Вы находитесь на странице: 1из 6

1

VLAN - Rseaux virtuels


Introduction aux VLAN
Un VLAN (Virtual Local Area Network ou Virtual LAN, en franais Rseau Local Virtuel) est un rseau local
regroupant un ensemble de machines de faon logique et non physique.
En effet dans un rseau local la communication entre les diffrentes machines est rgie par l'architecture
physique. Grce au! rseau! "irtuels (#$%&s) il est possible de s'affranchir des limitations de l'architecture
physique en dfinissant une segmentation logique (logicielle) base sur un regroupement de machines grce '
des crit(res
Les bases
Un LAN
Soit un rseau Ethernet.
Un LAN est un rseau local dans lequel
toutes les trames Ethernet sont visibles
depuis tous les noeuds
si le LAN est construit avec un HUB. Si nous avons
affaire un S!"#H$ seules les trames de diffusions %broadcast& seront visibles
depuis tous les noeuds$ le S!"#H a'issant comme un pont Ethernet entre chaque
noeud du LAN.
#e qu(il est fondamental de comprendre$ c(est que nous raisonnons au niveau
Ethernet$ que nous ne parlons que d(adresses )A#.
Un SWITCH, c'est le composant que nous utiliserons par la suite, l'exclusion des HUBs, est
capable d'apprendre et de retenir la ou les adresses MC qui se pr!sentent sur c"acun de ses
ports#
Deux LANS (ou plus)
Soit le schma suivant
1
Lorsque nous avons deu* LANs et que nous souhaitons les interconnecter$ tout en
conservant dans chaque LAN les m+mes proprits au niveau Ethernet$ nous devons
faire appel la couche , %!-& pour assurer l(interconne*ion. !l nous faut donc un
routeur.
Le routeur a'it au niveau , de la couche %!-&. #e qu(il est absolument fondamental
de comprendre.
#.est qu(au niveau Ethernet$ le LAN bleu i'nore compl/tement l(e*istence du LAN
vert$ et rciproquement$ %deu* rseau* diffrents&. !l 0 a isolation compl/te des deu*
LANs au niveau Ethernet et la prsence du routeur n(0 chan'e rien.
$es trames %t"ernet qui transportent des donn!es depuis le $& 'ert dans le $& bleu ne
seront rien d'autre que des trames %t"ernet issues du routeur c(t! $& bleu )et
r!ciproquement*, )nous sommes au ni'eau +, n'oublions pas*#
O intervient le virtuel
1usqu(ici$ un S!"#H appartenait un et un seul LAN. L(ide de base est de pouvoir
assi'ner certains ports du S!"#H un LAN$ certains autres ports un autre LAN
etc 2
Sur un m+me S!"#H ph0sique$ nous allons pouvoir crer plusieurs LANS et
assi'ner certains de ses ports au* divers LANs crs. !ci$ nous avons un LAN bleu et
un LAN vert. Laissons pour le moment les ports 'ris de c3t.
#omme si l(on avait dcoup notre S!"#H en deu* morceau* %sans pour autant le
dtruire&.
4ans une premi/re approche$ notre maquette deviendrait ceci 2
Le
S!"#H
a t virtuellement coup
1
en deu*. Les deu* 5LANs sont compl/tement tanches au niveau Ethernet %Un
S!"#H est en principe un outil qui ne va pas au del du niveau 6&. -our
interconnecter ces deu* LANs$ un routeur est tou7ours ncessaire.
Pourquoi aire !
!l 0 a bien entendu quelques avanta'es pratiquer. Nous pouvons au moins en citer
deu* 2
optimisation du matriel. En effet$ c(est vident sur l(illustration$ nous n(avons
plus besoin que d(un seul S!"#H$ l o8 il nous en fallait deu* au dpart.
)duction de la diffusion du trafic sur le rseau
1usqu(ici$ c(est asse9 simple. Les choses vont maintenant se compliquer
Les solutions les plus simples$ pourvu qu(elles rpondent au cahier des char'es$ sont
tou7ours les meilleures.
Norme "#$%&q (ou l'art (u ta))
!ci$ l(ide serait d(arriver ce que certains ports du s:ith puissent +tre assi'ns
plusieurs 5LANs$ ;a fera conomiser du c<ble %et aussi des ports sur le S!"#H&.
Le principe consiste a7outer dans l(en=t+te de la trame Ethernet un marqueur qui va
identifier le 5LAN. !l e*iste quelques solutions propritaires pour raliser ceci$ mais le
s0st/me s(est avr tellement intressant qu(une norme a t dfinie$ il s(a'it de la
norme >?6.@q.
Alors qu(une trame Ethernet AnormaleA est constitue comme ceci 2
Une trame modifie par la norme >?6.@q se trouve allon'e de B octets 2
!l n(est peut=+tre pas ncessaire de dtailler le contenu de ces deu* nouveau*
champs. -our l(instant$ retenons que le 5!4 %!dentifiant du 5LAN& est cod sur @6
bits$ ce qui laisse une latitude confortable.
!l est aussi ncessaire de rappeler qu(une trame Ethernet ne doit pas dpasser @C@>
octets et que donc$ quatre octets de plus dans l(en=t+te risquent d(aboutir une
fra'mentation des trames$ ce qui n(est 7amais bien bon. Si l(on doit avoir recours
des 5LANS Ata''usA$ il sera sans doute ncessaire de prvoir ce dtail.
Au final$ notre S!"#H a donc la possibilit d(a7outer ces marqueurs au* trames
Ethernet. Si c(est le cas$ il sera alors possible thoriquement d(assi'ner un m+me
port 6
@6
5LANS diffrents. Dr<ce au 5!4 de chaque 5LAN$ les donnes seront
achemines correctement.
1
Si nous appliquons cette technique notre maquette$ nous obtenons ceci 2
!l n(0 a effectivement qu(un seul c*ble qui relie l'unique s+ith au routeur$ et
pourtant$ nous allons effectivement router les donnes entre les deu* LANs. !l 0 a
tout de m+me une condition respecter 2 le routeur doit +tre A>?6.@q compliantA$
c(est==dire qu(il doit savoir lire les ta's que le S!"#H a pos sur au moins l(un des
deu* 5LANs.
,xplications
Au niveau $
Si nous faisons un 'ros plan sur le S!"#H$ nous observons ceci 2
Le port marqu AtrunEA appartient la fois au* deu* 5LANs bleu et vert. Sur ce port$
il faut bien sFr qu(au moins l(un des deu* 5LANs soit Ata''uA.
Sur le c<ble reli ce port$ il circulera donc la fois les trames du 5LAN bleu et
celles du 5LAN vert. !l n(0 aura pas de probl/mes tant qu( chaque bout du c<ble$
l(interface Ethernet sera capable de trier les trames en fonction du ta'. #eci impose
donc naturellement que le routeur soit compatible avec la norme >?6.@q$ c(est==dire
que son interface soit capable d(e*ploiter ces ta's.
1
-emarque
Sous Linu*$ c(est tout fait possible$ il e*iste sur les distributions modernes un
module spcialis 2 le module >?6@q %test sur 4ebian Sar'e et Etch&.
Au niveau .
Le S!"#H n(a %en principe& rien faire du niveau ,. #hacun des 5LANs se trouvera
avec un plan d(adressa'e !- qui lui est propre$ mais le S!"#H n(est pas concern.
-our pouvoir l(administrer$ il faudra bien 0 accder par !-. -our ce faire$ le S!"#H
disposera d(une adresse !- sur au moins l(un des 5LANs$ et la machine
d(administration devra pouvoir accder ce 5LAN. !l 0 aura quelques probl/mes de
scurit envisa'er ce niveau$ mais nous n(0 sommes pas encore.
Au niveau du routeur$ en revanche$ il faudra que l(interface Ethernet ph0sique puisse
prsenter autant d(interfaces virtuelles qu(il 0 a de 5LANs sur le AtrunEA$ chacune
avec une adresse !- dans le 5LAN concern.
Attribution ('un port / un 0LAN
!l 0 a plusieurs fa;ons de s(0 prendre. en vous parlant des 5LANs de niveau @$ 6$
voire ,. Nous allons essa0er de voir ceci de fa;on plus pra'matique.
Attribution statique (niveau &)
#(est la mthode la plus simple et aussi la moins souple$ qui consiste$ comme nous
l(avons sous entendu 7usqu(ici$ attribuer un port du S!"#H un 5LAN donn$ en
confi'urant statiquement le S!"#H. Nous n(avons besoin de rien d(autre que d(un
S!"#H administrable.
Attribution (1namique (niveaux 2 &)
!ci$ nous ferons appel >?6.@* et un procd d(authentification. 4ans ce qui suit$
nous disposerons d(un S!"#H capable d(envo0er un serveur d(authentification
%t0piquement GA4!US& l(adresse )A# de la station connecte un port$ en 'uise de
Alo'inHpass:ordA. Si l(adresse )A# est connue %authentification russie&$ le serveur
pourra envo0er au S!"#H le numro de 5LAN attach la station. Attention$ tous
les S!"#Hs >?6.@q ne savent pas forcment raliser cette opration.
#ette mthode est plus souple$ puisqu(une station donne pourra se connecter sur
n(importe quel port$ elle se retrouvera tou7ours sur le 5LAN qui lui convient.
1
nous nous contenterons des adresses )A#.
Oui3 mais au niveau . !
4ans notre e*emple$ le S!"#H est confi'ur pour supporter deu* 5LANS$
respectivement d(!4 @ et 6. Les ports verts appartiennent au 5LAN d(!4 @ et les ports
bleus au 5LAN d(!4 6. Aucun de ces ports n(a besoin d(+tre Ata''uA puisqu(ils
n(appartiennent qu( un seul 5LAN.
En revanche$ sur les ports qui vont vhiculer les trames des deu* 5LANs$ au moins
l(un des deu* devra +tre Ata''uA au passa'e de ces ports. Encore une fois$ c'est
l'interace ('a(ministration (u S45678 qui permettra (e raliser cette
coni)uration. 4isons pour fi*er les ides que le 5LAN vert$ d(!4 @ ne sera pas
marqu et que le 5LAN bleu$ d(!4 6 le sera$ sur les ports du AtrunEA 5LAN @ I 5LAN
6.