Les VLANs sont un sujet où l'on ne peut se permettre ni erreur ni approximation lors de leur configuration. Il est donc très important de comprendre comment fonctionnent les VLANs au niveau le plus fondamental. Cet article ne traitera pas des fondements fondamentaux des VLANs, mais vous donnera un aperçu assez clair de ce qu'est un VLAN, comment il fonctionne et comment le configurer.
1. Qu'est-ce qu'un VLAN ?
VLAN signifie Virtual Local Area Network (Réseau Local Virtuel) et est, en termes simples, un moyen très courant de séparer des réseaux sur des commutateurs. Habituellement, si vous souhaitez séparer des réseaux, vous devrez physiquement créer différents segments de réseau (c’est-à-dire un réseau entier pour les employés, un pour les invités, etc.) et les faire fonctionner en parallèle. Grâce aux VLANs, vous pouvez utiliser la même infrastructure réseau pour transporter plusieurs réseaux en même temps. Cela permet la création de réseaux virtuels au-dessus des dispositifs réseau physiques réels.
Pour faire une analogie : alors que les sous-réseaux sont un moyen de séparer les réseaux au sein des routeurs ou des appareils dits « Layer-3 », essentiellement des appareils basés sur IP, les VLANs font une chose très similaire avec les appareils Layer-2 dans des réseaux basés sur les adresses MAC.
Les règles et normes concernant la mise en œuvre des VLANs sont définies par l’organisation IEEE dans la norme IEEE 802.1q.
2. Alors, comment fonctionne vraiment un VLAN ?
Un VLAN, de manière simplifiée, fonctionne via des étiquettes (tags). Une étiquette est constituée de quelques octets supplémentaires attachés à toute trame de données, qui incluent des informations telles que l’appartenance au VLAN :
La partie la plus importante, et celle sur laquelle nous nous concentrerons principalement, est le VID, l’identifiant VLAN. Ce numéro de 1 à 4096 est simplement un marqueur indiquant « à quel VLAN appartient la trame ».
Le marquage (tagging) est un moyen très efficace de contrôler à quel VLAN appartient chaque trame.
Pour comprendre comment fonctionnent les VLANs en pratique, imaginez créer une voie de circulation des données lorsque vous configurez un VLAN dans un commutateur. Chaque voie est séparée, fonctionne en parallèle et est connectée à différents ports assignés à cette voie. L’« affectation à la voie » correspond à notre appartenance VLAN. La façon de configurer cela est décrite dans de nombreux articles liés en bas de cet article. Mais voici une représentation graphique :
Vous pouvez voir les voies traversant les commutateurs puis allant vers le port du commutateur qui est alors assigné à l’appartenance respective. Ainsi, une fois qu’une trame est entrée dans le commutateur sur un VLAN spécifique, elle peut communiquer avec n’importe quel port ayant une appartenance à ce VLAN. Mais, comment une trame devient-elle assignée au VLAN10, 20 ou 30 ?
3. Trafic entrant sur les VLANs
La définition du VLAN auquel une trame entrante est assignée dépend de la présence ou non d’une étiquette VLAN déjà assignée à la trame par son appareil source. Si une étiquette VLAN est présente, le contenu du VID est lu. Si le VID correspond au numéro de l’appartenance taguée d’un port du commutateur, la trame sera autorisée à « entrer sur la voie ». Mais ce qui est bien plus intéressant, c’est de savoir ce qu’il advient des trames Ethernet complètement non taguées. C’est ici qu’intervient le PVID (Port-Based VLAN ID). Le PVID est responsable du choix de la voie appropriée pour placer les trames qui sont entrantes et non taguées - le PVID n’intervient que pour les trames répondant à ces deux critères. Un port assigné avec un PVID de 1 attribuera le trafic non tagué entrant au VLAN1 pour pousser le trafic « sur la voie n°1 ».
Par défaut, tous les ports des appareils réseau et commutateurs sont configurés avec un PVID1 et une appartenance non taguée au VLAN1. Cela signifie que par défaut, si vous connectez un ordinateur à un commutateur sans aucune configuration de votre part, qui à son tour est relié à une passerelle, alors grâce à la prédisposition du PVID1 et de l’appartenance non taguée au VLAN1, les appareils peuvent immédiatement communiquer entre eux, puisque cette prédisposition les place dans le même réseau.
Regardons à nouveau une autre visualisation :
À première vue, cela peut sembler plus chaotique qu’il ne l’est en réalité : en fait, les deux ports connectés au PC et à la passerelle partagent l’appartenance VLAN par défaut au VLAN1 (appartenance non taguée -> qui sera expliquée un peu plus loin) et le PVID1.
Si le PC envoie du trafic vers la passerelle, le PVID1 du port inférieur du commutateur attribuera le trafic à la « voie » du VLAN1, lui permettant de communiquer avec le port supérieur du commutateur puisque l’appartenance au VLAN1 est donnée. Par rapport à une appartenance taguée, l’appartenance non taguée décide si le VLAN est envoyé avec une étiquette, marquée avec VID=1 (membre tagué) ou sans aucune étiquette VLAN (membre non tagué). Dans ce cas, puisque le port supérieur est non tagué, aucune étiquette ne sera ajoutée. La passerelle peut alors répondre à ce paquet entrant et le renvoyer - également non tagué, puisque la passerelle n’a pas encore de configuration VLAN. Encore une fois, le PVID1, cette fois sur le port supérieur du commutateur, assignera la trame à la « voie VLAN1 », permettant de nouveau la communication, cette fois vers le port inférieur du commutateur en raison de l’appartenance VLAN partagée. Là encore, aucune étiquette ne sera ajoutée à cause de l’appartenance non taguée, rendant la trame acceptable pour le PC, qui ne peut pas lire d’informations d’étiquette VLAN. Par ce processus, la communication entre la passerelle et le dispositif client est établie.
4. Réflexions finales et liens utiles
Comprendre ce principe fondamental des VLANs est une étape cruciale pour faire les bons choix lors de la configuration des VLANs. Bien sûr, nous ne faisons qu’effleurer le sujet ici, mais nous espérons que cela vous donnera un bon point de départ pour réellement comprendre les VLANs et connaître la différence entre PVID et appartenance VLAN.
Vous trouverez ci-dessous quelques articles concernant la configuration des VLANs sur une multitude d’équipements de notre portefeuille :
VLANs - VLANs tagués vs PVID (Exemple de configuration VLAN non tagué/tagué)
Comment configurer un VLAN sur un appareil USG
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.