Pourquoi et comment les Vlans Ethernet sont-ils balisés ?
J'entends parler du balisage VLAN, mais je ne comprends pas bien le concept. Je sais qu'un trunk ne peut pas accepter de paquets non balisés sans configurer un VLAN natif, et que les ports d'accès n'acceptent que des paquets non balisés. Mais je ne comprends pas pourquoi les paquets doivent être étiquetés ou non. À quoi cela sert-il ?
80
3
Si vous avez plus d'un VLAN sur un port (un port "trunk"), vous devez trouver un moyen de savoir quel paquet appartient à quel VLAN à l'autre bout. Pour ce faire, vous "marquez" un paquet avec une étiquette VLAN (ou un en-tête VLAN si vous préférez). En réalité, une étiquette VLAN est insérée dans la trame Ethernet de la manière suivante :
![En-tête VLAN][1]
La balise 802.1Q (dot1q, VLAN) contient un VLAN-ID et d'autres éléments expliqués dans la [norme 802.1Q][2]. Les 16 premiers bits contiennent le "Tag Protocol Identifier" ; (TPID) qui est 8100. Il s'agit également du type Ether 0x8100 pour les périphériques qui ne comprennent pas les VLAN.
Ainsi, un paquet "tagué" contient les informations VLAN dans la trame Ethernet, alors qu'un paquet "non tagué" ne les contient pas. Un cas d'utilisation typique est celui d'un port reliant un routeur à un commutateur auquel plusieurs clients sont connectés :
![VLAN Trunking][3]
Dans cet exemple, le client "Green" ; a le VLAN 10 et le client "Blue" ; a le VLAN 20. Les ports entre le commutateur et les clients sont "untagged" ; ce qui signifie que pour le client, le paquet qui arrive est juste un paquet Ethernet normal.
Le port entre le routeur et le commutateur est configuré comme un port trunk afin que le routeur et le commutateur sachent quel paquet appartient à quel VLAN client. Sur ce port, les trames Ethernet sont étiquetées avec l'étiquette 802.1Q.
[1] : http://i.stack.imgur.com/kXT9j.png [2] : http://standards.ieee.org/getieee802/download/802.1Q-2011.pdf [3] : http://i.stack.imgur.com/O9OF2.png
Le protocole d'encapsulation VLAN de facto est [802.1Q (dot1.q)] (http://en.wikipedia.org/wiki/IEEE_802.1Q). Sa fonction la plus élémentaire est de conserver les VLAN entre les commutateurs. Étant donné que les VLAN ont une signification locale pour le commutateur, vous devez baliser une trame allant vers des commutateurs proches pour leur faire savoir à quel groupe logique cette trame appartient.
Par défaut, le VLAN natif est le VLAN par défaut, un port trunk peut transporter plusieurs VLAN pour acheminer le trafic vers le routeur ou un commutateur. Le VLAN est un protocole de couche 2 et il segmente un réseau de couche 2, ils ne peuvent communiquer que dans un dispositif de couche 3 tel qu'un routeur ou un commutateur de couche 3.
Le VLAN natif est utilisé pour que les trames non balisées puissent communiquer sans avoir besoin d'un routeur. La meilleure pratique de sécurité consiste à remplacer le VLAN par défaut par un autre VLAN à l'aide de la commande suivante : switchport trunk native vlan .
Les commutateurs Cisco prennent en charge l'encapsulation IEEE 802.1Q et ISL.