiant d'un VLAN. Ici il s'agit d'identifier une trame de type 802.1q UP (User priority) : 3 bits. Permet de dfinir 8 niveaux de priorits. Utilis par le protocole 802.1p. CFI (Canonical Format Identifier) : 1bit. indique que le format est standard (utilis par le routage par la source) VID (Vlan Identifier) : 12 bits. Indique sur quel Vlan circule la trame. Longueur/type : 2 octets. En 802.3 donne la longueur de la trame. En Ethernet II ou DIX(Digital Intel Xerox) indique le type de donnes transport. Donnes : 46 1500 octets FCS : 4 octets. Frame Check Sequence.
Principe de fonctionnement du vlan par port Un tag de 4 octet est ajout la trame ethernet. Ce tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement aux ports appartenant au vlan identifi dans la trame. Type de configuration des ports des switchs Cisco Le port est configur en mode access ou en mode trunk. Le mode access est utilis pour la connexion terminale d'un priphrique (pc, imprimante, serveur, ...) appartenant un seul vlan. Le mode trunk est utilis dans le cas ou plusieurs vlans doivent circuler sur un mme lien. C'est par exemple le cas de la liaison entre deux switchs

Communication entre les vlans La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur). Selon l'utilisation, il peut tre conseill de filtrer les rseaux au minimum au moyen d'ACLs (access control list). VLAN natif: Le vlan appel "natif" est le vlan par dfaut du switch (en gnral le vlan 1). Sans configuration, tous les ports du switch sont placs dans ce VLAN. Ce vlan n'est pas marqu mme si il passe sur une liaison trunk.

Configuration type d'un switch:

La liaison entre les switchs est en mode trunk. Les autres ports des switchs sont en mode access. Le vlan ddi aux tlphones sera galement configur sur tous les ports en plus de leur vlan data respectif. Un vlan ddi l'administration et la supervision du switch sera cr. L'adresse IP de supervision du switch sera associe ce vlan.

Ajout de vlan
Cration du vlan 2 puis des vlans 3 5
2960-RG(config)#vlan 2 2960-RG(config-vlan)#name administration 2960-RG(config-vlan)#ex 2960-RG(config)#vlan 3,4,5 2960-RG(config-vlan)#ex 2960-RG(config)#

suppression d'un vlan

2960-RG(config)#no vlan 2

Affichage des vlans ainsi que des affectations de port

2960-RG#show vlan VLAN Name Status Ports ---- -------------------------------- --------------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Gi0/1 2 administration active 3 VLAN0003 active 4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8 5 VLAN0005 active 10 VLAN0010 active Fa0/1 1002 fddi-default act/unsup 1003 token-ring-default act/unsup

Affectation d'un port un vlan

Dans l'exemple ci-dessous le port est configur en mode access puis il est plac dans le vlan 3.
2960-RG(config)#interface fastEthernet 0/1 2960-RG(config-if)#switchport mode access 2960-RG(config-if)#switchport access vlan 3 2960-RG(config-if)#ex 2960-RG(config)#

L'exemple suivant prsente la configuration des ports 5 8 en mode access, puis configurs avec le vlan 4
2960-RG(config)#interface range fastEthernet 0/5-8 2960-RG(config-if-range)#switchport mode access 2960-RG(config-if-range)#switchport access vlan 4 2960-RG(config-if-range)#end 2960-RG#

Configuration d'un port en mode trunk (par exemple une connexion entre deux switch)
Pour un switch srie 2960
2960-RG(config)#interface gigabitEthernet 1/0/1 2960-RG(config-if)#switchport mode trunk 2960-RG(config-if)#

Configuration d'un vlan ddi la tlphonie

2960-RG(config)#vlan 10 2960-RG(config-vlan)#name voip 2960-RG(config-vlan)#ex 2960-RG(config)#int fastEthernet 0/1 2960-RG(config)#switchport voice vlan 10

Suppression de la configuration d'un port

Comme d'habitude, il suffit de mettre la commande no devant les commandes entres prcdemment. Par exemple:
2960-RG(config)#int fastEthernet 0/1 2960-RG(config-if)#no switchport access vlan 2960-RG(config-if)#no switchport mode acc 2960-RG(config-if)#end