Les VLANs (Virtual Local Area Network)
Les différents types d'association aux VLANs
Table d'association des VLANs
Dans les matériels réseaux, l'association d'un VLAN à un port se fait par un table d'association. Ainsi les VLANs doivent être déclarés; sur le matériel. L'association à un VLAN peut se faire en fonction du port, d'une adresse MAC, d'un protocole, ou d'un sous réseau IP. Un port trunk sera associé aux VLANs qu'il autorise.
VLAN par port :
C'est le mode d'association par défaut.
L'association des trames à un VLAN se fait en fonction du PVID du port Access des matériels sur lesquels sont branchées les stations. Cette solution permet d'affecter précisément un VLAN en fonction du port sur lequel est branché une station.
Un pirate ne pourra donc avoir accès à un VLAN spécifique au niveau 2 du modèle OSI seulement si il se branche sur un port ayant le PVID correspondant au VLAN visé.
Le principal problème de ce mode d'affectation est principalement sa lourdeur d'administration. En effet si l'on déplace un matériel et que l'on désire qu'il soit toujours dans le même VLAN il faudra alors configurer le nouveau port. Cependant il est possible de simplifier l'administration des ports en couplant cette solution avec une solution d'authentification 802.1X afin de configurer dynamiquement le port en fonction de la personne authentifiée.
Cette méthode est fréquemment utilisée dans les entreprises.
VLAN par adresse MAC:
Ce mode d'association est situé au niveau de la couche 2 du modèle OSI (couche liaison). L'association à un VLAN s'effectue en fonction de tables d'adresse MAC configurées sur les commutateurs ou routeurs pour chaque VLAN. Ainsi la trame sera marquée en fonction de l'adresse MAC source de la trame. Si une adresse MAC n'est pas déclarée elle est selon les matériels et leur configuration soit associée au VLAN correspondant au PVID du port d'entrée, soit associée à un VLAN par défaut, soit refusée.
Ce mode d'affectation permet d'avoir une gestion plus modulable et centralisée de l'affectation des VLAN. Cependant l'architecture est sensible au spooffing MAC.
VLAN par protocole :
Les trames sont associées aux différents VLANs en fonction du protocole de niveau 3 utilisé pour les transmettre. Cette fonctionnalité peut être utile si l'on désire effectuer une différenciation de service 802.1p en fonction du protocole de niveau 3. Cependant elle est très peu utilisée dans des contextes d'entreprise. De plus la désencapsulation des paquets entraîne une lourdeur de traitement et donc efficacité moindre.
VLAN par sous réseau ou VLAN IP :
Les trames sont associées en fonction du sous réseau IP auquel appartient l'adresse IP source. Cette solution permet une gestion centralisée de l'affectation des VLANs. La désencapsulation des paquets entraîne une lourdeur de traitement et donc efficacité moindre que la gestion par adresse MAC ou par port. Par ailleurs elle est sensible aux attaques par spooffing IP. Elle est du fait de ses défauts peu employée dans les entreprises.