AccueilCCNACCNA coursComment séparer son réseau avec les VLAN

Comment séparer son réseau avec les VLAN

Aujourd’­hui, il est plus que fré­quent de voir l’u­ti­li­sa­tion de VLAN au sein d’un réseau d’entreprise.

Quand on branche tous les PC, impri­mantes, ser­veurs sur un switch, ils peuvent com­mu­ni­quer entre eux sans même pré-confi­gu­rer le switch. C’est du plug & play, « on branche, ça fonc­tionne ». On dit que toutes les enti­tés font par­ties du même LAN – Local Area Net­work, ou réseau local en fran­çais.

Au contraire, si vous sou­hai­tez inter­dire la com­mu­ni­ca­tion entre cer­taines enti­tés, par exemple, que cer­tains PC de R & D ne puissent pas com­mu­ni­quer avec les PC de pro­duc­tion, vous avez 2 solutions :

  • bran­cher les PC de R & D sur un second switch
  • ou décou­per « vir­tuel­le­ment » votre switch en deux switchs logiques –> C’est le VLAN

Définition

Selon wiki­pe­dia, « un réseau local vir­tuel, com­mu­né­ment appe­lé VLAN (pour Vir­tual LAN), est un réseau infor­ma­tique logique indé­pen­dant. De nom­breux VLAN peuvent coexis­ter sur un même com­mu­ta­teur réseau. »

Par exemple, les enti­tés bran­chés sur les ports du switch qui sont confi­gu­rés dans le VLAN 2 pour­ront com­mu­ni­quer entre eux et c’est tout. Tous les autres ports du switch qui n’ap­par­tiennent pas au VLAN 2 ne pour­ront pas com­mu­ni­quer avec ceux du VLAN 2.

Dans le sché­ma ci des­sous, on a seg­men­té les PC par groupe de 3. La com­mu­ni­ca­tion entre PC appar­te­nant au VLAN vert est pos­sible mais aucune com­mu­ni­ca­tion ne pour­ra sor­tir de ce VLAN vert pour atteindre d’autres PC du réseau.

Les différentes utilisations de VLAN

Main­te­nant qu’on sait à quoi sert le VLAN, on peut l’u­ti­li­ser en fonc­tion de nos besoins. On peut lis­ter les dif­fé­rents VLANs qu’on aura besoin dans un réseau d’une entre­prise classique :

  • 1 VLAN pour le ser­vice com­mer­cial, 1 VLAN pour le ser­vice admi­nis­tra­tif, 1 VLAN pour le ser­vice ingénierie…
  • 1 VLAN pour le ser­vice de télé­pho­nie sur IP
  • 1 VLAN pour le ser­vice de visioconférence
  • 1 VLAN pour l’ad­mi­nis­tra­tion réseau (impor­tant, on va mettre les équi­pe­ments réseau, switch, rou­teur… dans un VLAN dédié uni­que­ment acces­sible aux sta­tions des admi­nis­tra­teurs réseau)

Appartenance à un VLAN

Com­ment confi­gu­rer un VLAN et attri­buer des enti­tés dans ce VLAN ?

Il y a plu­sieurs solu­tions dont voi­ci les 3 principales :

La pre­mière solu­tion est celle la plus uti­li­sée : On créé le VLAN sur le switch puis on attri­bue ce VLAN sur les ports sou­hai­tés. Par exemple sur le 1er sché­ma, le port du switch qui est bran­ché au PC est confi­gu­ré pour être dans le VLAN 18.

Seconde solu­tion beau­coup moins uti­li­sée : On confi­gure le switch pour qu’il récu­père l’a­dresse MAC qu’il voit tran­si­ter sur le port, puis envoi cette adresse MAC vers un ser­veur VMPS (VLAN Mem­ber­ship Poli­cy Ser­ver) qui fait le lien entre l’a­dresse MAC et le VLAN attri­bué via une base de don­nées. Le ser­veur VMPS indique au switch quel VLAN il faut attri­buer au port. Le prin­ci­pal incon­vé­nient vient de la fra­gi­li­té du ser­veur ; s’il tombe en panne, tout le réseau est bloqué !

Der­nière solu­tion très uti­li­sé dans le cas d’un réseau avec télé­pho­nie sur IP. On uti­lise la 1ère solu­tion pour attri­buer le VLAN au PC. Pour le télé­phone sur IP, on uti­lise le pro­to­cole CDP (Cis­co Dis­co­ve­ry Pro­to­col) pour attri­buer le VLAN voix uni­que­ment au tra­fic voix.

Remarques

  • Le nombre maxi­mum de VLAN que l’on peut créer dépend du type de switch (64, 128, 1024, 4096)
  • Le VLAN 1 est créé par défaut et tous les ports du switch appar­tiennent à ce VLAN
  • Il faut d’abord créer l’identifiant du VLAN puis attri­buer des ports dans ce VLAN
  • On peut don­ner un nom à un VLAN (option­nel), par exemple : 
    • VLAN 1 – Management
    • VLAN 2 – Commerciaux
    • VLAN 3 – Voix
    • VLAN 4 – Finance

De plus, cer­tains VLAN sont réser­vés (donc non uti­li­sables) et d’autres sont créés par défaut :

Configuration d’un VLAN sur un switch

Rien de plus facile… créons le VLAN n°2 que l’on va nom­mer « finance »

SwitchX# configure terminal
SwitchX(config)# vlan 2
SwitchX(config-vlan)# name finance
SwitchX(config-vlan)#end

Attribution d’un port dans un VLAN

On iden­ti­fie le port du switch (par exemple l’in­ter­face fas­te­ther­net 0/1) qui doit être dans le VLAN 2 pré­cé­dem­ment créé :

SwitchX# configure terminal
SwitchX(config)# interface fastethernet 0/1
SwitchX(config-if)# switchport access vlan 2 
SwitchX(config-if)# end
SwitchX# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------
1    default                           active    Fa0/2 
2    finance                           active    Fa0/1

On voit avec la com­mande show vlan que le port Fa0/1 est désor­mais dans le VLAN 2, nom­mé finance.

La com­mande switch­port access vlan 2 per­met de mettre le port Fa0/1 dans le vlan 2. Le port Fa0/1 n’ap­par­tient plus au VLAN pré­cé­dent qui par défaut est le VLAN 1.

Astuce

Pour confi­gu­rer plu­sieurs ports (exemple avec les ports 0/2 à 0/7) dans un VLAN, on peut uti­li­ser la variable range pour confi­gu­rer en une seule fois tous les ports :

SwitchX# configure terminal
SwitchX(config)# interface range fastethernet 0/2 - 7
SwitchX(config-if)# switchport access vlan 2 
SwitchX(config-if)# end
SwitchX# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------
1    default                           active    Fa0/1 
2    finance                           active    Fa0/2, Fa0/3, Fa0/4                                                  Fa0/5, Fa0/6, Fa0/7

Important

Le fait de mettre un port dans un VLAN dépend du mode du port. Je m’ex­plique : dans un switch Cis­co, le port peut être dans 2 modes :

  • mode Access
  • mode Trunk

J’ex­plique les 2 modes dans un autre cha­pitre à venir.

Reve­nons à notre sujet, le port sera donc dans le VLAN que s’il est en mode Access. Pour savoir si le port est en mode Access ou Trunk, vous pou­vez uti­li­ser la com­mande suivante :

SwitchX# show interfaces fa0/2 switchport Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 2 (finance)
Trunking Native Mode VLAN: 1 (default)
...

On voit que le port est en sta­tic access donc c’est bon !

A savoir aussi pour le CCNA

Pour le CCNA, il est impor­tant de savoir que les VLAN per­mettent de limi­ter la pro­pa­ga­tion des mes­sages de broad­cast (c’est à dire j’envoie un mes­sage à tout le monde dans le réseau). En effet, si tout le monde s’a­muse à envoyer des mes­sages de broad­cast alors le réseau va vite saturer.

De même, pour l’exa­men CCNA mais aus­si pour éta­blir un desi­gn cor­rect de son réseau, il faut rete­nir qu’à un VLAN créé, on attri­bue bien évi­dem­ment des ports de switch dans ce VLAN mais sur­tout que les PC bran­chés sur ces ports doivent être dans le même plan d’a­dres­sage IP. En effet, si on seg­mente au niveau 2 par des VLANs, il est pri­mor­dial d’être cohé­rent avec le niveau 3.

Donc à rete­nir pour le CCNA :

  • VLAN = un domaine de broadcast
  • à un VLAN créé, on attri­bue un sous-réseau IP dédié

9 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires