La vir­tua­li­sa­tion fonc­tionne aussi bien pour les mémoires, la puissance de calcul et les logiciels que pour la tech­no­lo­gie de réseau : un VLAN désigne un réseau virtuel purement logique basé sur un réseau physique concret. Comment fonc­tionne un réseau local virtuel ?

Qu’est-ce qu’un VLAN ? Ex­pli­ca­tion des bases

De nos jours, les réseaux physiques sont gé­né­ra­le­ment basés sur un ou plusieurs com­mu­ta­teur(s) (« switch(es) »), des appareils gérant le trafic de données entre les équi­pe­ments. Pour ce faire, tous les câbles réseau sont raccordés au com­mu­ta­teur per­met­tant ainsi à dif­fé­rents or­di­na­teurs de com­mu­ni­quer. Il est alors possible que ces com­mu­ta­teurs relient entre eux des centaines d’appareils tout en assurant une com­mu­ni­ca­tion re­la­ti­ve­ment fluide. Il peut toutefois s’avérer pertinent de frag­men­ter d’aussi vastes réseaux sans pour autant changer quoi ce soit à l’ins­tal­la­tion physique.

Un réseau local virtuel est un segment logique de moindre ampleur créé au sein d’un vaste réseau physique réalisé par des rac­cor­de­ments. Le re­grou­pe­ment des dif­fé­rents postes dans un même réseau est effectué ici, quelle que soit la lo­ca­li­sa­tion du poste : tant que ces derniers sont in­ter­con­nec­tés dans un même réseau local, il est possible de les regrouper dans un réseau local virtuel. Le fait que le réseau local s’étende à plusieurs com­mu­ta­teurs ne présente ici aucun problème. Tout ce qui importe, c’est que le com­mu­ta­teur soit com­pa­tible avec un réseau local virtuel. Seuls les com­mu­ta­teurs ad­mi­nis­trables per­met­tent de créer des réseaux locaux virtuels.

Remarque

Con­trai­re­ment aux com­mu­ta­teurs sans gestion, qui sont prin­ci­pa­le­ment utilisés dans les réseaux do­mes­tiques et basés sur l’idée du plug-and-play, les com­mu­ta­teurs ad­mi­nis­trables offrent de très nom­breuses pos­si­bi­li­tés de con­fi­gu­ra­tion pour une uti­li­sa­tion pro­fes­sion­nelle. Il est par exemple possible de gérer des adresses IP de façon ciblée, de filtrer des adresses MAC ou même d’établir des réseaux locaux virtuels.

Chaque réseau local virtuel in­di­vi­duel comporte un domaine de diffusion broadcast propre : si un par­ti­ci­pant envoie une diffusion broadcast dans le réseau local virtuel, tous les autres par­ti­ci­pants au sein de ce segment – et uni­que­ment dans ce segment – reçoivent le message. La diffusion broadcast n’est pas transmise en dehors du réseau virtuel. La com­mu­ni­ca­tion entre dif­fé­rents réseaux locaux virtuels s’effectue parfois via les mêmes câbles.

Image: Configuration schématique de deux réseaux locaux virtuels
Même si les or­di­na­teurs ne sont pas in­ter­con­nec­tés via le même com­mu­ta­teur, il est possible de les regrouper au sein d’un seul et même réseau local virtuel.

Dif­fé­rents types de VLAN

Les réseaux locaux virtuels peuvent être mis en place de dif­fé­rentes façons. Une tech­no­lo­gie dif­fé­rente est utilisée en fonction du type de réseau. En pratique, deux types sont utilisés : les VLAN par port et les VLAN « tagged ». Dans de nombreux cas, les ad­mi­nis­tra­teurs réseau réalisent leurs ins­tal­la­tions et leurs at­tri­bu­tions en mariant ces deux types.

VLAN par port

Chaque par­ti­ci­pant du réseau est raccordé au com­mu­ta­teur via un port – pour faire simple, il s’agit d’une prise femelle dans laquelle est inséré le câble réseau cor­res­pon­dant dont l’autre extrémité est raccordée à l’or­di­na­teur concerné (les ports sont toutefois également utilisés pour connecter des com­mu­ta­teurs entre eux). À présent, si on souhaite créer deux réseaux locaux virtuels à partir de ce réseau physique unique, on attribue le réseau virtuel souhaité aux ports cor­res­pon­dants.

Même si les ins­tal­la­tions de VLAN par port sont prin­ci­pa­le­ment utilisées dans les réseaux de moindre ampleur et donc uni­que­ment au sein d’un même com­mu­ta­teur, la con­fi­gu­ra­tion est également possible via plusieurs com­mu­ta­teurs. Il est ainsi possible de regrouper les ports 1 à 3 du premier com­mu­ta­teur et le port 1 du deuxième com­mu­ta­teur sur un même réseau local virtuel. Pour cela, il est toutefois né­ces­saire de connecter les com­mu­ta­teurs avec deux câbles en même temps – un rac­cor­de­ment séparé pour chaque VLAN.

Remarque

Ce type de connexion est appelé trunk. Les com­mu­ta­teurs disposent d’un ou plusieurs port(s) prévu(s) spé­ci­fi­que­ment à cet effet ou per­met­tent de le/les définir à l’aide des options de pa­ra­mé­trage. Le type de câblage est ici se­con­daire : il peut s’agir d’un câble en cuivre ou en fibre, ou d’une connexion sans fil.

La ré­par­ti­tion des paquets s’effectue donc di­rec­te­ment par le biais des com­mu­ta­teurs. Les ad­mi­nis­tra­teurs dé­fi­nis­sent dans ces derniers à quel réseau local virtuel les dif­fé­rents ports ap­par­tien­nent. Le VLAN est ainsi statique. Si les réseaux locaux virtuels doivent être regroupés dif­fé­rem­ment, il faudra procéder à une nouvelle ré­par­ti­tion des ports dans la con­fi­gu­ra­tion du com­mu­ta­teur. D’autre part, chaque port – et donc chaque appareil raccordé – peut uni­que­ment faire partie d’un seul réseau local virtuel. Si les appareils d’un réseau local virtuel doivent com­mu­ni­quer avec un autre VLAN, cette com­mu­ni­ca­tion doit être effectuée via un routeur qui pourra renvoyer les paquets de messages – exac­te­ment comme pour la com­mu­ni­ca­tion entre un réseau do­mes­tique et Internet.

VLAN tagged

Dans le cas d’un VLAN tagged, l’at­tri­bu­tion aux réseaux locaux virtuels est plus dynamique : au lieu d'être définie de façon dé­fi­ni­tive dans le com­mu­ta­teur, l’at­tri­bu­tion est réalisée par une balise (« tag ») dans la trame du paquet de messages. C’est la raison pour laquelle on nomme également cette technique VLAN par trame sur le même schéma que VLAN par port. La balise spécifie le VLAN dans lequel on se trouve ac­tuel­le­ment. Un com­mu­ta­teur peut ainsi iden­ti­fier dans quel segment la com­mu­ni­ca­tion a lieu et trans­mettre le message.

Une balise VLAN comporte 32 bits et apparaît di­rec­te­ment après l’adresse MAC de l’ex­pé­di­teur dans la trame Ethernet. La balise commence avec 16 bits per­met­tant d’iden­ti­fier le protocole : le Tag Protocol Iden­ti­fier (TPI) indique si un iden­ti­fiant de VLAN a été renseigné. Si un réseau local virtuel est marqué via une trame, ces blocs ont la valeur 0x8100. Les trois bits suivants de la trame renvoient à la priorité du message. Ils sont suivis par un bit pour le Canonical Format Iden­ti­fier (CFI). Ce champ est uni­que­ment utilisé pour assurer la com­pa­ti­bi­lité entre les adresses Ethernet et le token ring.

C’est seulement dans les douze derniers bits que le protocole mentionne le véritable iden­ti­fiant du réseau local virtuel (VID). La longueur de ce champ permet 4 096 VLAN dif­fé­rents. Chaque réseau local virtuel reçoit son propre numéro. Il est également possible de réaliser des VLAN tagged di­rec­te­ment via les cartes réseau. Linux supporte par exemple ce standard par défaut. Pour les uti­li­sa­teurs de Windows, en revanche, cela dépend du fabricant de la carte réseau. Le réseau local virtuel peut alors être configuré à l’aide du pilote de pé­ri­phé­rique.

Le principe de trame présenté ici suit le standard IEEE 802.1q. Il s’agit de la variante la plus utilisée, mais il existe également d’autres pos­si­bi­li­tés de placement de balises de VLAN dans un paquet de messages. Cisco utilise par exemple l’Inter-Switch Link Protocol (ISL) pour ses com­mu­ta­teurs. Afin de permettre plusieurs VLAN, ce protocole inclut toute la trame de données.

L’avantage qu’offre un VLAN tagged par rapport à un réseau local virtuel avec at­tri­bu­tion de ports réside dans la connexion entre plusieurs com­mu­ta­teurs. Dans le cas d’un VLAN par port, deux câbles au minimum doivent être installés entre les com­mu­ta­teurs, car chaque réseau local virtuel nécessite son propre câble. En cas de trunk dans des VLAN tagged, un câble suffit étant donné que la ré­par­ti­tion est effectuée à l’aide des in­for­ma­tions de la trame. Le com­mu­ta­teur identifie le bon réseau local virtuel et le transmet au deuxième com­mu­ta­teur. La balise est alors retirée et le paquet est transmis au bon des­ti­na­taire.

Remarque

Dans la pratique, une uti­li­sa­tion combinée des VLAN par port et des VLAN tagged s’est avérée efficace : la com­mu­ni­ca­tion du réseau local virtuel s’effectue alors au sein d’un com­mu­ta­teur par le biais des ports attribués. Toutefois, la connexion entre les com­mu­ta­teurs est basée sur une trame, ce qui permet d’éco­no­mi­ser un câble (et donc deux ports).

VLAN : avantages des réseaux virtuels

Pourquoi s’échiner à diviser un vaste réseau local en plusieurs réseaux locaux virtuels de moindre envergure ?

Flexi­bi­lité

Si un nouvel équi­pe­ment doit être intégré à un réseau local, cet appareil doit être raccordé à un com­mu­ta­teur à l’aide d’un câble. Lorsqu’un employé qui change d’équipe doit tra­vail­ler dans un autre réseau, il faut soit le changer de poste de travail, soit re­com­men­cer le câblage. Avec les réseaux locaux virtuels, la con­fi­gu­ra­tion est en­tiè­re­ment basée sur des logiciels. L’ad­mi­nis­tra­teur peut attribuer le même or­di­na­teur à un autre réseau local virtuel de manière flexible.

Sécurité

Afin d’éviter que des personnes non au­to­ri­sées aient accès à des données sensibles, limiter le réseau à un petit groupe peut être une bonne idée. Dans le cas d’un VLAN, les domaines de broadcast sont limités à quelques postes uni­que­ment. De cette façon, une diffusion broadcast ne pourra pas atteindre des personnes à qui elle n’était pas destinée.

Note

La mise en place de réseaux locaux virtuels n’est pas une mesure de sécurité suf­fi­sante. En effet, les criminels peuvent accéder aux flux de données lorsque les réseaux locaux virtuels et le réseau local sur lequel les premiers sont basés ne sont pas protégés par des mesures de sécurité (par ex. un cryptage).

Per­for­mance

La réduction du domaine de broadcast peut également permettre une meilleure per­for­mance. Les messages de broadcast ne doivent plus atteindre l’in­té­gra­lité du réseau. Les messages de type « à tous les membres du réseau » mais destinés uni­que­ment à un groupe spé­ci­fique de personnes génèrent un trafic inutile. Un VLAN permet de réduire cette charge inutile de la bande passante.

En résumé

Les réseaux locaux virtuels cons­ti­tuent une al­ter­na­tive plus efficace et plus simple lorsqu’il s’agit de diviser les vastes réseaux en groupes logiques de moindre envergure.

Or­ga­ni­sa­tion

Les réseaux locaux virtuels relient entre eux un groupe logique et des postes. Dans le cas d’un réseau d’en­tre­prise par exemple, il peut arriver que des employés se trouvent dans un tel groupe logique sans avoir leur poste de travail sur le même site. Une partie peut se trouver dans des salles, des étages ou même des bâtiments dif­fé­rents. Pour connecter ces personnes et leurs or­di­na­teurs dans un réseau local, il faudrait tirer de très longs câbles qui tra­ver­se­raient les locaux de l’en­tre­prise. Étant donné que plusieurs com­mu­ta­teurs peuvent être intégrés à un réseau local virtuel, le câblage est nettement plus pertinent et organisé.

Prix

Plutôt que d’avoir plusieurs VLAN, il serait en théorie possible de mettre en place plusieurs réseaux locaux in­ter­con­nec­tés à l’aide de routeurs afin de permettre également une com­mu­ni­ca­tion de réseau à réseau. Mais cela né­ces­si­te­rait des achats sup­plé­men­taires associés à un coût financier non né­gli­geable. D’autre part, l’ins­tal­la­tion de réseaux pa­ral­lèles de­man­de­rait un temps con­si­dé­rable.

Aller au menu principal