LES RESEAUX VIRTUELS VLAN

PLAN

I. II. III. IV. V. VI.

Introduction Les avantages dun VLAN Le partitionnement du rseau sans les VLAN La technique des VLAN VLAN de niveau 1 VLAN de niveau 2

VII. VLAN de niveau 3 VIII. Le fonctionnement interne des switchs VLAN IX. X. Quelques quipements pour la ralisation de VLAN Documents de rfrence Webographie

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

I.

INTRODUCTION
Les rseaux virtuels (Virtual LAN) sont apparus comme une nouvelle fonctionnalit dans ladministration rseau avec le dveloppement des commutateurs. La notion de VLAN est un concept qui permet de raliser des rseaux de faon indpendante du systme de cblage. Ces rseaux permettent de dfinir des domaines de diffusions restreints, cela signifie quun message mis par une station du VLAN ne pourra tre reu que par les stations de ce mme VLAN. Un VLAN, est donc, un regroupement logique, et non physique, de plusieurs stations. Pour raliser ce regroupement, on intervient directement, par voie logicielle, sur le ou les lments actifs que sont les commutateurs VLAN.

II.

LES AVANTAGES Dun VLAN

Ils permettent de supporter les organisations virtuelles, en rendant lappartenance un groupe indpendant de sa position gographique. Ils optimisent la bande passante, en ralisant des rseaux disjoints, donc en ralisant des domaines de collision disjoints. Ils simplifient ladministration, en utilisant des commandes centralises pour grer un rseau plutt que des interventions dans les armoires de brassage. Ils amliorent la scurit, en crant des rgles de communication inter-VLAN.

III.

LE PARTIONNEMENT DU RESEAU SANS LES VLAN 1. Rseaux physiquement disjoints

La premire technique consiste sparer un rseau en deux sous rseaux en utilisant un routeur. Cest la technique employe lorsque lon met en place des rseaux sous IP.

Routeur Switch Switch

Poste de travail

Poste de travail

Poste de travail Poste de travail

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

2. Sparer les rseaux par un switch

La seconde technique consiste sparer les rseaux par un switch, les paquets dun rseau IP ne voyant pas les paquets des autres rseaux IP. En utilisant, deux ou plusieurs lans avec des adresses IP rseaux diffrentes, le commutateur est tout fait capable de sparer les rseaux.

Rseau 1 10.0.0.0 /8

Rseau 2 172.16.0.0 /16

Hub

Ordinateur

Ordinateur

Ordinateur

Ordinateur

Cette technique pourrait tre satisfaisante dans une architecture rseau simple, mais peu recommandable dans une architecture complexe, car ne disposant daucun outil pour une gestion centralise du rseau.

IV.

LA TECHNIQUE DES VLAN

Pour raliser des VLANs, il faut tout dabord des commutateurs spciaux qui supportent le VLAN. Ces produits combinent tous les avantages des solutions prcdentes : Partitionnement en plusieurs domaines de broadcast Affectation dun ou plusieurs ports un VLAN depuis une console centrale Amlioration de la bande passante par la fonction de commutation Adaptation de la vitesse du switch la capacit du rseau Regroupement des VLAN sur un mme segment backbone (rseaux distants avec des Vlan commun de bout en bout) Gestion dune bonne tanchit entre VLAN 1. Les types de VLAN Il existe plusieurs types de VLAN, en fonction de leurs mthodes de travail, nous pouvons les associer une couche particulire du modle OSI.

VLAN de niveau 1 VLAN de niveau 2 VLAN de niveau 3

associ la couche physique associ la couche liaison associ la couche rseau

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

V. VLAN DE NIVEAU 1
Le VLAN de niveau 1 correspond une configuration physique du rseau, il sagit dassocier chaque port du switch un VLAN. Dans ce type de VLAN : Cest le port qui dtermine le VLAN auquel appartient les stations associes Il ny a pas de traitement lourd pour chaque trame dans le processus de routage Toutefois, ce type de VLAN comporte quelques inconvnients important : - Un brassage est ncessaire en cas de dmnagement gographique des stations - Ncessite de modifier les VLAN en cas dajout ou de retrait dutilisateurs - Ne permet pas de traiter les switchs cascads Avec ce type de VALN, on ne dispose pas dune souplesse trs importante, et cest pourquoi ils sont peu utiliss.

VLAN 1 1 2 3 4

VLAN 2

A titre dexemple, voici le genre de commandes dassignation insrer dans le switch

- assign port 1,2,3,4,5 to VLAN 1 - assign port 6,7,8 to VLAN2

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

VI.VLAN DE NIVEAU 2
Dans ce type de VLAN, cest ladresse MAC de la carte rseau de la station, qui dtermine le VLAN auquel elle appartient Cela offre une grande souplesse et permet davoir des stations sur un mme port du switch et pourtant appartenant des VLAN diffrents. Ce point est trs important car il permet alors, dautoriser des switchs en cascades sur le switch configur en VLAN. Le switch VLAN, plac en tte de pont, fera alors le routage sans difficults, puisque la lecture de ladresse MAC de la trame lui indiquera le numro de VLAN associ. La souplesse qui en dcoule donne la pleine puissance des VLAN, car en cas de mouvement de postes, toute reconfiguration est inutile, le switch VLAN saura toujours associ ladresse MAC de la carte rseau au bon VLAN. Le seul bmol ce type de VLAN est la ncessit de maintenir un fichier de correspondance entre adresse_mac et VLAN, le switch layant crer lors de sa configuration, il suffit de lexporter. Bien entendu, tout changement de carte rseau sur un poste ncessite un changement similaire sur son association VLAN.

VLAN 1

VLAN 2

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

VII. VLAN DE NIVEAU 3

On peut considrer que cest le niveau de VLAN par dfaut, en effet, au niveau 3, cest ladresse IP de la station qui dtermine le VLAN auquel elle appartient. Plus prcisment, on associera un VLAN une plage dadresse. Avec les VLAN de niveau 3, la configuration est aise car on se trouve au niveau IP, donc loin de toute configuration matrielle tels que ports ou adresses MAC. On retrouve bien entendu, la puissance des VLAN, c'est--dire que des stations sur un mme port du switch peuvent appartenir des VLAN diffrents. Le niveau 3 est adapt au rseau complexe et aux entreprises possdant de nombreux portables avec ou sans fils. La puissance des OS intgrs dans les switch VLAN leur permet de traiter rapidement des milliers de trames en parallle. En effet, si nous rentrons plus en dtails dans le traitement de la trame, nous trouvons une trame Ethernet classique avec un champ de donnes contenant un paquet IP. Le commutateur devra avant tout routage de la trame, extraire le paquet IP de la trame Ethernet, et ensuite extraire de ce paquet IP, ladresse IP destination de la trame et le masque de sous rseau associ.

150.10.0.99 VLAN 1 1 Adresse IP des stations dfinies sur le rseau 150.10.0.0/16 5 2 3 4

VLAN 2 Adresse IP des stations dfinies sur le rseau 150.10.0.0/16

150.10.0.100

150.10.0.1

Sur le mme segment physique

On peut, au sein dun mme rseau IP dfinir des groupes de stations appartenant des diffrents VLAN et cela de manire totalement transparente, sans multiplier le nombre de sous rseaux grer.

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

VIII. LE FONCTIONNEMENT INTERNE DES SWITCHS VLAN

A prsent que nous avons vu le principe des VLAN, attardons nous sur le fonctionnement interne du VLAN, et tudions la problmatique suivante : Comment transporter et reconnatre larrive sur un mme segment physique, des trames issues de plusieurs VLAN? 1. Le marquage des trames Pour raliser cette opration, les systmes dexploitation des switchs VLAN ralisent le marquage des trames. l'aide du marquage de trame, un champ de quatre octets est rattach toutes trames traversant le rseau. Ce champ (tag) identifie le VLAN auquel appartient la trame, il est ajout la trame par la station mettrice ou par un priphrique en rseau, par exemple, un commutateur. Outre les informations VLAN, la priorit relative de la trame sur le rseau peut tre spcifie par l'tiquette. La trame Ethernet ci-dessous, prsent le point o sera insr le tag VLAN.

Les diffrents champs de la trame sont : adresse MAC destination (6octets) Permet de connatre la destination de la trame adresse MAC source (6 octets) Permet en cas de problmes sur la trame, davertir la station mettrice que sa trame na pu tre livre, et de redemander une retransmission Etype (2 octets) Champ dfini avec le code 0800 Tag Vlan (4 octets) Dfinit lidentifiant VLAN et sa priorit Nous ltudierons plus en dtails avec la norme IEEE 802.1Q Long/type: (2 octets) Dfinit la taille des donnes utiles dans le champ donnes, sachant que ce champ doit faire au minimum 46 octets et maximum 1500. Si la trame ne contient que 10 octets utiles, 36 octets de bourrage seront insrs dans le champ donnes. La valeur du champ Long/type sera alors dfinie 10. FCS (4 octets) Ce Frame Control Sequence est un contrle bas sur une division polynomiale des en ttes de la trame, sans le champ donnes. Ce FCS correspond au reste obtenu en divisant la trame par un polynme normalis CRCx. Ce contrle est galement appel Contrle Redondance Cyclique.

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

Deuxime problmatique : Comment tendre un mme VLAN sur plusieurs commutateurs ? Pour rsoudre ce problme, les constructeurs proposent des solutions, en particulier CISCO qui propose le protocole ISL (InterSwitch Link).Et de faon plus ouverte, il a t dfini la norme IEEE 802.1Q

2. Le protocole ISL ISL est un protocole propritaire CISCO, il a pour objectif de permettre un marquage des trames afin den effectuer un routage correct sur des liens communs plusieurs VLAN, typiquement un backbone en fibre optique.

Btiment 2 Liaison Fibre optique

Voici un schma reprsentant lencapsulation de la trame Ethernet par des en-ttes spcifiques ISL
Encapsulation de la trame par des en-ttes ISL Trame Ethernet

Voici une dfinition succincte des champs composant ces deux en ttes Entte ISL Adresse destination (40 bits) Type (Ethernet, Token Ring, ATM, FDDI, ) ( 4 bits) Utilisateur (Priorit) (4 bits) Adresse metteur ( @ MAC du port metteur ) (48 bits) Longueur (16 bits) Constante ( AA AA 03 ) (24 bits) Bits de poids forts de ladresse source (24 bits) Rseau virtuel (16 bits) BPDU : 1 si paquet de gestion du protocole Spanning tree (1 bit) Index (utilis en maintenance) (16 bits) CRC ISL CRC (32 bits) (Contrle Redondance Cyclique Division polynomiale)
LES_RESEAUX_VIRTUELS_Ver_1.5.doc 8 F.MOUFFOK

3. La norme IEEE 802.1Q Le standard IEEE 802.1Q fournit un mcanisme d'encapsulation trs rpandu et implant dans de nombreux quipements de marques diffrentes. Comme dans le cas de l'encapsulation ISL prcdente, l'en-tte de trame est complt par une balise de 4 octets. Le standard IEEE 802.1Q dfinit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complte l'en-tte de trame Ethernet. Ce VLAN tag est plac la suite du champ Ethertype de la trame Ethernet, qui lui mme est juste derrire ladresse MAC Source.

Structure du VLAN Tag Priority (3bits) Le champ Priority Ce champ de 3 bits fait rfrence au standard IEEE 802.1P. Sur 3 bits on peut coder 8 niveaux de priorits de 0 7. La notion de priorit dans les VLANs est sans rapport avec les mcanismes de priorit IP. Ces 8 niveaux sont utiliss pour fixer une priorit aux trames d'un VLAN relativement aux autres VLAN. La priorit du routage dun VLAN par rapport lautre est dfinie lors de la dfinition des VLANS. Le champ Canonical Format Identifier Ce champ cod sur 1 bit assure la compatibilit entre les adresses MAC Ethernet et Token Ring dans le cas darchitecture rseau mixte, plutt rare prsent. Un commutateur Ethernet fixera toujours cette valeur 0. Si un port Ethernet reoit une valeur 1 pour ce champ, alors la trame ne sera pas propage puisqu'elle est destine un port sans balise (untagged port). Le champ VLAN Identifier, vlan id, VID Ce champ de 12 bits sert identifier le VLAN auquel appartient la trame. Il est possible de coder 4094 VLANs avec ce champ. Canonical Format Identifier (1bit) VLAN Identifier (12 bits)

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

F.MOUFFOK

IX. Pour aller plus loin Les liens TRUNK Les liens MESH
1. Le Trunking Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs rseaux virtuels. Les diffrents liens constituant ce trunk seront alors utiliss simultanment, permettant ainsi d'augmenter le dbit inter-switch. Du point de vue du switch, la connexion un trunk est vue comme un seul port La distribution du trafic sur chacun des liens du trunk est effectue sur la base d'une rsolution d'adresse source et/ou destination, voir d'une ngociation . Les trames qui traversent le trunk sont compltes avec un identificateur de rseau local virtuel (VLAN id). Grce cette identification, les trames sont conserves dans un mme VLAN (ou domaine de diffusion). Les trunks peuvent tre utiliss : Entre deux commutateurs C'est le mode de distribution des rseaux locaux le plus courant. Entre un commutateur et un hte C'est le mode de fonctionnement surveiller troitement. Un hte qui supporte le trunking a la possibilit d'analyser le trafic de tous les rseaux locaux virtuels. Entre un commutateur et un routeur C'est le mode fonctionnement qui permet d'accder aux fonctions de routage ; donc l'interconnexion des rseaux virtuels par routage inter-VLAN. Tous les VLAN vhiculs dans le mme trunk partagent la bande passante du mdia utilis. Si un trunk utilise un lien 100Mbps, la bande passante de tous les VLAN associs est limite ces 100Mbps.

1. Le Meshing Une autre manire d'agrger plusieurs liens est le meshing. Cette technique ne se limite pas des liaisons point point entre deux switchs puisqu'elle peut regrouper tout un maillage de switchs (plusieurs switchs relis entre eux de faon redondante). l'intrieur d'un mme mesh, le trafic est distribu dynamiquement vers les liens offrant l'accs le plus rapide, lobjectif ici est de partager la charge rseau sur plusieurs liens, vitant ainsi toute saturation et assurant un Qos de qualit0 Un ensemble de switchs relis (de manire redondante) par des liens paramtrs comme mesh constitue un meshed domain. Ce dernier dtermine rgulirement les "meilleurs" chemins l'intrieur de ce domaine selon plusieurs critres: en fonction de la taille de la file d'attente des buffers associs aux ports du switch, de leur configuration en vitesse et de la quantit de paquets jets qui illustre l'occupation du port. Un chemin dtermin comme "meilleur" entre deux adresses MAC reste valable tant que l'entre de ces adresses MAC n'expire pas dans la table d'adressage. La diffrence principale avec le trunk
LES_RESEAUX_VIRTUELS_Ver_1.5.doc 10 F.MOUFFOK

est que tous les liens restent actifs et qu'ils peuvent rapidement tre sollicits pour rpondre une augmentation du trafic.

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

11

F.MOUFFOK

X. QUELQUES QUIPEMENTS POUR LA RALISATION DE VLAN

Commutateur Procurve HP 2524 pour rseaux d'entreprises 503

24 ports 10/100Base-TX auto-sensing, auto MDI/MDI-X (sur RJ-45) Commutation Ethernet : Commutation non bloquante sur tous les ports Ethernet, autongociation Full / Half Duplex, authentification 802.1x, support des VLAN 802.1Q (x30, configuration dynamique), gestion des priorits 802.1p, Rapid et Fast Convergence Spanning Tree (802.1D et 802.1w)

D-Link DGS-3312SR 1369 Commutateur de tte de rseaux

4 ports SFP (Small Form Pluggable) 10/100/1000Base-TX auto-sensing, auto MDI/MDI-X sur RJ-45 Commutation Ethernet : Commutation non bloquante sur tous les ports Ethernet, autongociation Full / Half Duplex, contrle de flux 802.3x, support des VLAN 802.1Q, gestion des priorits 802.1p, authentification 802.1x, Rapid Spanning Tree, gestion QoS, contrle de la bande passante, limitation des broadcasts, IGMP snooping Table des adresses MAC : 16 000 entres (8 000 dans une pile)

NetGear FS750T-530

L'interface du navigateur permet une gestion simple, permettant d'valuer la performance du switch, de configurer des ports, de mettre en place des agrgats de ports, des VLAN ou de la priorit de trafic. Livr prt l'emploi, il est facile paramtrer et utiliser 12 F.MOUFFOK

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

Commutation Ethernet : Commutation non bloquante sur tous les ports Ethernet, autongociation Full / Half Duplex, contrle de flux 802.3x, support des VLAN 802.1Q (64 groupes), agrgation de liens IEEE 802.3ad, gestion des priorits 802.1p, gestion QoS par port,

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

13

F.MOUFFOK

Documents de rfrence WEBOGRAPHIE Documentation Cisco: InterSwitch Link and IEEE 802.1Q Frame Format Documentation Cisco dcrivant une configuration simple sur le routage inter-VLAN Configuring InterVLANRouting and ISL/802.1Q Trunking. Exemple pdagogique de configuration de VLAN sur DELL power connect 5212 http://docs.us.dell.com/support/edocs/network/pc5212/fr/UG/pc5212ce.htm Exemple dapplication de VLAN http://www.awt.be/web/sec/index.aspx?page=sec,fr,100,010,003 Exemple de commande de configuration dun vlan sur INTEL Switch 6000 http://support.intel.com/support/express/switches/6000/sb/CS-012323.htm Exemple de configuration de VLAN sur matriel Cisco http://www.cisco.com/en/US/products/hw/switches/ps646/products_command_refer ence_chapter09186a00801cdf03.html Prsentation des rseaux virtuels installs sur le campus de Jussieu http://web.ccr.jussieu.fr/ccr/services/reseau/Presentation.htm

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

14

F.MOUFFOK

BIBLIOGRAPHIE
Les rseaux locaux virtuels de Gilbert Held

Interditions

1998 2-2258-3156-4 240 pages - 39,50

Cisco

Interconnexion des rseaux l'aide des routeurs et commutateurs

de Djillali Seba Eni

novembre 2003 2-7460-2144-7 500 pages - 27,14

Jai pu constater que la littrature est assez pauvre concernant les Vlan, en fait, de nombreux constructeurs fournissent des formations et des supports par le biais dachat de matriel. Toutefois, ceci est compens par le nombre de sites traitant de la technique des VLAN.

LES_RESEAUX_VIRTUELS_Ver_1.5.doc

15

F.MOUFFOK