Les VLANs (Virtual Local Area Network)

Intérêt

Avoir un réseau modulable

Avant l'apparition des technologies de réseaux virtuels, l'architecture logique du réseau était fortement dépendante de l'architecture physique. Les VLANs permettent de rassemblé dans un même réseau de niveau 2 du modèle OSI (généralement Ethernet) l'ensemble des matériels ayant une corrélation fonctionnelle (même service, même fonctionnalité, etc), ou ayant une nécessité de communiquer entre eux, et ceci, indépendamment du placement physique des matériels.

Nous visualisons dans l'exemple suivant, une manière de rassembler dans les mêmes VLAN des matériels relatifs aux mêmes services. Nous créons ici virtuellement des réseaux de niveau 2 par service symbolisés par les bulles de couleurs, l'architecture du réseau ne nous l'aurait pas permis sans l'utilisation des VLANs.

Segmentation par service

Le choix du regroupement des matériels doit se faire principalement en fonction des besoins de l'entreprise.

Réduire le domaine de broadcast

Le domaine de broadcast est déterminé par l'ensemble des matériels d'un réseau ou sous-réseau atteignable par une trame broadcast émise dans le même réseau ou sous-réseau.

Les broadcasts Ethernet, son transmis à l'ensemble des matériels situés sur le même réseau Ethernet et stoppés au niveau d'une passerelle de niveau trois. Par ailleurs il est généralement conseillé qu'un domaine de broadcast Ethernet soit constitué de moins de 500 matériels afin d'assurer le bon fonctionnement du réseau.

Dans le cadre du broadcast IP, les broadcast d'un réseau ou sous réseau, ne seront diffusés respectivement que dans ce réseau ou sous réseau. Par exemple, sur un réseau ayant pour adresse 192.168.0.0/24 la trame broadcast 192.168.0.255 sera diffusée à l'ensemble des stations situées sur le réseau 192.168.0.0/24. Or l'architecture d'un réseau IP est fortement dépendante de l'architecture de niveau 2, en effet un sous réseau IP est au moins constitué d'un réseau de niveau deux.

Par conséquent, les VLANs permettant de réalisé une segmentation logique d'un support physique en plusieurs réseaux de niveau 2, nous limitons la diffusion des broadcasts. Par exemple, si nous utilisons les protocoles Ethernet et IP sur notre réseau, un VLAN constituera un réseau Ethernet et sera nécessairement un sous-réseau IP.

Il est à noté que les broadcast produise des interruptions systèmes sur les stations le temps de leur traitement, et donc utilise de la ressource matériel. De plus les tempêtes de broadcast étant diffusées sur l'ensemble d'un réseau, peuvent provoquer des surcharges de liens, et des pertes de paquets.

Par conséquent, même si la commutation (niveau deux) est plus rapide que le routage (niveau trois) sur les matériels réseaux, à cause de la désencapsulation trames, il est utile de prendre en compte le dimensionnement des réseaux de niveau deux afin de garantir les meilleurs performances. En prenant en compte ces éléments la mise en oeuvre de VLANs pour segmenter un réseau de niveau deux, en plusieurs réseaux de niveau deux, peut apparaître bénéfique.

Augmenter la sécurité sur le réseau

Ce point découle directement des points précédemment cités. En effet nous avons vue que nous pouvions réaliser une segmentation logique du réseau indépendamment de la segmentation physique. De même la communication entre les différents VLANs ne peut se faire uniquement par une passerelle de niveau 3 du modèle OSI (routage inter-VLAN). Par conséquents même si deux stations sont situées sur un même " support physique " (sous entendu constitué uniquement de HUB, Commutateurs et de liens) mais sur deux VLANs différents elles ne pourront communiquer que par l'intermédiaire d'une passerelle de niveau 3. Ainsi le spooffing MAC d'une station placé sur un même " support physique ", mais n'étant pas dans le même VLAN donc pas sur le même réseau Ethernet est alors impossible.

Par ailleurs les domaines de broadcast étant réduits, cela limite un certain nombre d'informations que pourrait sniffer un éventuelle Hacker grâce à ces trames.

Il peut ainsi être intéressant de séparer grâce aux VLANs les services critiques (ex : service financier) des autres services

Nous constatons malgré tout que la sécurité apportée par les VLAN reste basique.