Les 3 types de VLAN

L'association à un VLAN peut se faire en fonction du port, d'une adresse MAC, d'un protocole, ou d'un sous réseau IP.

VLAN par port : C'est le mode d'association par défaut. L'association des trames à un VLAN se fait en fonction du PVID du port Access des matériels sur lesquels sont branchées les stations. Cette solution permet d'affecter précisément un VLAN en fonction du port sur lequel est branché une station. Un pirate ne pourra donc avoir accès à un VLAN spécifique au niveau 2 du modèle OSI seulement si il se branche sur un port ayant le PVID correspondant au VLAN visé. Le principal problème de ce mode d'affectation est principalement sa lourdeur d'administration. En effet si l'on déplace un matériel et que l'on désire qu'il soit toujours dans le même VLAN il faudra alors configurer le nouveau port. Cependant il est possible de simplifier l'administration des ports en couplant cette solution avec une solution d'authentification 802.1X afin de configurer dynamiquement le port en fonction de la personne authentifiée. Cette méthode est fréquemment utilisée dans les entreprises.

VLAN par adresse MAC: Ce mode d'association est situé au niveau de la couche 2 du modèle OSI (couche liaison). L'association à un VLAN s'effectue en fonction de tables d'adresse MAC configurées sur les commutateurs ou routeurs pour chaque VLAN. Ainsi la trame sera marquée en fonction de l'adresse MAC source de la trame. Si une adresse MAC n'est pas déclarée elle est selon les matériels et leur configuration soit associée au VLAN correspondant au PVID du port d'entrée, soit associée à un VLAN par défaut, soit refusée. Ce mode d'affectation permet d'avoir une gestion plus modulable et centralisée de l'affectation des VLAN. Cependant l'architecture est sensible au spooffing MAC.

VLAN par protocole : Les trames sont associées aux différents VLANs en fonction du protocole de niveau 3 utilisé pour les transmettre. Cette fonctionnalité peut être utile si l'on désire effectuer une différenciation de service 802.1p en fonction du protocole de niveau 3. Cependant elle est très peu utilisée dans des contextes d'entreprise. De plus la désencapsulation des paquets entraîne une lourdeur de traitement et donc efficacité moindre.

VLAN par sous réseau ou VLAN IP : Les trames sont associées en fonction du sous réseau IP auquel appartient l'adresse IP source. Cette solution permet une gestion centralisée de l'affectation des VLANs. La désencapsulation des paquets entraîne une lourdeur de traitement et donc efficacité moindre que la gestion par adresse MAC ou par port. Par ailleurs elle est sensible aux attaques par spooffing IP. Elle est du fait de ses défauts peu employée dans les entreprises.

Il existe différents types de VLAN utilisés dans les réseaux modernes. Certains types de VLAN sont définis par les classes de trafic. D'autres types de VLAN sont définis par leur fonction spécifique.

Un VLAN de données est un réseau local virtuel configuré pour transmettre le trafic généré par l'utilisateur. Un VLAN acheminant du trafic de voix ou de gestion ne peut pas faire partie d'un VLAN de données. Il est d'usage de séparer le trafic de voix et de gestion du trafic de données. Un VLAN de données est parfois appelé un VLAN utilisateur. Les VLAN de données sont utilisés pour diviser un réseau en groupes d'utilisateurs ou de périphériques.

Tous les ports de commutateur font partie du VLAN par défaut après le démarrage initial d'un commutateur chargeant la configuration par défaut. Les ports de commutateur qui participent au VLAN par défaut appartiennent au même domaine de diffusion. Cela permet à n'importe quel périphérique connecté à n'importe quel port du commutateur de communiquer avec d'autres périphériques sur d'autres ports du commutateur. Le VLAN par défaut pour les commutateurs Cisco est VLAN 1. Le VLAN 1 dispose de toutes les fonctions de n'importe quel VLAN, à l'exception du fait qu'il ne peut pas être renommé ni supprimé. Par défaut, tout le trafic de contrôle de couche 2 est associé au VLAN 1.

Un réseau local virtuel natif est affecté à un port trunk 802.1Q. Les ports trunk sont les liaisons entre les commutateurs qui prennent en charge la transmission du trafic associée à plusieurs VLAN. Un port trunk 802.1Q prend en charge le trafic provenant de nombreux VLAN (trafic étiqueté ou « tagged traffic »), ainsi que le trafic qui ne provient pas d'un VLAN (trafic non étiqueté ou « untagged traffic »). Le trafic étiqueté est appelé ainsi en référence à l'étiquette de 4 octets ajoutée dans l'en-tête de trame Ethernet originale et spécifiant le VLAN auquel la trame appartient. Le port trunk 802.1Q place le trafic non étiqueté sur le VLAN natif, qui par défaut est le VLAN 1. Les VLAN natifs sont définis dans la spécification IEEE 802.1Q pour assurer la compatibilité descendante avec le trafic non étiqueté qui est commun aux scénarios LAN existants. Un VLAN natif sert d'identificateur commun aux extrémités d'une liaison trunk. Il est généralement recommandé de configurer le VLAN natif en tant que VLAN inutilisé, distinct du VLAN 1 et des autres VLAN. En fait, il n'est pas rare de dédier un VLAN fixe jouant le rôle de VLAN natif pour tous les ports trunk du domaine commuté.

VLAN par port : chaque port du switch est assigné à un VLAN spécifique. C’est la méthode la plus courante et la plus simple à mettre en place.

VLAN par adresse MAC : les équipements sont affectés à un VLAN en fonction de leur adresse MAC, indépendamment du port utilisé. Cette approche offre plus de flexibilité lors des déplacements d’équipements.

VLAN par protocole : le trafic est séparé selon le protocole réseau utilisé (IPv4, IPv6, etc.), permettant d’optimiser la gestion de services spécifiques.