sigle.png
Ce site a 2 objectifs : faire une doc technique de mes TP et en faire profiter les autres...

VLAN

VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel). Permet de segmenter un réseau local, en plusieurs sous-réseaux locaux virtuels, indépendamment (sans tenir compte) de l’architecture physique d'une installation.

Il y a plusieurs niveaux de VLAN (selon modèle OSI).

  1. Niveau 1 = VLAN par port, on associe le port d'un switch à un numéro de Vlan
  2. Niveau 2 = VLAN par adresse MAC, on associe l'adresse MAC de l'utilisateur à un numéro de Vlan
  3. Niveau 3 = VLAN par sous-réseau, on associe l'adresse sous-réseau à un numéro de Vlan

Sur cette page, je tenterai de vous donner un maximum d’information sur le VLAN Niveau 1 car le cours que j’ai eu, se limite à ça pour le Niveau 2 et Niveau 3 je vous apporterai peut-être des informations plus tard. Pour mettre en place un VLAN on a besoin d’un switch manageable L2 ou L 3, en l’absence d’un switch réel, on peut utiliser le logiciel de simulation de réseau CISCO Packet Tracer, pour faire des exercices.

Avantages

  1. Délimite le domaine de broadcast : Optimiser la bande passante en limitant le nombre de trames
    sur le réseau comme les requêtes ARP, DHCP etc.
  2. Faciliter la gestion du réseau en divisant par services et/ou par personnel dans d’une organisation.
  3. L’augmentation de la sécurité en filtrant sur le routeur les échanges inter VLAN. (par exemple par ACL)
  4. Séparer les flux des différents VLAN circulants sur le même media(TRUNK) ou switch.

Le Switch L2 travaille au niveau 2 d’OSI donc pour la commutation. Il analyse les requêtes émises par des stations de travail connectées sur ses ports pour remplir sa table de commutation et il fait correspondre une adresse MAC à un port. Maintenant en sachant ça, si on affecte un port à une VLAN (VLAN Niveau 1) le switch fait la correspondance entre le VLAN ⇔ Port ⇔ @MAC. Il faut cependant préciser que tous les ports d’un switch par défaut sont tagué sur le VLAN 1.

º 2 ports du switch sont alloués au VLAN 10 et constituent un sous-réseau avec ses machines AB et BB qui peuvent communiquer entre elle.
º 3 ports pour le VLAN20 constituent un sous-réseau avec ses machines AV, BV et CV qui peuvent communiquer entre elles.
Switch VLAN
º 2 ports pour le VLAN 30 constituent un sous-réseau avec ses machines AR et BR qui peuvent communiquer entre elles.
º Tous les autres ports du switch sont tagués sur le VLAN 1(VLAN native)

Vous allez me dire, oui mais comment faire communiquer ces réseaux entre eux et accessoirement connecter à internet, est ce qu'on va connecter trois câbles à un routeur ?

Non absolument pas, comme je l’expliquai plus haut les switch L2 communiquent aux nivaux 2 de OSI, donc avec des trames
Ethernet. C’est le moment de vous parler de la Norme 802.1Q (dot1Q) développé par IEEE. La Norme 802.1Q est
une méthode d’encapsulation des trames, qui consiste à insérer le numéro du VLAN.
Pour cela elle augmente la taille de la trame Ethernet de 4 octets et recalcule le CRC de la trame comme le dessin ci-dessous.

Un peu de l’explication s’impose :

  1. TPID (Tag Protocol Identifier = Étiquette identificateur de protocole)

    Il à une valeur 0x8100 afin d'identifier la trame en tant que trame IEEE 802.1Q.

  2. TCI (Tag Control Information = Étiquette informations de contrôle)

    Qui contient 3 sous champs.

    1. PCP (Priority Code Point = Point de code de priorités)

      Un champ de 3 bit qui se réfère à la priorité IEEE 802.1p. Elle indique le niveau de priorité de la trame. Les valeurs vont de 0 à 7. Ces valeurs peuvent être utilisées pour hiérarchiser les différentes classes de trafic (voix, vidéo, données, etc.)

    2. DEI (Drop Eligible Indicator = Indicateur d’admissibilité à être abandonné)

      Un champ de 1 bit peuvent être utilisés séparément ou en conjonction avec le PCP pour indiquer les cadres d’admissibilité à abandonné en cas de congestion.

    3. VID (VLAN Identifier = Identifient de VLAN)

      Un champ de 12 bit spécifiant le réseau local virtuel auquel appartient la trame. Les valeurs hexadécimales de 0x000 et 0xFFF sont réservés. Toutes les autres valeurs peuvent être utilisées comme l'identifiants VLAN, ce qui permet jusqu'à 4094 VLAN.

Ce que nous intéresse ici est le VID : c’est à dire le numéro qu’on donne à chaque VLAN ici il s’agit de VLAN 10, 20 et 30. Chaque fois qu’une machine d’un VLAN veut communiquer avec une machine d’une autre VLAN, le switch fait une encapsulation de 802.1Q sur chaque trame. Si le switch est L2 on a besoin d’un routeur pour la communication entre les différents VLAN. En revanche si le switch est L3 la communication inter VLAN se passe à l’intérieur du switch.

Désormais il est temps de vous expliquer le TRUNK (Agrégation de liens en français)
TRUNK est un lien qui permet de faire transiter plusieurs VLAN sur un seul lien physique en utilisent la méthode
d'encapsulation 802.1Q qu'on va voir en détail plus loin.

Si nous avions fait une architecture avec plusieurs sous-réseaux traditionnels, pour chaque réseau nous avions besoin
d'un switch par sous-réseau, pour pallier au problème de délimitation du domaine de broadcast et pour limiter le trafic
lie les trames en broadcaste (ARP, DHCP etc.) tandis que côte routeur nous avions besoin de 4 interfaces Ethernet physique.

Afficher image

Tandis qu'avec architecture VLAN à l’échelle de cette organisation on a fait l’économie de 3 switches,
3 interfaces Ethernet sur le routeur, du câblage, la consommation d’énergie et de temps pour l’administration du réseau.

Afficher image

Et maintenant on peut commencer à pratiquer virtuellement avec Packet Tracer. Même si on ne dispose pas de matériel
croyez-moi les paramètres et les commandes sont pratiquement les mêmes que sur un vrai switch ou routeur CISCO.
Cliquez glissez déposez un switch 2950-24, un routeur 2621XM, 4 serveurs et 13 pc comme sur l’image.

Afficher image

Nous allons configurer d’abord les éléments actifs du réseau.

Création des VLANs

Switch> enable
Switch# configure terminal
Switch(config)#hostname SW1
SW1(config)#vlan 10
SW1(config-vlan)#name serveur
SW1(config-vlan)#exit
SW1(config)#vlan 20
SW1(config-vlan)#name administrative
SW1(config-vlan)#exit
SW1(config)#vlan 30
SW1(config-vlan)#name commerciaux
SW1(config-vlan)#exit
SW1(config)#vlan 40
SW1(config-vlan)#name atelier
SW1(config-vlan)#exit

Commande pour affichage des VLANs crées

SW1#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
						Fa0/5, Fa0/6, Fa0/7, Fa0/8
						Fa0/9, Fa0/10, Fa0/11, Fa0/12
						Fa0/13, Fa0/14, Fa0/15, Fa0/16
						Fa0/17, Fa0/18, Fa0/19, Fa0/20
						Fa0/21, Fa0/22, Fa0/23, Fa0/24
						Gig1/1, Gig1/2
10   serveur                          active    
20   administrative                   active    
30   commerciaux                      active    
40   atelier                          active    
[…..]

Maintenant on va taguer les ports.

On peut taguer pote par porte ou on peut taguer une suite des ports

Ex : La commande port par port

SW1(config)#interface fastEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access  vlan 10
SW1(config-if)#exit

Ex : La commande une suite des ports

SW1(config)#interface range fastEthernet0/2 - fastEthernet0/4
SW1(config-if-range)#switchport mode access 
SW1(config-if-range)#switchport access  vlan 10
SW1(config-if-range)#exit
SW1(config)#

Il faut répéter la commande pour tous les ports qu’on a besoin de taguer.

SW1(config)#interface range fastEthernet0/5 - fastEthernet0/10
SW1(config-if-range)#switchport mode access 
SW1(config-if-range)#switchport access  vlan 20
SW1(config-if-range)#exit
SW1(config)#interface range fastEthernet0/11 - fastEthernet0/15
SW1(config-if-range)#switchport mode access 
SW1(config-if-range)#switchport access  vlan 30
SW1(config-if-range)#exit
SW1(config)#interface range fastEthernet0/16 - fastEthernet0/20
SW1(config-if-range)#switchport mode access 
SW1(config-if-range)#switchport access  vlan 40
SW1(config-if-range)#exit

Commande pour l'affichage des VLANs crées et taguées

SW1#show vlan brief

VLAN Name                           	Status    Ports
---- --------------------------------	--------- -------------------------------
1    default				active    Fa0/21, Fa0/22, Fa0/23, Fa0/24, Gig1/1, Gig1/2
10   serveur				active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
20   administrative			active    Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/10
30   commerciaux			active    Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15
40   atelier				active    Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20
 [….]

On va créer le TRUNK sur l’interface gigabitEthernet

SW1(config)#interface gigabitEthernet1/1
SW1(config-if)#switchport mode trunk 
SW1(config-if)#switchport trunk allowed vlan 1,10,20,30,40

Pour ajouter un VLAN supplémentaire sur le TRUNK

SW1(config)#interface gigabitEthernet1/1
SW1(config-if)#switchport trunk allowed vlan add 50

Pour supprimer un VLAN

SW1(config)#interface gigabitEthernet1/1
SW1(config-if)#switchport trunk allowed vlan remove 50

Pour enregistrer la configuration

SW1#copy running-config startup-config

Nous commençons le paramétrage du routeur

Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#

Création d'une interface virtuelle pour chaque VLAN sur l’interface fastEthernet0/0

R1(config)#interface fastEthernet0/0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet0/0.10
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 192.168.0.254 255.255.255.0
R1(config-subif)#exit
R1(config)#interface fastEthernet0/0.20
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip address 192.168.1.254 255.255.255.0
R1(config-subif)#exit
R1(config)#interface fastEthernet0/0.30
R1(config-subif)#encapsulation dot1Q 30
R1(config-subif)#ip address 192.168.2.254 255.255.255.0
R1(config-subif)#exit
R1(config)#interface fastEthernet0/0.40
R1(config-subif)#encapsulation dot1Q 40
R1(config-subif)#ip address 192.168.3.254 255.255.255.0
R1(config-subif)#exit
R1(config)#

Paramétrage d’interface fastEthernet0/1 sur le routeur pour pouvoir
établir une connexion à un serveur WEB pour simuler internet.

R1(config)#interface fastEthernet0/1
R1(config-if)#ip address 10.0.0.1 255.0.0.0
R1(config-if)#no shutdown 
R1(config-if)#exit
R1(config)#exit
R1#

Pour enregistrer la configuration

R1#copy running-config startup-config 
R1#

Configurez l’adresse IP, masque de sous réseau pour chaque PC et serveur suivant son VLAN, pour la passerelle par défaut utilisez l’adresse de l’interface virtuel, qu’on a créé pour chaque VLAN.

  1. Câblez l'ensemble des PC et 3 serveurs en tenant compte du porte de switch ⇔ le VLAN ⇔ l’adresse IP de PC.
  2. Câblez entre l’interface fastEthernet0/0 du routeur et l’interface gigabitEthernet1/1 du switch.
  3. Posez un câble croisé entre l’interface fastEthernet0/1 du routeur et l’interface fastEthernet du 4ème serveur
  4. L’adresse IP du 4ème serveur : 10.0.0.2, masque : 255.0.0.0 passerelle par défaut : 10.0.0.1
  5. Laissez 5-6s le temps de convergence du réseau
  6. Faites un Ping entre les machins appartenant au même VLAN. Si ça Ping, faites un Ping passerelle par défaut (Routeur). Répéter sur tous les VLANs
  7. Faites un Ping entre les VLANs et le serveur qui représente l’internet.

Si tous les Ping ont bien fonctionnés, rendez-vous sur la page de mise en place d’ACL pour sécuriser le réseau.
Sinon vous pouvez télécharger les fichiers de configuration du switch ici et du routeur où le fichier VLAN.pkt ici

télécharger packet-tracer5.3.3