Vlan
Lorsque l'on définit les ports associés à chaque VLAN, il y a 3 modes :Untagged et Tagged et No :
Untagged : Le port est associé qu'à un seul VLAN. C'est à dire que tout équipements raccordés à ce port fera partie du VLAN.
Tagged : Signifie que les trames qui arrivent et sortent sur le port sont marquées par une en-tête 802.1q supplémentaire dans le champs Ethernet. Un port peut être "tagged" sur plusieurs VLAN différents. (ici rouge et vert par exemple) L'avantage du mode Tagged est la possibilité d'avoir un serveur pouvant communiquer avec toutes les stations des VLANs sans que les VLANs ne puissent communiquer entre eux.
Les différents types de VLANs
VLAN 1 Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous les ports, y compris les ports de "management". En plus, une série de protocoles de couche 2 comme CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et DTP doivent impérativement transiter à travers ce VLAN spécifique. Pour ces deux raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office.
On trouvera quatre types de VLANs :
* VLAN par défaut (Default VLAN) * VLANs utilisateur (User VLAN) * VLAN de management (Management VLAN) * VLAN natif (Native VLAN)
VLAN par défaut
Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.
VLAN utilisateur On dira que ce type de VLAN est un VLAN "normal" dans le sens où il est celui qui a été configuré pour rendre une segmentation logique du commutateur dans le cadre de l'utilité des VLAN. La numérotation des VLANs est disponible sur 12 bits. Ceci dit, chaque modèle de switch aura ses limites en nombre total à créer et à gérer.
VLAN de management Il s'agit d'un VLAN spécifique attribué au commutateur pour qu'il devienne accessible via une adresse IP (ICMP, Telnet, SNMP, HTTP). Dans les bonnes pratiques de configuration, on le distinguera du VLAN par défaut, d'un VLAN utilisateur ou du VLAN natif. Dans le cas d'une tempête de broadcast ou d'un soucis de convergence avec Spanning-Tree, l'administrateur devrait toujours avoir accès au matériel pour résoudre les problèmes. Aussi, une bonne raison de séparer le VLAN de management des autres tient au fait évident de séparer logiquement les périphériques "dignes de confiance" des autres. Il s'agit alors d'appliquer les règles de sécurité nécessaires afin d'éviter, par exemple, que des utilisateurs classiques accèdent au matériel. Qu'il existe ou non une interface physique appartenant au VLAN de management désigné, on joindra le commutateur par IP via une interface virtuelle de type VLANx. Tous ports "access" associés à ce VLANx répondent pour l'interface virtuelle VLANx.
VLAN natif La notion de VLAN natif n'intervient que lorsque l'on configure un port Trunk. Quand un port est configuré en tant que tel, le switch "étiquette" la trame avec le numéro de VLAN approprié. Toutes les trames passant par un Trunk sont ainsi étiquettées sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas étiquettées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le "tagging". Aussi, les protocoles de contrôles tels que CDP, VTP, PAgP et DTP sont toujours transmis par le VLAN1. Le fait de changer le VLAN natif va faire en sorte que ce traffic sera alors "étiquetté" VLAN 1, ce qui ne pose aucun problème. Enfin, on évitera d'utiliser le VLAN 1 comme VLAN utilisateur ou de management. Sur le routeur, on définira malgré tout le VLAN natif (VLAN 1, par défaut).
Sur un trunk, le vlan natif n'est pas taggué, et les requetes non taggués arrivant sur le port sont dans ce vlan. Un port ne peut avoir qu'un seul vlan untag. Si on veut un port en mode trunk avec plusieur vlan il faut tagger (vlan 10 tagged 7, vlan 12 tagged 7 : le port 7 est en trunk et accepte les vlan 10 & 12)
