Cours Master p3 Vlans Bis

Support N°4
Les VLANs/VTP/DTP/STP
Fatima LAKRAMI
Département de Physique
Faculté des sciences, Université CHOUAIB DOUKKALI
Réseaux & Télécoms
Réseaux 1 Insaf
Fatima Tnazefti Kerkeni
LAKRAMI
Domaine diffusion collision
Réseaux 2 Insaf
LAKRAMI
Objectifs
Partie 1 : Domaine de diffusion
1. Définir domaine de diffusion

2. Le domaine de diffusion pour HUB
3. Le domaine de diffusion pour PONT
4. Le domaine de diffusion pour SWITCH
Réseaux 3 Insaf
LAKRAMI
Domaine de diffusion
• Un domaine de diffusion (Broadcast domain) est une zone d’un réseau

informatique dans laquelle n’importe quel ordinateur connecté à cette zone peut
directement transmettre à tous les autres ordinateurs du même domaine, sans
passer par un routeur
• Tous les périphériques d’un même domaine de diffusion reçoivent les trames de
diffusion émis dans ce domaine
• Un équipement de couche 3 (Routeurs, Switchs L3, Firewall) définit la limite d’un
domaine de diffusion
Réseaux 4 Insaf
LAKRAMI
Domaine de diffusion : HUB /Pont/Switch
Réseaux 5 Insaf
LAKRAMI
Domaine de collisions
Dans le monde des réseaux, si deux entités sont dans le même domaine
de collision et envoient des données à un instant T alors il y a
corruption des données et il faut retransmettre les données.
Le domaine de collision dépend de l’équipement sur lequel
vos entités sont connectés. Un domaine de collision est un
ensemble d’entités (cartes réseaux) qui partagent le même média de
communication
Réseaux 6 Insaf
LAKRAMI
Les Vlans
Réseaux 7 Insaf
LAKRAMI
Limitations LAN
 Pas de domaine de diffusion pour gérer les réseaux locaux en expansion.
Réseaux 8 Insaf
LAKRAMI
Technologie VLAN
Group 2
Group 1
 Un VLAN permet l'isolation logique du trafic au niveau de la

couche liaison de données.
Réseaux 9 Insaf
LAKRAMI
Avantages VLAN
๏ Séparation logique (par département,

par emplacement physique, par
groupes de travail, …
๏ Segmentation en plusieurs réseaux LAN,
5ème étage
réduit ainsi la charge globale
3ème étage
๏ Augmente la sécurité en séparant 1er étage
certaines sections contenant des VLAN 2

IT
VLAN 3
HR
VLAN 4
Sales
10.0.2.0/24 10.0.3.0/24 10.0.4.0/24
données sensibles des autres
sections
๏ Séparation du trafic envoyé par un
téléphone IP du trafic envoyé par un
PC connecté à ce téléphone
Réseaux 10 Insaf
LAKRAMI
Domaines de diffusion
Fonctionnement sans VLAN
PC1 Broadcast PC4

172.17.40.21/24 172.17.40.24/24
Broadcast
Broadcast Broadcast
S1 S2
PC2 PC5
172.17.40.22/24 172.17.40.25/24
Broadcast Broadcast
PC3 PC6
172.17.40.23/24 172.17.40.26/24
Réseaux 11 Insaf
LAKRAMI
Domaines de diffusion
Fonctionnement avec VLAN
PC4
172.17.50.24/24
PC1 Broadcast PC5

172.17.40.21/24 172.17.50.25/24
PC6
172.17.40.26/24
Broadcast S1 S2
PC2 PC7
172.17.50.22/24 172.17.40.27/24
PC8
172.17.60.28/24
Broadcast
PC3 PC9
172.17.60.23/24 172.17.60.29/24
Réseaux 12 Insaf
LAKRAMI
Principe des VLAN’s
Qu’est-ce qu’un réseau virtuel?
C’est une manière d ’exploiter la technique de la

commutation pour donner plus de flexibilité aux
réseaux locaux.
Les VLANS introduisent la notion de

segmentation virtuelle.
Réseaux 13 Insaf
LAKRAMI
Le réseau virtuel (VLAN):
• Permet la gestion dynamique de la

mobilité.
• Permet à des utilisateurs

géographiquement dispersés de
partager des données.
• Maintient la sécurité.
• Conserve les domaines de Broadcast

traditionnels des LANs.
• Requiert une couche 3 pour la

communication entre VLANs.
Réseaux 14 Insaf
LAKRAMI
Il existe 3 types différents de VLAN :
1. VLAN de niveau 1 (ou VLAN par port) : Il faut ici inclure les ports du
commutateur qui appartiendront à tel ou tel VLAN. Cela permet
entre autres de pouvoir distinguer physiquement quels ports
appartiennent à quels VLAN.
2. VLAN de niveau 2 (ou VLAN par adresse MAC) : Ici l'on indique
directement les adresses MAC des cartes réseaux contenues dans les
machines que l'on souhaite voir appartenir à un VLAN, cette solution
est plus souple que les VLAN de niveau 1, car peu importe le port sur
lequel la machine sera connectée, cette dernière fera partie du VLAN
dans lequel son adresse MAC sera configurée.
3. VLAN de niveau 3 (ou VLAN par adresse IP) : Même principe que pour
les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une
plage d'IP) qui appartiendront à tel ou tel VLAN.
Réseaux 15 Insaf
LAKRAMI
VLAN de niveau 1 (ou VLAN par port)
 Les VLANS de niveau 1 ou VLAN par port(PORT BASED VLAN)

regroupent les stations connectées à un même port du
commutateur.
VLAN1 VLAN2
1 2 3 4 5 6 7
 Il faut ici inclure les ports du commutateur qui appartiendront à

tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer
physiquement quels ports appartiennent à quels VLAN.
Réseaux 16 Insaf
LAKRAMI
VLAN de niveau 1 (ou VLAN par port)
Les avantages du VLAN par port:

•Association port-utilisateur.
•Aucun paquet ne quitte son domaine.
•Sécurité maximale entre VLANs.
•Facilement contrôlable dans le réseau.
Les inconvénients:
•grosses difficultés d’administrations lorsque le nombre
de ports augmente.
•Pas de filtrage des « Broadcast » sur les segments
partagés.
•Beaucoup d ’administration.
Réseaux 17 Insaf
LAKRAMI
VLAN de niveau 2 (ou VLAN MAC)
Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN):
• L’appartenance d’une trame à un VLAN est déterminée par son

adresse MAC.
•En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter

dynamiquement les ports des commutateurs à chacun des VLAN en
fonction de l’adresse MAC de l’hôte qui émet sur ce port.
• L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de

la localisation géographique. Si une station est déplacée sur le réseau
physique, son adresse physique ne changeant pas, elle continue
d’appartenir au même VLAN (ce fonctionnement est bien adapté à
l'utilisation de machines portables).
• Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.
Réseaux 18 Insaf
LAKRAMI
 Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN)

associent des stations par leurs adresses MAC selon les tables
d’adresses introduites par l’administrateur.
 Ici l'on indique directement les adresses MAC des cartes réseaux
contenues dans les machines que l'on souhaite voir appartenir à un
VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu
importe le port sur lequel la machine sera connectée, cette dernière
fera partie du VLAN dans lequel son adresse MAC sera configurée
Réseaux 19 Insaf
LAKRAMI
Les avantages du VLAN par adresse MAC:
•Filtrage requis:
-impact sur les performances
•Echange des tables d ’adresses des VLANs entre les

commutateurs..
Les inconvénients:
•grosses difficultés d’administrations à l ’échelle d ’un

campus.
Réseaux 20 Insaf
LAKRAMI
VLAN de niveau 3 (ou VLAN par IP)
Les VLAN de niveau 3 ou VLAN d’adresses réseaux(NETWORK

ADDRESS- BASED VLAN):
• On affecte une adresse de niveau 3 à un VLAN.
• L’appartenance d’une trame à un VLAN est alors déterminée par

l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit
donc accéder à ces informations).
• En fait, il s’agit à partir de l’association adresse niveau 3/VLAN

d‘affecter dynamiquement les ports des commutateurs à chacun des
VLAN.
Réseaux 21 Insaf
LAKRAMI
•Les VLANs de niveau 3 ou VLAN d’adresses réseaux(NETWORK

ADDRESS- BASED VLAN) associent des sous-réseaux IP par masque ou
par adresse.
 Dans ce cas, on aura une notion de routage ou tous les utilisateurs

seront affectés à un voire plusieurs VLANs.
Réseaux 22 Insaf
LAKRAMI
Les avantages du VLAN par sous-réseau:

• Domaine de Broadcast de niveau 2 automatiquement
construit sur l’adresse de niveau 3.
• Uniquement avec les protocoles routables.
• L'avantage du Vlan de niveau 3 est qu'il permet une

affectation automatique à un Vlan suivant une adresse IP.
Par conséquent, il suffit de configurer les clients pour
joindre les groupes souhaités. Il est aussi possible de
séparer les protocoles par Vlan.
Réseaux 23 Insaf
LAKRAMI
Les inconvénients du VLAN par sous-réseau:
• Les Vlans de niveau 3 souffrent de lenteur par rapport aux

Vlans de niveau 1 et 2.
• En effet, le switch est obligé de décapsuler le paquet jusqu'à

l'adresse IP pour pouvoir détecter à quel Vlan il appartient. Il
faut donc des équipements plus couteux (car ils doivent
pouvoir décapsuler le niveau 3) pour une performance
moindre.
• La sécurité est beaucoup plus faible par rapport aux Vlans

de niveau 1 et 2 ce qui impose la mise en place de règles
d’accès ACL’s.
Réseaux 24 Insaf
LAKRAMI
VLAN Frame Format
6 bytes 6 bytes 2 bytes 46-1500 bytes 4 bytes
DMAC SMAC Type Data FCS Untagged frame
6 bytes 6 bytes 4 bytes 2 bytes 46-1500 bytes 4 bytes
DMAC SMAC Tag Type Data FCS Tagged frame
CFI VLAN ID
TPID Priority
1 12 [bits]
3
TPID TCI
๏ 2 bytes 2 bytes
Champs du tag 802.1Q :

๏ TPID : Tag Protocol Identifier
Similaire au code Ethernet qui indique le type de trame
๏ 0x8100: Code représentant une trame 802.1Q
๏ Priority : utilisé pour la QoS (3bits)

๏ CFI : Canonical and Format Identifier : n’est plus utile sur les réseaux actuels
Permet d’indiquer s’il s’agit d’un réseau Ethernet ou un réseau Token Ring
Réseaux 25 Insaf
LAKRAMI
Types des liens
10 Frame
PVID10 PVID10
PVID2
Host A Host B Host C
Sur un commutateur Cisco, on distinguera les ports dits “access” des ports dits
“trunk”.
Un port “access” est un port qui ne transportera des informations que d’un seul
VLAN. A priori, ce type de port connectera un hôte terminal, une station de
travail ou un serveur.
Un port “access” n’ajoute pas d’étiquette au trafic qu’il délivre.
Réseaux 26 Insaf
LAKRAMI
Types des liens
Un port “trunk” est un port qui transportera des informations de plusieurs

VLANs. On y connectera un autre commutateur ou un routeur.
Un port “trunk” ajoute des étiquettes au trafic puisqu’il est destiné à un autre
commutateur. Le VLAN natif est celui pour lequel il n’y aura pas d’étiquette
ajoutée sur le port “trunk”. Ce paramètre se définit d’ailleurs sur le port
“trunk”.
Réseaux 27 Insaf
LAKRAMI
Protocoles Trunk
On trouvera deux protocoles de “Trunk” ou de “liaison d’agrégation”

VLAN qui permettent de distinguer le trafic de VLANs distincts. Il
agissent au niveau de la couche 2 “liaison de données” (L2). Ils
opèrent sous les couches TCP/IP.
Inter-Switch Link (ISL) : protocole propriétaire Cisco qui encapsule la
trame d’origine avec un en-tête spécifique qui contient entre autres
le numéro de VLAN et un nouveau champ FCS. Il est indépendant de
la technologie sous-jacente. Il est de moins en moins rencontré au
profit de IEEE 802.1q.
IEEE 802.1q : Standardisé et interopérable, il ajoute une étiquette
dans l’en-tête de la trame (un ensemble de champs juste après le
champ d’adresse MAC d’origine). Cette étiquette a une taille de 4
octets ou 32 bits dont 12 bits sont consacrés au numéro de VLAN. Le
standard supporte les technologies IEEE 802.3 (Ethernet), IEEE
802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que protocole de
“pontage” (bridging, IEEE 802.1). Vu que la trame sera modifiée, le
commutateur recalculera la valeur du champ CRC/FCS.
Réseaux 28 Insaf
LAKRAMI
Le Protocole 802.1Q
• Le standard IEEE 802.1Q définit le contenu de la balise de VLAN

(VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
• Le format de la trame Ethernet modifiée avec les 4 octets

supplémentaires est présenté ci-dessous :
adresse dst. adresse src. EtypeTag Data Len/Etype FCS
• La norme IEEE 802.1Q permet de créer des réseaux locaux

virtuels(VLANS) et de leur affecter un niveau de priorité.
• Le protocoles 802.1Q(Tag) permet à des VLANs de se propager sur

différents commutateurs à partir d'un seul lien physique.
TPID (2Bytes) Priority (3bit) CFI (1Bit) VID (12Bit)
Réseaux 29 Insaf Tnazefti Kerkeni

Etiquettes 802.Q
Réseaux 30 Insaf Tnazefti Kerkeni

Encapsulation IEEE 802.1q
Réseaux 31 Insaf
LAKRAMI
Nomenclature des VLANs
Dans sa documentation, Cisco Systems distinguent plusieurs types

de VLANs. Cette nomenclature n’est pas stricte.
En voici une liste non-exhaustive.
 VLAN 1
 VLAN par défaut (Default VLAN)
 VLANs utilisateur (User VLAN)
 VLAN de gestion (Management VLAN)
 VLAN natif (Native VLAN)
 VLAN Voice
 VLANs réservés
Réseaux 32 Insaf
LAKRAMI
Le VLAN 1
Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous

les ports, y compris l’interface de gestion (SVI). En plus, une
série de protocoles de couche 2 comme CDP (Cisco Discovery
Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation
Protocol) et DTP doivent impérativement transiter à travers ce
VLAN spécifique.
Pour ces raisons, le VLAN 1 ne peut jamais être supprimé, il

existe d’office.
Pour ces raisons, il recommandé d’éviter d’utiliser dans tous les

cas le VLAN 1 dans ses déploiements en production.
Notons que les VLANs 1002 à 1005 sont des VLANs par défaut
réservés aux technologies FDDI et Token-Ring. Ils sont donc
inutilisables sur un commutateur Cisco Ethernet.
Réseaux 33 Insaf
LAKRAMI
Le VLAN par défaut/ de gestion
VLAN par défaut

Par défaut, le VLAN 1 est celui qui assigné à tous les ports d’un
commutateur tant qu’ils n’ont pas été configurés autrement.
Cela signifie que tous les autres types de VLANs (utilisateur,
gestion et natif, etc.) sont membres du VLAN 1 par défaut.
VLAN de gestion
Le VLAN de gestion est un VLAN spécifique attribué aux
commutateurs pour qu’ils soient accessibles via une adresse IP
(ICMP, Telnet, SNMP, HTTP).
On identifie un VLAN en particulier (par exemple le VLAN 1 mais peu

importe) et sur ce VLAN on active une interface VLAN qui est une
sorte d’interface virtuelle qui peut être joignable de n’importe
quelle interface physique qui appartiennent au même VLAN.
Réseaux 34 Insaf
LAKRAMI
VLAN natif
La notion de VLAN natif n’intervient que lorsque l’on configure

un port “Trunk”. Quand un port est configuré en tant que tel, le
commutateur insère une “étiquette” dans l’en-tête de la trame
avec le numéro de VLAN approprié.
Toutes les trames passant par un “Trunk” sont ainsi étiquetées

sauf les trames appartenant au VLAN natif. Donc, les trames du
VLAN natif, par défaut le VLAN 1, ne sont pas étiquetées.
Ce type de VLAN existe pour assurer une inter-opérabilté avec du
trafic ne supportant pas l’étiquetage. On recommandera de
changer le numéro du VLAN natif.
Aussi, les protocoles de contrôles tels que CDP, VTP, et DTP sont
toujours transmis par le VLAN natif. Si on change l’identifiant du
VLAN natif, ce qui est conseillé, il faut le faire sur toutes les
liaisons “Trunk”, sur toute la topologie.
Réseaux 35 Insaf
LAKRAMI
SWITCH sans VLAN SWITCH avec VLAN
Réseaux 39 Insaf
LAKRAMI
Routage Inter-Vlan
Réseaux 40 Insaf
LAKRAMI
Routage entre VLAN
๏ Les hôtes d’un même VLAN sont sur

le même sous-réseau
Communication directe entre hôtes
๏ Les hôtes de VLANs différents sont sur
des sous- réseaux différents
Nécessite l’utilisation d’un routeur
ou
๏ équipement de couche 3 pour la
communication Inter-VLAN
SW1 SW2
VLAN 10 VLAN 11 VLAN 12 VLAN 10 VLAN 11 VLAN 12

Management Wireless Clients Management Wireless Clients
41
Réseaux 41 Insaf
LAKRAMI
Routage entre VLAN
VLAN 10
Management
Séparation physique sur

routeur
VLAN 11
VLAN Wireless
10
Manage
ment
Utilisation de sous-interfaces (Sub-Interfaces) :

Router to a Stick
VLAN
11 VLAN
Wirele 10
ss Manage
ment
SVI 10 :
Utilisation de Switchs Layer 3 et SVI (Switch 10.10.1.254
SVI 11 :
Virtual Interface) 10.10.2.254
VLAN
11
Wirele
ss 4
2
Réseaux 42 Insaf
LAKRAMI
Routage entre VLAN
Routage via interfaces physiquement séparés
๏ Nécessite un routeur muni d’autant

VLAN 10 VLAN 11
d’interfaces physiques que de .254

R1
.1
Management
10.10.10.0/24
Wireless
10.20.20.0/24
VLANs à connecter R1 : 10.10.10.1 R1 : 10.20.20.254
๏ Chaque VLAN dispose d’une

Interfaces sur VLAN 10 :
connexion physique sur le routeur Fa0/38, Fa0/39, Fa0/40
SW1 Interfaces sur VLAN 11 :
๏ Attention aux boucles de routage ! Un Fa0/18, Fa0/19, Fa0/20
Fa0/18
Fa0/19
Fa0/38
Fa0/39
routeur ne doit disposer que d’une
interface sur un VLAN .201
.101
๏ Le lien entre le routeur et le VLAN est .100 .200
un lien d’accès
43
Réseaux 43 Insaf
LAKRAMI
Routage entre VLAN
Routage via sous-interfaces
๏ Au sein d’une interface physique, définition de Fa0/0.10

VLAN 10
Serveurs
VLAN 20
Fa0/0.20
plusieurs interfaces logiques Fa0/0
Management
VLAN 30
R1 Fa0/0.21 Clients
๏ Chaque interface logique est associée à Fa0/0.40
VLAN 40
Wireless
un VLAN particulier
๏ L’interface physique ne reçoit pas R1
Fa0/0
d’adresse IP, ce sont les adresses logiques VLAN 10
Management
VLAN 11
Wireless
10.10.10.0/24 10.20.20.0/24
qui sont configurées avec une adresse Lien de Trunk R1 : 10.10.10.1 R1 : 10.20.20.254
VLANs autorisés : 10,11
๏ Pas de limite sur le nombre d’interfaces
Fa0/20
logiques par interface physique Interfaces sur VLAN 10 :
Fa0/38, Fa0/39
๏ Le lien entre le routeur et le switch Fa0/18, Fa0/19
Fa0/18
Fa0/19
Fa0/38
Fa0/39
est un lien de trunk sur lequel les
VLANs devant être interconnectées
.201
.101
sont autorisées
.100 .200
๏ Le numéro de la sous-interface ne
doit pas forcément correspondre au
44
numéro du VLAN
Réseaux 44 Insaf
LAKRAMI
Routage entre VLAN
Routage par Switch Multilayer
๏ Un switch Layer 3 propose également

des fonctions de routage inter-VLAN VLAN 10 VLAN 11
Management Wireless
10.10.10.0/24 10.20.20.0/24
๏ Définition d’interfaces virtuelles (SVI : SW1 : 10.10.10.1 SW1 : 10.20.20.254
Switched Virtual Interface) au sein du

switch Interfaces sur VLAN 10 :
Fa0/38, Fa0/39
8
Fa0/1
9
Fa0/1
8
Fa0/3
9
Fa0/3
Fa0/18, Fa0/19
Ces interfaces disposent

d’adresses IP
๏
.201
๏ Méthode la plus couramment utilisée,

.101
.100 .200
la plupart des switchs actuels

disposent de fonctions de couche 3
๏ Nécessaire d’activer la fonctionnalité

de routage au sein du switch
45
Réseaux 45 Insaf
LAKRAMI
Activités complémentaires (1)
1. Combien y-a-t-il de tables d'adresses MAC dans un switch ?

2. A quel VLAN appartient un port en mode trunk ?
3. Que se passe-t-il quand un switch reçoit un broadcast de
niveau 2 sur un port appartenant à un VLAN ?
niveau 2 sur un port appartenant à plusieurs VLAN ?
niveau 2 sur un port utilisé en mode trunk ?
niveau 3 sur un port appartenant à un VLAN ?
Réseaux 46 Insaf
LAKRAMI
Activités complémentaires (1)_Solution
1. Il y a une table MAC par VLAN

2. A aucun, ils sont utiles pour « propager » tous les VLAN entre deux switch ou
entre un switch et un routeur
3. Il renvoie la trame uniquement aux ports participants au même VLAN (y
compris les ports trunk, après étiquetage)
4. Il renvoie la trame à tous les ports participants à chacun des VLANs
concernés
5. Une trame de broadcast de niveau 2 provenant d'un port trunk porte
l'identification d'un seul VLAN. Après détiquetage, la trame est retransmise vers
tous les ports participants à ce VLAN (y compris les ports trunk, mais sans
détiquetage)
6. Un broadcast IP est toujours contenu dans un broadcast MAC car :
 dans un réseau IP, si on veut faire un broadcast IP, il faut que toutes
les cartes prennent la trame, donc il y a aussi broadcast MAC vers un
réseau IP, un routeur pourrait transmettre un broadcast IP à l'interface
MAC du routeur qui sert le réseau. C'est une situation techniquement
possible, mais qui ne se rencontre pas en pratique car on s'arrange
toujours pour que les routeurs ne transmettent pas les broadcast IP
Réseaux 47 Insaf
LAKRAMI
VTP (VLAN Trunking Protocol)
Réseaux 48 Insaf
LAKRAMI
VLAN TrunkingProtocol
๏ Lors de la gestion d’un environnement

réseau complexe, l’ajout d’un VLAN peut
Configuration manuelle
Je crée un nouveau
du VLAN 100
VLAN 100
être fastidieux
๏ Il est nécessaire de créer le VLAN sur
l’ensemble des switchs Configuration manuelle Configuration manuelle
du VLAN 100 du VLAN 100
๏ Lors de suppression ou ajout réguliers

de VLANs, il est également difficile de
Configuration manuelle Configuration manuelle
garder une cohérence sur l’ensemble du VLAN 100 du VLAN 100
๏ Configuration manuelle Configuration manuelle
des switchs du VLAN 100 du VLAN 100
Certains switchs oubliés par l’administrateur

conservent ainsi une configuration VLAN qui Configuration manuelle Configuration manuelle
n’est plus adapté

du VLAN 100 du VLAN 100
๏ Solution : Protocole VTP

๏
๏ Permet de synchronisation et utiliser une
configuration VLAN pour l’ensemble des
49
switchs La création/suppression de VLANs est
ensuite répercutée dynamiquement sur tous
les switchs
Réseaux 49 Insaf
LAKRAMI
Définition
 C’est un protocole propriétaire Cisco de niveau 2.
 Le protocole VTP diffuse des annonces de création, de

suppression ou de modification de VLAN.
 Cette diffusion s’effectue à travers tous les Switch grâce à

une trame niveau 2 avec une adresse de destination MAC
multicast bien particulière qui est 01-00-0C-CC-CC-CC.
Réseaux 50 Insaf
LAKRAMI
Architecture du VTP
Le Switch possède 3 modes VTP:
 VTP Server: Switch qui crée les annonces VTP
 VTP Client: Switch qui reçoit, se synchronise et propage les annonces VTP
 VTP Transparent: Switch qui ne traite pas les annonces VTP
Server Mode Client Mode Transparent Mode
๏ Ne permet pas la création, modification

๏ Mode par défaut
et suppression de VLANs ๏ Permet la création, modification et
๏ Permet de créer, modifier et
๏ Se synchronise avec les autres suppression de VLANs
supprimer des VLANs
configurations VLANs ๏ Ne se synchronise avec les autres
๏ Permet la synchronisation de
configuration VLANs ๏ Transfère les annonces VTP aux autres switch
switch et peut en générer ๏ Transfère les annonces VTP aux autres
๏ Envoi d’annonces VTP aux autres
๏ Ne sauvegarde pas sa configuration switch mais n’en génère pas
switch
VLAN. ๏ Sauvegarde de la configuration dans la
๏ Sauvegarde de la configuration
Au démarrage, se synchronise avec le NVRAM
dans la NVRAM
serveur
Réseaux 51 Insaf
LAKRAMI
Switch en mode VTP Server
Le Switch en mode Server permet à l’administrateur

de faire toute modification sur les Vlan et de propager
automatiquement ses modifications vers tous les
Switch du réseau.
Réseaux 52 Insaf
LAKRAMI
Switch en mode VTP Client
Le Switch en mode Client ne permet pas à

l’administrateur de faire des modifications ou
crée des VLAN.
Réseaux 53 Insaf
LAKRAMI
Switch en mode VTP Transparent
Le switch en mode Transparent permet à

l’administrateur de faire toute modification sur
les VLAN en local uniquement.
Réseaux 54 Insaf
LAKRAMI
Synchronisation
A chaque création/suppression/modification de
VLAN une variable appelée RN (Revision Number)
s'incrémente.
Réseaux 55 Insaf
LAKRAMI
VLAN Trunking Protocol
Compatibilité : Versions VTP
๏ Un switch VTP v1 (v2 Capable) migre automatiquement sur VTP v2 si :
Il détecte qu’il est connecté à un voisin v2
Il détecte qu’il est connecté à un voisin v3 ! Attention, il ne migre pas sur la v3 !!
๏ Un switch VTP v1 ou v2 (v3 Capable) migre uniquement sur VTP v2 de manière
automatique
Toute utilisation de VTP v3 doit être configurée manuellement (même si le switch
détecte un voisin v3 directement connecté) VTPv3 est rétro-compatible avec VTPv2
VTP Version 1 VTP Version 2
Ne supporte qu’un seul domaine VTP Support de domaines VTP multiples
Vérifie le nom de domaine VTP Pas de vérification du nom de domaine VTP

Si correspondance, fait suivre les messages VTP pour l’envoi ou le transfert de messages VTP
Plus de vérifications de consistence

Vérifie la consistance lors d’ajout de nouvelles informations
(En-tête plus importante)
Pas de support de VLAN Token-Ring Support de VLANs Token-Ring
Réseaux 56 Insaf
LAKRAMI
VTP v3
VTP Version 1/2 VTP Version 3
Synchronisation d’une seule base de données VTP Synchronise les VLANs, les informations 802.1s MST et Private VLAN
Mot de passe stocké en clair Mot de passe stocké en clair ou hachage
VLANs étendus (1006 - 4094) supportés uniquement en VLANs étendus complètement supportés dans VTPv3
VTP Transparent (Création sur VTP Primary Server et synchronisation)
Modes VTP : Modes VTP :
Server, Client, Transparent Primary server, Secondary Server, Client, Transparent, Off
Sur VTPv2, le changement du nom de domaine VTP pouvait
Sur VTPv3, le changement de nom de domaine VTP doit être effectué
être effectuée automatiquement dès réception d’un
manuellement
message VTP
Mises à jour de VTP basés sur le numéro de révision
Mises à jour de VTP seulement si annoncés du Primary Server
(numéro le plus haut)
Réseaux 57 Insaf
LAKRAMI
VTP v3 : Modes
๏ Secondary Server (mode par défaut)
 Similaire au mode VTP Client : ne permet pas

l’ajout/suppression de VLANs N’est pas autorisé à
mettre à jour la base de données VLAN des autres
switchs
 Primary Server
 Un seul Primary Server par domaine VTPv3
 Seul le Primary Server est autorisé à mettre à jour la base de
données VLANs sur les autres switchs Seul le Primary Server
est autorisé à ajouter ou supprimer des VLANs
Réseaux 58 Insaf
LAKRAMI
VTP v3 : Configuration
Etapes
Mode VTP :
๏ Configuration de liens comme trunk SW1 Server
Fa0/3
๏ Configuration du domaine VTPv3

Fa0/2
๏ Configuration de la version v3 de VTP
Mode VTP :
๏ Election d’un switch comme VTP Primary SW2 Client
Fa0/1
Server
๏ (Opt.) Configuration du mot de passe
Fa0/0
Mode VTP :
Configuration d’un mot de passe caché (hachage) SW3 Transparant
Réseaux 59 Insaf
LAKRAMI
VTP Pruning
๏ Technique permettant une meilleure bande passante en limitant la portée du trafic
des VLANs
Exemple : Si la station A d’un VLAN particulier envoie une requête de diffusion, la
diffusion ne sera pas transmise aux switchs dont aucune station de ce VLAN n’est
๏
connectée
VLAN 60 VLAN 60
Sans Pruning Avec Pruning
60
Réseaux 60 Insaf
LAKRAMI
VTP Pruning : Règles
๏ Pour un VLAN qui n’est pas actif (aucun Access Port associé à ce VLAN), tous
les liens de trunk vont restreindre ce VLAN (Prune VLAN)
๏ Dès que le VLAN est activé (un Access Port est associé à ce VLAN) :
Un message Triggered Join est envoyé sur :
Les ports STP Root (lorsqu’il s’agit d’un Switch non STP Root
Bridge) Les ports STP Designated (lorsqu’il s’agit du switch STP
Root Bridge)
๏ Le VLAN n’est plus restreint seulement si :

๏ Un message Triggered Join est reçu sur un port ET que ce port est à
l’état STP Forwarding pour ce VLAN
61
Réseaux 61 Insaf
LAKRAMI
Exemple VTP
Pruning
F RP DP F DP F
F RP
DP DP F Root
SW1 B F SW2 B SW3 Bridge
F STP : Port à l’état

Forwarding
B STP : Port à l’état Blocked
Etat actuel pour le VLAN-X sur les liens de Trunk

๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X
๏ Spanning-Tree n’est pas encore actif puisque aucun équipement n’est connecté sur
le VLAN
62
Réseaux 62 Insaf
LAKRAMI
Exemple VTP Pruning
RP DP RP DP
F P F F P P F
Root Bridge
SW1 B P F SW2 B P F SW3
DP DP
F STP : Port à l’état Forwarding

P VTP Pruning : VLAN Pruned

๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X
๏ Les liens de Trunks effectuent le Pruning du VLAN-X
63
Réseaux 63 Insaf
LAKRAMI
Exemple VTP Pruning
RP J DP RP DP
F P P F F P P F
Root Bridge
F DP DP
VLAN-X

J VTP Pruning : Triggered Join

๏ Sur SW1, on connecte un hôte sur un Access Port du VLAN-X
๏ Spanning-Tree s’active et configure les ports aux états Forwarding ou Blocking selon le schéma ci-
dessus
๏ SW1 commence à émettre un message Triggered Join sur ses Root Port 64
Réseaux 64 Insaf
LAKRAMI
Exemple VTP Pruning
RP DP J RP DP
F P F F P P F
Root Bridge
F DP DP
VLAN-X


๏ SW2 reçoit le Triggered Join de SW1. Ce port est à l’état Forwarding
๏ SW2 ne va plus effectuer de Pruning sur ce port 65
Réseaux 65 Insaf
LAKRAMI
Exemple VTP Pruning
RP DP RP J DP
F P F F P P F
Root Bridge
F DP DP
VLAN-X


๏ SW2 envoie maintenant un Triggered Join sur ses Root Port
66
Réseaux 66 Insaf
LAKRAMI
Exemple VTP Pruning
RP DP RP DP J
F P F F P F
Root Bridge
F DP DP
VLAN-X

Etat final pour le VLAN-X sur les liens de Trunk

๏ SW1 reçoit le Triggered Join sur un port à l’état Forwarding.
๏ Il n’effectue plus de Pruning VLAN sur ce port 67
Réseaux 67 Insaf
LAKRAMI
Activité 1
1. Rappelez pourquoi les VLANs sont utiles

2. Pourquoi sont-ils un élément important de la sécurité d'un réseau ?
3. Quels matériels sont mis à contribution pour faire fonctionner un
réseau de VLANs ?
4. Quels paramètres sont à régler sur une station de travail pour qu'elle
puisse participer à un VLAN ?
5. Comment rendre possible la communication entre VLANs ?
6. Dans le cas où on attribue un sous-réseau IP par VLAN, cette
technique ne devient-elle pas équivalente à la simple segmentation en
sous- réseaux ?
7. Quels sont les protocoles mis en oeuvre pour faire fonctionner un
réseau de VLANs ?
8. Pouvez-vous donnez des exemples des situations réelles où
l'utilisation des VLANs est indispensable ?
Réseaux 68 Insaf
LAKRAMI
Activité 1: Solution
1. Ils permettent de s'affranchir du lieu de connexion des postes, pour

pouvoir les grouper en domaines de broadcast selon leur fonction. Cela permet de concentrer
les communications à l'intérieur des VLANs.
2. La technique des VLANs est une technique de segmentation. Une fois
séparés en groupes de travail, les ordinateurs se voient autorisés, par l'administrateur
réseau, uniquement les communications utiles au
sens de la politique de sécurité.
3. Switchs et routeurs
4. Aucun, les postes ne connaissent pas leur appartenace à un VLAN.
5. En les interconnectant avec un routeur
6. Non : . dans le cas de l'utilisation d'un seul switch, on utilise les VLAN
pour économiser des interfaces et des switchs :
dans le cas de machines dispersées, on utilise plusieurs switchs et l'apport des VLANs permet de
s'affranchir des contraintes de câblage
7. Protocoles d'étiquetage des trames : ISL ou 802.1q (802.10 pour FDDI
et LANE pour ATM) puis éventuellement VTP pour propager les tables
MAC/VLAN de switch en switch
8. Exemples : . quand un domaine de broadcast est trop grand, il faut le segmenter, les
VLANs sont une bonne solution
. dans le cas d'utilisateurs identifiés par leur adresse MAC, quelque soit l'endroit où ils se
connectent physiquement sur le réseau
. partout où le câblage doit rester figé alors que la fonction des postes peut changer en
fonction des l'utilisateur à qui on attribue ces postes
Réseaux 69 Insaf
LAKRAMI
Activité 2
1. Rappelez quels sont les différents types de VLAN
2. Discutez des avantages de ces différentes techniques
3. Laquelle vous semble la plus intéressante ?
Réseaux 70 Insaf
LAKRAMI
Activité 2: Solution
Types de VLAN :
. statiques ou VLAN par port : facile à mettre en oeuvre, difficile à
maintenir, peu sécurisant, sauf si vos ordinateurs sont
absolument inamovibles
. dynamiques ou VLAN par adresse MAC : plus difficile à mettre
enroute (tables d'adresses MAC à construire), mais plus facile à
maintenir. Plus sécurisant car les machines peuvent bouger.
. il existe des VLAN dynamiques par adresse IP, ou VLAN de
niveau 3, ils sont peu utilisés car peu sécurisant puisque l'@IP est
facilement paramétrable sur un ordinateur.
Ce sont les VLANs dynamiques par adresse MAC qui sont, de loin,
les plus utilisés.
Réseaux 71 Insaf
LAKRAMI
DTP (Dynamic Trunking
Protocol)
Réseaux 72 Insaf
LAKRAMI
DTP
Un port physique d’un switch peut avoir plusieurs état (ou mode)
concernant le DTP. Ces états sont très importants à connaitre car selon
le modèle de votre switch, l’état par défaut n’est pas le même (je sais
c’est aberrant mais c’est comme ça).
Réseaux 73 Insaf
LAKRAMI
DTP
Les cases où il y a des “?” sont les cas où le comportement des 2

switchs est incertain car la configuration est incohérente: d’un
côté on configure le port en Access et de l’autre en Trunk donc ça
ne fonctionnera pas.
Réseaux 74 Insaf
LAKRAMI
DTP
 un protocole qui va monter automatiquement un Trunk entre 2

switchs, c’est le protocole DTP.
 DTP pour Dynamic Trunking Procotol, c’est un protocole
propriétaire Cisco donc ne fonctionne qu’entre switchs Cisco!
 Le principe est très simple, lorsqu’un port monte, des annonces DTP
sont envoyées;
 si le port est connecté à un switch voisin, ce dernier va recevoir
l’annonce DTP et y répondre. Des deux côtés, l’activation du Trunk
s’effectue;
 si le port est connecté à un pc, ce dernier ne répondra pas à
l’annonce car il comprend pas le protocole. Sur le port du switch, le
Trunk n’est pas activé et donc reste en mode Access.
Réseaux 75 Insaf
LAKRAMI
STP (Spanning Tree Protocol)
Réseaux 76 Insaf
LAKRAMI
Redondance Niveau 2
Redondance : Des boucles peuvent se produire dans le réseau dans le

cas ou l’on souhaite avoir une redondance avec plusieurs switchs.
Redondance
La connexion de deux switchs aux mêmes segments de réseau assure
un fonctionnement continu s’il y a des problèmes avec l’un des
segments. La redondance peut assurer la disponibilité constante du
réseau.
Cependant, lorsque les switchs sont utilisés pour la redondance dans
un réseau, des boucles peuvent se produirent.
Réseaux 77 Insaf
LAKRAMI
1er problème: Tempète de broadcast
Le switch du haut reçoit la trame sur son port,

• extrait l’adresse MAC de destination (FFFF.FFFF.FFFF)
• duplique la trame sur tous ses ports car c’est une adresse de broadcast.
• La trame sort donc du switch du haut et se dirige vers le switch du bas
idem pour le switch du bas;
• il reçoit la trame sur son port,
• extrait l’adresse MAC de destination (FFFF.FFFF.FFFF)
• la duplique sur tous ses ports car c’est une adresse de broadcast.
• La trame sort donc du switch du bas et se dirige vers le switch du haut
• et ces trames tournent sans arrêt entre les 2 switchs, faisant
monter leur CPU à 100% et les font plus ou moins planter (souvent
un reboot est nécessaire)
tempête de broadcast, ou broadcast

storm
Réseaux 78 Insaf
LAKRAMI
2ème problème: Duplication de trame
 Maintenant, imaginons que la station A envoi une trame vers la

station B, donc la trame sera forgée avec les informations suivantes:
 adresse MAC source: A
 adresse MAC destination: B
 Le switch du haut reçoit la trame sur son port (flèche rouge),

 extrait l’adresse MAC de destination (B) et la commute sur le port de
droite.
 La station B reçoit bien la trame de la station A
 Mais le switch du bas reçoit aussi la trame sur son port (flèche
orange), extrait l’adresse MAC de destination (B) et la commute sur
le port de droite. La station B reçoit donc pour une deuxième fois la
trame de la station A
 Ce phénomène s’appelle la duplication de trame
Réseaux 79 Insaf
LAKRAMI
3ème problème: Instabilité de la table CAM
•La trame arrive sur le port 1 du switch du haut. Le switch extrait l’adresse MAC source et
l’insère dans sa table CAM [port 1 = adresse MAC A]
•la trame arrive aussi sur le port 3 du switch du bas. Le switch extrait l’adresse MAC source et
l’insère dans sa table CAM [port 3 = adresse MAC A]
Maintenant que chaque switch a extrait l’adresse MAC source pour l’insérer dans sa table,
chacun extrait l’adresse MAC de destination (B) et la compare à sa table. Comme aucune
entrée n’est trouvée, chaque switch va dupliquer la trame sur tous ses ports:
 le switch du haut envoi la trame sur son port 2
 le switch du bas envoi la trame sur son port 4
le switch du haut reçoit sur son port 2 la trame du switch du bas
 le switch extrait l’adresse MAC source et l’insère dans sa table CAM [port 2 = adresse MAC A]. Pour cela, il
supprime l’entrée précédente qui était [port 1 = adresse MAC A]
le switch du bas reçoit sur son port 4 la trame du switch du haut
 le switch extrait l’adresse MAC source et l’insère dans sa table CAM [port 4 = adresse MAC A]. Pour cela, il
supprime l’entrée précédente qui était [port 3 = adresse MAC A]
On voit ici que les switchs mettent à jour leur table CAM à chaque fois qu’ils reçoivent une
trame.
Ce phénomène s’appelle l’instabilité de la table CAM.
Réseaux 80 Insaf
LAKRAMI
Spanning Tree
 Spanning-Tree est un protocole L2 formalisé IEEE 802.1D qui

permet de garder une topologie physique redondante tout en créant
un chemin logique unique.
 Spanning-Tree envoie régulièrement des annonces (BPDU) pour élire
un commutateur principal (root).
 En fonction de cette information, les commutateurs “coupent” des
ports et une topologie de transfert à chemin unique converge (de
quelques secondes à 50 secondes selon les versions).
Une topologie sans boucle ressemble à un|arbre et à la base de chaque arbre, on

trouve ses racines, qu’on peut appelé « root ».
Réseaux 81 Insaf
LAKRAMI
Algorithme Spanning tree (4 étapes)
1) Sélection d’un commutateur Root, un seul par topologie, qui sera le

commutateur racine de la topologie, tous ses ports transfèrent le trafic (ports
Designated). Le commutateur avec l’identifiant “Bridge ID” (BID) le plus faible
remporte l’élection
2) Sélection d’un seul port Root sur les (autres) commutateurs non-Root, qui
dispose de la liaison dont le coût vers le commutateur Root est le plus faible.
Il est le seul à transférer du trafic.
3) Sélection d’un port Designated pour chaque segment physique qui connecte
deux commutateurs quand c’est nécessaire. C’est le port qui a le coût vers le
commutateur Root le plus faible qui est sélectionné, il est le seul à transférer
le trafic.
4) Les ports Root et Designated transfèrent du trafic (état “Forwarding”) et les
autres ports coupent la liaison (état “Blocking”)..
Terminologie Spanning-Tree
•port Désigné
•Bridge •port Root
•MAC bridges •port Non-désigné
•BID •délais
•BPDU •RSTP
•États STP •PVST+
•commutateur (switch) Root •PVRST+
•commutateur non-Root •rapid-pvst
Réseaux 82 Insaf
LAKRAMI
Algorithme Spanning tree
Le Spanning tree, utilise des BPDU’s pour la communication entre les

switchs.
L’algorithme du spanning-tree procède en plusieurs étapes :

| Tout d’abord il va procéder à l’Élection du commutateur racine :
Chaque switch possède une adresse MAC et un numéro de priorité qu’on

peut paramétrer.
|Ces deux nombres forme l’identifiant du pont, plus connu sous le
nom de « B » « I » « D ».
Réseaux 83 Insaf
LAKRAMI
Algorithme Spanning tree (suite 1)
Le commutateur avec la priorité la plus basse devient le pont racine, et

en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte.
En règle général, l’administrateur réseau fait en sorte que le commutateur racine

soit le plus proche possible du cœur réseau, | en modifiant la valeur du Bridge ID.
Après avoir élu le commutateur racine, le spanning tree | va déterminer les ports
racines :
Cette élection porte sur la distance la plus courte vers le commutateur
racine.
| Pour ça, il se base sur le « cout » de chaque lien traversé. Et la valeur
du cout dépend de la bande passante du lien, comme le montre le
tableau.
Réseaux 84 Insaf
LAKRAMI
Le « port racine » qui est aussi connu sous le nom de root port ou bien
simplement avec les initiales RP, sera celui qui mène le plus directement au
commutateur racine.
 Il ne peut y avoir qu’un seul root port par commutateur.
| En cas d’égalité, c’est-à-dire que 2 switchs ont le même coût vers le Bridge ID,
alors ce sera le port ayant le port ID le plus faible qui sera élu. (F0/0, F0/1…)
Après avoir déterminé les ports racine, le spanning tree |va sélectionner les
ports désignés :
Pour chaque segment réseau qui relie des commutateurs, |un « port désigné »
qu’on peut écrire aussi avec les initiales « DP » , est sélectionné par le spanning
tree.
 |Il s’agit du port relié au segment, qui mène le plus directement à la racine
!
Ensuite en cas d’égalité sur un segment, et bien la sélection, se fera aussi sur la
priorité et la mac-adresse la plus basse.
Réseaux 85 Insaf
LAKRAMI
Convergence de quelques secondes à 50 secondes selon les versions

Réseaux 86 Insaf
LAKRAMI
Et la dernière étape du spanning tree, | consiste à bloquer les autres ports

pour ne pas créer de boucles :
Les ports qui ne sont ni racine, ni désignés | sont bloqués.
Réseaux 87 Insaf
LAKRAMI
Un port bloqué peut recevoir des paquets BPDU mais

ne peut pas en émettre.
Si la topologie change, par exemple un commutateur
tombe en panne, et bien ,l’algorithme du spanning tree
est de nouveau relancé et un nouveau switch est élu,
Réseaux 88 Insaf
LAKRAMI
Algorithme Spanning tree : BPDU
 Les messages BPDUs (Bridge Protocol Data Units) contiennent:

 des informations de configuration sur le commutateur en train de transmettre ;
 la priorité de commutateur ;
 la priorité de port ;
 le coût du port ;
Chaque configuration BPDU contient ces informations :
 l'identificateur unique du commutateur considèré comme 'root' ;
 le coût du chemin vers le root jusqu'au port émetteur ;
 l'identificateur du port émetteur ;
 Le commutateur envoie la configuration BPDU pour communiquer et calculer la
topologie spanning tree.
 Une trame MAC transmettant un BPDU envoie l'adresse du groupe de commutateurs à
l'adresse de destination.
 Tous les commutateurs connectés au réseau local sur lequel la trame est transmise
reçoivent le BPDU
Réseaux 89 Insaf
LAKRAMI
Algorithme Spanning tree
Un port change d'état comme

suit :
● De l'Initialisation au Blocage ;
● Du Blocage à l'Ecoute ou à la
Désactivation ;
● De l'Ecoute à l'Apprentissage
ou à la Désactivation ;
● De l'Apprentissage à
l'Acheminement ou à la
Désactivation
Réseaux 90 Insaf
LAKRAMI
Variantes STP
STP : permets simplement une redondance sans boucle.
RSTP : C’est l’évolution du STP, car il offre une convergence plus rapide.
PVST et le PVST + : permets de mettre en place un spanning tree différent
par vlan.
Rapid-PVST+ : Amélioration du spanning tree par vlan.
Multiple STP : C’est une extension du Rapid spanning tree.
Réseaux 91 Insaf
LAKRAMI
Suite
Voir TP
Réseaux 92 Insaf
LAKRAMI

Cours Master p3 Vlans Bis

Transféré par

Droits d'auteur :

Formats disponibles

Cours Master p3 Vlans Bis

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Master p3 Vlans Bis

Transféré par

Droits d'auteur :

Formats disponibles

Support N°4

Réseaux & Télécoms

Partie 1 : Domaine de diffusion

1. Définir domaine de diffusion

• Un domaine de diffusion (Broadcast domain) est une zone d’un réseau

 Pas de domaine de diffusion pour gérer les réseaux locaux en expansion.

 Un VLAN permet l'isolation logique du trafic au niveau de la

๏ Séparation logique (par département,

๏ Augmente la sécurité en séparant 1er étage

certaines sections contenant des VLAN 2

PC1 Broadcast PC4

PC1 Broadcast PC5

Qu’est-ce qu’un réseau virtuel?

C’est une manière d ’exploiter la technique de la

Les VLANS introduisent la notion de

Le réseau virtuel (VLAN):

• Permet la gestion dynamique de la

• Permet à des utilisateurs

• Conserve les domaines de Broadcast

• Requiert une couche 3 pour la

Il existe 3 types différents de VLAN :

 Les VLANS de niveau 1 ou VLAN par port(PORT BASED VLAN)

 Il faut ici inclure les ports du commutateur qui appartiendront à

Les avantages du VLAN par port:

•Aucun paquet ne quitte son domaine.

•Sécurité maximale entre VLANs.

•Facilement contrôlable dans le réseau.

Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN):

• L’appartenance d’une trame à un VLAN est déterminée par son

•En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter

• L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de

• Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.

 Les VLANs de niveau 2 ou VLAN MAC(MAC ADDRESS BASED VLAN)

Les avantages du VLAN par adresse MAC:

•Echange des tables d ’adresses des VLANs entre les

•grosses difficultés d’administrations à l ’échelle d ’un

Les VLAN de niveau 3 ou VLAN d’adresses réseaux(NETWORK

• On affecte une adresse de niveau 3 à un VLAN.

• L’appartenance d’une trame à un VLAN est alors déterminée par

• En fait, il s’agit à partir de l’association adresse niveau 3/VLAN

•Les VLANs de niveau 3 ou VLAN d’adresses réseaux(NETWORK

 Dans ce cas, on aura une notion de routage ou tous les utilisateurs

Les avantages du VLAN par sous-réseau:

• Uniquement avec les protocoles routables.

• L'avantage du Vlan de niveau 3 est qu'il permet une

Les inconvénients du VLAN par sous-réseau:

• Les Vlans de niveau 3 souffrent de lenteur par rapport aux

• En effet, le switch est obligé de décapsuler le paquet jusqu'à

• La sécurité est beaucoup plus faible par rapport aux Vlans

DMAC SMAC Type Data FCS Untagged frame

6 bytes 6 bytes 4 bytes 2 bytes 46-1500 bytes 4 bytes

DMAC SMAC Tag Type Data FCS Tagged frame

Champs du tag 802.1Q :

๏ Priority : utilisé pour la QoS (3bits)

Host A Host B Host C

Un port “trunk” est un port qui transportera des informations de plusieurs

On trouvera deux protocoles de “Trunk” ou de “liaison d’agrégation”

• Le standard IEEE 802.1Q définit le contenu de la balise de VLAN

• Le format de la trame Ethernet modifiée avec les 4 octets

adresse dst. adresse src. EtypeTag Data Len/Etype FCS