Vlans généralités

Un VLAN (Lan virtuel) est une division d'un réseau, le plus souvent ethernet, permettant de l'optimiser et le gérer plus facilement.

Principe

Par défaut tout le réseau est dans le même vlan, ajouter des vlans sur un switch revient à le découper en en autant de morceaux isolés qu'il y a de VLANs:

Switch sans vlan :
Switch avec 2 vlans de 4 ports:

Rôle dans un réseau local

Dans un réseau local les vlans servent à diviser un réseau en plusieurs autres indépendants

Domaine de collision

Avant les switchs, les hubs servaient à construire les réseaux locaux, le domaine de collision était unique et limitait donc l'extension du réseau ethernet.
Les switchs ont permis de séparer les domaines de collision (un domaine de collision se limite à un port switch) mais les domaines de broadcast (diffusion) ne sont toujours limités que par les routeurs.

Domaine de broadcast

Ce sont les ports réseau où une même trame de diffusion issue d'une machine est transmise sur tous les ports, souvent inutilement.
Ce trafic peut être très important avec certains protocoles réseau, c'est ce qui a provoqué l'abandon de IPX
Les Vlans permettent de réduire les domaines de broadcast à un vlan, les trames ne peuvent en sortir.
Cette isolation est leur principal intérêt.

Plusieurs vlan par port : Tags 802.1q sur les trames

Dans un réseau local ou étendu, les vlans peuvent être répartis sur plusieurs switchs, routeurs ou serveurs en taggant les trames ethernet suivant l'encapsulation 802.1q.
cela permet d'avoir jusqu'à 4094 vlans par réseau ethernet répartis dans le réseau physique, les vlan numéro 0 et 4095 sont réservés à des cas spécifiques.
Le tag ajoute 4 octets à la trame ce qui peut donc pousser celle ci à 1522 au lieu de 1518

Une trame taggée 802.1q risque de ne pas être lue par une carte réseau ne gérant pas les tags des VLANs

Vlan natif:

si une trame non taggée on taggée avec une valeur non autorisée arrive sur un port de switch, elle sera affectée au numéro de vlan configuré en natif, ou vlan par défaut, le vlan 1 est le vlan par défaut en général.

affectation des trames au vlan

Les switchs et les ponts ne gèrent globalement que les adresses mac des trames, pour créer les vlan, il faut affecter les trames ethernet à un vlan

méthode statique statique par port

la plus répandue aujourd'hui, les vlans sont affectés à un port, il peut y en avoir plusieurs sur un port, mais ils doivent être taggés afin de les différencier.

méthode dynamique

Les critères d'affectation des trames aux différents vlans peuvent se faire suivant une gestion des adresses mac, suivant d'autres octets de la trame comme le type d'encapsulation ethernet ou l'adresse ip source, ce sont les vlans par protocole.
Ces systèmes ont été abandonnés car très difficiles à gérer de façon centralisée et très pénalisants en performances pour les vlans par protocole.

authentification 802.1x

L'authentification 802.1x permet aussi une affectation dynamique, mais cette fois sur l'identité de l'utilisateur, cela permet de créer des portions de réseau aux accès privilégiés aux clients authentifiés.

Rôle sur réseau distant opérateur

Les informations vlans sont aussi beaucoup utilisées par les opérateurs télécom notamment fibre ou VDSL comme information de circuit virtuel, comme l'étaient les vp/vc en ATM ou les DLCI en relais de trames, en fait ce n'est pas le vlan lui même qui est utile mais le tag 802.1q qui permet le multiplexage.
Ce multiplexage peut servir à séparer des services sur un accès box internet, par exemple internet sur vlan 835 , TV sur vlan 836, VOD sur vlan 840, téléphonie sur vlan 841.

QinQ

L'ajout d'un second tag 802.1ad dit QinQ aux trames transportées dans un réseau opérateur permet d'interconnecter les vlans d'un réseau client à travers d'un réseau opérateur dans des liaisons partagées en toute transparence et sécurité.

Comme on rajoute 4 octets la taille de la trame passe donc à 1526 maxi.

vlan et réseau IP

Les réseaux IP suivent en général les VLAN, un VLAN peut héberger plusieurs réseaux IP (ou autres), mais un seul réseau IP ne peut pas être réparti sur plusieurs VLAN.
De ce fait beaucoup de débutants confondent l'architecture des vlans et celle des réseaux IP, mais ce sont bien deux choses différentes:
Il faut toujours un routeur pour relier deux réseaux IP différents ensemble qu'ils soient dans le même vlan ou dans des vlans différents.

Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche.
A voir également
Ce document intitulé « Vlans généralités » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.