VLAN
VLAN
VLAN
1 INTRODUCTION
3 GENÈSE DES VLANS
4 DÉFINITION DES VLANS
5 LES DIFFÉRENTS TYPES DE VLANS 9
5.1 LES VLANS PAR PORT 9
5.1.1 Avantages
5.1.2 Inconvénients
5.2.1 Avantages
5.2.2 Inconvénients
5.3.3 Avantages
5.3.4 Inconvénients
5.4 LE MULTICAST IP
7.3.4 Encapsulation
8.4 SéCURITé
9 LES VLANS ET LE DHCP
9.1 RAPPEL SUR LE PROTOCOLE DHCP
15.2.1 Standards
15.2.2 Constructeurs
16 INDEX
17 ANNEXES
17.1 ANNEXE I : COORDONNÉES DES CONSTRUCTEURS D´ÉQUIPEMENTS VLANS
Au début des années 90, les réseaux ont vus les traditionnels ponts à deux ports disparaître en faveur des routeurs.
Ceux-ci permettaient en effet de segmenter les réseaux au niveau 3 du modèle OSI et en plus de contenir les
broadcasts. Dans les réseaux n’utilisant que les routeurs pour leur segmentation, les segments et les domaines de
broadcasts correspondaient à l’identique. Un segment pouvait regrouper entre 30 et 100 utilisateurs.
Avec l’apparition des switchs, il fut possible de diviser les réseaux en de plus petits segments de niveau 2 avec une
bande passante plus importante par segment. Les routeurs restaient nécessaires pour contenir les broadcasts, mais les
domaines de broadcasts pouvaient à présent regrouper différents segments switchés. Les domaines de broadcasts
pouvaient alors contenir facilement 500 utilisateurs. Toutefois même si les switchs de plus en plus nombreux
permettent de segmenter les réseaux, il n’en reste pas moins nécessaire de contenir les broadcasts.
Grâce aux Vlans il ne sera plus indispensable d’utiliser des routeurs simplement pour contenir les broadcasts,
puisqu’en effet la fonctionnalité Vlan va aussi permettre aux switchs de contenir les broadcasts.
Il apparaît que l´ évolution des réseaux locaux vers des LANs switchés en remplacement des LANs à base de
routeurs et même de hubs continuera de s'accentuer dans l'avenir. De plus la baisse des prix des switchs favorise
cette évolution et par conséquent l’essor des Vlans au sein des LANs switchés.
Cependant on peut s’étonner que les Vlans ne soient pas plus utilisés dans les réseaux locaux. Ceci est dû à plusieurs
raisons :
Les réseaux locaux switchés de grande importance ne sont pas encore très nombreux.
Les Vlans étaient au tout début des solutions propriétaires à chaque constructeur, et malgré leur
normalisation cet état de fait continue par les particularités de chaque constructeur ajoutée dans leur
solution.
Néanmoins les Vlans offrent des intérêts non négligeables c’est ce que nous allons voir par la suite.
Il nous reste à voire à présent comment ces concepts sont appliqués dans les différentes types de Vlans.
Le multicast IP.
Comme nous le voyons ci-dessus les critères pour définir les Vlans sont variés. Nous pourrons ainsi définir des
groupes de travail en fonction de ces différents critères.
Nous pouvons aussi signaler que les Vlans par application sont actuellement en cours de développement, il se
pourrait donc qu’ils apparaissent dans l’avenir . Comme son nom l’indique, les groupes de travail se formeraient
donc selon l’application utilisée, et contrairement aux Vlans existants à l’heure actuelle, nous serions dans les
couches élevées du modèle OSI.
1. Les VLANs par port
C’est le type de Vlan le plus usuel aujourd’hui. Les Vlans par port sont définis en fonction des ports des switchs. Le
principe est d’associer un port d’un switch à un Vlan.
Il y a eu deux versions de Vlan par port :
Il y a eu tout d’abord une première génération qui ne pouvait s’implémenter que sur un seul switch à la
fois.
Nous avons ici défini deux Vlans sur un switch. Toutes les stations sur les ports 1, 2, 7 et 8 font parties du
VLAN A, et toutes les stations sur les ports 3, 4, 5 et 6 font partie du VLAN B. Nous avons créé ainsi deux
groupes de travail, et donc deux domaines de broadcasts distincts.
La première génération se limitant à un seul switch, c’est tout naturellement qu’est apparue la
deuxième génération de Vlans par port qui pouvait s´implémenter sur plusieurs switchs à la fois.
Nous avons dans cet exemple encore un fois défini deux groupes de travail, sous la forme des VLAN A et VLAN B.
Ici les stations membres de chaque VLAN sont réparties sur deux switchs distincts mais appartenant au même LAN.
Toutes les stations appartenant aux ports 1 et 2 du switch 1 et aux ports 4, 5, 6, et 7 du switch 2 forment le VLAN A.
De même toutes les stations appartenant aux ports 3 à 8 du switch 1 et aux ports 1, 2, 3, et 8 du switch 2 forment le
VLAN B.
L’exemple ci dessus ne comprend que deux switchs et deux Vlans, mais les Vlans par port peuvent être appliqués à
un nombre bien plus important de switchs et de Vlans. Toutefois le nombre de Vlans qu’il est possible
d’implémenter dépend du switch considéré, car cela dépend en effet du modèle et du constructeur. Il faut noter que
la norme limite le nombre de Vlan à 4095, ce qui est respecté par la majorité des constructeurs.
1. Avantages
Le principal avantage des Vlans par port est qu’ils sont facile à configurer et donc à mettre en place. C´est sûrement
ce qui en a fait le type de Vlan le plus usuel. De plus aujourd’hui les outils de gestion de Vlans sont souvent
graphiques ; il suffit de désigner le port d’un switch avec la souris et de l’associer à un Vlan. Ces outils seront vus de
façon plus précise ultérieurement.
2. Inconvénients
Le défaut majeur des Vlans par port est qu’un port ne peut appartenir qu’à un seul Vlan. De plus, ce sont tous les
éléments présents sur le port qui sont associés au Vlan, il n’est pas possible de les distinguer. Toutefois si on regarde
les schémas précédents, on observe qu’en majorité sur un port il n’y a qu’une station. Cela correspond à l’évolution
actuelle des réseaux. En effet, le prix du port des switchs ayant considérablement baissé, les ports sont de plus en
plus dédiés à une seule station. Cette évolution favorise aussi l’essor des Vlans.
L’autre défaut des Vlans par port est qu’ils requièrent une administration suivie dans le sens où si un utilisateur
change de port ou de switch il faut reconfigurer le Vlan en conséquence.
2. Les VLANs par adresses MAC
Ce type de Vlan a suivi logiquement aux Vlans par port, puisqu’il a permis de remédier aux inconvénients de ces
derniers. En effet, comme on peut le deviner ce type de VLAN est basé sur les adresses MAC. Or les adresses MAC
sont définies de façon à ce qu’elles soient uniques au monde. Il est en théorie impossible de trouver deux éléments
ayant la même adresse MAC. L’adresse MAC est codée sur 6 octets : les 3 premiers octets correspondent au
constructeur de l’élément, et les 3 derniers octets servent à désigner l’élément. Il est donc possible grâce à l’adresse
MAC d’un élément de le désigner sans erreur possible.
Les Vlans par adresse MAC vont donc utiliser cette unicité des adresses MAC pour désigner les éléments d’un Vlan.
Voyons cela par un exemple :
Les adresses MAC ci-dessus sont bien évidemment fictives, elles ne désignent aucun cas un élément existant ni
aucun constructeur en particulier.
Comme on peut le voir dans ce tableau il suffit d’associer une adresse MAC à un Vlan. Il est ainsi aisé de créer les
groupes de travail en désignant les individus appartenant à chaque groupe de façon individuelle. Cela n’était pas
possible lorsqu’il y avait plusieurs stations sur le même port d’un switch en utilisant les Vlans par port. De plus un
élément peut appartenir à plusieurs Vlans en utilisant les Vlans par adresse MAC, ce qui n’était pas non plus
possible avec les Vlans par port. Ceci est d’autant plus utile dans le cas de serveurs. En effet, si on veut que des
membres de différents Vlans puissent avoir accès à un même serveur il va être primordial que ce serveur puisse
appartenir à plusieurs Vlans.
1. Avantages
L’atout majeur des Vlans par adresse MAC vient de leur façon de désigner de manière individuelle. Les membres
d’un Vlan peuvent maintenant se déplacer physiquement dans le réseau sans qu’il soit nécessaire de reconfigurer le
Vlan. Ceci facilite la gestion du Vlan puisqu’il n’est plus nécessaire d’assurer un suivi des éléments une fois que
chacun a été affecté à un Vlan.
2. Inconvénients
L’un des inconvénients des Vlans par adresse MAC est que leur configuration qui se fait manuellement peut devenir
très fastidieuse dans le cas de grands réseau. En effet lorsque le nombre d’éléments devient important cette opération
demande une bonne organisation. Néanmoins les outils graphiques de gestion de Vlans que nous avons déjà cités
facilitent cette démarche. En effet ces outils étant graphiques on voit l’ensemble de la topologie du réseau. A chaque
Vlan correspond une couleur qu’il suffit d’attribuer ensuite aux éléments. Ainsi par exemple tous les éléments du
VLAN A le VLAN auront la couleur rouge et ceux du VLAN B la couleur bleue.
Un inconvénient important des Vlans par adresse MAC est que les performances baissent considérablement lorsque
différents Vlan coexistent sur un même port. En effet lorsque des stations de différents Vlans se trouvent sur un
même port, le trafic correspondant à chaque Vlan passera sur ce port. Si les domaines de broadcast se chevauchent,
on ne conserve que l’aspect sécuritaire des Vlans. Comme pour les Vlans par port l’évolution des réseaux qui
conduit à n’avoir qu’une ou très peu de stations par port diminue l’importance de cet inconvénient.
Il existe un dernier inconvénient qui est certes marginal mais qui peut tout de même se présenter. IL est en relation
avec les ordinateurs portables venant se connecter sur des stations d’accueil. En effet dans ce type de configuration
c’est la station d’accueil qui fournit son adresse MAC au réseau. Le portable appartient alors au Vlan auquel
appartient la station d’accueil. Or dans certaines entreprises, ces stations d’accueil sont régulièrement utilisées par
différentes personnes de passage ne faisant pas partie du même groupe de travail. Il faut alors constamment changer
le Vlan d’appartenance de la station d’accueil.
préambule : 8octets
type : 2 octets
C´est le champ type qui va nous permettre de déterminer le protocole de niveau 3 utilisé.
Voici quelques exemples de valeurs possibles :
0800 : IP v4
809B : Appletalk
6003 : DECNET
Nous pouvons à partir de ces trois exemples créer trois VLAN par protocoles différents :
Protocole VLAN
IP 1
Appletalk 2
DECNET 3
Le principe reste donc le même que dans les autres types de Vlans, nous avons créé différents groupes de travail
au sein de notre réseau switché.
Il y a ici trois Vlans différents. Les deux premiers sont des Vlans IP que l’on distingue par leur adresse de réseau , et
le troisième est un Vlan par protocole basé sur IPX. On voit sur quels ports des trois switchs sont présents chaque
protocole. Nous avons pris ici un cas idéal puisqu’il n’y a qu’un Vlan par port, mais nous aurions très bien pu avoir
deux membres de Vlans différents sur un même port.
3. Avantages
Le premier avantage, qui apparaît clairement, est la possibilité de découper le réseau en fonction des protocoles.
Ceci est une façon intéressante de créer des groupes de travail selon les applications dans le cas où celles-ci utilisent
des protocoles différents.
Un deuxième avantage est que ces Vlans tout comme les Vlans par adresse MAC laissent les utilisateurs se déplacer
physiquement dans le réseau sans qu’il y ait de conséquence. En effet le critère d’appartenance au VLAN ne s’en
trouve pas modifié quelque soit l’endroit où se déplace l’utilisateur dans le réseau.
Un troisième avantage est que la définition de Vlans au niveau 3 peut éliminer le besoin de Frame Tagging utilisé
pour la communication inter-switch, réduisant ainsi l’overhead. Le Frame Tagging sera étudié ultérieurement dans
ce rapport. (L’overhead est le rapport entre les données à transporter et les données ajouter pour réaliser ce
transport).
4. Inconvénients
Le principal désavantage des Vlans de niveau 3 est que les performances baissent. En effet, le fait d’inspecter
l’adresse de niveau 3 dans les paquets nécessite plus de temps que d’inspecter l’adresse MAC dans les trames. C´est
pourquoi les switchs implémentant les Vlans de niveau 3 sont souvent moins performants, mais ceci n´est pas vrai
pour tous les constructeurs.
4. Le Multicast IP
Les groupes de multicast IP ne sont pas à proprement dit un type de Vlan, dans le sens où ils ne sont pas apparus en
tant que Vlan. Le fait est que le multicast IP répond aux critères définissant les Vlans ce qui permet donc de le
considérer par conséquent comme un type de Vlan.
Le multicast IP permet en effet de définir un domaine de broadcast et répond en ce sens à la définition du Vlan. Il
permet donc aussi de définir des groupes d’utilisateurs. Mais ces groupes sont un peu particuliers puisqu’ils ne sont
pas prédéfinis de façon statique comme dans les autre formes de Vlan. En effet il faut une source qui envoie un
paquet multicast à une adresse multicast. Cette adresse multicast est en fait une adresse proxy désignant un groupe
d’adresse IP. Les stations correspondantes ont alors la possibilité de rejoindre le groupe multicast. Toutes les stations
rejoignant le groupe multicast font alors partie du même Vlan. Elles sont libres de quitter le groupe multicast à tout
moment. Il est aussi possible d’appartenir à plusieurs groupes multicast.
Toutefois l’existence de ces groupes multicast n´est souvent que temporaire. L´IP multicast est généralement utilisé
pour des applications multimédias telles que le LAN TV ou « Desktop Conferencing ».
Le multicast est surtout intéressant dans ce type d’application puisqu’il permet de considérablement réduire la
charge du réseau. Imaginons qu’il soit nécessaire de transmettre des données à une centaine de stations. En
transmission unicast il serait nécessaire de transmettre ces données autant de fois qu’il y a de stations. En multicast
les données ne sont envoyées qu’une seule fois. Elles sont ensuite dupliquées pour être réparties sur tous les liens du
réseau où se trouvent les stations réceptrices de façon à ce qu’elles reçoivent toutes les données.
Les communications en multicast IP pour se réaliser doivent obéir à trois critères qui ont été établis par l
´IETF - Internet Engineering Task Force :
Adressage : Les adresses multicast IP utilisées sont de classe D et sont allouées dynamiquement. Voici
la structure binaire d’une adresse IP de classe D :
Abonnement dynamique : la RFC 1112 définit le protocole IGMP (Internet Group Management
Protocol). IGMP spécifie comment une station peut informer le réseau qu’elle appartient à un groupe
multicast.
DVMRP : Distance Vector Multicast Routing Protocol, dont la description est donné dans la RFC
1075.
MOSPF : Multiple Open Shortest Path First, qui est en fait une extension d’OSPF en lui permettant en
plus de supporter le multicast IP. Sa description est donnée dans la RFC 1584.
PIM : protocole multicast pouvant être utilisé avec tous les protocoles unicasts.
En conclusion on retiendra l’aspect très flexible des Vlans par multicast IP.
5. Combinaison de VLANs
Ce n´est pas ici un autre type de Vlan mais simplement comme l’indique le titre une possibilité offerte par certains
constructeurs de switchs. Il est en effet possible avec certains switchs de mixer les types de Vlan pour s’adapter à
certains types de réseaux particuliers.
Prenons l’exemple d’un réseau dans lequel sont utilisés les protocoles IP et Netbios. Une solution possible sera :
Vlan par protocole pour le range IP
La communication explicite : ce type de communication est surtout employé pour les Vlans de niveau
I, c’est-à-dire basé par les ports d’attache des stations et les Vlans de niveau II, c’est-à-dire basés sur
les adresses MAC des stations. Le format de trame « de base » ne permet en effet pas de renseigner sur
l’appartenance à tel ou tel réseau virtuel. Il faut donc rajouter de façon explicite ces informations par
certaines méthodes, explicitées ci-après.
Pour résoudre le problème de communication inter commutateurs, trois méthodes ont été développées :
La méthode de la « Table Maintenance via Signaling » :
2. IEEE 802.1Q
En mars 1996, le comité 802.1 de l’IEEE a défini ce qui allait devenir le standard pour les Vlans. Ce comité a
spécifié à la fois l’approche architecturale des Vlans, un standard pour le Frame Tagging qui permet le dialogue
entre des équipements Vlans de divers constructeurs et a montré les orientations futures des Vlans.
Le format standardisé du Frame Tagging, connu sous le nom de IEEE 802.1Q, permet d’apporter l’élément
manquant de cette communication entre les différents constructeurs et le déploiement rapide des Vlans à l’intérieur
des entreprises, qui ont été réconfortés sur la pérennité de leurs investissements.
Tous les grands acteurs du marché des Vlans que sont, entre autres, 3Com, Cisco Systems, FORE Systems, Bay
Networks supportent ce standard.
Mais le temps d’implémenter le standard 802.1Q dans leurs divers équipements et avec également le désir d´unifier
les plates-formes d’administration des Vlans, les constructeurs continuent à fournir des équipements qui gardent
certaines caractéristiques propriétaires et donc n’assurent pas une parfaite compatibilité.
Le standard de l’IEEE 802.1Q a choisi de ne pas mettre en œuvre un Spanning Tree par Vlan mais un Spanning Tree
sur l’ensemble de la topologie pontée. Ainsi la topologie de chaque réseau virtuel est un sous ensemble de la
topologie arborescente élaborée par le Spanning Tree. Ainsi les ports bloqués lors du déroulement de cet algorithme
restent bloqués pour l’ensemble des Vlans. L’évolution futur de ce standard prévoit d’implémenter la deuxième
solution, c’est-à-dire un Spanning Tree par Vlan, mais la complexité de cette solution devra être diminuée par
l’arrivée d’équipements plus puissants.
Exemple du Protocole Spanning Tree(schéma)
Cette norme laisse le libre choix aux constructeurs de choisir pour un apprentissage d’adresses MAC par Vlan ou un
apprentissage d’adresses de manière globale. La première solution, appelée « Multiple Filtering Database » ou «
MFD », permet à un même coupleur d’appartenir à plusieurs Vlans simultanément. La seconde solution, appelée «
Single Filtering Database » ou « SFD », ne rend toujours pas possible cette simultanéité d’appartenance.
3. Le Frame Tagging
Le standard IEEE 802.1Q a permis une définition théorique des Vlans. Ce standard prévoit qu´un maximum de 4095
Vlans est envisagé. Ce standard utilise donc la technique du marquage de trames (Frame Tagging) comme moyen de
communication. Le Frame Tagging permet d’une part de savoir à quelle Vlan appartient une trame (une trame ne
peut appartenir qu’à un seul Vlan) et permet, en plus, d’ajouter un niveau de priorité à la trame.
De plus, ce standard découpe les équipements d’interconnexion en deux catégories :
Les équipements qualifiés de Vlan aware qui connaissent la présence de réseaux virtuels et qui savent
les gérer.
Les équipements qualifiés de Vlan unaware qui ne savent pas gérer les réseaux virtuels.
Il faut donc une compatibilité entre les équipements Vlan aware et Vlan unaware si ces deux sortes d’équipements
se trouve sur le même réseau. Il y a donc un Vlan par défaut défini dans le standard.
Ce standard défini également trois types de lignes :
Les liens d’accès : ce sont les segments menant aux équipements Vlan unaware.
Les liens Trunk : ce sont les segments inter-switch véhiculant que des trames taggées. Ces segments
peuvent être soit des liaisons point à point soit de véritables réseaux.
Exemple de liens Trunk(schéma)
Les liens hybrides : ce sont les liens où peuvent transiter à la fois des trames taggées et des trames non
taggées. Sur ce type de liens, il y a donc à la fois des équipements Vlan aware et des équipements
Vlan unaware. De plus, les trames circulant sur ce type de liens doivent respecter, dans un Vlan
donné, le même format, c’est-à-dire le format taggée ou le format non taggée.
Exemple de lien hybrides(schéma)
La forte majorité des liens est de type hybride car il existe toujours le besoin de compatibilité avec l’existant.
Il faut garder à l’esprit que l’ajout d’en-tête dans une trame impose de posséder des équipements d’interconnexion
de plus grande puissance. En effet, les ponts et commutateurs devant traiter les trames taggées doivent avoir des
capacités de mémoire, de cpu et de bande passante importantes pour ne pas perdre en efficacité. Ces équipements
doivent en effet examiner les champs de la trame taggée, ajouter ou enlever des champs suivant avec quels autres
type d’équipement ils dialoguent, et également recalculer les CRC.
1. Structure d’une trame Ethernet taggée
Le schéma suivant montre une trame de type Ethernet ou IEEE 802.3 (sous-entendu sans LLC). Le Frame Tagging
est constitué de quatre octets rajoutés entre le champ « Adresse Source » et le champ soit « Longueur » soit « Type »
suivant si c´est une trame Ethernet ou 802.3.
Ainsi le Frame Tagging rajoute quatre octets à la longueur de la Trame. Pour remédier à cela, le supplément IEEE
803.ac décrit une longueur maximale de trame dépendant de la valeur du champ qui suit le champ « Adresse Source
». Si ce champ a une valeur qui indique qu’il s’agit du TPID (Tag Protocol Identifier - Identifiant de protocole de
Marquage), la taille maximale passe alors de 1518 octets à 1522 octets ; La taille maximale reste par contre à 64
octets. Cette extension de la longueur de la trame permet d’éviter qu’une trame taggée de 1522 octets ne soit
éliminer.
Structure d’une trame Ethernet taggée (schéma)
DA : Destination Adresse Long/type : Longueur ou type de la trame
SA : Source Adresse Data : Champ donnée
TPID : Tag Protocol IDentifier FCS : Frame Check Sequence
TCI : Tag Control Information
Si le type de trame est Ethernet ou 802.3, le TPID à la valeur 8100.
Les deux octets du champ TCI se décomposent de ma façon suivante :
Structure du Tag Control Information
Le champ « User Priority » permet d'assigner une priorité à la trame. C´est le standard IEEE 802.1p qui défini cette
entête du TCI. Les trois bits du TCI permettent donc de spécifier 8 niveaux de priorité, 0 étant le plus bas niveau de
priorité et 7 le niveau le plus prioritaire.
Le bit CFI « Canonical Format Indicator » peut servir lors de l'encapsulation d'un format de trames d'un LAN vers
un autre. Il précise si les adresses MAC qui peuvent apparaître dans le champ DATA suivent un format canonique ou
non.
Pour une trame Ethernet ou 802.3, un CFI ayant 1 comme valeur indique qu´un RIF (Routing Information Field) est
présent après le Tagging. C´est alors un bit du champ RIF, le bit NCFI, qui précise si le format des adresses MAC
contenues dans le champ DATA est canonique ou non.
Le champ VID « Vlan IDentifier » permet d´indiquer à quel réseau virtuel appartient une trame. Ce champ est
définit sur 12 bits, il y a donc 4095 Vlans possibles en plus du Vlan 0 qui est une valeur particulière de ce champ
car, dans ce cas, cela signifie que la trame n´appartient à aucun Vlan, alors l´association Vlan/Trame sera effectuée
comme pour une trame non taggée. Ce cas se produit lorsque la station se sert du Frame Tagging uniquement pour le
bénéfice du champ « User Priority ».
De plus, par définition, le Vlan 1 est le Vlan par défaut.
2. Structure d´une trame Token Ring ou FDDI taggée
Si le Frame Tagging est utilisé pour une trame Token Ring ou FDDI, une encapsulation SNAP sera employée :
Structure d'une trame Token Ring ou FDDI taggée(schéma)
DA : Destination Adresse OUI : Organisation Union Identifier
SA : Source Adresse TPID : Tag Protocol Identifier
RIF : Routing Information Field TCI : Tag Control Information
LLC : Logical Link Control Data : Champ donnée
FCS : Frame Check Sequence
Pour le cas de la trame Token Ring ou FDDI, le bit CFI égal à 1 signifie que le format des trames MAC présentes
dans le champ DATA est non canonique. Si le bit CFI est égal à 0, alors ces mêmes adresses MAC sont de format
canonique.
3. Le protocole GVRP
Le standard IEEE 802.1Q exploite le Protocole GARP comme protocole d'indication de présence d'un réseau virtuel
sur un segment. GVRP « GARP Vlan Registration Protocol » permet aux équipements Vlan aware de faire savoir
aux autres équipements qu'ils gèrent activement tel Vlan sur un segment LAN. L'objectif est de permettre que des
informations ne concernant aucun équipement sur un segment ne soit diffusées sur ce segment. Cela est rendu
possible en procédant à l'inverse, par l'enregistrement possible des Vlans d'appartenance sur chaque port.
Les équipements Vlan unaware ne peuvent pas utiliser le protocole GVRP et ainsi indiquer la présence du Vlan
auquel ils appartiennent de manière automatique.
Toujours pour des besoins de compatibilité, les équipements Vlan aware doivent exclure (ou respectivement
inclure) le Frame Tagging lorsqu'une trame va (ou respectivement provient) d'un équipement Vlan unaware. Bien
sur, cette manipulation de trame représente une perte de performance car, entre autre, le CRC est recalculé à chaque
manipulation de trame.
L'adresse de diffusion de GVRP est 01-80-C2-00-00-21.
4. Encapsulation
Ainsi, le standard IEEE 802 .1Q profite de l'ajout du Frame Tagging, ce qui permet d'une part d'insérer un RIF dans
une trame Ethernet, et d'autre part de préciser le format des trames MAC qui ne sont pas dans l'en-tête MAC, utile
pour redéfinir les modes de pontage en environnement hétérogène. Le Frame Tagging offre donc une possibilité de
codage lors de conversion lors de changement d'environnement.
Le standard IEEE 802.1Q prend en compte les divers critères de chaque protocole et les exploite pour ainsi définir
l'ensemble des combinaisons :
E : format des trames Ethernet V 2.0.
ou L : format des trames 802.3 LLC.
C : format canonique des adresses MAC présentes dans le champ « DATA ».
ou N : format non canonique des adresses MAC présentes dans le champ « DATA ».
R : pontage Source Route.
ou T : pontage Transparent Route.
C : topologie Ethernet ou 802.3 (CSMA/CD).
ou R : topologie Token Ring ou FDDI.
T : Frame Tagging explicite.
ou I : Frame Tagging implicite.
Une combinaison est par exemple : E-C-T/C-I qui représente l'Ethernet le plus courant.
Il y a donc 32 combinaisons possibles.
L'ensemble de ces combinaisons est décomposé en trois familles, H, Q et Q+H.
La famille de combinaison H correspond au standard 802.1H (ISO 11802-5) et au RFC 1042. La famille de
combinaison Q correspond au standard 802.1Q. La famille de combinaison H+Q correspond aux familles
précédentes.
Ce regroupement de combinaison en famille permet de proposer une méthode rigoureuse qui permet le changement
de média sans se préoccuper des conversions nécessaires. Ainsi le Frame Tagging est utilisé pour indiquer le format
de représentation de la trame.
Les trois familles sont décrites dans le tableau suivant :
4. IEEE 802.1p
Pour faciliter les performances des commutateurs et des ponts, cette norme introduit des classes de service
permettant d'échanger du trafic prioritaire en cas de congestion de ces équipements. Ainsi, ce flux prioritaires a la
possibilité de passer par des files d'attente plus rapides que le flux considéré comme de priorité normale
.
Ainsi, huit niveaux de priorité ont été définis par la norme 802.1p. la hiérarchie de ces priorité est disposée de la
manière suivante :
Files d'attente Type de trafic
Arrière-plan
Effort moyen
Excellent effort
Faible priorité
Charge contrôlée
Haute priorité
Vidéo
Voix
Contrôle du réseau
Classe de priorité
Bien que la norme définisse huit niveaux de priorité, le nombre de files d'attente n´est pas défini et peut varier entre
1 et 7. Le choix est donc laissé libre au constructeur.
Ainsi, à l'intérieur d'un pont ou d'un commutateur, les trames en attente en sortie d'un port en file d'attente de priorité
N ne seront pas écoulées tant que les files d'attente de priorité supérieure (au moins N+1) sont vides.
Ceci implique donc que l'ordonnancement des trames n´est conservée qu'à l'intérieur des files d'attente et non pas
entre les files d'attente.
5. Le protocole GARP
Le protocole GARP « Generic Attribute Registration Protocol » permet aux équipements de s'enregistrer auprès des
ponts et des commutateurs en leur fournissant quelques renseignements. Le protocole GVRP, utilisé dans la norme
IEEE 802.1Q, se base sur ce protocole. Il n´est donc pas utilisé en tant que tel dans les Vlans mais il est comme
même nécessaire de comprendre le fonctionnement de GARP pour mieux appréhender le protocole GVRP.
Le protocole GARP est adapté au environnement où une trame peut être perdue. Ainsi l'enregistrement d'une
machine avec ces divers paramètres n´est valable que pour une période fixée. Le pont ou le commutateur informe,
de manière régulière, (de l'ordre de la dizaine de seconde par défaut), qu'il va effacer tous les enregistrements. Ainsi
les machines désirant conserver les mêmes attributs doivent à nouveaux se déclarer.
La trame GARP est de la forme suivante :
Trame GARP
L'en-tête MAC contient l'adresse destination (DA) qui permet la distinction entre les applications exploitant GARP
employées. Dans le cas des Vlans et de l'applications GVRP, l'adresse destination est de la forme DA = 01-80-C2-
00-00-2X.
Le champ « GARP PDU » se décompose de la forme suivante :
GARP PDU
L'identifiant du protocole GARP a la valeur Protocol ID = 0001.
La structure de chaque champ « message » se découpe de la manière suivante :
Structure du champ Message
Les différents champs compris dans le format « Message » sont :
Attribute Type :
Champ défini par l'application GARP et définit quelle topologie d'information se trouve dans le champ «
Attribute Value ».
Attribute Length :
Attribute Event :
Champ opérateur.
Attribute Value :
Une bande passante adaptée : il ne faut pas que l'émission de broadcast utilise toute la bande passante
de la ligne pour ne pas gêner les utilisateurs.
4. Sécurité
Le principal avantage du déploiement des réseaux virtuels est l'aspect au niveau sécurité qu'ils apportent. En
effet, les réseaux virtuels délimitent des domaines de broadcast, donc des zones qui peuvent servir à l’administrateur
pour définir des droits d'accès. Ainsi, des politiques de sécurité peuvent être appliquées pour des ensemble
d'individus.
De plus, ces politiques de sécurité peuvent être très finement réglées car l’administrateur du réseau peut décider le
dialogue autorisé ou non entre les divers réseaux virtuels. Ainsi, il peut placer les serveurs de manière judicieuse
pour établir des listes d’accès aux ressources et ainsi remplacer les routeurs qui jouaient ce rôle (le terme de liste
d’accès - access list en anglais - est une commande qui est utilisée dans la configuration des routeurs).
Pour illustrer ce dernier exemple, prenons le cas d’une entreprise avec trois services :
Le service des Ventes (Sales).
Le serveur où se trouve la base de données des ventes (Sales Database Server) , où les utilisateurs
faisant partie du service Ventes on le droit d’y accéder, mais également les utilisateurs du service
Comptabilité afin de pouvoir facturer aux clients aux tarifs exacts.
Le serveur de fichiers, fonctionnant sous NetWare (NetWare File Server), où les personnes des services
Comptabilité et Ventes stockent leurs fichiers.
Le serveur de fichier UNIX (UNIX File Server), qu'utilisent les ingénieurs du service ingénierie.
L’administrateur du réseau qui doit déployer des réseaux virtuels doit ainsi créer un tableau entre les utilisateurs et
les ressources afin de savoir qui a accès à quelle ressource.
Le tableau pourrait être de la forme suivante :
Accounting Sales Database NetWare File UNIX File
Email Server
Database Server Server Server Server
Sales X X X
Accounting X X X
Engineering X X X
Le réseau virtuel « Sales Vlan » qui comportera l’ensemble des utilisateurs du service Ventes.
Le réseau virtuel « Engineering Vlan » qui comportera l’ensemble des utilisateurs du service
Ingénierie.
Le schéma suivant montre la configuration finale des réseaux virtuels de cette entreprise :
Exemple de partage de serveurs
Un autre avantage sécuritaire provenant de l’utilisation des Vlans est l'impossibilité pour une personne d'écouter le
trafic (« sniffer ») afin de récupérer des mots de passe ou tout autres styles d'informations si elle ne fait pas partie du
Vlan.
Ce besoin de sécurité est donc très adapté aux entreprises qui désirent maintenir une forte étanchéité entre des
services distincts d'utilisateurs. Les droits d’accès aux ressources du réseau sont maintenus par l’utilisation des
réseaux virtuels. Il faut garder à l’esprit que dans une entreprise, l’utilisateur n´est pas considéré comme fiable (plus
de 60 % des problèmes de sécurité lié au piratage viennent des personnes internes à l'entreprise).
Le DHCP statique : le serveur attribue une adresse IP à la station en tenant compte de l'adresse MAC
de cette station. L’administrateur du réseau a donc défini la correspondance entre chaque adresse MAC
des stations de travail et une adresse IP. Ainsi, en DHCP statique, par rapport au DHCP dynamique,
une station a toujours la même adresse IP.
Configuration semi-automatique.
Configuration automatique.
Il est clair que le choix du type de réseaux virtuels qui va être choisi va être déterminant pour le mode de
configuration qui lui sera associé. Nous allons donc voir les avantages et les inconvénients de ces différents types de
configurations possibles et d'automatisations possibles.
1. Configuration manuelle
Avec ce type de configuration qui est purement manuel, à la fois l'installation et l'exploitation future des réseaux
virtuels (le déplacement d’utilisateurs, les formations de groupes de travail.) seront contrôlées et effectuées par
l’administrateur du réseau.
La configuration manuelle des réseaux virtuels a pour principale avantage de permettre un haut degré de contrôle
puisque c´est l’administrateur du réseau qui placera chaque personne dans le ou les réseaux virtuels adéquats.
Par contre, le défaut principal est que, pour une entreprise qui commence à être de taille respectable (plus de 500
utilisateurs), le travail d'installation peut devenir laborieux pour l’administrateur du réseau. Car il faut garder en
mémoire qu´un des bénéfices voulus par l'implémentation de réseaux virtuels est de permettre un gain de temps de
configuration. Or si l’installation est très laborieuse et très longue, cet avantage ne se retrouvera sûrement pas sur
l’ensemble du processus d'utilisation des réseaux virtuels.
2. Configuration semi-automatique
Une configuration semi-automatique peut être utilisée de deux manières :
La première possibilité est d’avoir une installation de style automatique et une administration et une exploitation
manuelle. Ainsi la configuration initiale peut être accomplie par le biais d'outils qui permettent de mapper une
architecture à base de réseaux virtuels sur une architecture déjà existante (par exemple, des sous-réseaux IP). Une
fois l’installation réalisée de manière automatique », l’exploitation se déroule comme pour l’exploitation de la
configuration manuelle, c’est-à-dire que c´est l’administrateur du réseau qui effectuera chaque changement de
personnes aux seins des réseaux virtuels.
La seconde possibilité de configuration, de type semi-automatique, est de réaliser de manière manuelle l’installation
des différents réseaux virtuels et de laisser l’exploitation future à des outils appliquant des politiques de sécurité.
Ainsi, le gain de temps sera important pour l’administrateur qui n’aura pas besoin d’avoir autant d'attention pour
l’administration. Par contre, il devra quand même surveiller si les politiques de sécurité sont bien appliquées et pas
détournées pour éviter des trous de sécurité. Il est donc faux de dire qu’il n’aura plus rien à effectuer par la suite.
3. Configuration automatique
Le type de configuration automatique implique que la configuration et l’administration future du réseau virtuel
seront régit par des polices. Les stations pourront rejoindre ou quitter un réseau virtuel de manière dynamique et
automatique, si bien sûr les polices leur donnent ce droit.
Ce mode de configuration est surtout associé aux réseaux virtuels par protocole ou par application. Ainsi, un
utilisateur pourra rejoindre tel ou tel réseau virtuel suivant son User ID, suivant l'application qu’il utilise. Toutes ces
règles étant définies par l’administrateur du réseau.
On peut imaginer une police qui permet à toutes personnes non référencée dans le réseau de pouvoir s'y connecter,
mais elle n'hériterait que d’un statut d'invité et n'aurait accès qu'aux ressources non vitales pour l’entreprise. Par
exemple, un accès au serveur World Wide Web externe de l’entreprise.
11. Tarifs des équipements supportant les Vlans
Chaque constructeur tel que Cisco, 3Com, Xylan, Bay Networks ou bien encore Cabletron a donc sa propre
approche en terme de matériel supportant les réseaux virtuels.
Les prix des commutateurs de leurs différentes gammes n’ont que peu de surcoût par rapport aux équipements ne
supportant pas les Vlans. Il faut en effet compter, environ 20% de coût supplémentaires entre un commutateur
supportant les réseaux virtuels et un ne les supportant pas.
Il faut garder en mémoire que chaque constructeur n´est pas dans la course aux réseaux virtuels depuis le même
nombre d'années donc les performances des équipements sont différentes d’un constructeur à l’autre.
En annexe I de ce rapport se trouve le matériel de chaque constructeur ainsi que les coordonnées du
constructeur.
En annexe II de ce rapport se trouvent les caractéristiques des équipements Vlans testés (Nombre de
port, type des interfaces.).
En annexe VI, VII, VIII et IX de ce rapport se trouve la fiche d'identité de chaque équipement testé.
12. Outils d'administration des Vlans
En effet, lors du choix du constructeur pour installer une solution de réseaux, il faut tenir compte du logiciel livré
pour l’administration des réseaux virtuels.
Ces logiciels sont des outils graphiques que ce soit dans l'environnement Windows de Microsoft que dans
l'environnement UNIX avec les librairies MOTIF.
Ces outils permettent le plus souvent de gérer les réseaux virtuels avec l’aide de la souris par « drag and drop ». La
configuration des réseaux virtuels est donc facilitée et évite d'entrée des commandes au clavier. D’un simple clic et
un déplacement de souris, l’administrateur du réseau peut changer un utilisateur de réseau virtuel.
Tous les constructeurs du marché ont leur propre logiciel d'administration. Il faut garder, que même si ces
constructeurs sont conformes au standard 802.1Q, ils rajoutent des options qui ne sont seulement disponibles pour
leurs matériels que par l’aide de leur propre logiciel d’administration.
Voici une liste des outils proposés par les constructeurs :
Cisco : VlanDirector.
1. Cisco : VlanDirector
Cisco propose ainsi son propre logiciel d’administration de réseaux virtuels, la suite VlanDirector.
La capture d´écran suivante montre que ce logiciel est un outil graphique. A l’aide de la souris, les stations de travail
peuvent être déplacées de groupes en groupes.
Capture d´écran de Vlan Director
VlanDirector est un outil basé sur SNMP et permet donc de gérer les commutateurs Cisco.
VlanDirector a les caractéristiques suivantes :
Permet une auto-découverte de la topologie du réseau et affiche à l´écran l’ensemble des routeurs et
des commutateurs Cisco du réseau.
Représente de manière graphique l´architecture de chaque réseau virtuel ainsi que les recouvrements
de Vlans.
Utilise l´outil CiscoView pour permettre une configuration et une administration graphique des réseaux
virtuels.
Permet une méthode aisée pour ajouter, supprimer ou modifier les utilisateurs de tel ou tel Vlan.
Utilise un outil qui permet de voir si les politiques utilisées ne sont pas en désaccord entre elles.
Intègre une plate-forme de management SNMP, incluant Solstice SunNET Manager et HP OpenView.
Une création simple et une modification aisée des équipements Vlans sous un environnement
graphique.
13. Conclusion
Les Vlans, Virtual Local Area Networks, introduisent donc un nouveau concept à l´intérieur des entreprises. En
effet, cette technologie a le potentiel pour répondre au besoin de mouvement en interne des entreprises. Ainsi, une
entreprise peut réorganiser l’ensemble de ces services ou de ces groupes de travail sans que le responsable Télécom
n´est à passer de longues heures à reconfigurer l’ensemble des machines du parc.
De plus, le déploiement des réseaux virtuels permet d´apporter une sécurité à cet ensemble et permet à
l’administrateur du réseau un réglage des droits d’accès aux ressources qui peut être très fin suivant le type de réseau
virtuel choisi.
Les entreprises qui ont déployé ou qui prévoient de déployer un grand nombre de ports commutés, de diviser le
réseau en plus petits segments pour augmenter la bande passante par utilisateur, ont la possibilité, avec
l’implémentation des réseaux virtuels, d’avoir une excellente solution pour contenir les broadcasts. De plus, les
Vlans vont ainsi permettre à l’entreprise de songer à des réorganisations futures sans se soucier de la situation
physique de l´existant informatique. Ainsi, le déploiement de réseaux virtuels est un choix stratégique pour
l’entreprise pour ainsi diminuer les coûts de déplacement des utilisateurs entre les services.
L’administrateur du réseau a donc a sa disposition plusieurs types de réseaux virtuels, et il devra choisir celui adapté
à ses besoins.
Le tableau suivant résume les différentes caractéristiques de chaque type de Vlans :
Tableau récapitulatif des différents type de Vlans
L’administrateur du réseau doit donc faire des choix entre une facilité d’installation, une plus grande sécurité ou une
finesse plus judicieuse des possibilités d´appartenance des utilisateurs entre les différents réseaux virtuels (la
granularité). Il n’y a pas un meilleur type de réseaux virtuels. Pour chaque entreprise, il y a une solution différente.
Mais il faut garder à l’esprit que l´on ne peut pas avoir, à la fois la meilleure sécurité, la meilleure granularité, tout
en ayant une facilité d’installation et d’administration de l’ensemble. De plus, il faut prévoir, lors de
l’implémentation des Vlans, que l´échelle du réseau peut augmenter et il faut que la solution choisie puisse
également suivre cette évolution (le concept de « scalability »).
Ce n´est donc que le début du déploiement des réseaux virtuels. Il est très vraisemblable que les Vlans par
application se multiplient dans un futur proche et il faut également garder en mémoire que les nouveaux systèmes d
´exploitation qui voient le jour comme Novell NetWare 5.0 avec son NDS et Microsoft avec l´ADS de NT 5.0 font
permettre d´associer des profils utilisateurs aux ressources réseaux. Ainsi, ce n´est plus la machine qui permettra
d’avoir accès à ces ressources mais les logins d´usagers qui leur donneront les droits sur les équipements et les
différentes ressources du réseau.
14. Glossaire
802.10 : Standard établi par l´IEEE pour le marquage de trame (Trame Tagging) afin de spécifier la sécurité
interne à un réseau local.
802.1Q : Standard de l´IEEE qui ajoute un champ (au minimum de quatre octets) utilisé par les réseaux virtuels pour
sa signalisation.
Appletalk : Protocole mis en place par Apple décomposé en sept couche tel le modèle OSI.
Broadcast : aussi appelé trame de diffusion, c´est une trame qui est destinée à tous les éléments présents sur le LAN
de l´émetteur du broadcast.
GMRP : GARP Multicast Registration Protocol : permet d´abonner ou de désabonner des adresses dans des groupes
de diffusion multicast.
GVRP : GARP Vlan Registration Protocol : permet d´abonner ou de désabonner des adresses dans des réseaux
virtuels.
IP : Internet Protocol, protocole définissant un mécanisme de transmission sans connexion et sans reprise.
IPX : Internet Packet Exchange
MAC : Medium Access Control, on parlera d’adresse MAC pour désigner les adresses de niveau 2 du modèle OSI.
Multicast : Mode de transmission d’un équipement vers n autres.
Netbios : Network Basic Input/Output System interface - créé par Microsoft et IBM
OSI : Open Systems Interconnection, définit l´architecture réseau selon un modèle découpé en sept couches, chaque
couche devant offrir un service à la couche supérieure et utiliser les services de la couche inférieure.
Overhead : rapport entre les données à transporter (payload) et les données rajoutées utiles à l´acheminement de l
´information.
Paquet : Entité de niveau III du modèle OSI.
Pont : Elément d’interconnexion entre segment ou réseau travaillant au niveau II du modèle OSI.
Protocole : Ensemble de règles, appliquées par les constructeurs et les utilisateurs d´équipement de transmission de
données, afin que ces derniers puissent communiquer. En générale, les protocoles différencient trois points :
Codage ou représentation des données.
15. Bibliographie
16. Index
17. Annexes
L’ensemble de ces annexes provient du site http://www.cmpnet.com.