D. Réseau local virtuel (vlan)
D. RÉSEAU LOCAL VIRTUEL (VLAN)
Un réseau local (LAN) est basé sur le principe de la diffusion. Chaque information émise par un équipement connecté sur le LAN est reçue par tous les autres équipements du même domaine de diffusion (broadcast domain).
Avec l'augmentation du nombre d'équipements raccordés sur le LAN, on aboutit à des situations de saturation. En effet, plus il y a de stations, plus il y a de risques de collisions et plus les broadcasts consomment de bande passante.
Un VLAN (Virtual LAN) est un domaine de diffusion logique, créé par configuration logicielle sur un ou plusieurs switches. Les VLANs permettent donc des regroupements logiques d'utilisateurs ou de stations, indépendamment de leur localisation physique. Le domaine de diffusion est l'ensemble des membres d'un VLAN habilités à communiquer.
ℹ Informations
Sur un réseau local moderne, les hôtes reçoivent généralement leur adresse IPv4 privée automatiquement via DHCP, ainsi que l’adresse de la passerelle et des serveurs DNS. En IPv6, chaque interface dispose au minimum d’une adresse link‑local (préfixe fe80::/10), et peut obtenir automatiquement une adresse globale par SLAAC (Stateless Address
Autoconfiguration) ou via DHCPv6. Sur un même VLAN, les machines partagent le même plan d’adressage IP, ce qui facilite le routage et l’application de politiques de sécurité.
1. Avantages
· Augmentation de la sécurité en protégeant certaines ressources, en isolant certains groupes (ex. : VLAN comptabilité, VLAN invités, VLAN IoT)
· Augmentation des performances en limitant les domaines de diffusion — les broadcasts restent confinés au VLAN
· Flexibilité : un utilisateur qui déménage dans les locaux retrouve les mêmes droits d'accès aux ressources LAN sans que l'exploitant n'ait eu à intervenir physiquement
· Simplification de la gestion réseau : regroupement logique par fonction (commercial, production, direction) plutôt que par emplacement géographique
⚠ Sécurité des VLAN
La segmentation en VLAN améliore la sécurité, mais elle ne suffit pas à elle seule à contrôler qui a le droit de se connecter au réseau. Il est recommandé de combiner les VLAN avec des mécanismes de contrôle d’accès comme le port‑security (limitation du nombre d’adresses MAC approuvées sur un port) et l’authentification 802.1X basée sur un serveur RADIUS. Cela permet de s’assurer que seuls les utilisateurs ou équipements autorisés peuvent accéder à un VLAN donné.
2. Types de VLAN
n VLAN par port (Port-Based VLAN) : les VLANs sont définis comme groupe de ports. Toutes les stations connectées aux ports du groupe appartiennent alors au même VLAN. Ils sont surtout adaptés aux réseaux pour lesquels une seule station est raccordée sur chaque port du switch. Simples à utiliser.
n VLAN par adresse MAC (MAC-Based VLAN) : les VLANs sont définis comme une liste de stations identifiées par leur adresse MAC. Plus souples, ils permettent de définir l'appartenance à un VLAN pour chaque station, indépendamment de sa situation géographique dans le réseau. Ces VLANs sont complexes à administrer du fait de la difficulté à gérer les adresses MAC.
n VLAN de niveau 3 (Subnet VLAN) : regroupent les stations utilisant le même protocole de niveau 3 ou appartenant au même réseau logique (subnet IP). Ils utilisent les mêmes critères de segmentation que les routeurs et s'adaptent bien aux réseaux existants. Plus simples à administrer puisqu'ils travaillent sur des adresses de niveau 3 bien connues des exploitants de réseaux.
n VLAN sur critères applicatifs : associés aux VLANs de niveau 3, permettent d'optimiser ou de personnaliser les VLANs pour des applications particulières (ex. : VLAN VoIP, VLAN vidéosurveillance, VLAN multicast).
3. Standard IEEE 802.1Q — Le trunk VLAN
Pour transporter des informations VLAN entre switches ou entre un switch et un routeur, la norme IEEE 802.1Q définit le mécanisme d'étiquetage (tagging) des trames Ethernet. Un tag de 4 octets, inséré dans la trame Ethernet, identifie le VLAN d'appartenance.
La structure du tag 802.1Q est la suivante :
n TPID (Tag Protocol Identifier) : 2 octets — valeur fixe 0x8100, identifiant la trame comme taguée 802.1Q
n PCP (Priority Code Point) : 3 bits — priorité de la trame (0 à 7), utilisée pour la QoS de couche 2 (IEEE 802.1p)
n DEI (Drop Eligible Indicator) : 1 bit — indique si la trame peut être supprimée en cas de congestion
n VID (VLAN Identifier) : 12 bits — numéro du VLAN de 0 à 4095 (0 et 4095 réservés, soit 4 094 VLANs utilisables)
Les liens entre switches transportant plusieurs VLANs sont appelés liens trunk. Sur un trunk, chaque trame est étiquetée (tagged) avec son VLAN d'appartenance.
⚠ Attention
Le VLAN natif (native VLAN, par défaut le VLAN 1) n'est pas étiqueté sur le trunk — c'est un point important de configuration et de sécurité.
Les VLANs étant des domaines de diffusion distincts, la communication entre deux VLANs différents nécessite un routage de couche 3.
Deux approches sont courantes :
n Router-on-a-Stick : un routeur connecté au switch via un seul lien trunk, avec des sous-interfaces (sub-interfaces) configurées pour chaque VLAN.
n Switch de couche 3 (L3 Switch) : le switch intègre un moteur de routage matériel (ASIC). Le routage inter-VLAN est réalisé localement sur le switch via des interfaces SVI (Switched Virtual Interface), sans nécessiter de routeur externe. Solution préconisée pour les performances.
⚡ VXLAN — VLANs pour le cloud et les datacenters
La norme IEEE 802.1Q limite le nombre de VLANs à 4 094, ce qui est insuffisant pour les clouds publics hébergeant des milliers de clients. VXLAN (Virtual Extensible LAN, RFC 7348) résout ce problème en encapsulant les trames Ethernet de niveau 2 dans des paquets UDP de niveau 3, avec un identifiant de segment sur 24 bits (VNI — VXLAN Network Identifier) supportant plus de 16 millions de réseaux virtuels distincts. VXLAN est le standard des datacenters et des clouds privés/publics.
E. PROTOCOLES DE COUCHE 2
Au-delà de CSMA/CD, plusieurs protocoles de couche 2 sont indispensables au fonctionnement des réseaux locaux modernes. Les principaux sont le Spanning Tree Protocol, l'agrégation de liens et la qualité de service de couche 2.
⚠ VLAN natif et sécurité
Sur un lien trunk 802.1Q, le VLAN natif est le VLAN dont les trames sont envoyées non taguées. Un mauvais usage du VLAN natif peut créer des failles de sécurité (attaques de type VLAN hopping, confusion de configuration entre équipements). En pratique, il est conseillé de ne pas utiliser le VLAN natif pour le trafic utilisateur, de le réserver à un VLAN dédié et de vérifier systématiquement la cohérence des VLAN configurés de part et d’autre d’un trunk..
1. Spanning Tree Protocol (STP — IEEE 802.1D)
Dans les réseaux d'entreprise, les liens redondants entre switches sont nécessaires pour assurer la disponibilité en cas de panne d'un lien. Cependant, les boucles physiques à la couche 2 créent des tempêtes de broadcast qui peuvent paralyser l'ensemble du réseau.
Le Spanning Tree Protocol (STP, IEEE 802.1D) résout ce problème en créant un arbre logique sans boucle à partir d'une topologie physique redondante. Il bloque logiquement les ports redondants et les réactive automatiquement lors de défaillance du lien principal.
Ses successeurs améliorent la vitesse de convergence :
n RSTP (Rapid STP, IEEE 802.1w) : convergence en quelques secondes (vs 30 à 50 secondes pour STP). Standard actuel.
n MSTP (Multiple STP, IEEE 802.1s) : permet d'avoir plusieurs instances de spanning tree pour différents groupes de VLANs, optimisant ainsi le trafic en utilisant différents liens physiques pour différents VLANs.
2. Agrégation de liens (LACP — IEEE 802.3ad)
L'agrégation de liens (Link Aggregation, aussi appelée EtherChannel chez Cisco, bonding sous Linux ou Port Channel) permet de regrouper plusieurs liens physiques en un seul lien logique. Cela offre une augmentation de la bande passante et une redondance automatique.
LACP (Link Aggregation Control Protocol, IEEE 802.3ad) est le protocole standard qui négocie automatiquement la formation du groupe d'agrégation entre les deux extrémités du lien. Par exemple, 4 liens de 10 Gbps agrégés forment un lien logique de 40 Gbps avec tolérance aux pannes d'un lien individuel.
3. Qualité de service de couche 2 (IEEE 802.1p)
IEEE 802.1p définit 8 niveaux de priorité de trafic (0 à 7) encodés dans le champ PCP du tag 802.1Q. Les switches utilisent ces priorités pour assurer que les flux sensibles (voix, vidéo) sont traités avant les données ordinaires.
Les priorités standard IEEE 802.1p sont les suivantes :
|
Priorité |
Nom |
Usage typique |
|
7 (max) |
Network Control |
Trafic de contrôle réseau (BPDU, OSPF) |
|
6 |
Internetwork Control |
Protocoles de routage |
|
5 |
Voice |
Voix sur IP (VoIP) — latence < 150 ms |
|
4 |
Video |
Vidéoconférence, streaming |
|
3 |
Excellent Effort |
Applications critiques d'entreprise |
|
2 |
Spare |
Réservé |
|
1 |
Background |
Transferts de fichiers, sauvegardes |
|
0 (défaut) |
Best Effort |
Trafic standard non priorisé |