VLAN - Théorie
VLAN - Théorie
VLAN - Théorie
Les VLAN sont l’un des concepts les plus important dans un réseau informatique.
Tout réseau un tant soit peu évolué, se doit de contenir des VLAN.
Avant d’attaquer des notions plus complexes, attardons nous sur la théorie de base.
Sans l’utilisation de VLAN, un switch va permettre de connecter plusieurs machines dans un m ême sous
réseau. On dit alors que le switch permet d’étendre le domaine de Broadcast.
Si l’on souhaite utiliser plusieurs sous réseaux, il nous faut alors plusieurs switchs.
La création d’un nouveau sous réseau engendrera forcément l’achat d’un nouveau switch, qui sera
connecté sur un port libre du routeur (si tant est qu’il en reste).
De plus, les machines d’un même sous réseau seront forcément regroupées de manière physique.
Imaginons que le sous réseau 192.168.1.0 /24 soit à l’étage 1, et le sous réseau 192.168.2.0 /24 à l’étage
2 de notre entreprise.
Comment faire si nous souhaitons placer à l’étage 2 des utilisateurs du sous réseau 192.168.1.0 /24 ?
Nous serons obligés de tirer un câble jusqu’au swi tch de l’étage 1, afin de placer un nouveau switch à
l’étage 2.
Vous l’aurez compris, en utilisation basique (donc sans VLAN), un switch n’est pas très pratique, si nous
souhaitons utiliser des sous réseaux différents.
Et il n’est pas question de mettre tout le monde dans un même sous réseau (pour des questions de
sécurité, de performance, etc…).
L’idéal serait de pouvoir connecter les utilisateurs à n’importe quel switch, tout en les gardant dans leur
sous réseaux respectifs.
Par exemple : 192.168.1.0 /24 sera le VLAN 10, 192.168.2.0 /24 sera le VLAN 20 (le numéro du VLAN est
choisi par l’administrateur réseau).
Le principe est simple : nous configurons les ports des switchs, afin qu’ils appartiennent à un certain
VLAN.
Ensuite, nous pourrons connecter les utilisateurs sur n’importe quel switch, du moment que le port
associé est configuré dans le bon VLAN.
Notre réseau pourrait ressembler à ceci (le switch principal sera un switch de niveau 3):
Peu importe le switch sur lequel l’utilisateur est connecté, il pourra toujours se trouver dans le sous
réseau voulu.
Avec des VLAN, les machines d’un même sous réseau ne sont plus regroupées de manière physique
(connectées au même switch), mais de manière logique.
Le regroupement des utilisateurs de manière logique, va permettre une plus grande flexibilité.
Aussi, les VLAN permettent de réduire les coûts. Comme un switch n’est plus limité à un sous réseau, il
n’est plus nécessaire d’acheter un nouveau switch pour la création d’un nouveau sous réseau.
De plus, nous verrons que cela consomme moins de port sur le routeur (un port du routeur pourra
donner sur plusieurs VLAN/sous réseaux).
Au final, les VLAN permettent de profiter des avantages de la segmentation en sous réseau, sans être
limités par les switchs.
Pour rappel, dans l’Entreprise Composit Network Model, les VLAN sont propres au bloc.
Le routage entre les VLAN d’un même bâtiment se fera au niveau Distribution.
A retenir
2) Fonctionnement
3 types de VLAN
Nous pouvons dénombrer trois types de VLAN, même si en général, nous n’utiliserons que le pre mier.
Le type de VLAN que l’on retrouve le plus souvent est le VLAN de niveau 1, ou encore appelé VLAN par
port.
Il s’agit ici de configurer les ports du switch pour les placer dans le bon VLAN.
Le VLAN de niveau 2 se base sur les adresses MAC. En fonction de l’adresse MAC source des frames
reçues, le switch va placer ces dernières dans un certain VLAN. Un serveur va contenir la liste de
correspondance VLAN / adresse MAC.
Les VLAN de niveau 3 se basent quant à eux sur l’IP source des paquets reçus.
Prenons un cas concret. Nous avons un nouveau PC à connecter au réseau. Celui-ci doit être placé dans
le sous réseau 192.168.1.0 /24.
D’après notre plan d’adressage, c’est le VLAN 10 qui correspond à ce sous réseau.
Il va donc falloir configurer le port de switch auquel nous souhaitons connecter le PC, de manière à ce
qu’il soit dans le bon VLAN.
Les ports auxquels nous connectons des PC, sont dits des ports Access.
Switch-1(config)#vlan 10
Switch-1(config-vlan)#name support
De manière très simple, nous pouvons assigner d’autres ports à d’autres VLAN.
Switch-1(config)#vlan 20
Switch-1(config-vlan)#name comptabilite
La machine présente dans le VLAN 10 ne pourra alors plus communiquer avec celle dans le VLAN 20,
sans l’aide d’un routeur.
De manière à ce que le routeur puisse router le trafic, il convient bien évidement d’assigner les bonnes
IP aux machines (ou de laisser faire le DHCP). En effet, si nous assignons l’IP 192.168.2.1 à une machine
dans le VLAN 10, le routeur refusera le paquet.
Les ports Access permettent de connecter un PC à un switch, en le plaçant dans le bon VLAN.
A la sortie du lien Trunk, les switchs seront capables de savoir vers quel VLAN renvoyer la frame.
Je tiens à rappeler qu’en aucun cas les switch ne remontent au niveau 3 du modèle OSI (sauf switch de
niveau 3).
Mais alors comment les switchs font pour savoir à quel VLAN appartiennent les frames ?
Afin que les switchs puissent faire la différence entre les frames des différents VLAN, ils vont les taguer.
Prenons un exemple :
PC 1 envoie un message à PC 2.
Les deux PC se trouvent dans le VLAN 10.
Quand S1 transmet la frame à S2, il faut que celui-ci sache à quel VLAN appartient la frame.
802.1Q
ISL
La frame Ethernet est encapsulée dans une nouvelle frame contenant l’identificateur de VLAN :
Pour faire simple, S1 doit envoyer une frame à S2. Cette frame provient du VLAN 10.
Pour envoyer la frame dans le trunk, il va l’encapsuler dans une nouvelle frame, sur laquelle sera indiqué
le numéro de VLAN.
Vous pouvez constater qu’il y a une grande quantité de données utilisée pour pas grand -chose (30
octets pour indiquer un numéro).
802.1Q
CFI : assure la compatibilité entre Token Ring et Ethernet (valeur à 0 pour Ethernet)
Au final, en 802.1Q, seul 4 octets sont ajoutés à la frame pour un passage dans un lien Trunk.
La frame par du PC1. Il s’agit là d’une frame Ethernet tout à fait normale
S1 tague la frame avec le numéro de VLAN 10 (en ISL ou 802.1Q) puis l’envoie sur Fa0/1
4) Vlan Natif
Sur un lien trunk, il existe une notion importante : le VLAN natif.
Le VLAN natif est un VLAN dans lequel seront placées les frames non taguées reçues sur le trunk.
Les frames du VLAN natif sont envoyées sans tag dans le trunk.
Par défaut, le VLAN natif est le 1 sur un Trunk. De plus, tous les ports font partie du VLAN 1, par défaut.
La bonne pratique veut que le VLAN natif ne soit utilisé nulle part ailleurs.
Ainsi, si nous choisissons le VLAN 666 pour être le VLAN natif, celui -ci ne devra jamais être utilisé
ailleurs.
De cette manière, un attaquant qui envoie des frames non-taguées sur un trunk, ne pourra atteindre
aucun sous réseau.
De plus, il est important que le VLAN natif soit le même des deux côtés du trunk.
Si le VLAN natif n’est pas le même des deux côtés, le port sera en partie désactivé (car cela peut causer
des boucles spanning-tree). Seules les frames taguées pourront circuler sur le Trunk.
Il est à noter que le VLAN natif est utilisé par les switchs pour les protocoles DTP (négociation de Trunk),
Spanning-Tree, etc… En effet, ces frames sont envoyées non taguées.
Donc si le VLAN natif n’est pas le même des deux côtés, ces frames-là ne pourront pas circuler.
Les voici :
Access
Trunk
Dynamique Auto
Dynamique Desirable
Les modes Dynamique Auto et Desirable ont pour but de négocier un trunk.
Par défaut, les ports d’un switch sont en mode Dynamique Auto.
Simplement qu’en mode Trunk et Dynamique Desirable, le switch envoie des frames DTP –
Dynamique Trunking Protocol.
Si un port d’un switch est configuré en Dynamique Auto ou en dynamique Desirable, et qu’il reçoit des
frames DTP, il va passer en mode Trunk.
Voici le résultat d’une négociation (S1 Fa0/1 Trunk / S2 Fa0/1 Dynamique Desirable):
Nous pouvons voir le mode configuré (Administrative Mode) et le mode de fonctionnement
actuel (Operational Mode).
A noter qu’il est possible d’entrer la commande suivante pour désactiver l’envoie de DTP :
Switch-1(config-if)#switchport nonegotiate
De cette manière, si un switch est connecté en face, et que son port est en mode Dynamique, il ne
pourra pas négocier de Trunk.
De plus, si un attaquant se connecte sur un port Trunk qui envoie des frames DTP, il lui sera possible de
les analyser, et de simuler un Trunk.
Le mieux est donc du configurer le port comme suit (à faire sur les deux switchs) :
Switch-1(config-if)#switchport nonegotiate
6) Conclusion
Nous voilà arrivé au terme de cet article sur la théorie des VLAN.