inlinetoc

Cet articles présente une synthèse des notions de base sur les switchs et les communateurs.

Un domaine de collision est un ensemble d’entités (cartes réseaux) qui partagent le même média de communication, si deux entités sont dans le même domaine de collision et envoient des données à un instant T alors il y a corruption des données et il faut retransmettre les données.

Le domaine de collision dépend de l’équipement sur lequel Les entités sont connectés.

• Domaine de collision avec le Hub/Concentrateur

• Domaine de collision avec le Bridge/Pont

• Domaine de collision avec le Switch/Commutateur

Quand une entité envoi une donnée, elle a le choix entre envoyer la donnée en unicast, en multicast ou en broadcast.

Quand on parle de domaine de broadcast, on prend l’hypothèse où l’entité émétrice souhaite envoyer une donnée à tout le monde, soit en broadcast.

Dans le LAN, que ce soit un Hub, un Bridge ou un Switch, la donnée sera propagée sur tous les ports parce que:

• Un hub ne lit pas le niveau 2 donc il transmet la donnée sur tous ses ports
• Un bridge lit le niveau 2 et comprend que la donnée est a destination de tout le monde (adresse MAC destination = ffff.ffff.ffff) donc elle transmet cette donnée sur son second port
• Un Switch lit aussi le niveau 2 et comprend que la donnée est a destination de tout le monde (adresse MAC destination = ffff.ffff.ffff) donc elle transmet cette donnée sur tous ses ports

Autrefois, avant que les commutateurs et les VLAN n'existent, les réseaux Ethernet étaient connectés via des concentrateurs. Les concentrateurs placent tous les hôtes en réseau sur un seul segment Ethernet. C'était un peu comme enchaîner chaque hôte au suivant. Il s'agissait d'une amélioration sur les anciens réseaux de bus à jetons. Au moins une panne d'hôte ne provoque pas de rupture de chaîne.

L'une des principales limites des concentrateurs était que tous les hôtes se trouvaient sur le même domaine de collision. Cela signifie que si deux hôtes sont transmis en même temps, les données peuvent «entrer en collision» et doivent être renvoyées. Des commutateurs ont été introduits pour résoudre ce problème, car chaque port est devenu un domaine de collision individuel.

Les commutateurs de base, appelés «commutateurs non gérés», n’ont que des fonctionnalités simples. Ils n'ont pas de support VLAN configurable. Cela signifie que tous les hôtes du commutateur font toujours partie du même domaine de diffusion.

Les commutateurs gérés permettent la séparation du trafic à l'aide de VLAN.

La fonction principale d'un VLAN est de séparer le trafic de couche 2. Les hôtes d'un VLAN ne peuvent pas communiquer avec les hôtes d'un autre VLAN sans services supplémentaires. Un exemple de service est un routeur pour transmettre des paquets entre les VLAN.

Bien entendu, une façon d'atteindre ces objectifs serait de connecter chaque groupe d'hôtes à leur propre commutateur. Ceci est parfois fait pour le trafic de gestion. Malheureusement, cela devient prohibitif, c'est pourquoi les VLAN sont souvent préférés. Le VLAN est comme un commutateur virtuel dans son concept.

Une des raisons de placer les hôtes dans des VLAN séparés serait de limiter la quantité de diffusions sur le réseau. IPv4, par exemple, repose sur les diffusions. La séparation de ces hôtes limitera la portée de ces émissions.

Une autre raison de séparer les hôtes serait la sécurité. Prenons deux exemples. Dans un centre de données mutualisé, il est important que les données d’un client ne soient pas visibles par un autre. Les séparer empêchera que cela se produise (au niveau de la couche 2).

Un autre cas de sécurité serait si un attaquant utilise un renifleur de paquets pour capturer les données du réseau. Une stratégie d’atténuation pourrait consister à créer un VLAN «invité» pour toute personne visitant les locaux. La communication de serveur à serveur peut utiliser un VLAN «sécurisé».

L'affectation d'un hôte à un VLAN lui permet de communiquer avec un autre hôte sur le même VLAN. Les commutateurs peuvent passer le trafic VLAN entre eux, de sorte que les hôtes sur un VLAN n'ont pas besoin d'être sur le même commutateur.

Ci-dessous, une trame Ethernet normale. Cela consiste en:

• Adresses MAC source et destination
• Champ Type / Longueur
• Charge utile (les données)
• Frame Check Sequence (FCS) pour l'intégrité

La trame a une balise VLAN de quatre octets ajoutée, qui comprend l'ID de VLAN. Comme indiqué ci-dessous, la balise se trouve juste après le MAC source. Le FCS est également supprimé au cours de cette étape.

Enfin, le FCS est recalculé sur la base de la trame entière.

L'ID de VLAN a une longueur de 12 bits, ce qui permet un maximum théorique de 4096 VLAN possibles. En pratique, plusieurs VLAN sont réservés (selon le fournisseur). Cela permet environ 4090 VLAN utilisables.

Un switchport peut être un port «étiqueté» ou «non étiqueté». Un port non balisé, ou un port d'accès sur un commutateur Cisco, se connecte aux hôtes (comme un serveur). L'hôte n'a connaissance d'aucune configuration VLAN.

L'hôte connecté envoie son trafic sans aucune balise VLAN sur les trames. Lorsque la trame atteint le port du commutateur, le commutateur ajoute la balise VLAN. Le port du commutateur est configuré avec un ID VLAN qu'il mettra dans la balise.

La plupart des ports de commutation utiliseront ce mode par défaut, avec l'ID VLAN 1.

Lorsqu'une trame laisse un port non balisé, le commutateur supprime la balise VLAN de la trame. Le trafic est ensuite retransmis normalement.

Le diagramme suivant illustre ce processus:

Le trafic se déroule comme ceci:

• L'hôte A envoie le trafic au commutateur. Le trafic n'a pas de balise VLAN
• La trame est reçue sur le port 1 du commutateur. Il s'agit d'un port non balisé, configuré avec l'ID VLAN 10. Le commutateur insère ensuite la balise VLAN dans la trame
• Le commutateur détermine que la trame doit être transférée hors du port 2. Il s'agit également d'un port non balisé, de sorte que la balise VLAN est supprimée de la trame
• L'hôte B reçoit la trame non étiquetée comme d'habitude

Un port est un «port balisé» lorsque l’interface attend des trames contenant des balises VLAN. Un exemple de ceci est lorsque deux commutateurs sont connectés et transmettent le trafic balisé. Les commutateurs Cisco utilisent le terme «trunk» pour désigner un port étiqueté.

L'expéditeur enverra une trame avec une balise VLAN. Le commutateur de réception verra la balise VLAN, et si le VLAN est autorisé, il transmettra la trame selon les besoins. Par exemple, une diffusion peut être reçue sur le VLAN 10. Dans ce cas, le commutateur inondera la trame vers tous les autres ports configurés avec le VLAN 10.

Le diagramme suivant illustre ce processus:

Dans ce cas, les événements suivants se produiront:

• Un hôte enverra une trame sans balise
• La trame entre dans un port non marqué sur le commutateur 1, configuré avec le VLAN 10 dans ce cas. Le commutateur ajoute la balise VLAN à la trame
• Le commutateur 1 détermine que le port 2 doit envoyer cette trame au commutateur 2. Il s'agit d'un port étiqueté, il vérifie donc que le VLAN 10 est autorisé sur ce port. Si tel est le cas, il laisse la balise intacte et envoie le trame. Si le VLAN 10 n'est pas autorisé, il supprime la trame
• Le commutateur 2 reçoit la trame sur le port balisé 1. Ce commutateur détermine également si le VLAN 10 est autorisé sur ce port et le supprime s'il ne l'est pas. Le commutateur 2 détermine que le port 2 doit envoyer la trame
• Puisque le port 2 est un port non étiqueté, il supprime l'étiquette de la trame, puis l'envoie
• L'hôte B reçoit la trame non étiquetée

Dans certains cas, une trame non étiquetée arrivera sur un port étiqueté. Pour gérer cela, les ports balisés ont un VLAN spécial configuré sur eux, appelé VLAN non balisé. Ceci est également connu sous le nom de «VLAN natif».

Le commutateur attribue toute trame non balisée qui arrive sur un port balisé au VLAN natif. Si une trame sur le VLAN natif laisse un port de jonction (étiqueté), le commutateur supprime la balise VLAN.

En bref, le VLAN natif est un moyen de transporter du trafic non balisé sur un ou plusieurs commutateurs.

Par exemple, les ports auxquels les hôtes se connectent sont des ports de jonction, avec le VLAN 15 natif configuré.

• L'hôte A envoie une trame sans balise VLAN
• Le commutateur 1 reçoit la trame sur le port de jonction. Il n'a pas de balise, donc il ajoute la balise VLAN ID 15 à la trame
• Le commutateur envoie la trame hors du port 2. La trame a une balise pour VLAN 15, qui correspond au VLAN natif sur le port 2, de sorte que le commutateur supprime la balise
• L'hôte B reçoit la trame

.