Avec un switch manageable (ou administrable en français) de niveau 2 ou 3, il est courant d’évoquer la notion de VLAN. Pour un débutant, cette notion peut s’avérer vite difficile à comprendre notamment lorsque l’on évoque les configurations de type Tagged, Untagged. Les constructeurs tels que HP, Cisco, DLINK, ZyXell propose des paramètres qui leur sont propres, des termes également, mais globalement leur fonctionne est le même.
Si vous êtes amenés à mettre de la téléphonie IP sur votre réseau informatique, il est d’usage de configurer des VLANs. Idem si vous souhaitez séparer des ordinateurs dans des sous-réseaux. C’est très utile pour sécuriser, isoler des machines et améliorer les performances d’un réseau. D’autant plus que certains switches gère également une qualité de service (QOS) pour prioriser les flux critiques, comme la VOIP et éviter ainsi d’éventuelles hachures lors des communications.
Complexe à prendre en main pour un novice, je vais vous aider à mieux comprendre le fonctionnement des VLANs et à les configurer avec pour exemple un des cas d’utilisation les plus courant, de la téléphonie sur un réseau informatique.
Vue d’ensemble du réseau avec téléphonie sur IP et données informatiques
De la téléphonie et de l’informatique ! Voilà ce que nous allons paramétrer et faire transiter sur un même réseau physique. Avec un switch administrable de niveau 2, c’est tout à fait possible. Pour cela, il faudra séparer les trames des deux réseaux VOIP (téléphonie) et DATA (informatique).
Vous pourrez alors définir une plage d’adresse IP spécifique pour les ordinateurs et une plage d’adresse IP spécifique pour la téléphonie. C’est propre et cela évite les éventuelles perturbations.
Pour compliquer un peu la tâche, imaginons que notre installation soit répartie sur deux étages et vous êtes contraint d’installer deux switches. Sur l’étage 1, les prises réseaux manquent, nous devrons connecter chaque ordinateur en série avec un téléphone. Sur l’étage 2, les prises réseaux ne manquent pas, chaque appareil aura sa prise dédiée.
Exemple d’un Switch N2 permettant de gérer des VLANs avec de la VOIP et notamment la fonction Voice VLAN :
Un peu de théorie avant la pratique
Tout d’abord, quelques notions élémentaires à connaître. Un VLAN est ni plus ni moins qu’un réseau virtuel, orchestré par un commutateur réseau tel qu’un Switch de niveau 2 (N2 ou N3). Pour identifier les flux de chaque VLAN, on tague la trame Ethernet. Pour cela, on ajoute entre autres un identifiant, numéro à 4 chiffres (de 1 à 4094), pour identifier à quel appareil correspond le trafic.
Donc il est possible, par le biais d’un seul et même port d’un Switch et d’un seul et même câble réseau de faire transiter des trames Ethernet appartenant à plusieurs VLANs, tout simplement en ajoutant l’identifiant du VLAN correspondant. Ce scénario est très utilisé notamment pour faire passer de la VOIP et de la DATA sur un seul port de Switch (branchement en série d’un téléphone et d’un ordinateur).
Il faut savoir que certains appareils, notamment les ordinateurs, ne sont pas en mesure d’indiquer leur appartenance à un VLAN. En quelques sortes, ils ne savent pas ajouter le numéro pour dire au switch bonjour j’appartiens au VLAN n°2 par exemple (bon ce n’est pas tout à fait vrai car il est possible de spécifier l’identifiant du VLAN sur certaines cartes réseau. Mais nous ne toucherons pas à cette configuration, contraignante sur un réseau d’entreprise).
Tagged et Untagged
Une trame Ethernet peut être « tagguée » avec un numéro et ainsi être identifiée dans un VLAN. Si un appareil peut ajouter le numéro à une trame, le port auquel il est connecté devra être Tagged de son n° de VLAN. Lorsque celui communiquera avec le Switch, il ajoutera un identifiant dans la trame et le Switch pourra alors reconnaître l’appartenance à son VLAN et rediriger correctement le trafic. Si l’identifiant n’est pas reconnu, le trafic est supprimé.
Inversement, un ordinateur qui ne sait pas « tagguer » une trame devra être connectée à un port du Switch configuré en Untagged. C’est le switch qui identifiera ces trames et les renverra à d’autres ports identifiés sur le même VLAN.
Donc Tagged : le port du switch envoie le trafic sans avoir retiré le tag (identifiant) du VLAN.
Untagged : le port du switch envoie le trafic après avoir retiré le tag du VLAN.
Les VLAN configurés par port
C’est le cas de figure le plus courant. On définit les VLANs membres sur un port de type Access, Hybrid ou Trunk et chaque port est associé à un identifiant de VLAN par défaut (PVID). Par défaut, chaque port est associé au PVID 1, soit le VLAN 1.
Voici les types de port généralement utilisés :
Port de type Access : Par défaut, le type de port est configuré en Access et sur le VLAN ayant pour identifiant le numéro 1. Un port de type Access doit être configuré lorsqu’un seul VLAN transite par ce port et qu’il envoie du trafic Untagged. On utilise ce type de configuration pour connecter un appareil qui n’est pas en mesure d’identifier les paquets Ethernets. Un ordinateur par exemple.
Port de type Hybrid : Un port de type Hybrid, autorise le trafic Untagged et Tagged de plusieurs VLANs. On peut utiliser ce type de configuration lorsque l’on connecte un téléphone (Tagged sur l’ID du VLAN) en série avec un ordinateur (Untagged sur l’ID du VLAN).
Port de type Trunk : Un port de type Trunk transporte le trafic en VLAN Tagged à l’exception du PVID qui sera Untagged. Ce type de port est utilisé pour interconnecter des switchs.
Pour approfondir la théorie, je peux vous conseiller ce livre de chez ENI qui traite les notions fondamentales des réseaux informatiques :
- Ouvrage neuf. Disponible en stock.
- Dordoigne, José (Author)
Bien configurer les VLANs sur les ports d’un switch
Passons à la pratique. Reprenons notre schéma d’une installation classique de VOIP sur un réseau informatique.
Configuration du switch du 1er étage
Les téléphones IP disposent d’un mini switch et sont en mesure de faire transiter du trafic Untagged et Tagged. Les téléphones sont donc reliés au switch et les ordinateurs au téléphone. Aucune configuration n’est requise sur les ordinateurs, seuls les téléphones devront transporter du trafic taggué VLAN 2 (VOIP) et VLAN 1 les paquets Ethernet de l’ordinateur. La configuration du port du switch devra donc être de type Hybrid avec le VLAN 1 Untagged et le VLAN 2 Tagged.
Le serveur auxquels les ordinateurs se connecteront sera connecté à un port de type Access et Untagged sur le VLAN 1, PVID 1.
L’IPBX, notre appareil gérant les téléphones et la VOIP, sera connecté à un port de type Access et Untagged sur le VLAN 2 PVID 2.
Configuration du switch du 2ème étage
Chaque téléphone IP et chaque ordinateur est connecté à un port sur le switch réseau. Pas de branchement en série donc. La configuration sera la suivante :
Chaque port informatique sera connecté à un port de type Access Untagged VLAN 1 PVID 1.
Chaque port du switch connecté à un téléphone IP sera Tagged sur le VLAN 2 PVID 2.
Pour plus de simplicité, nous aurions pu mettre tous les ports en Hybride PVID 1, Untagged VLAN 1 Taggued VLAN 2. Ainsi, les ports pourraient être utilisés soit par un ordinateur ou soit par un téléphone, rien ne serait dédié.
Liaison étage 1 /étage 2
La liaison est une interconnexion entre les deux switches. Nous utiliserons alors un port de type Trunk, Untagged VLAN 1 et Tagged VLAN 2 PVID 1.
Parenthèse sur la QOS
De nombreux Switches gèrent la QOS de la VOIP automatiquement. Cette fonction est souvent appelé AUTO VOICE VLAN et permet de prioriser le trafic VOIP en associant les adresses MAC des téléphones et VLAN correspondant.
Pour conclure
Désormais, vous devriez avoir une idée plus précise de la notion de VLAN dans un réseau. Je vous invite vivement à consulter la documentation du constructeur de votre Switch, elle devrait également vous aider dans la configuration de votre réseau. Pour ma part, j’utilise des Switches HPE OfficeConnect qui gèrent très bien les VLANs (dont l’Auto Voice VLAN) et disposent d’une interface web d’administration facilitant ainsi leur configuration.
Quel type de réseau allez-vous mettre en place ? Quels équipements allez-vous utiliser ? Partagez vos expériences !
Bonjour merci pour ton article cela ma éclairé sur plusieurs choses !
Petite question:
Tu dis : »Chaque port du switch connecté à un téléphone IP sera Tagged sur le VLAN 2 PVID 2. »
Mais du coup sur type de port est-il ? (Access, Hybrid, Trunk ou Tunnel) ?
Merci d’avance !!
Bonjour,
Dans l’exemple c’est un port de type Access.
Cdt
Bonjour,
1/ Oui il est possible de taguer les trames sur un PVID avec le même identifiant sur un port de type « Hybride ».
2/ On utilise le port hybride lorsque l’on est pas sûr que les périphériques distants supportent les trames taguées.
Bonjour et merci pour ton article qui éclaircit bien ces histoires de tagged/untagged…
Je me permets 2 petites questions subsidiaires 😉
1. Y-a-t-il un moyen avec un switch HPE Office Connect de faire en sorte que le switch rajoute le TAG du PVID sur des paquets non taggés ? en lisant ton tuto, j’ai l’impression que non mais ca me parait tellement fou que je demande…
2. Dans quel cas doit-on utiliser impérativement un port TRUNK ou bien HYBRID ? J’ai bien compris qu’on pouvait les utiliser indifféremment dans la plupart des cas mais je suppose qu’il y a bien des cas où ils ne sont pas interchangeables… car sinon pourquoi faire 2 types de port différents ? 😉
Merci d’avance si tu trouves qques minutes pour me répondre.
cdt.
Gilles.
Bonjour,
A ma connaissance ce n’est pas possible avec un Switch. Peut être essayer avec un analyseur de trames comme WireShark
Bonjour,
Merci de toutes ces explications.
Je suis en train de voir comment configurer un switch managable connecté à une freebox pour faire passer à la fois la connection Internet et l’IPTV (VLAN 100).
Y a-t-il un moyen simple pour savoir si les trames IPTV emises par la freebox sont taguées ou non taguées ?
(Si je reprends ton exemple, comment savoir si les trames de l’IPBX sont taguées ou non, sans avoir les caractéristiques de l’IPBX)
Bonjour Jean et merci d’avoir lu cet article !
il ne peut il y avoir qu’un seul PVID par port. Ce port Trunk est associé au PVID1 afin que tout le trafic non tagué soit associé au VLAN ID 1. Le trafic tagué ID 2 est quand à lui redirigé sur le Vlan 2. Si le Vlan1 avait été Tagged et le Vlan 2 avait était « Untagged » le port aurait était PVID 2
merci beaucoup pour la réponse rapide David, je comprends mieux l’affectation des PVID maintenant. Encore merci!
coucou, merci pour ce cours très complet pour moi qui ne comprenais pas bien ces histoires de TAG et UNTAG.
J’ai donc une petite question, pour la liaison des deux switchs, vous avez mis « Nous utiliserons alors un port de type Trunk, Untagged VLAN 1 et Tagged VLAN 2 PVID 1. Pourquoi TAGGED VLAN 2 PVID 1? Le VLAN 2 c’est PVID 2… non? Merci d’avance!
merci pour l’explication
Belle explication. Je découvre les joies des réseaux professionnels et cela m’a beaucoup aidé à y voir plus clair.
Par contre, j’ai une question:
Vous dites que l’IP sera connecté à un port de type Access et Untagged sur le VLAN2 PVID2.
Je me serais attendu à une configuration de type Trunk et Tagged sur le VLAN2 PVID2.
Bien sûr j’assume que l’IPBX envoie des trames Tagged VLAN2 (ce qui est certainement le cas puisque les téléphones VOIP supportent le VLAN tagged.
Où est mon erreur ?
L’IPBX n’a pas besoin de tagguer les trames puisqu’il est associé à un VLAN via son PVID et il est sur un seul VLAN, le trunk sert surtout à transporter plusieurs VLANs.
C’est vrai dans la typologie réseau de votre tuto, merci pour l’explication. C’est maintenant compris 🙂 Par contre, juste pour être sûr que je comprends le principe des VLANs, dans l’hypothèse où l’IPBX enverrait des trames taggué VLAN2 (pour x raison), alors il faudrait configuré le port du switch en mode Trunk/Tagged/VLAN2/PVID2 afin que tout fonctionne. Correct ?
Oui tu pourrais mais selon moi cela n’a aucun intêret sur un seul VLAN.
Merci pour ta réponse. J’ai bien compris que c’était inutile, c’est juste que je voulais valider ma compréhension des VLANs.
Encore merci pour ce tuto.
Merci pour ces explications très claires. J’ai refilé ce lien à un stagiaire !
Merci, ravi que ces explications puissent aider !
pouvez vous modifier la phrase
Donc Tagged : le port du switch envoie le trafic après sans avoir retiré le tag (identifiant) du VLAN.
par
Donc Tagged : le port du switch envoie le trafic sans avoir retiré le tag (identifiant) du VLAN.
(ça va sans dire, mais ça va mieux en le disant…encore mieux en l’écrivant)
Très juste, c’est corrigé, merci de votre retour.