Qu'est-ce qu'un VLAN ? Définition et utilités du réseau local virtuel

Un réseau local virtuel (VLAN) est un réseau logique superposé qui regroupe un sous-ensemble de dispositifs qui partagent un réseau local physique, en isolant le trafic de chaque groupe.

Un réseau local est un groupe d'ordinateurs ou d'autres appareils situés au même endroit (par exemple, dans le même bâtiment ou sur le même campus) et partageant le même réseau physique. Un réseau local est généralement associé à un domaine de diffusion Ethernet (couche 2), qui est l'ensemble des périphériques réseau qu'un paquet de diffusion Ethernet peut atteindre.

Les ordinateurs du réseau local se connectent au même commutateur réseau, soit directement, soit par l'intermédiaire de points d'accès sans fil (AP) connectés au même commutateur. Les ordinateurs peuvent également se connecter à l'un des commutateurs interconnectés, par exemple un ensemble de commutateurs d'accès qui se connectent tous à un commutateur dorsal. Une fois que le trafic traverse un routeur et s'engage dans des fonctions de la couche 3 (liées à l'IP), il n'est plus considéré comme étant sur le même réseau local, même si tout reste dans le même bâtiment ou au même étage. Par conséquent, un site peut avoir de nombreux réseaux locaux interconnectés.

Un VLAN, comme le LAN sur lequel il repose, fonctionne à la couche 2 du réseau, le niveau Ethernet. Les VLAN divisent un réseau commuté unique en un ensemble de réseaux virtuels superposés qui peuvent répondre à différentes exigences fonctionnelles et de sécurité. Ce partitionnement évite d'avoir plusieurs réseaux physiques distincts pour différents cas d'utilisation.

L'utilité du VLAN

Les ingénieurs réseau utilisent les VLAN pour de multiples raisons, notamment les suivantes :

• améliorer les performances
• renforcer la sécurité
• faciliter l'administration

Améliorer les performances

Les VLAN peuvent améliorer les performances des périphériques qu'ils contiennent en réduisant la quantité de trafic qu'un point d'extrémité donné voit et traite. Les VLAN divisent les domaines de diffusion, réduisant ainsi le nombre d'autres hôtes à partir desquels un périphérique donné voit des diffusions. Par exemple, si tous les téléphones IP de bureau se trouvent sur un VLAN et tous les postes de travail sur un autre, les téléphones ne verront aucun trafic de diffusion généré par les postes de travail, et vice versa. Chacun peut consacrer ses ressources réseau au seul trafic pertinent. Les ingénieurs peuvent également définir différentes règles de traitement du trafic par VLAN. Par exemple, ils peuvent définir des règles pour donner la priorité au trafic vidéo sur un VLAN qui relie l'équipement de la salle de conférence afin de garantir les performances des appareils de téléprésence.

Renforcer la sécurité

Le partitionnement des VLAN peut également améliorer la sécurité en permettant un meilleur contrôle des périphériques ayant accès les uns aux autres. Par exemple, les équipes réseau peuvent restreindre l'accès de la direction aux équipements réseau ou aux appareils IoT à des VLAN spécifiques.

Faciliter l'administration

L'utilisation de VLAN pour regrouper des terminaux permet également aux administrateurs de regrouper des appareils à des fins purement administratives et non techniques. Par exemple, ils peuvent placer tous les ordinateurs de la comptabilité sur un VLAN, tous les ordinateurs des ressources humaines sur un autre et ainsi de suite.

Types de VLAN

Les VLAN peuvent être basés sur les ports (parfois appelés statiques) ou sur l'utilisation (parfois appelés dynamiques).

VLAN statique ou basé sur les ports

Les ingénieurs réseau créent des VLAN basés sur les ports en affectant les ports d'un commutateur réseau à un VLAN. Ces ports ne communiquent que sur les VLAN attribués, et chaque port n'appartient qu'à un seul VLAN. Bien que les VLAN basés sur les ports soient parfois appelés VLAN statiques, il est important de se rappeler qu'ils ne sont pas vraiment statiques car les VLAN assignés au port peuvent être modifiés à la volée, manuellement ou par l'automatisation du réseau.

VLAN dynamique ou basé sur l'utilisation

Les ingénieurs réseau créent des VLAN basés sur l'utilisation en affectant le trafic à un VLAN de manière dynamique, en fonction du type de trafic ou de l'appareil qui crée le trafic. Un port peut être affecté à un VLAN en fonction de l'identité de l'appareil connecté, telle qu'indiquée par un certificat de sécurité, ou en fonction des protocoles réseau utilisés. Un port peut être associé à plusieurs VLAN dynamiques. Le changement de l'appareil connecté par un port, ou même la façon dont l'appareil existant est utilisé, peut modifier le VLAN attribué au port.

Cas d'utilisation des VLAN

Certains VLAN ont des objectifs simples et pratiques, comme la séparation de l'accès aux imprimantes. Les administrateurs peuvent les configurer de manière à ce que les ordinateurs d'un VLAN donné puissent voir les imprimantes qui se trouvent également sur ce VLAN, mais pas celles qui se trouvent à l'extérieur.

D'autres VLAN ont des objectifs plus complexes. Par exemple, les ordinateurs d'un service de banque de détail ne peuvent pas interagir directement avec les ordinateurs des services de négociation. La mise en place de VLAN distincts pour les départements est un moyen pour les ingénieurs réseau d'assurer une telle séparation.

Fonctionnement des VLAN

Un VLAN est identifié sur les commutateurs de réseau par un VLAN ID. Chaque port d'un commutateur peut se voir attribuer un ou plusieurs VLAN ID et atterrira dans un VLAN par défaut si aucun autre n'est attribué. Chaque VLAN fournit un accès à la liaison de données à tous les hôtes connectés aux ports du commutateur configurés avec son VLAN ID.

Un VLAN ID est traduit en une balise VLAN, un champ de 12 bits dans les données d'en-tête de chaque trame Ethernet envoyée à ce VLAN. Comme une balise a une longueur de 12 bits, il est possible de définir jusqu'à 4 096 VLAN par domaine de commutation. Le marquage des VLAN est défini par l'IEEE dans la norme 802.1Q.

Lorsqu'une trame Ethernet est reçue d'un hôte connecté, elle ne comporte pas de balise VLAN. Le commutateur ajoute la balise VLAN. Dans un VLAN statique, le commutateur insère la balise associée àau VLAN ID du port d'entrée. Dans un VLAN dynamique, il insère la balise associée à l'ID de ce périphérique ou au type de trafic qu'il génère.

Les commutateurs transfèrent les trames étiquetées vers leur adresse de contrôle d'accès au média de destination, en les transférant uniquement vers les ports auxquels le VLAN est associé. Le trafic de diffusion, de monodiffusion inconnue et de multidiffusion est transmis à tous les ports du VLAN. Les liaisons interurbaines entre les commutateurs savent quels VLAN couvrent les commutateurs, acceptant et transmettant tout le trafic pour n'importe quel VLAN utilisé des deux côtés de la liaison interurbaine. Lorsqu'une trame atteint le port du commutateur de destination, l'étiquette VLAN est supprimée avant que la trame ne soit transmise à l'appareil de destination.

Le protocole STP (Spanning Tree Protocol) est utilisé pour créer une topologie sans boucle entre les commutateurs de chaque domaine de couche 2. Une instance STP par VLAN peut être utilisée, ce qui permet de créer différentes topologies de couche 2. Un STP multi-instance peut également être utilisé pour réduire la surcharge du STP si la topologie est la même entre plusieurs VLAN.

Inconvénients des VLAN

Les VLAN permettent de contrôler le trafic de diffusion, de renforcer la sécurité, de faciliter l'administration et d'améliorer les performances. Mais ils présentent aussi quelques inconvénients.

Limite de 4 096 VLAN par domaine de commutation

L'un des inconvénients des VLAN dans un centre de données moderne ou une infrastructure en cloud est la limite de 4 096 VLAN par domaine de commutation. Un seul segment de réseau peut héberger des dizaines de milliers de systèmes et des centaines ou des milliers d'organisations locataires distinctes, dont chacune peut avoir besoin de dizaines ou de centaines de VLAN.

Pour remédier à cette limitation, d'autres protocoles ont été créés, notamment Virtual Extensible LAN, Network Virtualization using Generic Routing Encapsulation et Generic Network Virtualization Encapsulation. Ils prennent en charge des balises plus grandes, ce qui permet de définir un plus grand nombre de VLAN, et la possibilité d'insérer des trames de la couche 2 dans des paquets de la couche 3.

Gestion des structures spanning tree

Un autre inconvénient est que, lorsque les VLAN sont nombreux et de grande taille, le réseau peut avoir du mal à gérer les structures d'arbre de recouvrement nécessaires pour éviter les boucles de trafic. La solution la plus simple consiste à supprimer les liens redondants du réseau. Malheureusement, cela rend le réseau vulnérable à un point de défaillance unique à l'endroit où un lien redondant a été supprimé.

Identification des VLAN avec des prises murales et des points d'accès

Un autre défi posé par les VLAN est qu'il peut être difficile d'assurer une identification aisée des VLAN auxquels une prise murale ou un point d'accès donné a accès. Cela peut compliquer la tâche des utilisateurs finaux et du personnel d'assistance sur le terrain lorsqu'ils tentent de connecter quelque chose de nouveau au réseau.

Un autre inconvénient, qui n'est pas propre aux VLAN mais qui les affecte tout de même, est une mauvaise planification, qui rend le plan global du VLAN trop compliqué, fragile et difficile à maintenir au fur et à mesure que les besoins et l'équipement sous-jacent du réseau changent.