Configuration des VLANs

tbowan

18 Février 2019

Pour faire passer tous les flux réseaux entre le garage et l'arrière cuisine, nous avons ajouté des VLANs à notre infrastructure. Cet article vous explique comment le faire avec un routeur TP-LINK et un serveur ESXi 6.5.

Cloisonner un réseau, c’est bien, mais plus on cloisonne, plus il faut ajouter de câbles et de cartes au routeur. Lorsqu’on atteint la limite physique, on peut passer aux cartes virtuelles et aux VLANs. Et la limite peut arriver plus vite que prévu …

Chez les arsouyes, la limite a été atteinte lorsque nous avons cumulé nos connexions internet :

Le NAS et le routeur ayant chacun besoin d’un câble gigabit vers le LAN, il ne reste qu’un câble pour les deux connexions internet. On pourrait ajouter un quatrième câble mais d’un autre côté, l’ADSL correspond à peine à 0,4% du débit réseau (4Mbps les beaux jours), et en plus, elle n’est utilisée qu’en cas de panne côté fibre2.

On va donc partager le câble pour les deux connexions et vu que nos équipements le permettent, on va aussi utiliser des VLANs pour cloisonner ces réseaux et éviter que les boxes se voient.

Mais c’est quoi un VLAN ?

Globalement, un VLAN, c’est un réseau local virtuel (Virtual LAN si vous n’aviez pas encore saisi). Les systèmes voient des réseaux différents, les utilisent comme de vrais réseaux, mais en vrai, il n’y a qu’un seul équipement physique.

La première façon de procéder, c’est de cloisonner les réseau au niveau des commutateurs. Vous assignez des ports à des VLANs et le commutateur évite de faire passer des trames Ethernet de l’un à l’autre. Les systèmes se croient isolés, sur des commutateurs différents, alors qu’il n’y en a qu’un.

Pour aller plus loin, on peut aussi permettre aux paquets de plusieurs VLANs de partager certains ports du commutateur. L’heureux élu, qu’on qualifie alors de trunk, aura accès aux trames Ethernet de tous ces VLANs. Pour trier ces trames, un identifiant de vlan est inséré dans la trame3 qui est donc modifiée pour la bonne cause (on dit aussi taguée).

L’idée de base était de mettre un autre commutateur à l’autre bout du câble et faire passer les VLAN d’un commutateur à l’autre. Les commutateurs utilisant les identifiants pour trier les trames. Les machines branchées sur ces commutateurs peuvent alors communiquer entre elles sans s’apercevoir de la supercherie.

Et là où ça devient vraiment utile, c’est que ces trames modifiées peuvent aussi être gérées par les systèmes d’exploitation. C’est alors lui qui trie les trames et simule alors des cartes réseaux virtuelles. Tout le reste du système voit ces cartes comme n’importe quelle autre carte physique mais en réalité, tout emprunte le même câble.

Dans notre cas, nous allons utiliser notre commutateur TL-SG1024DE pour isoler les réseaux sur des VLANs différents. Un port trunk sera connecté à l’ESXi. PfSense sait gérer les VLANs mais on a trouvé plus pratique de laisser ce travail à l’ESXi. Les machines virtuelles (dont PfSense) ne sont donc au courant de rien.

Configuration du commutateur

On va commencer par la configuration du commutateur pour gérer nos VLANs. Notre infrastructure utilise un TL-SG1024DE, mais le principe reste similaire sur tous les commutateurs administrable, il faudra adapter la démarche à vos menus respectifs.

Authentification et adresse IP

La gestion de ce commutateur se fait via une interface web par HTTP. Par défaut, il récupère son adresse via le DHCP et s’il n’en trouve pas, se rabat sur 192.168.0.1/24. Quelques limitations à savoir :

Pour votre première connexion, le nom d’utilisateur et le mot de passe sont tous deux admin. Pour les changer, il suffit de se rendre dans le menu System / User Account. Vous pouvez alors fournir un nouveau nom d’utilisateur et un nouveau mot de passe.

Configuration utilisateur

Configuration utilisateur

Pour éviter les problèmes de DHCP, vous pouvez configurer l’adresse IP de manière statique. Allez alors dans le menu System / IP Setting. Désactivez le DHCP et renseignez votre configuration IP (adresse, masque et passerelle).

Configuration IP

Configuration IP

Configuration des VLANs

Comme prévu, nous allons configurer des VLANs 802.1Q. Pour ça, on va dans le menu VLAN / 802.1Q VLAN4. On coche la case Enable puis on clique sur Apply.

Activer le VLAN 802.1Q

Activer le VLAN 802.1Q

Comme nous avons largement assez de ports disponibles, nous avons choisi de doubler les ports attribués aux VLANs. En cas de soucis, on pourra brasser une prise murale vers n’importe quel port et diagnostiquer plus facilement. On a donc la configuration suivante :

Ports Utilisation
1 à 18 Réseau local (LAN)
19 et 20 Trunk (freebox et redbox)
21 et 22 Réseau de la freebox
23 et 24 Réseau de la redbox

Il ne reste plus qu’à mettre en œuvre cette configuration. Pour chaque VLAN5, et toujours dans ce menu VLAN / 802.1Q VLAN, il faudra renseigner les éléments suivants :

Configuration d'un VLAN

Configuration d'un VLAN

Après chaque ajout ou modification, le tableau en bas de page est actualisé pour vous permettre de connaître l’appartenance des ports aux VLANs. Pour nous, ça donne le tableau suivant.

Synthèse de la configuration des VLANs

Synthèse de la configuration des VLANs

Configuration de l’ESXI

Bien que PfSense accepte les VLAN 802.1Q, nous avons préféré les gérer via notre ESXi. Ça nous permettra d’ajouter des machines dans chaque VLAN au besoin et ça évite que PfSense ne doive s’en charger.

Pour cette partie, nous utilisons l’interface de configuration web d’ESXi 6.5.0. Si vous préférez utiliser un autre client, les principes restent les mêmes mais les menus peuvent changer.

Pour commencer, il faut avoir un commutateur virtuel correspondant à votre carte réseau. Si vous n’en avez pas déjà, passez par le menu Mise en réseau / Commutateurs virtuels et cliquez sur Ajouter un commutateur virtuel standard. Vous pouvez alors lui donner un nom et choisir la carte réseau correspondante.

Creation du commutateur

Creation du commutateur

La prise en compte des VLANs se fait ensuite via la création de groupes de ports que vous retrouverez dans le menu Mise en réseau / groupes de ports. Cliquer sur Ajouter un groupe de ports et renseignez le nom, l’identifiant du VLAN et le commutateur correspondant.

Ajout d'un groupe de ports

Ajout d'un groupe de ports

Et voilà ! Lorsque vous aurez besoin de brancher une machine sur ce VLAN, vous n’aurez qu’à brancher sa carte sur le groupe de ports correspondant. Par exemple, notre routeur se retrouve avec 5 cartes réseaux sans savoir qu’il s’agit de VLAN.

Cartes réseaux du routeur

Cartes réseaux du routeur

Et après ?

Techniquement, nous avions en fait configuré ces VLANs avant de cumuler les connexions. Pour continuer à configurer votre routeur :


  1. L’hiver, on économise en chauffage, mais l’été, il a fallu installer la clim dans le garage.

  2. Et ça arrive plus vite que prévu.

  3. pour les détails, voir la norme IEEE 802.1Q.

  4. Comme quoi, parfois, les menus sont bien faits.

  5. Avant la mise à jours du 2 mai 2018, il n’était pas possible de configurer le VLAN 1. Tous les ports étaient indiqués comme en faisant partie (untagged) mais heureusement, les autres VLANs fonctionnaient comme prévu.

  6. Le VLAN 1 a pour nom defaults_VLAN qui fait 13 caractères. Si vous configurez ce VLAN, vous devrez changer son nom car l’interface refuse de garder l’ancien puisqu’il est trop long…

  7. En vrai, le port peut ne faire partie que d’un seul VLAN. L’utilité est proche de zéro mais c’est techniquement faisable.