mardi 28 juin 2011

Notions sur les VLANs

Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 « liaison de données » fournis par les commutateurs. Cet article reprend les notions nécessaires à la bonne compréhension de cette technologie.

Fonctionnement d'un LAN

Au sein d'un LAN défini comme une infrastructure commutée, soit un réseau composé de commutateurs, toutes les interfaces hôtes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE 802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des hôtes afin de transférer rapidement le trafic. Sur ces réseaux, on connaît du trafic unicast (à destination d'un seul hôte), du trafic de broadcast (diffusion, à destination de tous les hôtes) et du trafic multicast (à destination de certains hôtes). Un commutateur transfère le trafic de diffusion et multicast à travers tous ses ports sauf celui d'origine; un routeur « filtre » le trafic de diffusion en ne le transférant pas.

LAN Virtuel (VLAN)

Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commutée. Une infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera comme n'importe quel LAN distinct. Concrètement, les ports du commutateur prennent un identifiant VLAN. Cet identifiant logique définit l'étendue du domaine de diffusion : le trafic de diffusion ne sera transféré que sur les ports ayant le même identifiant. Autrement dit, par exemple, le trafic de diffusion venant d'un port appartenant au VLAN 66 ne se sera transféré que sur les ports ayant pour attribution le VLAN 66. La séparation fonctionnelle entre deux ports ayant des identifiants VLAN différents correspond à une séparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports du commutateur, soit l'infrastructure physique elle-même.
La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que décrit plus haut indépendante de l'infrastructure physique. Cette technologie s'intègre pleinement dans les marchés des environnements virtualisés, des déploiements de réseaux sans fil, de la VoIP, des passerelles Internet d'entreprise et familiales.
Cette fonctionnalité peut être étendue sur des ports de commutateurs distants à travers toute l'infrastructure. Dans ce cas, les commutateurs devront transporter entre eux du trafic appartenant à plusieurs VLANs sur une ou plusieurs liaisons spécifiques ...

Trunks ou liaison d'agrégation

... Les ports d'une liaison qui agrègent le trafic de plusieurs VLANs s'appellent un « Trunk » chez le constructeur Cisco Systems et « liaison d'agrégation » chez d'autres. Sur ce type de liaison, le commutateur ajoute des champs supplémentaires dans ou autour de la trame Ethernet. Ils servent notamment à distinguer le trafic de VLANs différents car ils contiennent entre autres le numéro d'identification du VLAN.

Deux protocoles de « Trunk » ou  de « liaison d'agrégation » VLAN peuvent être rencontrés. Il agissent tout deux au niveau de la couche 2 « liaison de données ». Ils opèrent sous les couches TCP/IP.
    • Inter-Switch Link (ISL) : protocole propriétaire Cisco qui encapsule la trame d'origine avec un en-tête spécifique qui contient entre autres le numéro de VLAN et un nouveau champ FCS. Il est indépendant de la technologie sous-jacente. Il est de moins en moins rencontré au profit de IEEE 802.1q.
    • IEEE 802.1q : Standardisé et interopérable, il ajoute une étiquette dans l'en-tête de la trame (un ensemble de champs juste après le champ d'adresse MAC d'origine). Cette étiquette a une taille de 4 octets ou 32 bits dont 12 bits sont consacrés au numéro de VLAN. Le standard supporte les technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que protocole de « pontage » (bridging, IEEE 802.1). Vu que la trame sera modifiée, le commutateur recalculera la valeur du champ CRC/FCS.
 

IEEE 802.1q est actuellement la technologie standardisée et dominante sur le marché indépendamment des « constructeurs ».

Encapsulation

Quand est-ce que cette encapsulation IEEE 802.1q intervient ? Un hôte A veut joindre un hôte L connecté à un commutateur distant. Les commutateurs sont interconnectés par une « liaison d'agrégation ». La trame ne sera étiquetée seulement si elle quitte le commutateur sur un port qui connecte une liaison d'agrégation. Lors de la livraison locale de la trame à la station destinataire, elle sort du port du commutateur sans étiquette.
Si le standard est largement disponible sur les commutateurs d'entreprise, les hôtes tels que les serveurs ou du matériel embarqué peuvent annoncer le support de la technologie en fonction des pilotes développés pour l'interface physique. Alors que les systèmes d'exploitation Linux/BSD supportent un grand nombre de cartes, les cartes Intel sont bien supportées sous Microsoft Windows ; elles sont proposées d'emblée par les grands assembleurs comme HP ou Dell.
Le trafic de diffusion comme celui de multicast sera porté à la destination de tous les ports ayant le même identifiant VLAN, à travers des ports de « liaison d'agrégation ». Les hôtes connectés à un port d'un identifiant VLAN différent ne seront pas affectées par ce trafic. En ce sens, la taille des domaines de diffusion peut être contrôlée sur une infrastructure commutée à des fins de performance, d'administration du trafic, des machines et des utilisateurs.

Domaine IP et VLANs

Comme dans tout LAN, le réseau IP est homogène et correspond à un adressage marqué par un préfixe et un masque de réseau. Au sein d'un LAN, toutes les interfaces qui participent à l'Internet Protocol dans la perspective de communiquer entre des réseaux différents partagent le même adressage. Un routeur constitue la limite d'un VLAN comme celle d'un LAN. Donc, pour que des VLANs communiquent ensembles, en tant que réseaux logiques différents, une fonction de routage est nécessaire. On parle dans la littérature de routage inter-VLAN. Cette fonction peut être remplie par des plate-formes d'entreprise comme les routeurs d'accès, des routeurs Linux/BSD ou des commutateurs LAN disposant d'un logiciel de routage. Les routeurs sont capables de transférer du trafic de VLANs différents à partir d'un seul port physique reconnu comme port d'agrégation VLAN.

Conclusion

D'un point de vue technique, la technologie VLAN permet de déployer des architectures plus souples, fournissant plus de services qu'un LAN classique en combinaison à d'autres protocoles et technologies. Voici quelques exemples non-exhaustifs qui permettent de gérer dynamiquement les utilisateurs et les applications sur les plus basses couches de la communication.
  • Fonctionnalité de Qualité de Service (QoS), notamment grâce à IEEE 802.1p en perspective d'une différenciation trafic selon les applications (voix, vidéo, etc.);
  • Le support du protocole Spanning-Tree et ses variantes (STP, MST, RSTP, PVST, PVST+, PVRST+, UDLD) ainsi que les protocoles de contrôle (CDP, VTP, DTP, etc.);
  • Une série de protocoles connexes utiles ou moins, propriétaires ou standardisés comme VTP, DTP, PaGP, Etherchannel, etc.;
  • Le support d'une authentification sur les ports (IEEE 802.1x/EAP) en vue d'authentifier les utilisateurs dynamiquement et de leur appliquer des paramètres de sécurité adaptés en les plaçant dynamiquement dans un VLAN soumis à une politique de filtrage;
  • Il sera possible de ponter/commuter les VLANs entre eux, de répartir la charge entre plusieurs liaisons d'agrégation de manière redondante, d'encapsuler plusieurs étiquettes dans plusieurs étiquettes (double, triple, voire quadruple).
Publié par

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)