PLAN

1 INTRODUCTION
3 GENÈSE DES VLANS
4 DÉFINITION DES VLANS
5 LES DIFFÉRENTS TYPES DE VLANS 9
5.1 LES VLANS PAR PORT 9

5.1.1 Avantages

5.1.2 Inconvénients

5.2 LES VLANS PAR ADRESSES MAC

5.2.1 Avantages

5.2.2 Inconvénients

5.3 LES VLANS DE NIVEAU 3

5.3.1 Les VLANs par protocoles

5.3.2 Les VLANs par adresses de niveau 3

5.3.3 Avantages

5.3.4 Inconvénients

5.4 LE MULTICAST IP

5.5 COMBINAISON DE VLANS

6 COMMUNICATION DES INFORMATIONS RELATIVES AUX VLANS
6.1 TABLE MAINTENANCE VIA SIGNALING

6.2 TIME DIVISION MULTIPLEXING

6.3 FRAME TAGGING

7 SOLUTIONS PROPRIéTAIRES ET NORMES
7.1 IEEE 802.10 « VLAN STANDARD »

7.2 IEEE 802.1Q

7.3 LE FRAME TAGGING

7.3.1 Structure d’une trame Ethernet taggée

7.3.2 Structure d’une trame Token Ring ou FDDI taggée

7.3.3 Le protocole GVRP

7.3.4 Encapsulation

7.4 IEEE 802.1P

7.5 LE PROTOCOLE GARP

8 AVANTAGES APPORTéS PAR L´IMPLéMENTATION DE VLANS
8.1 RéDUCTION DU COûT DE CHANGEMENT ET DE MOUVEMENT

8.2 CRéATION DE GROUPE DE TRAVAIL « VIRTUEL »

8.3 RéDUCTION DU NOMBRE DE ROUTEURS

 8.3.1 Des performances plus grandes

8.3.2 La réduction du temps de latence

8.3.3 Une administration plus aisée

8.3.4 Une baisse des coûts

8.3.5 Apporter une connectivité entre les réseaux virtuels

8.3.6 Gérer la rétention de broadcast au niveau des liens WAN

8.4 SéCURITé
9 LES VLANS ET LE DHCP
9.1 RAPPEL SUR LE PROTOCOLE DHCP

9.2 VLAN ET DHCP STATIQUE

9.3 VLAN ET DHCP DYNAMIQUE

10 AUTOMATISATION DANS LA CONFIGURATION DE VLANS
10.1 CONFIGURATION MANUELLE

10.2 CONFIGURATION SEMI-AUTOMATIQUE

10.3 CONFIGURATION AUTOMATIQUE

11 TARIFS DES éQUIPEMENTS SUPPORTANT LES VLANS
12 OUTILS D´ADMINISTRATION DES VLANS
12.1 CISCO : VLANDIRECTOR

12.2 CABLETRON : SECUREFAST VLAN MANAGER

12.3 3COM : TRANSCEND NETWORK MANAGEMENT

13 CONCLUSION
14 GLOSSAIRE
15 BIBLIOGRAPHIE
15.1 RéFéRENCES

15.2 SITES INTERNET

15.2.1 Standards

15.2.2 Constructeurs
16 INDEX
17 ANNEXES
17.1 ANNEXE I : COORDONNÉES DES CONSTRUCTEURS D´ÉQUIPEMENTS VLANS

17.2 ANNEXE II: CARACTÉRISTIQUES DES ÉQUIPEMENTS VLANS (INTERFACES)

17.3 ANNEXE III: CARACTÉRISTIQUES DES ÉQUIPEMENTS VLANS (PRIX)

17.4 ANNEXE IV: TEST DE CAPACITÉ DES ÉQUIPEMENTS VLANS (1/2)

17.5 ANNEXE V: TEST DE CAPACITÉ DES ÉQUIPEMENTS VLANS (2/2)

17.6 ANNEXE VI : FICHES D´IDENTITÉ DE CHAQUE ÉQUIPEMENT (1/4)

17.7 ANNEXE VII : FICHES D´IDENTITÉ DE CHAQUE ÉQUIPEMENT (2/4)

17.8 ANNEXE VIII : FICHES D´IDENTITÉ DE CHAQUE ÉQUIPEMENT (3/4)

 1. Introduction

Au début des années 90, les réseaux ont vus les traditionnels ponts à deux ports disparaître en faveur des routeurs.
Ceux-ci permettaient en effet de segmenter les réseaux au niveau 3 du modèle OSI et en plus de contenir les
broadcasts. Dans les réseaux n’utilisant que les routeurs pour leur segmentation, les segments et les domaines de
broadcasts correspondaient à l’identique. Un segment pouvait regrouper entre 30 et 100 utilisateurs.

Avec l’apparition des switchs, il fut possible de diviser les réseaux en de plus petits segments de niveau 2 avec une
bande passante plus importante par segment. Les routeurs restaient nécessaires pour contenir les broadcasts, mais les
domaines de broadcasts pouvaient à présent regrouper différents segments switchés. Les domaines de broadcasts
pouvaient alors contenir facilement 500 utilisateurs. Toutefois même si les switchs de plus en plus nombreux
permettent de segmenter les réseaux, il n’en reste pas moins nécessaire de contenir les broadcasts.
Grâce aux Vlans il ne sera plus indispensable d’utiliser des routeurs simplement pour contenir les broadcasts,
puisqu’en effet la fonctionnalité Vlan va aussi permettre aux switchs de contenir les broadcasts.

Il apparaît que l´ évolution des réseaux locaux vers des LANs switchés en remplacement des LANs à base de
routeurs et même de hubs continuera de s'accentuer dans l'avenir. De plus la baisse des prix des switchs favorise
cette évolution et par conséquent l’essor des Vlans au sein des LANs switchés.

Cependant on peut s’étonner que les Vlans ne soient pas plus utilisés dans les réseaux locaux. Ceci est dû à plusieurs
raisons :
 Les réseaux locaux switchés de grande importance ne sont pas encore très nombreux.

 Les Vlans étaient au tout début des solutions propriétaires à chaque constructeur, et malgré leur
normalisation cet état de fait continue par les particularités de chaque constructeur ajoutée dans leur
solution.

 L´implémentation de Vlans dans un réseau implique de nouveaux coûts administratifs.

Néanmoins les Vlans offrent des intérêts non négligeables c’est ce que nous allons voir par la suite.

4. Définition des VLANs

Il existe différentes sortes de Vlans, et leur implémentation par les constructeurs est souvent propriétaire. C’est
pourquoi définir les Vlans de façon précise n’est pas une chose aisée. Toutefois il existe une définition donnée par
tous qui consiste à dire qu’un Vlan est un domaine de broadcast. Cette définition bien que succincte est juste, mais
pour une personne découvrant le sujet elle n´éclaircit pas énormément les choses. Une autre façon de voir les Vlans
est d´introduire la notion de groupe de travail. Car en effet les Vlans permettent à des postes de travail situés dans
des segments physiques différents de communiquer comme si elles se trouvaient sur un même segment logique.
C’est ainsi que par les Vlans peuvent se former des groupes de travail.
En combinant les deux définitions, on dira qu’une une station qui appartenant à un Vlan ne recevra que le trafic de
son Vlan ( = son groupe de travail) quelque soit sa situation physique. C’est pourquoi on dit qu’un Vlan est un
domaine de broadcast, puisqu’en effet un broadcast émis par une station d’un Vlan particulier ne sera diffusé que
vers les stations appartenant au même Vlan.
Les Vlans vont donc apporter une grande flexibilité dans la gestion des réseaux. Des groupes d’utilisateurs pourront
être formés sans aucune difficulté selon leur centre d’intérêt. Ceci sera réalisé sur une architecture switchée. Le
concept de Vlan est applicable dans un bâtiment à plusieurs étages, comme entre plusieurs bâtiments ou même sur
un réseau WAN.

Il nous reste à voire à présent comment ces concepts sont appliqués dans les différentes types de Vlans.

5. Les différents types de Vlans

Il existe en effet différent types de Vlans. Nous allons étudier les principaux Vlans qui existent aujourd'hui sachant
que d’autres types de Vlans sont susceptibles d’apparaître dans le futur. Nous verrons donc :
 Les Vlans par port.

 Les Vlans par adresse MAC.

 Les Vlans de niveau 3 (du modèle OSI).

 Le multicast IP.
 Comme nous le voyons ci-dessus les critères pour définir les Vlans sont variés. Nous pourrons ainsi définir des
groupes de travail en fonction de ces différents critères.

Nous pouvons aussi signaler que les Vlans par application sont actuellement en cours de développement, il se
pourrait donc qu’ils apparaissent dans l’avenir . Comme son nom l’indique, les groupes de travail se formeraient
donc selon l’application utilisée, et contrairement aux Vlans existants à l’heure actuelle, nous serions dans les
couches élevées du modèle OSI.
1. Les VLANs par port
C’est le type de Vlan le plus usuel aujourd’hui. Les Vlans par port sont définis en fonction des ports des switchs. Le
principe est d’associer un port d’un switch à un Vlan.
Il y a eu deux versions de Vlan par port :
 Il y a eu tout d’abord une première génération qui ne pouvait s’implémenter que sur un seul switch à la
fois.

Ex : VLAN A = ports {1; 2}

VLAN B = ports {3; 4; 5; 6; 7 ;8}
Cette notation est totalement arbitraire, elle ne sert qu’à aider à la compréhension.

Nous avons ici défini deux Vlans sur un switch. Toutes les stations sur les ports 1, 2, 7 et 8 font parties du
VLAN A, et toutes les stations sur les ports 3, 4, 5 et 6 font partie du VLAN B. Nous avons créé ainsi deux
groupes de travail, et donc deux domaines de broadcasts distincts.

 La première génération se limitant à un seul switch, c’est tout naturellement qu’est apparue la
deuxième génération de Vlans par port qui pouvait s´implémenter sur plusieurs switchs à la fois.

Ex :VLAN A = ports[switch1]{1; 2} + ports[switch2]{4; 5; 6; 7}

VLAN B = ports[switch1] {4; 5; 6; 7; 8} + ports[switch2]{1; 2; 3; 8}

Exemple de Vlan par port(schéma)

Nous avons dans cet exemple encore un fois défini deux groupes de travail, sous la forme des VLAN A et VLAN B.
Ici les stations membres de chaque VLAN sont réparties sur deux switchs distincts mais appartenant au même LAN.
Toutes les stations appartenant aux ports 1 et 2 du switch 1 et aux ports 4, 5, 6, et 7 du switch 2 forment le VLAN A.
De même toutes les stations appartenant aux ports 3 à 8 du switch 1 et aux ports 1, 2, 3, et 8 du switch 2 forment le
VLAN B.
L’exemple ci dessus ne comprend que deux switchs et deux Vlans, mais les Vlans par port peuvent être appliqués à
un nombre bien plus important de switchs et de Vlans. Toutefois le nombre de Vlans qu’il est possible
d’implémenter dépend du switch considéré, car cela dépend en effet du modèle et du constructeur. Il faut noter que
la norme limite le nombre de Vlan à 4095, ce qui est respecté par la majorité des constructeurs.
1. Avantages
Le principal avantage des Vlans par port est qu’ils sont facile à configurer et donc à mettre en place. C´est sûrement
ce qui en a fait le type de Vlan le plus usuel. De plus aujourd’hui les outils de gestion de Vlans sont souvent
graphiques ; il suffit de désigner le port d’un switch avec la souris et de l’associer à un Vlan. Ces outils seront vus de
façon plus précise ultérieurement.
2. Inconvénients
Le défaut majeur des Vlans par port est qu’un port ne peut appartenir qu’à un seul Vlan. De plus, ce sont tous les
éléments présents sur le port qui sont associés au Vlan, il n’est pas possible de les distinguer. Toutefois si on regarde
les schémas précédents, on observe qu’en majorité sur un port il n’y a qu’une station. Cela correspond à l’évolution
actuelle des réseaux. En effet, le prix du port des switchs ayant considérablement baissé, les ports sont de plus en
plus dédiés à une seule station. Cette évolution favorise aussi l’essor des Vlans.
L’autre défaut des Vlans par port est qu’ils requièrent une administration suivie dans le sens où si un utilisateur
change de port ou de switch il faut reconfigurer le Vlan en conséquence.
2. Les VLANs par adresses MAC
Ce type de Vlan a suivi logiquement aux Vlans par port, puisqu’il a permis de remédier aux inconvénients de ces
derniers. En effet, comme on peut le deviner ce type de VLAN est basé sur les adresses MAC. Or les adresses MAC
sont définies de façon à ce qu’elles soient uniques au monde. Il est en théorie impossible de trouver deux éléments
ayant la même adresse MAC. L’adresse MAC est codée sur 6 octets : les 3 premiers octets correspondent au
constructeur de l’élément, et les 3 derniers octets servent à désigner l’élément. Il est donc possible grâce à l’adresse
MAC d’un élément de le désigner sans erreur possible.
Les Vlans par adresse MAC vont donc utiliser cette unicité des adresses MAC pour désigner les éléments d’un Vlan.
Voyons cela par un exemple :

Adresse MAC VLAN

CAF115 6725CA 1
FAC132 55F5A5 2
C531ES AE1234 1
C15631 4565AC 3
DOF123 488936 2

Les adresses MAC ci-dessus sont bien évidemment fictives, elles ne désignent aucun cas un élément existant ni
aucun constructeur en particulier.

Comme on peut le voir dans ce tableau il suffit d’associer une adresse MAC à un Vlan. Il est ainsi aisé de créer les
groupes de travail en désignant les individus appartenant à chaque groupe de façon individuelle. Cela n’était pas
possible lorsqu’il y avait plusieurs stations sur le même port d’un switch en utilisant les Vlans par port. De plus un
élément peut appartenir à plusieurs Vlans en utilisant les Vlans par adresse MAC, ce qui n’était pas non plus
possible avec les Vlans par port. Ceci est d’autant plus utile dans le cas de serveurs. En effet, si on veut que des
membres de différents Vlans puissent avoir accès à un même serveur il va être primordial que ce serveur puisse
appartenir à plusieurs Vlans.
1. Avantages
L’atout majeur des Vlans par adresse MAC vient de leur façon de désigner de manière individuelle. Les membres
d’un Vlan peuvent maintenant se déplacer physiquement dans le réseau sans qu’il soit nécessaire de reconfigurer le
Vlan. Ceci facilite la gestion du Vlan puisqu’il n’est plus nécessaire d’assurer un suivi des éléments une fois que
chacun a été affecté à un Vlan.

2. Inconvénients
L’un des inconvénients des Vlans par adresse MAC est que leur configuration qui se fait manuellement peut devenir
très fastidieuse dans le cas de grands réseau. En effet lorsque le nombre d’éléments devient important cette opération
demande une bonne organisation. Néanmoins les outils graphiques de gestion de Vlans que nous avons déjà cités
facilitent cette démarche. En effet ces outils étant graphiques on voit l’ensemble de la topologie du réseau. A chaque
Vlan correspond une couleur qu’il suffit d’attribuer ensuite aux éléments. Ainsi par exemple tous les éléments du
VLAN A le VLAN auront la couleur rouge et ceux du VLAN B la couleur bleue.

Un inconvénient important des Vlans par adresse MAC est que les performances baissent considérablement lorsque
différents Vlan coexistent sur un même port. En effet lorsque des stations de différents Vlans se trouvent sur un
même port, le trafic correspondant à chaque Vlan passera sur ce port. Si les domaines de broadcast se chevauchent,
on ne conserve que l’aspect sécuritaire des Vlans. Comme pour les Vlans par port l’évolution des réseaux qui
conduit à n’avoir qu’une ou très peu de stations par port diminue l’importance de cet inconvénient.

Il existe un dernier inconvénient qui est certes marginal mais qui peut tout de même se présenter. IL est en relation
avec les ordinateurs portables venant se connecter sur des stations d’accueil. En effet dans ce type de configuration
c’est la station d’accueil qui fournit son adresse MAC au réseau. Le portable appartient alors au Vlan auquel
appartient la station d’accueil. Or dans certaines entreprises, ces stations d’accueil sont régulièrement utilisées par
différentes personnes de passage ne faisant pas partie du même groupe de travail. Il faut alors constamment changer
le Vlan d’appartenance de la station d’accueil.

3. Les VLANs de niveau 3

Ce type de Vlan peut paraître surprenant puisque les Vlans prennent place dans un environnement switché, donc au
niveau 2 du modèle OSI. Les Vlans de niveau 3 vont seulement utiliser des informations de niveau 3 comme critère
d’appartenance à un Vlan. Le but est en effet de pouvoir identifier les individus d’un Vlan pour savoir où envoyer
les informations, et en fait délimiter les différents domaines de broadcast. Nous avons déjà vu deux critères
d’appartenance à un Vlan qui étaient le port du switch et l’adresse MAC d’un élément. Ici les groupes de travail vont
être formés selon des informations de niveau 3. Nous distinguerons deux types de Vlans de niveau 3, les Vlans par
protocoles et les Vlans par adresse de niveau 3.
Mais il ne s’agira ici en aucun cas de faire du routage, puisque les Vlans dans l’environnement switché suivent le
Spanning Tree Protocol et sont en accord avec cet algorithme de pontage. Les trames passant dans les différents
switchs sont donc pontées malgré l’implémentation de Vlan de niveau 3.

1. Les VLANs par protocoles

Le principe est simple puisque les individus vont être différenciés selon le protocole de niveau 3 qu’ils utilisent.
Cette information apparaît dans l’entête de la trame. La seule lecture de cette information permet donc de déterminer
dans quel domaine de broadcast doit être diffusée la trame.
Voici par exemple le format de l’entête ethernet V2 :

 préambule : 8octets

 adresse de destination : 6 octets

 adresse source : 6 octets

 type : 2 octets
C´est le champ type qui va nous permettre de déterminer le protocole de niveau 3 utilisé.
Voici quelques exemples de valeurs possibles :
 0800 : IP v4

 809B : Appletalk

 6003 : DECNET

Nous pouvons à partir de ces trois exemples créer trois VLAN par protocoles différents :
Protocole VLAN
IP 1
Appletalk 2
DECNET 3
Le principe reste donc le même que dans les autres types de Vlans, nous avons créé différents groupes de travail
au sein de notre réseau switché.

2. Les VLANs par adresses de niveau 3

Comme dans le cas des Vlans par protocoles nous allons nous intéresser à des informations de niveau 3 du modèle
OSI. Mais dans ce cas, l’information ne sera plus dans l’entête de la trame de niveau 2 mais dans le paquet de niveau
3. Il va donc falloir inspecter le paquet pour en extraire l’information. Ce type de Vlan ne sera bien sûr applicable
qu’avec des protocoles routables, puisqu’il est nécessaire d’avoir une adresse de niveau 3.
Prenons l’exemple d’un réseau IP. Les différents Vlans seront créés à partir des différents subnets. C’est à dire que
ce sont les stations ayant la même adresse de réseau qui feront partie du même Vlan.
Ce type de Vlan peut coexister avec les Vlans par protocoles comme nous le voyons dans le schéma suivant :
Exemple de Vlan par adresse de niveau 3(schéma)

Il y a ici trois Vlans différents. Les deux premiers sont des Vlans IP que l’on distingue par leur adresse de réseau , et
le troisième est un Vlan par protocole basé sur IPX. On voit sur quels ports des trois switchs sont présents chaque
protocole. Nous avons pris ici un cas idéal puisqu’il n’y a qu’un Vlan par port, mais nous aurions très bien pu avoir
deux membres de Vlans différents sur un même port.
3. Avantages
Le premier avantage, qui apparaît clairement, est la possibilité de découper le réseau en fonction des protocoles.
Ceci est une façon intéressante de créer des groupes de travail selon les applications dans le cas où celles-ci utilisent
des protocoles différents.
Un deuxième avantage est que ces Vlans tout comme les Vlans par adresse MAC laissent les utilisateurs se déplacer
physiquement dans le réseau sans qu’il y ait de conséquence. En effet le critère d’appartenance au VLAN ne s’en
trouve pas modifié quelque soit l’endroit où se déplace l’utilisateur dans le réseau.
Un troisième avantage est que la définition de Vlans au niveau 3 peut éliminer le besoin de Frame Tagging utilisé
pour la communication inter-switch, réduisant ainsi l’overhead. Le Frame Tagging sera étudié ultérieurement dans
ce rapport. (L’overhead est le rapport entre les données à transporter et les données ajouter pour réaliser ce
transport).
4. Inconvénients
Le principal désavantage des Vlans de niveau 3 est que les performances baissent. En effet, le fait d’inspecter
l’adresse de niveau 3 dans les paquets nécessite plus de temps que d’inspecter l’adresse MAC dans les trames. C´est
pourquoi les switchs implémentant les Vlans de niveau 3 sont souvent moins performants, mais ceci n´est pas vrai
pour tous les constructeurs.
4. Le Multicast IP
Les groupes de multicast IP ne sont pas à proprement dit un type de Vlan, dans le sens où ils ne sont pas apparus en
tant que Vlan. Le fait est que le multicast IP répond aux critères définissant les Vlans ce qui permet donc de le
considérer par conséquent comme un type de Vlan.
Le multicast IP permet en effet de définir un domaine de broadcast et répond en ce sens à la définition du Vlan. Il
permet donc aussi de définir des groupes d’utilisateurs. Mais ces groupes sont un peu particuliers puisqu’ils ne sont
pas prédéfinis de façon statique comme dans les autre formes de Vlan. En effet il faut une source qui envoie un
paquet multicast à une adresse multicast. Cette adresse multicast est en fait une adresse proxy désignant un groupe
d’adresse IP. Les stations correspondantes ont alors la possibilité de rejoindre le groupe multicast. Toutes les stations
rejoignant le groupe multicast font alors partie du même Vlan. Elles sont libres de quitter le groupe multicast à tout
moment. Il est aussi possible d’appartenir à plusieurs groupes multicast.
Toutefois l’existence de ces groupes multicast n´est souvent que temporaire. L´IP multicast est généralement utilisé
pour des applications multimédias telles que le LAN TV ou « Desktop Conferencing ».
Le multicast est surtout intéressant dans ce type d’application puisqu’il permet de considérablement réduire la
charge du réseau. Imaginons qu’il soit nécessaire de transmettre des données à une centaine de stations. En
transmission unicast il serait nécessaire de transmettre ces données autant de fois qu’il y a de stations. En multicast
les données ne sont envoyées qu’une seule fois. Elles sont ensuite dupliquées pour être réparties sur tous les liens du
réseau où se trouvent les stations réceptrices de façon à ce qu’elles reçoivent toutes les données.
Les communications en multicast IP pour se réaliser doivent obéir à trois critères qui ont été établis par l
´IETF - Internet Engineering Task Force :
 Adressage : Les adresses multicast IP utilisées sont de classe D et sont allouées dynamiquement. Voici
la structure binaire d’une adresse IP de classe D :

Elles regroupent donc les adresses comprises entre 224.0.0.0 et 239.255.255.255 .

 Abonnement dynamique : la RFC 1112 définit le protocole IGMP (Internet Group Management
Protocol). IGMP spécifie comment une station peut informer le réseau qu’elle appartient à un groupe
multicast.

 Routage multicast : il existe trois standards de routage IP multicast :

 DVMRP : Distance Vector Multicast Routing Protocol, dont la description est donné dans la RFC
1075.

 MOSPF : Multiple Open Shortest Path First, qui est en fait une extension d’OSPF en lui permettant en
plus de supporter le multicast IP. Sa description est donnée dans la RFC 1584.

 PIM : protocole multicast pouvant être utilisé avec tous les protocoles unicasts.
En conclusion on retiendra l’aspect très flexible des Vlans par multicast IP.

5. Combinaison de VLANs
Ce n´est pas ici un autre type de Vlan mais simplement comme l’indique le titre une possibilité offerte par certains
constructeurs de switchs. Il est en effet possible avec certains switchs de mixer les types de Vlan pour s’adapter à
certains types de réseaux particuliers.
Prenons l’exemple d’un réseau dans lequel sont utilisés les protocoles IP et Netbios. Une solution possible sera :
 Vlan par protocole pour le range IP

 Vlan par adresse MAC pour les stations Netbios

C´est à l’administrateur de décider quelle solution s’adaptera le mieux à son réseau. Il dispose d’une grande liberté
tout en restant dans les limites des LANs existants et des possibilités offertes par les constructeurs de matériel. De
plus avec l’apparition de nouveaux types de Vlans les possibilités offertes à l’administrateur vont s’agrandir dans le
futur. Les solutions possibles seront donc variées, ce qui permettra de proposer dans chaque cas une solution pointue
et idoine.

6. Communication des informations relatives aux VLANs

Les équipements d’interconnexion qui se trouvent à l’intérieur de réseaux virtuels doivent pourvoir avoir une
compréhension de la structure interne des réseaux virtuels et avoir une connaissance des autres équipements
présents. Ces informations peuvent, par exemple, être « A quel(s) Vlan(s) appartient cette station ? ». Cette
communication inter éléments du réseau, plus particulièrement inter commutateurs (en effet, les commutateurs sont
maintenant beaucoup plus utilisés que les simples ponts) est donc essentiel pour le bon fonctionnement des réseaux
virtuels.
Bien sûr, il est évident que ce problème de communication inter commutateurs ne se pose pas si le réseau ne
comprend qu’un seul commutateur parce que, dans ce cas, le commutateur connaît l’ensemble du réseau. On parle
de communication inter commutateurs uniquement pour les réseaux ayant au moins deux commutateurs. Il est
évident que cette condition est le cas pour la plus grande majorité des réseaux.
Deux types de communications inter commutateurs différentes sont définies :
 La communication implicite : ce type de communication est utilisé pour les Vlans de niveau III. Ainsi
l’information contenue dans les trames, par exemple une adresse IP permet de savoir à quel réseau
virtuel appartiennent ces trames. Ainsi l’information est contenue implicitement dans la trame, il n’y a
aucune autre information à ajouter.

 La communication explicite : ce type de communication est surtout employé pour les Vlans de niveau
I, c’est-à-dire basé par les ports d’attache des stations et les Vlans de niveau II, c’est-à-dire basés sur
les adresses MAC des stations. Le format de trame « de base » ne permet en effet pas de renseigner sur
l’appartenance à tel ou tel réseau virtuel. Il faut donc rajouter de façon explicite ces informations par
certaines méthodes, explicitées ci-après.
Pour résoudre le problème de communication inter commutateurs, trois méthodes ont été développées :
 La méthode de la « Table Maintenance via Signaling » :

 La méthode du « Time Division Multiplexing » :

 La méthode du « Frame Tagging » :

1. Table Maintenance via Signaling

Cette méthode procède de la manière suivante :
Quand une station de travail diffuse sa première trame, le commutateur résout la concordance entre soit l’adresse
MAC de la station où soit son port d’attache, et son appartenance à un Vlan et garde ce résultat dans son cache de
table d’adresse. Cette information est alors diffusée de manière continue à tous les autres commutateurs du réseau.
Quand une appartenance à un Vlan change, ces caches d’adresses sont mis a jour et à nouveau diffusés sur le réseau
pour que l’ensemble des commutateurs mettent à jour ces informations.
Lorsque la taille du réseau augmente et que de nouveaux commutateurs sont ajoutés, la diffusion constante des
tables (le « Signaling ») peut être la cause de la congestion du backbone. C´est pourquoi la « scalability » de cette
méthode n´est pas bonne, c’est-à-dire qu’elle n´est pas adaptée à un agrandissement de l’échelle du réseau.
2. Time Division Multiplexing
La méthode du Time Division Multiplexing, ou TDM, fonctionne de la même manière qu’elle soit employée pour le
support des Vlans au niveau de la communication inter commutateurs au niveau du backbone, que pour le support de
trafic de type différent. Des tranches de temps sont allouées et réservées pour chaque Vlan. Ainsi durant une certaine
durée, c´est le trafic appartenant au Vlan 1 qui va circuler, puis durant la tranche de temps suivante de même durée,
c´est le trafic du Vlan 2 qui va circuler. Ainsi, à tour de rôle, chaque Vlan va pouvoir transporter le trafic qui lui est
associé.
Cette approche permet d’éviter que des trames supplémentaires d’information transitent sur le réseau (comme c´est
le cas avec la méthode de la « Table Maintenance via Signaling ») ou d’éviter l’overhead apporté par la méthode du
« Frame Tagging ». Par contre, le principal inconvénient de cette méthode est que les tranches de temps accordées à
chaque Vlan (les « Time Slot ») sont de même durée, ainsi si on a un Vlan qui a beaucoup de trafic et un autre avec
extrêmement peu de trafic, alors le temps accordé au Vlan « muet » est perdu alors qu’il aurait pu être utile au Vlan
qui a beaucoup de trafic. La solution future passerait par l’allocation dynamique des tranches de temps suivant les
besoins des Vlans.
 3. Frame Tagging
Le « Frame Tagging » ou « Marquage de trame » est une méthode qui consiste à rajouter une entête dans chaque
trame. Cette entête renseigne sur l’appartenance de cette trame à tel ou tel réseau virtuel. Cette méthode est
explicitée de façon plus complète dans la partie « Solution Propriétaire et normes » de ce rapport.
Le principal inconvénient de cette méthode est l’ajout d’overhead au trafic.

7. Solutions propriétaires et normes

Comme lors de l’arrivée de toutes nouvelles technologies sur le marché des télécommunications et des réseaux, les
Vlans ont tout d’abord été abordés de manières différentes par les différents constructeurs. Ainsi chaque constructeur
a développé son propre support et sa propre implémentation de chaque type de Vlans. Pour cette raison, les
équipements Vlans des constructeurs ne sont pas compatibles entre eux. Cette incompatibilité oblige donc les
entreprises à confier le déploiement des Vlans à un seul et unique constructeur. Ainsi cette fidélité « forcée » permet
d’assurer un marché durable pour chaque entreprise qu’équipe un constructeur, et ainsi de permettre le suivi et la
mise à jour de ces équipements propriétaires.
Pour permettre une harmonisation des produits supportant les différents types de Vlans et de permettre une
standardisation des protocoles utilisés, deux standards de Vlans ont été proposés :

1. IEEE 802.10 « Vlan Standard »

Ce premier standard a été proposé par la compagnie Cisco Systems en 1995 qui l’a appelé modestement « Vlan
Standard ». Cisco Systems a donc proposé d’utiliser le standard 802.10, qui avait été établi originellement pour
spécifier un début de solutions sécuritaires à l’intérieur de ce qui allait devenir par la suite les Vlans.
Cisco Systems a essayé de « détourner » l’entête de trame optionnelle 802.10 pour l’utiliser et implémenter le Frame
Tagging au lieu de la laisser utile aux spécifications de sécurité pour lesquelles elle était prévue originellement.
Bien sûr, cette solution permettait de définir un standard pour les Vlans, mais le comité de l’IEEE responsable de
l’ensemble des normes 802 s’est opposé rigoureusement au fait qu´un même standard soit utilisé pour définir deux
concepts différents : le concept de définitions des Vlans et celui permettant la sécurité interne aux Vlans.
De plus, cette solution, proposée par Cisco Systems et basée sur une entête pouvant contenir des champs de
longueurs variables, ne permettait pas une implémentation aisée au niveau des composants ASICs des switchs et ni
d’obtenir des performances maximales de ces équipements et l’implémentation serait plus coûteuse.

2. IEEE 802.1Q
En mars 1996, le comité 802.1 de l’IEEE a défini ce qui allait devenir le standard pour les Vlans. Ce comité a
spécifié à la fois l’approche architecturale des Vlans, un standard pour le Frame Tagging qui permet le dialogue
entre des équipements Vlans de divers constructeurs et a montré les orientations futures des Vlans.
Le format standardisé du Frame Tagging, connu sous le nom de IEEE 802.1Q, permet d’apporter l’élément
manquant de cette communication entre les différents constructeurs et le déploiement rapide des Vlans à l’intérieur
des entreprises, qui ont été réconfortés sur la pérennité de leurs investissements.
Tous les grands acteurs du marché des Vlans que sont, entre autres, 3Com, Cisco Systems, FORE Systems, Bay
Networks supportent ce standard.
Mais le temps d’implémenter le standard 802.1Q dans leurs divers équipements et avec également le désir d´unifier
les plates-formes d’administration des Vlans, les constructeurs continuent à fournir des équipements qui gardent
certaines caractéristiques propriétaires et donc n’assurent pas une parfaite compatibilité.
Le standard de l’IEEE 802.1Q a choisi de ne pas mettre en œuvre un Spanning Tree par Vlan mais un Spanning Tree
sur l’ensemble de la topologie pontée. Ainsi la topologie de chaque réseau virtuel est un sous ensemble de la
topologie arborescente élaborée par le Spanning Tree. Ainsi les ports bloqués lors du déroulement de cet algorithme
restent bloqués pour l’ensemble des Vlans. L’évolution futur de ce standard prévoit d’implémenter la deuxième
solution, c’est-à-dire un Spanning Tree par Vlan, mais la complexité de cette solution devra être diminuée par
l’arrivée d’équipements plus puissants.
Exemple du Protocole Spanning Tree(schéma)

Cette norme laisse le libre choix aux constructeurs de choisir pour un apprentissage d’adresses MAC par Vlan ou un
apprentissage d’adresses de manière globale. La première solution, appelée « Multiple Filtering Database » ou «
MFD », permet à un même coupleur d’appartenir à plusieurs Vlans simultanément. La seconde solution, appelée «
Single Filtering Database » ou « SFD », ne rend toujours pas possible cette simultanéité d’appartenance.
 3. Le Frame Tagging
Le standard IEEE 802.1Q a permis une définition théorique des Vlans. Ce standard prévoit qu´un maximum de 4095
Vlans est envisagé. Ce standard utilise donc la technique du marquage de trames (Frame Tagging) comme moyen de
communication. Le Frame Tagging permet d’une part de savoir à quelle Vlan appartient une trame (une trame ne
peut appartenir qu’à un seul Vlan) et permet, en plus, d’ajouter un niveau de priorité à la trame.
De plus, ce standard découpe les équipements d’interconnexion en deux catégories :
 Les équipements qualifiés de Vlan aware qui connaissent la présence de réseaux virtuels et qui savent
les gérer.

 Les équipements qualifiés de Vlan unaware qui ne savent pas gérer les réseaux virtuels.
Il faut donc une compatibilité entre les équipements Vlan aware et Vlan unaware si ces deux sortes d’équipements
se trouve sur le même réseau. Il y a donc un Vlan par défaut défini dans le standard.
Ce standard défini également trois types de lignes :
 Les liens d’accès : ce sont les segments menant aux équipements Vlan unaware.

Exemple de lien d’accès(schéma)

 Les liens Trunk : ce sont les segments inter-switch véhiculant que des trames taggées. Ces segments
peuvent être soit des liaisons point à point soit de véritables réseaux.
Exemple de liens Trunk(schéma)
 Les liens hybrides : ce sont les liens où peuvent transiter à la fois des trames taggées et des trames non
taggées. Sur ce type de liens, il y a donc à la fois des équipements Vlan aware et des équipements
Vlan unaware. De plus, les trames circulant sur ce type de liens doivent respecter, dans un Vlan
donné, le même format, c’est-à-dire le format taggée ou le format non taggée.
Exemple de lien hybrides(schéma)
La forte majorité des liens est de type hybride car il existe toujours le besoin de compatibilité avec l’existant.
Il faut garder à l’esprit que l’ajout d’en-tête dans une trame impose de posséder des équipements d’interconnexion
de plus grande puissance. En effet, les ponts et commutateurs devant traiter les trames taggées doivent avoir des
capacités de mémoire, de cpu et de bande passante importantes pour ne pas perdre en efficacité. Ces équipements
doivent en effet examiner les champs de la trame taggée, ajouter ou enlever des champs suivant avec quels autres
type d’équipement ils dialoguent, et également recalculer les CRC.
1. Structure d’une trame Ethernet taggée
Le schéma suivant montre une trame de type Ethernet ou IEEE 802.3 (sous-entendu sans LLC). Le Frame Tagging
est constitué de quatre octets rajoutés entre le champ « Adresse Source » et le champ soit « Longueur » soit « Type »
suivant si c´est une trame Ethernet ou 802.3.

Ainsi le Frame Tagging rajoute quatre octets à la longueur de la Trame. Pour remédier à cela, le supplément IEEE
803.ac décrit une longueur maximale de trame dépendant de la valeur du champ qui suit le champ « Adresse Source
». Si ce champ a une valeur qui indique qu’il s’agit du TPID (Tag Protocol Identifier - Identifiant de protocole de
Marquage), la taille maximale passe alors de 1518 octets à 1522 octets ; La taille maximale reste par contre à 64
octets. Cette extension de la longueur de la trame permet d’éviter qu’une trame taggée de 1522 octets ne soit
éliminer.
Structure d’une trame Ethernet taggée (schéma)
DA : Destination Adresse Long/type : Longueur ou type de la trame
SA : Source Adresse Data : Champ donnée
TPID : Tag Protocol IDentifier FCS : Frame Check Sequence
TCI : Tag Control Information
Si le type de trame est Ethernet ou 802.3, le TPID à la valeur 8100.
Les deux octets du champ TCI se décomposent de ma façon suivante :
Structure du Tag Control Information
Le champ « User Priority » permet d'assigner une priorité à la trame. C´est le standard IEEE 802.1p qui défini cette
entête du TCI. Les trois bits du TCI permettent donc de spécifier 8 niveaux de priorité, 0 étant le plus bas niveau de
priorité et 7 le niveau le plus prioritaire.
 Le bit CFI « Canonical Format Indicator » peut servir lors de l'encapsulation d'un format de trames d'un LAN vers
un autre. Il précise si les adresses MAC qui peuvent apparaître dans le champ DATA suivent un format canonique ou
non.
Pour une trame Ethernet ou 802.3, un CFI ayant 1 comme valeur indique qu´un RIF (Routing Information Field) est
présent après le Tagging. C´est alors un bit du champ RIF, le bit NCFI, qui précise si le format des adresses MAC
contenues dans le champ DATA est canonique ou non.
Le champ VID « Vlan IDentifier » permet d´indiquer à quel réseau virtuel appartient une trame. Ce champ est
définit sur 12 bits, il y a donc 4095 Vlans possibles en plus du Vlan 0 qui est une valeur particulière de ce champ
car, dans ce cas, cela signifie que la trame n´appartient à aucun Vlan, alors l´association Vlan/Trame sera effectuée
comme pour une trame non taggée. Ce cas se produit lorsque la station se sert du Frame Tagging uniquement pour le
bénéfice du champ « User Priority ».
De plus, par définition, le Vlan 1 est le Vlan par défaut.
2. Structure d´une trame Token Ring ou FDDI taggée
Si le Frame Tagging est utilisé pour une trame Token Ring ou FDDI, une encapsulation SNAP sera employée :
Structure d'une trame Token Ring ou FDDI taggée(schéma)
DA : Destination Adresse OUI : Organisation Union Identifier
SA : Source Adresse TPID : Tag Protocol Identifier
RIF : Routing Information Field TCI : Tag Control Information
LLC : Logical Link Control Data : Champ donnée
FCS : Frame Check Sequence
Pour le cas de la trame Token Ring ou FDDI, le bit CFI égal à 1 signifie que le format des trames MAC présentes
dans le champ DATA est non canonique. Si le bit CFI est égal à 0, alors ces mêmes adresses MAC sont de format
canonique.
3. Le protocole GVRP
Le standard IEEE 802.1Q exploite le Protocole GARP comme protocole d'indication de présence d'un réseau virtuel
sur un segment. GVRP « GARP Vlan Registration Protocol » permet aux équipements Vlan aware de faire savoir
aux autres équipements qu'ils gèrent activement tel Vlan sur un segment LAN. L'objectif est de permettre que des
informations ne concernant aucun équipement sur un segment ne soit diffusées sur ce segment. Cela est rendu
possible en procédant à l'inverse, par l'enregistrement possible des Vlans d'appartenance sur chaque port.
Les équipements Vlan unaware ne peuvent pas utiliser le protocole GVRP et ainsi indiquer la présence du Vlan
auquel ils appartiennent de manière automatique.
Toujours pour des besoins de compatibilité, les équipements Vlan aware doivent exclure (ou respectivement
inclure) le Frame Tagging lorsqu'une trame va (ou respectivement provient) d'un équipement Vlan unaware. Bien
sur, cette manipulation de trame représente une perte de performance car, entre autre, le CRC est recalculé à chaque
manipulation de trame.
L'adresse de diffusion de GVRP est 01-80-C2-00-00-21.
4. Encapsulation
Ainsi, le standard IEEE 802 .1Q profite de l'ajout du Frame Tagging, ce qui permet d'une part d'insérer un RIF dans
une trame Ethernet, et d'autre part de préciser le format des trames MAC qui ne sont pas dans l'en-tête MAC, utile
pour redéfinir les modes de pontage en environnement hétérogène. Le Frame Tagging offre donc une possibilité de
codage lors de conversion lors de changement d'environnement.
Le standard IEEE 802.1Q prend en compte les divers critères de chaque protocole et les exploite pour ainsi définir
l'ensemble des combinaisons :
E : format des trames Ethernet V 2.0.
ou L : format des trames 802.3 LLC.
C : format canonique des adresses MAC présentes dans le champ « DATA ».
ou N : format non canonique des adresses MAC présentes dans le champ « DATA ».
R : pontage Source Route.
ou T : pontage Transparent Route.
C : topologie Ethernet ou 802.3 (CSMA/CD).
ou R : topologie Token Ring ou FDDI.
T : Frame Tagging explicite.
ou I : Frame Tagging implicite.
Une combinaison est par exemple : E-C-T/C-I qui représente l'Ethernet le plus courant.
Il y a donc 32 combinaisons possibles.
L'ensemble de ces combinaisons est décomposé en trois familles, H, Q et Q+H.
La famille de combinaison H correspond au standard 802.1H (ISO 11802-5) et au RFC 1042. La famille de
combinaison Q correspond au standard 802.1Q. La famille de combinaison H+Q correspond aux familles
précédentes.
Ce regroupement de combinaison en famille permet de proposer une méthode rigoureuse qui permet le changement
de média sans se préoccuper des conversions nécessaires. Ainsi le Frame Tagging est utilisé pour indiquer le format
de représentation de la trame.
Les trois familles sont décrites dans le tableau suivant :

H: X-X-X/C-I X-X-X/R-I X quelconque

Q: X-X-X/C-I X-X-X/C-T
X-X-X/R-I X-X-X/R-T
H+Q : X-X-X/Y-T X-X-X/Z-T Y différent de Z
U différent de V
X-X-X/U-W X-X-X/V-Y
et W différent de Y
Tableau des familles H, Q, H+Q
Le protocole GVRP de l'IEEE 802.1Q, que nous venons de détailler repose sur le fonctionnement du protocole
GARP défini dans la norme IEEE 802.1p.

4. IEEE 802.1p
Pour faciliter les performances des commutateurs et des ponts, cette norme introduit des classes de service
permettant d'échanger du trafic prioritaire en cas de congestion de ces équipements. Ainsi, ce flux prioritaires a la
possibilité de passer par des files d'attente plus rapides que le flux considéré comme de priorité normale
.
Ainsi, huit niveaux de priorité ont été définis par la norme 802.1p. la hiérarchie de ces priorité est disposée de la
manière suivante :
Files d'attente Type de trafic
Arrière-plan
Effort moyen
Excellent effort
Faible priorité
Charge contrôlée
Haute priorité
Vidéo
Voix
Contrôle du réseau
Classe de priorité
Bien que la norme définisse huit niveaux de priorité, le nombre de files d'attente n´est pas défini et peut varier entre
1 et 7. Le choix est donc laissé libre au constructeur.
Ainsi, à l'intérieur d'un pont ou d'un commutateur, les trames en attente en sortie d'un port en file d'attente de priorité
N ne seront pas écoulées tant que les files d'attente de priorité supérieure (au moins N+1) sont vides.
Ceci implique donc que l'ordonnancement des trames n´est conservée qu'à l'intérieur des files d'attente et non pas
entre les files d'attente.
5. Le protocole GARP
Le protocole GARP « Generic Attribute Registration Protocol » permet aux équipements de s'enregistrer auprès des
ponts et des commutateurs en leur fournissant quelques renseignements. Le protocole GVRP, utilisé dans la norme
IEEE 802.1Q, se base sur ce protocole. Il n´est donc pas utilisé en tant que tel dans les Vlans mais il est comme
même nécessaire de comprendre le fonctionnement de GARP pour mieux appréhender le protocole GVRP.
Le protocole GARP est adapté au environnement où une trame peut être perdue. Ainsi l'enregistrement d'une
machine avec ces divers paramètres n´est valable que pour une période fixée. Le pont ou le commutateur informe,
de manière régulière, (de l'ordre de la dizaine de seconde par défaut), qu'il va effacer tous les enregistrements. Ainsi
les machines désirant conserver les mêmes attributs doivent à nouveaux se déclarer.
La trame GARP est de la forme suivante :
Trame GARP
L'en-tête MAC contient l'adresse destination (DA) qui permet la distinction entre les applications exploitant GARP
employées. Dans le cas des Vlans et de l'applications GVRP, l'adresse destination est de la forme DA = 01-80-C2-
00-00-2X.
Le champ « GARP PDU » se décompose de la forme suivante :
GARP PDU
L'identifiant du protocole GARP a la valeur Protocol ID = 0001.
La structure de chaque champ « message » se découpe de la manière suivante :
Structure du champ Message
Les différents champs compris dans le format « Message » sont :
 Attribute Type :

Champ défini par l'application GARP et définit quelle topologie d'information se trouve dans le champ «
Attribute Value ».

 Attribute Length :

Champ de longueur des trois champs Length + Event + Value.

 Attribute Event :

Champ opérateur.

0 : LeaveAll : Tous les enregistrements vont être résiliés.

1 : JoinEmpty : Déclaration de la valeur d'attribut, sans enregistrement de la station.

2 : JoinIn : Déclaration de la valeur, après enregistrement préalable.

3 : LeaveEmpty : Dé-enregistrement de la valeur, sans enregistrement.

4 : LeaveIn : Dé-enregistrement de la valeur, après enregistrement.

5 : Empty : Pas de déclaration ni d'enregistrement de la valeur.

 Attribute Value :

Champ dépendant de l'application GARP utilisée.

Dans les cas où un équipement, pont ou commutateur, ne connaissant pas le protocole GARP, reçoit une trame
GARP, il la retransmet sans aucun problème car il la considère comme une simple trame de diffusion.
Pour conclure, il faut garder à l'esprit que l'aspect de la standardisation des réseaux virtuels est un élément important
de leur déploiement aux seins des entreprises. En effet, les entreprises ne veulent pas être dépendantes d'un seul
constructeur et l'harmonisation des différentes méthodes utilisées permettra de consolider la norme et de faire baisser
le prix des équipements supportant les Vlans.

8. Avantages apportés par l'implémentation de Vlans

Nous allons étudier, dans cette partie, l'intérêt pour une entreprise, suivant ses divers caractéristiques (nombre de
poste, budget, organisation) à implémenter une solution de réseaux virtuels.
1. Réduction du coût de changement et de mouvement
La raison la plus souvent donnée pour justifier l'implémentation des réseaux virtuels à l'intérieur d'une entreprise est
de permettre la réduction des coûts lorsque les utilisateurs changent, par exemple, de service et de bureau de travail.
Ces coûts peuvent devenir très importants dans le cas d'une entreprise où il y a souvent des réorganisations internes.
Par contre, il n´est pas facile de chiffrer ce coût car ce n´est pas seulement un coût monétaire, c´est également un
coût en terme de temps passé par l'administrateur du réseau pour les nouvelles configurations (ce qui revient en fait
également à un coût budgétaire car le temps passé à l'administrateur est un temps où il est payé et qu'il pourrait
occuper à quelques occupations plus bénéfiques pour l'entreprise, comme développer de nouveaux services pour les
utilisateurs).
Les constructeurs avancent donc cet argument pour encourager l'installation des réseaux virtuels dans une entreprise.
Ainsi, la configuration des Vlans se réalise de manière dynamique et libère le temps de l'administrateur.
Les réseaux virtuels permettent que ce ne soit plus la position physique de la station de travail qui décide de son
appartenance à tel ou tel sous réseau mais sa configuration logique. Ainsi, dans un environnement IP, une station
changeant de département doit avoir les plus souvent une nouvelle adresse IP attribuée et un nouveau masque car
elle change de sous réseau. Dans le cas de Vlans de niveau III, par adresse IP, il n'y aucune modification à réaliser
dans la configuration de la machine.
Mais il faut garder à l'esprit que l'implémentation des réseaux virtuels peut être, lors de l'installation, coûteuse à
l'entreprise en terme de budget et de temps de configuration. Ainsi, avant de prendre la décision d’implémenter les
Vlans, une entreprise devra bien réaliser si elle en a vraiment besoin et si cette implantation lui sera vraiment
bénéfique et ne générera pas plus d'administration de réseau qu'elle en fera économiser.
2. Création de groupe de travail « virtuel »
Un des plus ambitieux objectifs de l'implémentation de réseaux virtuels est la création de groupes de travail. Ainsi,
des personnes travaillant sur des mêmes projets ou dans des mêmes entités partageront le même LAN logique même
s'ls sont sur des segments physiques différents. Ainsi les groupes de travail constitués appartiennent au même
domaine de broadcast.
Le choix des Vlans pour une entreprise dynamique qui a besoin de groupes de travail ponctuels peut ainsi bénéficier
d'une organisation simplifiée. Sans changer de bureau ou de configuration, une station de travail peut rejoindre un
nouveau groupe de travail, peut le quitter tout aussi facilement ou même appartenir à plusieurs groupes de travail en
même temps.
La logique du modèle des groupes de travail ponctuels peut suivre cet exemple : des équipes de travail réunis pour
un projet temporaire. La règle des 80/20 explique que, à l'intérieur d'un groupe de travail, 80 % des échanges se font
en interne au groupe, c'est-à-dire entre les membres de ce groupe et seulement 20% du trafic se situe entre les
membres du groupe et le monde extérieur. Ainsi, la création de groupes virtuels par le biais des Vlans permet de
limiter la diffusion de broadcast et donc de ne pas polluer tout le réseau pour des échanges qui ne sont le plus
souvent qu'entre les membres du groupe virtuel.
De plus, lorsque le projet est réalisé, il est tout aussi facile à l'administrateur du réseau de « détruire » le Vlan qui lui
était associé et de replacer chaque membre dans une nouvelle équipe s'il le doit.
Ainsi cette gestion de groupe de travail par le biais des réseaux virtuels permet à l’administrateur du réseau
d'économiser sont temps en évitant les re-configurations de chaque machine à chaque création de groupe de travail.
Il n'a plus à penser au niveau physique, c’est-à-dire il ne doit plus se poser la question « les membres du groupe
sont-ils placés sur le même segment physique ? » mais il doit au contraire raisonner au niveau logique avec l'aide
des réseaux virtuels.
Le concept de groupe virtuel permet également de palier au problème que certain utilisateur n'ont pas accès de
manière simplifiée à certaines ressources réseaux, par exemple, les imprimantes. Par exemple, un utilisateur faisant
partie du Vlan « Comptabilité » et situé dans un bureau où il n'y a que des personnes du Vlan « Gestion des ventes ».
Dans ce bureau, l'imprimante située fait également partie du Vlan « Gestion des ventes ». Donc à chaque fois que
l'utilisateur du Vlan « Comptabilité » veut imprimer sur l’imprimante de son bureau, son fichier à imprimer doit
voyager et doit traverser le routeur qui relie ces deux réseaux virtuels.
Ce problème, qui implique de mauvaises performances, peut être résolu par le partage des ressources qu'apporte la
solution des réseaux virtuels. Ainsi, en plaçant l’imprimante à la fois dans le Vlan « Gestion des ventes » et dans le
Vlan « Comptabilité », le fichier à imprimer n'aura plus à traverser le routeur.
3. Réduction du nombre de routeurs
La politique actuelle des constructeurs des équipements d'interconnexion est « Switch when you can, route when
you must », c’est-à-dire, que l'architecte d'un réseau doit ponter (ou commuter) dès qu'il peut et seulement router
quand il y est obligé. Cette politique provient du fait qu´un pont (ou un commutateur) est plus rapide qu´un routeur.
Le pont (ou le commutateur) travaille au niveau II du modèle OSI et ainsi à moins de champs d'information à traiter
par rapport à un routeur qui travaille au niveau III du modèle OSI.
Mais, il faut garder à l'esprit la différence principale entre un pont(ou un commutateur) et un routeur : les routeurs
retiennent les broadcasts alors que les ponts les laissent passer. Ainsi des réseaux pontés et de grande taille sont
inondés par les broadcasts, ce qui a pour conséquence une utilisation de la bande passante. C´est pour cela que les
architectes ont préféré, il y a quelques années, partitionner le réseau à l’aide de routeurs, avec à l’esprit ce besoin de
rétention de broadcasts.
L'un des avantages est justement qu´un réseau virtuel représente un domaine de broadcast. Ainsi les commutateurs
peuvent être utilisés pour retenir les broadcasts et ainsi réduire le besoin de routeurs.
La diminution du nombre de routeur dans un réseau apporte les avantages suivants :
 Des performances plus grandes.

 La réduction du temps de latence.

 Une administration plus aisée.

 Une baisse des coûts.

1. Des performances plus grandes

La performance des routeurs et des commutateurs peut être comparée par le nombre de paquets (pour les routeurs) et
de trames (pour les commutateurs) traités par seconde. De manière générale, un commutateur peut traiter un nombre
bien plus important d'entités par seconde par rapport à un routeur. En effet, comme il a été évoqué un peu avant, le
commutateur n'analyse qu´un petit nombre de champs dans la trame alors que le routeur doit étudier de nombreux
champs dans son paquet.
Bien sûr, la fonction Vlan implémentée sur un commutateur va lui faire diminuer le nombre de trames qu’il traite par
seconde car de nouveaux champs sont rajoutés et donc sont à étudier. De plus, dans le cas des communications entre
commutateurs aware et commutateurs unaware, il faut enlever ou rajouter les champs correspondant à la trame
802.1Q et ainsi les performances vont encore plus décroître.
Mais de manière générale, même avec le ralentissement dû à l'utilisation des réseaux virtuels, un commutateur
travaille plus rapidement qu´un routeur et donc l'utilisation des commutateurs à la place de routeurs ne peut
qu'améliorer les performances du réseau.
2. La réduction du temps de latence
Cet avantage découle de l'avantage précédent. En effet, le temps de traitement au niveau des routeurs étant plus
élevé qu'au niveau des commutateurs, le temps de latence est donc plus grand au niveau d’un routeur qu'au niveau
d’un commutateur. Ce temps de latence est très important pour les applications futures. En effet, les applications de
type multimédia vont réaliser une grande percée et les réseaux devront pouvoir supporter ces nouvelles applications.
Elles seront la plupart du temps gourmandes en terme de bande passante mais également en terme de qualité de
service. Le délai de transmission deviendra un critère important pour les applications interactives.
Ainsi l'utilisation des Vlans permettra d'assurer d'une part une rétention des broadcasts mais d'autre part permettra
d'utiliser des commutateurs au lieu des routeurs pour permettre de diminuer le temps de latence.
3. Une administration plus aisée
Un autre avantage des commutateurs par rapport aux routeurs est leur niveau de complexité de configuration. La
configuration d’un routeur est souvent lourde, en effet il es nécessaire de connaître les tables de routages, de
rediriger suivant les diverses interfaces.
La configuration d’un commutateur est beaucoup plus simple, on le branche sur le réseau, il se met en apprentissage
et devient opérationnel. Ainsi le temps passé à la configuration des équipements d’interconnexion va diminuer.
Bien sûr, nous touchons avec ce problème un point important pour les administrateurs de réseau. Encourager le «
plug and play » des commutateurs est comme scier la branche sur laquelle est assis le responsable Télécom d’une
entreprise. En effet, c´est un peu « tuer » le travail de l’administrateur du réseau.
Mais il reste un besoin de connaissance nécessaire afin d'utiliser les logiciels de configuration des Vlans donc la
présence du responsable Télécom reste une évidence.
4. Une baisse des coûts
Le prix du port d’un routeur est plus élevé que le prix du port pour un commutateur. (Les prix des équipements
Vlans sont abordés dans un prochain chapitre de ce rapport). Ainsi les Vlans permettent de segmenter un réseau (en
terme de diffusion de broadcast) pour un coût bien moindre qu'une segmentation par le biais de routeurs.
Nous avons donc étudié que l’utilisation des Vlans et des commutateurs permet de réduire le nombre des routeurs
dans les réseaux et d'apporter des améliorations tant au niveau performance avec une réduction des temps de latence
qu’au niveau de la simplicité de configuration et du coût de déploiement.
Mais ce n´est pas pour cela que le routeur est voué à disparaître. En effet, il reste obligatoire pour deux raisons :
 Apporter une connectivité entre les réseaux virtuels.

 Gérer la rétention de broadcast au niveau des liens WAN.

5. Apporter une connectivité entre les réseaux virtuels

Les réseaux virtuels peuvent permettre d’utiliser des commutateurs pour établir des domaines de broadcast mais ils
ne peuvent pas permettre d’utiliser ces mêmes commutateurs pour interconnecter différents réseaux virtuels. Le
routage est donc utilisé pour le trafic inter Vlan.
Ainsi la maxime « Switch when you can, route when you must » devient, dans le monde des Vlans, « Routing is
used only to connect Vlans », c’est-à-dire que l'on doit commuter à l'intérieur des Vlans, mais que pour les
interconnecter entre eux, on doit utiliser des routeurs.
6. Gérer la rétention de broadcast au niveau des liens WAN
L’utilisation des réseaux virtuels n´est pas très approprié pour les liens WAN.
En effet, ce problème provient déjà du nom même des réseaux virtuels : Vlan, Virtual LAN. Donc les Vlans, par
définition, sont prévus pour le LAN et non pas pour le WAN.
Pourtant, les réseaux virtuels, pourraient en théorie, être étendus au niveau WAN. Mais cette possibilité n´est pas
conseillée car si un lien WAN fait partie d’un Vlan, il fera partie d’un domaine de broadcast et ainsi l'ensemble de
broadcast de ce domaine traverseront le lien WAN et utiliser de la bande passante. De plus, si ce lien WAN est un
lien où la tarification se fait à la durée d'utilisation (par exemple, un lien RNIS), alors l'émission de broadcast
ouvrira à chaque fois la connexion de la ligne et la facture fournira à l'entreprise une bonne raison de changer son
responsable Télécom.
D’autre part, la diffusion des broadcast utilisera de la bande passante utile sur le lien WAN.
Par contre, les réseaux virtuels peuvent être utilisés pour des liens WAN si les conditions suivantes sont présentes :
  Pas de liens de coûts WAN : dans le cas d’une ligne spécialisée par exemple, les réseaux virtuels
peuvent être envisagés.

 Une bande passante adaptée : il ne faut pas que l'émission de broadcast utilise toute la bande passante
de la ligne pour ne pas gêner les utilisateurs.

4. Sécurité
Le principal avantage du déploiement des réseaux virtuels est l'aspect au niveau sécurité qu'ils apportent. En
effet, les réseaux virtuels délimitent des domaines de broadcast, donc des zones qui peuvent servir à l’administrateur
pour définir des droits d'accès. Ainsi, des politiques de sécurité peuvent être appliquées pour des ensemble
d'individus.
De plus, ces politiques de sécurité peuvent être très finement réglées car l’administrateur du réseau peut décider le
dialogue autorisé ou non entre les divers réseaux virtuels. Ainsi, il peut placer les serveurs de manière judicieuse
pour établir des listes d’accès aux ressources et ainsi remplacer les routeurs qui jouaient ce rôle (le terme de liste
d’accès - access list en anglais - est une commande qui est utilisée dans la configuration des routeurs).
Pour illustrer ce dernier exemple, prenons le cas d’une entreprise avec trois services :
 Le service des Ventes (Sales).

 Le service de Comptabilité (Accounting).

 Le service d'Ingénierie (Engineering).

Cette entreprise dispose de cinq serveurs :
 Le serveur de messagerie (Email Server), qui fournit la messagerie pour chaque utilisateur qui travaille
dans cette entreprise, ce serveur doit donc être accessible à tous.

 Le serveur où se trouve la base de données de la comptabilité (Accounting Database Server), où se

situent les données les plus vitales de l'entreprises. Seuls les utilisateurs du service Comptabilité
doivent avoir le droit d'y accéder.

 Le serveur où se trouve la base de données des ventes (Sales Database Server) , où les utilisateurs
faisant partie du service Ventes on le droit d’y accéder, mais également les utilisateurs du service
Comptabilité afin de pouvoir facturer aux clients aux tarifs exacts.

 Le serveur de fichiers, fonctionnant sous NetWare (NetWare File Server), où les personnes des services
Comptabilité et Ventes stockent leurs fichiers.

 Le serveur de fichier UNIX (UNIX File Server), qu'utilisent les ingénieurs du service ingénierie.
L’administrateur du réseau qui doit déployer des réseaux virtuels doit ainsi créer un tableau entre les utilisateurs et
les ressources afin de savoir qui a accès à quelle ressource.
Le tableau pourrait être de la forme suivante :
Accounting Sales Database NetWare File UNIX File
Email Server
Database Server Server Server Server
Sales X X X
Accounting X X X
Engineering X X X

X : Signifie que les utilisateurs de ce service ont accès à la ressource.

Un blanc signifie que les utilisateurs de ce service n’ont pas accès à la ressource.
Une fois ce tableau réalisé, l’administrateur sait exactement comment doivent être configurés les réseaux virtuels.
Il va créer trois réseaux virtuels :
 Le réseau virtuel « Accounting Vlan » qui comportera l’ensemble des utilisateurs du service
Comptabilité.

 Le réseau virtuel « Sales Vlan » qui comportera l’ensemble des utilisateurs du service Ventes.

 Le réseau virtuel « Engineering Vlan » qui comportera l’ensemble des utilisateurs du service
Ingénierie.
Le schéma suivant montre la configuration finale des réseaux virtuels de cette entreprise :
Exemple de partage de serveurs
Un autre avantage sécuritaire provenant de l’utilisation des Vlans est l'impossibilité pour une personne d'écouter le
trafic (« sniffer ») afin de récupérer des mots de passe ou tout autres styles d'informations si elle ne fait pas partie du
Vlan.
Ce besoin de sécurité est donc très adapté aux entreprises qui désirent maintenir une forte étanchéité entre des
services distincts d'utilisateurs. Les droits d’accès aux ressources du réseau sont maintenus par l’utilisation des
réseaux virtuels. Il faut garder à l’esprit que dans une entreprise, l’utilisateur n´est pas considéré comme fiable (plus
de 60 % des problèmes de sécurité lié au piratage viennent des personnes internes à l'entreprise).

9. Les Vlans et le DHCP

La généralisation récente du protocole DHCP « Dynamic Host Configuration Protocol » par Microsoft afin de
proposer une alternative pour réduire le temps passé par l'administration des adresses IP des stations de travail peut
produire des conflits avec l’utilisation des Vlans, surtout dans l'implémentation des Vlans de niveau III, basés sur les
adresses IP.
1. Rappel sur le protocole DHCP
Microsoft a développé le protocole DHCP afin de résoudre le problème de gestion et d'attribution d'adresses IP dans
un réseau. Cette solution est basée pour les réseaux en environnement TCP/IP et est incorporé au Windows NT
Server et à la majorité des clients Windows (Windows 95, Windows 98, NT Workstation). Le protocole DHCP
permet d'allouer des adresses IP à des stations de travail pour des certaines périodes de temps (appelée bail). Un
serveur DHCP peut également fournir bien d'autres renseignements à la station : Adresse IP du « Default Gateway »,
adresse IP des DNS, des serveurs WINS .
Il y a deux possibilités de DHCP :
 Le DHCP dynamique : le serveur DHCP possède des adresses IP contenues dans une ou plusieurs
plages d'adresses et les attribue de manière dynamique aux stations de travail se connectant
logiquement au réseau.

 Le DHCP statique : le serveur attribue une adresse IP à la station en tenant compte de l'adresse MAC
de cette station. L’administrateur du réseau a donc défini la correspondance entre chaque adresse MAC
des stations de travail et une adresse IP. Ainsi, en DHCP statique, par rapport au DHCP dynamique,
une station a toujours la même adresse IP.

2. Vlan et DHCP statique

L’utilisation d’un serveur DHCP fonctionnant de manière statique ne pose aucune incompatibilité avec la présence
d’un ou plusieurs réseaux virtuels. Cependant il faut qu’il y ait une des conditions suivantes :
 Le serveur DHCP doit faire partie de tous les réseaux virtuels ayant des stations de travail travaillant en
DHCP. En effet, quand une station de travail se connecte logiquement sur un réseau, elle diffuse (broadcast)
une entité signifiant qu'elle a besoin d’une adresse IP, le serveur DHCP répondra à son broadcast par l'envoi
de l’adresse IP associée a son adresse MAC. Ainsi, pour répondre au broadcast de la station, il faut donc
que le serveur DHCP appartienne bien au même domaine de broadcast que la station donc au même réseau
virtuel. Il faut donc que le serveur appartienne à chaque Vlan.
 Au lieu d'avoir un serveur DHCP appartenant à tous les Vlans, il peut y avoir un serveur DHCP par Vlan
(mais cette solution est beaucoup plus onéreuse dans le cas où le serveur DHCP est une machine dédiée).
De plus, il faut prévoir un serveur DHCP ne faisant partie d'aucun Vlan pour les stations qui arrivent sur le
réseau sans une appartenance à un réseau virtuel et qui demande une adresse IP (mais attention aux
problèmes de sécurité qui peuvent en résulter.)
3. Vlan et DHCP dynamique
Le problème de la coexistence entre la présence de Vlans et un environnement en DHCP peut se poser si le serveur
DHCP travaille en DHCP dynamique. Ainsi une même station de travail n’aura pas obligatoirement toujours la
même adresse IP mais une adresse IP appartenant au range d'adresse accordé par le serveur DHCP. Donc si les
réseaux virtuels travaillent en niveau III, avec les adresses IP, le réglage pour l’administrateur du réseau devient très
minutieux voir un véritable casse-tête.
Ainsi le temps gagné par l'emploi de Vlan pour faciliter son organisation de réseau va être perdu pour cette nouvelle
tache qui est de trouver l'organisation optimum entre la répartition d’adresse IP par DHCP et le regroupement de
stations au sein de Vlans.
Par contre une coexistence entre une configuration DHCP dynamique et des Vlans de niveau II, c’est-à-dire par
adresse MAC, peut être envisagée. En effet, L’ensemble des stations fera partie de deux ensembles ne travaillant pas
au même niveau OSI. D’un coté, les Vlans travaillant au niveau II et de l'autre, la configuration DHCP travaillant au
niveau III. Ainsi, les problèmes posés précédemment par un serveur DHCP dynamique sont évités.
Il y a également la possibilité de coexistence entre les Vlans de niveau I, par port, et le DCHP dynamique, toujours
pour la raison que cela ne concerne pas le même niveau du modèle OSI.

10. Automatisation dans la configuration de Vlans

Un des éléments importants à prendre en compte avant le déploiement des réseaux virtuels dans une société est de
choisir le degré d'automatisation qui régira l'administration future des réseaux virtuels. Ainsi, le travail de
l’administrateur du réseau sera différent suivant le mode de configuration choisie.
Il existe trois modes de configuration possible :
 Configuration manuelle.

 Configuration semi-automatique.

 Configuration automatique.
Il est clair que le choix du type de réseaux virtuels qui va être choisi va être déterminant pour le mode de
configuration qui lui sera associé. Nous allons donc voir les avantages et les inconvénients de ces différents types de
configurations possibles et d'automatisations possibles.
1. Configuration manuelle
Avec ce type de configuration qui est purement manuel, à la fois l'installation et l'exploitation future des réseaux
virtuels (le déplacement d’utilisateurs, les formations de groupes de travail.) seront contrôlées et effectuées par
l’administrateur du réseau.
La configuration manuelle des réseaux virtuels a pour principale avantage de permettre un haut degré de contrôle
puisque c´est l’administrateur du réseau qui placera chaque personne dans le ou les réseaux virtuels adéquats.
Par contre, le défaut principal est que, pour une entreprise qui commence à être de taille respectable (plus de 500
utilisateurs), le travail d'installation peut devenir laborieux pour l’administrateur du réseau. Car il faut garder en
mémoire qu´un des bénéfices voulus par l'implémentation de réseaux virtuels est de permettre un gain de temps de
configuration. Or si l’installation est très laborieuse et très longue, cet avantage ne se retrouvera sûrement pas sur
l’ensemble du processus d'utilisation des réseaux virtuels.
2. Configuration semi-automatique
Une configuration semi-automatique peut être utilisée de deux manières :
La première possibilité est d’avoir une installation de style automatique et une administration et une exploitation
manuelle. Ainsi la configuration initiale peut être accomplie par le biais d'outils qui permettent de mapper une
architecture à base de réseaux virtuels sur une architecture déjà existante (par exemple, des sous-réseaux IP). Une
fois l’installation réalisée de manière automatique », l’exploitation se déroule comme pour l’exploitation de la
configuration manuelle, c’est-à-dire que c´est l’administrateur du réseau qui effectuera chaque changement de
personnes aux seins des réseaux virtuels.
La seconde possibilité de configuration, de type semi-automatique, est de réaliser de manière manuelle l’installation
des différents réseaux virtuels et de laisser l’exploitation future à des outils appliquant des politiques de sécurité.
Ainsi, le gain de temps sera important pour l’administrateur qui n’aura pas besoin d’avoir autant d'attention pour
l’administration. Par contre, il devra quand même surveiller si les politiques de sécurité sont bien appliquées et pas
détournées pour éviter des trous de sécurité. Il est donc faux de dire qu’il n’aura plus rien à effectuer par la suite.
3. Configuration automatique
Le type de configuration automatique implique que la configuration et l’administration future du réseau virtuel
seront régit par des polices. Les stations pourront rejoindre ou quitter un réseau virtuel de manière dynamique et
automatique, si bien sûr les polices leur donnent ce droit.
Ce mode de configuration est surtout associé aux réseaux virtuels par protocole ou par application. Ainsi, un
utilisateur pourra rejoindre tel ou tel réseau virtuel suivant son User ID, suivant l'application qu’il utilise. Toutes ces
règles étant définies par l’administrateur du réseau.
On peut imaginer une police qui permet à toutes personnes non référencée dans le réseau de pouvoir s'y connecter,
mais elle n'hériterait que d’un statut d'invité et n'aurait accès qu'aux ressources non vitales pour l’entreprise. Par
exemple, un accès au serveur World Wide Web externe de l’entreprise.
11. Tarifs des équipements supportant les Vlans
Chaque constructeur tel que Cisco, 3Com, Xylan, Bay Networks ou bien encore Cabletron a donc sa propre
approche en terme de matériel supportant les réseaux virtuels.
Les prix des commutateurs de leurs différentes gammes n’ont que peu de surcoût par rapport aux équipements ne
supportant pas les Vlans. Il faut en effet compter, environ 20% de coût supplémentaires entre un commutateur
supportant les réseaux virtuels et un ne les supportant pas.
Il faut garder en mémoire que chaque constructeur n´est pas dans la course aux réseaux virtuels depuis le même
nombre d'années donc les performances des équipements sont différentes d’un constructeur à l’autre.
  En annexe I de ce rapport se trouve le matériel de chaque constructeur ainsi que les coordonnées du
constructeur.

 En annexe II de ce rapport se trouvent les caractéristiques des équipements Vlans testés (Nombre de
port, type des interfaces.).

 En annexe III de ce rapport se trouvent les prix de ces équipements.

 En annexe IV et V de ce rapport se trouvent les tests de chacun de ces équipements.

 En annexe VI, VII, VIII et IX de ce rapport se trouve la fiche d'identité de chaque équipement testé.
12. Outils d'administration des Vlans
En effet, lors du choix du constructeur pour installer une solution de réseaux, il faut tenir compte du logiciel livré
pour l’administration des réseaux virtuels.
Ces logiciels sont des outils graphiques que ce soit dans l'environnement Windows de Microsoft que dans
l'environnement UNIX avec les librairies MOTIF.
Ces outils permettent le plus souvent de gérer les réseaux virtuels avec l’aide de la souris par « drag and drop ». La
configuration des réseaux virtuels est donc facilitée et évite d'entrée des commandes au clavier. D’un simple clic et
un déplacement de souris, l’administrateur du réseau peut changer un utilisateur de réseau virtuel.
Tous les constructeurs du marché ont leur propre logiciel d'administration. Il faut garder, que même si ces
constructeurs sont conformes au standard 802.1Q, ils rajoutent des options qui ne sont seulement disponibles pour
leurs matériels que par l’aide de leur propre logiciel d’administration.
Voici une liste des outils proposés par les constructeurs :
 Cisco : VlanDirector.

 Cabletron : SecureFast VLAN Manager.

 3Com : Transcend Network Management.

1. Cisco : VlanDirector
Cisco propose ainsi son propre logiciel d’administration de réseaux virtuels, la suite VlanDirector.
La capture d´écran suivante montre que ce logiciel est un outil graphique. A l’aide de la souris, les stations de travail
peuvent être déplacées de groupes en groupes.
Capture d´écran de Vlan Director
VlanDirector est un outil basé sur SNMP et permet donc de gérer les commutateurs Cisco.
VlanDirector a les caractéristiques suivantes :

 Permet une auto-découverte de la topologie du réseau et affiche à l´écran l’ensemble des routeurs et
des commutateurs Cisco du réseau.

 Représente de manière graphique l´architecture de chaque réseau virtuel ainsi que les recouvrements
de Vlans.

 Utilise l´outil CiscoView pour permettre une configuration et une administration graphique des réseaux
virtuels.

 Permet une méthode aisée pour ajouter, supprimer ou modifier les utilisateurs de tel ou tel Vlan.

 Utilise un outil qui permet de voir si les politiques utilisées ne sont pas en désaccord entre elles.

 Intègre une plate-forme de management SNMP, incluant Solstice SunNET Manager et HP OpenView.

Capture d´écran de CiscoView

2. Cabletron : SecureFast VLAN Manager

L´outil d’administration des réseaux virtuels de Cabletron, Vlan Manager, repose sur l´outil de management snmp de
Cabletron : Spectrum. Mais Vlan Manager peut également s´appuyer sur Solstice SunNET Manager, HP OpenView
ou IBM Netview/6000.
Cet outil graphique permet, de manière graphique, d´administrer et de surveiller les réseaux virtuels.
Il y a de nombreuses façons d´accéder à la base de données des réseaux virtuels. Une possibilité est d’utiliser la «
Delta Table », dont voici une capture d´écran :
Capture d´écran de Vlan Manager
3. 3Com : Transcend Network Management
Ce logiciel de 3Com a les caractéristiques suivantes :
 Un management de bout en bout : il permet de gérer l’ensemble des équipements 3Com du réseau :
hubs, commutateurs, routeurs. Il permet de surveiller et de détecter les congestions au niveau de ces
équipements.

 Il supporte l’ensemble des standards SNMP, RMON, 802.1Q.

 Une création simple et une modification aisée des équipements Vlans sous un environnement
graphique.

13. Conclusion
Les Vlans, Virtual Local Area Networks, introduisent donc un nouveau concept à l´intérieur des entreprises. En
effet, cette technologie a le potentiel pour répondre au besoin de mouvement en interne des entreprises. Ainsi, une
entreprise peut réorganiser l’ensemble de ces services ou de ces groupes de travail sans que le responsable Télécom
n´est à passer de longues heures à reconfigurer l’ensemble des machines du parc.
De plus, le déploiement des réseaux virtuels permet d´apporter une sécurité à cet ensemble et permet à
l’administrateur du réseau un réglage des droits d’accès aux ressources qui peut être très fin suivant le type de réseau
virtuel choisi.
Les entreprises qui ont déployé ou qui prévoient de déployer un grand nombre de ports commutés, de diviser le
réseau en plus petits segments pour augmenter la bande passante par utilisateur, ont la possibilité, avec
l’implémentation des réseaux virtuels, d’avoir une excellente solution pour contenir les broadcasts. De plus, les
Vlans vont ainsi permettre à l’entreprise de songer à des réorganisations futures sans se soucier de la situation
physique de l´existant informatique. Ainsi, le déploiement de réseaux virtuels est un choix stratégique pour
l’entreprise pour ainsi diminuer les coûts de déplacement des utilisateurs entre les services.
L’administrateur du réseau a donc a sa disposition plusieurs types de réseaux virtuels, et il devra choisir celui adapté
à ses besoins.
Le tableau suivant résume les différentes caractéristiques de chaque type de Vlans :
Tableau récapitulatif des différents type de Vlans
L’administrateur du réseau doit donc faire des choix entre une facilité d’installation, une plus grande sécurité ou une
finesse plus judicieuse des possibilités d´appartenance des utilisateurs entre les différents réseaux virtuels (la
granularité). Il n’y a pas un meilleur type de réseaux virtuels. Pour chaque entreprise, il y a une solution différente.
Mais il faut garder à l’esprit que l´on ne peut pas avoir, à la fois la meilleure sécurité, la meilleure granularité, tout
en ayant une facilité d’installation et d’administration de l’ensemble. De plus, il faut prévoir, lors de
l’implémentation des Vlans, que l´échelle du réseau peut augmenter et il faut que la solution choisie puisse
également suivre cette évolution (le concept de « scalability »).
Ce n´est donc que le début du déploiement des réseaux virtuels. Il est très vraisemblable que les Vlans par
application se multiplient dans un futur proche et il faut également garder en mémoire que les nouveaux systèmes d
´exploitation qui voient le jour comme Novell NetWare 5.0 avec son NDS et Microsoft avec l´ADS de NT 5.0 font
permettre d´associer des profils utilisateurs aux ressources réseaux. Ainsi, ce n´est plus la machine qui permettra
d’avoir accès à ces ressources mais les logins d´usagers qui leur donneront les droits sur les équipements et les
différentes ressources du réseau.

14. Glossaire
802.10 : Standard établi par l´IEEE pour le marquage de trame (Trame Tagging) afin de spécifier la sécurité
interne à un réseau local.
802.1Q : Standard de l´IEEE qui ajoute un champ (au minimum de quatre octets) utilisé par les réseaux virtuels pour
sa signalisation.
Appletalk : Protocole mis en place par Apple décomposé en sept couche tel le modèle OSI.
Broadcast : aussi appelé trame de diffusion, c´est une trame qui est destinée à tous les éléments présents sur le LAN
de l´émetteur du broadcast.
GMRP : GARP Multicast Registration Protocol : permet d´abonner ou de désabonner des adresses dans des groupes
de diffusion multicast.
GVRP : GARP Vlan Registration Protocol : permet d´abonner ou de désabonner des adresses dans des réseaux
virtuels.
IP : Internet Protocol, protocole définissant un mécanisme de transmission sans connexion et sans reprise.
IPX : Internet Packet Exchange
MAC : Medium Access Control, on parlera d’adresse MAC pour désigner les adresses de niveau 2 du modèle OSI.
Multicast : Mode de transmission d’un équipement vers n autres.
Netbios : Network Basic Input/Output System interface - créé par Microsoft et IBM
OSI : Open Systems Interconnection, définit l´architecture réseau selon un modèle découpé en sept couches, chaque
couche devant offrir un service à la couche supérieure et utiliser les services de la couche inférieure.
Overhead : rapport entre les données à transporter (payload) et les données rajoutées utiles à l´acheminement de l
´information.
Paquet : Entité de niveau III du modèle OSI.
Pont : Elément d’interconnexion entre segment ou réseau travaillant au niveau II du modèle OSI.
Protocole : Ensemble de règles, appliquées par les constructeurs et les utilisateurs d´équipement de transmission de
données, afin que ces derniers puissent communiquer. En générale, les protocoles différencient trois points :
 Codage ou représentation des données.

 Méthode de réception des données (synchrone, asynchrone.).

 Détection et correction d´erreurs.

RMON : Standard pour le surveillance à distance de réseau.
Routeur : passerelle entre deux réseaux commutant sur une adresse de niveau réseau (niveau 3 du modèle OSI).
Spanning Tree Protocol : protocole permettant de constituer un arbre de recouvrement à partir de n´importe quelle
topologie pontée, de manière à ce que tout point du réseau soit accessible par n´importe quelle feuille de l´arbre
(évite les boucles dans les réseaux pontés pouvant donner lieu à des Broadcasts Storm).
Tagging Explicite : Sert à marquer une trame lorsque les informations contenues dans cette
trame ne permettent pas d´identifier son réseau virtuel d´appartenance.
Tagging Implicite : Utilisé quand les informations de la trame renseigne sur son réseau virtuel d´appartenance.
Trame : entité de niveau II du modèle OSI délimité par deux fanions.
Unicast : Mode de transmission d’un équipement vers un autre.
VLAN : Virtual Local Area Network, assimilé à un domaine de broadcast, c´est une technologie applicable dans une
architecture commutée.
WAN : Wide Area Network. Réseau fédérateur de taille supérieure à celle d’une métropole.

15. Bibliographie

16. Index

17. Annexes
L’ensemble de ces annexes provient du site http://www.cmpnet.com.

1. Annexe I : Coordonnées des constructeurs d´équipements Vlans

Vendor Location Phone URL
Agile/ATMmizer 125 Concord, Mass. 508-263-3600http://www.agile.com
Bay/System
Santa Clara, Calif. 408-988-2400http://www.baynetworks.com
5000/Module 58000
Cabletron/MMAC-Plus
Rochester, N.H. 603-332-9400http://www.cabletron.com
Securefast
DEC/Multiswitch
Maynard, Mass. 508-692-2562http://www.networks.digital.com
900/DECswitch 900
Madge/LANswitch San Jose, Calif. 408-955-0700http://www.madge.com
Newbridge/Vivid Herndon, Va. 703-834-3600http://www.vivid.newbridge.com
3Com/Superstack II
Santa Clara, Calif. 408-764-5000http://www.3com.com
1000
3Com/Corebuilder 7000 Santa Clara, Calif. 408-764-5001http://www.3com.com
3Com/Corebuilder 2500 Santa Clara, Calif. 408-764-5002http://www.3com.com
3Com/Superstack II
Santa Clara, Calif. 408-764-5003http://www.3com.com
2700
Xylan/Omniswitch Calabasas, Calif. 818-880-3500http://www.xylan.com
 2. Annexe II: Caractéristiques des équipements Vlans (Interfaces)
10Base-T
Vendor Product Interfaces Full-duplex
interfaces
10Base-T, 100Base-
Agile/ATMmizer Fast
ATMmizer 125 3.33 T, 12
125 Ethernet
155-Mbit/s ATM
System 5000:
10Base-T, 100Base-
System 5000 with Model System
Bay/System T, FDDI; BLN:
58000 Ethernet Switching System 5000,5000:
5000/Module 10Base-T, 100Base-
Module, and Backbone Link 112; BLN, 16 Ethernet,
58000 T,
Node (BLN) router 10.01-5 fast Ethernet
155-Mbit/s ATM,
FDDI, token ring
Ethernet,
10Base-T, 100Base-
fast
T,
Cabletron/MMAC MMAC-Plus Securefast Ethernet,
gigabit Ethernet,504
-Plus Securefast Smartswitch v1.05.00 gigabit
155-Mbit/s ATM,
Ethernet,
FDDI, token ring
FDDI, ATM
10Base-T, 100Base-
DEC/Multiswitch
Multiswitch 900 andT,
900/DECswitch 48 No
DECswitch 900 155-Mbit/s ATM,
900
FDDI, token ring
10Base-T, 100Base-
T,
Madge/LANswitch LANswitch 2.0 128 128Base-F
155-Mbit/s ATM,
FDDI, token ring
10Base-T, 100Base-
T,
Newbridge/Vivid Vivid 2.1 12 Ethernet
155-Mbit/s ATM,
FDDI
10Base-T, 100Base- Fast
3Com/Superstack Superstack II Switch 1000
T, 24 Ethernet,
II 1000 3.0
155-Mbit/s ATM ATM
10Base-T, 100Base- Fast
3Com/Corebuilder
Corebuilder 7000 3.2 T, 144 Ethernet,
7000
155-Mbit/s ATM ATM
10Base-T, 100Base-
Fast
3Com/Corebuilder T,
Corebuilder 2500 8.1.1 16 Ethernet,
2500 155-Mbit/s ATM,
ATM
FDDI
3Com/Superstack Superstack II Switch 270010Base-T, 155-
12 ATM
II 2700 2.21 Mbit/s ATM
10Base-T, 100Base-
T, Ethernet,
Xylan/Omniswitch Omniswitch 3.0 96
155-Mbit/s ATM, fast Ethernet
FDDI, token ring

3. Annexe III: Caractéristiques des équipements Vlans (Prix)

Routing
Concurrent SNMP/RMO
Vendor between Price
VLANs N
VLANs
Agile/ATMmizer 65,535 External Yes/no $1,692/$16,300
125 router
Bay/System
External
5000/Module 64 No/no $312/$1,495
router
58000
Peer-to-peer
Cabletron/MMAC
1,024 multilayer Yes/yes $250/$4,495
-Plus Securefast
mapping
DEC/Multiswitch
900/DECswitch 250 Internal router Yes/yes $1,084/$4,090
900
Yes/yes, for10-BaseT Switched, $590;
Internal
Madge/LANswitc switch 10-BaseT Group
256 hardware
h environment Switched, $315; 10Base-T
router
(SMON) Shared, $115/$4,095
256 routed orServer-based,
Newbridge/Vivid Yes/yes $937/$11,199
2,000 bridged pre-MPOA
3Com/Superstack One-armed
16 Yes/yes $177/$4,250
II 1000 ATM router
3Com/Corebuilde One-armed
16 Yes/yes $664/$16,400
r 7000 ATM router
3Com/Corebuilde One-armed
96 Yes/yes $825/$6,095
r 2500 ATM router
3Com/Superstack One-armed
12 Yes/yes $700/$8,400
II 2700 ATM router
Internal 5-slot chassis,
Xylan/Omniswitc
3,072 hardware Yes/yes $518/$3,500; 9-slot
h
router chassis, $449/$5,950

4. Annexe IV: Test de capacité des équipements Vlans (1/2)

Agile Bay Cabletron DEC
GENERAL/Multiple VLANs Verified Not available Verified Not available
GENERAL/Multiple policies per
Verified Not available Verified Not available
port
GENERAL/Broadcast spoofing Not available Not available Verified Not available
GENERAL/Logical VLANs Verified Not available Verified Not available
GENERAL/Automatic VLANs Verified Not available Verified Not available
GENERAL/Random moves Verified Not available Verified Not available
PORT-BASED VLANs/1 VLAN Not available Verified Verified Verified
PORT-BASED VLANs/2 on 1
Not available Verified Verified Verified
chassis
PORT-BASED VLANs/2 on 2
Not available Verified Verified Verified
chassis
PORT-BASED VLANs/4 VLANs Not available Verified Verified Verified
MAC-BASED VLANs/1 VLAN Verified Not available Verified Not available
MAC-BASED VLANs/MAC
Verified Not available Verified Not available
address
MAC-BASED VLANs/Multiple
Verified Not available Verified Not available
VLANs
IP SUBNET-BASED VLANs/12
Verified Not available Verified Not available
VLANs
AUTOMATIC VLAN/Appletalk Verified Not available Verified Not available
AUTOMATIC VLAN/BPDU Verified Not available Verified Not available
AUTOMATIC VLAN/DECnet Verified Not available Verified Not available
AUTOMATIC VLAN/IPX Verified Not available Verified Not available
AUTOMATIC VLAN/IPX SAP Verified Not available Verified Not available
AUTOMATIC Verified Not available Verified Not available
VLAN/Netbios/Netbeui

5. Annexe V: Test de capacité des équipements Vlans (2/2)

Madge Newbridge 3Com Xylan
Not
GENERAL/Multiple VLANs Not available Verified Verified
available
GENERAL/Multiple policies per Not
Not available Verified Verified
port available
Not
GENERAL/Broadcast spoofing Not available Not available Not available
available
Not
GENERAL/Logical VLANs Not available Not available Verified
available
GENERAL/Automatic VLANs Verified Verified Verified Verified
GENERAL/Random moves Verified Verified Verified Verified
PORT-BASED VLANs/1 VLAN Verified Verified Verified Verified
PORT-BASED VLANs/2 on 1
Verified Verified Verified Verified
chassis
PORT-BASED VLANs/2 on 2
Verified Verified Verified Verified
chassis
PORT-BASED VLANs/4 VLANs Verified Verified Verified Verified
MAC-BASED VLANs/1 VLAN Not available Not available Verified Verified
MAC-BASED VLANs/MAC
Not available Not available Verified Verified
address
MAC-BASED VLANs/Multiple Not
Not available Not available Verified
VLANs available
IP SUBNET-BASED VLANs/12
Verified Verified Verified Verified
VLANs
Not
AUTOMATIC VLAN/Appletalk Not available Verified Verified
available
Not
AUTOMATIC VLAN/BPDU Not available Not available Verified
available
Not
AUTOMATIC VLAN/DECnet Not available Verified Verified
available
AUTOMATIC VLAN/IPX Verified Verified Verified Verified
Not
AUTOMATIC VLAN/IPX SAP Not available Not available Verified
available
AUTOMATIC
Not available Verified Verified Verified
VLAN/Netbios/Netbeui

6. Annexe VI : Fiches d´identité de chaque équipement (1/4)

Agile/ATMizer Bay/System 5000/58000 Bay/Backbone Link
125 Module Node
Boxborough,
GENERAL/Location Santa Clara, Calif. Santa Clara, Calif.
Mass.
GENERAL/Telephone
508-263-3600 408-988-2400 408-988-2400
number
http://www.agile.c http://www.baynetwork http://www.baynetworks
GENERAL/Web site
om s.com .com
System 5000 with
GENERAL/Product ATMmizer 125 Model 58000 EthernetBackbone Link Node
Switching Module
GENERAL/Software
3.33 0 10.01-5
version
PHYSICAL/Ethernet
6 16 4
ports/card
PHYSICAL/Token
0 0 4
ring ports/card
PHYSICAL/100Base-
1 10 2
T ports/card
PHYSICAL/FDDI
0 2 1
ports/card
PHYSICAL/25-Mbit/s
0 0 0
ATM ports/card
PHYSICAL/155-
1 0 1
Mbit/s ATM ports/card
PHYSICAL/Ethernet
12 112 16
ports/chassis
PHYSICAL/Token
0 0 16
ring ports/chassis
PHYSICAL/100Base-
5 70 8
T ports/chassis
PHYSICAL/FDDI
0 14 4
ports/chassis
PHYSICAL/25-Mbit/s
0 0 0
ATM ports/chassis
PHYSICAL/155-
Mbit/s ATM 5 0 4
ports/chassis
<F