Personal tools
You are here: Home Sem. 3 Notions sur les VLANs
Navigation
Google Ads


 
Document Actions

Notions sur les VLANs

by francois — last modified 2006-07-05 17:31 François Goffinet

A priori, un commutateur fournira une segmentation des domaines de collision sur chaque port, tous les ports faisant partie d'un seul et même domaine de broadcast. Un LAN Virtuel (VLAN) est le résultat d'une segmentation "virtuelle" de couche 3 opérée sur un commutateur. On divisera logiquement des ports d'un ou plusieurs commutateurs comme faisant partie de LANs (au sens de la couche réseau) différents. Ce mécanisme est réalisé par une encapsulation supplémentaire sur les trames qui traversent les commutateurs. Il est totalement transparent pour les utilisateurs car l'encapsulation disparait à la sortie des commutateurs. On étudiera ici le protocole VLAN IEEE 802.1q. On se contentera de citer ISL (Inter-Switch Link) proporiétaire Cisco, LANE (LAN Emulation) sur ATM et IEEE 802.10 sur du FDDI comme autres solutions VLAN.

I. Concepts


I.1. Introduction


L'utilisation des VLANs présente le principal avantage de délocaliser géographiquement sur les switches la segmentation des domaines de broadcast. Par exemple,  il s'agirait de permettre la coexitence de plusieurs groupes de travail fonctionnels faisant partie de réseaux différents sur le même niveau d'étage par l'intermédiaire d'un seul commutateur. Les stations d'un même groupe de travail pourraient communiquer entre elles d'étage en étage grâce une liaison spéciale appelée VLAN Trunk. Les différents VLANs communiqueraient entre eux grâce au routage puisqu'il s'agirait de domaines de broadcast différents.

Topologie avec routage intervlan


Comme on le sait, le matériel de couche 2 -ici les commutateurs- ne filtrent pas les broadcast même s'ils limitent les domaines de collision et dédient la bande passante en Full Duplex de bout en bout.  Or on sait que le broadcast diminue les performances au sein des réseaux (ARP, adresses MAC inconnues, vidéo, etc.). L'utilisation des VLANs est donc une solution efficace dans la limitation des broadcast.

Enfin, un dernier avantage est la sécurité supplémentaire puisque la segmentation de couche 3 permet d'établir des règles logiques de filtrage dans le routage.

Bref, efficience, optimisation et sécurité présentent des avantages techniques mais aussi des avantages économiques indéniables. Toutefois, en pratique, l'implémentation et le maintien des VLANs n'est pas chose aisée.

On trouvera différents types d'implémentations, à savoir :

  • Les VLANs statiques ou dits "port-based" ou "port-centric" : un port de commutateur apartient "statiquement" à un VLAN. Ce type de configuration nécessite un configuration manuelle de chaque port.
  • Les VLANS dynamiques : où l'attribution d'un VLANs est effectuée dynamiquement sur base d'une adresse physique (MAC), logique (IP) ou de crédits quelconques (IEEE 802.1x). Ce type d'implémentation est la plus coûteuse ...

I.2. Fonctionnement des VLANs


I.2.a. Le tagging


Le fonctionnement des VLANs inter-opérables IEEE 802.1q répondent au principe de l'étiquettage des trames (tagging) par l'ajout dans les trames d'un "tag" de 4 octets ou 32 bits dont 12 bits sont consacrés au numéro de VLAN (voir IEEE 802.1q Frame Format). Sur un ou plusieurs swiches, seuls les trames possédant ce même numéro peuvent communiquer ensemble d'un commutateur à l'autre. Un trame entrant sur un port de commutateur est "étiquettée" si elle doit passer à un autre commutateur via un port Trunk. Cette étiquette ne sera retirée que lorsque la trame sera commutée vers la destination finale dans le bon VLAN.

I.2.b. Les modes des ports


Sur un commutateur, on distinguera les ports dits "access" des ports dits "trunk". Un port "access" est un port qui ne transportera des informations que d'un seul VLAN. A priori, ce type de port connectera une station. Un port "trunk" est un port qui transportera des informations de plusieurs VLANs. On y connectera un autre commutateur, un routeur ou même la carte réseau 802.1q d'un serveur.  Autrement dit, un port "access" n'est pas un port "trunk" et inversément. Toutefois, sur les switches Cisco on aura la possibilité de configurer le port en mode dynamique grâce au Dynamic Trunk Protocol (DTP, protocole point à point propriétaire Cisco).

I.2.c. les différents types de VLANs


VLAN 1
Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous les ports, y compris les ports de "management". En plus, une série de protocoles de couche 2 comme CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et DTP doivent impérativement transiter à travers ce VLAN spécifique. Pour ces deux raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office.

On trouvera quatre types de VLANs :

  • VLAN par défaut (Default VLAN)
  • VLANs utilisateur (User VLAN)
  • VLAN de management (Management VLAN)
  • VLAN natif (Native VLAN)

VLAN par défaut
Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.

VLAN utilisateur
On dira que ce type de VLAN est un VLAN "normal" dans le sens où il est celui qui a été configuré pour rendre une segmentation logique du commutateur dans le cadre de l'utilité des VLAN. La numérotation des VLANs est disponible sur 12 bits. Ceci dit, chaque modèle de switch aura ses limites en nombre total à créer et à gérer.

VLAN de management
Il s'agit d'un VLAN spécifique attribué au commutateur pour qu'il devienne accessible via une adresse IP (ICMP, Telnet, SNMP, HTTP). Dans les bonnes pratiques de configuration, on le distinguera du VLAN par défaut, d'un VLAN utilisateur ou du VLAN natif. Dans le cas d'une tempête de broadcast ou d'un soucis de convergence avec Spanning-Tree, l'administrateur devrait toujours avoir accès au matériel pour résoudre les problèmes. Aussi, une bonne raison de séparer le VLAN de management des autres tient au fait évident de séparer logiquement les périphériques "dignes de confiance" des autres. Il s'agit alors d'appliquer les règles de sécurité nécessaires afin d'éviter, par exemple, que des utilisateurs classiques accèdent au matériel. Qu'il existe ou non une interface physique appartenant au VLAN de management désigné, on joindra le commutateur par IP via une interface virtuelle de type VLANx. Tous ports "access" associés à ce VLANx répondent pour l'interface virtuelle VLANx.

VLAN natif
La notion de VLAN natif n'intervient que lorsque l'on configure un port Trunk. Quand un port est configuré en tant que tel, le switch "étiquette" la trame avec le numéro de VLAN approprié. Toutes les trames passant par un Trunk sont ainsi étiquettées sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas étiquettées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le "tagging". Aussi, les protocoles de contrôles tels que CDP, VTP, PAgP et DTP sont toujours transmis par le VLAN1. Le fait de changer le VLAN natif va faire en sorte que ce traffic sera alors "étiquetté" VLAN 1, ce qui ne pose aucun problème. Enfin, on évitera d'utiliser le VLAN 1 comme VLAN utilisateur ou de management. Sur le routeur, on définira malgré tout le VLAN natif (VLAN 1, par défaut).

I.2.d. Spanning-tree


Il y aura une instance spanning-tree par VLAN. Aussi, il sera conseillé de configurer les ports "access" en spanning-tree portfast.

I.3. Illustrations

A compléter.

I.4. Configuration et diagnostic

A compléter.

II.Protocoles associés


II.1. VLAN Trunking Protocol (VTP)


VTP est un protocole propriétaire Cisco servant à maintenir la base de donnée de VLANs  sur plusieurs commutateurs. Tout au plus VTP va-t-il ajouter, supprimer ou modifier des ID VLAN ... Il ne permettra en aucun cas de configurer les ports de manière centralisée !

Deux éléments sont nécessaires au bon fonctionnement de VTP :

  • Définir un nom de domaine VTP (appelé aussi domaine de gestion). Ne participent à cette gestion que les commutateurs qui appartiennent à un même domaine.
  • Définir pour chaque commutateur un rôle : soit client, soit transparent, soit, pour un seul d'entre eux, server.
Chaque opération à partir du serveur VTP sera répercutée sur les clients VTP. Le mode transparent laissera le commutateur indifférent à toutes ces opérations. Mais à quoi sert-il de ce cas ? Simplement, il assure la connectivité VTP du serveur vers les clients.

Les messages VTP sont appelés "VTP Advertisements". Ceux-ci ont sont identifiés par un numéro de révision.  Le numéro de révision le plus élevé sera celui qui modifiera la base de donnée VLAN. Ce mécanisme maintient les informations VTP à jour.

En bref :

  • Un seul commutateur est configuré en mode server. Dans un même domaine VTP défini, il sera le seul autorisé à créer, modifier ou effacer des VLANs. Ces opérations seront répercutées sur tous les clients.
  • Les commutateurs configurés en mode client subissent toutes les opérations de modification de VLANs à partir du serveur VTP. Ils sont dans l'incapacité d'effectuer ces opérations eux-mêmes.
  • Les commutateurs configurés en mode transparent ne servent seulement qu'à faire transiter les informations VTP d'un commutateur à l'autre. Toutefois, ils pourront modifier leur base de données VLAN à leur guise, mais celle-ci leur restera intime, autrement dit, sans répercution auprès des autres commutateurs, "localy significant".


Par exemple, dans la figure ci-dessus, des opérations VTP venant du serveur VTP (Switch1) ne parviendraient pas au client VTP (Switch3) car le Switch2 ne serait pas dans le domaine approprié ("cisco") dans le mode client ou transparent.

On trouvera des informations complémentaires sur cette page : Understanding and Configuring VLAN Trunk Protocol (VTP).

II.2. Dynamic Trunk Protocol (DTP)


A compléter.
Powered by Plone CMS, the Open Source Content Management System

This site conforms to the following standards: