Cours Rout 2

Routage IP 1
2017/2018
Chapitre 2
Les réseaux locaux virtuels : VLAN
1ere année Master Réseaux de Télécommunications / Mr. Mansour

Routage IP 2
2017/2018
Objectifs :
 Définition.
 Les avantages des réseaux locaux virtuels.
 Implémentation.
VLAN (Virtual Local Area Network)  Réseaux virtuels
Définis par les standards : (http://grouper.ieee.org/groups/802/1/)

IEEE 802.1.q pour la notion de VLAN
IEEE 802.1.p pour la qualité de service (QoS)

Routage IP 3
2017/2018
Définition :
VLAN est un réseau local virtuel qui utilise la technologie Ethernet:

Pour regrouper un ensemble de machines de façon logique et non physique
(sans avoir à tenir compte de leur emplacement sur le réseau).

Routage IP 4
2017/2018
Organisation schématique LAN

LAN1
En règle générale, les postes
de travail sont groupés par leur
proximité physique du
commutateur.
Pour communiquer entre des LAN2
LAN, chaque segment doit

avoir un port séparé sur le
dispositif de dorsale internet LAN LAN3
(backbone). Segmentation physique

Routage IP 5
2017/2018
Présentation VLAN
 Les VLAN fournissent une segmentation en fonction

des domaines de diffusion,
 , Les VLAN segmentent de façon logique les réseaux

sur les fonctions, équipes de travail ou des
applications indépendamment de l’emplacement
physique ou des connections réseaux
 La communication entre VLAN requiert un router.
Mais, une seule connexion physique gérera la
totalité du routage.
VLAN1 VLAN2 VLAN3
Segmentation logique

Routage IP 6
2017/2018
Pourquoi RESEAU VIRTUEL ?

Trois nécessités pour introduire le concept
1. Limiter les domaines de broadcast
2. Garantir la sécurité
3. Permettre la mobilité des utilisateurs
UNE NOUVELLE MANIERE D’EXPLOITER LA TECHNIQUE DE LA

COMMUTATION POUR DONNER PLUS DE FLEXIBILITE AUX RESEAUX
LOCAUX  C’EST UN RESEAU LOGIQUE

Routage IP 7
2017/2018
Avantages
 les VLAN facilitent les ajouts, déplacements et changements.
 Les VLAN offre un niveau de sécurité plus élevées
 Les VLAN Permettent de réaliser des économies.
 Les VLAN augmentent les performances en limitant les diffusion broadcast au

VLAN.

Routage IP 8
2017/2018
Fonctionnement et comportement du VLAN:
 Les messages émis par une station d'un VLAN ne sont reçus que par les
autres stations de ce même VLAN
 Les machines physiquement connectées au réseau, mais n'appartenant

pas au VLAN, ne reçoivent pas les messages.
 Division logique du réseau local
 Les stations d'un même domaine de diffusion ne sont pas obligées d'être
sur le même segment LAN.

Routage IP 9
2017/2018
Remarque :
Ils ont pu voir le jour grâce à l'expansion des commutateurs.
Avant, pour créer des domaines de diffusion on devait créer des réseaux
physiques, reliés entre eux par des routeurs.

Routage IP 10
2017/2018
Ils introduisent une segmentation «virtuelle», qui permet de

constituer des sous-réseaux logiques en fonction de critères
prédéfinis:
i. numéros de ports des commutateurs,
ii. adresses MAC
iii. adresses IP

Routage IP 11
2017/2018

Routage IP 12
2017/2018
Les commutateurs identifient le VLAN auquel appartient une trame grâce au

protocole 8O2.1q
Ils échangent ces trames via des ports d’interconnexion.

On considère qu’un commutateur ne sera associé qu’à un seul VLAN (à
l’exception des ports d’interconnexion).

Routage IP 13
2017/2018
Niveaux VLAN
Les VLAN de niveau 1 (regroupement de ports)
VLAN par ports (Port Based VLAN)
Consiste à affecter certains ports du commutateur à un numéro de VLAN.
L'appartenance d'une interface réseau à un VLAN est déterminée par sa connexion

sur un port du commutateur (dépendance géographique).

Routage IP 14
2017/2018
 Simplicité de la mise en oeuvre

 le VLAN peut être réparti sur plusieurs commutateurs grâce aux :
 échanges d'informations entre commutateurs
 marquage des trames.
 Toutefois la configuration des switchs est statique

 Elle doit être faite « à la main » switch par switch.
 Tout déplacement d'un poste nécessite une reconfiguration des
ports.

Routage IP 15
2017/2018
Les VLAN de niveau 2 (regroupement d'adresses MAC)
 VLAN d'adresses MAC (MAC Address Based VLAN)

ou
 VLAN d'adresses IEEE (IEEE Address-Based VLAN)
 Associent des stations au moyen de leur adresse MAC (adresse IEEE) en

regroupant ces adresses dans des tables d'adresses.
L'appartenance au VLAN est ici déterminée par l'adresse MAC de l'interface

(indépendance géographique – portable par exemple).

Routage IP 16
2017/2018
Principe
Comme l'adresse MAC d'une station ne change pas, on peut la
déplacer, physiquement sans avoir à reconfigurer le VLAN.
 Bien adaptés à l'utilisation de stations portables.
 Configuration fastidieuse :
Impose de créer et maintenir la table des adresses MAC des stations participant au VLAN
de manière statique (switch par switch).
Comme cette table doit être partagée par tous les commutateurs, cela
crée un trafic supplémentaire sur le réseau : (overhead)
Routage IP 17
2017/2018
Les VLAN de niveau 3 (regroupement d'adresses IP par exemple)
Plusieurs catégories
 VLAN d'adresses réseaux (Network Address Based VLAN)
 VLAN de protocoles
 VLAN par règles
Le regroupement se fait ici sur l'adresse de niveau 3 ou supérieur.

Routage IP 18
2017/2018
Niveau 3 - VLAN d'adresses réseaux
 VLAN d'adresses réseaux (Network Address Based VLAN)
 Associent des sous-réseaux IP par masque ou par adresses.
 Les utilisateurs sont affectés dynamiquement à un ou plusieurs VLAN.

Routage IP 19
2017/2018
Niveau 3 - VLAN d'adresses réseaux
Solution des plus intéressantes, malgré la légère dégradation des

performances consécutive à l'analyse des informations au niveau réseau.
Le switch associe l'adresse IP de station à un VLAN basé sur un masque de

sous-réseau.
Le switch détermine les autres ports qui ont des stations appartenant au
même VLAN.

Routage IP 20
2017/2018
Niveau 3 - VLAN de protocoles
 VLAN de protocoles(Protocol Based VLAN)
 Associent des machines en fonction du protocole employé (IP, IPX,

NETBIOS...).
 Exemple : un VLAN de machines exploitant IP et un VLAN de machines

exploitant IPX.

Routage IP 21
2017/2018
Niveau 3 - VLAN par règles
 exploitent la capacité des switchs à analyser les trames
 Les possibilités sont multiples, les domaines de broadcast

peuvent être basés sur :
 des sous-réseaux IP, un numéro de réseau IPX,
 par type de protocole (IP, IPX, DECNet,...),
 sur une liste d'adresses MAC, sur une liste de ports commutés
ou sur n'importe quelle combinaison de ces critères.

Routage IP 22
2017/2018
Identification des VLAN (IEEE 802.1Q)

 Il faut transporter l'information d'appartenance à un VLAN (chaque
commutateur doit connaître le VLAN associé à la source et au destinataire)
 Deux possibilités
 Chargement des tables de VLAN dans tous les équipements (problème
de facteur d'échelle)
 Ajout d'une étiquette aux trames transportées entre les commutateurs
uniquement (côté émetteur)
 L'étiquette identifie le VLAN de la station source
 Norme IEEE 802.1p/Q : format des étiquettes indépendant du
constructeur de l'équipement

Routage IP 23
2017/2018
 Modification transparente de l'en-tête MAC (compatibilité avec les anciens

équipements)
 un niveau d'encapsulation 802.1p/Q identifié par 0x8100
 la trame 802.3 est allongée de 4 octets (nécessite de recalculer le FCS)
 champ priorité sur 3 bits : files d'attente plus ou moins prioritaires dans les
commutateurs (QoS - voix par ex.)
 bit CFI (canonical Format Identifier) pour le routage par la source

Routage IP 24
2017/2018
La norme Ethernet 802.1Q date de décembre 1998 avec une amélioration en 2003.
Elle définit, normalise et organise la notion de VLAN.
L'implantation de cette norme est encore récente. Peu d'interface réseau la
prennent en compte, en conséquence elle est mise en œuvre par les commutateurs
qui offrent souvent des fonctionnalités propriétaires.
Cette norme définit explicitement les VLAN par port (port-based VLAN). Dans ce
contexte l'appartenance à un VLAN se fait par l'association du port à ce VLAN.
La norme peut être mise en œuvre par l'interface réseau ou le commutateur. Par
conséquent un port ne peut appartenir qu'a un seul VLAN sauf si le port est un port
d'interconnexion et si le port est associé à une interface normalisée 802.1q.

Routage IP 25
2017/2018
Port A
Interface Non compatible 802.1q Commutateur 1
Vlan 1 : A, F et E Port B Port C

Port H Port I
Vlan 2 : C et D
Port D
Vlan 3 : H et I Commutateur 2
Port F
Port B d'interconnexion appartient aux Vlan 1 et 2
Port E Port G
Port G connecté sur une machine 802.1q
appartient aux Vlan 2 et 3
Interface compatible 802.1q
Les appareils reconnaissants la norme 802.1q sont

dits "Vlan informé" (Vlan aware) dans le cas
contraire "Vlan non-informé" (Vlan unaware)
Routage IP 26
2017/2018

Routage IP 27
2017/2018
TPID (VLAN Tag Protocol Identifier) :Valeur fixée à (8100)h, identificateur de la

trame 802.1Q
Priorité : Il est possible d'affecter 8 niveaux de priorité à la trame. Champ utilisé
aussi en dehors des Vlan. Fonctionnalité décrite dans la norme 802.1p.
CFI (Canonical Format Identifier) : = 1 pour les réseaux 802.3 ; = 0 pour Token
Ring
VID (Vlan Identifier) : Permet d'identifier un VLAN afin d'y affecter la trame.

Routage IP 28
2017/2018
Récapitulatif
La norme Ethernet 802.1Q définit 3 types de trame Ethernet :
1) La trame non étiquetée (Untagged frame)
La trame ne contient aucun information d'appartenance à un VLAN.

Étiquette implicite sur le contenu (@MAC, IP) ou le port de rattachement.
@ MAC @ Mac Longueur

Données FCS
Destination Source Ou Type
6 octets 6 octets 2 octets 46 a 1500 octets 4 octets
Rappel trame Ethernet II et 802.3

Routage IP 29
2017/2018
2) La trame étiquetée (Tagged frame)
3) La trame étiquetée d'un priorité (Priority-Tagged frame)
Ces trames contiennent une information, étiquette explicite, d'appartenance

à un VLAN
@ MAC @ Mac Longueur

TPID TCI-Tag Données FCS
Destination Source Ou Type
6 octets 6 octets 2 octets 2 octets 2 octets 42 a 1500 octets 4 octets

Routage IP 30
2017/2018
Un commutateur VLAN-Informé gérera les VLAN à l'aide de 3 structure de

données :
 La table habituelle Port / @Mac qui enregistre l'adresse Mac de
l'interface connectée au port.
 La table Port / VLAN qui enregistre l'appartenance d'un port à un ou
plusieurs VLAN.
 Une file d'attente pour gérer les priorités

Routage IP 31
2017/2018
Le VLAN est défini par l'administrateur au niveau du commutateur qui dans

ce cas doit être manageable en général à l'aide d'un navigateur Web
et/ou un client Telnet.
 Première étape :
Création d'un VLAN en lui affectant un identificateur (VID) associé
parfois à un nom.

Routage IP 32
2017/2018
 Deuxième étape :
Affectation des ports aux VLAN. Ainsi un port, vis à vis d'un VLAN*, peut être :
 Exclu du VLAN (No)
 Non Etiqueté (Untagged). Le port est associé à un seul VLAN
* Un port peut être également fermé (forbid) ; dans ce cas aucun trafic n'est
envoyé sur ce port par le commutateur.

Routage IP 33
2017/2018
Suite deuxième étape :

Affectation des ports aux VLAN :
Étiqueté
(Tagged). Les trames qui entrent et sortent par ce type de port sont
marquées par un champs 802.1Q.
Un port "Tagged" peut appartenir à plusieurs VLAN. Un port étiqueté doit être
relié soit à une interface réseau 802.1q soit à un autre port étiqueté
(interconnexion de switchs)
L'interconnexion de plusieurs commutateurs "contenant" des VLAN peut être :
 Statique c'est à dire créée manuellement par l'administrateur
 Dynamique, la création se fait à la suite d'un échange d'information
entre les commutateurs. Ce type de création se fait à l'aide du protocole
GVRP qui doit être activé sur le commutateur.
Routage IP 34
2017/2018
Quelques règles :
 Une trame doit être associée à un VLAN et à un seul
 Un commutateur peut gérer plusieurs VLAN
 Un VLAN peut s'étendre sur plusieurs commutateurs
 Un port peut être rattaché à plusieurs VLAN
 Un station peut communiquer avec plusieurs VLAN avec une interface
802.1q.

Routage IP 35
2017/2018
Les VLAN permettent d’effectuer une segmentation selon certains critères

indépendamment de l’implantation géographique.
 Même service.
 Même applicatif…
Segmentation et filtrage
 La segmentation crée des groupe séparés
strictement
 La séparation peut être rendu perméable
par l’utilisation d’un routeur
 Ceci conduit à attribuer des réseaux IP
différents pour chaque VLAN
Routage IP 36
2017/2018
Répartition des rôles entre commutateur et routeur

 Le switch doit maintenir une table pour chaque VLAN (besoin de
mémoire)
 L’apprentissage des adresses MAC des machines se fait VLAN par VLAN
 Le routeur a une interface (ou sous-interface) dans chaque VLAN
(passerelle pour ce VLAN)
 Le routeur voit :
o les trames qui lui sont adressées (en tant que passerelle)
o les trames de broadcast

Routage IP 37
2017/2018
Exemple 1 : 2 VLAN sur 1 switch
Intérêt limité, mettre

deux réseaux IP
différents sur un même
équipement.

Routage IP 38
2017/2018
Exemple 2 : 2 VLAN propagés sur 2 switch
Interconnexion pas très pratique, à éviter absolument.

Routage IP 39
2017/2018
Exemple 3 : 2 VLAN propagés sur 2 switch

avec un lien en mode Trunk
Etiquetage des trames 802.1 Q ou ISL

Routage IP 40
2017/2018
Un trunk est un lien entre deux équipements, le plus souvent entre deux
switch, configuré de telle sorte que l’on peut y faire circuler des trames
Ethernet modifiées comportant des informations relatives au VLAN sur lequel
elles transitent.

Routage IP 41
2017/2018
Vlan Statique & Vlan Dynamique

Les VLAN statiques sont :
 simples à mettre en place
 plus difficiles à maintenir (déplacements)
 vulnérables à l’utilisation incontrôlée des prises
Les VLAN dynamiques sont :
 plus difficiles à mettre en place (création de bases d’@MAC)
 faciles à maintenir (mobilité)
 générateurs de traffic sur le réseau (VTP) pour propager les bases
 moins vulnérables (même si il existe des cartes réseaux pour lesquelles
l’@MAC est paramétrable)
Routage IP 42
2017/2018
VLAN Statiques ou VLAN part port
Les ports du commutateur sont

affectés à un VLAN :
 Facilité d’administration
 Fonctionnement idéal dans un
réseaux ou il y a peu de mobilité.

Routage IP 43
2017/2018
VLAN Dynamiques :
Automatiquement, les ports des commutateurs peuvent déterminer leur

VLAN d’appartenance.
Le filtrage est basé sur :
 Les adresses MAC
 L’adresses logique source (IP)
 Le type de protocole des paquets de données.

Routage IP 44
2017/2018
Vlan part Adresses MAC : (vlan de niveau 2)
 Le Vlan de niveau segmente le réseau en fonction de l'adresse MAC de

l'utilisateur.
 On associe ainsi des adresses à des Vlans pour permettre à un utilisateur
de se déplacer sans pour autant changer de profil.
 Ce type de Vlan est généralement utilisé pour regrouper les utilisateurs
par service.
 Si on souhaite changer de VLAN, il faut modifier l’association VLAN / MAC

Routage IP 45
2017/2018
Les vlans de niveau 3 : (vlan par sous-réseau)
Permettent de regrouper plusieurs

machines suivant le sous réseau
auxquels elles appartiennent.
 L'attribution des Vlans se fait de

manière automatique en décapsulant
le paquet jusqu'a l'adresse source.
Cette adresse va déterminer à quel
Vlan appartient la machine et
affecter dynamiquement les ports des
commutateurs à chaque VLAN

Routage IP 46
2017/2018
Vlan par protocole

Une trame est associée en fonction du
protocole qu’elle transporte
• Protocole de niveau 3 pour isoler les
flux IP, IPX…
• Protocole de niveau supérieur
notamment H320
• L’apparition du Wi-fi pose des
problème de sécurité que les VLAN
peuvent résoudre. Une solution
basée sur des VLAN par SSID est
envisageable.
Routage IP 47
2017/2018
Centralisation de la base MAC/VLAN

 Avec l’utilisation d’un VLAN Policy Management Server VMPS, il est
possible de centraliser la base @MAC/VLAN
 Au démarrage un switch ainsi configuré télécharge la base
@MAC/VLAN par le protocole tftp, sur le serveur VMPS
 La gestion de la base se fait donc de façon centralisée
Switch> (enable) set vmps tftpserver ip_addr [filename]

Switch> (enable) set vmps state enable
Switch> (enable) show vmps

Cours Rout 2

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cours Rout 2

Загружено:

Авторское право:

Доступные форматы

Routage IP 1

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Définis par les standards : (http://grouper.ieee.org/groups/802/1/)

1ere année Master Réseaux de Télécommunications / Mr. Mansour

VLAN est un réseau local virtuel qui utilise la technologie Ethernet:

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Organisation schématique LAN

LAN, chaque segment doit

1ere année Master Réseaux de Télécommunications / Mr. Mansour

 Les VLAN fournissent une segmentation en fonction

 , Les VLAN segmentent de façon logique les réseaux

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Pourquoi RESEAU VIRTUEL ?

UNE NOUVELLE MANIERE D’EXPLOITER LA TECHNIQUE DE LA

1ere année Master Réseaux de Télécommunications / Mr. Mansour

 Les VLAN offre un niveau de sécurité plus élevées

 Les VLAN Permettent de réaliser des économies.

 Les VLAN augmentent les performances en limitant les diffusion broadcast au

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Fonctionnement et comportement du VLAN:

 Les machines physiquement connectées au réseau, mais n'appartenant

 Division logique du réseau local

1ere année Master Réseaux de Télécommunications / Mr. Mansour

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Ils introduisent une segmentation «virtuelle», qui permet de

1ere année Master Réseaux de Télécommunications / Mr. Mansour

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Les commutateurs identifient le VLAN auquel appartient une trame grâce au

Ils échangent ces trames via des ports d’interconnexion.

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Les VLAN de niveau 1 (regroupement de ports)

VLAN par ports (Port Based VLAN)

Consiste à affecter certains ports du commutateur à un numéro de VLAN.

L'appartenance d'une interface réseau à un VLAN est déterminée par sa connexion

1ere année Master Réseaux de Télécommunications / Mr. Mansour

 Simplicité de la mise en oeuvre

 Toutefois la configuration des switchs est statique

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Les VLAN de niveau 2 (regroupement d'adresses MAC)

 VLAN d'adresses MAC (MAC Address Based VLAN)

 Associent des stations au moyen de leur adresse MAC (adresse IEEE) en

L'appartenance au VLAN est ici déterminée par l'adresse MAC de l'interface

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Les VLAN de niveau 3 (regroupement d'adresses IP par exemple)

 VLAN d'adresses réseaux (Network Address Based VLAN)

 VLAN par règles

Le regroupement se fait ici sur l'adresse de niveau 3 ou supérieur.

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Niveau 3 - VLAN d'adresses réseaux

 VLAN d'adresses réseaux (Network Address Based VLAN)

 Associent des sous-réseaux IP par masque ou par adresses.

 Les utilisateurs sont affectés dynamiquement à un ou plusieurs VLAN.

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Niveau 3 - VLAN d'adresses réseaux

Solution des plus intéressantes, malgré la légère dégradation des

Le switch associe l'adresse IP de station à un VLAN basé sur un masque de

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Niveau 3 - VLAN de protocoles

 VLAN de protocoles(Protocol Based VLAN)

 Associent des machines en fonction du protocole employé (IP, IPX,

 Exemple : un VLAN de machines exploitant IP et un VLAN de machines

1ere année Master Réseaux de Télécommunications / Mr. Mansour

Niveau 3 - VLAN par règles