Way To Learn AcademyKnowledge Assessment

VLAN Bases Et Domaines De Broadcast

CCST Networking (Cisco Certified Support Technician)Switching

VLAN bases et domaines de broadcast

Définition

Un VLAN (Virtual Local Area Network) est un reseau logique cree sur un switch pour segmenter un grand domaine de broadcast en plusieurs groupes distincts. Chaque VLAN fonctionne comme un LAN independant : les trames broadcast d'un VLAN ne sont jamais transmises aux ports d'un autre VLAN.

Contexte

CCST attend du candidat qu'il comprenne pourquoi un reseau plat (sans VLAN) pose des problemes de performance et de securite, et comment les VLAN resolvent ces problemes. C'est l'un des concepts les plus concrets du chapitre Switching.

Details techniques

Problemes d'un reseau plat (sans VLAN)

  • Domaine de broadcast unique : chaque broadcast (ARP, DHCP Discover, NetBIOS...) atteint tous les hotes du reseau.
  • Saturation : plus il y a d'hotes, plus les broadcasts consomment de bande passante.
  • Pas d'isolation : tous les utilisateurs partagent le meme segment logique (Finance, RH, Invites...).
  • Securite faible : un sniffer sur un port capte tout le trafic broadcast du reseau.

Solution VLAN

Switch 48 ports
┌────────────────────────────────────────────────────┐
│  Ports 1-12      │  Ports 13-24    │  Ports 25-48  │
│  VLAN 10         │  VLAN 20        │  VLAN 30      │
│  (Finance)       │  (Support)      │  (Invites)    │
│  Broadcast ──X── │  Broadcast      │  Broadcast    │
│     (isole)      │    (isole)      │    (isole)    │
└────────────────────────────────────────────────────┘

Types de VLAN

Type VLAN ID Role
VLAN par defaut 1 Tous les ports appartiennent a ce VLAN par defaut. Ne pas y laisser de trafic de production
VLAN de donnees 2 - 1005 (normal) Segmenter les utilisateurs par groupe
VLAN voix Variable Separer le trafic VoIP pour QoS
VLAN natif 1 (par defaut) VLAN dont les trames ne sont pas taggees sur un trunk 802.1Q
VLAN de management Variable Acces SSH/Telnet au switch (SVI)

Avantages des VLAN

Avantage Explication
Reduction des broadcasts Chaque VLAN = 1 domaine de broadcast isole
Securite Isolation logique entre groupes
Flexibilite Deplacer un utilisateur de VLAN sans changer de port physique
Scalabilite Ajouter des VLAN sans ajouter de switches
Organisation Regroupement logique par service/fonction

Configuration basique (CLI Cisco)

Switch(config)# vlan 10
Switch(config-vlan)# name Finance
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Regles fondamentales

  • Un port access appartient a un seul VLAN.
  • Le trafic entre deux VLAN differents necessite un equipement de couche 3 (routeur ou switch L3).
  • Les VLAN sont locaux au switch par defaut. Pour les etendre entre switches, il faut un trunk.

Exemple concret

Une entreprise de 200 employes utilise un seul switch L2 48 ports. Sans VLAN, un broadcast ARP touche les 200 postes. En creant VLAN 10 (Finance, 30 postes), VLAN 20 (Support, 50 postes) et VLAN 30 (Invites, 20 postes), chaque broadcast touche uniquement les membres du meme VLAN. Un invite ne voit pas le trafic broadcast de Finance.

Concepts liés

forward filtering floodingframe tagging et ports access trunkinter vlan routing roas et svi
Switching L2 Et Domaines De CollisionVtp Et Propagation Des Vlans