Calculateur VLAN
Créez et gérez vos VLANs avec configuration des priorités et tags 802.1Q.
Créer un VLAN
VLANs Configurés
Liste des VLANs créés (triés par ID)
Aucun VLAN configuré
Informations sur les VLANs
Plages d'IDs VLAN:
- 0: Réservé (non utilisable)
- 1: VLAN par défaut
- 2 à 1001: VLANs normaux
- 1002 à 1005: FDDI/Token Ring (réservés)
- 1006 à 4094: VLANs étendus
- 4095: Réservé (non utilisable)
Priorités 802.1p:
- 0: Best Effort (défaut)
- 1: Background
- 2: Spare
- 3: Excellent Effort
- 4: Controlled Load
- 5: Video (< 100ms latence)
- 6: Voice (< 10ms latence)
- 7: Network Control
Comprendre les VLANs
Qu'est-ce qu'un VLAN ?
Un VLAN (Virtual Local Area Network) segmente un réseau physique en plusieurs réseaux logiques isolés. Chaque VLAN est un domaine de broadcast séparé. Avantages : sécurité accrue (isolation trafic), performances (réduction broadcasts), flexibilité (regroupement logique indépendant de la localisation physique), gestion simplifiée. Un switch peut gérer jusqu'à 4094 VLANs (ID 1-4094).
Standard 802.1Q
802.1Q est le standard de trunking VLAN qui ajoute un tag de 4 octets à la trame Ethernet. Le tag contient : VLAN ID (12 bits, 0-4095), Priority (3 bits, 0-7 pour QoS), DEI flag. Le VLAN 1 est le VLAN natif par défaut (non taggé sur trunk). Les trames taggées ont une taille de 1522 octets vs 1518 standard. Tous les switches doivent supporter 802.1Q pour communiquer.
Priorité 802.1p (QoS)
802.1p définit 8 niveaux de priorité (0-7) pour la QoS au niveau 2 : 0-1 (Best Effort/Background), 2 (Standard), 3 (Excellent Effort), 4-5 (Controlled Load/Video), 6-7 (Voice/Network Control). Les switches utilisent ces priorités pour prioriser le trafic dans les files d'attente. Essentiel pour VoIP, vidéo, applications critiques. Configure avec DSCP mapping pour interopérabilité L2/L3.
Plages VLAN et Usages
| Plage | Type | Usage |
|---|---|---|
| 0 | Réservé | Non utilisable |
| 1 | VLAN par défaut | VLAN natif, management |
| 2-1001 | VLANs normaux | Usage standard, sauvegardé dans vlan.dat |
| 1002-1005 | Token Ring/FDDI | Réservés, ne pas utiliser |
| 1006-4094 | VLANs étendus | Nécessite VTP transparent/off |
| 4095 | Réservé | Non utilisable |
Cas d'Usage Pratiques
Segmentation par département
Créez un VLAN par département : VLAN 10 Finance, VLAN 20 RH, VLAN 30 IT, VLAN 40 Production. Chaque VLAN a son sous-réseau IP (10.1.10.0/24, 10.1.20.0/24...). Isolez le trafic, appliquez des ACLs différentes, facilitez la gestion et le dépannage.
VoIP et données séparées
VLAN voix (ex: 100) et VLAN données (ex: 10) sur les mêmes ports avec voice VLAN. Le téléphone IP tag son trafic VLAN 100 (priorité 5), le PC derrière en VLAN 10 non-taggé. QoS garantit qualité voix, isolation sécurise les données.
Guest WiFi isolé
VLAN invités (ex: 99) séparé du réseau principal. Access points diffusent SSID invités mappé au VLAN 99. Routeur/firewall applique ACL stricte : Internet uniquement, pas d'accès réseau interne. DHCP dédié avec durée bail courte.
Questions Fréquentes
VLAN 1 : pourquoi ne pas l'utiliser pour les données ?
Le VLAN 1 est le VLAN natif par défaut sur tous les switches Cisco. Il transporte par défaut le trafic de management (CDP, VTP, DTP, STP BPDUs). C'est une cible privilégiée pour les attaques (VLAN hopping, sniffing). Bonnes pratiques : changez le VLAN natif sur les trunks, utilisez VLAN dédié pour management, désactivez VLAN 1 sur les ports utilisateurs. Utilisez VLANs 10+ pour données.
Access port vs trunk port : quelle différence ?
Access port : connecte un seul périphérique (PC, serveur, téléphone), appartient à UN VLAN, trafic non-taggé. Configuration : switchport mode access + switchport access vlan [ID]. Trunk port : connecte deux switches ou switch-routeur, transporte PLUSIEURS VLANs simultanément, trafic taggé 802.1Q (sauf VLAN natif). Configuration : switchport mode trunk + switchport trunk allowed vlan [liste].
Comment router entre VLANs ?
Trois méthodes : 1) Router-on-a-stick : une seule interface physique avec sous-interfaces par VLAN (interface.10, interface.20). Simple mais limite bande passante. 2) Switch L3 avec SVI : interface vlan 10, ip address. Performant, pas de goulot. 3) Routeur avec interfaces dédiées par VLAN. Cher en ports. Pour tous : configurez ip routing et routes/default gateway appropriées.
VTP : faut-il l'activer ?
VTP (VLAN Trunking Protocol) synchronise configs VLAN entre switches. Dangers : VTP Server avec config numéro supérieur écrase tous les autres switches → perte totale de VLANs ! Une erreur humaine peut détruire le réseau entier. Recommandation moderne : VTP mode transparent ou off sur TOUS les switches. Configurez VLANs manuellement. Si obligé d'utiliser VTP : mode client uniquement, mots de passe forts, audit régulier.
Configuration et Bonnes Pratiques
- •Cisco config VLAN : vlan 10 | name Sales | exit | interface g0/1 | switchport access vlan 10
- •Trunk config : switchport mode trunk | switchport trunk allowed vlan 10,20,30 | switchport trunk native vlan 999
- •Ne pas utiliser VLAN 1 : Changez native VLAN, utilisez VLAN dédié management, VLANs données à partir de 10
- •Documentation : Maintenez plan d'adressage avec VLAN ID, nom, sous-réseau IP, gateway, usage
- •Sécurité : VTP mode off/transparent, DTP désactivé (switchport nonegotiate), BPDU guard sur access
- •QoS : Utilisez priorité 5 pour voix, 3-4 pour vidéo, 0-2 pour données, 6-7 pour contrôle réseau