Bonjour
J'ouvre ce post pour échanger un peu sur les VLANs, pour faire suite au sujet que Yves a lancé ici :
Securité Reseau , afin de ne pas polluer son sujet et parce-que je pense que le sujet est intéressant.
Si les VLANs sont principalement utilisés en entreprise car il faut du matériel spécifique, de nos jours cela devient aussi possible a mettre en oeuvre aussi chez le particulier.
En effet on peut trouver au choix du matériel permettant de mettre en oeuvre des VLANs soit grâce a du matos pro qui devient accessible (que ce soit en neuf ou en occas) soit directement sur du matos grand public.
- C'est quoi un VLAN ? Quel interet des VLAN ?
- Des VLAN OK, mais pour quels type d'usage a la maison ?
- Choix de materiel / Quel question se poser pour mettre en place des VLANs
- Configuration des VLAN
Je prévient, je ne suis pas du tout un pro du réseau, je suis juste quelqu'un qui les utilise depuis pas mal d'année et qui a quelques notions histoire de savoir régler les principaux paramètres de base a savoir : DHCP/adresses IP/Masques/Passerelle etc... sur des périphériques afin de pouvoir les utiliser.
C'est quoi un VLAN ? Quel interet des VLAN ?
2. Des VLAN OK, mais pour quels type d'usage a la maison ?
3. Choix de materiel / Quel question se poser pour mettre en place des VLANs
4. Configuration des VLAN
Voilà, je compléterais les posts précédent au fur et a mesure.
Très bon idée, cela pourra servir à pas mal de personnes
Bonsoir,
Alors je vais essayé de me lancer dans une première approche d'un non informaticien (donc mes excuses si je n'utilise pas les termes courants) :
C'est quoi un VLAN ? Quel intérêt des VLAN ?
Déja que veut dire VLAN --> Virtual LAN --> Réseau virtuel en francais.
Pourquoi Virtuel ? Car il s'appuie sur un réseau informatique physique composé de switch, câble (optique, ethernet) reliant des machines composant le réseau mais en le sous divisant en plusieurs réseaux de manière logiciel.
Un exemple étant plus parlant, passons à une démonstration :
J'ai les équipements suivants :
- Un switch 8 ports (donc 8 prises RJ45)
- 2 ordinateurs
- 1 Serveur de données
- 1 Serveur multimédia (pour films et musiques dématérialisés)
- 1 lecteur multimédia (pour lire les films et la musique ci dessus)
- 1 passerelle KNX
- 1 box domotique
Je ne mets pas de box internet dans cet exemple volontairement afin de ne pas compliquer le débat.
Et mon Switch (qui est un switch manageable) sert de switch mais aussi de serveur DHCP (celui qui attribue les adresses IP aux machines) et possède des fonctions de gestion des VLAN.
Chaque machine est branché à un port du switch en étant relié par des câbles RJ45.
Mon réseau physique est constitué.
Si je m’arrête à ce point, lorsqu'une machine effectue une requête (chargement de données, lecture d'un film, téléchargement ETS, etc...), je fais faire circulé sur l'ensemble du réseau tout les informations voulu jusqu'au moment où l'information arrive à la bonne machine.
Cela veut dire que chaque port du Switch va voir circuler les données d'un film même si le port est branché sur une passerelle KNX.
Dans le cadre d'une utilisation intensive (je transferts un gros fichier de données d'un pc à un serveur pendant que je regarde un film sur mon lecteur multimédia depuis un film du serveur média tout en téléchargeant un programme dans ETS depuis un autre PC), les led de communication du Switch vont se mettre à clignoter dans tout les sens et vais ralentir la communication globale, entraînant des transferts plus lents, des coupures dans mon films ou faisant échouer mon téléchargement ETS.
L'idéal serait donc d'avoir des réseaux physique pour chaque type de tache afin de ne pas avoir de surcharge liées à mes nombreuses activités réseaux.
Le serveur de donnée communiquera qu'avec les 2 ordinateurs
Le lecteur multimédia communiquera qu'avec le serveur de données
La Passerelle domotique qu'avec la box domotique
Mais problème, ETS est sur mon ordinateur 1, donc il doit être relié à la passerelle KNX;
Et comment je mets mes musiques ou films sur le serveur multimédia depuis un ordinateur ?
Donc une séparation physique n'est pas possible.
D’où l'utilité des VLan.
L'idée est de configurer mon switch en limitant au maximum les interactions entre les appareils qui n'auront pas de communication entre eux.
Reprenons l'exemple ci dessus du switch 8 ports et des 7 appareils reliés sur le même réseau physique.
Je détermine les catégories concernées :
1) Données
2) Multimédia
3) Domotique
et cela me donne 3 réseaux virtuels dans lesquels j'aurais les appareils suivants :
1 ) le VLan 1 pour les données avec les ordinateurs et le serveur de données
2) Le Vlan 2 pour le serveur multimédia et la passerelle multimédia et un ordinateur me servant à transférer mes données multimédia (Musique, film dématérialisé, etc...) et configurer le serveur et la passerelle.
3) Le Vlan 3 pour la passerelle KNX, la box domotique, et un ordinateur me servant à gérer ma box domotique et à télécharger la programmation ETS
Une remarques à ce stade :
Une machine peut être être sur plusieurs VLan (ici un ordinateur va être sur les Vlan 1, 2 et 3)
Une fois ces points déterminés, il ne me reste plus qu'à configurer mes 3 Vlan sur mon switch et nous aurons les communications suivantes :
- Sur le Vlan 2, le Serveur multimédia et le lecteur multimédia ne verront plus qu'eux même et un PC (j'ai donc alléger la communication sur les ports des appareils non compris dans ce VLan)
- Sur le Vlan 1 (données), il n'y aura que 3 appareils (2 ordi et un serveur), encore un allègement
- Sur le Vlan 3 (domotique), il n'y aura aussi plus que 3 appareils.
Un transfert de données d'un ordi vers le serveur de données tournera à fond.
Un film n'aura plus de coupure
et les téléchargements ETS marcheront en condition optimale.
C'est l'un des principaux avantage du Vlan.
Mais il y en a aussi un deuxième qui est important, la sécurité. Quelqu'un qui se brancherai sur le port libre n'aura accès qu'au Vlan qui est configuré sur ce port. Prenons l'exemple d'une borne Wifi branché sur le port libre et défini sur le Vlan 1 (données), il n'aurai pas accès à la domotique ou à la partie multimédia.
Cette exemple simplissime sur 7 appareils est forcement limité et ne surchargera pas un réseau.
Mais en rajoutant des bornes wifi, une imprimante, des objets IOT, les PC de la famille,téléphone portable, interphone filaire, et tout le bazar KNX maintenant en IP, etc....., on arrive vite à plusieurs dizaines d'appareils et plusieurs centaines en milieu pro.
Perso, chez moi, je dois avoir plus de 120 appareils
Des VLAN OK, mais pour quels type d'usage a la maison ?
L'exemple ci dessous apporte pas mal d'usage :
- Réseau données (PC, Serveur, téléphone, imprimante, etc...)
- Réseau multimédia (Musique, Vidéo, Photo, TV IP, Lecteur Blu-ray, Ampli, Télécommande Harmony, etc....)
- Réseau domotique KNX (Passerelle KNX, Serveur domotique, routeur IP, etc...)
Mais aussi :
- Réseau IOT (qui passe par des passerelles Web pour communiquer avec un serveur central) --> Net Atmo, Google home, Alexa, etc...
- Réseau Invités ne donnant qu'un acces à internet (depuis borne wifi sur lequel ont été défini deux réseaux wifi (un privé, un invité) et sur lequel est rattaché un Vlan différent sur chaque réseau wifi.)
- Réseau Technique (accès serveur de configuration du réseau avec accès très limité que depuis un poste précis par exemple)
- Réseau pour les cameras de surveillance
- Réseau de téléphonie IP
Donc, non le Vlan n'est pas un truc de Geek ou de Parano.
Je ne dis pas de le mettre en place si vous n'avez que 4 appareils connectés mais peut être très utile sur des installations plus poussés et apporte à la fois sécurité et amélioration des performances globales.
Voila une première approche pas trop technique et n'hésitez pas si vous avez des questions.
Octhib
(08/04/2020, 23:39:05)Octhib a écrit : [ -> ]Bonsoir,
Alors je vais essayé de me lancer dans une première approche d'un non informaticien (donc mes excuses si je n'utilise pas les termes courants) :
C'est quoi un VLAN ? Quel interet des VLAN ?
Déja que veut dire VLAN --> Virtual LAN --> Réseau virtuel en francais.
Pourquoi Virtuel ? Car il s'appuie sur un réseau informatique physique composé de switch, cable (optique, ethernet) reliant des machines composant le réseau mais en le sous divisant en plusieurs réseaux de maniere logiciel.
Un exemple étant plus parlant, passons à une démonstration :
J'ai les équipements suivants :
- Un switch 8 ports (donc 8 prises RJ45)
- 2 ordinateurs
- 1 Serveur de données
- 1 Serveur multimedia (pour films et musiques dématerialisés)
- 1 lecteur multimedia (pour lire les films et la musique ci dessus)
- 1 passerelle KNX
- 1 box domotique
Je ne mets pas de box internet dans cet exemple volontairement afin de ne pas compliquer le débat.
Et mon Switch (qui est un switch manageable) sert de switch mais aussi de serveur DHCP (celui qui attribue les adresses IP aux machines) et possede des fonctions de gestion des VLAN.
Chaque machine est branché à un port du switch en étant relié par des cables RJ45.
Mon réseau physique est constitué.
Si je m'arrete à ce point, lorsqu'une machine effectue une requete (chargement de données, lecture d'un film, téléchargement ETS, etc...), je fais faire circulé sur l'ensemble du réseau tout les informations voulu jusqu'au moment où l'information arrive à la bonne machine.
Tu confonds Hub et Switch et tu oublies aussi la table ARP.
1ere chose :
Un hub 100mb va diviser ses 100mb/s par le nombre de ports utilisés.
Un switch (on va prendre 1gb/s, c'est le plus courant dans le cas présent) va maintenir 1gb/s par port, dans les limites de sa capacité de commutation (mais bon tu peux y aller, tu peux cracher 1gb/s sur chaque port en même temps sans problème).
2eme chose :
Un switch n'est pas un bus. Il n'envoie pas la donnée sur tous les ports, au contraire, grâce à sa table ARP interne, il va savoir à qui envoyer la donnée. Tu ne peux pas encombrer un switch en y passant plusieurs données entre différentes machines. La seule chose que tu peux encombrer éventuellement, c'est ton uplink (si tu en as un).
Cela veut dire que chaque port du Switch va voir circuler les données d'un film même si le port est branché sur une passerelle KNX. Dans le cadre d'une utilisation intensive (je transferts un gros fichier de données d'un pc à un serveur pendant que je regarde un film sur mon lecteur multimedia depuis un film du serveur media tout en téléchargeant un programme dans ETS depuis un autre PC), les led de communication du Switch vont se mettre à clignoter dans tout les sens et vais ralentir la communication globale, entrenant des transferts plus lents, des coupures dans mon films ou faisant échouer mon téléchargement ETS.
Donc pas du tout, CF juste au dessus.
L'idéal serait donc d'avoir des réseaux physique pour chaque type de tache afin de ne pas avoir de surcharge liées à mes nombreuses activités réseaux.
Pas du tout. L'idée d'avoir des VLANs, c'est de segmenter différents réseaux de façon à pouvoir gérer les règles de sécurité entre chaque réseau, chose qui est impossible sur un même réseau (puisque justement les machines d'un même réseau parlent entre elles sans passer par le firewall/routeur du réseau, grâce notamment à la table ARP du switch).
Mais probleme, ETS est sur mon ordinateur 1, doncil doit etre relié à la passerelle KNX; Et comment je mets mes musiques ou films sur le serveur multimedia depuis un ordinateur ?
Donc une separation physique n'est pas possible.
En fait une séparation physique est l'idéale (elle enlève la possibilité d'une faille VLAN dans le firmware du switch par exemple), mais cela revient à avoir autant de ports que de LANs sur le firewall, et donc autant de switches que de LANs.
L'utilité du VLAN est donc d'avoir plusieurs réseaux segmentés au niveau du firewall, tout en utilisant un seul et unique switch. (Puisqu'il est nécessaire de traverser le firewall pour aller d'un VLAN à l'autre, c'est là qu'on peut gérer ses règles d'accès entre machines, chose impossible si elles sont sur le même réseau)
Des VLAN OK, mais pour quels type d'usage a la maison ?
L'exemple ci dessous apporte pas mal d'usage :
- Reseau données
- Reseau multimedia (Musique, Video, Photo, TV IP, etc....)
- Réseau domotique KNX (Passerelle KNX, Serveur domotique, routeur IP, etc...)
Mais aussi :
- Reseau IOT (qui passe par des passerelles Web pour communiquer avec un serveur central) --> Net Atmo, Google home, Alexa, etc...
- Reseau Invités ne donnant qu'un acces à internet.
- Reseau Technique (acces serveur de configuration du réseau avec acces très limité que depuis un poste précis par exemple)
- Réseau pour les cameras de surveillance
Donc, non le Vlan n'est pas un truc de Geek ou de Parano.
En plus de mes remarques en rouge, voilà une définition de ce qu'est un LAN avant de définir ce n'est un VLAN.
Un LAN est un réseau local configuré sur une plage d'adresses IP privées de classe A, B ou C.
Vous utilisez chez vous très certainement une plage IP de classe C, ne permettant de ne voir sur le réseau "que" 254 machines (exemple : 192.168.0.0/24).
Si vous voulez, par exemple, ne pas brancher le wifi (qui est facilement piratable) sur votre réseau principal, vous pouvez le connecter sur un autre réseau LAN (192.168.0.1/24 par exemple).
On peut ainsi multiplier les réseaux LANs, de façon à segmenter "son" réseau global.
Sauf que pour chaque réseau il nous faudra un switch, mais aussi un routeur/firewall qui sait gérer chacun de ces réseaux, et donc pour chaque réseau, il faut 1 port RJ45 d'uplink entre le routeur/firewall et le switch.
Donc si l'on souhaite avoir plusieurs réseaux, comme :
- Reseau multimedia (Musique, Video, Photo, TV IP, etc....)
- Réseau domotique KNX (Passerelle KNX, Serveur domotique, routeur IP, etc...)
- Reseau IOT (qui passe par des passerelles Web pour communiquer avec un serveur central) --> Net Atmo, Google home, Alexa, etc...
- Reseau Invités ne donnant qu'un acces à internet.
- Reseau Technique (acces serveur de configuration du réseau avec acces très limité que depuis un poste précis par exemple)
- Réseau pour les cameras de surveillance
Il faut 6 ports RJ45 sur le routeur, et 6 switches.
Pour éviter ça, on fait appel aux VLANs, sur un switch layer 2 (manageable, sans routage), de façon à indiquer à chaque port du switch à quel(s) réseau(x) il appartient.
Petite question probablement idiote : Comment se passent les paquets qui sont en mode broadcast comme les caméras vidéos ?
Ces paquets sont-ils confinés (c'est à la mode en ce moment !!!!) sur le vlan ou sont-ils transmis sur les autres vlan ?
(09/04/2020, 09:25:47)pollux06 a écrit : [ -> ]Petite question probablement idiote : Comment se passent les paquets qui sont en mode broadcast comme les caméras vidéos ?
Ces paquets sont-ils confinés (c'est à la mode en ce moment !!!!) sur le vlan ou sont-ils transmis sur les autres vlan ?
Exactement comme entre 2 LANs différents, rien ne passe.
Si on reste dans une configuration simple, c'est à dire des ports untagged, chaque port se comporte comme s'il était un switch layer 1.
@rAv3n:
Petite question: les VLANs sont compartimenté avec aucun accès entre eux. OK
Prenons l'exemple simple:
* 1 VLAN pour accéder à internet depuis tes PC, Tel et Tablette
* 1 VLAN pour la domotique (sur lequel tu mets ton système KNX et portier video ect)
Si tu utilises une tablette sur laquelle tu veux superviser ta domotique (OpenHAB, Lifedomus...) mais aussi garder un accès à internet pour consulter les sites internet, visualiser tes mails etc... comment fais-tu dans ce cas? Tu dois changer de VLAN en fonction du besoin? Ou il y a moyen d'avoir quelque chose de transparent?
ps: désolé pour la question bateau mais n'ayant pas encore manipulé les VLAN, ce point me parait encore obscure.
(09/04/2020, 10:58:24)Kevlille a écrit : [ -> ]@rAv3n:
Petite question: les VLANs sont compartimenté avec aucun accès entre eux. OK
Prenons l'exemple simple:
* 1 VLAN pour accéder à internet depuis tes PC, Tel et Tablette
* 1 VLAN pour la domotique (sur lequel tu mets ton système KNX et portier video ect)
Si tu utilises une tablette sur laquelle tu veux superviser ta domotique (OpenHAB, Lifedomus...) mais aussi garder un accès à internet pour consulter les sites internet, visualiser tes mails etc... comment fais-tu dans ce cas? Tu dois changer de VLAN en fonction du besoin? Ou il y a moyen d'avoir quelque chose de transparent?
ps: désolé pour la question bateau mais n'ayant pas encore manipulé les VLAN, ce point me parait encore obscure.
Tout se passe au niveau du firewall (qui est probablement aussi le routeur dans 99% des cas chez les particuliers).
C'est lui qui va autoriser tel ou tel flux à passer d'un VLAN à VLAN (tout comme passer d'un LAN à l'autre).
Et tu peux faire ce que tu veux, par exemple tu peux autoriser ta tablette à accèder à toute la VM de ton OpenHAB qui est sur l'autre VLAN, ou tu peux la limiter au port 80 de ta VM OpenHAB (pour éviter tout accès autre qu'à l'interface web).
Et comment ça se passe quand les vlans sont sur les switchs et non pas sur le routeur ?
Dans mon cas j'ai le routeur (netgear ou box orange) relié à plusieurs switchs Netgear / HP tous manageables. Le routeur ne permet pas la création de vlan.
C'est donc au niveau des switchs qu'il va falloir paramétrer les interconnexions entre Vlan ?
(09/04/2020, 15:38:55)pollux06 a écrit : [ -> ]Et comment ça se passe quand les vlans sont sur les switchs et non pas sur le routeur ?
Dans mon cas j'ai le routeur (netgear ou box orange) relié à plusieurs switchs Netgear / HP tous manageables. Le routeur ne permet pas la création de vlan.
C'est donc au niveau des switchs qu'il va falloir paramétrer les interconnexions entre Vlan ?
Si tu veux faire un adressage DHCP de tes VLANs, il te faut un routeur qui gère les VLANs. Tu peux faire ça dans une VM avec un Pfsense/OPNSense/Ipfire etc.. si besoin.
Un switch, s'il n'est que layer 2, ne gère pas le routage, il faut passer sur un layer 3 pour ajouter la couche routage.
Dans ton cas tu peux uniquement faire de l'adressage IP fixe et utiliser tes VLANs en untagged sur les ports.
Hello,
Je me posais justement la question de ce type de matériel et ai une question simple à mon avis:
À partir du moment où tous les modules IP sont en adresse IP fixe et reviennent à chaque fois vers le switch, si je veux empêcher un externe de se connecter sur le réseau et tenter de communiquer avec quelque chose qui serait sur un autre port du switch (sauf si autorisé), un switch L2 est suffisant ou il faut du L3?
Merci!
(12/04/2020, 21:02:49)olivier.p a écrit : [ -> ]Hello,
Je me posais justement la question de ce type de matériel et ai une question simple à mon avis:
À partir du moment où tous les modules IP sont en adresse IP fixe et reviennent à chaque fois vers le switch, si je veux empêcher un externe de se connecter sur le réseau et tenter de communiquer avec quelque chose qui serait sur un autre port du switch (sauf si autorisé), un switch L2 est suffisant ou il faut du L3?
Merci!
un switch L3 fait du routage, pas du firewalling.