La virtualisation fonctionne aussi bien pour les mémoires, la puissance de calcul et les logiciels que pour la technologie de réseau : un VLAN désigne un réseau virtuel purement logique basé sur un réseau physique concret. Comment fonctionne un réseau local virtuel ?
Qu’est-ce qu’un VLAN ? Explication des bases
De nos jours, les réseaux physiques sont généralement basés sur un ou plusieurs commutateur(s) (« switch(es) »), des appareils gérant le trafic de données entre les équipements. Pour ce faire, tous les câbles réseau sont raccordés au commutateur permettant ainsi à différents ordinateurs de communiquer. Il est alors possible que ces commutateurs relient entre eux des centaines d’appareils tout en assurant une communication relativement fluide. Il peut toutefois s’avérer pertinent de fragmenter d’aussi vastes réseaux sans pour autant changer quoi ce soit à l’installation physique.
Un réseau local virtuel est un segment logique de moindre ampleur créé au sein d’un vaste réseau physique réalisé par des raccordements. Le regroupement des différents postes dans un même réseau est effectué ici, quelle que soit la localisation du poste : tant que ces derniers sont interconnectés dans un même réseau local, il est possible de les regrouper dans un réseau local virtuel. Le fait que le réseau local s’étende à plusieurs commutateurs ne présente ici aucun problème. Tout ce qui importe, c’est que le commutateur soit compatible avec un réseau local virtuel. Seuls les commutateurs administrables permettent de créer des réseaux locaux virtuels.
Contrairement aux commutateurs sans gestion, qui sont principalement utilisés dans les réseaux domestiques et basés sur l’idée du plug-and-play, les commutateurs administrables offrent de très nombreuses possibilités de configuration pour une utilisation professionnelle. Il est par exemple possible de gérer des adresses IP de façon ciblée, de filtrer des adresses MAC ou même d’établir des réseaux locaux virtuels.
Chaque réseau local virtuel individuel comporte un domaine de diffusion broadcast propre : si un participant envoie une diffusion broadcast dans le réseau local virtuel, tous les autres participants au sein de ce segment – et uniquement dans ce segment – reçoivent le message. La diffusion broadcast n’est pas transmise en dehors du réseau virtuel. La communication entre différents réseaux locaux virtuels s’effectue parfois via les mêmes câbles.
Même si les ordinateurs ne sont pas interconnectés via le même commutateur, il est possible de les regrouper au sein d’un seul et même réseau local virtuel.
Différents types de VLAN
Les réseaux locaux virtuels peuvent être mis en place de différentes façons. Une technologie différente est utilisée en fonction du type de réseau. En pratique, deux types sont utilisés : les VLAN par port et les VLAN « tagged ». Dans de nombreux cas, les administrateurs réseau réalisent leurs installations et leurs attributions en mariant ces deux types.
VLAN par port
Chaque participant du réseau est raccordé au commutateur via un port – pour faire simple, il s’agit d’une prise femelle dans laquelle est inséré le câble réseau correspondant dont l’autre extrémité est raccordée à l’ordinateur concerné (les ports sont toutefois également utilisés pour connecter des commutateurs entre eux). À présent, si on souhaite créer deux réseaux locaux virtuels à partir de ce réseau physique unique, on attribue le réseau virtuel souhaité aux ports correspondants.
Même si les installations de VLAN par port sont principalement utilisées dans les réseaux de moindre ampleur et donc uniquement au sein d’un même commutateur, la configuration est également possible via plusieurs commutateurs. Il est ainsi possible de regrouper les ports 1 à 3 du premier commutateur et le port 1 du deuxième commutateur sur un même réseau local virtuel. Pour cela, il est toutefois nécessaire de connecter les commutateurs avec deux câbles en même temps – un raccordement séparé pour chaque VLAN.
Ce type de connexion est appelé trunk. Les commutateurs disposent d’un ou plusieurs port(s) prévu(s) spécifiquement à cet effet ou permettent de le/les définir à l’aide des options de paramétrage. Le type de câblage est ici secondaire : il peut s’agir d’un câble en cuivre ou en fibre, ou d’une connexion sans fil.
La répartition des paquets s’effectue donc directement par le biais des commutateurs. Les administrateurs définissent dans ces derniers à quel réseau local virtuel les différents ports appartiennent. Le VLAN est ainsi statique. Si les réseaux locaux virtuels doivent être regroupés différemment, il faudra procéder à une nouvelle répartition des ports dans la configuration du commutateur. D’autre part, chaque port – et donc chaque appareil raccordé – peut uniquement faire partie d’un seul réseau local virtuel. Si les appareils d’un réseau local virtuel doivent communiquer avec un autre VLAN, cette communication doit être effectuée via un routeur qui pourra renvoyer les paquets de messages – exactement comme pour la communication entre un réseau domestique et Internet.
VLAN tagged
Dans le cas d’un VLAN tagged, l’attribution aux réseaux locaux virtuels est plus dynamique : au lieu d’être définie de façon définitive dans le commutateur, l’attribution est réalisée par une balise (« tag ») dans la trame du paquet de messages. C’est la raison pour laquelle on nomme également cette technique VLAN par trame sur le même schéma que VLAN par port. La balise spécifie le VLAN dans lequel on se trouve actuellement. Un commutateur peut ainsi identifier dans quel segment la communication a lieu et transmettre le message.
Une balise VLAN comporte 32 bits et apparaît directement après l’adresse MAC de l’expéditeur dans la trame Ethernet. La balise commence avec 16 bits permettant d’identifier le protocole : le Tag Protocol Identifier (TPI) indique si un identifiant de VLAN a été renseigné. Si un réseau local virtuel est marqué via une trame, ces blocs ont la valeur 0x8100. Les trois bits suivants de la trame renvoient à la priorité du message. Ils sont suivis par un bit pour le Canonical Format Identifier (CFI). Ce champ est uniquement utilisé pour assurer la compatibilité entre les adresses Ethernet et le token ring.
C’est seulement dans les douze derniers bits que le protocole mentionne le véritable identifiant du réseau local virtuel (VID). La longueur de ce champ permet 4 096 VLAN différents. Chaque réseau local virtuel reçoit son propre numéro. Il est également possible de réaliser des VLAN tagged directement via les cartes réseau. Linux supporte par exemple ce standard par défaut. Pour les utilisateurs de Windows, en revanche, cela dépend du fabricant de la carte réseau. Le réseau local virtuel peut alors être configuré à l’aide du pilote de périphérique.
Le principe de trame présenté ici suit le standard IEEE 802.1q. Il s’agit de la variante la plus utilisée, mais il existe également d’autres possibilités de placement de balises de VLAN dans un paquet de messages. Cisco utilise par exemple l’Inter-Switch Link Protocol (ISL) pour ses commutateurs. Afin de permettre plusieurs VLAN, ce protocole inclut toute la trame de données.
L’avantage qu’offre un VLAN tagged par rapport à un réseau local virtuel avec attribution de ports réside dans la connexion entre plusieurs commutateurs. Dans le cas d’un VLAN par port, deux câbles au minimum doivent être installés entre les commutateurs, car chaque réseau local virtuel nécessite son propre câble. En cas de trunk dans des VLAN tagged, un câble suffit étant donné que la répartition est effectuée à l’aide des informations de la trame. Le commutateur identifie le bon réseau local virtuel et le transmet au deuxième commutateur. La balise est alors retirée et le paquet est transmis au bon destinataire.
Dans la pratique, une utilisation combinée des VLAN par port et des VLAN tagged s’est avérée efficace : la communication du réseau local virtuel s’effectue alors au sein d’un commutateur par le biais des ports attribués. Toutefois, la connexion entre les commutateurs est basée sur une trame, ce qui permet d’économiser un câble (et donc deux ports).
VLAN : avantages des réseaux virtuels
Pourquoi s’échiner à diviser un vaste réseau local en plusieurs réseaux locaux virtuels de moindre envergure ?
Flexibilité
Si un nouvel équipement doit être intégré à un réseau local, cet appareil doit être raccordé à un commutateur à l’aide d’un câble. Lorsqu’un employé qui change d’équipe doit travailler dans un autre réseau, il faut soit le changer de poste de travail, soit recommencer le câblage. Avec les réseaux locaux virtuels, la configuration est entièrement basée sur des logiciels. L’administrateur peut attribuer le même ordinateur à un autre réseau local virtuel de manière flexible.
Sécurité
Afin d’éviter que des personnes non autorisées aient accès à des données sensibles, limiter le réseau à un petit groupe peut être une bonne idée. Dans le cas d’un VLAN, les domaines de broadcast sont limités à quelques postes uniquement. De cette façon, une diffusion broadcast ne pourra pas atteindre des personnes à qui elle n’était pas destinée.
La mise en place de réseaux locaux virtuels n’est pas une mesure de sécurité suffisante. En effet, les criminels peuvent accéder aux flux de données lorsque les réseaux locaux virtuels et le réseau local sur lequel les premiers sont basés ne sont pas protégés par des mesures de sécurité (par ex. un cryptage).
Performance
La réduction du domaine de broadcast peut également permettre une meilleure performance. Les messages de broadcast ne doivent plus atteindre l’intégralité du réseau. Les messages de type « à tous les membres du réseau » mais destinés uniquement à un groupe spécifique de personnes génèrent un trafic inutile. Un VLAN permet de réduire cette charge inutile de la bande passante.
Les réseaux locaux virtuels constituent une alternative plus efficace et plus simple lorsqu’il s’agit de diviser les vastes réseaux en groupes logiques de moindre envergure.
Organisation
Les réseaux locaux virtuels relient entre eux un groupe logique et des postes. Dans le cas d’un réseau d’entreprise par exemple, il peut arriver que des employés se trouvent dans un tel groupe logique sans avoir leur poste de travail sur le même site. Une partie peut se trouver dans des salles, des étages ou même des bâtiments différents. Pour connecter ces personnes et leurs ordinateurs dans un réseau local, il faudrait tirer de très longs câbles qui traverseraient les locaux de l’entreprise. Étant donné que plusieurs commutateurs peuvent être intégrés à un réseau local virtuel, le câblage est nettement plus pertinent et organisé.
Prix
Plutôt que d’avoir plusieurs VLAN, il serait en théorie possible de mettre en place plusieurs réseaux locaux interconnectés à l’aide de routeurs afin de permettre également une communication de réseau à réseau. Mais cela nécessiterait des achats supplémentaires associés à un coût financier non négligeable. D’autre part, l’installation de réseaux parallèles demanderait un temps considérable.