V.L.A.N. [
1 – La notion de VLAN
1.1 – Principe
A l’origine des temps, le meilleur moyen de diviser un réseau local ethernet, et ce, quel que soit le système d’exploitation utilisé, était de le découper physiquement: un réseau ? un hub ou seule ligne BNC. deux réseaux ? deux hubs etc. La notion de VLAN, introduite par la norme IEEE 802.1 en 1998, désigne un processus permettant de scinder les réseaux non pas au niveau physique mais au niveau logique. Permettant ainsi, sur une architecture commune, d’isoler plusieur réseaux autonomes.
1.2 – Différents niveaux
Il existe Trois types de VLANS:
- Les VLANs Ports reposant sur l’administration des ports des appareils de connectique.
- Les VLANs Mac basé sur une table d’adresse MAC des interfaces réseaux.
- Les VLANs de niveau 3 basés sur l’hétérogénéité des protocoles ou les sous-réseaux logiques
Ce document traite VLANs de type 1.
1.3 – Objectif
Le VLAN de niveau 1 a pour objectif d’optimiser l’utilisation d’un seul câblage de grande envergure au niveau de l’entreprise, afin de pouvoir utiliser plusieurs sous réseaux indépendants. De cette manière on peut, sur un seul câble, faire transiter les informations propres à deux réseaux différents sans que l’un ait accès aux données de l’autre.
2 – L’architecture d’un réseau comportant des VLANs
2.1 – Les switchs administrables
Evidemment, l’utilisation de VLANs suppose un équipement compatible avec la norme IEEE 802.1 En fonction des besoins, et si ceux là sont minimums, un seul switch administrable gérant le VLANs peut être suffisant. Ces switchs, dans leur console d’aministration, permettent d’identifier les différent VLANs. Cela se fait à partir d’un ID (unique sur le réseau global) et, éventuellement, d’un nom local.
2.2 – Port « non taggués »
Par souci de compatibilité ascendante, les appareils « VLAN enabled » sont compatibles avec les appareils classiques. Qu’il s’agisse de cartes réseau ou de switchs non administrables, il est possible de les raccorder à un VLAN du moment que le port de connexion ne transporte qu’un seul VLAN.
2.3 – Ports « taggués »
Un port taggué est un port de l’appareil alloué à plusieurs VLAN. Afin de pouvoir différencier les flux des différents réseaux virtuels, les communications sont cryptées. L’appareil connecté à ce port doit supporter la norme IEEE 802.1 afin de pouvoir exploiter le traffic sur cette interface.
2.4 – Combien de VLANs par port ?
Par conséquent on peut configurer plusieurs VLANs par ports selon les configurations:
- Plusieurs ports taggués
- Un port non taggué
- Un port non taggué et un ou plusieurs ports taggués
2.5 – Ports de transport
Par extension, on nomme port de transport un port comportant tous les VLANs. Un tel type de port à pour objet de connecter deux noeuds supportant les technologies des réseaux virtuels
3 – Les VLAN au niveau du client
3.1 – Client compatible VLANs
Aperçu
Lors de la connexion d’un client équipé d’une interface compatible avec le protocole des VLANs, et dans la mesure ou le port connecté transporte plusieurs réseaux taggés, le périphérique est configurable sur le réseau.
Avantage
A l’aide des pilotes fourni avec l’adaptateur réseau, il est possible de raccorder l’ordinateur sur plusieurs VLANs différents. Le système d’exploitation reconnaîtra alors plusieurs cartes réseaux logique: autant que de réseau sur laquelle cette carte physique est configurée.
3.2 – Client imcompatible VLANs
Dans le cas d’un appareil ancien ne supportant pas cette technologie, celui ci se connectera sur le port non-taggué s’il existe sinon il considérera qu’il est déconnecté du réseau.
4 – D’un VLAN à l’autre
4.1 – Sécurité des données
Les appareils de connexion isolent totalement les réseaux les un des autres. Dans le cas de ports portant plusieurs réseaux virtuels, ceux-ci sont cryptés et ne peuvent en aucun cas être considérés comme étant interconnectés.
4.2 – Comment interconnecter deux VLANs ?
Par définition, les VLANs sont des réseaux locaux indépendant, il n’est donc possible de les interconnecter que par les moyens habituellement utilisés pour les réseaux non virtuels. L’autre possibilité est de mettre en place un client avec plusieurs interfaces réseaux: pour chacun des VLANs auquel il doit accéder, le client (station de travail, serveur, imprimante etc.) doit posséder une interface réseau configurée pour dialoguer avec le VLAN correspondant (adresse, IP, sous réseau etc.)
Exemple
Pour permettre aux utilisateurs du VLAN « Direction » d’accéder aux VLANs « Administration » et « Production » il faut mettre en place un routeur de trois pattes interconnectant les trois réseaux et appliquant des règles de filtrage.
5 – La gestion des VLANs
5.1 – Importance de la documentation
Afin de garder une trace précise de l’attribution des ports aux VLANs, il est indispensable de garder une trace écrite au moins pour deux raisons:
- Pouvoir restaurer la configuration d’un switch hors service, même s’il est possible, avec certains appareils de générer une sauvegarde de celle-ci.
- Voir d’un simple coup d’oeil sans avoir à accéder à la console d’administration à quel VLAN appartient un port particulier.
5.2 – Documentation manuelle
La manière la plus simple de documenter ceci et encore de tenir à jour un journal comportant les entrées de base:
Que cela soit sur papier, dans un tableur ou dans une base de donnée, c’est peut-être la meilleure solution existante à ce jour.
5.3 – Logiciels de gestion
Certaines entreprises proposent des switchs administrables qui peuvent s’interfacer avec un logciel de gestion avancé pemettant, en autre d’imprimer ces journaux.