COMMUTATEUR ET VLAN Préambule COUCHE 3 RESEAU COUCHE 2 LIAISON DE DONNEES NIVEAU TRAMES COUCHE LLC (Logical Layer Control) COUCHE MAC (Media COUCHE PHYSIQUE I La couche LLC sert la La couche MAC sert org Sni* to View L’adresse MAC fonctionne avec la norme Ethernet / au niveau des ponts et commutateurs (switch). RAPPEL COMMUTATEUR (SWITCH). Oken Ring, Fonctionne au niveau de la couche OSI n02 Llaison Données Niveau Trame. Possède une sous-couche MAC. A une fonction de répartition, de concentration, de commutation . La fonction de commutation va dédier la bande passante aux ports destinataires, ce qui ?vite de diviser la bande passante.
Rappelons que le concentrateur agissant en couche OSI 1, ne fait adresse destinataire donc E. – lecture de la table d’adresse MAC du commutateur détermine le numéro de port de la station E (port 5 ici) – création d’un circuit entre port 1 et port 5 – l’ensemble de la bande passante est alors dédiée à cette transaction. En Broadcast le message est envoyé à l’intégralité du réseau. Il n’ y a alors pas de commutation, la bande passante est partagée sur tous les ports Il y a également Broadcast sur tous les ports si Vadresse MAC n’est pas reconnu. _Jne adresse MAC en Broadcast est de type FF. FF. FF. FF.
FF. FF SWITCH OSI couche 2 VLAN Thierry LECHIEN Spécifications : le commutateur comporte un certain nombre de ports Il est Cascadable Empilable ou Stackable), ou Manageable. *AGF 9 rif q ports soit 23 ports, pour les stations puisqu’il faut réserver un port sur chacun des 2 switchs pour les relier entre eux par un câble croisé. L’Empilable pas de perte de ports en façade, car le branchement se fait « en fond de panier »,? l’arrière. – Partage des tables d’adresses MAC possible. Equipements issus du même constructeur (impératif) ; Connectique de fond de panier, technique spécifique dite propriétaire. Technologie plus coûteuse que la Cascade à cause du câblage en fond de panier plus chère, mais offre des débits plus importants. Le Manageable – permet de suivre les trames, de les contrôler, de les écouter grâce au protocole SNMP (Simple Network Management Protocol). – Beaucoup plus coûteux que le Stackable. – Assure une surveillance sur le comportement du matériel au niveau des performances. VLAN (Virtual LAN) Cette technique se justifie par rapport au domaine de collisions. La manipulation s’effectue au niveau des commutateurs. Un VLan est un domaine de collisions virtuel.
SWITCH OS couche 2 Structure de la trame ETHERNET VLAN 802. 1Q La trame VLan est une trame classique mais elle contient en plus 4 octets pour le Vl_an. p RE SFD DA 7 octet 6 octets VLan Type ID 2 octets Vlan Infos de contrôle 2 SA Longueur/Type 4 octets Physique : VLAN par Port Liaison Données : VLAN par Adresse MAC Réseau : VLAN par Adresse IP Réseau : VLAN par Protocole Précisions sur ces 3 niveaux de VLAN : VLAN par Port La méthode la plus simple mais aussi la moins souple, elle consiste à attribuer un port du SWITCH ? un VLAN donné, en configurant statiquement le SWITCH.
Un SWITCH administrable suffit. Si on souhaite changer un PC de Port on doit impérativement reconfigurer la base de données VLAN en fonction du nouveau port attribué à ce PC par rapport à son VLAN, et physiquement intervenir sur le Swith afin de connecter le PC sur le bon Port. Par ailleurs toutes les stations reliées sur un Port par l’intermédiaire d’un même concentrateur, appartiennent au même VLAN ! VLAN par Adresse MAC Attribution dynamique Cette méthode est plus souple, puisqu’une station donnée pourra e connecter sur n’importe quel port, elle se retrouvera toujours sur le VLAN qui lui convient.
Cette méthode fonctionne avec l’adresse MAC (mais aussi avec des fonctions d’authentification login/password, certificat etc si le materiel le permet). Dans un VLAN par adresse IEEE – MAC, on associe les adresses MAC des stations à chaque VLAN. L’intérêt de ce type de VLAN est surtout l’indépendance de la localisation. La station peut être déplacée, son adresse physi ue ne changeant pas, il est inutile de reconfigurer le VLAN. il est inutile de reconfigurer le VLAN.
Cette méthode nécessite néanmoins de renseigner une table de correspondances d’adresses MAC, et qui soit aussi partagée entre les différents commutateurs du réseau pour être efficace. Cela demande donc quelques temps d’administration au début afin de se simplifier la tâche par la suite. Le port «trunk» (ou agrégats de liens) intervient ici aussi. Ce Port appartient à la fois à deux VLANs différents. Sur ce port, il faut bien sûr que les deux VLANs soient «tagués». On peut faire transiter sur ce port « trunk » tous nos vlans ce qui ne monopolise qu’un port vers un Routeur ou n autre Commutateur.
Sur le câble relié à ce port, il circulera donc à la fois les trames du VLAN Info et celles du VLAN Compta, l’interface Ethernet située à l’autre bout du câble doit bien sûr être capable de trier les trames en fonction du tag vlan. VLAN par Adresse IP Également a elé VLAN de Sous-Réseau. LJn réseau virtuel est associé l’analyse des informations. Chacun des VLANs se trouvera avec un plan d’adressage IP qui lui est propre, mais le SWITCH n’est pas concerné car il n’agit pas (en principe) au niveau 3.
Mais le SWITCH disposera d’une dresse IP sur au moins l’un des VLANs, et la machine d’administration devra pouvoir accéder à ce VLAN. Au niveau du routeur (qui lui agit au niveau 3),il faudra que l’interface Ethernet physique puisse présenter autant d’interfaces virtuelles qu’il y a de VLANs sur le « Lien trunk», chacune avec une adresse IP dans le VLAN concerné. VLAN par protocole On associe un réseau virtuel par type de protocole du réseau. On peut ainsi constituer un réseau virtuel pour les stations communiquant avec le protocole TCP/IP, et un autre pour les stations communiquant avec le protocole IPX…
Les commutateurs apprennent la configuration. Mais avec cette solution les commutateurs doivent analyser des informations, on note donc une baisses légère des performances. Avantages des VLANs : Réduction de la diffusion du trafic Création de groupes de travail sans remise en cause de l’infrastructure physique Contrôle des échanges entre les différents VLANs Les messages de diffusion (broadcast) sont limités à l’intérieur de chaque VLAN. Les broadcasts d’un serveur peuvent être limités aux clients de ce serveur. Le membre d’un groupe peut se déplacer sans changer de réseau virtuel.
Les échanges inter VLAN se réalisent tout co se réalisent tout comme pour tous les échanges inter réseaux, à travers des routeurs. 4 DÉMONSTRATION Prenons un Réseau sans VLANS, mais segmenté en 2 sous- réseaux distincts On pourrait faire exactement la même chose en créant 2 VLANS. Là où on ne pouvait associer qu’un seul LAN à 1 seul Switch, nous allons maintenant pouvoir lui associer plusieurs LAN Virtuels. Le SWITCH a été virtuellement coupé en deux. Les deux VLANs sont complètement étanches au niveau Ethernet (Un SWITCH est en principe un outil qui ne va pas au delà du niveau 2)
Nous ne pourrons pas faire l’impasse sur le Routeur car c’est lui qui assure le niveau 3 donc l’adressage IP et permettre la communication entre des sous- réseaux différents, ici nos 2 VLANs. Avantaees : par Vlan si on continuait ainsi, sans oublier que notre Routeur ne totalise pas autant d’interfaces que notre Switch peut en compter ! Comment peut-on y remédier de façon fiable et pérenne ? La norme 802. 1 Q et le « tagage » de VLAN va nous offrir une autre possibilité à condition que notre Routeur soit bien compatible avec cette norme, et veuille bien nous permettre de faire du
Routage Inter-VLAN c’est-à-dire qu’il doit savoir lire les tags que le SWITCH a posé sur au moins l’un des deux VLANs. On va mettre en oeuvre le Port Trunk ou Agrégat de Liens. Un seul câble « trunk » relie le Switch au Routeur pour router les données entre les deux VLANs. Le schéma montre l’évidence, nous n’utilisons plus qu’un seul câble pour relier le Routeur au Commutateur, et nous n’avons plus de câbles parasites pour relier chaque VLAN au Routeur donc plus de perte de Ports. Inconvénient, ce lien va sup orter le trafic des deux VLANs, il faut veiller à ce qu’il ne soit pas *AGF g c,Fq
