Вы находитесь на странице: 1из 8

Les Vlan : approche usuelle

Rappels sur la commutation Contrairement un concentrateur, un commutateur ne diffuse pas les trames. Il met en relation les seuls postes concerns par lchange. Avant de rmettre les trames le commutateur vrifie que le support de communication est libre. Un commutateur vite donc les collisions au contraire dun concentrateur. A chaque fois quun message lui parvient, le commutateur associe le port par lequel arrive la trame ladresse matrielle (adresse MAC) de lmetteur de la trame. Ainsi aprs un certain nombres de trames, le commutateur connat lemplacement (c'est dire le port de rattachement) des postes sur le rseau et peut les mettre en relation deux deux.

Cette association adresse MAC / port est gre dans des tables dassociation prsentes dans chaque commutateur. Cette table est construite progressivement par apprentissage. Si une trame contient une adresse de destination qui nest pas prsente dans la table, cette trame est transmise sur tous les ports du commutateur lexception du port metteur de la trame. Cest aussi ainsi que sont traits les trames de diffusion. On distingue deux modes de fonctionnement du commutateur :

Store and forward: il stocke les trames entirement avant de les rmettre. Il ne rmet donc pas les trames errones (CRC "Control Redundancy Check" innatendu) ou en collision. Par contre ces commutateurs sont plus lents et ncessitent des mmoires tampons importantes On the fly(appel aussi cutthroughchez CISCO) : la vole, les commutateurs rmettent immdiatement aprs lecture de ladresse MAC destinataire, cest plus rapide mais on propage les trames errones - notamment les trames en collision et celles dont le CRC indique une erreur de transmission. Le commutateur permet de garantir la bande passante dun rseau. La bande passante cest le dbit dun rseau. En ne diffusant pas tous les postes mais aux seuls postes concerns par lchange, le commutateur optimise lutilisation de la bande passante. Ainsi un commutateur 100 mb/s de 12 ports garantira 100 mb/s par port alors quun concentrateur 100 mb/s de 12 ports divisera cette bande passante entre tous ses ports. Ethernet commut Lactualit des architectures rseau est lEthernet entirement commut et donc la disparition progressive des concentrateurs. En utilisant uniquement des commutateurs, il ny a plus de collision possible. Chaque port forme un minisegment compos du commutateur et dune carte ou aucune collision ne peut se produire. Dans ce cas, pendant lmission dune trame, la paire de rception nest plus monopolise par la dtection de collision et on peut recevoir en mme temps, cest dire travailler en mode bidirectionnel (full duplex). Il faut souligner aussi que labsence de collision supprime les limitations de distance que leur dtection impliquait. Dans une architecture entirement commute on met gnralement en uvre des interconnexions redondantes entre commutateurs pour garantir une plus grande tolrance aux pannes. Les liaisons redondantes doivent tre invalides quand elles ne sont pas utiles et valides en cas de rupture dune liaison. Cette gestion de la redondance est prise en charge par le protocole 802.1d (spanningtree). Avec les concentrateurs et les commutateurs de premire gnration, la sparation des flux grs par la couche 2 ne peut se faire quen regroupant gographiquement les groupes de travail. En effet, si le commutateur segmente les domaines de collision, il maintient cependant un seul domaine de diffusion. Segmentation des domaines de diffusion par les

Si linterconnexion du rseau repose sur les commutateurs et non sur les routeurs (ce qui est de plus en plus le cas) cela pose deux problmes : les trames de diffusion sont propages sur tout le rseau, or ces trames sont nombreuses (ARP, DHCP, Netbios, .etc.). en mettant une carte rseau en mode promiscus on peut capturer ces trames

Un seul domaine de diffusion (avec liaison redondante) La sparation et la scurit des domaines de diffusion exigeaient, avant lapparition des Vlans, une sparation gographique des domaines de diffusion et une interconnexion par routeur Premire dfinition des Vlan Un VLAN permet de crer des domaines de diffusion (domaines de broadcast) grs par les commutateurs indpendamment de lemplacement o se situent les n uds, ce sont des domaines de diffusion grs logiquement

Domaines de diffusion logique et commutateurs/routeurs Les avantages des VLANs sont les suivants : La rduction des messages de diffusion (notamment les requtes ARP) limits l'intrieur dun VLAN. Ainsi les diffusions d'un serveur peuvent tre limits aux clients de ce serveur. La cration de groupes de travail indpendants de l'infrastructure physique ; possibilit de dplacer la station sans changer de rseau virtuel. Laugmentation de la scurit par le contrle des changes inter-VLAN utilisant des routeurs (filtrage possible du trafic chang entre les VLANs). Lindpendance entre infrastructure physique et groupe de travail implique quun commutateur puisse grer plusieurs Vlan et quun mme Vlan puisse tre rparti sur plusieurs commutateurs. En consquence, une trame qui circule dans un commutateur et entre les commutateurs doit pouvoir tre associe un Vlan. Pour rpondre aux objectifs des Vlan la rgle suivante doit tre imprativement respecte : une trame doit tre associe un Vlan et un seul et ne peut pas sortir du Vlan, sinon ltanchit du niveau 2 nest plus respecte. Les mthodes de construction dun Vlan doivent donc dterminer la faon dont le commutateur va associer la trame un Vlan. Usuellement on prsente trois mthodes pour crer des VLAN : les vlan par port (niveau 1), les Vlan par adresses MAC (niveau 2), les Vlan par adresses IP (niveau 3) ainsi que des mthodes drives. Les Vlan par port (Vlan de niveau 1) On affecte chaque port des commutateurs un VLAN.

Lappartenance dune trame un VLAN est alors dtermine par la connexion de la carte rseau un port du commutateur. Les ports sont donc affects statiquement un VLAN. Si on dplace physiquement une station il faut dsaffecter son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on dplace logiquement une station (on veut la changer de Vlan) il faut modifier laffectation du port au Vlan. Les Vlan par adresse MAC (Vlan de niveau 2 ) On affecte chaque adresse MAC un VLAN. Lappartenance dune trame un VLAN est dtermine par son adresse MAC. En fait il sagit, partir de lassociation Mac/VLAN, daffecter dynamiquement les ports des commutateurs chacun des VLAN en fonction de ladresse MAC de lhte qui met sur ce port. L'intrt principal de ce type de VLAN est l'indpendance vis--vis de la localisation gographique. Si une station est dplace sur le rseau physique, son adresse physique ne changeant pas, elle continue dappartenir au mme VLAN (ce fonctionnement est bien adapt l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier lassociation Mac / Vlan. Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 ) On affecte une adresse de niveau 3 un VLAN. Lappartenance dune trame un VLAN est alors dtermine par ladresse de niveau 3 ou suprieur quelle contient (le commutateur doit donc accder ces informations). En fait, il sagit partir de lassociation adresse niveau 3/VLAN daffecter dynamiquement les ports des commutateurs chacun des VLAN. Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en accdant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de niveau 2. Quand on utilise le protocole IP on parle souvent de Vlan par sous-rseau. Les autres mthodes pour dfinir des Vlan On trouve dans la littrature des rfrences au Vlan par protocoles Cest dire quon associe une trame un Vlan en fonction du protocole quelle transporte. Ce protocole peut tre un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk .etc...

Mais on peut trouver aussi des Vlan construits partir de protocole suprieur (notamment H320). On parle quelquefois de Vlan par rgles ou par types de service. Enfin lapparition du Wi-fi pose des problmes de scurit que les Vlan peuvent rsoudre. Ainsi une solution base sur des Vlan par SSID est envisageable. Ce schma est tir dun prsentation faite par Sylvie Dupuis et Catherine Grenet le 13 Octobre 2004 Les questions quon est en droit de se poser Peut-on associer une trame plusieurs Vlan ? En fonction de la rgle nonce plus haut, la rponse est toujours non. En effet une trame associe un VLAN quelle que soit la mthode dassociation ne peut tre adresse qua une carte rseau associe ce VLAN. Une trame de diffusion mise par une carte rseau associe un VLAN sera transmise toutes les cartes rseaux composant ce VLAN et uniquement celles-ci. Cela implique-t-il quun port de commutateur ne doit tre associe qu un seul Vlan ? Car si un port est associ plusieurs Vlan, quel Vlan associe-t-il la trame quil reoit ? Et sil nest associ qu un seul Vlan comment rpartir un Vlan sur plusieurs commutateurs, car les ports dinterconnexion doivent pouvoir faire transiter des trames en provenance de diffrents Vlan ? Une rponse serait de mettre en place des Vlan de niveau 2 mais alors quen est-il pour les Vlan de niveau 1 ? La carte rseau dun poste peut-elle tre associe plusieurs Vlan ? Si oui comment savoir quel Vlan appartient une trame mise par une telle carte rseau ? Si non comment partager laccs des ressources communes entre diffrentes Vlan ? Une rponse serait des Vlan de niveau 3 mais alors quen est-il pour le niveau 1 et le niveau 2 ? Comment communiquer entre les Vlan ? Ltanchit de la couche 2 implique de remonter jusqu la couche 3 pour lchange entre Vlan. Cet change peut donc tre entirement contrl.

Un poste peut-il appartenir plusieurs Vlan ? Oui. Mais alors la carte rseau du poste doit tre vlan inform et toutes les trames mises et reues par ce poste seront tiquetes. Le port de raccordement au commutateur sera lui aussi tiquet. Voir le TP sous Linux. Lexemple suivant est donn dans la documentation de lAllied 8800.