Comment configurer un VLAN pour les réseaux d’entreprise
Les réseaux locaux virtuels, ou VLAN, séparent et hiérarchisent le trafic sur les liens réseau. Ils créent des sous-réseaux isolés qui permettent à certains appareils de fonctionner ensemble, qu’ils soient ou non sur le même réseau local physique.
Les entreprises utilisent des VLAN pour partitionner et gérer le trafic. Par exemple, une entreprise qui cherche à séparer le trafic de données de son département d’ingénierie du trafic du département de comptabilité peut créer des VLAN distincts pour chaque département. Plusieurs applications qui s’exécutent sur le même serveur peuvent partager un lien, même si elles ont des exigences différentes. Une application vidéo ou vocale avec des exigences de débit et de latence strictes peut partager un lien avec une application avec des exigences de performances moins critiques.
Comment fonctionnent les VLAN ?
Le trafic sur les VLAN individuels est fourni uniquement aux applications affectées à chaque VLAN, offrant un niveau de sécurité. Chaque VLAN est un domaine de collision distinct et les émissions sont limitées à un seul VLAN. Empêcher les diffusions d’atteindre des applications connectées à d’autres VLAN élimine la nécessité pour ces applications de gaspiller des cycles de traitement sur des émissions qui ne leur sont pas destinées.
Les VLAN fonctionnent au niveau de la couche 2, la couche de liaison, et peuvent être limités à une seule liaison physique ou étendus sur plusieurs liaisons physiques en se connectant aux commutateurs de la couche 2. Étant donné que chaque VLAN est un domaine de collision et que les commutateurs de couche 3 terminent les domaines de collision, les segments VLAN ne peuvent pas être connectés par un routeur. Essentiellement, un seul VLAN ne peut pas couvrir plusieurs sous-réseaux.
Les segments de sous-réseau se connectent via des commutateurs. Il est courant de connecter des composants d’une application s’exécutant sur plusieurs serveurs en les plaçant sur un seul VLAN et sous-réseau. Par exemple, un seul sous-réseau et VLAN peut être dédié au service de comptabilité, mais si les membres du service sont trop éloignés pour un seul câble Ethernet, les commutateurs connectent les différentes liaisons Ethernet qui transportent le VLAN et le sous-réseau, tandis que les routeurs VLAN connectent le sous-réseau au reste du réseau.
Les liaisons de jonction VLAN transportent plus d’un VLAN, de sorte que les paquets sur un joncteur réseau transportent des informations supplémentaires pour identifier son VLAN. Les liens d’accès portent un seul VLAN et n’incluent pas ces informations. Les bits sont retirés du paquet connecté à la liaison d’accès, de sorte qu’un port connecté ne reçoit qu’un paquet Ethernet standard.
Comment configurer un VLAN
La configuration d’un VLAN peut être compliquée et prendre du temps, mais les VLAN offrent des avantages significatifs aux réseaux d’entreprise, tels qu’une sécurité améliorée. Les étapes pour configurer un VLAN sont les suivantes.
1. Configurez le VLAN
Tous les commutateurs qui transportent le VLAN doivent être configurés pour ce VLAN. Chaque fois que les équipes apportent des modifications à la configuration du réseau, elles doivent prendre soin de mettre à jour les configurations des commutateurs, d’échanger un commutateur ou d’ajouter un VLAN supplémentaire.
2. Mettre en place des listes de contrôle d’accès
ACL, qui régulent l’accès accordé à chaque utilisateur connecté à un réseau, s’appliquent également aux VLAN. Plus précisément, les ACL VLAN (VACL) contrôlent l’accès à un VLAN partout où il s’étend sur un commutateur ou où les paquets entrent ou sortent du VLAN. Les équipes réseau doivent faire très attention lors de la configuration de VACLs, car leur configuration est souvent compliquée. La sécurité du réseau peut être compromise si une erreur se produit lors de la configuration ou de la modification de VACLs.
3. Appliquez des interfaces de ligne de commande
Chaque fournisseur de système d’exploitation et de commutateur spécifie un ensemble de commandes CLI pour configurer et modifier les VLAN sur son produit. Certains administrateurs construisent des fichiers contenant ces commandes et les modifient si nécessaire pour modifier la configuration. Une seule erreur dans les fichiers de commandes peut provoquer l’échec d’une ou plusieurs applications.
4. Considérez les progiciels de gestion
Les fournisseurs d’équipements et les tiers proposent des progiciels de gestion qui automatisent et simplifient les efforts, réduisant ainsi les risques d’erreur. Comme ces paquets conservent souvent un enregistrement complet de chaque ensemble de paramètres de configuration, ils peuvent rapidement réinstaller la dernière configuration de travail en cas d’erreur.
Identification des VLAN avec marquage
La norme IEEE 802.1Q définit comment identifier les VLAN.
Les adresses de contrôle d’accès au support de destination et de source apparaissent au début des paquets Ethernet, et le champ d’identifiant VLAN 32 bits suit.
Identifiant de protocole de balise
Le TPID constitue les 16 premiers bits de la trame VLAN. Le TPID contient la valeur hexadécimale 8100, qui identifie le paquet comme un paquet VLAN. Les paquets sans données VLAN contiennent le champ EtherType à la position du paquet.
Informations de contrôle de balise
Le champ TCI 16 bits suit le TPID. Il contient le champ de point de code prioritaire à 3 bits (PCP), l’indicateur éligible à la suppression à un bit (DEI) et le champ d’identifiant VLAN à 12 bits (VID).
Le champ PCP spécifie la qualité de service requise par les applications partageant le VLAN. La norme IEEE 802.1p définit ces niveaux comme les valeurs suivantes:
- La valeur 0 indique un paquet que le réseau fait de son mieux pour fournir.
- La valeur 1 identifie un paquet d’arrière-plan.
- Valeur 2 à la valeur 6 identifiez les autres paquets, y compris les valeurs indiquant des paquets vidéo ou vocaux.
- La valeur 7, la priorité la plus élevée, est réservée aux paquets de contrôle réseau.
Le DEI à bit unique suit le champ PCP et ajoute des informations supplémentaires au champ PCP. Le champ DEI identifie un paquet qui peut être déposé dans un réseau congestionné.
Le champ VID se compose de 12 bits qui identifient l’un des 4 096 VLAN qu’un réseau peut prendre en charge.
VLAN basés sur Ethernet
Les VLAN basés sur Ethernet peuvent être étendus au Wi-Fi à l’aide d’un point d’accès (AP) compatible VLAN. Ces points d’accès séparent le trafic câblé entrant en utilisant l’adresse de sous-réseau associée à chaque VLAN. Les nœuds d’extrémité reçoivent uniquement les données sur le sous-réseau configuré.
La sécurité aérienne ne peut pas être appliquée comme elle le peut sur un fil. Des identifiants de jeu de services, ou SSID, avec des mots de passe différents sont utilisés si nécessaire, par exemple dans les réseaux invités.
Les VLAN ont été développés au début de l’évolution de la technologie de mise en réseau pour limiter les diffusions et hiérarchiser le trafic. Ils se sont révélés utiles à mesure que les réseaux ont augmenté en taille et en complexité.