09/04/2020, 00:04:26
(08/04/2020, 23:39:05)Octhib a écrit : Bonsoir,
Alors je vais essayé de me lancer dans une première approche d'un non informaticien (donc mes excuses si je n'utilise pas les termes courants) :
C'est quoi un VLAN ? Quel interet des VLAN ?
Déja que veut dire VLAN --> Virtual LAN --> Réseau virtuel en francais.
Pourquoi Virtuel ? Car il s'appuie sur un réseau informatique physique composé de switch, cable (optique, ethernet) reliant des machines composant le réseau mais en le sous divisant en plusieurs réseaux de maniere logiciel.
Un exemple étant plus parlant, passons à une démonstration :
J'ai les équipements suivants :
- Un switch 8 ports (donc 8 prises RJ45)
- 2 ordinateurs
- 1 Serveur de données
- 1 Serveur multimedia (pour films et musiques dématerialisés)
- 1 lecteur multimedia (pour lire les films et la musique ci dessus)
- 1 passerelle KNX
- 1 box domotique
Je ne mets pas de box internet dans cet exemple volontairement afin de ne pas compliquer le débat.
Et mon Switch (qui est un switch manageable) sert de switch mais aussi de serveur DHCP (celui qui attribue les adresses IP aux machines) et possede des fonctions de gestion des VLAN.
Chaque machine est branché à un port du switch en étant relié par des cables RJ45.
Mon réseau physique est constitué.
Si je m'arrete à ce point, lorsqu'une machine effectue une requete (chargement de données, lecture d'un film, téléchargement ETS, etc...), je fais faire circulé sur l'ensemble du réseau tout les informations voulu jusqu'au moment où l'information arrive à la bonne machine.
Tu confonds Hub et Switch et tu oublies aussi la table ARP.
1ere chose :
Un hub 100mb va diviser ses 100mb/s par le nombre de ports utilisés.
Un switch (on va prendre 1gb/s, c'est le plus courant dans le cas présent) va maintenir 1gb/s par port, dans les limites de sa capacité de commutation (mais bon tu peux y aller, tu peux cracher 1gb/s sur chaque port en même temps sans problème).
2eme chose :
Un switch n'est pas un bus. Il n'envoie pas la donnée sur tous les ports, au contraire, grâce à sa table ARP interne, il va savoir à qui envoyer la donnée. Tu ne peux pas encombrer un switch en y passant plusieurs données entre différentes machines. La seule chose que tu peux encombrer éventuellement, c'est ton uplink (si tu en as un).
Cela veut dire que chaque port du Switch va voir circuler les données d'un film même si le port est branché sur une passerelle KNX. Dans le cadre d'une utilisation intensive (je transferts un gros fichier de données d'un pc à un serveur pendant que je regarde un film sur mon lecteur multimedia depuis un film du serveur media tout en téléchargeant un programme dans ETS depuis un autre PC), les led de communication du Switch vont se mettre à clignoter dans tout les sens et vais ralentir la communication globale, entrenant des transferts plus lents, des coupures dans mon films ou faisant échouer mon téléchargement ETS.
Donc pas du tout, CF juste au dessus.
L'idéal serait donc d'avoir des réseaux physique pour chaque type de tache afin de ne pas avoir de surcharge liées à mes nombreuses activités réseaux.
Pas du tout. L'idée d'avoir des VLANs, c'est de segmenter différents réseaux de façon à pouvoir gérer les règles de sécurité entre chaque réseau, chose qui est impossible sur un même réseau (puisque justement les machines d'un même réseau parlent entre elles sans passer par le firewall/routeur du réseau, grâce notamment à la table ARP du switch).
Mais probleme, ETS est sur mon ordinateur 1, doncil doit etre relié à la passerelle KNX; Et comment je mets mes musiques ou films sur le serveur multimedia depuis un ordinateur ?
Donc une separation physique n'est pas possible.
En fait une séparation physique est l'idéale (elle enlève la possibilité d'une faille VLAN dans le firmware du switch par exemple), mais cela revient à avoir autant de ports que de LANs sur le firewall, et donc autant de switches que de LANs.
L'utilité du VLAN est donc d'avoir plusieurs réseaux segmentés au niveau du firewall, tout en utilisant un seul et unique switch. (Puisqu'il est nécessaire de traverser le firewall pour aller d'un VLAN à l'autre, c'est là qu'on peut gérer ses règles d'accès entre machines, chose impossible si elles sont sur le même réseau)
Des VLAN OK, mais pour quels type d'usage a la maison ?
L'exemple ci dessous apporte pas mal d'usage :
- Reseau données
- Reseau multimedia (Musique, Video, Photo, TV IP, etc....)
- Réseau domotique KNX (Passerelle KNX, Serveur domotique, routeur IP, etc...)
Mais aussi :
- Reseau IOT (qui passe par des passerelles Web pour communiquer avec un serveur central) --> Net Atmo, Google home, Alexa, etc...
- Reseau Invités ne donnant qu'un acces à internet.
- Reseau Technique (acces serveur de configuration du réseau avec acces très limité que depuis un poste précis par exemple)
- Réseau pour les cameras de surveillance
Donc, non le Vlan n'est pas un truc de Geek ou de Parano.
En plus de mes remarques en rouge, voilà une définition de ce qu'est un LAN avant de définir ce n'est un VLAN.
Un LAN est un réseau local configuré sur une plage d'adresses IP privées de classe A, B ou C.
Vous utilisez chez vous très certainement une plage IP de classe C, ne permettant de ne voir sur le réseau "que" 254 machines (exemple : 192.168.0.0/24).
Si vous voulez, par exemple, ne pas brancher le wifi (qui est facilement piratable) sur votre réseau principal, vous pouvez le connecter sur un autre réseau LAN (192.168.0.1/24 par exemple).
On peut ainsi multiplier les réseaux LANs, de façon à segmenter "son" réseau global.
Sauf que pour chaque réseau il nous faudra un switch, mais aussi un routeur/firewall qui sait gérer chacun de ces réseaux, et donc pour chaque réseau, il faut 1 port RJ45 d'uplink entre le routeur/firewall et le switch.
Donc si l'on souhaite avoir plusieurs réseaux, comme :
- Reseau multimedia (Musique, Video, Photo, TV IP, etc....)
- Réseau domotique KNX (Passerelle KNX, Serveur domotique, routeur IP, etc...)
- Reseau IOT (qui passe par des passerelles Web pour communiquer avec un serveur central) --> Net Atmo, Google home, Alexa, etc...
- Reseau Invités ne donnant qu'un acces à internet.
- Reseau Technique (acces serveur de configuration du réseau avec acces très limité que depuis un poste précis par exemple)
- Réseau pour les cameras de surveillance
Il faut 6 ports RJ45 sur le routeur, et 6 switches.
Pour éviter ça, on fait appel aux VLANs, sur un switch layer 2 (manageable, sans routage), de façon à indiquer à chaque port du switch à quel(s) réseau(x) il appartient.