Les Vlans : Cours réseau informatique VLAN - Virtual Lan

1 - Introduction 

    
Les réseaux Ethernet  sont  sujets à divers problèmes affectant  les performances du réseau,  à savoir : 

   

• Les collisions
• La latence des équipements réseaux
• La remise de données de type broadcast

 
Afin d‘optimiser les performances du réseau, la segmentation est nécessaire.


Le but de la segmentation sur un LAN est d‘obtenir une réduction de la taille des domaines de collision  afin  d’économiser la  bande  passante  disponible,  ou  de  la  taille  des domaines de diffusion afin d'améliorer la sécurité et de diminuer la taille des réseaux (voir notion de sous-réseaux).

Il est possible de recourir à trois types de segmentation des domaines de collisions :
             

• Segmentation par pont :

Segmentation du domaine de collision  en 2 grâce au pont, dispositif de couche 2 permettant un filtrage des trames en fonction des adresses M AC des hôtes.
        

• Segmentation par routeurs : 

Segmentation du domaine de broadcast en fonction des adresses réseau de couche 3.
          

• Segmentation par commutateur : 

Segmentation du domaine de collision par la mise en place de chemins commutés entre l‘hôte et le destinataire (micro segmentation)
            

2 - Le commutateur 


2.1     Présentation 

Le  commutateur est  un  pont  multi-ports.  Il  permet  de  relier plusieurs segments réseau  et d‘acheminer les trames sur le bon segment de destination grâce aux informations de couche 2.

Un environnement commuté présente les avantages suivants : 
          

• Réduction du nombre de collisions
• Plusieurs communications simultanées
• Liaisons montantes haut débit
• Amélioration de la réponse du réseau
• Hausse de la productivité de l‘utilisateur

Les décisions d‘acheminements du commutateur sont basées sur les adresses M AC contenues dans les trames circulant sur le réseau :

Fonctionnement d'un commutateur
            

              
2.2     Limitation 

Par contre un commutateur de niveau 2, s'i optimise le trafic sur un réseau, ne permet pas de créer des subdivisions.  Sa  fonction  n'est  pas de créer une segmentation,  et  donc les problèmes subsistent : Il n'est pas efficace en ce qui concerne la segmentation : 
     

• Pas de limitation des champs du broadcast
• Pas de partage en sous réseaux 
• Pas de sécurité entre utilisateurs
• …

       
3     Les commutateurs de niveau 3
        
Les commutateurs de niveau  3  agissent  au  niveau  IP.  Ils permettent  la  création  de VLAN  (LAN Virtuels). 
    
3.1     Principe des VLAN 

Le  principe  des VLAN  consiste  à  regrouper des machines dans un  ou  plusieurs segments quelque  soit  leur emplacement  physique.  En  fait,  cette  technologie  permet  de  créer des segments Ethernet logiques, indépendamment de l'implantation géographique.

Attention,  la  mise en  place de VLAN  nécessite l'utilisation  d'équipements supportant  cette technologie. 
          

Les principales différences entre la commutation traditionnelle et les VLAN sont :  
             

• Les VLAN fonctionnent au niveau des couches 2 et 3 du modèle OSI
• La communication inter VLAN est assurée par le routage de couche 3
• Les VLAN fournissent une méthode de contrôle des broadcasts
• Les VLAN permettent d‘effectuer une segmentation selon certains critères 
• Des collègues travaillant dans le même service
• Une équipe partageant le même applicatif
• Les VLAN peuvent assurer la sécurité des réseaux en définissant quels nœuds réseaux peuvent communiquer entre eux

  
Il  est  alors possible de segmenter le réseau en plusieurs domaines de broadcast  afin d‘en améliorer les performances. 
La communication inter VLANS est assurée par des routeurs

       
3.2     Méthodes d'attribution des VLAN 

chaque VLAN est identifié par un numéro qui l'identité:  


VLAN no 2, VLAN no 3 … (le no de VLAN étant codé sur 12 bit  on peut théoriquement créé 4096 VLAN). 

Il existe différentes méthodes de gestion et de paramétrage
           

• VLAN  statiques  ou dénommé VLAN par port Les ports du commutateur sont affectés à un VLAN
• Facilité d‘administration
• Fonctionnent idéal dans les réseaux ou les déplacements sont rares et gérés

• VLAN dynamiques :   
• Les  ports  des  commutateurs  peuvent  automatiquement  déterminer  leur  VLAN  d‘appartenance.
• Le filtrage peut être basé sur : 
• Les adresses M AC
• L‘adressage logique source (IP)
• Le type de protocole des paquets de données

Cette dernière méthode est  celle qui  demande le moins d‘administration au  niveau du local technique et qui permet la migration des utilisateurs 
  
3.3     Principes de fonctionnement des VLAN

On distingue 2 méthodes pour regrouper les utilisateurs en VLAN :
            

• Le filtrage de trames
• Un examen de chaque trame permet d‘élaborer pour chaque commutateur une table de filtrage afin de permettre de prendre les décisions appropriées.
• Cela suppose une table de filtrage par commutateurs, donc des temps de mise à jour lents ainsi que des problèmes d‘évolutivité
• L‘identification des trames
• Chaque trame dispose d‘un  code d'identification VLAN  (TCI  =  Tag  Control Information) définit par la norme IEEE 802.1q
• L‘identificateur est utilisé lors du transfert des paquets sur le réseau
• Il  est  enlevé lorsque le paquet  quitte le réseau pour atteindre les hôtes ou les routeurs.

         
Cette dernière méthode est la plus couramment utilisée. Elle est identifiée de manière claire au niveau des commutateurs par le support de cette norme. 
Exemple de trame 802.1 q
      

 

3.4     Les différents niveaux des VLAN

     
Afin d'identifier ces différentes techniques d'attribution  des VLAN,  on attribue un  niveau à chaque type de VLAN. 

Extrait du cas Polymousse 2005 :  

         
Les réseaux locaux virtuels (VLAN) permettent de créer des domaines de diffusion gérés par des commutateurs. Une trame  ne peut être associée qu‘à un VLAN et cette trame ne peut être diffusée  que  sur les ports du  commutateur associés à ce  Vlan.  Il  existe différentes façons d‘associer des ports à un VLAN, les principales sont les suivantes :

        

• VLAN  de  niveau  1  ou  VLAN  par port :  chaque port  du  commutateur est  affecté à un VLAN,  donc  chaque  carte  réseau  est  affectée à un  VLAN  en  fonction  de  son  port  de connexion.
• VLAN  de  niveau  2 ou VLAN  d‘adresses M AC : chaque adresse M AC  est  affectée à un VLAN, donc chaque port du commutateur se voit affecter dynamiquement à un VLAN en fonction de l‘adresse M AC de la carte réseau qui y est connectée.
• VLAN de niveau 3 ou VLAN d‘adresses IP : chaque carte réseau est affectée à un VLAN en  fonction  de  son  adresse  IP,  donc  chaque  port  du  commutateur  se  voit  affecter dynamiquement  à  un  VLAN  en  fonction  de  l‘adresse  IP  de  la  carte  réseau  qui  y  est connectée Chaque VLAN peut être géré par un ou plusieurs commutateurs, un commutateur peut gérer plusieurs VLAN.

Les  commutateurs  identifient  le  VLAN  auquel  appartient  une  trame  grâce  au  protocole 802.1q, ils échangent ces trames via des ports d'interconnexion.
En pratique,  un port  de commutateur ne sera  associé qu‘à un seul  VLAN  (à l‘exception des ports d‘interconnexion).
  
3.5     Communication inter VLAN 

Le principe des VLAN est de limiter la diffusion des informations entre VLAN. Ce qui rend imperméable la communication entre 2 machines situées sur des VLAN différents. 

Les ports d'interconnexion  entre  commutateurs supportant  les VLAN  sont  dénommés Port "TRUNK".  Cette  dénomination  permet  de  prendre  en  compte  de  façon  particulière  la communication  inter  commutateurs.  Cette  communication  maintien  l'isolement  entre  les VLAN.

La seule solution technique permettant de partager des ressources ou d'échanger des données est  soit  de  passer par  un  routeur qui  assurera  la  communication  à  l'aide de  ses tables de routage, soit de rendre disponible les ressources aux 2 VLAN 


Exemple de mise à disposition de ressources sur un serveur :