| Dernière révisionLes deux révisions suivantes |
| doc:vlan [2015/06/27 19:12] – créée chirac | doc:vlan [2015/06/27 19:15] – chirac |
|---|
| Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). | Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). |
| |
| == Un VLAN, pour quoi faire ? == | ==== Un VLAN, pour quoi faire ? ==== |
| |
| Il est parfois nécessaire d'isoler certains réseaux les uns des autres, par exemple pour isoler les ordinateurs des adhérents, des ordinateurs des non-adhérents (qui ne doivent pas accéder aux services du Crans). Il peut aussi être nécessaire d'isoler les serveurs, qui peuvent avoir besoin de communiquer entre eux sur un lien de communication dédié (c'est le réseau ADM). | Il est parfois nécessaire d'isoler certains réseaux les uns des autres, par exemple pour isoler les ordinateurs des adhérents, des ordinateurs des non-adhérents (qui ne doivent pas accéder aux services internes). Il peut aussi être nécessaire d'isoler les serveurs, qui peuvent avoir besoin de communiquer entre eux sur un lien de communication dédié (c'est le réseau ADM). |
| Pour cela, on peut imaginer avoir trois réseaux physiques distincts, c'est-à-dire gérer trois types de switchs différents, de sorte qu'un switch d'un type n'est interconnecté qu'à des switchs du même type. Ainsi, pour isoler une machine non-adhérente, il suffirait de brancher son câble réseau sur le switch du réseau des non-adhérents, et les serveurs sur le switch des serveurs. | Pour cela, on peut imaginer avoir trois réseaux physiques distincts, c'est-à-dire gérer trois types de switchs différents, de sorte qu'un switch d'un type n'est interconnecté qu'à des switchs du même type. Ainsi, pour isoler une machine non-adhérente, il suffirait de brancher son câble réseau sur le switch du réseau des non-adhérents, et les serveurs sur le switch des serveurs. |
| |
| Typiquement, pour une prise d'ordinateur adhérent, le switch se comporte de cette façon : | Typiquement, pour une prise d'ordinateur adhérent, le switch se comporte de cette façon : |
| * pour les paquets entrants sur la prise : | * pour les paquets entrants sur la prise : |
| * si le paquet n'a pas de marquage, on rajoute le tag adhérent (=1) et on le transmet | * si le paquet n'a pas de marquage, on rajoute le tag adhérent et on le transmet |
| * si le paquet possède un marquage, on le jette | * si le paquet possède un marquage, on le jette |
| * pour les paquets sortants : | * pour les paquets sortants : |
| * si le paquet ne possède pas de marquage ou si le marquage est 1, on le transmet | * si le paquet est marqué adh, on le transmet |
| * si le paquet possède un tag différent de 1, on le jette | * si le paquet possède un tag différent, on le jette |
| |
| Pour une prise d'adhérent possédant une borne wifi, il faut rajouter le vlan wifi (3), à la situation précédente, le switch doit de plus laisser passer, dans les deux sens, les paquets taggués avec le vlan 3. Un ordinateur classique branché sur cette prise recevra les paquets taggués, mais les ignorera, car par défaut, il n'est pas configuré pour | Après, on peut ajouter plus de vlans sur la prise (wifi, etc..) |
| en tenir compte. La borne wifi, elle, sera configuré pour communiquer uniquement avec le vlan 3. | |
| |
| Le comportement d'une prise de switch peut être soit configuré statiquement, soit déterminée dynamiquement à l'authentification, par exemple à l'aide du protocole [[CransTechnique/RaDius|radius]]. | Le comportement d'une prise de switch peut être soit configuré statiquement, soit déterminée dynamiquement à l'authentification, par exemple à l'aide du protocole radius filaire, utilisé au Cr@ns par exemple. |
| |
| == Rajout d'un tag: principe == | == Rajout d'un tag: principe == |
| Initialement, le champ "data" d'une trame ethernet possède une taille maximale de 1500 octets (hors jumbo paquets). En rajoutant le contenu du champ "Len/Etype", codé sur 4 octets, la quantité d'information utile effectivement transportée n'est alors plus que de 1496 octets. | Initialement, le champ "data" d'une trame ethernet possède une taille maximale de 1500 octets (hors jumbo paquets). En rajoutant le contenu du champ "Len/Etype", codé sur 4 octets, la quantité d'information utile effectivement transportée n'est alors plus que de 1496 octets. |
| |
| Cette information est importante à prendre en compte: lorsqu'un switch reçoit une trame contenant déjà 1500 octets de donnés et qu'il doit la tagguer, il ne peut que tronquer le champ data et ainsi perdre les 4 derniers octets d'informations. Ceci est problématique, car la plupart des protocoles de couches supérieurs ne sont pas tolérants à ces problèmes de transmission, et lorsqu'ils le sont, réessayent un envoi, toujours de taille 1500 octets, qui échoue de nouveau. Il est donc important d'indiquer à l'ordinateur qu'il ne doit pas envoyer de paquets de taille supérieure à 1496 octets, ceci se fait en général via le paramètre "mtu" ({{{message transfert unit}}}) d'un lien réseau. Ce paramètre peut-être configuré automatiquement à l'aide du [[CransTechnique/DHCP|dhcp]] ou des [[CransTechnique/AdminRéseau/IpV6/RouteurAdvertisement|Router Advertisement]] en IPv6. | Cette information est importante à prendre en compte: lorsqu'un switch reçoit une trame contenant déjà 1500 octets de donnés et qu'il doit la tagguer, il ne peut que tronquer le champ data et ainsi perdre les 4 derniers octets d'informations. Ceci est problématique, car la plupart des protocoles de couches supérieurs ne sont pas tolérants à ces problèmes de transmission, et lorsqu'ils le sont, réessayent un envoi, toujours de taille 1500 octets, qui échoue de nouveau. Il est donc important d'indiquer à l'ordinateur qu'il ne doit pas envoyer de paquets de taille supérieure à 1496 octets, ceci se fait en général via le paramètre "mtu" ({{{message transfert unit}}}) d'un lien réseau. Ce paramètre peut-être configuré automatiquement à l'aide du dhcp ou des Router Advertisements en IPv6. |
| |
| == Se connecter à un vlan (taggué) sous linux == | == Se connecter à un vlan (taggué) sous linux == |
