LES VLAN

LES VLAN
Les VLAN (Virtual Local Area Network) - définis par les standards IEEE 802.1.q pour la notion de
VLAN et 802.1.p pour la qualité de service (QoS) - permettent de regrouper des machines, sans
avoir à tenir compte de leur emplacement sur le réseau. Les messages émis par une station d'un
VLAN ne sont reçus que par les autres stations de ce même VLAN et les machines
physiquement connectées au réseau, mais n'appartenant pas au VLAN, ne reçoivent pas les
messages. La division du réseau local est alors une division logique et non physique et les
stations d'un même domaine de diffusion ne sont pas obligées d'être sur le même segment LAN.
Réseau VLAN
Les VLAN ont pu voir le jour avec l'expansion des commutateurs. Pour créer des domaines de
diffusion, on devait auparavant créer autant de réseaux physiques, reliés entre eux par des
routeurs. Les VLAN introduisent dorénavant une segmentation «virtuelle», qui permet de
constituer des sous-réseaux logiques en fonction de critères prédéfinis tels que les numéros de
ports des commutateurs, les adresses MAC ou les adresses IP des postes à regrouper.
Il existe ainsi plusieurs niveaux de VLAN :
1. Les VLAN de niveau 1 ou VLAN par ports (Port Based VLAN) sont obtenus en affectant tel
port du commutateur à tel numéro de VLAN. C'est une solution simple à mettre en oeuvre et le
VLAN peut être réparti sur plusieurs commutateurs, grâce aux échanges d'informations entre
commutateurs et au marquage des trames. Toutefois la configuration des switchs est statique
et doit être faite « à la main » commutateur par commutateur. Tout déplacement d'un poste
nécessite alors une reconfiguration des ports.
2. Les VLAN de niveau 2, VLAN d'adresses MAC (MAC Address Based VLAN) ou VLAN
d'adresses IEEE (IEEE Address-Based VLAN) associent des stations au moyen de leur
adresse MAC (adresse IEEE) en regroupant ces adresses dans des tables d'adresses. Comme
l'adresse MAC d'une station ne change pas, on peut la déplacer, physiquement sans avoir à
reconfigurer le VLAN. Les VLAN de niveau 2 sont donc bien adaptés à l'utilisation de stations
portables.
Là encore, la configuration peut s'avérer fastidieuse puisqu'elle impose de créer et maintenir la
table des adresses MAC des stations participant au VLAN de manière statique (switch par
switch). Cette table doit de plus être partagée par tous les commutateurs, ce qui peut créer un
trafic supplémentaire (overhead) sur le réseau.
3. Les VLAN de niveau 3 ou VLAN d'adresses réseaux (Network Address Based VLAN)
associent des sous-réseaux IP par masque ou par adresses. Les utilisateurs sont affectés
dynamiquement à un ou plusieurs VLAN. Cette solution est l'une des plus intéressantes,
malgré la légère dégradation des performances consécutive à l'analyse des informations au
niveau réseau.
Le commutateur associe l'adresse IP de station à un VLAN basé sur le masque de sousréseau. De plus, le commutateur détermine les autres ports de réseau qui ont des stations
appartenant au même VLAN.
4. Les VLAN de niveau 3 ou VLAN de protocoles (Protocol Based VLAN) associent des
machines en fonction du protocole employé (IP, IPX, NETBIOS...). Par exemple un VLAN de
machines exploitant IP et un VLAN de machines exploitant IPX.
5. Les VLAN par règles exploitent la capacité des commutateurs à analyser la trame. Les
possibilités sont donc multiples. C'est ainsi que les domaines de broadcast peuvent être basés
sur des sous-réseaux IP, sur un numéro de réseau IPX, par type de protocole (IP, IPX,
DECNet, VINES...), sur le numéro d'adresse multicast de niveau 2, sur une liste d'adresses
MAC, sur une liste de ports commutés ou sur n'importe quelle combinaison de ces critères.
On rencontre alors trois types possibles de règles :
- règles d'entrée (Ingress rules) qui permettent de classer une trame entrante dans un
VLAN et éventuellement de la filtrer,
- règles d'expédition (Forwarding rules) qui indiquent à qui transmettre une trame et
éventuellement de la filtrer,
- règles de sortie (Egress rules) qui indiquent sur quel port réexpédier la trame.
Le marquage
Pour savoir à quel VLAN appartient telle ou telle trame il est nécessaire de les repérer. C'est le
rôle du marquage ou étiquetage de trames qui attribue à chaque trame un code d'identification
VLAN unique. Le marquage peut être :
- implicite (VLAN non taggé - untagged VLAN), dans le cas où l'appartenance à tel ou tel
VLAN peut être déduite de l'origine de la trame (VLAN par port) ou des informations
normalement contenues dans la trame (adresse MAC, adresse IP ou protocole),
- explicite (VLAN taggé - tagged VLAN), dans le cas où un numéro de VLAN est inséré
dans la trame.
En effet, dès lors qu'il s'agit de faire circuler la trame à travers plusieurs commutateurs ou
routeurs, on doit gérer son appartenance à tel ou tel VLAN. On utilise en effet la commutation à
l'intérieur du VLAN, mais pour les interconnecter, on doit utiliser des routeurs ou des
commutateurs supportant les fonctions de routage.
Tout dépend alors du niveau de VLAN :
- dans le cas d'un VLAN par port, la trame ne conserve normalement pas, d'information sur
son appartenance à tel VLAN. Il est donc nécessaire de mettre en oeuvre un marquage
explicite des trames si on veut la faire circuler entre plusieurs commutateurs,
- dans le cas d'un VLAN par adresse MAC, on peut envisager de distribuer sur tous les
commutateurs concernés la table de correspondance entre adresses MAC et numéros de
VLAN. C'est une solution lourde à laquelle on peut préférer un marquage explicite,
- dans le cas d'un VLAN de niveau 3 le marquage est implicite et il n'est donc pas
nécessaire de marquer les trames qui transitent entre commutateurs. Toutefois, l'analyse
des trames dégradant les performances, il peut être, là encore, préférable de les marquer
explicitement.
Trame Ethernet en VLAN
- Le champ TCI (Tag Control Info) - dit aussi TPID (Tag Protocol IDentifier), VPID (Vlan
Protocol ID)... - indique sur 16 bits (valeur constante 81 OOh) si la trame utilise les tags
802.1p et 802.1q.
- Le champ P (Priority ou User Priority) indique sur 3 bits un niveau de priorité de la trame,
noté de 0 à 7. Ces trois bits permettent de gérer la qualité de service : 000 indiquant une
trame remise au mieux (best effort), 001 indiquant une classe supérieure, etc.
- Le champ C ou CFI (Canonical Format Indicator) indique le format de l'adresse MAC
(toujours positionné à 0 sur Ethernet).
- Le champ VID (Vlan IDentifier) indique sur 12 bits le numéro du VLAN concerné par la
trame (numéro de 2 à 4094, car les VIDs 0, 1, et 4095 sont réservés).
Le marquage de trames peut être réalisé au travers de protocoles respectant la norme 802.1q ou
propriétaires tel ISL (Inter Switch Link) développé par Cisco et permettant d'interconnecter les
commutateurs entre eux. (tag switching).
Pour les communications inter-VLAN, on a défini le protocole NHRP (Next Hop Routing Protocol).
Il s'agit d'un mécanisme de résolution d'adresses entre stations n'appartenant pas au même
VLAN. Pour se faire, la station source ou le commutateur de rattachement émet une requête
NHRP vers le routeur ou serveur NHS (Next Hop Server) qui transmet la requête à la station
destination après avoir effectué les contrôles d'usage. Les stations peuvent ensuite échanger
directement les informations sans passer par un tiers.
Avantages des VLAN
Les VLAN présentent de nombreux avantages :
- ils augmentent la sécurité en isolant des groupes de machines, qu'il est toujours possible de
grouper au travers de routeurs,
- basés sur la commutation ils augmentent les performances en limitant les domaines de
diffusion,
- selon le type de VLAN, un poste déplacé retrouve les mêmes ressources avec ou sans
reconfiguration du VLAN,
- ils permettent une organisation virtuelle, et une gestion simplifiée des ressources en
autorisant des modifications logiques ou géographiques gérées via la console plutôt que dans
l'armoire de brassage.
Plusieurs protocoles de gestion des VLAN sont proposés par les constructeurs tels VTP (Vlan
Trunk Protocol) de CISCO, GARP (Generic Attribute Registration Protocol), ou GVRP (Generic
Vlan Registration Protocol) qui permet à une station de déclarer son appartenance à un VLAN
et maintient sur les switchs une base de données des ports membres du VLAN.