Pour aller plus loin, les VLANs
Au-delà de la commutation (le fait d'aiguiller une trame vers un port) les switchs ont acquis de nouvelles capacités au cours du temps pour améliorer le fonctionnement des réseaux. Une de ces fonctionnalités est très répandue et intéressante, il s'agit des VLANs.
Qu'est-ce qu'un VLAN ?
Un VLAN est un LAN virtuel (ou virtual LAN en anglais).
Sachant qu'un LAN est un réseau local (ou Local Area Network en anglais) un VLAN sera donc unréseau local virtuel.
Sachant qu'un LAN est un réseau local (ou Local Area Network en anglais) un VLAN sera donc unréseau local virtuel.
Cela ne nous aide malheureusement pas beaucoup à mieux comprendre de quoi il s'agit... mais la réalité est beaucoup plus simple.
Cela correspond à séparer certains ports d'un switch. Ils ne pourront donc plus communiquer ensemble. Plus du tout. Du tout du tout.
Prenons l'exemple suivant :
Prenons l'exemple suivant :
Nous avons un switch de 10 ports sur lequel sont branchées six machines.
Nous souhaitons que ces groupes de machines ne puissent pas parler entre eux. Les trois premières parlent ensemble, les trois autres aussi, mais pas d'un groupe à l'autre. Les VLANs peuvent nous aider à faire cela !
Nous souhaitons que ces groupes de machines ne puissent pas parler entre eux. Les trois premières parlent ensemble, les trois autres aussi, mais pas d'un groupe à l'autre. Les VLANs peuvent nous aider à faire cela !
L'idée du VLAN est de couper notre switch en plusieurs morceaux. Comme si l'on avait en fait plusieurs switchs.
Dans notre cas, nous allons créer deux VLANs. Un VLAN pour les trois machines de gauche, et un autre pour les trois machines de droites.
Ainsi, nous aurons fait en sorte qu'elles ne puissent plus parler entre elles d'un groupe à l'autre.
Ainsi, nous aurons fait en sorte qu'elles ne puissent plus parler entre elles d'un groupe à l'autre.
Voici ce que cela donne :
Nous voyons ici en vert et en rouge les deux VLANs.
Ainsi, les machines connectées aux ports appartenant au VLAN vert ne peuvent communiquer qu'avec le VLAN vert. Et de même pour les machines connectées aux ports appartenant au VLAN rouge. Par contre, il est impossible pour une machine connectée au VLAN vert de communiquer avec une machine connectée au VLAN rouge. C'est comme si on avait séparé le switch en deux petits switchs, avec chacun leur propre table CAM, comme sur le schéma suivant :
Ainsi, les machines connectées aux ports appartenant au VLAN vert ne peuvent communiquer qu'avec le VLAN vert. Et de même pour les machines connectées aux ports appartenant au VLAN rouge. Par contre, il est impossible pour une machine connectée au VLAN vert de communiquer avec une machine connectée au VLAN rouge. C'est comme si on avait séparé le switch en deux petits switchs, avec chacun leur propre table CAM, comme sur le schéma suivant :
Quel est l'intérêt des VLANs ?
Dans l'exemple que nous avons choisi, l'intérêt n'est pas flagrant.
Mais imaginons que nous avons à gérer une école. Avec une administration, 100 enseignants et 1000 élèves.
Nous avons alors plusieurs switchs répartis dans l'école. Des gros switchs de 256 ports ! (on appelle cela souvent des châssis.)
Il est intéressant sur ces switchs de pouvoir les segmenter pour séparer les trois populations. Pour que les élèves n'aient pas accès au réseau administratif ou à celui des enseignants, et que les enseignants n'aient pas accès au réseau administratif (pour changer leur fiche de paye par exemple
). Plutôt que d'acheter 25 petits switchs de 48 ports, on en achète 5 gros de 256 ports.
Mais imaginons que nous avons à gérer une école. Avec une administration, 100 enseignants et 1000 élèves.
Nous avons alors plusieurs switchs répartis dans l'école. Des gros switchs de 256 ports ! (on appelle cela souvent des châssis.)
Il est intéressant sur ces switchs de pouvoir les segmenter pour séparer les trois populations. Pour que les élèves n'aient pas accès au réseau administratif ou à celui des enseignants, et que les enseignants n'aient pas accès au réseau administratif (pour changer leur fiche de paye par exemple
). Plutôt que d'acheter 25 petits switchs de 48 ports, on en achète 5 gros de 256 ports.
En plus de la sécurité offerte par la séparation des réseaux, cela apporte de la facilité de configuration. Si je veux qu'un port passe d'un VLAN à un autre, il me suffit de le configurer sur le switch.
Je peux faire tout cela sans bouger de mon bureau d'administrateur réseau à travers une interface web d'administration du switch :
Je peux faire tout cela sans bouger de mon bureau d'administrateur réseau à travers une interface web d'administration du switch :
On voit ici que chaque port peut être positionné dans un VLAN donné.
Ici le port 1 est dans le VLAN 1 alors que le port 5 est dans le VLAN 2. Les machines connectées sur ces ports ne pourront pas communiquer ensemble./
Ici le port 1 est dans le VLAN 1 alors que le port 5 est dans le VLAN 2. Les machines connectées sur ces ports ne pourront pas communiquer ensemble./
Mais c'est vraiment impossible de passer d'un VLAN à un autre ?
Non. Ce n'est pas impossible, mais presque. Déjà, rien n'est impossible en réseau. Si c'est impossible, c'est juste que personne ne l'a encore fait 
D'ailleurs dans le cas des VLANs, cela a déjà été fait. Cela s'appelle du VLAN hopping.
Mais malheureusement pour nous, les failles de conception qui le permettaient ont été corrigées aujourd'hui et le VLAN hopping n'est plus d'actualité (jusqu'à ce que quelqu'un trouve une nouvelle faille...).
Mais malheureusement pour nous, les failles de conception qui le permettaient ont été corrigées aujourd'hui et le VLAN hopping n'est plus d'actualité (jusqu'à ce que quelqu'un trouve une nouvelle faille...).
- Le matériel utilisé pour connecter les machines entre elles en couche 2 est le switch qui sait aiguiller les trames grâce à l'adresse MAC contenue dans l'en-tête Ethernet de la trame
- On peut découper le switch en plusieurs VLANs
Vous savez maintenant :
- Connecter des machines ensemble
- Créer un réseau local
- Faire communiquer les machines ensemble sur un réseau local
- Comprendre comment elles communiquent et comment sont aiguillées les informations
Mais il serait sympa maintenant de faire communiquer notre réseau avec celui du voisin ! Eh bien en route, c'est ce que nous allons maintenant voir avec la couche 3 !
0 commentaires:
Enregistrer un commentaire