Comprendre la notion de VLAN tagged et untagged

Avec un switch manageable (ou administrable en français) de niveau 2 ou 3, il est courant d'évoquer la notion de VLAN. Pour un débutant, cette notion peut s'avérer vite difficile à comprendre notamment lorsque l'on évoque les configurations de type Tagged, Untagged. Les constructeurs tels que HP, Cisco, DLINK, ZyXell propose des paramètres qui leurs sont propres, des termes également mais globalement leur fonctionne est le même.

Si vous êtes amenés à mettre de la téléphonie IP sur votre réseau informatique, il est d'usage de configurer des VLANs. Idem si vous souhaitez séparer des ordinateurs dans des sous-réseaux. C'est très utile pour sécuriser, isoler des machines et améliorer les performances d'un réseau. D'autant plus que certains switch gère également une qualité de service (QOS) pour prioriser les flux critiques, comme la VOIP et éviter ainsi d'éventuelles hachures lors des communications.

Complexe à prendre en main pour un novice, je vais vous aider à mieux comprendre le fonctionnement des VLANs et à les configurer avec  pour exemple un des cas d'utilisation les plus courant, de la téléphonie sur un réseau informatique.

 

Vue d'ensemble du réseau avec téléphonie sur IP et données informatiques

De la téléphonie et de l'informatique ! Voilà ce que nous allons paramétrer et faire transiter sur un même réseau physique. Avec un switch administrable de niveau 2, c'est tout à fait possible. Pour cela, il faudra séparer les trames des deux réseaux  VOIP (téléphonie) et DATA (informatique).

Vous pourrez alors définir une plage d'adresse IP spécifique pour les ordinateurs et une plage d'adresse IP spécifique pour la téléphonie. C'est propre et cela évite les éventuelles perturbations.

Pour compliquer un peu la tâche, imaginons que notre installation soit répartie sur deux étages et vous êtes contraint d'installer deux switchs. Sur l'étage 1, les prises réseaux manquent, nous devrons connecter chaque ordinateur en série avec un téléphone. Sur l'étage 2, les prises réseaux ne manquent pas, chaque appareil aura sa prise dédiée.

Schéma réseau VLAN VOIP DATA
Typologie du réseau informatique avec VOIP

Un peu de théorie avant la pratique

Tout d'abord, quelques notions élémentaires à connaître. Un VLAN est ni plus ni moins qu'un réseau virtuel, orchestré par un commutateur réseau tel qu'un Switch de niveau 2 (N2 ou N3). Pour identifier les flux de chaque VLAN, on tag la trame Ethernet. Pour cela, on ajoute entre autre un identifiant, numéro à 4 chiffres (de 1 à 4094), pour identifier à quel appareil correspond le trafic.

Donc il est possible, par le biais d'un seul et même port d'un Switch et d'un seul et même câble réseau de faire transiter des trames Ethernet appartenant à plusieurs VLANs, tout simplement en ajoutant l'identifiant du VLAN correspondant.  Ce scénario est très utilisé notamment pour faire passer de la VOIP et de la DATA sur un seul port de Switch (branchement en série d'un téléphone et d'un ordinateur).

Il faut savoir que certains appareils, notamment les ordinateurs, ne sont pas en mesure d'indiquer leur appartenance à un VLAN. En quelques sortes, ils ne savent pas ajouter le numéro pour dire au switch bonjour j'appartiens au VLAN n°2 par exemple (bon ce n'est pas tout à fait vrai car il est possible de spécifier l'identifiant du VLAN sur certaines cartes réseau. Mais nous ne toucherons pas à cette configuration, contraignante sur un réseau d'entreprise).

 

Tagged et Untagged

Une trame Ethernet peut être "tagguée" avec un numéro et ainsi être identifiée dans un VLAN. Si un appareil peut ajouter le numéro à une trame, le port auquel il est connecté devra être Tagged de son n° de VLAN. Lorsque celui communiquera avec le Switch, il ajoutera un identifiant dans la trame et le Switch pourra alors reconnaître l'appartenance à son VLAN et rediriger correctement le trafic. Si l'identifiant n'est pas reconnu, le trafic est supprimé.

Inversement, un ordinateur qui ne sait pas "tagguer" une trame devra être connectée à un port du Switch configuré en Untagged. C'est le switch qui identifiera ces trames et les renverra à d'autres ports identifiés sur le même VLAN.

Donc Tagged : le port du switch envoie le trafic après sans avoir retiré le tag (identifiant) du VLAN.

Untagged : le port du switch envoie le trafic après avoir retiré le tag du VLAN.

VLAN Tag
TAG d'une trame Ethernet

Les VLAN configurés par port

C'est le cas de figure le plus courant. On définit les VLANs membres sur un port de type Access, Hybrid ou Trunk et chaque port est associé à un identifiant de VLAN par défaut (PVID). Par défaut, chaque port est associé au PVID 1, soit le VLAN 1.

Voici les types de port généralement utilisés :

Port de type Access : Par défaut, le type de port est configuré en Access et sur le VLAN ayant pour identifiant le numéro 1. Un port de type Access doit être configuré lorsqu'un seul VLAN transite par ce port et qu'il envoie du trafic Untagged. On utilise ce type de configuration pour connecter un appareil qui n'est pas en mesure d'identifier les paquets Ethernets. Un ordinateur par exemple.

Port de type Hybrid : Un port de type Hybrid, autorise le trafic Untagged et Tagged de plusieurs VLANs. On peut utiliser ce type de configuration lorsque l'on connecte un téléphone (Tagged sur l'ID du VLAN) en série avec un ordinateur (Untagged sur l'ID du VLAN).

Port de type Trunk : Un port de type Trunk transporte le trafic en VLAN Tagged à l'exception du PVID qui sera Untagged. Ce type de port est utilisé pour interconnecter des switchs. 

 

Bien configurer les VLANs sur les ports d'un switch

Passons à la pratique. Reprenons notre schéma d'une installation classique de VOIP sur un réseau informatique.

 

Configuration du switch du 1er étage

Les téléphones IP disposent d'un mini switch et sont en mesure de faire transiter du trafic Untagged et Tagged. Les téléphones sont donc reliés au switch et les ordinateurs au téléphone. Aucun configuration n'est requise sur les ordinateurs, seuls les téléphones devront transporter du trafic taggué VLAN 2 (VOIP) et VLAN 1 les paquets Ethernet de l'ordinateur. La configuration du port du switch devra donc être de type Hybrid avec le VLAN 1 Untagged et le VLAN 2 Tagged.

Le serveur auxquels les ordinateurs se connecteront sera connecté à un port de type Access et Untagged sur le VLAN 1, PVID 1.

L'IPBX, notre appareil gérant les téléphones et la VOIP, sera connecté à un port de type Access et Untagged sur le VLAN 2 PVID 2.

 

Configuration du switch du 2ème étage

Chaque téléphone IP et chaque ordinateur est connecté à un port sur le switch réseau. Pas de branchement en série donc. La configuration sera la suivante :

Chaque port informatique sera connecté à un port de type Access Untagged VLAN 1 PVID 1.

Chaque port du switch connecté à un téléphone IP sera Tagged sur le VLAN 2 PVID 2.

Pour plus de simplicité, nous aurions pu mettre tous les ports en Hybride PVID 1, Untagged VLAN 1 Taggued VLAN 2. Ainsi, les ports pourraient être utilisés soit par un ordinateur ou soit par un téléphone, rien ne serait dédié.

 

Liaison étage 1 /étage 2

La liaison est une interconnexion entre les deux switchs. Nous utiliserons alors un port de type Trunk, Untagged VLAN 1 et Tagged VLAN 2 PVID 1.

 

Parenthèse sur la QOS

De nombreux Switchs gèrent la QOS de la VOIP automatiquement. Cette fonction est souvent appelé AUTO VOICE VLAN et permet de prioriser le trafic VOIP en associant les adresses MAC des téléphones et  VLAN correspondant.

 

Pour conclure

Désormais, vous devriez avoir une idée plus précise de la notion de VLAN dans un réseau. Je vous invite vivement à consulter la documentation du constructeur de votre Switch, elle devrait également vous aider dans la configuration de votre réseau. Partagez vos expériences !

Commentaires

Ajouter un commentaire

N'hésitez pas à partager vos avis ou remarques.
Pour les questions qui ne sont pas en relation avec l'article, merci d'utiliser le forum.