Packet Tracer : Mes premiers VLAN
Les VLAN (ou Virtual LAN, pour « Réseau Local Virtuel ») sont des réseaux logiques créés au sein d'une infrastructure de commutation (switching).
Leur objectif principal est de segmenter et d'isoler le trafic réseau de différents groupes d'utilisateurs, équipements ou services, et cela même s'ils se trouvent physiquement sur le même commutateur (ou sur un ensemble de commutateurs interconnectés).
1. Le concept
- Réseau local virtuel : c'est un réseau logique (virtuel) qui peut être constitué d'hôtes (ordinateurs, serveurs, imprimantes, etc.) situés dans des emplacements physiques variés, sans être forcément reliés sur le même segment physique.
- Les VLAN permettent de regrouper des ports de commutation en entités logiques, chacun fonctionnant comme un réseau local distinct. Cette segmentation facilite l'organisation, la sécurité et la gestion du trafic.
- Au lieu de créer plusieurs réseaux physiques (avec des commutateurs distincts pour chaque service ou chaque équipe), on exploite un même ensemble d'équipements réseau, en attribuant à chaque ensemble de ports un VLAN différent.
2. Avantages des VLAN
1. Sécurité accrue
- En isolant le trafic d'un groupe d'utilisateurs ou d'un service, on limite la propagation d'éventuelles menaces ou intrusions.
- Les VLAN rendent plus difficile l'interception de données par des tiers, car les VLAN ne peuvent pas communiquer entre eux sans passer par un routeur ou un pare-feu, offrant ainsi un meilleur contrôle du trafic inter-VLAN.
2. Meilleure organisation du réseau
- Les VLAN aident à organiser logiquement le réseau en fonction de la structure de l'entreprise (départements, projets, clients, etc.).
- Les changements d'emplacement physique (déménagement d'un utilisateur) sont facilités : il suffit souvent de configurer le port de commutateur sur le VLAN approprié, sans devoir repenser la topologie physique.
3. Réduction du broadcast
- Chaque VLAN agit comme un domaine de broadcast autonome.
Ainsi, un trafic de type broadcast (ex. ARP) émis sur un VLAN ne se propage pas vers les autres.
Cela allège la charge globale sur le réseau et peut améliorer les performances.
4. Gestion centralisée
- Les VLAN sont configurables et gérables depuis les commutateurs (généralement via leur interface de management, en ligne de commande ou en mode graphique).
- Les administrateurs peuvent créer, modifier ou supprimer un VLAN de façon assez simple, souvent de manière centralisée à travers un contrôleur ou en scriptant la configuration.
3. Fonctionnement et configuration
1. Attribution de ports
- Un port de commutateur peut être configuré comme port access (port d'accès) ou port trunk (port de jonction).
- Un port access est associé à un seul VLAN et relie généralement un seul terminal (ordinateur, téléphone IP, caméra, etc.).
- Un port trunk peut transporter simultanément plusieurs VLAN, ce qui permet d'interconnecter plusieurs commutateurs ou de relier un commutateur à un routeur qui prend en charge les VLAN (souvent appelé router on a stick).
2. Trunking (802.1Q)
- Le protocole IEEE 802.1Q est le standard principal utilisé pour identifier et transporter plusieurs VLAN sur un même lien physique.
- Lorsqu'un commutateur envoie une trame VLAN via un port trunk, il ajoute un tag (ou étiquette) 802.1Q dans la trame Ethernet. Ce tag contient l'ID du VLAN (entre 1 et 4094). Le commutateur récepteur utilise ensuite cette information pour aiguiller la trame vers le VLAN correspondant.
3. Gestion de VLAN
- La configuration des VLAN s'effectue généralement via l'interface CLI (ligne de commande) ou l'interface web du commutateur.
- Il est possible de définir l'ID et le nom du VLAN (ex. VLAN 10 : comptabilite, VLAN 20 : marketing, etc.).
- On associe ensuite les ports souhaités à ces VLAN de manière statique ou dynamique (802.1X, MAC-based VLAN, etc.).
4. Cas d'usage concrets
1. Isolation de services
- Par exemple, dans une entreprise, on peut créer un VLAN pour le service comptabilité, un autre pour la direction, un autre pour le support informatique, etc. Ainsi, le trafic propre à chaque service reste confiné.
2. Réseaux invités (Guest)
- Dans les lieux publics ou les bureaux qui accueillent des visiteurs, on utilise souvent un VLAN « guest » pour offrir une connexion internet limitée, distincte du réseau interne de l'organisation, afin de protéger les ressources sensibles.
3. Gestion des priorités et de la qualité de service (QoS)
- Certaines configurations de VLAN permettent aussi de prioriser le trafic (voix sur IP, vidéoconférence). Les trames peuvent transporter des informations de type QoS pour optimiser la qualité et la latence.
4. Scalabilité
- Les VLAN facilitent l'extension du réseau lorsqu'une organisation grandit. Il est souvent plus simple d'ajouter de nouveaux VLAN et de les router vers les existants que de réagencer toute la topologie physique.
5. Limitations et bonnes pratiques
1. Complexité de gestion
- Bien que les VLAN soient plus simples à gérer que des réseaux purement physiques multiples, un grand nombre de VLAN peut complexifier l'administration (surveillance, configuration, etc.).
2. Séparation logique, pas toujours physique
- Les VLAN reposent toujours sur une infrastructure physique partagée. Une faille de sécurité dans la configuration ou un accès non autorisé à l'interface de gestion peut remettre en cause l'isolation logique.
3. Planification IP et documentation
- Chaque VLAN doit avoir un plan d'adressage IP cohérent (si on souhaite router le trafic). Il est essentiel de tenir à jour la documentation pour éviter les conflits IP et faciliter la résolution de problèmes.
4. Utilisation de la segmentation inter-VLAN
- Les VLAN ne peuvent généralement pas communiquer entre eux sans un routage spécifique (via un routeur ou un pare-feu, ce que l'on nomme le "routage inter-vlan", que nous verrons plus tard).
Pour autoriser ou restreindre ces communications, on configure des règles de pare-feu inter-VLAN. - Cela peut être un avantage (contrôle granulaire des flux), mais nécessite des équipements adaptés et une configuration rigoureuse.
Objectif pratique
PC0 et PC2 étant dans le VLAN 10, doivent pouvoir se pinguer.
PC1 et PC3 étant dans le VLAN 20, doivent pouvoir se pinguer.
Aucune des machines du VLAN 10 ne doit pouvoir pinguer une machine du VLAN 20
Pour ce montage, on choisit un switch vide (PT-Empty) afin de pouvoir y ajouter 4 interfaces Gigabit.
On entre dans le terminal du commutateur, et c'est parti !
Étape 1 : Protection et renommage du commutateur
Switch> enable
Switch# configure terminal
Switch(config)# hostname COM_1
COM_1(config)# enable secret MOT-DE-PASSE
COM_1(config)# service password-encryption
COM_1(config)# exit
COM_1# write memoryÉtape 2 : Activation des interfaces
COM_1# configure terminal
COM_1(config)# interface GigabitEthernet 6/1
COM_1(config-if)# no shutdown
COM_1(config)# interface GigabitEthernet 7/1
COM_1(config-if)# no shutdown
COM_1(config)# interface GigabitEthernet 8/1
COM_1(config-if)# no shutdown
COM_1(config)# interface GigabitEthernet 9/1
COM_1(config-if)# no shutdown
COM_1(config-if)# exitÉtape 3 : Déclaration des VLAN
COM_1(config)# vlan 10
COM_1(config-vlan)# vlan 20
COM_1(config-vlan)# exitÉtape 4 : Attribution des interfaces aux VLAN en mode access
COM_1(config)# interface GigabitEthernet 6/1
COM_1(config-if)# switchport mode access
COM_1(config-if)# switchport access vlan 10
COM_1(config-if)# interface GigabitEthernet 8/1
COM_1(config-if)# switchport mode access
COM_1(config-if)# switchport access vlan 10
COM_1(config-if)# interface GigabitEthernet 7/1
COM_1(config-if)# switchport mode access
COM_1(config-if)# switchport access vlan 20
COM_1(config-if)# interface GigabitEthernet 9/1
COM_1(config-if)# switchport mode access
COM_1(config-if)# switchport access vlan 20
COM_1(config-if)# exit
COM_1(config)# exitÉtape 5 : Vérification et sauvegarde
COM_1# show vlan brief
COM_1# write memory