Les rseaux locaux virtuels

Intrt des VLANs

VLAN: Virtual LAN

A ne pas confondre avec les VPN: Virtual Private Network et
WLAN (Wireless LAN)

Mettre en place plusieurs rseaux locaux virtuels sur un seul LAN

physique
Mise en oeuvre simple et souple contrairement du vrai cblage

But :
Dcouper un rseau local physique en plusieurs rseaux virtuels
Les rseaux virtuels sont isols les uns des autres
Limite les domaines de diffusion: les trames en broadcast sont
isoles

Isolation des VLANS : scurit, confidentialit

Administration plus aise quune administration de niveau 3
(routage)

Possible seulement avec un commutateur

VLAN 01

P. Sicard - Cours Rseaux

Rappel sur le fonctionnement

des commutateurs

VLAN 01

P. Sicard - Cours Rseaux

Rappel sur le fonctionnement

des commutateurs

Mmorisation des trames

Ncessit dun protocole particulier dans le cas de rseaux possdant

plusieurs commutateurs avec des boucles

Table Port/adresse MAC

Boucle intressante pour augmenter la fiabilit

Rempli laide des premiers paquets

Problme lors de lmission des premiers paquets lorsque les associations Port/
Adresse ne sont pas encore faites

Les trames ne sont re-mises que vers la destination

Plus de collisions, fonctionne en full-duplex
A

Comm1

M1

LAN
1

LAN
2

M2

Commutateur

Comm2
E

P. Sicard - Cours Rseaux

VLAN 01

P. Sicard - Cours Rseaux

VLAN 01

Rappel sur le fonctionnement

des commutateurs

Algorithme de larbre recouvrant

(spanning tree ou STP ou 802.1d)

Possibilits de saturation dun commutateur

Trouver un arbre recouvrant un graphe quelconque pour liminer les
boucles

Qui implique des pertes de trames

Contrle de flux (ou pltot de congestion) au niveau liaison de donne

Une fois larbre dtermin, les ponts dsactivent certains ports

Construction de larbre:
Bas sur les identificateurs des ponts (adresse Ethernet ou autres)
Racine : identificateur le plus grand
Echange de paquets spciaux (BGPU: Bridge Protocol Data Unit)
entre les ponts contenant les informations permettant de dterminer
la racine et le chemin vers la racine

Trame pause mises par les commutateurs permettant de limiter les

missions des ordinateurs quand il sapproche de la saturation
(remplissage de la mmoire)
A

Mise a jour priodique de ces informations pour dventuelles

modifications de topologie

Commutateur

P. Sicard-Cours Rseaux 2

Couche Liaison de donnes

VLAN 01

P. Sicard - Cours Rseaux

Exemple de VLAN

Exemple de VLAN

Deux VLANs sur un commutateur

Une machine peut appartenir plusieurs VLANs

M1

M1

Commutateur

Vlan 1

Vlan 2

Rseau physique

M2
Commutateurs virtuels

Vlan 2

VLAN 01

Vlan 1

Vlan 2

Rseaux virtuels

P. Sicard - Cours Rseaux

M2

Commutateurs virtuels

Vlan 1

Vlan 1

Vlan 2

Rseaux virtuels
7

VLAN 01

P. Sicard - Cours Rseaux

Exemple dadministration

Dfinitions de VLANs

Suivant le type dutilisateur, de laccs aux serveurs et lextrieur

Plusieurs techniques pour dfinir un VLAN:

Ports physiques des commutateurs
Adresse MAC des ordinateurs
Adresse IP des ordinateurs
Protocole Rseaux

Routeur
VLAN 1
VLAN 2

Dans tous les cas : cela dfinit lappartenance de chaque port du

commutateur un ou plusieurs VLANs (table dans le commutateur)
A la rception dune trame sur un port, la trame nest re-mise que
sur le (ou les) port (associ ladresse MAC destination) qui
appartient au mme VLAN
Dans le cas dune adresse destination broadcast, la trame est remise sur tous les ports appartenant au mme VLAN

VLAN 3

Secretariat

Libre
service

Administration
Serveur
Base de
donne

Serveur
WEB

VLAN 01

P. Sicard - Cours Rseaux

VLAN 01

P. Sicard - Cours Rseaux

Dfinition de VLANs
A laide des ports du commutateur

10

Exemple de configuration de VLANs

A laide des ports du commutateur

On associe un numro de VLAN chacun des ports du commutateur

Dans le commutateur

Effectu par ladministrateur sur le commutateur

Le plus simple et le plus sr mais statique
La dfinition du VLAN ne dpend que de la configuration du
commutateur (un utilisateur ne peut pas la changer)

Vlan1

Vlan2

Vlan3

Port
P1
P2
P3
P4
P5

VLAN
1
1
1
2
2

M1

P1

M2

P2

M3

P3

Commutateur
P4
M4

P5

Sur M1 : ping M4
Paquet ARP request diffus seulement sur VLAN1
Donc pas de rponse

Vlan 2

Ports du commutateurs
P. Sicard - Cours Rseaux

VLAN 01

11

P. Sicard - Cours Rseaux

VLAN 01

12

Vlan 1

Dfinition de VLANs
Par les adresses MAC

Dfinition de VLANs
Par les adresses IP

Dans le commutateur il faut remplir une table (Adresse Mac, VLAN)

Lassociation (port,VLAN) se fait laide des premiers paquets portant ladresse
MAC source

Plus souple (nouveaux utilisateurs, portables, changement des

branchements)
On peut changer la liaison ordinateur/commutateur et appartenir toujours au
mme VLAN

Dans le commutateur il faut remplir une table (Adresse IP rseau,

VLAN)
Lassociation (port, VLAN) se fait laide des premiers paquets portant
ladresse IP source

Moins sr:
lutilisateur peut changer dadresse IP

Moins performant:
Analyse des enttes IP

Moins sr:
Lutilisateur peut changer de VLAN puisque lon peut changer une adresse MAC
sur une machine !

Plus lourd : connaissance des adresses MAC par ladministrateur

Peu conventionnel : indpendance des couches

Plus simple pour ladministrateur :
Peut se faire partir du plan dadressage IP

Souvent appel VLAN par sous-rseau

P. Sicard - Cours Rseaux

VLAN 01

13

P. Sicard - Cours Rseaux

VLAN 01

14

Outils dadministration de VLAN

Dfinition de VLANs
Par le protocole rseau

Par la suite on considre que les configurations se font par port pour
simplifier. Les autres cas se ramenant facilement ce cas

Dans le cas o plusieurs protocole rseau sont utiliss (IPX, IP,

Apple Talk ...)
On associe un VLAN suivant le protocole Rseau

Des outils dadministration permettent de configurer facilement les

commutateurs, de connatre la configuration du rseau et dobserver
son utilisation (statistiques...)
Utilisation simple souvent travers un navigateur WEB (voir TP)
On peut dans certains cas aussi centraliser cette administration sur une
machine laide du protocole SNMP (Simple Network Management
Protocol)
Mais ne nous garons pas ...

P. Sicard - Cours Rseaux

VLAN 01

15

P. Sicard - Cours Rseaux

VLAN 01

16

Exemple de configuration de VLANs

Dans le commutateur 1:

PORT VLAN
P1
1
P2
1
P3
2
P5
1, 2

Dans le cas prcdent on peut rsoudre le problme

PORT VLAN
P1
1
P2
2
P3
1, 2
M1

P1

en ajoutant lassociation (Adresse MAC, VLAN) dans les commutateurs

le commutateur 2 peut savoir ainsi quel VLAN doit tre renvoy une trame
laide de ladresse MAC source incluse dans lentte du paquet
M2

P2

Commutateur 1

Problme :

Etiquetage des trames

Dans le commutateur 2:

M3

P5

P3

Sur M1: ping M3

Le paquet ARP request est bien renvoy
sur le commutateur 2 (par le port 5)
Mais comment le commutateur 2
peut il savoir sur quel port renvoyer ce paquet ?
(P3 est associ aux deux VLANs)

Vlan 1

P1
Commutateur 2

P3

P2

lassociation VLAN/Ports et VLAN/Adresse MAC faire sur tous les

commutateurs devient laborieuse

On peut aussi mettre deux liaisons physiques entre les deux

commutateurs et associs leurs deux ports un seul des deux
VLANs
Ide damlioration : il faut que le paquet porte le numro de VLAN
dans son entte
On parle alors de VLAN tiquet (tagged) ou inform

Vlan 2

VLAN 01

P. Sicard - Cours Rseaux

17

Exemple de VLAN tiquet

P. Sicard - Cours Rseaux

VLAN 01

Format trame 802.1Q

Ltiquetage des trames indiquant le numro de VLAN auquel elle

appartient peut se faire

Nb Octets
AdMACSource 6

Dans les machines (carte Ethernet compatible 802.1Q)

VPID : identifie une trame 802.1Q

VID(VLAN Identifier): numro de
VLAN
Gestion de priorits (ou COS Class Of
services) : 3 bits possible : norme 802.1p
(indpendant des VLAN)

Seulement dans les commutateurs le cas chant

Exemple dtiquetage des trames dans les commutateurs

sur M1 : ping M2
Vlan 1

Trame non tiquete

P1
P2 P4
Comm 1

P. Sicard - Cours Rseaux

P3

Trame tiquete
Vlan1

AdMACDest

VPID 0x8100

Etiquette

Type protocole

Priorit
NumroVLAN
12 bits

Donnes

Trame non tiquete

CRC

Comm 2

VLAN 01

18

19

P. Sicard - Cours Rseaux

VLAN 01

20

Exemple de VLAN dynamique

VLAN dynamique

GVRP tourne sur les deux machines et les deux commutateurs

VLAN statique: la dfinition des VLANs pour tous les ports se fait
la main dans les commutateurs (table port/VLAN)
Dans le cas de port multiVLAN, les commutateurs doivent tiqueter les trames
en fonction du port source de la trame

Possibilits de configuration automatique de certains ports laide

de ltiquetage

On associe aux machines le VLAN 1

GVRP va propager laide de trame particulire lappartenance ce
VLAN sur les commutateurs
Linformation sera propage entre les commutateurs
Les ports des commutateurs seront ainsi associs automatiquement
au VLAN 1
Vlan 1

On parle de VLAN dynamique

Lassociation des ports aux VLANs peut tre fait laide du protocole GVRP
(GARP VLAN Registration Protocol)
On peut mlanger les associations statiques (par exemple pour les ports
branchs aux machines) et dynamique (pour les ports inter-commutateur)

VLAN 01

P. Sicard - Cours Rseaux

21

Trame GVRP
P1
Comm 1

P2

P4

Trame GVRP
Vlan1

P. Sicard - Cours Rseaux

Trame GVRP
P3
Comm 2

VLAN 01

22

Dans la pratique sur les machines

Dans la pratique

Exemple de configuration sous Free-BSD dune interface virtuelle

On peut dfinir sur un commutateur

Cration dune interface virtuelle:

ifconfig vlan0 create

Des ports non tiquets (reli au machines). Ces ports ne peuvent

appartenir qu un seul VLAN

Association de linterface virtuelle une interface Physique et un VLAN:

Des ports tiquets (inter-commutateur ou vers des machines compatibles

802.1Q). Ils peuvent appartenir plusieurs VLANs

ifconfig vlan0 vlan NoVlan vlandev xl0

Les trames seront alors tiquetes avec le VID NoVlan

Association dune adresse IP linterface virtuelle

Certains commutateurs nautorisent que lassociation (port, VLAN)

Lassociation automatique port/VLAN (protocole GVRP) peut tre
implmente ou pas dans les commutateurs

ifconfig vlan0 192.0.0.1

Plusieurs interfaces virtuelles peuvent tre associes la mme

interface physique
Elles devront avoir des adresses IP de rseaux diffrents pour que
le routage puisse fonctionner

P. Sicard - Cours Rseaux

VLAN 01

23

P. Sicard - Cours Rseaux

VLAN 01

24

Exemple
@IP1

Protocole IP
@IP2

Vlan 1

Autres possibilits dans les

commutateurs administrables
Port miroir (Miroring)

Vlan 2

On peut dfinir un port particulier permettant dobserver le trafic passant par

un certains nombres dautres ports

Interface Virtuelle Interface Virtuelle

vlan1
vlan2
Interface Physique
xl0

Comm 1

Comm 2

Pratique pour ladministration

Restriction des adresses MAC

Vlan 1 et 2

on peut limiter laccs un port du commutateur

on dfinit sur pour chaque port ladresse MAC de la (ou les) machines qui
peuvent tre branch sur ce port

Vlan 1
Virtuelle 1

Scurit faible: changement possible des adresses MAC sur les machines

Virtuelle 2

Voir exprience en TP

Vlan 2

VLAN 01

P. Sicard - Cours Rseaux

25

Autres possibilits dans les

commutateurs administrables
Groupement de ports (ports trunking)
On peut augmenter les performances entre 2 commutateurs en
groupant plusieurs ports
Il faut que les ports appartiennent au mme VLAN
Le lien virtuel comportent ainsi plusieurs liens physiques
Lmission des trames est partage entre les ports groups
En fonction de ladresse source des paquets (toujours le mme lien)
En fonction des adresses source et destination

VLAN 01

P. Sicard - Cours Rseaux

26

Le multicast
Multicast: notion de groupe, adresse de groupe
Possibilit dmission 1 vers N machines
Diffrent du broadcast : appartenance un groupe temporaire
Possible seulement avec une communication utilisant UDP (TCP forcment
connexion 1 vers 1)
Permet de limiter fortement le trafic pour des applications multimdia gourmandes
Unicast: N paquets identiques

Multicast: un seul paquet mis

2 liens groups et associs au Vlan1

Vlan 1
P. Sicard - Cours Rseaux

VLAN 01

27

P. Sicard - Cours Rseaux

VLAN 01

28

Le multicast dans les commutateurs

administrables

Le multicast

Protocole GARP: Generic Attribute Registration Protocol):

Adresse IPv4 multicast (224.0.0.X)

permet de propager entre les commutateurs des informations

diverses (appeles Attribut)

par transposition adresse Ethernet Multicast

01:00:5E:(0, 23 bits de poids faible de ladresse IP)

GVRP: appartenance un VLAN

Une machine peut se joindre un groupe, dynamiquement elle

possde alors une nouvelle adresse Multicast (IP et Ethernet)
Cela se fait laide dune primitive particulire des sockets

un groupe (Multicast)

Grce GMRP les paquets destination dun groupe ne seront

De la mme faon elle peut quitter un groupe tout moment

envoys que vers les machines appartenant ce groupe

Algorithmes de routage multicast existants

Permet de limiter fortement le trafic pour des applications

Algorithme de connaissance des groupe au niveau des switchs

VLAN 01

P. Sicard - Cours Rseaux

GMRP (GARP Multicast registration Protocol): appartenance

29

gourmandes en bande passante

P. Sicard - Cours Rseaux

Exercices

VLAN 01

30

Configuration par ports

sans tiquetage

Soit le rseau suivant

Donner les configurations de chaque commutateur par association
(Port, VLAN)

Vlan 1

Sachant que
m1

m2

P1
P8

P2
Comm1 P5

P6 P7

P3

m3

On ne veut pas utiliser dtiquette dans les trames

P1
Comm 2 P4
P3
P5
P2

Administrateur

Le serveur de fichier doit appartenir aux VLAN 2 et 3

Serveur fichier

Vers Internet
m4
m6

m7

m5

Routeur

VLAN 01

La machine administrateur doit pouvoir observer lensemble du trafic du

rseau

On peut si ncessaire changer la topologie du rseau

Vlan 2

Comment configure t-on les interfaces sur les machines et le

routeur ?

Vlan 3

P. Sicard - Cours Rseaux

Le routeur doit appartenir aux VLANs 1 et 2

31

P. Sicard - Cours Rseaux

VLAN 01

32

Configuration par ports

avec tiquetage

Configuration par ports

avec tiquetage
Donner les configurations de chaque commutateur par association
(Port, VLAN)
Sachant que

Donner les configurations de chaque commutateur par association

(Port, VLAN)
Sachant que

On peut utiliser des tiquettes entre les commutateurs

On peut utiliser des tiquettes entre les commutateurs mais les machines
supportent maintenant ltiquettage

Le routeur doit appartenir aux VLANs 1 et 2

Le routeur doit appartenir aux VLANs 1 et 2

Le serveur de fichier doit appartenir aux VLAN 2 et 3

Le serveur de fichier doit appartenir aux VLAN 2 et 3

La machine administrateur doit pouvoir observer lensemble du trafic du

rseau

La machine administrateur doit pouvoir observer lensemble du trafic du

rseau

Les cartes rseaux de lensemble des machines ne supportent pas le protocoles

802.1Q (pas dtiquetage possible)

On devra spcifier les ports supportant ltiquetage en plus dans le

commutateur
P. Sicard - Cours Rseaux

VLAN 01

33

Configuration par ports

avec tiquetage
Que se passe t il si lon veut faire un ping dune machine du vlan1
au vlan2
Quel doit tre le contenu des tables de routages des machines et du
routeur ?

P. Sicard - Cours Rseaux

VLAN 01

35

On donnera les crations des interfaces virtuelles des machines (en

particulier du serveur de fichier et du routeur)
On donnera le dessin du rseau virtuel obtenu et on proposera un
plan dadressage IP
P. Sicard - Cours Rseaux

VLAN 01

34