« Si vous ne pouvez expliquer un concept à un enfant de six ans, c'est que vous ne le comprenez pas complètement. »
.png)
Les Vlans ou les réseaux virtuels
Il fût une époque ou les possibilités de segmenter un réseau informatique passait obligatoirement par la création de sous-réseaux reliés par des routeurs. Cela permettait de limiter les broadcasts et permettait l'implémentation de sécurités diverses. L'inconvénient de cet logique était la multiplication des plages d'adresses IP ainsi que des routeurs effectuant la liaison entre celles-ci. L'objectif de deux vlans est d'isoler le traffic réseau d'un certain type par rapport à un autre sans pour autant recourir à des routeurs ou et autres plages d'adresses IP.
Les différents types de Vlans
Les différents types de Vlans
Suivant les caractéristiques de vos commutateurs réseaux, vous serez en mesure d'implenterdifférents types de Vlan:
- Vlan physique de niveau1 par port
- Vlan de niveau 2 en fonction des adresses MAC
- Vlan de niveau 3:
- en fonction des protocoles
- en fonction des sous-réseaux
Vlan physique de niveau 1 par port
Cette méthode reste la plus simple à mettre en place et consiste à effecter certains ports à un vlan bien défini. Vu le schéma, les ports de 1 à 10 sont affectés au vlan 2, les ports de 11 à 14 au vlan 3 alors que les ports 15 et 16 ne sont affectés à aucun vlan.
Vlan de niveau 2 en fonction des adresses MAC
Le vlan niveau 2 par adresse MAC est très interessant dès lors vous possédez des postes itinérants. Dès lors, il vous est impossible d'affecter tel poste à une prise du switch vu que le poste n'arrête pas de bouger. L'affectation par adresse MAC permet d'accéder à cette souplesse mais n"cessite une administration plus lourde du fait de l'administration des vlans par adresse MAC.
Vlan de niveau 3:
en fonction des protocoles
Intéressant dès lors vous possédez un environnement mixte demachines (Unix, Microsoft, Apple, etc...)
en fonction des sous-réseaux
Besoin de regrouper vos sous-réseaux par vlans. Préférez dans ce cas un switch par sous-réseau...
En fonction de régles
Afin d'optimiser un type de traffic bien précis par rapport à un autre. Grâce au Qos, vous pourriez privilégiez le traffis SMTP vis à vis du traffic HTTP.
Le marquage
Le marquage
Le protocole le plus courant de nos jours permettant le marquage des trames est le protocole IEEE 802.1q. Ce protocole va ajouter deux champs à chaque trame permettant de les taguer. Un des champ indique une priorité et l'autre champ indique son appartenance au vlan.
Vous pouvez affecter différents "état" à un port:
Untagged: cela affecte le port en question à un Vlan
Tagged : indique que les paquets passant dans ce port sont taguer par le protocole 802.1q
No : abscence de configuration spécifique
| Valeur VID (hexadecimal) | Utilisation |
| Le null VLAN ID. Indique que l’en-tête tag contient des informations de priorité; aucun identificateur de VLAN est présent dans la trame. Cette valeur ne doit pas être configurée comme un PVID ou un paramètre VID membre, disposer d’une entrée au sein de la base de données de filtrage ou bien utilisé dans toute opération de gestion du processus. | |
| 1 | La valeur par défaut PVID valeur par défaut utilisée pour la classification des trames entrantes via un port de type Bridge. La valeur PVID d’un port peut être modifiée par un processus de gestion de configuration. |
| FFF | Réservé pour un usage spécifique. Cette valeur ne doit pas être configurée comme un PVID ou un paramètre VID membre, ou transmise dans un en-tête marqué. Cette valeur VID peut être utilisée pour indiquer un VID dont la correspondance est utile aux opérations de gestion ou de filtrage des entrées. |
- Plage normale :
Identifiés par un ID de VLAN compris entre 1 et 1005.
Les ID de 1002 à 1005 sont réservés aux VLAN Token Ring et aux VLANs à interface de données distribuées sur fibre (FDDI). Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés.
- Plage étendue :
Sont identifiés par un ID de VLAN compris entre 1006 et 4094. Prennent en charge moins de fonctionnalités VLAN que les VLAN à plage normale.
Trunk :
L'agrégat de vlans va permettre de configurer plusieurs switch en cascade afin de permettre de faire communiquer le Vlan 1 du switch 1 avec le vlan 1 du switch 2 et ainsi de suite...
Un exemple concret
Un exemple concret
Le choix du matériel est très important car j'a iconstaté que le fait de prendre des switchs à prix très agressif m'apportait plus d'inconvénients que d'avantage. Ayant commencé par un TP-link TL-SG1016DE, je l'ai renvoyé au bout de deux semaines n'arrivant pas à le configurer correctement (j'ai eu une réponse de la hotline au bout de 45 jours!!!). J'ai choisi un modèle supérieur le TP-Link T1600G-28TS et j'ai pu le configurer sans soucis particulier.
Ma configuration est la suivante:
Une borne wifi muti SSID TP-Link AP500 gérant deux SSID, un pour mon réseau privé contenant un domaine (Vlan 1)et un pour le réseau public (VLAN 2). Cette borne est connectée à la prise 24 de mon switch.
Les prises 1 à 22 ainsi que la 23 font parties de mon réseau privé VLAN 1, je vais donc éditer ce vlan afin de le paramétrer.
J'affecte les prises de 1 à 22 et la 23 sur le paramètre "Untagged port". La prise 24 (borne WIFI) sur "Tagged port)
Je génère un nouveau VLAN 2 pour y affecter la prise 21 sur "Untagged port". J'ai connecté mon serveur DHCP sur cette prise afin qu'il affecte des IPs pour l'autre sous-réseau.
J'affecte à nouveau la prise 24 (borne WIFI) au paramètre "Tagged port".
La prise 24 (borne WIFI) faisant partit des deux VLANs.
Je paramètre dans le noeud 802.1Q le PVID sur les prises concernées. Dans ce cas seule la prise 21 (prise du serveur DHCP) est modifiée sur le PVID 3, pour les autres prises, le pramétrage par défaut répond à mon objectif.
Je n'oublie pas d'enregister ma configuration sous peine de la perdre lors du prochain redémarrage.
Le switch étant paramétré, je me connecte sur la borne WIFI afin d'affecter un tag aux différents SSID.
Ici pour le SSID "ninacertif", j'affecte le VLAN ID 1.
Ici pour le SSID "Wanadoo", j'affecte le VLAN ID 3.
Le système est à présent opérationnel.