VLAN - Notions de base

Les VLAN (Virtual Bridged Local Area Networks) sont des réseaux virtuels au moyen desquels un réseau physique existant peut être divisé en plusieurs réseaux logiques. Les VLAN sont isolés les uns des autres et fonctionnent sur la couche 2 du modèle de couche OSI. Le principe des VLANs est spécifié dans IEEE 802.1Q.

Chaque VLAN forme son propre domaine de broadcast. Si un ordinateur ou un serveur envoie une émission dans le VLAN auquel il est affecté, tous les autres participants du même VLAN reçoivent le message. Toutefois, les participants d'autres VLAN ne reçoivent pas les émissions.

Avantages

Les VLAN offrent entre autres les avantages suivants :

  • Les VLAN peuvent améliorer considérablement la sécurité au sein d'un réseau physique. Si un attaquant exploite une vulnérabilité, il ne peut pas accéder à l'ensemble du réseau si celui-ci est divisé en VLANs.

  • Les différents départements d'une entreprise peuvent avoir par exemple leurs propres réseaux. Cela permet notamment un échange de données plus rapide. De plus, différents logiciels peuvent être distribués sur les ordinateurs ou les serveurs.

  • Les ordinateurs ou serveurs sur lesquels des données confidentielles sont stockées peuvent être isolés par un VLAN.

  • Les modifications peuvent être facilement mappées avec les VLANs.

Types de VLAN

On distingue les principaux types de VLAN suivants :

VLAN basés sur les ports

Les VLAN basés sur les ports divisent les commutateurs physiques en plusieurs commutateurs logiques. Les ports individuels sont affectés à un commutateur logique ou à un VLAN. Pour cela, il est nécessaire que les commutateurs puissent être configurés. En règle générale, l'adresse IP du commutateur n'est accessible que par les ports qui lui sont affectés en permanence. Les paquets de données ne sont pas marqués séparément pour les VLAN basés sur les ports. En fonction du numéro du port sur lequel il reçoit un paquet de données, le commutateur sait à quel VLAN il doit affecter le paquet de données.

Les commutateurs sont des éléments de couplage qui interconnectent plusieurs hôtes dans un réseau. Les commutateurs garantissent que les paquets de données sont transférés vers le port spécifié pour une adresse de destination.

Si un périphérique (par exemple un ordinateur ou un serveur) est connecté à un port d'un commutateur logique, il ne peut communiquer qu'avec des périphériques situés dans le commutateur logique ou le VLAN. Un routeur est nécessaire pour envoyer des paquets de données vers un autre VLAN.

Tagged VLAN

Les VLAN balisés n'ont pas d'affectation fixe entre le réseau virtuel et un port. L'affectation se fait en marquant les paquets de données. Les paquets de données sont munis d'étiquettes dans lesquelles l'ID du VLAN est stocké. Ce processus s'appelle le trunking VLAN. Selon la norme IEEE 802.1Q, cette opération est effectuée par l'appareil terminal concerné (par exemple, un serveur capable de tagger) ou par un commutateur. Grâce à l'ID du VLAN, un commutateur peut reconnaître à quel VLAN appartient le paquet de données. De cette façon, le trunking VLAN permet d'utiliser plusieurs VLAN via un seul port de commutation. Vous pouvez utiliser une ou plusieurs lignes groupées.

Les VLAN balisés peuvent également être implémentés directement via des cartes réseau. Linux supporte le standard 802.1Q et possède tous les composants nécessaires. Sous Microsoft Windows, la fonctionnalité des VLAN balisés doit être prise en charge par le pilote de carte réseau.