VLAN (Virtual Local Area Network)

Définition

Un VLAN est une subdivision logique d’un réseau physique qui crée des domaines de diffusion séparés sur la même infrastructure. Les appareils de différents VLANs ne peuvent pas communiquer directement sans un routeur ou un switch Layer 3, indépendamment de la connectivité physique.

Les VLANs sont définis par le tagging 802.1Q, où chaque trame Ethernet transporte un ID VLAN (1-4094) identifiant le réseau logique auquel elle appartient.

Concepts clés

• 802.1Q : Standard IEEE pour le tagging VLAN
• ID VLAN : Numéro 1-4094 identifiant le VLAN (4096 total, dont 2 réservés)
• Port Trunk : Transporte plusieurs VLANs entre switches (taggé)
• Port Access : Transporte un trafic non taggé pour un seul VLAN
• Routage Inter-VLAN : Requis pour la communication entre VLANs (routeur ou switch L3)
• VLAN Hopping : Attaque de sécurité où un attaquant envoie du trafic vers des VLANs non intentionnels

Cas d’utilisation courants

• Segmentation réseau : Séparer les départements (RH, Ingénierie, Invités)
• Isolation de sécurité : Appareils IoT, caméras sur des VLANs séparés
• Réduction de la diffusion : Des domaines de diffusion plus petits améliorent les performances
• Environnements multi-locataires : Isoler différents clients sur une infrastructure partagée

Termes associés

• Subnet — équivalent au niveau IP ; un VLAN mappe typiquement à un subnet
• VXLAN — réseau overlay étendant les VLANs entre data centers
• Firewall — souvent placé entre les VLANs pour le contrôle du trafic
• SDN — le software-defined networking peut gérer les VLANs de manière programmatique

Références

• Wikipedia : https://en.wikipedia.org/wiki/VLAN
• Cisco : https://www.cisco.com/c/en/us/support/switches/catalyst-switches/concept-guide-CG-09186a00800a75ee.html