Virtual Local Area Network (vLAN)

Définition général du vLAN

Un vLAN (Réseau Local Virtuel), est un réseau logique isolé et indépendant. Il permet notamment :

  • la commutation logique de niveau 2
  • l’affectation d’un utilisateur à un réseau virtuel spécifique
  • la diminution du domaine de broadcast
  • l’amélioration de la sécurité par la création de réseaux virtuels isolés

Le vLAN avec un switch

Utilité

Grâce au vLAN, il est possible de créer plusieurs réseaux virtuels sur un même réseau physique. Dans le cas d’un switch physique, on va le découper en plusieurs switches virtuels.

Virtuellement, nous auront alors plusieurs switches en un, chacun gérant un domaine diffusion spécifique et fonctionnant de la même façon que plusieurs réseaux physiques :

01.PNG

Le vLAN est une technologie en standard sur les switches actuels. Par défaut, un vLAN est toujours configuré sur un switch avec sa configuration initiale.

Grâce à cette fonctionnalité, un seul équipement permet le gérer plusieurs réseaux.

Il existe 3 types de vLAN :

  • Par port ⇒ Niveau 1
  • Par adresse MAC ⇒ Niveau 2
  • Par sous-réseau / protocole ⇒ Niveau 3

Routage inter-vlan

La communication entre vLAN’s ne se fait qu’au travers d’un routeur. Pour que 2 vLAN’s communiquent entre eux, leur réseau IP doit être différente.

On peut utiliser un routeur en supplément du switch ou bien, le switch peut également servir de routeur, s’il est capable de faire du routage bien sûr.

02.png

vLAN de niveau 1

Le vLAN de niveau 1 s’effectue par port, c’est-à-dire que l’on assigne à un port un numéro de vLAN. Le switch entretien par la suite une table qui lie chaque vLAN au port associé.

Avantages :

  • Permet une isolation maximale des réseaux : on ne peut pas y accéder depuis n’importe quel emplacement sur le réseau physique.
  • Une attaque extérieure nécessite un accès direct au switch physique.

Désavantage :

  • Chaque switch possède sa propre « vlan database », qui contient la configuration de ses vLAN’s, pouvant générer une configuration générale lourde (surtout si le réseau est constitué de dizaines de switches).

90% des vLAN’s utilisés sont des vLAN’s de niveau 1.

vLAN de niveau 2

Le vLAN de niveau 2 s’effectue par adresse MAC, c’est-à-dire que l’on assigne un numéro de vLAN à l’adresse MAC d’une interface.

Avantages :

  • L’assignation en fonction de l’adresse MAC de la machine et non de son emplacement sur le réseau physique.
  • Permet de regrouper les utilisateurs par service au sein d’un réseau.
  • Offre la possibilité de centraliser la « vlan database » qui sera interrogée par les switches du réseau.
  • Un accès au switch physique devient inutile pour tenter une attaque : le pirate a besoin d’une adresse MAC spécifique.

Désavantages :

  • L’indépendance de la localisation de l’utilisateur le rend difficilement localisable sur le réseau.
  • Ajoute une difficulté pour appliquer des règles de filtrage.
  • A chaque nouvel utilisateur, il est nécessaire d’ajouter son poste de travail à un vLAN, générant de l’administration supplémentaire.

vLAN de niveau 3

Le vLAN de niveau 3 s’effectue par sous-réseau ou par protocole, c’est-à-dire que l’on assigne à un protocole ou un sous-réseau un numéro de vLAN.

Avantages :

  • La machine est automatiquement affectée à un vLAN.
  • Permet une séparation des flux réseaux. Néanmoins.

Désavantages :

  • Nécessite d’avantages de ressources pour isoler les nombreux flux circulant sur le réseau : le switch doit décapsuler chaque paquet pour déterminer à quel vLAN il appartient.
  • Un pirate peut assez facilement déterminer l’adresse IP ou le protocole utilisé par un utilisateur pour l’usurper son identité.
  • Nécessite un Switch de niveau 3 (relativement chère)
Publicités

Un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s