Les VLANs (Virtual Local Area Network)
Documentation officielle : VLAN
Les VLAN, ou Virtual Local Area Networks, sont une technologie de réseau qui permet de séparer les réseaux physiques en plusieurs réseaux logiques.
Cela signifie que même si plusieurs dispositifs sont connectés au même matériel physique, comme un commutateur ou un routeur, ils peuvent être segmentés en groupes distincts qui agissent comme s'ils étaient sur des réseaux séparés.
Les VLAN sont essentiellement une méthode de partitionnement logique des réseaux locaux qui simplifie la gestion et l'administration des réseaux.
Le concept de ces réseaux locaux virtuels repose sur la définition de domaines de diffusion (domaines de broadcast) indépendamment de l’endroit où se situent les systèmes. Il suffit d’indiquer au niveau des commutateurs (switchs) quelles sont les machines censées communiquer entre elles à l’exclusion des autres.
Types de VLAN
Les VLAN (Virtual Local Area Networks) peuvent être classifiés en plusieurs types, en fonction de la manière dont ils sont configurés et de leur objectif au sein d'un réseau.
1. VLAN basé sur les ports (Port-Based VLAN)
C'est le type de VLAN le plus simple et le plus courant. Dans ce cas, l'appartenance à un VLAN est déterminée par le port du commutateur auquel un dispositif est connecté.
Changer l'appartenance d'un dispositif à un VLAN nécessite de changer sa configuration de port sur le commutateur.
Ce type de VLAN est facile à mettre en œuvre et à comprendre, mais il manque de flexibilité si les dispositifs se déplacent fréquemment d'un port à l'autre.
Avantages
Simplicité: Facile à comprendre et à configurer, idéal pour les petits réseaux ou ceux avec peu de mouvement de dispositifs.
Contrôle strict: Chaque port peut être contrôlé individuellement, offrant un contrôle précis sur l'accès réseau.
Inconvénients
Manque de flexibilité: Les dispositifs doivent être physiquement rebranchés pour changer de VLAN, ce qui n'est pas pratique dans les environnements dynamiques.
Gestion: Peut devenir difficile à gérer à grande échelle, en particulier dans les réseaux avec de nombreux dispositifs ou changements fréquents.
2. VLAN basé sur les adresses MAC (MAC Address-Based VLAN)
Dans ce scénario, l'appartenance à un VLAN est déterminée par l'adresse MAC du dispositif.
Peu importe à quel port du commutateur le dispositif est connecté ; sa communication est toujours dirigée vers le VLAN spécifié. Cela offre une plus grande flexibilité que les VLAN basés sur les ports, car les dispositifs peuvent changer de port sans nécessiter de reconfiguration. Toutefois, cette approche peut être plus complexe à gérer en raison de la nécessité de suivre et de configurer les adresses MAC.
Avantages
Flexibilité: Les dispositifs peuvent changer de port sans nécessiter une reconfiguration du VLAN, idéal pour les environnements où les dispositifs se déplacent fréquemment.
Sécurité: Peut être utilisé pour assurer que seuls les dispositifs autorisés accèdent à certaines parties du réseau.
Inconvénients
Gestion des adresses MAC: Nécessite de maintenir une base de données d'adresses MAC et leur appartenance VLAN, ce qui peut être fastidieux.
Scalabilité: Peut devenir difficile à gérer à mesure que le réseau s'agrandit.
3. VLAN basé sur les protocoles (Protocol-Based VLAN)
Les VLAN basés sur les protocoles classent le trafic dans différents VLAN en fonction du protocole de communication utilisé (par exemple, IP, IPX, ou AppleTalk).
Cela peut être utile pour séparer le trafic de différents types de protocoles pour des raisons de sécurité ou de performance. Cependant, cette approche est moins courante aujourd'hui, en partie à cause de la dominance de l'IP comme protocole de réseau principal.
Avantages
Séparation du trafic: Permet une séparation efficace du trafic basée sur le type de protocole, améliorant la sécurité et les performances.
Flexibilité: Bon pour les réseaux qui gèrent différents types de protocoles et veulent les séparer sans configurations complexes.
Inconvénients
Moins pertinent aujourd'hui: Avec la domination de l'IP, ce type de VLAN est moins utile dans de nombreux cas d'utilisation modernes.
Complexité: Peut introduire une complexité supplémentaire dans la configuration et la gestion du réseau.
4. VLAN basé sur les adresses IP (IP Subnet-Based VLAN)
Ce type de VLAN associe les dispositifs à des VLAN en fonction de leur adresse IP ou de leur sous-réseau IP.
Cette méthode est particulièrement utile pour les réseaux qui utilisent déjà la segmentation IP pour organiser le trafic. Elle permet une gestion plus intuitive du réseau pour les administrateurs habitués à penser en termes de sous-réseaux IP.
Avantages
Alignement avec les sous-réseaux IP: Intuitive pour la gestion du réseau, car elle s'aligne avec la segmentation IP existante.
Flexibilité et sécurité: Permet de contrôler l'accès réseau en fonction de l'adresse IP, offrant à la fois flexibilité et sécurité.
Inconvénients
Gestion des adresses IP: Nécessite une gestion attentive des adresses IP et peut nécessiter des ajustements au fur et à mesure que le réseau évolue.
Dépendance au plan d'adressage IP: Les changements dans le plan d'adressage peuvent nécessiter une reconfiguration des VLAN.
5. VLAN dynamique (Dynamic VLAN)
Les VLAN dynamiques attribuent automatiquement les dispositifs à des VLAN spécifiques basés sur des critères tels que l'adresse MAC, l'identité de l'utilisateur, ou d'autres attributs.
Cette attribution est généralement gérée par un serveur d'authentification, comme un serveur RADIUS, qui communique avec les commutateurs pour assigner dynamiquement les VLAN. Les VLAN dynamiques offrent une grande flexibilité et peuvent améliorer la sécurité en s'assurant que seuls les utilisateurs autorisés accèdent à certaines ressources réseau.
Avantages
Grande flexibilité: Assignation automatique des dispositifs à des VLAN basée sur des critères prédéfinis, idéale pour les environnements avec beaucoup de mouvement.
Sécurité renforcée: Peut utiliser l'authentification pour s'assurer que seuls les utilisateurs autorisés accèdent à certaines ressources.
Inconvénients
Complexité: Nécessite une infrastructure de support, comme un serveur d'authentification, et peut être complexe à configurer et à maintenir.
Coût: Peut impliquer des coûts supplémentaires pour le matériel et le logiciel nécessaires.
6. VLAN de gestion (Management VLAN)
Un VLAN de gestion est un VLAN spécifiquement réservé à la gestion du réseau.
Il est utilisé pour connecter les dispositifs de réseau, tels que les commutateurs et les routeurs, permettant aux administrateurs réseau d'accéder à ces dispositifs à des fins de configuration et de surveillance à distance. L'utilisation d'un VLAN de gestion séparé renforce la sécurité en isolant le trafic de gestion du trafic utilisateur général.
Avantages
Sécurité: Isoler le trafic de gestion du reste du réseau réduit les risques d'accès non autorisé aux dispositifs de réseau.
Accessibilité: Permet aux administrateurs d'accéder aux dispositifs de réseau à des fins de gestion à partir de n'importe quel endroit du réseau.
Inconvénients
Nécessité d'une configuration sécurisée: Doit être correctement sécurisé pour éviter les accès non autorisés, nécessitant une
Chaque type de VLAN a ses propres avantages et inconvénients, et le choix du type de VLAN à utiliser dépend des exigences spécifiques du réseau, y compris la taille du réseau, la mobilité des utilisateurs et des dispositifs, ainsi que les objectifs de sécurité et de performance.
Utilité
Sécurité: Les VLAN permettent de séparer les groupes de périphériques et les utilisateurs en fonction de leur niveau de sécurité, réduisant ainsi les risques d'accès non autorisé ou d'attaques internes.
Performance: En segmentant le réseau en VLAN, le trafic est limité à chaque sous-réseau, réduisant ainsi la congestion et améliorant les performances.
Gestion du réseau: Les VLAN facilitent l'administration et la gestion des réseaux en regroupant les périphériques en fonction de leurs besoins, ce qui simplifie l'attribution des ressources, l'application des politiques et la résolution des problèmes.
Flexibilité et évolutivité: Les VLAN permettent de regrouper les périphériques en fonction de leurs besoins fonctionnels, et non de leur emplacement physique, offrant ainsi une plus grande flexibilité pour les organisations en pleine croissance ou en mutation.
Fonctionnement
Les VLAN fonctionnent grâce à un mécanisme appelé "tagging" (étiquetage) des trames Ethernet (norme IEEE 802.1Q).
Le tag VLAN est ajouté à l'entête des trames Ethernet afin d'identifier le VLAN auquel la trame appartient.
Chaque VLAN est identifié par un VLAN ID compris entre 1 et 4094.
Les commutateurs (switches) ou routeurs (routers) compatibles VLAN sont capables de lire et d'interpréter ces tags pour acheminer le trafic vers le bon VLAN.
Les tags sont attribués par un identifiant de VLAN (VLAN ID) unique qui est inséré dans l'en-tête de la trame Ethernet.
Donc, chaque port de commutateur peut être :
Access (non tagué, appartient à un seul VLAN)
Trunk (tagué, transporte plusieurs VLAN sur le même port)
VLAN Tagged vs Untagged
Untagged VLAN (Port Access)
Un port configuré en untagged appartient à un seul VLAN.
Le trafic sortant et entrant sur ce port ne contient aucun marquage (tag).
Typiquement utilisé pour connecter un appareil terminal (ordinateur, imprimante, téléphone IP) qui ne comprend pas les tags VLAN.
Exemple:
Un ordinateur branché au port Ethernet 2 de votre MikroTik en untagged VLAN 10 communique sans avoir conscience du VLAN.
Tagged VLAN (Port Trunk)
Un port configuré en tagged transporte plusieurs VLAN simultanément.
Le trafic envoyé sur ce port porte un marquage (VLAN Tag) qui indique clairement à quel VLAN appartient chaque paquet.
Typiquement utilisé pour interconnecter plusieurs équipements réseau comme des routeurs, des commutateurs (switches) ou des points d’accès Wi-Fi.
Exemple:
Deux routeurs ou switches connectés via un seul câble Ethernet, avec plusieurs VLAN (10, 20, 30) passant sur le même câble.
Logique
Dans RouterOS v7, la gestion des VLAN se fait principalement via le Bridge VLAN Filtering, qui permet d'activer la gestion automatique des VLAN et leurs règles de filtrage.
Si le trafic arrive sur un port untagged, RouterOS ajoute automatiquement le tag du VLAN correspondant (Ingress).
Si le trafic quitte par un port untagged, RouterOS retire automatiquement le tag (Egress).
Si le trafic arrive/sort par un port tagged, RouterOS conserve ou applique explicitement un tag VLAN.
Exemple d'utilisation
Prenons l'exemple d'une entreprise qui dispose d'un seul réseau local physique. Cette entreprise souhaite séparer son réseau en trois groupes: les employés, les invités et les services informatiques.
Sans l'utilisation des VLAN, l'entreprise devrait déployer trois réseaux locaux physiques distincts avec des câbles et des équipements dédiés.
Cependant, en utilisant les VLAN, l'entreprise peut créer trois sous-réseaux virtuels sur le même réseau physique.
Chaque groupe de périphériques est assigné à un VLAN spécifique :
VLAN 10: Employés - Contient tous les ordinateurs, imprimantes et serveurs destinés à un usage interne.
VLAN 20: Invités - Contient les points d'accès Wi-Fi pour les visiteurs et les périphériques temporaires des employés.
VLAN 30: Services informatiques - Contient les serveurs, les équipements de stockage et les autres ressources destinées à la gestion et à la maintenance du réseau.
Dans cet exemple, les VLAN assurent que le trafic entre les différents groupes est isolé.
Les employés ne peuvent pas accéder aux ressources des services informatiques, et les invités ne peuvent pas accéder aux ressources des employés ou des services informatiques, garantissant ainsi la sécurité des données et des ressources.
De plus, la congestion du trafic est réduite, car chaque VLAN ne traite que le trafic de son propre groupe, améliorant ainsi les performances du réseau.
Conclusion
Les VLAN sont une méthode efficace pour segmenter et isoler les groupes de périphériques au sein d'un réseau local physique.
Ils offrent de nombreux avantages, tels que l'amélioration de la sécurité, des performances et de la gestion du réseau, ainsi que la flexibilité et l'évolutivité pour les organisations en pleine croissance ou en mutation.
Les exemples d'utilisation des VLAN démontrent comment ils permettent de simplifier l'administration du réseau et de réduire les coûts associés à la mise en place de réseaux locaux physiques distincts.