Comment séparer son réseau avec les VLAN

10

Aujourd’hui, il est plus que fréquent de voir l’utilisation de VLAN au sein d’un réseau d’entreprise.

Quand on branche tous les PC, imprimantes, serveurs sur un switch, ils peuvent communiquer entre eux sans même pré-configurer le switch. C’est du plug & play, “on branche, ça fonctionne”. On dit que toutes les entités font parties du même LAN – Local Area Network, ou réseau local en français.

Au contraire, si vous souhaitez interdire la communication entre certaines entités, par exemple, que certains PC de R & D ne puissent pas communiquer avec les PC de production, vous avez 2 solutions:

  • brancher les PC de R & D sur un second switch
  • ou découper “virtuellement” votre switch en deux switchs logiques –> C’est le VLAN

Définition

Selon wikipedia, “un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau.”

Par exemple, les entités branchés sur les ports du switch qui sont configurés dans le VLAN 2 pourront communiquer entre eux et c’est tout. Tous les autres ports du switch qui n’appartiennent pas au VLAN 2 ne pourront pas communiquer avec ceux du VLAN 2.

Dans le schéma ci dessous, on a segmenté les PC par groupe de 3. La communication entre PC appartenant au VLAN vert est possible mais aucune communication ne pourra sortir de ce VLAN vert pour atteindre d’autres PC du réseau.

 

Les différentes utilisations de VLAN

Maintenant qu’on sait à quoi sert le VLAN, on peut l’utiliser en fonction de nos besoins. On peut lister les différents VLANs qu’on aura besoin dans un réseau d’une entreprise classique:

  • 1 VLAN pour le service commercial, 1 VLAN pour le service administratif, 1 VLAN pour le service ingénierie…
  • 1 VLAN pour le service de téléphonie sur IP
  • 1 VLAN pour le service de visioconférence
  • 1 VLAN pour l’administration réseau (important, on va mettre les équipements réseau, switch, routeur… dans un VLAN dédié uniquement accessible aux stations des administrateurs réseau)

Appartenance à un VLAN

Comment configurer un VLAN et attribuer des entités dans ce VLAN?

Il y a plusieurs solutions dont voici les 3 principales:

La première solution est celle la plus utilisée: On créé le VLAN sur le switch puis on attribue ce VLAN sur les ports souhaités. Par exemple sur le 1er schéma, le port du switch qui est branché au PC est configuré pour être dans le VLAN 18.

Seconde solution beaucoup moins utilisée: On configure le switch pour qu’il récupère l’adresse MAC qu’il voit transiter sur le port, puis envoi cette adresse MAC vers un serveur VMPS (VLAN Membership Policy Server) qui fait le lien entre l’adresse MAC et le VLAN attribué via une base de données. Le serveur VMPS indique au switch quel VLAN il faut attribuer au port. Le principal inconvénient vient de la fragilité du serveur; s’il tombe en panne, tout le réseau est bloqué !

Dernière solution très utilisé dans le cas d’un réseau avec téléphonie sur IP. On utilise la 1ère solution pour attribuer le VLAN au PC. Pour le téléphone sur IP, on utilise le protocole CDP (Cisco Discovery Protocol) pour attribuer le VLAN voix uniquement au trafic voix.

Remarques

  • Le nombre maximum de VLAN que l’on peut créer dépend du type de switch (64, 128, 1024, 4096)
  • Le VLAN 1 est créé par défaut et tous les ports du switch appartiennent à ce VLAN
  • Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports dans ce VLAN
  • On peut donner un nom à un VLAN (optionnel), par exemple: 
    • VLAN 1 – Management
    • VLAN 2 – Commerciaux
    • VLAN 3 – Voix
    • VLAN 4 – Finance

De plus, certains VLAN sont réservés (donc non utilisables) et d’autres sont créés par défaut:

 

Configuration d’un VLAN sur un switch

Rien de plus facile… créons le VLAN n°2 que l’on va nommer “finance”

SwitchX# configure terminal
SwitchX(config)# vlan 2
SwitchX(config-vlan)# name finance
SwitchX(config-vlan)#end

Attribution d’un port dans un VLAN

On identifie le port du switch (par exemple l’interface fastethernet 0/1) qui doit être dans le VLAN 2 précédemment créé :

SwitchX# configure terminal
SwitchX(config)# interface fastethernet 0/1
SwitchX(config-if)# switchport access vlan 2 
SwitchX(config-if)# end
SwitchX# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------
1    default                           active    Fa0/2 
2    finance                           active    Fa0/1

On voit avec la commande show vlan que le port Fa0/1 est désormais dans le VLAN 2, nommé finance.

La commande switchport access vlan 2 permet de mettre le port Fa0/1 dans le vlan 2. Le port Fa0/1 n’appartient plus au VLAN précédent qui par défaut est le VLAN 1.

Astuce

Pour configurer plusieurs ports (exemple avec les ports 0/2 à 0/7) dans un VLAN, on peut utiliser la variable range pour configurer en une seule fois tous les ports:

SwitchX# configure terminal
SwitchX(config)# interface range fastethernet 0/2 - 7
SwitchX(config-if)# switchport access vlan 2 
SwitchX(config-if)# end
SwitchX# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------
1    default                           active    Fa0/1 
2    finance                           active    Fa0/2, Fa0/3, Fa0/4                                                  Fa0/5, Fa0/6, Fa0/7

Important

Le fait de mettre un port dans un VLAN dépend du mode du port. Je m’explique: dans un switch Cisco, le port peut être dans 2 modes:

  • mode Access
  • mode Trunk

J’explique les 2 modes dans un autre chapitre à venir.

Revenons à notre sujet, le port sera donc dans le VLAN que s’il est en mode Access. Pour savoir si le port est en mode Access ou Trunk, vous pouvez utiliser la commande suivante:

SwitchX# show interfaces fa0/2 switchport Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 2 (finance)
Trunking Native Mode VLAN: 1 (default)
...

On voit que le port est en static access donc c’est bon!

A savoir aussi pour le CCNA

Pour le CCNA, il est important de savoir que les VLAN permettent de limiter la propagation des messages de broadcast (c’est à dire j’envoie un message à tout le monde dans le réseau). En effet, si tout le monde s’amuse à envoyer des messages de broadcast alors le réseau va vite saturer.

De même, pour l’examen CCNA mais aussi pour établir un design correct de son réseau, il faut retenir qu’à un VLAN créé, on attribue bien évidemment des ports de switch dans ce VLAN mais surtout que les PC branchés sur ces ports doivent être dans le même plan d’adressage IP. En effet, si on segmente au niveau 2 par des VLANs, il est primordial d’être cohérent avec le niveau 3.

Donc à retenir pour le CCNA:

  • VLAN = un domaine de broadcast
  • à un VLAN créé, on attribue un sous-réseau IP dédié
PARTAGER SUR

10 COMMENTAIRES

  1. Bonjour,
    Merci pour l’explication.
    J’ai crée un LAN (réseau d’une agence bancaire), et vraiment je sais pas de quel critère je sépare réseau, Est ce que selon les services Data, Toip, admin, vidéo surveillance ? Ou bien le service DATA doit être aussi divisé en VLAN?
    Cordialement
    S’il vous plaît c’est urgent, pour mon projet de fin d’études

    • Bonjour Tasmine,
      Ton découpage en VLAN par Data, toip, admin, vidéo… est une bonne chose. Pour répondre à ta question sur la data, tout dépend de la “taille” de ta data. Imaginons qu’il y a dans ta banque des commerciaux, des RH, des ingénieurs R&D… alors tu peux dédier un VLAN par entité (un VLAN pour les commerciaux, un VLAN pour les RH…).

  2. Bonjour,
    Merci pour tes cours! je veux faire de la voip dans un LAN constitué de quatre switch (trois switch raccordés à un switch lui meme raccordé à un routeur 2811). Je n’arrive pas à enregistrer les “ephones”!
    comment procéder?

    • Bonjour Chams,
      Merci pour ton commentaire. Pour ta configuration VoIP, il faudrait plus de renseignement. Mais avant d’aller plus loin, je te conseille le site de Cisco avec les documents d’installation de telephones IP-phone.

  3. Bonjour,
    j’ai créé un WAN avec comme protocole de routage OSPF sur packet tracer. Je désire implémenter le service VOIP dans ce wan où les addresses ip des ordinateurs sont attribuées de façon dynamique par un routeur.
    Dans l’un des LAN, comment créer un seul vlan pour plusieurs switch ?

  4. Bonjour, est-ce que le routage inter Vlan permet de conserver les bénéfices de l’utilisation de vlan à savoir réduire le domaine de broadcast?

    • Bonjour,
      Oui le routage inter VLAN permet bien de conserver la notion des domaines de broadcast. Le paquet de broadcast ne traverse pas le routeur donc il reste au sein de son domaine de broadcast.

LAISSER UNE RÉPONSE