Principe : fonctionnement du VLAN

Chaque VLAN constitue un domaine de diffusion

Les réseaux locaux virtuels (VLAN) permettent de créer des domaines de diffusion gérés par des commutateurs. Une trame ne peut pas être associé qu’à un seul VLAN et cette trame ne peut pas être diffusée que sur les ports du commutateur associés à ce VLAN. Il existe différentes façons d’associer des trames et des ports à un VLAN :

  • VLAN niveau 1 = VLAN par port
  • VLAN niveau 2 = VLAN par @MAC
  • VLAN niveau 3 = VLAN par @IP

Chaque VLAN peut être géré par un ou plusieurs commutateurs, un commutateur peut également gérer plusieurs VLAN. On considère aussi que plusieurs VLAN peut être associée au même port d’un commutateur.

Le commutateur identifient le VLAN grâce au protocol 802.1q ; ils échangent ces trames via des ports d’interconnexion.

  • Domaine de diffusion (broadcast domain) : C’est une aire logique d’un réseau informatique où n’importe quel ordinateur connecté au réseau peut directement transmettre à tous les autres.
  • Domaine de collision : C’est une zone logique d’un réseau informatique où les trames de données peuvent entrer en collision entre elles.

Le protocole VTP (VLAN Trunking Protocol)

L'usage du VTP (idem à GVRP) a pour but de simplifier la gestion des VLAN dans des réseaux importants.

Avec les routeurs Cisco, il y a uniquement besoin d'administrer un seul commutateur pour que celui-ci communique aux autres la dernière configuration à prendre en compte. Il exite ansi :

  1. Server qui va permettre de créer, modifier ou supprimer des VLAN et de transmettre via les liens 802.1q.
  2. Client, il va recevoir les informations du serveur VTP, les prendre en compte et les retransmettre aux commutateurs qui lui sont interconnectés.
  3. Transparent : le commutateur va recevoir les informations du serveur VTP du même domaine et les retransmet sans les prendre en compte. Il est cependant possible de créer, modifier ou supprimer des VLAN en local sur ce commutateur sans que ceux-ci soient répercutés sur les autres équipements du même domaine.

Que se passe-t-il si on ping une machine distante dans un autre VLAN non routé ?

Lors d’une commande Ping :

  • Si la machine distante est disponible ; il y aura des réponses « reply » car la requête de diffusion ARP parvient au poste et l’échange ICMP echo/reply peut donc se faire.
  • Si la machine distante est indisponible ; il y aura des réponses « délai d’attente dépassé « car la requête de diffusion ARP ne parvient pas au poste distant qui ne fait pas partie du même VLAN que le poste de l’administrateur.

Quelques question techniques posé

  1. Comment garantir que les trafic réseau sont séparé des autres ?

La séparation logique des réseaux de chacun grâce au technologie des VLAN. Chaque VLAN peut voir ses machines placées dans un VLAN qui lui est strictement propre avec avec son propre plan d'adressage IP.