VLAN

Un réseau virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch).

Intérêt des VLAN

• Segmentation : réduire la taille d'un domaine de broadcast

• Flexibilité : Possibilité de travailler au niveau 2 (couche liaison) (Adresse MAC) ou au niveau 3 (IP). Les VLAN fonctionnent au niveau de la couche 2 du modèle OSI. Toutefois, un VLAN est souvent configuré pour se connecter directement à un réseau IP, ce qui donne l'impression de travailler plutôt au niveau de la couche 3. Les VLAN peuvent aussi se baser sur les ports physiques des commutateurs (attention à ne pas confondre les ports "physiques" avec les ports "logiques" du protocole) (en anglais : "port-based" ) ce qui correspond au niveau 1 du modèle OSI et non au numéro de port du niveau 4 (par exemple : le port 80 en TCP qui "pointe" vers le service HTTP).

• Sécurité : permettre de créer un ensemble logique isolé pour améliorer la sécurité. Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur.

Pour que les VLAN soient propagés sur différents commutateurs à partir d'un seul lien physique via "trunk", l'organisme IEEE (qui s'occupe également de la normalisation d'Ethernet et du Wi-Fi) a développé la norme 802.1Q. IEEE 802.1Q (qui succède à ISL) est aujourd'hui le protocole prédominant.

Dans le contexte de VLAN, le terme "trunk" indique un lien de réseau supportant des VLAN multiples entre 2 commutateurs ou entre un commutateur et un routeur, cela fonctionne en utilisant un protocole adapté. En effet pour tenir compte des raccordements multiples sur un lien, les trames d'un VLAN doivent être identifiées avec un protocole commun.

Deux protocoles :

• Le protocole IEEE 802.1Q ajoute une étiquette à l'en-tête du paquet Ethernet, la marquant comme appartenant à un certain VLAN, ceci est la méthode préférée en 2007 et la seule option valable dans un environnement avec des équipements de fournisseurs multiples.
• Il y a également un protocole propriétaire Cisco (de propriété industrielle Cisco) pour la Virtualisation de réseau local (VLAN). Il est appelé : ISL "Inter Switch Link", il encapsule la trame Ethernet avec sa propre encapsulation, et marque la trame comme appartenant à un VLAN spécifique, dans un réseau composé d'équipement de commutation de la marque Cisco.

A savoir également qu'il existe 3 types différents de VLAN :

• VLAN de niveau 1 (ou VLAN par port) : Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN.

• VLAN de niveau 2 (ou VLAN par adresse MAC) : Ici l'on indique directement les adresse MAC des cartes réseaux contenues dans les machines que l'on souhaite voir appartenir à un VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu importe le port sur lequel la machine sera connectée, cette dernière fera partie du VLAN dans lequel son adresse MAC sera configurée.

• VLAN de niveau 3 (ou VLAN par adresse IP) : Même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN.

Evidemment, pour déployer des VLAN cela sous entend que le commutateur utilisé soit gérable et qu'il gère les VLAN du niveau désiré, à savoir également que plus le niveau de VLAN est élevé, plus le commutateur sera cher à l'achat.

Voir aussi

• VLAN Trunking Protocol

• Portail de la sécurité informatique