Qu'est-ce qu'un VLAN ?
VLAN est un réseau local virtuel, et non un "VPN" (réseau privé virtuel). Le VLAN est une technologie d'échange de données émergente qui divise logiquement (et non physiquement) les périphériques LAN en segments pour créer des groupes de travail virtuels. Cette technologie émergente est principalement utilisée dans les commutateurs et les routeurs, mais l'application principale est toujours dans les commutateurs. Cependant, tous les commutateurs n'ont pas cette fonction, seuls les commutateurs avec protocole VLAN au-dessus de la couche 3 ont cette fonction, qui peut être connue en consultant le manuel du commutateur correspondant.
L'IEEE a publié le projet de norme de protocole 802.1Q en 1999 pour normaliser le schéma de mise en œuvre du VLAN. L'émergence de la technologie VLAN permet aux administrateurs de répartir logiquement différents utilisateurs au sein du même réseau local physique en différents domaines de diffusion en fonction des exigences réelles de l'application. Chaque VLAN contient un groupe de postes de travail informatiques avec les mêmes exigences et possède les mêmes attributs que le LAN physiquement formé. Puisqu'il est divisé logiquement, pas physiquement. Ainsi, les postes de travail individuels au sein du même VLAN ne sont pas limités à la même plage physique, c'est-à-dire que ces postes de travail peuvent se trouver dans différents segments LAN physiques. D'après les caractéristiques des VLAN, il est clair que le trafic de diffusion et de monodiffusion au sein d'un VLAN n'est pas transmis à d'autres VLAN, ce qui permet de contrôler le trafic, de réduire les investissements en équipement, de simplifier la gestion du réseau et d'améliorer la sécurité du réseau.
Le développement de la technologie de commutation a également accéléré l'adoption de nouvelles technologies de commutation (VLAN). En divisant le réseau d'entreprise en segments VLAN de réseau virtuel, la gestion et la sécurité du réseau peuvent être améliorées et la diffusion de données inutile peut être contrôlée.
Dans un réseau partagé, un segment de réseau physique est un domaine de diffusion. Dans un réseau commuté, un domaine de diffusion peut être un segment virtuel avec un ensemble arbitraire d'adresses réseau de couche 2 sélectionnées (adresses MAC). Ainsi, la répartition des groupes de travail dans un réseau peut s'affranchir des contraintes géographiques d'un réseau mutualisé et reposer entièrement sur des fonctions de gestion. Ce modèle de regroupement basé sur le workflow améliore considérablement la fonction de gestion de la planification et de la réorganisation du réseau.
Les postes de travail dans le même VLAN, quel que soit le commutateur auquel ils sont réellement connectés, communiquent entre eux comme s'ils se trouvaient sur des commutateurs distincts. Les diffusions dans le même VLAN ne peuvent être entendues que par les membres du VLAN et ne sont pas transmises à d'autres VLAN, ce qui peut bien contrôler la génération de tempêtes de diffusion inutiles. Dans le même temps, sans routage, différents VLAN ne peuvent pas communiquer entre eux, ce qui augmente la sécurité entre les différents services du réseau de l'entreprise.
Les administrateurs réseau peuvent configurer les routes entre les VLAN pour gérer entièrement l'accès aux informations entre les différentes unités de gestion au sein de l'entreprise. Le commutateur est divisé en VLAN en fonction de l'adresse MAC du poste de travail de l'utilisateur. Par conséquent, un utilisateur est libre de déplacer son offglace au réseau de l'entreprise et, quel que soit l'endroit où il accède au réseau de commutation, il peut communiquer librement avec d'autres utilisateurs du VLAN.
Les réseaux VLAN peuvent être composés de périphériques avec des types de réseaux mixtes, tels que Ethernet 10M, Ethernet 100M, réseau à jetons, FDDI, CDDI, etc., et peuvent être des postes de travail, des serveurs, des concentrateurs, des backbones de liaison montante de réseau, etc.
Outre les avantages de diviser le réseau en plusieurs domaines de diffusion, contrôlant ainsi efficacement l'apparition de tempêtes de diffusion et rendant la topologie du réseau très flexible, les VLAN peuvent également être utilisés pour contrôler l'accès entre différents services et sites du réseau.
VLAN est un protocole proposé pour résoudre le problème de diffusion et de sécurité d'Ethernet. Il ajoute un en-tête VLAN aux trames Ethernet, divise les utilisateurs en groupes de travail plus petits avec des ID VLAN et empêche les utilisateurs de se rendre visite entre différents groupes de travail, et chaque groupe de travail est un réseau local virtuel. L'avantage du réseau local virtuel est qu'il peut limiter la portée de diffusion et peut former des groupes de travail virtuels pour gérer le réseau de manière dynamique.
Méthodes de division VLAN
Les méthodes de mise en œuvre du VLAN sur le commutateur peuvent être divisées en six catégories :
1. Divisez VLAN basé sur les ports
Il s'agit de la méthode de division VLAN la plus couramment utilisée, et c'est la plus largement utilisée et la plus efficace, et la plupart des commutateurs de protocole VLAN fournissent cette méthode de configuration VLAN.
Cette méthode de division VLAN est basée sur les ports de commutation des commutateurs Ethernet. Il divise les ports physiques du commutateur VLAN et les ports PVC (circuit virtuel permanent) à l'intérieur du commutateur VLAN en plusieurs groupes, et chaque groupe constitue un réseau virtuel, qui équivaut à un commutateur VLAN indépendant.
Lorsque différents services ont besoin d'accéder les uns aux autres, ils peuvent être transférés via un routeur avec filtrage de port basé sur l'adresse MAC. L'ensemble d'adresses MAC passables est défini sur le port correspondant du commutateur, du commutateur de routage ou du routeur le plus proche du site sur le chemin d'accès d'un site. Cela empêche la possibilité que des intrus illégaux volent des adresses IP de l'intérieur pour s'introduire à partir d'autres points d'accès.
Comme nous pouvons le voir à partir de cette méthode de division elle-même, l'avantage de cette méthode est qu'il est très simple de définir l'appartenance au VLAN, tant que tous les ports sont définis comme les groupes VLAN correspondants. Il convient aux réseaux de toute taille. Son inconvénient est que si un utilisateur quitte le port d'origine et se rend sur un port d'un nouveau commutateur, il doit être redéfini.
2. Diviser les VLAN en fonction de l'adresse MAC
Cette méthode de division des VLAN est basée sur l'adresse MAC de chaque hôte, c'est-à-dire que chaque hôte avec une adresse MAC est configuré avec le groupe auquel il appartient. Le mécanisme qu'il implémente est que chaque NIC correspond à une adresse MAC unique et le commutateur VLAN garde une trace des adresses appartenant au VLAN MAC. Cette approche des VLAN permet aux utilisateurs du réseau de conserver automatiquement leur appartenance au VLAN auquel ils appartiennent lorsqu'ils se déplacent d'un emplacement physique à un autre.
Comme le montre le mécanisme de cette division, le plus grand avantage de cette méthode de division VLAN est que les VLAN n'ont pas besoin d'être reconfigurés lorsque les utilisateurs déplacent leur emplacement physique, c'est-à-dire lorsqu'ils passent d'un commutateur à un autre. C'est parce qu'il est basé sur l'utilisateur, pas sur le port du commutateur. L'inconvénient de cette méthode est que tous les utilisateurs doivent être configurés lors de l'initialisation. Le processus de configuration peut prendre beaucoup de temps s'il y a des centaines, voire des milliers d'utilisateurs. Cette méthode de partitionnement convient donc généralement aux petits réseaux locaux.
De plus, cette méthode de partitionnement réduit également l'efficacité de l'exécution du commutateur, car il peut y avoir de nombreux membres de groupes VLAN sur chaque port de commutateur, stockant les adresses MAC de nombreux utilisateurs, ce qui n'est pas facile à interroger.
De plus, pour les utilisateurs d'ordinateurs portables, leurs cartes réseau peuvent être changées fréquemment, de sorte que le VLAN doit être configuré fréquemment.
3. DivisereVLAN basés sur des protocoles de couche réseau
Les VLAN sont divisés par protocole de couche réseau et peuvent être classés en réseaux VLAN tels que IP, IPX, DECnet, AppleTalk, Banyan, etc. Ces VLAN, composés d'un protocole de couche réseau, permettent aux domaines de diffusion de s'étendre sur plusieurs commutateurs VLAN. Ceci est très intéressant pour les administrateurs réseau qui souhaitent organiser les utilisateurs pour des applications et des services spécifiques. De plus, les utilisateurs peuvent se déplacer librement au sein du réseau, mais leur appartenance au VLAN reste intacte.
Les avantages de cette méthode sont que l'emplacement physique de l'utilisateur change sans reconfigurer le VLAN auquel il appartient et que les VLAN peuvent être classés selon le type de protocole, ce qui est important pour les administrateurs réseau. De plus, cette méthode ne nécessite pas de balises de trame supplémentaires pour identifier les VLAN, ce qui peut réduire la quantité de trafic sur le réseau. L'inconvénient de cette approche est qu'elle est inefficace car la vérification de l'adresse de la couche réseau de chaque paquet prend du temps à traiter (par rapport aux deux approches précédentes). Généralement, les puces de commutation peuvent vérifier automatiquement les en-têtes de trame Ethernet des paquets sur le réseau, mais cela demande un niveau de compétence plus élevé et prend également plus de temps pour permettre à la puce de vérifier les en-têtes de trame IP. Bien sûr, cela est lié à la méthode de mise en œuvre de chaque fournisseur.
4. Divisez les VLAN en fonction de la multidiffusion IP
La multidiffusion IP est en fait une définition de VLAN, c'est-à-dire qu'un groupe de multidiffusion IP est un VLAN. Cette méthode de division étend le VLAN au WAN, donc cette méthode a une plus grande flexibilité, et il est facile de s'étendre à travers le routeur. Il convient principalement aux utilisateurs de LAN qui ne se trouvent pas dans la même plage géographique pour former un VLAN. Il n'est pas adapté aux réseaux locaux car il n'est pas efficace.
5. Divisez les VLAN par politique
Les VLAN basés sur des stratégies peuvent être attribués de différentes manières, y compris les ports de commutateur VLAN, les adresses MAC, les adresses IP et les protocoles de couche réseau. Les administrateurs réseau peuvent déterminer le type de VLAN en fonction de leur propre mode de gestion et des exigences de l'unité.
6. DivisereVLAN par autorisation définie par l'utilisateur et non utilisateur
L'allocation VLAN basée sur la définition de l'utilisateur et l'autorisation des non-utilisateurs signifie que les VLAN sont définis et conçus en fonction des exigences particulières des utilisateurs du réseau pour répondre aux réseaux VLAN spéciaux. De plus, les utilisateurs non-VLAN ne peuvent accéder aux VLAN qu'après avoir été authentifiés par la gestion VLAN en fournissant des mots de passe utilisateur.
TLes avantages du VLAN
Pour qu'une nouvelle technologie soit largement prise en charge et appliquée, il doit y avoir certains avantages clés, tout comme la technologie VLAN, dont les avantages se reflètent principalement dans les aspects suivants :
- Augmentation de la flexibilité de la connexion réseau
La technologie VLAN combine différents emplacements, réseaux et utilisateurs pour former un environnement de réseau virtuel, qui est aussi pratique, flexible et efficace que l'utilisation d'un LAN local. Le VLAN peut réduire les frais généraux liés au déplacement ou à la modification de l'emplacement des postes de travail, en particulier pour les entreprises dont les conditions commerciales changent fréquemment.
- Contrôler la diffusion sur le réseau
Le VLAN fournit un mécanisme de pare-feu pour empêcher une diffusion excessive sur le réseau de commutation. À l'aide de VLAN, un port de commutateur ou un utilisateur peut être affecté à un groupe VLAN spécifique, qui peut se trouver dans un réseau de commutateurs ou sur plusieurs commutateurs, et les diffusions au sein d'un VLAN ne seront pas envoyées en dehors du VLAN. De même, les ports adjacents ne reçoivent pas les diffusions générées par d'autres VLAN. Cela réduit le trafic de diffusion, libère de la bande passante pour les applications utilisateur et réduit la génération de diffusion.
- Améliorer la sécurité du réseau
Parce qu'un VLAN est un domaine de diffusion distinct. Les VLAN sont isolés les uns des autres, ce qui améliore l'utilisation du réseau et garantit la sécurité et la confidentialité du réseau. Les gens transmettent souvent des données confidentielles et critiques sur le LAN. Les données confidentielles doivent être fournies avec des moyens de sécurité tels que le contrôle d'accès. Une méthode efficace et facile à mettre en œuvre consiste à segmenter le réseau en plusieurs groupes de diffusion différents, où l'administrateur réseau limite le nombre d'utilisateurs dans le VLAN et interdit l'accès aux applications dans le VLAN sans autorisation. Les ports de commutation peuvent être regroupés en fonction du type d'application et des privilèges d'accès, et les applications et ressources restreintes sont généralement placées dans des VLAN de sécurité.
Étude de cas de configuration VLAN
Une entreprise possède environ 100 ordinateurs, et il y a quatre départements principaux qui utilisent principalement le réseau : le département de la production (20), le département des finances (15), le département des ressources humaines (8) et le centre d'information (12).
L'ensemble du réseau utilise trois commutateurs gérés Catalyst 1900 (nommés : Switch1, Switch2 et Switch3 respectivement, chaque commutateur est connecté à plusieurs concentrateurs selon les besoins, principalement pour les utilisateurs non VLAN, tels que les documents administratifs, les utilisateurs temporaires, etc.) et un Routeur Cisco 2514 au milieu et à l'arrière du réseau, et l'ensemble du réseau est connecté à Internet via le routeur Cisco 2514 est connecté à Internet externe.
Les utilisateurs connectés sont principalement répartis en quatre parties, à savoir : le service de production, le service financier, le centre d'information et le service des ressources humaines. Ces quatre parties sont principalement divisées en VLAN distincts pour garantir que les ressources réseau départementales correspondantes ne sont pas volées ou endommagées.
Afin d'assurer la sécurité des ressources du réseau, en particulier pour les services sensibles tels que les finances et les ressources humaines, les informations sur le réseau ne doivent pas être accessibles à un trop grand nombre de personnes. Par conséquent, la société adopte la méthode VLAN pour résoudre les problèmes ci-dessus.
Les VLAN peuvent être divisés en département de production, département financier, département des ressources humaines et centre d'information. Les groupes VLAN correspondants sont Prod, Fina, Huma et Info. Le tableau 1 montre les segments de réseau de chaque groupe VLAN.
Remarque : La raison pour laquelle l'ID VLAN du commutateur commence à partir de « 2 » est que le commutateur a un VLAN par défaut, c'est-à-dire le VLAN « 1 », qui inclut tous les utilisateurs connectés au commutateur.
Processus de configuration VLAN
Le processus de configuration du VLAN est en fait très simple, ne nécessitant que deux étapes.
(1) Nommer chaque groupe VLAN.
(2) Faire correspondre le VLAN correspondant au port de commutateur correspondant.
Voici le processus de configuration spécifique.
Étape 1: configurez l'HyperTerminal, connectez-vous au commutateur 1900 et configurez les VLAN du commutateur via l'HyperTerminal. L'interface de configuration principale apparaît après une connexion réussie comme indiqué ci-dessous (les informations de base ont été configurées sur le commutateur auparavant) :
Remarque : HyperTerminal est implémenté à l'aide du programme Hypertrm fourni avec Windows. Pour plus de détails, voir les documents associés.
Étape 2: Cliquez sur "K" et sélectionnez "[K] Ligne de commande" dans le menu principal pour accéder à l'interface de configuration de ligne de commande suivante :
À ce stade, nous entrons dans le mode utilisateur normal du commutateur, tout comme le routeur, ce mode ne peut afficher que la configuration actuelle, ne peut pas modifier la configuration et peut utiliser une commande très limitée. Il faut donc entrer dans le "mode privilégié".
Étape 3: Entrez la commande « enable » à l'invite « > » à l'étape précédente pour entrer en mode privilégié. Le format de la commande est "> activer", puis le commutateur s'affiche :
Étape 4: Pour plus de sécurité et de commodité, nous donnons un nom à chacun des 3 commutateurs Catalyst 1900 et définissons un mot de passe de connexion en mode privilégié. Voici un exemple de Switch1. Le code de configuration est le suivant :
Remarque : Le mot de passe du mode privilégié doit contenir de 4 à 8 caractères. Le mot de passe saisi s'affiche en clair, gardez-le donc confidentiel. Le commutateur utilise le niveau pour déterminer les autorisations de mot de passe. Le niveau 1 est le mot de passe pour accéder à l'interface de ligne de commande. Après avoir défini le mot de passe pour le niveau 1, la prochaine fois que vous vous connecterez au commutateur et que vous taperez K, il vous sera demandé d'entrer le mot de passe, qui est le mot de passe défini pour le niveau 1. le niveau 15 est le mot de passe du mode privilégié que vous serez demandé d'entrer après avoir tapé la commande "activer".
Étape 5: Définissez le nom du VLAN. Étant donné que les quatre VLAN appartiennent à des commutateurs différents, la commande de nommage du VLAN est « VLAN, numéro de VLAN, nom, nom du VLAN. Dans Switch1, Switch2 et Switch3, configurez le code des VLAN 2, 3, 4 et 5 comme suit :
Remarque : La configuration ci-dessus est effectuée conformément aux règles du tableau 1.
Étape 6: Dans l'étape précédente, nous avons configuré les groupes VLAN pour chaque commutateur. Nous devons maintenant faire correspondre ces VLAN aux numéros de port de commutateur spécifiés dans le tableau 1. La commande correspondant au numéro de port est vlan-membership static/dynamic VLAN number. Dans cette commande, "statique" ou "dynamique" doit être sélectionné, mais choisissez généralement "statique".
L'application de numéro de port VLAN est configurée comme suit.
(1) Le numéro de port VLAN du commutateur nommé « Switch1 » est configuré comme suit.
Remarque : "int" est l'abréviation de la commande "interface". e0/3″ est l'abréviation de « ethernet 0/2 », qui représente le port 2 du module 0 du switch.
(2) Le numéro de port VLAN du commutateur nommé « Switch2 » est configuré comme suit.
(3) Le numéro de port VLAN du commutateur nommé "Switch3" est configuré comme suit (il inclut la configuration de deux groupes VLAN), voir d'abord le code de configuration du VLAN 4 (Huma).
Voici le code de configuration pour VLAN 5 (Info).
Nous avons maintenant défini les VLAN sur les ports correspondants du commutateur comme requis dans le tableau 1. Afin de vérifier notre configuration, vous pouvez utiliser la commande "show vlan" en mode privilégié pour afficher la configuration que vous venez de faire pour vérifier si elle est correcte .
Ce qui précède est une introduction à la configuration VLAN du commutateur Cisco Catalyst 1900, la configuration VLAN des autres commutateurs est fondamentalement similaire, reportez-vous au manuel du commutateur correspondant.