Les VLANs:
- Un VLAN ou réseau virtuel s'apparente à un
regroupement de postes de travail indépendamment de la localisation
géographique sur le réseau.
- Les VLAN n'ont été réalisables qu'avec
l'apparition des commutateurs.
- Ils permettent de constituer autant de
réseaux logiques que l'on désire sur une seule infrastructure physique,
réseaux logiques qui auront les mêmes caractéristiques que des réseaux
physiques.
- Un VLAN est groupement logique d’unités ou
d’utilisateurs. Le groupement peut être fait par fonction, par service ou
par application.
- Un VLAN = un domaine de broadcast = un
segment réseau(subnet) crée par un ou plusieurs commutateurs.
Segmentation sans VLAN :
- Les types de VLAN
- Il existe plusieurs méthodes de
construction des VLAN :
-
par
port
-
par
adresse IEEE
-
par
protocole
-
par
sous-réseau
- VLAN par port (port-based VLAN)
- Un VLAN par port(VLAN de niveau 1 ou
statique)
-
l’administrateur affecte un ou plusieurs ports
à un VLAN
-
Le switch détermine le VLAN des trames à
partir des ports sur lesquels elles arrivent
- Si un utilisateur se déplace vers un autre
port
-
le changement du réseau est transparent pour
l’utilisateur
-
mais, il faut gérer le changement manuellement
- Si un port est relié à un segment(ou hub):
tout ce segment est associé à ce même VLAN
- Par défaut, le VLAN1 est tjrs le VLAN de
gestion et ne peut être supprimé. Au moins un des ports doit être dans ce
VLAN.
- L’@ IP du switch est associée par défaut
au VLAN1
- Méthode de configuration la plus utilisée
et la plus sécurisée
Les VLANs par
port :
Les VLANs par adresse MAC(de niveau 2) :
- Chaque carte MAC est gérée
individuellement
ü chaque switch maintient une
table @MAC->VLAN
ü il faut initialiser les
tables (VLAN par défaut)
- Le switch détermine le VLAN de chaque
trame à partir de l’@ source ou destination
- Quand un utilisateur se déplace vers un
autre port(mobilité)
ü son VLAN reste le même, sans
aucune modification
ü modification physique=>
aucune modification logique
- Différents VLAN possibles sur un même
segment
ü mais les machines peuvent
communiquer entre elles si Hub
- Utiliser une base de données pour le
mapping entre les @ MAC et le numéro de VLAN -> nécessite un logiciel
d’administration (ex: Cisco works)
- Rarement implémentée aujourd’hui car difficile à administrer et à dépanner
Les VLANs par protocole :
- Un VLAN par protocole, ou VLAN de niveau
3, est obtenu en associant un réseau virtuel par type de protocole
rencontré sur le réseau. On peut ainsi constituer un réseau virtuel pour
les stations communiquant avec le protocole TCP/IP, un réseau virtuel pour
les stations communiquant avec le protocole IPX, ...
- Dans ce type de VLAN, les commutateurs
apprennent automatiquement la configuration des VLAN. Par contre, elle est
légèrement moins performante puisque les commutateurs sont obligés
d'analyser des informations de niveau 3 pour fonctionner. (switch de
niveau 3)
- Les VLAN par protocole sont surtout
intéressant dans des environnements hétérogènes multi-protocoles (Novell
Netware avec IPX, Unix avec TCP/IP, Macintosh avec Appletalk...). La
généralisation de TCP/IP leur a fait toutefois perdre de l'intérêt.
Les VLANs par sous-réseau :
- Également appelé VLAN de niveau 3 et
variante des précédents, un VLAN par sous-réseau utilise les adresses IP
sources des datagrammes émis.
- Un réseau virtuel est associé à chaque
sous-réseau (Subnet IP).
- Peu utilisée car adressage dynamique avec
le DHCP
- Mode de fonctionnement le moins performant
, car le commutateur doit accéder à l’@ de niveau 3
VLAN: les avantages
- Segmentation du réseau local flexible
-
regrouper les utilisateurs/ressources qui
communiquent le plus fréquemment indépendamment de leur emplacement. On peut
facilement créer d’autres segments ou diviser le segment contenant un grand
nombre de machines
- Organisation virtuelle, gestion simple des
ressources
-
modification logique facilitée et gérée via la
console
-
Architecture évolutive
- Efficacité de bande passante/utilisation
des serveurs: limitation des effets des inondations de broadcasts, partage
possible d’une même ressources par plusieurs VLAN
- Sécurité réseau améliorée
-
VLAN=
frontière virtuelle, franchissable par routeur
VLAN: Problèmes
- Communication de VLAN sur des switch
différents
-
concept de trunk => deux types de ports:
port en mode accès et port trunk
-
Marquage
des trames
- Configuration des VLAN sur des switch
différents:
-
GVRP(Guard VLAN Registration Protocol)
normalisé
-
VTP:
le commutateur doit être en mode serveur VTP pour créer, ajouter ou supprimer
des VLAN (Cisco)
- Communication inter VLAN
-
Routage: à l’aide d’un routeur ou d’un switch
de niveau 3.
Concept de trunking :
-
Un
lien trunk est un canal de communication entre 2 VLAN différents
-
Un lien trunk sert de conduit VLAN entre les
switch et les routeurs. Il permet de multiplexer des trafics de plusieurs VLANs
sur le même lien physique.
-
Un port trunk (port taggé) appartient à tous
les VLAN
-
Un
port en mode accès appartient à un seul VLAN. Sur ce port est attaché une
machine utilisateur ou un serveur. Les trames échangées sur une liaison en mode
accès ont le même aspect que les trames Ethernet.
-
Le
trunking utilise le mécanisme de tagging pour échanger les informations
sur les VLAN
Les VLANs : Marquage
·
Le
marquage permet de reconnaître le VLAN d'origine d'une trame.
·
Dans
le cas d'un VLAN par port, le transfert d'une trame vers un autre commutateur
ne conserve pas d'information sur l'appartenance à tel ou tel VLAN. Il est
nécessaire de mettre en oeuvre un marquage explicite des trames
·
Dans
le cas d'un VLAN par adresse IEEE, il est possible d'envisager que la table de
correspondance entre les adresses IEEE et les numéros de VLAN soit distribuée
sur tous les commutateurs. C'est une solution lourde à laquelle on peut
préférer un marquage explicite
·
Plusieurs
solutions constructeurs ont été proposées telles
-
VTT(Virtual
Tag Trunking) de 3Com
-
ISL(InterSwitch
Link Protocol) de CISCO, toutes incompatibles entre elles.
-
l'IEEE
a défini une norme de définition des VLAN sous la référence 802.1p et 802.1q.
QOS sur Ethernet :
- Normes IEEE 802.1p et IEEE 802.1q
-
définissent des extensions pour
l’interopérabilité des VLANs
-
la QOS au niveau MAC, appelée COS(Class Of
Service) norme 802.1p
- Étendent le format de la trame Ethernet
-
ajout de 4 octets pour spécifier le tag
-
cette étiquette est ajoutée par le switch
-
compatibilité Ethernet
La QOS au niveau 2: 802.1p :
- Avec 802.1q, un champ est à la fois pour
gérer les VLAN et les classes de services (802.1p). Mais les trames sont
reformatées en 802.3 lorsqu’elles sont redirigées vers un port de sortie.
- 7 classes de service (champ de 3 bits) :
-
0 =
Best effort
-
1 =
Background
-
2 =
Réservé (spare)
-
3 =
Excellent effort (business critical)
-
4 =
Application à contrôle de charge (streaming multimedia)
-
5 =
Vidéo (interactive media), moins de 100ms de latence et jitter
-
6 =
Voix (interactive media), moins de 10ms de latence et jitter
-
7 = Network
control reserved traffic
Structure du tag 802.1q :
- TPID(Tag Protocol Identifier) sur 2 octets
-
0x8100 pour les trames taggées
- TCI(Tag Control Information) sur 2 octets
-
3 premiers bits: user priority (802.1p)=>
8niveaux de priorité. De nombreuses implémentations permettent le mapping de
TOS d’IP sur COS.
-
1 bit CFI(Canonical Format Indicator) : 0 pour
Ethernet
-
12 bits pour le VID
-
0 => VID non utilisé
-
1=> valeur par défaut de VLAN
Trame marquée :
Types de trames :
ü Trame non taggée
-
absence de tag dans la trame
-
Trame
taggée de priorité
-
TPID=0x8100 et VID=0 => trame ne transporte
que des infos de priorité
ü Trame taggée de VLAN
-
TPID=0x8100, CFI=0 et VID entre 1 et 4096
ü Les ports d’accès sont non taggés et les ports trunk sont taggés
Types de VLAN :
- Il existe plusieurs termes pour désigner
les VLAN. Certains termes définissent le type de trafic réseau transporté,
tandis que d’autres décrivent une fonction spécifique remplie par le VLAN.
-
VLAN de données(utilisateur): séparer les données
utilisateur des données de contrôle, de gestion des commutateurs et du trafic
vocal
-
VLAN vocal: prend en charge la VoIP
-
VLAN
par défaut: tout type de trafic, trafic de contrôle(STP); tous les autres VLAN
sont membres du VLAN 1
-
VLAN natif: les ports trunk appartiennent à ce
vlan ou ports non taggés
·
switchport
mode trunk ! placer un port en mode trunk.
·
switchport
trunk native vlan v! spécifier le VLAN natif du port trunk
-
VLAN de gestion: VLAN de gestion: n’importe
quel VLAN configuré pour accéder aux fonctions de gestion sur un commutateur.
On affecte une adresse IP et un
masque de sous-réseau au VLAN de gestion
Le
switch est accessible via une @IP par Telnet, SNMP, HTTP
Règles de retransmission des trames :
- La retransmission d’une trame Ethernet par
un commutateur s’effectue selon les règles suivantes :
-
1.
Lorsqu’une trame est reçue sur l’un des ports du commutateur, celui-ci la
retransmet telle quelle sur tous les ports en mode access affectés au même
VLAN, et la retransmet également sur tous les ports en mode trunk en la
marquant (trame 802.1Q) sauf si le VLAN d’origine correspond au VLAN natif du
port trunk (ceci permet de minimiser le coût lié à l’encapsulation lorsqu’une
majorité du trafic circule sur le même VLAN).
-
2.
Lorsqu’une trame taggée 802.1Q est reçue sur un port configuré en mode trunk,
le commutateur retransmet la trame Ethernet sur tous les ports en mode access
affectés au même VLAN et retransmet la trame 802.1Q telle quelle sur les autres
ports en mode trunk.
-
3.
Lorsqu’une trame Ethernet est reçue sur un port configuré en mode trunk, le
commutateur retransmet la trame telle quelle sur tous les ports en mode access
affectés au VLAN natif du port trunk.
Configuration des VLAN: VTP
Le rôle de VTP est de maintenir la
consistance des informations entre les switch
VTP est un protocole de messagerie
qui utilise les trames d’agrégation de niveau 2 pour la MAJ des VLAN
Routage inter VLAN :
Chaque VLAN est assimilé à un sous
réseau.
A l’instar d’une communication entre
deux sous-réseaux IP, celle entre deux VLAN différents nécessite un routeur.
Lorsque le routeur reçoit la trame
taggée avec VID du vlan1, il prend une décision de routage et retransmet la
trame sur le même lien physique , mais avec le VID du vlan2.
- Les trunk peuvent être utilisés:
-
Entre 2 commutateurs
-
Entre un commutateur et un hôte
ü Si un hôte supporte le trunking, il a la possibilité d'analyser le
trafic de tous les VLAN
-
Entre
un commutateur et un routeur
ü Permet d'accéder aux fonctionnalités de routage entre des VLAN
Sous interfaces logiques :
Pour éviter d’interconnecter les
VLAN par un routeur; le serveur doit être doté de plusieurs cartes chacune
appartenant à un VLAN.
Pour les petits et moyen réseaux
(moins de 800 postes) sans liens gigabit, on peut envisager un routeur pour
interconnecter quelques VLAN. Au-delà de ces restrictions, le commutateur de
niveau 3 s’impose. Le routage n’est nécessaire qu’au niveau du réseau
fédérateur.