Qu'est-ce qu'un VLAN Privé et Comment Fonctionne-t-il ?

Mis à jour depuis le 17 nov, 2022 by

 14.8k

Qu'est-ce qu'un VLAN privé (PVLAN) ?

Le VLAN privé (PVLAN), également connu sous le nom d'isolation de port, est une technologie de segmentation de réseau pour les réseaux de couche 2, permettant l'isolation des ports ou la segmentation du trafic sous le même segment IP. En appliquant le VLAN privé dans un environnement de réseau partagé, cela permet d'économiser des adresses IP et d'améliorer la sécurité des ports de commutation dans la couche 2.

Types de VLAN dans un VLAN privé

Au sein d'un réseau VLAN privé, les VLAN sont accessibles sous trois modalités :

VLAN primaire : Ce type de VLAN fait référence au VLAN d'origine, qui peut descendre des trames vers tous ses sous-VLAN (VLAN secondaires) à partir des ports promiscuous vers tous les ports connectés à l'hôte.
VLAN isolé : En tant que VLAN secondaire, le VLAN isolé ne peut prendre en charge que les ports de commutation (ports isolés) au sein du VLAN isolé qui transmettent des données aux ports promiscuous du VLAN primaire. Même dans un même VLAN isolé, les ports isolés ne peuvent pas communiquer entre eux.
VLAN communautaire : Le VLAN communautaire est également un type de VLAN secondaire. Les ports de commutation (ports communautaires) au sein d'un même VLAN communautaire peuvent communiquer entre eux ainsi qu'avec les ports du VLAN primaire. Mais un tel type de VLAN est également incapable de communiquer avec d'autres VLAN secondaires, y compris d'autres VLAN communautaires.

Types de port du PVLAN

Il existe trois types de port VLAN :

Port promiscuous : ce type de port est capable d'envoyer et de recevoir des trames de n'importe quel autre port du VLAN. Il se connecte généralement à un commutateur de couche 3, un routeur ou d'autres dispositifs de passerelle.
Port isolé : Existant dans un sous-VLAN, le port isolé se connecte à un hôte et ne peut communiquer qu'avec des ports promiscuous.
Port communautaire : Le port communautaire réside également dans un sous-VLAN et se connecte à un hôte. Cependant, il ne peut dialoguer qu'avec les ports promiscuous et les autres ports communautaires du même sous-réseau.

private vlan domain.jpg

Comment fonctionne le VLAN privé ?

Le VLAN privé traverse généralement les étapes suivantes :

1. Le VLAN primaire délivre les trames en aval du port promiscuous à tous les hôtes mappés.

2. Le VLAN isolé transporte les trames depuis les hôtes stub en amont vers le port promiscuous uniquement.

3. Les VLAN communautaires permettent l'échange bidirectionnel de trames au sein d'un même groupe communautaire. En même temps, il remontera les données vers les ports promiscuous.

4. La procédure d'apprentissage et de transfert de l'adresse MAC Ethernet reste la même, ainsi que la procédure d'inondation de diffusion/multicast dans les limites des VLAN primaires/secondaires.

Pour en savoir plus sur ce qu'est un VLAN, veuillez consulter la section “Quelle est la différence entre QinQ, VLAN et VXLAN ?”.

Questions fréquentes au sujet du VLAN privé

1. Comment configurer un VLAN privé ?

Chez FS, les switchs Ethernet S5800-8TF12S, S5850-48S6Q, S5850-48T4Q, S8050-20Q4C et la série N peuvent tous prendre en charge le VLAN privé. Pour configurer le VLAN privé, il y a cinq étapes à suivre :

Étape 1 : Créez des VLAN primaires et secondaires et associez-les.

Étape 2: Configurez les ports isolés et les ports communautaires et les lier aux VLAN secondaires respectifs.

Étape 3: Configurez les interfaces comme des ports promiscuous, et mapper les ports promiscuous à la paire VLAN primaire-secondaire.

Étape 4: Si le routage inter-VLAN est utilisé, configurez l'interface virtuelle du commutateur primaire et mappez les VLAN secondaires sur le primaire.

Étape 5: Vérifiez la configuration du VLAN privé.

2. Comment configurer les ports isolés (segmentation du trafic) sur les commutateurs FS ?

Les commutateurs Ethernet de la série FS S3900 supportent la segmentation du trafic et les commutateurs de la série S5800/5900/8050 et de la série N supportent l'isolation des ports. Le plan de configuration pour la segmentation du trafic ou l'isolation des ports peut être réalisé de la manière suivante :

Étape 1 : Configurez le VLAN, les adresses IP et l'interface Ethernet pour les commutateurs spécifiés afin de permettre l'interconnexion des réseaux.

Étape 2 : Ajoutez les interfaces à un groupe de segmentation du trafic ou d'isolation des ports pour mettre en œuvre une segmentation de couche 2 entre ces interfaces.

Étape 3 : Vérifiez la configuration.

3. VLAN et VLAN privé : quelle est la différence ?

En général, les différents VLAN correspondent à différents sous-réseaux IP. Les appareils d'un VLAN peuvent être configurés pour partager le même domaine de diffusion. Il peut fonctionner à la fois en couche 2 et en couche 3.