VLANs

Virtual Local Area Network

CCNA3
 Domaine de collision
Domaine de diffusion
 Rappel : questions

 Comment limiter au maximum le domaine de collision?

 On enlève tous les Concentrateurs de notre réseau en les remplaçant par des Commutateurs. Il y aura
alors un domaine de collision par port du switch et comme le port du switch est branché sur une
unique carte réseau, il n’y aura pas de collision.

 Comment limiter au maximum le domaine de broadcast?

 Le but est d’éviter que le switch soit surcharger par des trames de diffusion (niveau2)
 On va utiliser une fonctionnalité qui existe sur le Switch qui est la possibilité de “découper” le domaine
de broadcast en plusieurs domaines de broadcast plus petits. On parle de VLAN (Virtual LAN).
 Virtual local area network - VLAN -

 Définition du VLAN
 Un VLAN, réseau local virtuel, il décrit un type de réseau local.
Le VLAN regroupe, de façon logique et indépendante, un ensemble de machines informatiques.
 Plusieurs Vlan peuvent coexister simultanément sur un même commutateur réseau.

 Avantages des VLAN

 réduit les risques de violation de confidentialité : sécurité
 réduit les mises à niveau onéreuses du réseau => l’utilisation plus efficace de la bande passante et des
liaisons ascendantes existantes : Réduction des coûts
 réduit la quantité de trafic inutile sur le réseau et augmente les performances : Meilleures
performances
 réduit le nombre de périphériques susceptibles de participer à une tempête de diffusion: Atténuation
des tempêtes de diffusion
 facilitent la gestion du réseau, car les utilisateurs ayant des besoins réseau similaires partagent le même
VLAN : Efficacité accrue du personnel informatique
 Gestion simplifiée de projets ou d’applications
 Types de VLANs

 Les VLAN statiques : Accès sur les ports. L’appartenance à un VLAN est en effet fonction du port sur lequel
est connecté un utilisateur (corrélation de couche 1 : port <-> VLAN). La configuration des commutateurs
se fait donc en attribuant un port à un VLAN :
 simples à mettre en place,
 plus difficiles à maintenir (déplacements),
 vulnérables à l’utilisation incontrôlée des prises.

 Les VLAN dynamiques : l’appartenance à un VLAN est déterminée par une information de couche
supérieure : 2 ou plus (corrélation de couche>=2 <-> VLAN). On peut baser l’appartenance à un VLAN en
fonction de l’adresse MAC de l’utilisateur. Cette configuration basé en général sur un serveur.
 plus difficiles à mettre en place,
 faciles à maintenir (mobilité),
 générateurs de traffic sur le réseau (VTP) pour propager les bases,
 moins vulnérables (même s’il existe des cartes réseaux pour lesquelles l’@MAC est paramétrable)
 Communication intra/inter VLAN

 Le fait de communiquer avec un périphérique qui se trouve sur le même VLAN s’appelle
la communication intra-VLAN. (=> switch)
 Le fait de communiquer avec un périphérique qui se trouve sur un autre VLAN s’appelle
la communication inter-VLAN. (=> routeur)

Switch routeur
Le switch doit maintenir une table Le routeur a une interface (ou sous-
pour chaque VLAN (besoin de interface) dans chaque VLAN
mémoire) (passerelle pour ce VLAN)

L’apprentissage des adresses MAC

des machines se fait VLAN par VLAN

Switch Vs routeur
Exemple de communication intra/inter
VLAN

VLAN 1 VLAN 2 VLAN 1 VLAN 2

VLAN 1 et 2

• Deux VLANs propagés sur deux switchs

• Interconnexion pas très pratique…
• A éviter absolument !
 Agrégation de VLAN

Définition
 Une agrégation est une liaison point à point entre deux périphériques réseau qui porte
plusieurs VLAN. Une agrégation de VLAN vous permet d’étendre les VLAN à l’ensemble
d’un réseau.
 Une agrégation de VLAN n’appartient pas à un VLAN spécifique, mais constitue plutôt un
conduit pour les VLAN entre les périphériques réseau.
 Afin de transporter le trafic des VLAN entre différents commutateurs il est nécessaire de
trouver un protocole de transport entre les équipements qui permettent de conserver les
informations d’appartenance aux VLAN.
 Exemple de 802.1Q qui est un protocole de multiplexage (sur Ethernet c’est un type
particulier de trames) qui permet le transport des trames des différents VLAN du réseau.
 C’est l’administrateur du réseau qui décide quel port est destiné à accueillir des machines (port
acces) ou bien destiné à l’interconnexion des différentes parties d’un VLAN (port trunk).
Agrégation de VLAN : exemple

VLAN 1 VLAN 2 VLAN 1 VLAN 2

VLAN 1 et 2 VLAN 1 et 2

Deux VLANs propagés sur deux switchs avec lien en mode trunk (étiquetage
des trames)

 Les protocoles 802.1Q et ISL sont deux protocoles permettant de

transporter des VLAN sur des infrastructures partagées.
 Modes d’agrégation : ISL Vs 802.1Q

 ISL : Inter Switch Link

 Technique développée pour les équipements Cisco. Chaque trame Ethernet est encapsulée
dans une trame ISL, d'en-tête 26 octets et d'en-queue 4 octets qui est un CRC
 Solution surtout utilisée dans le Voice over IP des équipements Cisco
 Fonctionne avec Ethernet et Token Ring
 Supporte jusque 1005 VLANs
 Technique non compatible avec les standards IEEE 802.1Q
 IEEE 802.1Q
 n'encapsule pas la trame Ethernet originale,
 insère un en-tête additionnel de 4 octets qui contient un champ d'identification du VLAN.
implanté dans de nombreux équipements de marques différentes
 Le champ de contrôle de trame (FCS) doit être recalculé à cause de l'ajout de l'en-tête
additionnel.
 Supporte jusque 4095 VLANs
 Etiquetages de trames(1)
 C’est une modification de la trame Ethernet d’origine en ajoutant un en-tête (étiquette),
pour spécifier le VLAN auquel la trame appartient.
 Question : Comment les ID de VLAN sont-ils insérés dans une trame ?
 Lorsque le commutateur reçoit une trame sur un port configuré en mode accès avec un
VLAN statique, il décompose la trame et insère une étiquette VLAN, recalcule la séquence
de contrôle de trame, puis envoie la trame étiquetée via un port d’agrégation.
 Le champ de l’étiquette VLAN se compose de trois champs :
 EtherType,
 informations de contrôle d’étiquette
 la séquence de contrôle de trame.
 Etiquetages de trames(3)

EtherType = TPID Le champ EtherType étant défini sur la valeur du TPID, le commutateur
l’ID de protocole qui reçoit la trame sait qu’il doit rechercher des informations dans le
d’étiquette champ d’informations de contrôle d’étiquette.
Champ Paramètres 3 bits de priorité utilisateur : utilisés par la norme 802.1p qui spécifie
de contrôle des comment assurer la transmission prioritaire des trames de couche 2.
étiquettes 1 bit d’identificateur de format canonique (CFI) : permet aux trames
Token Ring d’être facilement transportées sur des liens Ethernet.
12 bits d’ID de VLAN (VID) : numéros d’identification de VLAN ; prend
en charge jusqu’à 4 096 ID de VLAN.

Champ de la Une fois que le commutateur a inséré le champ EtherType et le

séquence de champ d’informations de contrôle d’étiquette, il recalcule les valeurs
contrôle de trame de la séquence de contrôle de trame et les insère dans la trame.

Détails du champ de l’étiquette VLAN

VLANS de base

 VLAN de données (appelé VLAN utilisateur)

 configuré pour ne transporter que le trafic généré par l’utilisateur.
 Vlan par défaut
 Tous les ports du commutateur deviennent membres du VLAN par défaut après le démarrage initial du
commutateur.
 Le VLAN par défaut des commutateurs Cisco est le VLAN 1. Il possède les mêmes caractéristiques que
n’importe quel autre VLAN, sauf que vous ne pouvez ni le renommer, ni le supprimer.
 Le trafic de contrôle de couche 2, tel que le trafic des protocoles CDP et STP (Spanning Tree Protocol), est
toujours associé au VLAN 1 et il est impossible de modifier ce paramètre.
 Vlan natif
 Un VLAN natif est affecté à un port d’agrégation 802.1Q. Un port d’agrégation 802.1Q prend en charge le
trafic provenant de nombreux VLAN (trafic étiqueté ou « tagged traffic »), ainsi que le trafic qui ne provient
pas d’un VLAN (trafic non étiqueté ou « untagged traffic »). Le port d’agrégation 802.1Q place le trafic non
étiqueté sur le VLAN natif. Ce vlan n'est pas marqué même si il passe sur une liaison trunk.
 Vlan de gestion
 configuré pour accéder aux fonctionnalités de gestion d’un commutateur. C’est le VLAN 1 qui fait office de
VLAN de gestion si vous ne définissez pas explicitement un VLAN distinct pour remplir cette fonction.
 Vous attribuez à ce VLAN une adresse IP et un masque de sous-réseau pour gérer le commutateur
la configuration standard des VLAN et
agrégations

 Création des VLANs

 Affectation statique des ports du commutateurs au vlans crées
 Activation de l’agrégation sur les connexions entre commutateurs
 Vérification

 Application :
 simulation sous Packet tracer
 TP vlan et routage (sur le matériel)
Configuration : exemple de
commandes
 Création de vlan:
Switch(config)#
 Affectation de ports:
Switch(config)# interface type slot/num
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan number
 Vérification de la configuration
Switch# show vlan
 Pour afficher les informations d'un port
Switch# show interface type slot/num switchport
Routage inter-Vlan

 Un VLAN est en quelque sorte un sous-réseau virtuel, généralement associé à une adresse
sous-réseau propre. Cela implique donc que les vlans ne peuvent pas communiquer entre
eux à moins que l’on utilise un périphérique niveau 3 pour assurer le routage…
 Pour qu’un routeur puisse router un paquet d’un domaine de diffusion à un autre il doit
posséder une interface configurée dans chacun d’eux …
 On créer autant d’interfaces virtuelles qu’on a de VLAN (passerelle par défaut du sous-
réseau) on parle de la méthode « router-on-a-stick »
 Un switch multi-layer (MLS) est un switch qui peut effectuer des fonction de couche 2 et 3.
Par configuration on peut y activer le routage IP ce qui le transforme en routeur potentiel.
 On utilise les SVIs (Switched Virtual Interface) qui sont des « interface VLAN ». Les portes
d’accès du switch pour émettre des trames dans les différents domaines de diffusion.

 Voir TP routage inter-VLAN

Questions ?
 VTP
VLAN Trunking Protocol

A quoi sert ce protocole ?

VTP : VLAN Trunk protocol

 Il sert à la propagation de la configuration

(création/suppression/modification) de VLAN sur tous les switchs de votre
réseau à partir d’un seul switch.
 VTP est un protocole propriétaire Cisco qui permet de faire de la
communication entre périphériques sur leurs ports trunk.

 l’IEEE a sorti un protocole similaire afin de permettre cette fonctionnalité

entre switchs de constructeurs différents: GVRP (GARP VLAN Registration
Protocol). La norme est IEEE 802.1ak
VTP : Fonctionnement et architecture

 Les messages VTP diffuse des annonces de création, de suppression ou de

modification de VLAN. Cette diffusion s’effectue à travers tous les switchs grâce
à une trame niveau 2 avec une adresse de destination MAC multicast bien
particulière qui est 01-00-0C-CC-CC-CC.
 Pour fonctionner, VTP nécessite la définition d'un management domain
 Ce domaine doit être identique sur tous les switchs qui devront partager des
informations sur les VLANs
 Architecture du VTP
Le switch possède 3 modes VTP: client, transparent ou server :
 VTP Server: switch qui crée les annonces VTP
 VTP Client: switch qui reçoit, se synchronise et propage les annonces VTP
 VTP Transparent: switch qui ne traite pas les annonces VTP
 VTP : Serveur, client et transparents

 Les serveurs VTP sont responsables de la configuration (création, suppression et

modification) des VLANs. Ils envoient et transmettent les messages VTP.
 Les clients VTP ne peuvent que recevoir et transmettre les mises à jour de
configuration annoncés par un serveur VTP.
 Le switch en mode Transparent permet à l’administrateur de faire toute
configuration (création, suppression et modification) des VLANs en local
uniquement et donc ne propage pas ses modifications vers les switchs du
réseau.
 Par contre il transmet aux autres commutateurs les mises à jour qu’il reçoit.
VTP : synchronisation

 A chaque configuration de VLAN, une variable appelée RN – Revision Number

– s’incrémente (initialement 0 puis 1 puis 2 puis 3…). A chaque configuration de
VLAN, le switch Server envoi un message VTP avec la nouvelle valeur du RN. Les
autres switchs compare le RN reçu du switch Server avec le RN qu’ils stocke en
local, si ce dernier est plus petit (logiquement) alors les switchs se synchronisent
avec le Server et récupère la nouvelle base de données des VLANs.
 VTP diffuse ses mises à jour au sein du domaine VTP toutes les 5 min ou
lorsqu'une modification a lieu.

 Les mises à jour VTP comportent:

 Un numéro de révision (Revision Number) qui est incrémenté à chaque nouvelle
diffusion. Cela permet aux commutateurs de savoir s'ils sont à jour.
 Les noms et numéro de VLAN.
VTP : synchronisation (2)

 Important: si un switch client possède un RN plus élevé que le switch Server

(imaginons qu’il était dans un autre réseau puis branché au notre),
contrairement à ce qu’on peut penser, le client ne va pas récupérer la
base de données de VLAN du Server mais l’inverse!

 Pourquoi? Parce que quelque soit le mode du switch, Server ou Client, il se

synchronise toujours sur celui qui a le RN le plus élevé. Dans ce cas, c’est le
Server qui va se synchroniser et récupérer la base de données de VLAN du
Client.
 Il est donc très important de remettre le RN à zéro, en basculant en mode
Transparent puis en mode Client.
 Récapitulation

Les commutateurs en mode serveur et client mettent à jour leur base de données VLAN, si
et seulement si, ils reçoivent une mise à jour VTP concernant leur domaine et contenant un
numéro de révision supérieur à celui déjà présent dans leur base.

fonction Mode Mode Mode

serveur client transparent
Envoi de messages VTP Oui Non Non
Réception des messages VTP ; Oui Oui Non
Synchronisation VLAN
Transmission des messages VTP reçus Oui Oui Non

Sauvegarde de configuration VLAN (NVRAM/Flash) Oui Non Oui

Edition des VLANs Oui Non Oui

(création, modification, suppression)
VTP pruning

 Lorsqu’un hôte d’un VLAN envoie un broadcast, celui-ci est transmit à tous
les commutateurs du domaine VTP. Il peut arriver que dans ce domaine,
des commutateurs n’ait pas le VLAN concerné sur un de leur port. Ce
broadcast leur est alors destiné sans aucune utilité
 Solution : Le VTP pruning empêche la propagation de ces trafics de
broadcast aux commutateurs qui ne sont pas concernés.
 Cette commande technique permet de faire des économies de bande
passante.
 On active alors la fonction VTP pruning pour avertir le switch voisin de ne
pas lui envoyer de trafic pour un VLAN qui n’est pas configuré au niveau
du switch . La fonction s’active à partir du switch Server.
VTP : configuration de base

Pour configurer le VTP, voici les étapes:

 obligatoires:
 configurer un domaine VTP qui permet à tous les switchs d’être dans le même
“groupe d’amis”
 configurer le mode de votre switch (client, transparent ou server)
 optionnelles:
 activer la fonction pruning
 configurer un mot de passe pour sécuriser les messages VTP
 activer la version 2 ou 3 de VTP (version 1 active par défaut)
Ce que vous devez savoir (1)

 1 LAN = 1 domaine de broadcast

 On peut découper un LAN avec plusieurs VLAN pour diminuer la taille du
domaine de broadcast. On a alors 1 domaine de broadcast par VLAN
 Les VLAN permettent d’isoler des ports de switchs d’autres ports
 Les VLAN se définissent sur le switch et on spécifie quels ports appartient
à quel VLAN
 Important: un port ne peut appartenir qu’à un seul VLAN
 La définition des VLANs se fait sur les équipements d’interconnexion de
niveau 2 (switchs)
 Les équipements terminaux ignorent leur appartenance à un VLAN
 Un switch peut donc avoir une adresse IP !
VLAN : Ce que vous devez savoir (2)

 Par défaut on trouve 5 VLAN qui sont apparus tout seul :

• Le VLAN 1 est le VLAN par défaut sur les

• 1 default
• 1002 fddi-default
• 1003 token-ring- default
• 1004 fddinet- default
• 1005 trnet- default
switchs. Tous les ports sont dans ce VLAN par
défaut.
• Quant aux autres VLAN (1002 à 1005), ce
sont les VLAN par défaut pour les protocoles
Token Ring et FDDI.

 Ces VLAN ne peuvent pas être supprimés.

 les VLAN sont stockés dans un fichier nommé vlan.dat, Ce qui veut dire que les
VLAN sont conservés lorsque l’on supprime la configuration du switch.
 Pour supprimer la liste des VLANs, on utilise la commande suivante :
 Switch#delete flash:vlan.dat

 Après avoir redémarré le switch, les VLAN aurons disparu.

Trunk : Ce que vous devez savoir (3)

 Les trunk peuvent être utilisés

 Entre 2 commutateurs
 C'est le mode de distribution des réseaux locaux le plus courant

 Entre un commutateur et un hôte

 Si un hôte supporte le trunking, il a la possibilité d'analyser le trafic de tous les
réseaux locaux virtuels
 Entre un commutateur et un routeur
 Permet d'accéder aux fonctionnalités de routage entre des VLAN
 VTP : Ce que vous devez savoir (4)

• Propriétaire Cisco
• Permet d’administrer les VLANs
• Trois mode: Server, Client, Transparent
• Paramétrage : VTP domain, VTP password, VTP pruning
 Les messages VTP se propagent sur les liens configurés en Trunk (norme 802.1Q) et pas
en Access
 VTP ne gère que la plage de VLAN comprise entre 1 et 1005. La plage étendue 1006 à
4096 n’est pas supportée. Pour cela, il faut basculer en mode Transparent sur tous les
switchs et créer ses VLANS étendus à la mano
 Il existe 3 versions de VTP, bien vérifier qu’une et une seule version est active sur son
réseau pour éviter les surprises (v1 et v2 incompatibles entre elles)
 La configuration VTP n’est pas visualisable dans la running-config mais est stockée dans
le fichier vlan.dat situé dans la flash (faites un show flash: pour voir le fichier)
Meilleurs pratiques VLAN

1. Déplacer tous les ports du VLAN 1 dans un autre VLAN.

2. Faire tomber tous les ports inutilisés.
3. Séparer le trafic de gestion de celui des utilisateurs.
4. Changer l’ID du VLAN de gestion dans un autre VLAN que le VLAN 1.
5. Changer l’ID du VLAN natif dans un autre VLAN que le VLAN 1.
6. S’assurer que seuls les périphériques du VLAN de gestion puisse se
connecter aux commutateurs.
7. Connexion distante au commutateur uniquement en SSH.
8. Désactiver l’autonégociation sur les ports Trunk.
9. Ne pas utiliser les modes desirable ou auto sur les ports.
Questions ?

 Quel mode vtp est actif par défaut

 Quel rôle pour le vtp transparent mode
Travail à faire

 Recherches :
 Switch L2 et L3 et découpage de réseaux L2 et L3
 Types de vlan : statique(par port) et dynamique (par adresses/protocol)
 VTP pruning
 Projet par groupe :
 VLAN Policy Management Server VMPS
 VLAN hopping attack
 Attaques VLAN via cisco DTP
 Attaques 802.1q caché
 VLAN et DHCP
 Attaques double-tagging (saut de VLAN)
 Spanning tree attack