Escolar Documentos
Profissional Documentos
Cultura Documentos
IV.1.Introduction
Les performances réseau peuvent jouer un rôle dans la productivité d’une organisation et sa
réputation à tenir ses promesses. L’une des technologies qui permet de parvenir à
d’excellentes performances réseau consiste à diviser de vastes domaines de diffusion en
domaines plus petits à l’aide de réseaux locaux virtuels. Avec des domaines de diffusion plus
petits, le nombre de périphériques participant aux diffusions est limité et les périphériques
peuvent être divisés en groupes fonctionnels, regroupant par exemple les services de bases de
données pour un service de comptabilité et les transferts de données à haute vitesse pour un
service technique. Dans ce chapitre, vous allez apprendre à configurer, à gérer et à dépanner
les réseaux locaux virtuels et les agrégations.
Pour comprendre pourquoi les réseaux locaux virtuels sont couramment utilisés aujourd’hui,
imaginez un petit IUT (institut universitaire de technologie) comportant un seul bâtiment qui
contient les dortoirs des étudiants et l’administration de la faculté. La figure indique que les
ordinateurs des étudiants se trouvent dans un réseau local (LAN) donné et les ordinateurs de
la faculté dans un autre. Cela fonctionne très bien, car chaque groupe se trouve physiquement
au même endroit, si bien qu’il est facile de lui fournir ses ressources réseau.
Un an plus tard, l’IUT s’est agrandi et comporte désormais trois bâtiments. Dans la figure, le
réseau d’origine est le même, mais les ordinateurs des étudiants et de la faculté sont dispersés
dans les trois bâtiments. Les dortoirs des étudiants sont toujours au cinquième étage et
l’administration de la faculté au troisième étage. Toutefois, le service informatique souhaite
maintenant s’assurer que les ordinateurs des étudiants partagent tous les mêmes
caractéristiques de sécurité et les mêmes contrôles de bande passante. Comment le réseau
peut-il répondre aux besoins communs des groupes géographiquement séparés ? Devez-vous
créer un grand réseau local et relier physiquement chaque groupe ? Est-il alors facile de
modifier ce réseau ? Il serait très pratique de pouvoir regrouper les personnes avec les
ressources qu’elles utilisent quel que soit leur emplacement géographique, ce qui faciliterait la
gestion de leurs besoins spécifiques en termes de sécurité et de bande passante.
Un VLAN de données est un réseau local virtuel qui est configuré pour ne transporter que le
trafic généré par l’utilisateur. Un VLAN peut transporter le trafic vocal ou le trafic utilisé
pour gérer le commutateur, mais ces deux formes de trafic ne peuvent pas faire partie d’un
même VLAN de données.
L’importance qu’il y a à séparer les données utilisateur des données de contrôle de gestion des
commutateurs et du trafic vocal est soulignée par l’utilisation d’un terme spécial pour
identifier les VLAN qui ne peuvent transporter que des données utilisateur : un « VLAN de
données ». Un VLAN de données est parfois appelé un VLAN utilisateur.
IV.4.3.VLAN natif
Un VLAN natif est affecté à un port d’agrégation 802.1Q. Un port d’agrégation 802.1Q
prend en charge le trafic provenant de nombreux VLAN (trafic étiqueté ou « tagged traffic »),
ainsi que le trafic qui ne provient pas d’un VLAN (trafic non étiqueté ou « untagged traffic »).
Le port d’agrégation 802.1Q place le trafic non étiqueté sur le VLAN natif. Dans la figure, le
VLAN natif est le VLAN 99. Le trafic non étiqueté est généré par un ordinateur connecté à un
port du commutateur sur lequel est configuré le VLAN natif. Les VLAN natifs sont définis
dans la spécification IEEE 802.1Q pour assurer la compatibilité descendante avec le trafic non
étiqueté qui est commun aux scénarios LAN existants.
IV.4.4.VLAN de gestion
Un VLAN de gestion est un réseau local virtuel que vous configurez pour accéder aux
fonctionnalités de gestion d’un commutateur. C’est le VLAN 1 qui fait office de VLAN de
gestion si vous ne définissez pas explicitement un VLAN distinct pour remplir cette fonction.
Vous attribuez au VLAN de gestion une adresse IP et un masque de sous-réseau. Un
commutateur peut être géré par le biais de HTTP, de Telnet, de SSH ou de SNMP. Étant
donné que le VLAN 1 est déjà le VLAN par défaut dans la configuration initiale d’un
commutateur Cisco, il est évident qu’il ne peut pas servir en plus de VLAN de gestion.
Figure_9: VLAN de gestion
IV.4.4.VLAN voix
Il est facile de comprendre pourquoi un VLAN distinct est requis pour prendre en charge la
voix sur IP (VoIP). Imaginez que vous recevez un appel d’urgence et que soudain, la qualité
de la transmission se dégrade tellement que vous ne comprenez plus ce que dit votre
interlocuteur. Le trafic de voix sur IP requiert les éléments suivants :
• bande passante consolidée pour garantir la qualité de la voix ;
• priorité de transmission par rapport aux autres types de trafic réseau ;
• possibilité de routage autour des zones encombrées du réseau ;
• délai inférieur à 150 millisecondes (ms) sur le réseau.
Dans la figure, le VLAN 150 est conçu pour acheminer le trafic vocal.
L’ordinateur étudiant PC5 est connecté au téléphone IP Cisco et ce dernier est connecté au
commutateur Comm3.
L’ordinateur PC5 se trouve dans le VLAN 20 qui est utilisé pour les données des
étudiants.
Le port F0/18 du commutateur Comm3 est configuré en mode voix afin d’indiquer au
téléphone d’affecter une étiquette VLAN 150 aux trames de voix.
Les trames de données qui arrivent au téléphone IP Cisco à partir de l’ordinateur PC5 ne
sont pas étiquetées.
Les données destinées à PC5 qui proviennent du port F0/18 sont étiquetées VLAN 20
avant d’arriver au téléphone.
Celui-ci supprime ensuite l’étiquette VLAN avant que les données ne soient transmises à
PC5.
L’étiquetage correspond à l’ajout d’octets dans un champ de la trame de données qui est
utilisé par le commutateur pour identifier le VLAN auquel la trame de données doit être
envoyée.
Nous verrons plus tard comment les trames de données sont étiquetées.
Lorsque vous configurez un VLAN, vous devez lui affecter un numéro d’identification et
vous pouvez éventuellement lui donner un nom. L’objectif des implémentations de réseaux
locaux virtuels est d’associer judicieusement des ports à des VLAN donnés. Vous configurez
le port de manière à transférer une trame vers un VLAN spécifique. Comme mentionné
précédemment, vous pouvez configurer un VLAN en mode voix pour prendre en charge le
trafic de données et de voix provenant d’un téléphone IP Cisco. Vous pouvez configurer un
port pour qu’il appartienne à un VLAN en lui affectant un mode d’appartenance qui spécifie
le type de trafic transporté par le port et les VLAN auxquels il peut appartenir. Un port peut
être configuré pour prendre en charge les types de VLAN suivants :
VI.6.1.VLAN statique :
Les ports d’un commutateur sont affectés manuellement à un VLAN. Les VLAN statiques
sont configurés à l’aide de l’interface de ligne de commande (ILC ou « CLI ») Cisco. La
configuration peut également être effectuée avec des applications de gestion d’interface
graphique utilisateur, telles que Cisco Network Assistant. Toutefois, l’ILC offre une
fonctionnalité pratique : si vous affectez une interface à un VLAN qui n’existe pas, le
nouveau VLAN est créé automatiquement.
• La commande de configuration mls qos trust cos garantit que le trafic vocal est identifié
en tant que trafic prioritaire. N’oubliez pas que le réseau tout entier doit être configuré
de manière à donner la priorité au trafic vocal.
• La commande switchport voice VLAN 150 identifie le VLAN 150 en tant que VLAN
voix.
• La commande switchport access VLAN 20 configure le VLAN 20 en tant que VLAN
(de données) en mode accès. Vous pouvez vérifier que c’est bien le cas dans la capture
d’écran du bas : Access Mode VLAN: 20 (VLAN0020).
VI.7.Contrôle des domaines de diffusion à l’aide des vlan
VI.7.1.Réseau sans VLAN
Dans des circonstances normales, lorsqu’un commutateur reçoit une trame de diffusion sur
l’un de ses ports, il la transfère par tous les autres ports du commutateur. Dans la figure, le
réseau entier est configuré dans le même sous-réseau, à savoir 172.17.40.0/24. Par
conséquent, lorsque l’ordinateur de l’administration de la faculté PC1 envoie une trame de
diffusion, le commutateur Comm2 la distribue sur tous ses ports. Le réseau entier finit par la
recevoir, car il constitue un domaine de diffusion.
VI.8.1.Communication intra-VLAN
Dans la figure, PC1 souhaite communiquer avec un autre périphérique, PC4. PC1 et PC4 se
trouvent tous les deux sur le VLAN 10. Le fait de communiquer avec un périphérique qui se
trouve sur le même VLAN s’appelle la communication intra-VLAN. Le déroulement de ce
processus est expliqué ci-après :
• Étape 1. L’ordinateur PC1 sur le VLAN 10 envoie sa trame de requête ARP (diffusion) au
commutateur Comm2. Les commutateurs Comm2 et Comm1 envoient la trame de requête
ARP par le biais de tous les ports du VLAN 10. Le commutateur Comm3 envoie la
requête ARP par le biais du port F0/11 à l’ordinateur PC4 sur le VLAN 10.
• Étape 2. Les commutateurs du réseau transfèrent la trame de réponse ARP
(monodiffusion) par le biais de tous les ports configurés pour le VLAN 10. PC1 reçoit la
réponse qui contient l’adresse MAC de PC4.
Étape 3. PC1 dispose désormais de l’adresse MAC de destination de PC4 et l’utilise pour
créer une trame de monodiffusion dont la destination est l’adresse MAC de PC4. Les
commutateurs Comm2, Comm1 et Comm3 remettent la trame à PC4
VI.8.2.Communication inter-VLAN
Dans la figure, l’ordinateur PC1 sur le VLAN 10 veut communiquer avec l’ordinateur PC5
sur le VLAN 20. Le fait de communiquer avec un périphérique qui se trouve sur un autre
VLAN s’appelle la communication inter-VLAN.
Remarque : il y a deux connections entre le commutateur Comm1 et le routeur : l’une pour
acheminer les transmissions sur le VLAN 10 et l’autre pour acheminer les transmissions sur le
VLAN 20 jusqu’à l’interface du routeur.
Le déroulement de ce processus est expliqué ci-après :
Étape 1. L’ordinateur PC1 sur le VLAN 10 veut communiquer avec l’ordinateur PC5 sur le
VLAN 20. PC1 envoie une trame de requête ARP pour déterminer l’adresse MAC de la
passerelle par défaut R1.
Étape 2. Le routeur R1 répond en envoyant une trame de réponse ARP à partir de l’interface
configurée pour le VLAN 10.
Tous les commutateurs transfèrent la trame de réponse ARP et PC1 la reçoit. La réponse ARP
contient l’adresse MAC de la passerelle par défaut.
Étape 3. PC1 crée ensuite une trame Ethernet avec l’adresse MAC de la passerelle par défaut.
La trame est envoyée du commutateur Comm2 au commutateur Comm1.
Étape 4. Le routeur R1 envoie une trame de requête ARP sur le VLAN 20 pour déterminer
l’adresse MAC de PC5. Les commutateurs Comm1, Comm2 et Comm3 diffusent la trame de
VI.9.1.Interface SVI
Une interface SVI est une interface logique configurée pour un VLAN spécifique. Vous devez
configurer une interface SVI pour un VLAN si vous voulez assurer le routage entre des
VLAN ou fournir une connectivité d’hôte IP au commutateur. Par défaut, une interface SVI
est créée pour le VLAN par défaut (VLAN 1) pour permettre l’administration à distance du
commutateur (voir exemples de transfert de couche 3)
VI.9.2.Transfert de couche 3
Un commutateur de couche 3 a la capacité de router des transmissions entre des VLAN. La
procédure est la même que pour la communication inter-VLAN utilisant un routeur distinct, à
la différence que les interfaces SVI jouent le rôle des interfaces du routeur pour router les
données entre des VLAN.
Étape 1. L’ordinateur PC1 envoie une diffusion de requête ARP sur le VLAN 10. Le
commutateur Comm2 transfère la requête ARP par le biais de tous les ports configurés pour le
VLAN 10.
Figure_27 : étape 4
Figure_28 : étape 5
Étape 6. L’ordinateur PC5 sur le VLAN 20 envoie une réponse ARP. Le commutateur
Comm3 envoie cette réponse ARP au commutateur Comm1. Le commutateur Comm1
transfère la réponse ARP à l’interface SVI du VLAN 20.
Figure_29 : étape 6
Étape 7. L’interface SVI du VLAN 20 transfère les données, envoyées à partir de PC1, dans
une trame de monodiffusion jusqu’à PC5 en utilisant l’adresse de destination qu’elle a trouvée
dans la réponse ARP à l’étape 6.
Conclusion
Un VLAN est un réseau local regroupant un ensemble de machines de façon logique et non
physique.En effet dans un réseau local la communication entre les différentes machines est
régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de
s'affranchir des limitations de l'architecture physique (contraintes géographiques, contraintes
d'adressage) en définissant une segmentation logique (logicielle) basée sur un regroupement
de machines grâce à des critères (adresses MAC, numéros de port, protocole, etc.).