Les réseaux locaux virtuels (VLAN)

Les VLANs permettent de créer des domaines de broadcasts séparés :

• Les routeurs sont nécessaires pour faire passer les informations d’un VLAN à un autre.
• Les VLANs ne sont pas nécessaires pour avoir des sous-réseaux séparés dans un réseau commutés, mais comme nous le verrons, sont plus efficace pour gérer les broadcasts de niveau2.
•Les broadcast sont propagé a l’intérieur du vlan

Les hôtes et serveurs connectés à des commutateurs de la couche 2 font partie du même segment de réseau. Cette configuration présente deux problèmes considérables :

Sous l’impulsion des commutateurs, des diffusions inondent tous les ports, ce qui consomme de la bande passante de façon inutile. Plus le nombre de périphériques connectés à un commutateur est important, plus le trafic de diffusion généré est volumineux et plus la quantité de bande passante gaspillée augmente.

Chaque périphérique connecté à un commutateur peut transférer et recevoir des trames à partir de chaque autre périphérique du commutateur.

Une méthode recommandée de conception de réseau consiste à contenir le trafic de diffusion dans la zone du réseau sur laquelle il est requis. Des conditions particulières au sein de l’entreprise peuvent expliquer pourquoi certains hôtes peuvent communiquer entre eux, et d’autres non. Ainsi, les membres du service de comptabilité peuvent être les seuls utilisateurs qui ont accès au serveur de comptabilité. Dans un réseau commuté, les réseaux locaux virtuels (VLAN) sont créés pour contenir des diffusions et rassembler des hôtes au sein de communautés d’intérêt.

Un réseau local virtuel est un domaine de diffusion logique qui peut s’étendre sur plusieurs segments de réseau local physique. Il permet à un administrateur de regrouper des stations par fonction logique, par équipe de projet ou par application, quel que soit l’emplacement physique des utilisateurs.

Chaque réseau local virtuel fonctionne comme un réseau local distinct. Un réseau local virtuel s’étend sur un ou plusieurs commutateurs, ce qui permet aux périphériques hôtes de se comporter comme s’ils se trouvaient sur le même segment de réseau.

Un réseau local virtuel présente deux fonctions principales :

  • Il permet de contenir les diffusions.
  • Il regroupe des périphériques. Les périphériques situés sur un réseau local virtuel ne peuvent pas être vus par les périphériques situés sur un autre réseau local virtuel.

Le trafic requiert un périphérique de couche 3 pour se déplacer entre réseaux locaux virtuels.

Dans un réseau commuté, un périphérique peut être affecté à un réseau local virtuel en fonction de son emplacement, de son adresse MAC, de son adresse IP ou des applications qu’il utilise le plus fréquemment. Dans un réseau local virtuel, l’appartenance est affectée de façon statique ou dynamique par les administrateurs.

L’appartenance statique à un réseau local virtuel nécessite qu’un administrateur affecte manuellement chaque port de commutateur à un réseau local virtuel spécifique. Ainsi, le port fa0/3 peut être affecté à VLAN 20. Tous les périphériques qui sont branchés au port fa0/3 deviennent automatiquement membres de VLAN 20.

Ce type d’appartenance à un réseau local virtuel est le plus simple à configurer et également le plus répandu, mais il est également le plus exigeant en termes d’administration pour gérer les ajouts, les déplacements et les modifications. Par exemple, pour déplacer un hôte d’un réseau local virtuel vers un autre, il est nécessaire de reconfigurer manuellement le port de commutateur sur le nouveau réseau local virtuel ou de brancher le câble de station de travail sur un autre port de commutation au sein du nouveau réseau local virtuel.

L’appartenance à un réseau local virtuel spécifique est totalement invisible pour les utilisateurs. Les utilisateurs travaillant sur un périphérique connecté à un port de commutateur ne savent pas qu’ils sont membres d’un réseau local virtuel.

L’appartenance dynamique à un réseau local virtuel nécessite un serveur de stratégies de gestion des réseaux locaux virtuels (VMPS). Le VMPS comprend une base de données qui associe des adresses MAC à des affectations de réseau local virtuel. Lorsqu’un périphérique est branché à un port de commutateur, le VMPS recherche dans la base de données une correspondance pour l’adresse MAC et affecte temporairement ce port au réseau local virtuel approprié.

L’appartenance dynamique à un réseau local virtuel requiert davantage d’organisation et de configuration, mais crée une structure beaucoup plus flexible que l’appartenance statique à un réseau local virtuel. Dans un réseau local virtuel dynamique, les déplacements, ajouts et modifications sont automatisés, et ne requièrent aucune intervention de l’administrateur.

Qu’ils soient créés de façon statique ou dynamique, le nombre maximal de réseaux locaux virtuels dépend du type de commutateur et du logiciel IOS utilisés. Par défaut, VLAN1 est le réseau local virtuel de gestion.

Un administrateur utilisera l’adresse IP du réseau local virtuel de gestion pour configurer le commutateur à distance. Lorsqu’il accède à distance au commutateur, l’administrateur réseau peut configurer et gérer toutes les configurations de réseaux locaux virtuels.

Par ailleurs, le réseau local virtuel de gestion est utilisé pour échanger des informations, tel que le trafic CDP (Cisco Discovery Protocol) et le trafic VTP (VLAN Trunking Protocol), avec d’autres périphériques réseau.

Lorsqu’un réseau local virtuel est créé, un numéro et un nom lui sont affectés. Le numéro de réseau local virtuel correspond à un nombre compris dans la plage disponible sur le commutateur, sauf pour VLAN1. Certains commutateurs prennent en charge environ 1 000 réseaux locaux virtuels, d’autres plus de 4 000. L’attribution d’un nom à un réseau local virtuel est une méthode recommandée de gestion de réseau.

Les périphériques connectés à un réseau local virtuel communiquent uniquement avec d’autres périphériques situés dans le même réseau local virtuel, qu’ils se trouvent sur le même commutateur ou sur des commutateurs différents.

Un commutateur associe chaque port à un numéro de réseau local virtuel spécifique. Lorsque la trame arrive sur ce port, le commutateur insère l’ID de réseau local virtuel (VID) dans la trame Ethernet. L’ajout du numéro d’ID de réseau local virtuel à la trame Ethernet est appelé étiquetage de trames. La norme d’étiquetage de trames la plus couramment utilisée est IEEE 802.1q.

La norme 802.1Q, parfois abrégée dot1q, insère un champ d’étiquette à 4 octets dans la trame Ethernet. Cette étiquette est placée entre l’adresse source et le champ type/longueur.

Les trames Ethernet ont une taille minimale de 64 octets et une taille maximale de 1 518 octets. Cependant, une trame Ethernet étiquetée peut faire jusqu’à 1 522 octets.

Les trames contiennent les champs suivants :

  • adresse MAC source et de destination ;
  • longueur de la trame ;
  • données utiles ;
  • séquence de contrôle de trame.

Le champ FCS permet de contrôler les erreurs afin de vérifier l’intégrité de tous les octets de la trame.

Le champ d’étiquette augmente la valeur minimale de la trame Ethernet qui passe de 64 à 68 octets. La taille maximale passe de 1 518 à 1 522 octets. Le commutateur recalcule la valeur FCS, car le nombre d’octets de la trame a changé.

Si un port conforme à la norme 802.1Q est connecté à un autre port 802.1Q, les informations d’étiquetage de réseau local virtuel sont transmises d’un port à l’autre.

Si le port de connexion n’est pas conforme à la norme 802.1Q, l’étiquette de réseau local virtuel est supprimée avant que la trame ne soit placée sur le support.

Les périphériques présentant des ports non conformes à la norme 802.1Q considèrent que les trames Ethernet étiquetées sont trop longues. Ils ignorent la trame et consignent une erreur.

Un réseau local virtuel présente trois fonctions principales :

  • limiter la taille des domaines de diffusion ;
  • améliorer les performances réseau ;
  • fournir un niveau de sécurité adéquat.

Pour tirer le meilleur parti des réseaux locaux virtuels, ils sont étendus sur de multiples commutateurs.

Les ports de commutateur peuvent être configurés pour jouer deux rôles différents. Un port est classé comme port d’accès ou comme port agrégé.

Port d’accès : Un port d’accès appartient à un seul réseau local virtuel. En général, des périphériques uniques tels que des PC ou des serveurs se connectent à ce type de port. Si un concentrateur connecte plusieurs PC à un port d’accès unique, chaque périphérique connecté au concentrateur est un membre du même réseau local virtuel.

Port agrégé : Un port agrégé est une liaison point à point entre le commutateur et un autre périphérique réseau. Les agrégations transportent le trafic provenant de plusieurs réseaux locaux virtuels via une liaison unique et permettent à chaque réseau local virtuel d’atteindre l’intégralité d’un réseau. Les ports agrégés sont nécessaires à l’acheminement entre des périphériques de trafic provenant de plusieurs réseaux locaux virtuels, lors de la connexion de deux commutateurs, d’un commutateur et d’un routeur, ou d’une carte réseau hôte prenant en charge l’agrégation 802.1Q.

En l’absence de port agrégé, chaque réseau local virtuel requiert une connexion distincte entre les commutateurs. Par exemple, une entreprise qui possède 100 réseaux locaux virtuels requiert 100 liaisons de connexion. Ce type de configuration n’est pas très évolutif et coûte très cher. Les liaisons agrégées offrent une solution à ce problème en transportant du trafic provenant de plusieurs réseaux locaux virtuels sur la même liaison.

Lorsque plusieurs réseaux locaux virtuels utilisent la même liaison, ils requièrent une identification de réseau local virtuel. Un port agrégé prend en charge l’étiquetage de trames, procédure qui ajoute des informations de réseau local virtuel à la trame.

La norme IEEE 802.1Q est la méthode normalisée et approuvée d’étiquetage de trames. Cisco a développé un protocole propriétaire d’étiquetage de trames appelé Inter-Switch Link (ISL). Les commutateurs haut de gamme tels que la gamme Catalyst 6500, continuent à prendre en charge les deux protocoles d’étiquetage de trames. Cependant, la majorité des commutateurs de réseau local, tels que le modèle 2960, acceptent uniquement la norme 802.1Q.

L’agrégation permet aux réseaux locaux virtuels de transférer du trafic entre des commutateurs, à l’aide d’un port unique.

Une liaison agrégée dont les deux extrémités sont conformes à la norme 802.1Q autorise le trafic présentant une trame à laquelle un champ d’étiquette 4 octets a été ajouté. Cette étiquette de trame comprend l’ID de réseau local virtuel.

Lorsqu’un commutateur reçoit une trame étiquetée sur un port agrégé, il supprime l’étiquette avant d’envoyer la trame vers un port d’accès. Le commutateur transfère la trame uniquement si le port d’accès est un membre du même réseau local virtuel que la trame étiquetée.

Cependant, certains types de trafic doivent traverser la liaison 802.1Q dénuée d’ID de réseau local virtuel. Le trafic qui ne présente pas cet ID est dit non étiqueté. Le protocole CDP (Cisco Discovery Protocol), le protocole VTP et certains types de trafic vocal sont des exemples de trafic non étiqueté. Ce type de trafic réduit le délai associé à l’inspection de l’étiquette d’ID de réseau local virtuel.

Pour prendre en charge le trafic non étiqueté, un réseau local virtuel spécial appelé réseau local virtuel natif est disponible. Les trames non étiquetées reçues sur le port agrégé 802.1Q deviendront des membres du réseau local virtuel natif. Sur les commutateurs Cisco Catalyst, VLAN 1 est le réseau local virtuel natif par défaut.

Tous les réseaux locaux virtuels peuvent être configurés en tant que réseau local virtuel natif. Assurez-vous que le réseau local virtuel natif pour une agrégation 802.1Q est le même aux deux extrémités de la ligne agrégée. Si ce n’est pas le cas, des boucles Spanning Tree peuvent se former.

Sur une agrégation 802.1Q, utilisez les commandes suivantes pour affecter l’ID de réseau local virtuel natif sur une interface physique : Switch(config-if)#dot1q native vlan id-vlan

Routage entre VLAN

Même si les réseaux locaux virtuels s’étendent sur plusieurs commutateurs, seuls des membres du même réseau local virtuel peuvent communiquer entre eux.

Un périphérique de couche 3 fournit une connectivité entre différents réseaux locaux virtuels. Cette configuration permet à l’administrateur réseau de contrôler de façon stricte le type de trafic qui circule d’un réseau local virtuel à un autre.

Il est possible pour effectuer un routage entre des réseaux locaux virtuels d’utiliser une connexion d’interface distincte vers le périphérique de couche 3 sur chaque réseau local virtuel.

Une autre méthode requiert une fonctionnalité appelée sous-interfaces. Les sous-interfaces divisent de façon logique une interface physique en voies d’accès logiques multiples. Configurez une voie d’accès ou une sous-interface pour chaque réseau local virtuel.

Pour utiliser des sous-interfaces afin de prendre en charge les communications entre réseaux locaux virtuels (inter-VLAN), il est nécessaire de configurer le commutateur et le routeur.

Commutateur

  • Configurez l’interface de commutateur en tant que liaison agrégée 802.1Q.

Routeur

  • Sélectionnez une interface de routeur avec au moins 100 Mbits/s (FastEthernet).
  • Configurez des sous-interfaces prenant en charge l’encapsulation 802.1Q.
  • Configurez une sous-interface pour chaque réseau local virtuel.

Une sous-interface permet à chaque réseau local virtuel de posséder sa propre voie d’accès logique et sa passerelle par défaut dans le routeur.

L’hôte du réseau local virtuel expéditeur transfère le trafic vers le routeur à l’aide de la passerelle par défaut. La sous-interface du réseau local virtuel spécifie la passerelle par défaut pour tous les hôtes de ce réseau local virtuel. Le routeur localise l’adresse IP de destination et effectue un processus de recherche de la table de routage.

Si le réseau local virtuel de destination se trouve sur le même commutateur que le réseau local virtuel source, le routeur réachemine le trafic vers le commutateur source en utilisant les paramètres de sous-interface de l’ID de réseau local virtuel de destination. Ce type de configuration est souvent appelée router-on-a-stick.

Si l’interface de sortie du routeur est compatible avec la norme 802.1Q, la trame conserve son étiquette de réseau local virtuel à 4 octets. Si l’interface de sortie n’est pas compatible avec la norme 802.1Q, le routeur supprime l’étiquette de la trame et restaure le format d’origine Ethernet de la trame.

Protocole VTP

Au fur et à mesure que les réseaux s’agrandissent et gagnent en complexité, il devient essentiel de centraliser la gestion de la structure des réseaux locaux virtuels. Le protocole VTP est un protocole de messagerie de couche 2 qui fournit une méthode de distribution et de gestion de la base de données de réseau local virtuel à partir d’un serveur centralisé dans un segment de réseau. Les routeurs ne transmettent pas les mises à jour VTP.

Si un réseau d’entreprise comportant des centaines de réseaux locaux virtuels n’est pas géré automatiquement, chaque réseau local virtuel doit être configuré manuellement sur chaque commutateur. Toute modification apportée à la structure de réseau local virtuel requiert une configuration manuelle supplémentaire. Si un nombre n’est pas tapé correctement, des incohérences de connectivité peuvent se produire sur l’ensemble du réseau.

Pour résoudre ce problème, Cisco a créé le protocole VTP qui permet d’automatiser de nombreuses fonctions de configuration des réseaux locaux virtuels. Ce protocole garantit que la configuration est gérée de manière cohérente sur tout le réseau, et il réduit la tâche de gestion et de surveillance des réseaux locaux virtuels.

Avec le protocole VTP, chaque commutateur annonce des messages sur ses ports agrégés. Ces messages incluent le domaine de gestion, le numéro de révision de la configuration, les réseaux locaux virtuels connus et les paramètres pour chaque réseau local virtuel. Ces trames d’annonce sont envoyées à une adresse de multidiffusion, de sorte que tous les périphériques voisins puissent recevoir les trames.

Chaque commutateur VTP enregistre une base de données de réseau local virtuel dans la mémoire vive non volatile qui comprend un numéro de version. Si un protocole VTP reçoit un message de mise à jour dont le numéro de révision est supérieur à celui stocké dans la base de données, le commutateur met à jour sa base de données de réseau local virtuel avec ces nouvelles informations.

Le numéro de révision de la configuration VTP commence à zéro. À chaque changement effectué, ce numéro augmente d’un chiffre. Le numéro de révision continue d’augmenter jusqu’à 2 147 483 648. Une fois ce numéro atteint, le compteur est remis à zéro. Le redémarrage du commutateur réinitialise également le numéro de révision.

Si un individu insère dans le réseau un commutateur présentant un numéro de révision plus élevé sans auparavant redémarrer le commutateur, un problème se produira avec le numéro de révision. Les commutateurs étant par défaut des serveurs, des informations nouvelles, mais erronées, écrasent les informations de réseau privé virtuel légitimes sur tous les autres commutateurs.

Pour se protéger de cette situation critique, il suffit de configurer un mot de passe VTP pour valider le commutateur. Lors de l’ajout d’un nouveau commutateur sur un réseau existant, veillez à toujours redémarrer le commutateur immédiatement avant de l’ajouter au réseau, afin de réinitialiser le numéro de révision. Par ailleurs, si vous ajoutez un commutateur à un réseau qui comporte déjà un commutateur serveur, vérifiez que le nouveau commutateur est configuré en mode client ou transparent.

Les messages VTP se présentent de diverses manières : annonces de type résumé, annonces de type sous-ensemble et requêtes d’annonces.

Annonces de type résumé : Les commutateurs Catalyst émettent des annonces de type résumé toutes les 5 minutes ou à chaque changement dans la base de données de réseau local virtuel. Les annonces de type résumé contiennent le nom de domaine VTP et le numéro de révision de la configuration.

Si des réseaux locaux virtuels sont ajoutés, supprimés ou modifiés, le serveur augmente le numéro de version de la configuration et émet une annonce de type résumé.

Lorsqu’un commutateur reçoit un paquet d’annonces de type résumé, il compare le nom de domaine VTP à son propre nom de domaine VTP. Si ces noms sont identiques, le commutateur compare le numéro de révision de la configuration à son propre numéro. S’il est inférieur ou égal, le commutateur ignore le paquet. Si le numéro de révision est supérieur, une demande d’annonce est envoyée.

Annonces de type sous-ensemble : Une annonce de type sous-ensemble suit l’annonce de type résumé. Elle comprend une liste des informations du réseau local virtuel.

L’annonce de type sous-ensemble : comprend les nouvelles informations de réseau local virtuel basées sur l’annonce de type résumé. Si plusieurs réseaux locaux virtuels sont présents, ils requièrent plusieurs annonces de type sous-ensemble.

Requêtes d’annonces : Des clients VTP utilisent des demandes d’annonces pour obtenir des informations de réseau local virtuel. Les requêtes d’annonces sont requises si le commutateur a été réinitialisé ou si le nom de domaine a été modifié. Le commutateur reçoit une annonce de type résumé VTP dont le numéro de révision de la configuration est supérieur au sien.

3 types de VLAN

Couche 1 : par média physique affectation de port sur le switch

Couche 2 : Affectation par Adresse MAC (telles adresse MAC sur tel VLAN)

Couche 3 : Affectation par adresse IP

L’intérêt des VLAN est d’empêcher les broadcast sur les autres VLAN du même Switch. Dans le cas de plusieurs Switch et VLAN, l’un des ports de chaque switch est configuré pour le trafic inter VLAN, il y a un tags supplémentaire sur la trame pour indiquer que ce ne c’est pas une Ethernet, on dit que le port est en mode trunk.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :