La base des VLAN
Les VLANs, ou réseaux locaux virtuels, apportent une dimension supplémentaire à la structuration et à la sécurité des réseaux. Traditionnellement, les réseaux locaux étaient définis par leur géographie physique. Cependant, dans le monde de plus en plus complexe et dynamique des réseaux d’aujourd’hui, une telle définition rigide peut s’avérer inadéquate et même contre-productive.
Les VLANs permettent de définir des réseaux logiquement plutôt que physiquement, ce qui offre une plus grande flexibilité. Par exemple, il est possible de regrouper tous les ordinateurs d’un même département, même s’ils sont physiquement dispersés à travers un bâtiment ou même plusieurs sites. Ceci simplifie non seulement la gestion du réseau, mais permet aussi d’appliquer des politiques de sécurité de manière plus cohérente.
L’un des avantages les plus significatifs des VLANs concerne la sécurité. Dans un réseau non segmenté, tous les dispositifs sont capables de communiquer librement entre eux, ce qui représente un risque en termes de fuites d’informations ou d’attaques internes. En segmentant le réseau en différents VLANs, il est possible d’isoler les groupes de dispositifs qui n’ont pas besoin de communiquer entre eux. Par exemple, le département des ressources humaines, qui manipule des données sensibles, peut être placé dans un VLAN séparé, rendant difficile pour quiconque hors de ce VLAN d’accéder à ces informations.
De plus, les VLANs facilitent la mise en œuvre de politiques de contrôle d’accès et de filtrage du trafic. Il devient plus aisé d’identifier les flux de données qui devraient être autorisés ou bloqués, et de mettre en place les mesures de sécurité appropriées.
Le tagging
Après avoir abordé la manière dont les VLANs facilitent la mise en œuvre de politiques de contrôle d’accès et de filtrage du trafic, il est crucial de comprendre le mécanisme qui rend tout cela possible : l’étiquetage des trames. Ce processus est au cœur de la gestion des VLANs et permet une mise en œuvre efficace des politiques de sécurité et de contrôle d’accès.
L’étiquetage des trames avec des identifiants de VLAN, ou étiquettes VLAN, est une partie essentielle du fonctionnement des VLANs en mode accès. Lorsqu’une trame de données arrive sur un port du switch, celui-ci ajoute une “étiquette” spéciale à la trame pour indiquer à quel VLAN elle appartient. Cette étiquette contient des informations spécifiques au VLAN, notamment un identifiant de VLAN (ou VID pour VLAN ID), qui est un numéro unique attribué au VLAN. Cette pratique d’ajouter des informations supplémentaires à la trame est appelée “étiquetage” ou “tagging” en anglais.
Le processus d’étiquetage est totalement transparent pour les dispositifs finaux comme les ordinateurs ou les serveurs. Le switch se charge d’ajouter l’étiquette VLAN lorsque la trame entre dans le réseau et de la retirer lorsque la trame sort du réseau, de sorte que les dispositifs connectés au VLAN n’ont pas besoin de gérer ces étiquettes eux-mêmes.
Une fois qu’une trame est étiquetée, le switch utilise cette information pour prendre des décisions sur la manière de manipuler la trame à travers le réseau. Par exemple, si une trame arrive sur un port configuré pour le VLAN 10, l’étiquette indiquera que cette trame appartient au VLAN 10. Le switch saura alors que cette trame ne peut être envoyée qu’à d’autres ports qui sont également configurés pour le VLAN 10.
Le mode d’accès
Le fonctionnement des VLANs au niveau d’un switch apporte un niveau supplémentaire de granularité et de contrôle. Concrètement, chaque port d’un switch peut être assigné à un VLAN spécifique, identifié par un numéro unique. Ce numéro de VLAN sert à étiqueter le trafic entrant et sortant du port, créant ainsi une segmentation logique à l’intérieur même du switch.
Dans ce scénario, un ordinateur ou un autre dispositif connecté à un port spécifique du switch ne peut communiquer qu’avec les dispositifs qui sont dans le même VLAN, c’est-à-dire ceux qui sont connectés à des ports assignés au même numéro de VLAN. Les trames de données qui traversent le switch sont donc étiquetées en fonction du VLAN auquel appartient le port d’origine. Le switch utilise ensuite cette étiquette pour déterminer si la trame peut être transmise à son port de destination. Si le port de destination appartient au même VLAN que le port d’origine, la trame est transmise; sinon, elle est bloquée.
Ce mécanisme de segmentation au niveau du switch permet une isolation efficace des groupes de travail ou des départements au sein d’une organisation. Par exemple, si le département financier est sur le VLAN 10 et le département marketing sur le VLAN 20, un ordinateur du département financier ne pourra pas communiquer directement avec un ordinateur du département marketing, sauf si des règles spécifiques de routage ou de commutation ont été mises en place pour autoriser ce type de communication.
Cette manière de gérer les VLANs au niveau des ports du switch est communément appelée le « vlan mode accès ». Dans ce mode, chaque port est strictement associé à un seul VLAN, et tout dispositif connecté à ce port hérite automatiquement de cette association. Le mode accès est pleinement compatible avec la technologie Ethernet, ce qui en fait une solution extrêmement versatile et largement adoptée dans les réseaux modernes.
Dans une configuration Ethernet standard, il n’est pas nécessaire de faire des modifications spécifiques sur les dispositifs finaux (tels que les ordinateurs ou les serveurs) pour qu’ils puissent fonctionner dans un environnement VLAN. Le switch, en mode accès, prend en charge la gestion des étiquettes VLAN, assurant que les trames sont correctement étiquetées et filtrées en fonction des numéros de VLAN attribués aux ports. Ainsi, la complexité de la gestion des VLANs est largement absorbée par le switch, rendant le processus transparent pour les utilisateurs finaux et simplifiant la configuration et la maintenance du réseau.
En intégrant le mode accès dans un environnement Ethernet, les administrateurs réseau peuvent donc tirer pleinement parti des avantages des VLANs sans avoir à faire face à des complications supplémentaires liées à la compatibilité ou à la configuration des dispositifs. Cela rend la technologie VLAN en mode accès, non seulement puissante en termes de fonctionnalités, mais aussi pratique et accessible.
Le mode trunk
Dans le contexte des VLANs, le “mode trunk” constitue une alternative au mode accès, mais avec une fonctionnalité différente. Contrairement au mode accès, où chaque port est dédié à un seul VLAN, le mode trunk permet à un seul port physique de switch de gérer du trafic appartenant à plusieurs VLANs simultanément. Cette capacité est particulièrement utile pour connecter ensemble différents switches, ou encore pour relier un switch à un routeur capable de gérer plusieurs VLANs.
Cependant, le mode trunk n’est pas directement compatible avec le protocole Ethernet standard, car il nécessite que l’étiquette VLAN soit explicitement incluse dans chaque trame transmise. C’est là qu’intervient le protocole 802.1Q, également connu sous le nom de “dot1q”. Ce protocole insère une étiquette spécifique dans la trame Ethernet pour indiquer à quel VLAN la trame appartient. En fait, 802.1Q ajoute quatre octets à la trame Ethernet standard, comprenant entre autres le tag, pour permettre cette fonctionnalité.
La plupart des switches modernes et certains routeurs supportent le protocole 802.1Q, mais il nécessite généralement une configuration manuelle. Lorsqu’un port est configuré en mode trunk, le switch ajoute ou lit l’étiquette 802.1Q à chaque trame qui passe par ce port. De cette manière, les trames de plusieurs VLANs peuvent être acheminées par un seul port trunk sans se mélanger, car l’étiquette indique clairement à quel VLAN chaque trame appartient.
Il est important de noter que la gestion des trames en mode trunk est plus complexe que celle en mode accès. Par exemple, pour assurer que le trafic est correctement acheminé, les deux extrémités d’un lien en mode trunk doivent être correctement configurées pour utiliser le protocole 802.1Q. Cela implique souvent une coordination étroite entre les administrateurs réseau et une connaissance approfondie des besoins spécifiques en termes de trafic et de sécurité.
