Instructions 

Protocole VLAN. Performances réseau améliorées. Briser les concepts traditionnels de frontières de réseau

Autre petit outil qui peut légèrement augmenter la convivialité : la bannière. Il s'agit de l'annonce que Cisco affichera avant d'autoriser l'appareil.

Switch(config)#banner motd q Entrez un message TEXTE. Terminez par le caractère "q". Ce n'est qu'une bannière. q Commutateur(config)#
Après motd, vous spécifiez un caractère qui signalera que la ligne est terminée. Dans cet exemple, nous mettons « q ».

Concernant le contenu de la bannière. Il existe une telle légende : un pirate informatique s'est introduit dans un réseau, a cassé/volé quelque chose, il a été arrêté et lors du procès, il a été acquitté et libéré. Pourquoi? Mais parce que sur le routeur frontière (entre Internet et le réseau interne), le mot « Bienvenue » était inscrit dans la bannière. "Eh bien, comme ils l'ont demandé, je suis entré")). Par conséquent, il est considéré comme une bonne pratique d’écrire quelque chose comme « Accès refusé ! »

Pour organiser vos connaissances point par point, regardons ce que vous devez faire :

1) Configurez le nom d'hôte. Cela vous aidera à savoir rapidement où vous vous situez sur le réseau réel à l'avenir.
Switch(config)#hostname NOM D'HÔTE

2) Créez tous les vlans et donnez-leur un nom
Switch(config)#vlan VLAN-NUMBER Switch(config-vlan)#name NOM-OF-VLAN

3) Configurez tous les ports d'accès et donnez-leur un nom
Switch(config-if)#description DESCRIPTION-DE-INTERFACE Switch(config-if)#accès au mode switchport Switch(config-if)#switchport access vlan VLAN-NUMBER

Il est parfois pratique de configurer les interfaces par lots :

Msk-arbat-asw3(config)#interface range fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#description FEO msk-arbat-asw3(config-if-range)#accès au mode switchport msk- arbat-asw3(config-if-range)#switchport accès vlan 102

4) Configurez tous les ports de jonction et donnez-leur un nom :
Switch(config-if)#description DESCRIPTION-DE-INTERFACE Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk autorisé vlan VLAN-NUMBERS

5) N'oubliez pas de sauvegarder :
Switch#copie configuration en cours de configuration de démarrage

Globalement : qu’avons-nous réalisé ? Tous les appareils d’un sous-réseau peuvent se voir, mais pas les appareils de l’autre. Dans le prochain numéro, nous traiterons de ce problème et nous nous tournerons également vers le routage statique et les commutateurs L3.
En général, cette leçon peut se terminer ici. Dans la vidéo, vous pouvez voir à nouveau comment les VLAN sont configurés. Pour vos devoirs, configurez les VLAN sur les commutateurs pour les serveurs.

Ici vous pouvez télécharger la configuration de tous les appareils :
Lift-me-Up_Configuration.zip
Et notre projet RT :
Lift-me-UP_v2-VLANs.pkt

P.S.
Ajout important : dans la partie précédente, en parlant de vlan natif, nous vous avions un peu mal informé. Ce type d'opération n'est pas possible sur les équipements Cisco.
Rappelons que nous avons proposé de transmettre les trames non taguées du 101ème vlan au switch msk-rubl-asw1 et de les y recevoir dans le premier.
Le fait est que, comme nous l'avons déjà mentionné ci-dessus, du point de vue de Cisco, le même numéro de VLAN doit être configuré des deux côtés des commutateurs, sinon des problèmes avec le protocole STP commencent et des avertissements concernant une configuration incorrecte peuvent être vus dans le journaux. Par conséquent, nous transférons le 101ème VLAN vers l'appareil de la manière habituelle, les trames seront étiquetées et, par conséquent, le 101ème VLAN doit également être créé sur msk-rubl-asw1.

Encore une fois, nous tenons à souligner que peu importe nos efforts, nous ne pourrons pas couvrir toutes les nuances et subtilités, c'est pourquoi nous ne nous fixons pas une telle tâche. Des choses comme le principe de construction d'une adresse MAC, la signification du champ Ether Type ou la raison pour laquelle le CRC est nécessaire à la fin de la trame, vous devrez étudier par vous-même.

Ajouter des balises

VLAN (Virtual Local Area Network) vous permet de créer plusieurs réseaux locaux virtuels sur une seule interface réseau physique dans des commutateurs ou des routeurs. Un moyen simple et pratique de diviser le trafic entre les clients ou les stations de base à l'aide du VLAN.

La technologie VLAN consiste à ajouter un en-tête de balise supplémentaire à la trame réseau (2ème couche), qui contient des informations de service et l'ID VLAN. Les valeurs d'ID de VLAN peuvent être comprises entre 1 et 4095. Dans ce cas, 1 est réservé comme VLAN par défaut.

Il existe également un concept appelé tronc. Une jonction est un port de commutateur qui achemine le trafic avec différentes balises. Généralement, une jonction est configurée entre les commutateurs pour permettre l'accès à un VLAN à partir de différents commutateurs.

Utilisation du VLAN sur les équipements Mikrotik

Les routeurs et commutateurs Mikrotik prennent en charge jusqu'à 250 VLAN sur une interface Ethernet. Vous pouvez créer un VLAN non seulement sur l'interface Ethernet, mais aussi sur le Bridge, et même sur le tunnel EoIP. Un VLAN peut être construit dans une autre interface VLAN en utilisant la technologie « Q-in-Q ». Vous pouvez créer 10 VLAN imbriqués ou plus, seule la taille du MTU diminue de 4 octets à chaque fois.

Examinons l'utilisation des VLAN à l'aide d'un exemple. Tâche:

  • Créer un VLAN pour HOTSPOT (172.20.22.0/24)
  • Créer un VLAN pour la téléphonie VIOP (172.21.22.0/24)
  • Isoler les réseaux 172.20.22.0/24, 172.21.22.0/24 les uns des autres et de l'accès au réseau 10.5.5.0/24
  • Attribuez le port Ether2 pour fonctionner sur le réseau 172.20.22.0/24 (VLAN)
  • Attribuez Ether3, Ether4 pour travailler sur le réseau 172.21.22.0/24 (VLAN)

Données initiales :

  • Internet sur Ether1, affecté à l'interface Brigde - Ethernet
  • Réseau local (10.5.5.0/24), affecté à l'interface Brigde - LAN
Création d'interfaces VLAN

Nous créons VLAN2 (ID=2), VLAN3 (ID=3) et les attribuons à l'interface Bridge LAN. L'interface LAN agira comme une connexion réseau.

/interface vlan ajouter un nom = VLAN2 vlan-id = 2 interface = LAN /interface vlan ajouter un nom = VLAN3 vlan-id = 3 interface = LAN

Création d'interfaces Bridge

Nous créons des interfaces BridgeVLAN2, BridgeVLAN3 pour VLAN :

/pont d'interface ajouter un nom=BridgeVLAN2 /pont d'interface ajouter un nom=BridgeVLAN3

Connexion des interfaces VLAN avec des connexions Bridge

Nous associons les interfaces VLAN (VLAN2, VLAN3) aux connexions Bridge (BridgeVLAN2, BridgeVLAN3) :

/Port de pont d'interface ajouter une interface = pont VLAN2 = BridgeVLAN2 /port de pont d'interface ajouter une interface = pont VLAN3 = BridgeVLAN3

Création d'un adressage IP

Nous attribuons à chaque interface BridgeVLAN2/BridgeVLAN3 une adresse IP - 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3) :

/adresse IP ajouter une adresse=172.20.22.1/24 interface=BridgeVLAN2 /adresse IP ajouter une adresse=172.21.22.1/24 interface=BridgeVLAN3

Création d'un pool d'adresses

Nous définissons la plage d'adresses IP émises pour les réseaux (172.20.22.0/24, 172.21.22.0/24) :

/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254

Configuration d'un serveur DHCP

Afin que les appareils reçoivent les paramètres réseau, nous configurerons automatiquement un serveur DHCP pour les réseaux locaux (172.20.22.0/24, 172.21.22.0/24) :

/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 adresse-pool=poolVLAN2 désactivé=non /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 adresse-pool=poolVLAN3 désactivé=non /ip dhcp-server réseau ajouter adresse=172.20 .22.0/24 gateway=172.20.22.1 /ip réseau du serveur DHCP ajouter une adresse=172.21.22.0/24 gateway=172.21.22.1

Configuration du pare-feu. Accès Internet pour les réseaux VLAN

J'ai configuré la sécurité en fonction de cela. Par conséquent, pour que les appareils des réseaux locaux (172.20.22.0/24, 172.21.22.0/24) aient accès à Internet, nous ajoutons une règle pour eux :

/ip pare-feu filtre ajouter chaîne=forward action=accepter src-address=172.20.22.0/24 comment="Accès à Internet depuis le réseau local" /ip pare-feu filtre ajouter chaîne=forward action=accept src-address=172.21.22.0/24 commentaire= "Accéder à Internet depuis le réseau local"

Isolation VLAN

Il est nécessaire que les réseaux VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) soient isolés les uns des autres et de l'accès au réseau local principal 10.5.5.0/24. Nous créons des listes de réseaux locaux (LOCAL) :

/liste d'adresses du pare-feu ip add list=adresse LOCAL=10.5.5.0/24 /liste d'adresses du pare-feu ip add list=adresse LOCAL=172.20.22.0/24 /liste d'adresses du pare-feu ip add list=adresse LOCAL=172.21.22.0/ 24

Nous créons des règles pour bloquer l'accès aux réseaux locaux (LOCAL) à partir des réseaux 172.20.22.0/24, 172.21.22.0/24. Nous devons placer les règles prohibitives au-dessus de celles qui autorisent :

/ip pare-feu filtre ajouter chaîne=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip pare-feu filtre ajouter chaîne=forward action=drop src-address=172.21.22.0/24 dst-address -liste=LOCAL

Distribution VLAN sur les ports du routeur Mikrotik

Nous attribuons des ports de routeur pour fonctionner dans l'un ou l'autre VLAN. Port ether2 - BridgeVLAN2, ports ether3, ether4 - BridgeVLAN3 :

/port de pont d'interface ajouter une interface = pont ether2 = BridgeVLAN2 / port de pont d'interface ajouter une interface = pont ether3 = BridgeVLAN3 / port de pont d'interface ajouter une interface = pont ether4 = BridgeVLAN3

Information: Il n'est pas nécessaire d'attribuer une connexion Bridge à chaque port pour appartenir à un VLAN particulier. Il suffit de définir une connexion Bridge sur un seul port, puis d'utiliser le port maître pour indiquer l'appartenance au VLAN des autres ports.

Ceci termine l’ajout et la configuration des VLAN. En conséquence, nous avons obtenu deux réseaux isolés avec accès à Internet. Nous avons placé les réseaux VLAN créés dans une connexion Trunk, ce qui permettra, si nécessaire, de segmenter les réseaux VLAN vers un autre routeur, cela peut se faire facilement. Nous avons attribué les ports de routeur nécessaires pour fonctionner dans les réseaux VLAN correspondants.

Malheureusement, de nombreuses entreprises et organisations modernes n'utilisent pratiquement pas une opportunité aussi utile, et souvent simplement nécessaire, offerte par la plupart des commutateurs de réseau local (LAN) modernes que l'organisation de LAN virtuels (VLAN) au sein de l'infrastructure réseau. Il est difficile de dire ce qui a causé cela. Peut-être y a-t-il un manque d'informations sur les avantages apportés par la technologie VLAN, son apparente complexité, ou une réticence à utiliser un outil « rudimentaire » qui ne garantit pas l'interopérabilité entre les appareils réseau de différents fabricants (même si la technologie VLAN est standardisée depuis un an). maintenant, et tous les principaux fabricants d'équipements de réseau actif soutiennent cette norme). Cet article est donc consacré à la technologie VLAN. Il discutera des avantages de l'utilisation des VLAN, des méthodes les plus courantes d'organisation des VLAN et de leur interaction, ainsi que des fonctionnalités de construction de VLAN lors de l'utilisation de commutateurs de certains fabricants renommés.

pourquoi est-ce nécessaire

Qu'est-ce qu'un VLAN ? Il s'agit d'un groupe d'ordinateurs connectés à un réseau, logiquement unis en un domaine pour envoyer des messages diffusés selon certains critères. Par exemple, des groupes d'ordinateurs peuvent être attribués conformément à la structure organisationnelle de l'entreprise (par départements et
divisions) ou sur la base de travaux sur un projet ou une tâche commune.

L'utilisation des VLAN présente trois avantages principaux. Il s'agit d'une utilisation nettement plus efficace de la bande passante que dans les réseaux locaux traditionnels, d'un niveau accru de protection des informations transmises contre les accès non autorisés et d'une administration réseau simplifiée.

Étant donné que les VLAN divisent logiquement l'ensemble du réseau en domaines de diffusion, les membres d'un VLAN transmettent des informations uniquement aux autres membres du même VLAN, et non à tous les ordinateurs du réseau physique. De cette manière, le trafic de diffusion (généralement généré par les serveurs annonçant leur présence et leurs capacités aux autres appareils du réseau) est limité à un domaine prédéfini plutôt que diffusé à toutes les stations du réseau. Cela permet une répartition optimale de la bande passante du réseau entre des groupes logiques d'ordinateurs : les postes de travail et les serveurs de différents VLAN « ne se voient pas » et n'interfèrent pas les uns avec les autres.

Étant donné que la communication s'effectue uniquement au sein d'un VLAN spécifique, les ordinateurs de différents réseaux virtuels ne peuvent pas recevoir le trafic généré dans d'autres VLAN. L'utilisation d'analyseurs de protocole et d'outils de surveillance de réseau pour collecter le trafic sur des VLAN autres que celui auquel l'utilisateur souhaite appartenir présente des défis importants. C'est pourquoi, dans un environnement VLAN, les informations transmises sur le réseau sont bien mieux protégées contre tout accès non autorisé.

Un autre avantage de l'utilisation des VLAN est qu'ils simplifient l'administration du réseau. Cela est particulièrement vrai pour les tâches telles que l'ajout de nouveaux éléments au réseau, leur déplacement et leur suppression. Par exemple, lorsqu'un utilisateur du VLAN déménage dans une autre pièce, même si elle se trouve à un autre étage ou dans un autre bâtiment de l'entreprise, l'administrateur réseau n'a pas besoin de reconnecter les câbles. Il lui suffit de configurer l'équipement réseau en conséquence depuis son poste de travail. De plus, certaines implémentations de VLAN peuvent contrôler automatiquement le mouvement des membres du VLAN sans nécessiter l'intervention de l'administrateur. L'administrateur réseau peut également effectuer des opérations pour créer de nouveaux groupes d'utilisateurs logiques et ajouter de nouveaux membres aux groupes sur le réseau, sans quitter son lieu de travail. Tout cela permet d'économiser considérablement le temps de travail de l'administrateur, qui peut être utilisé pour résoudre d'autres tâches tout aussi importantes.

façons d'organiser le VLAN

Les principaux fabricants de commutateurs de département et de groupe de travail utilisent généralement dans leurs appareils l'une des trois méthodes d'organisation des VLAN : basée sur des ports, des adresses MAC ou des protocoles de troisième niveau. Chacune de ces méthodes correspond à l'une des trois couches inférieures du modèle d'interconnexion des systèmes ouverts OSI : respectivement physique, liaison et réseau. Il existe une quatrième façon d'organiser un VLAN : basée sur des règles. Il est actuellement rarement utilisé, bien qu'il offre une plus grande flexibilité dans l'organisation des VLAN et pourrait être largement utilisé dans les appareils dans un avenir proche. Examinons brièvement chacune des méthodes ci-dessus pour organiser les VLAN, leurs avantages et leurs inconvénients.

VLAN basé sur le port. Comme le nom de la méthode l'indique, les VLAN sont organisés en combinant logiquement des ports de commutateur physiques sélectionnés. Par exemple, un administrateur réseau peut spécifier que les ports de commutation numérotés 1, 2, 5 forment VLAN1 et que les ports numérotés 3, 4, 6 forment VLAN2, etc. Plusieurs ordinateurs peuvent être connectés à un port de commutateur (par exemple, via un hub). Tous appartiendront au même VLAN – celui auquel le port du commutateur les desservant est attribué. Cette stricte liaison de l'appartenance au VLAN est un inconvénient de la manière d'organiser les réseaux virtuels basée sur les ports.

VLAN basé sur les adresses MAC. Cette méthode vous permet de créer un VLAN basé sur l'adresse hexadécimale unique au niveau du lien que possède chaque adaptateur réseau de serveur ou de poste de travail sur le réseau. Il s'agit d'une manière plus flexible d'organiser les VLAN par rapport à la précédente, puisque les appareils appartenant à différents VLAN peuvent être connectés à un seul port de commutateur. De plus, le mouvement des ordinateurs d'un port du commutateur à un autre est automatiquement suivi par le commutateur et vous permet de conserver l'appartenance de l'ordinateur déplacé à un VLAN spécifique sans l'intervention d'un administrateur réseau. Cela fonctionne tout simplement : le switch maintient une table de correspondance entre les adresses MAC des ordinateurs et des réseaux virtuels. Dès que l'ordinateur passe à un autre port de commutateur, en comparant le champ d'adresse MAC source dans l'en-tête de la première trame transmise après le déplacement de l'ordinateur avec les données de sa table, le commutateur conclut correctement que l'ordinateur déplacé appartient au VLAN. L'inconvénient de cette méthode d'organisation des VLAN est la complexité initiale de configuration des VLAN, qui est semée d'erreurs. Bien que la table des adresses MAC soit construite automatiquement par les commutateurs, l'administrateur réseau doit la parcourir et déterminer qu'une adresse MAC hexadécimale donnée correspond à tel ou tel poste de travail, puis l'attribuer au réseau virtuel correspondant. Certes, la reconfiguration ultérieure des VLAN basée sur les adresses MAC nécessitera beaucoup moins d'efforts que dans le cas des VLAN basés sur des ports.

VLAN basé sur des protocoles de couche 3. Cette méthode est rarement utilisée dans les changements de département et de groupe de travail. Il est typique des commutateurs de routage de base dotés d'outils de routage intégrés pour les principaux protocoles LAN - IP, IPX et AppleTalk. Dans cette méthode, un groupe de ports de commutateur appartenant à un VLAN spécifique est associé à un sous-réseau IP ou à un réseau IPX spécifique. La flexibilité est ici assurée par le fait que les mouvements des utilisateurs vers un autre port appartenant au même VLAN sont surveillés par le commutateur et ne nécessitent pas de reconfiguration. L'avantage de cette méthode est également la simplicité de configuration des VLAN, qui peut se faire automatiquement, puisque le switch analyse les adresses réseau des ordinateurs associés à chaque VLAN. De plus, comme déjà mentionné, les appareils prenant en charge la méthode d'organisation des VLAN basée sur les protocoles de couche 3 disposent d'outils de routage intégrés, qui offrent la possibilité d'interagir entre différents VLAN sans utiliser d'outils supplémentaires. Cette méthode n'a peut-être qu'un seul inconvénient : le prix élevé des commutateurs dans lesquels elle est mise en œuvre.

VLAN basé sur des règles. On suppose que le commutateur a la capacité d'analyser en détail des champs prédéfinis et même des bits individuels de paquets qui le traversent en tant que mécanismes de construction de VLAN. Cette méthode offre des possibilités pratiquement illimitées pour créer des réseaux virtuels basés sur plusieurs critères. Par exemple, même selon le principe d'inclure dans le VLAN tous les utilisateurs dont les ordinateurs sont équipés d'adaptateurs réseau du fabricant spécifié. Malgré son énorme flexibilité, le processus de configuration d'un VLAN basé sur des règles demande beaucoup de travail. De plus, la présence de règles complexes peut affecter négativement le débit du commutateur, puisqu'une partie importante de sa puissance de traitement sera consacrée à l'analyse des paquets.

Les appareils peuvent également être automatiquement déplacés vers des VLAN en fonction des données d'authentification de l'utilisateur ou de l'appareil lors de l'utilisation du protocole 802.1x.

construire des VLAN distribués

Les réseaux locaux modernes contiennent souvent plusieurs commutateurs. Les ordinateurs appartenant au même VLAN peuvent être connectés à différents commutateurs. Par conséquent, afin d'acheminer correctement le trafic, il doit exister un mécanisme permettant aux commutateurs d'échanger des informations sur l'appartenance au VLAN des appareils qui y sont connectés. Auparavant, chaque fabricant implémentait des mécanismes propriétaires pour échanger ces informations dans ses appareils. Par exemple, 3Com a appelé cette technologie VLT (Virtual LAN Trunk), Cisco Systems l'a appelée ISL (Inter-Switch Link). Par conséquent, pour créer des VLAN distribués, il était nécessaire d’utiliser des appareils d’un seul fabricant. La situation s'est radicalement améliorée lorsque la norme de création de VLAN étiquetés a été adoptée - IEEE 802.1Q, qui domine désormais le monde des VLAN. Entre autres choses, il réglemente également le mécanisme d'échange d'informations VLAN entre les commutateurs. Ce mécanisme permet de compléter les trames transmises entre les commutateurs avec des champs indiquant l'appartenance à un VLAN particulier. Aujourd'hui, tous les principaux fabricants de commutateurs LAN prennent en charge la norme 802.1Q dans leurs appareils. Par conséquent, il est déjà possible aujourd’hui de construire des réseaux virtuels à l’aide de commutateurs de différents fabricants. Bien que, comme vous le verrez plus tard, même fonctionnant conformément au 802.1Q, les commutateurs de différents fabricants offrent loin des mêmes capacités d'organisation des VLAN.

organisation de l'interaction entre les VLAN

Les ordinateurs situés dans différents VLAN ne peuvent pas communiquer directement entre eux. Pour organiser une telle interaction, vous devez utiliser un routeur. Auparavant, des routeurs classiques étaient utilisés pour cela. De plus, il fallait que le routeur dispose d'autant d'interfaces réseau physiques que de VLAN. De plus, les commutateurs devaient allouer un port de chaque VLAN pour connecter le routeur. Compte tenu du coût élevé des ports de routeur, le coût d’une telle solution était très élevé. De plus, un routeur conventionnel introduisait un retard important dans le transfert de données entre les VLAN. Aujourd'hui, pour transférer des données entre VLAN, on utilise des commutateurs de routage, qui ont un faible prix par port et effectuent le routage matériel du trafic à la vitesse du canal de communication. Les commutateurs de routage sont également conformes à la norme IEEE 802.1Q, et pour organiser la communication entre les VLAN distribués, ils n'ont besoin d'utiliser qu'un seul port pour connecter chacun des commutateurs du groupe de travail qui connectent au réseau les périphériques correspondant aux différents VLAN. En d'autres termes, les informations peuvent être échangées entre des appareils de différents VLAN via un port d'un commutateur de routage moderne.

utilisation de ressources réseau partagées par des ordinateurs de différents VLAN

Très intéressante est la possibilité d'organiser l'accès aux ressources réseau partagées (serveurs réseau, imprimantes, etc.) pour les ordinateurs appartenant à différents VLAN. Les avantages de cette possibilité sont évidents. Premièrement, il n'est pas nécessaire d'acheter un routeur ou un commutateur de routage, sauf si vous devez organiser un échange direct de données entre des ordinateurs de différents VLAN. L'interaction entre les ordinateurs de différents VLAN peut être assurée via un serveur réseau, auquel tous ou plusieurs VLAN ont accès. Deuxièmement, tout en conservant tous les avantages de l'utilisation des VLAN, vous n'êtes pas obligé d'acheter des serveurs pour chaque VLAN séparément, mais d'en utiliser des communs.

Le moyen le plus simple de donner accès à un serveur à des utilisateurs de différents VLAN consiste à installer plusieurs cartes réseau sur le serveur et à connecter chacune de ces cartes à des ports de commutation appartenant à différents VLAN. Cependant, cette approche a une limitation sur le nombre de VLAN (de nombreuses cartes réseau ne peuvent pas être installées sur le serveur), impose des exigences strictes sur les composants du serveur (les pilotes de carte réseau nécessitent une augmentation de la quantité de RAM, crée une charge importante sur le CPU et bus d'E/S du serveur, etc.) et ne permet pas d'économiser de l'argent (utilisation de plusieurs cartes réseau et ports de commutateur supplémentaires).

Avec l'avènement de la norme IEEE 802.1Q, il est devenu possible de transmettre des informations relatives à tout ou plusieurs VLAN via un seul port de commutateur. Comme mentionné ci-dessus, pour ce faire, le commutateur (ou tout autre périphérique prenant en charge 802.1Q) ajoute un champ à la trame transmise sur le réseau qui détermine de manière unique si la trame appartient à un VLAN spécifique. Un serveur commun à tous les VLAN peut être connecté à un tel port avec une seule ligne de communication. La seule condition pour cela est que la carte réseau du serveur prenne en charge la norme 802.1Q afin que le serveur puisse savoir de quel VLAN provient la demande et, par conséquent, où envoyer la réponse. C'est ainsi que le serveur est divisé entre les VLAN des commutateurs de département et de groupe de travail gérés de 3Com, Hewlett-Packard et Cisco Systems.

conclusion

Comme vous pouvez le constater, les VLAN sont un puissant outil d'organisation de réseau qui peut résoudre les problèmes d'administration, de sécurité de la transmission des données, de contrôle d'accès aux ressources d'information et augmenter considérablement l'efficacité de l'utilisation de la bande passante du réseau.

Oleg Podukov, chef du département technique de la société COMPLETE

Sur les pages de notre site Web, nous avons utilisé à plusieurs reprises le terme VLAN dans les instructions de configuration de divers routeurs et de création d'un réseau d'entreprise. Cependant, la technologie VLAN moderne nécessite une étude détaillée, c'est pourquoi la prochaine série d'articles est consacrée aux caractéristiques et à la configuration du « VLAN » sur divers appareils.

Ce matériel est une sorte d'« introduction », et nous verrons ici ce qu'est un VLAN et comment la technologie VLAN aide à établir un réseau.

Vlan : qu'est-ce que c'est ?

VLAN est une technologie qui vous permet de configurer plusieurs domaines de diffusion virtuels au sein d'un même domaine de diffusion physique.

En d'autres termes, en disposant de plusieurs ou d'un seul commutateur, vous pouvez ainsi différencier les PC des utilisateurs en fonction de leur appartenance à un certain service ou, dans le cas des serveurs, en fonction de certains rôles et des spécificités de leur travail.

Dans ce cas, plusieurs problèmes sont résolus simultanément :

  • - le nombre de demandes de diffusion est réduit ;
  • - s'améliore, parce que élimine la possibilité d'écoute du trafic par des employés tiers qui ne sont pas membres de ce VLAN spécifique ;
  • - il devient possible de répartir géographiquement différents départements et divisions en fonction de leur affiliation. C'est par exemple que les employés de la Direction des Ressources Humaines, sans être dans le même bâtiment, pourront se « voir » au sein de leur sous-réseau.

L'architecture réseau utilise les VLAN pour assurer la segmentation réseau des services, généralement implémentée par des routeurs qui filtrent le trafic de diffusion entre différents VLAN, améliorent la sécurité du réseau, effectuent l'agrégation de sous-réseaux et réduisent la congestion du réseau. Les commutateurs ne peuvent pas transférer le trafic entre les VLAN en raison de la restriction imposée par le domaine de diffusion.

Certains commutateurs peuvent avoir une fonctionnalité OSI Layer 3, stockant et utilisant le trafic entre les sous-réseaux. Dans ce cas, une interface virtuelle d'un VLAN spécifique avec un spécifique et est créée sur le commutateur. Cette interface fait office de périphérique pour les périphériques situés dans ce VLAN.

A quoi sert un vlan ?

Dans les réseaux basés sur le trafic de diffusion transmis à tous les appareils pour trouver des pairs, à mesure que le nombre de pairs augmente, la quantité de trafic de diffusion augmente également (ce qui peut potentiellement déplacer presque complètement la charge utile sur le réseau).

Les VLAN aident à réduire le trafic réseau en formant plusieurs domaines de diffusion, divisant un grand réseau en plusieurs segments indépendants plus petits avec un petit nombre de requêtes de diffusion envoyées à chaque périphérique de l'ensemble du réseau.

La technologie VLAN permet également de créer plusieurs réseaux OSI Layer 3 sur la même infrastructure physique. Par exemple, si le distributeur d'adresses IP est inclus dans le commutateur dans un VLAN spécifique, les appareils recevront des adresses uniquement au sein de ce VLAN. Si le serveur DHCP est activé par une jonction avec un ensemble de plusieurs VLAN, les appareils de tous ces VLAN pourront recevoir des adresses.

Le VLAN fonctionne au niveau de la 2ème couche de liaison du modèle de réseau OSI, de la même manière que les sous-réseaux IP qui fonctionnent au niveau de la 3ème couche de liaison. En règle générale, chaque VLAN possède son propre sous-réseau IP, bien qu'il existe des exceptions lorsque plusieurs sous-réseaux différents peuvent exister dans un VLAN. Cette technologie est connue par Cisco sous le nom d'« ip secondaire » et sous Linux sous le nom d'« alias ip ».

Dans les anciennes technologies de réseau, les utilisateurs se voyaient attribuer des sous-réseaux en fonction de leur emplacement géographique. Pour cette raison, ils étaient limités par la topologie physique et la distance. La technologie VLAN vous permet de regrouper logiquement des utilisateurs géographiquement dispersés dans les mêmes groupes de sous-réseaux, quel que soit leur emplacement physique. Grâce aux VLAN, vous pouvez facilement gérer les modèles de trafic et répondre rapidement aux mouvements des utilisateurs.

La technologie VLAN offre une adaptation flexible aux changements du réseau et simplifie l'administration.

Exemples d'utilisation de VLAN

Un exemple de découpage d'un réseau en plusieurs VLAN en segments selon les rôles et les technologies utilisées :

  1. 1) VLAN productif
  2. 2) VoIP
  3. 3) Gestion du réseau
  4. 4) SAN – réseau de stockage
  5. 5) Réseau invité
  6. 6) Zones DMZ
  7. 7) Séparation des clients (dans le cas d'un prestataire ou d'un data center)

La norme la plus couramment utilisée pour la configuration VLAN est IEEE 802.1Q, tandis que Cisco possède sa propre norme ISL et 3Com sa norme VLT. IEEE 802.1Q et ISL disposent tous deux d'un mécanisme similaire appelé « marquage explicite » : une trame de données est balisée avec des informations d'appartenance au VLAN. La différence entre eux est qu'ISL utilise un processus de marquage externe sans modifier la trame Ethernet d'origine, tandis que 802.1Q utilise un processus de marquage interne avec modification de trame.

Implémentation du VLAN dans les appareils CISCO

Dans les appareils Cisco, VTP (VLAN Trunking Protocol) fournit des domaines VLAN pour simplifier l'administration. VTP effectue également l'élagage du trafic, dirigeant le trafic VLAN uniquement vers les commutateurs dotés de ports VLAN cibles (fonction d'élagage VTP). Les commutateurs Cisco utilisent principalement le protocole Trunk 802.1Q au lieu de l'ISL (Inter-Switch Link) propriétaire existant pour garantir la compatibilité des informations.

Par défaut, chaque port du commutateur dispose d'un VLAN1 ou d'un VLAN de gestion. Le réseau de gestion ne peut pas être supprimé, mais des VLAN supplémentaires peuvent être créés et des ports supplémentaires peuvent être attribués à ces VLAN alternatifs.

VLAN natif est un paramètre par port qui spécifie le numéro de VLAN que reçoivent tous les paquets non balisés.

Désignation d'adhésion au VLAN

Les solutions suivantes existent pour cela :

  • par port (basé sur le port, 802.1Q) : un VLAN est attribué manuellement au port du commutateur. Si plusieurs VLAN doivent correspondre à un port (par exemple, si une connexion VLAN passe par plusieurs commutateurs), alors ce port doit être membre d'un trunk. Un seul VLAN peut recevoir tous les paquets non attribués à aucun VLAN (dans la terminologie de 3Com, Planet, D-Link, Zyxel, HP - sans étiquette, dans la terminologie Cisco - VLAN natif). Le commutateur ajoutera des balises de ce VLAN à toutes les trames reçues qui n'ont aucune balise. Les VLAN basés sur les ports présentent certaines limitations.
  • par adresse MAC (basée sur MAC) : l'appartenance au VLANe est basée sur l'adresse MAC du poste de travail. Dans ce cas, le commutateur dispose d'un tableau des adresses MAC de tous les périphériques ainsi que des VLAN auxquels ils appartiennent.
  • Basé sur le protocole : les données des couches 3 et 4 dans l'en-tête du paquet sont utilisées pour déterminer l'appartenance au VLANe. Par exemple, les machines peuvent être transférées vers le premier VLAN et les machines AppleTalk vers le second. Le principal inconvénient de cette méthode est qu'elle viole l'indépendance des couches. Ainsi, par exemple, le passage d'IPv4 à IPv6 entraînera une perturbation du réseau.
  • Basé sur l'authentification : les appareils peuvent être automatiquement déplacés vers un VLAN en fonction des données d'authentification de l'utilisateur ou de l'appareil lors de l'utilisation du protocole 802.1x.

Avantages

  • Facilite le déplacement, l'ajout d'appareils et la modification de leurs connexions les uns aux autres.
  • Un plus grand degré de contrôle administratif est obtenu grâce à la présence d'un périphérique qui effectue le routage de couche 3 entre les VLAN.
  • Réduit la consommation de bande passante par rapport à une situation de domaine de diffusion unique.
  • Réduit l’utilisation non productive du processeur en réduisant le transfert de messages de diffusion.
  • Prévenir les tempêtes de diffusion et prévenir les boucles.

Voir aussi

Sources

  • Andrew Tanenbaum, 2003, « Réseaux informatiques », Pearson Education International, New Jersey.

Links

  • Norme IEEE 802.1Q version 1998 (version 2003) (version 2005)
  • Guide OpenWRT des VLAN : fournit un bon guide pour débutants sur tous les VLAN
  • Quelques FAQ sur les VLAN
  • VLAN sur Xgu.ru - informations détaillées sur la configuration et l'utilisation des VLAN dans les équipements réseau actifs Cisco et HP ProCurve et dans les systèmes d'exploitation Linux et FreeBSD
  • Réseaux locaux virtuels : VLAN à l'aide de l'exemple de Cisco Catalyst
  • Capacités des commutateurs modernes pour organiser des réseaux virtuels

Fondation Wikimédia.

2010.

    Voyez ce qu'est « VLAN » dans d'autres dictionnaires : VLAN

    - vlan... Dictionnaire des rimes

    Voyez ce qu'est « VLAN » dans d'autres dictionnaires :- (de l'anglais Virtual Local Area Network) un réseau local virtuel, également connu sous le nom de VLAN, est un groupe d'hôtes avec un ensemble commun d'exigences qui interagissent comme s'ils étaient connectés à... ... Wikipedia

Des questions ?

Envoyer

Signaler une faute de frappe

Message