Les réseaux privés virtuels « VLAN » (Virtual Local Area Network) permettent de faire une segmentation logique au sein de votre réseau informatique.

Cette segmentation va permettre de séparer les différents éléments du réseau par exemple et ainsi pouvoir mieux identifier les différents groupes d’équipements ou d’utilisateurs. On va pouvoir grâce à cette technologie améliorer la sécurité entre ses différentes catégories en implémentant des listes d’accès dans un routeur entre les différents VLAN pour permettre ou non la communication entre eux.

On va pouvoir réduire ainsi la taille des différents domaine de broadcast. Chaque VLAN aura donc son propre domaine de broadcast.

 

 

 

En effet, avant l’apparition des VLAN, il y’avait qu’un seul domaine de broadcast et tous les éléments du réseau étaient dans le même « groupe ». Maintenant, grâce aux VLAN on peut séparer les différents flux pour séparer par exemple le trafic des personnes qui travaillent aux finance et celui des ressources humaines ou encore séparer les équipements de type ordinateurs et ceux de type imprimantes. Avant il fallait séparer physiquement les équipements et les connecter sur des switchs différents pour pouvoir séparer le trafic de chaque entité mais avec les VLAN on peut ainsi s’affranchir de cette séparation physique et faire une séparation logique au sein du même switch.

vlan

 

 

Tous les switchs ne permettent cependant pas d’avoir plusieurs VLAN. Les switchs « grand public » non manageable ne permettent pas cette segmentation, en revanche la plupart des switchs « professionnels » permettent de configurer plusieurs VLAN.

Switch « grand public » sans possibilité de configurer des VLAN

 

 

 

2960x

Switch « professionnel » avec possibilité de créer des VLAN

 

 

 

 

Pour chaque vlan on va avoir un sous-réseaux séparé. Les équipements qui sont connectés au même VLAN auront donc le même plan d’adressage pour pouvoir communiquer.

 

 

 

 

 

Pour qu’un équipement soit configurés dans un certain vlan, la méthode qui est principalement utilisé aujourd’hui est le port tagging, c’est-à-dire le vlan par port. On va configuré un port sur un switch comme faisant partie d’un VLAN et donc l’équipement qui sera connecté sur ce port fera parti de ce VLAN. Comme je l’ait dit plus haut, sur un même switch on va pouvoir configurer plusieurs VLAN et ensuite affecter plusieurs groupes de ports à ces différents VLAN.

 

Ensuite lorsque l’on va vouloir connecter le switch à un autre équipement comme un routeur ou encore un autre switch, il va falloir utiliser un port spécial appelé « Trunk ». Ce port trunk est un port qui va pouvoir transporter plusieurs VLAN. Comme on l’a vu, chaque port d’accès sur un switch est affecté à un VLAN, cependant lorsque l’on va connecter ce switch à un autre on ne va pas affecter un vlan a ce port d’uplink sinon les autres vlan ne pourront pas communiquer avec l’autre switch. Il va donc falloir configurer le port comme étant un trunk et donc ce port n’appartiendra à aucun vlan mais sera plutôt comme une sorte du tunnel qui va permettre la passage de plusieurs VLAN.

 

trunk

 

 

 

Le standard qui utilisé est le 802.1Q. Il à été crée en 1999 par l’IEEE. Il permet de modifier la trame Ethernet pour ajouter un champ spécifique au VLAN.

 

 

 

On va donc ajouter 4 nouveaux paramètres :

  • TPID (Tag Protocol Identifer) : Les 16 premiers bits indiquent le protocole utilisé. Dans le cas du 802.1Q, cette valeur est 0x8100.
  • Priority : Ce champs de 3 bits permet de spécifier une priorité au VLAN. Il fait référence au standard IEEE 802.1p
  • CFI (Canonical Format Identifier) : Ce champs permet d’assurer la compatibilité entre les adresses MAC Ethernet et Token Ring.
  • VID (Vlan Identifier) : Ce champs de 12 bis permet d’identifier la VLAN propagé.

 

 

 

Configuration d’un VLAN sur un switch Cisco

Comme je l’ait dit plus haut, les switchs professionnels comme par exemple les switchs Cisco permettent la création de différents VLAN. Nous allons voir ici quelques procédures basiques par rapport aux VLAN à savoir comment créer un VLAN sur un switch, comment affecter un port à un VLAN et comment crée un trunk.

 

Création d’un VLAN

Switch#configure terminal
Switch(config)#vlan 8
Switch(config-vlan)#name Finances

 

Dans cette première section on va donc entrer le numéro du VLAN que l’on veut créer et ensuite on va lu donner un nom. Par défaut si l’on n’entre pas de nom le VLAN aura comme identifiant VLAN0008. Il est cependant plus pratique de donner un nom au VLAN pour savoir rapidement son utilité.

 

 

Affecter un port à un VLAN

Switch(config)#interface GigabitEthernet0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 8

 

Dans cette seconde partie, on va donc entrer sur la configuration de l’interface que l’on veut affecter à un VLAN. la commande « switchport mode access » signifie que l’on veut configurer le port en tant que port d’accès pour connecter un équipement client contrairement à un port d’uplink qui va se connecter à un autre switch ou un routeur. Finalement on configurer le numéro du VLAN que l’on veut affecter à l’interface.

 

 

Configuration d’un port Trunk

Switch(config)#interface GigabitEthernet0/24
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 8

 

Dans cette dernière section, on va configurer un port en trunk. On entre pour cela la commande « switchport mode trunk » pour indiquer que c’est un port trunk et non un port d’accès. Finalement on configure la liste des VLAN qui seront autorisés à transiter par cette interface. On peut indiquer plusieurs VLAN en les séparant par une virgule.