VLAN

De Justine's wiki
Version datée du 24 octobre 2018 à 21:23 par Justine (discussion | contributions) (Page créée avec « = Les VLANs = PDF de la classe virtuelle du 24/10 sur les VLANS: <pdf>Media:ETHERNETvlan.pdf</pdf> == L'intérêt des VLANs == Les VLANs ont pour intérêt de sépare... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Les VLANs

PDF de la classe virtuelle du 24/10 sur les VLANS:

<pdf>Media:ETHERNETvlan.pdf</pdf>

L'intérêt des VLANs

Les VLANs ont pour intérêt de séparer les domaines de diffusion, c'est-à-dire concrètement de séparer un réseau en plusieurs sous-réseaux de façon logique; ainsi avec des VLANs ont peut empêcher les sous-réseaux de parler entre eux. On peut par exemple avoir un sous-réseau pour les serveurs, un autre pour la bureautique, etc... En plus du découpage en sous-réseaux différents, on découpe effectivement les réseaux : impossible pour un attaquant de passer de l'un à l'autre. Cela peut permettre de mettre en place des solutions moins coûteuses qu'un découpage avec des switches et des routeurs, par exemple.

D'où l'idée de Virtual LAN : des LAN virtuelles, en d'autre termes logiques.

Tagguer des ports

Pour découper logiquement un seul réseau physique en VLANs, on va tagguer les ports pour limpiter les communications entre les éléments. On va marquer un port du switch comme appartenant à un VLAN; c'est une configuration du switch. Par exemple:

-Le port 1 appartient à un VLAN
-Le port 2 à un autre VLAN
-etc...

Ainsi deux ports appartenant au même VLAN, il peuvent communiquer ensemble; sinon, non. L'idée est donc d'indiquer les ports pouvant communiquer ensemble en les tagguant.

La séparation est donc LOGIQUE : elle n'est pas physique, elle implique du software qui peut avoir des bugs, ce qui est rare. Il faut donc suivre une certaine réflexion dans la création de ces VLANs. Quand on a un risque important, comme dans l'aviation par exemple, les VLANs peuvent ne pas suffire; on utilisera alors du matériel.

Quand on parle de tagguer un port, on taggue les ports du switch, pas ceux des périphériques. On peut tagguer chaque port ou utiliser le VLAN par défaut. Celà signifie qu'il faut savoir à quel port chaque appareil est connecté, et donc une bonne documentation et un étiquetage (physiquement, sur les câbles) du réseau.

On travaille en général par lots de ports pour simplifier, avec un lot de ports par emplacement géographique.

Exemples de réseaux avec VLANs

Prenons un réseau simple :

Ici on va mettre les serveurs dans un VLAN, les PC dans un autre, et les postes bureautiques dans un autre.

Sur notre switch on aura trois groupes de ports, entre lesquels on laissera un peu de place.

Quid du pare-feu? Celui-ci aura un seul port ethernet qui lui sera connecté, lequel sera dans les trois VLANs à la fois.

Quelques mises au point sur les VLANs

-Les VLANs ne servent pas à réduire les broadcasts : ce n'est qu'une conséquence secondaire, mais pas un but. Les VLANs servent à faire des réseaux virtuels et à isoler les éléments entre eux en évitant de racheter des équipements entre eux.

-Les trames Ethernet ne sont pas modifiées pour y ajouter un tag indiquant le VLAN: c'est interne au switch, sauf dans le cas de 802.1Q.

NB personnel : le prof des cours en vidéo ne parle que des VLANs "de base", non 802.1q

-On ne taggue pas les ports Ethernet des serveurs, ni les @MAC, ni les @IPv4/6: on taggue au niveau du switch.

-Si un port ethernet d'un switch taggué est relié à un switch n°2, tous les équipements reliés au switch n°2 seront dans le VLAN.

-Un périphérique n'est pas dans un VLAN, c'est un abus de langage; il est relié à un port de switch qui est dans un VLAN.

 

 

Récupérée de « https://wiki.squi.fr/index.php?title=VLAN&oldid=121 »