(ML-001) Comment gérer correctement plusieurs IP publiques ou privées sur le routeur périphérique
$8,99
Interconnexion VLAN : routage entre réseaux virtuels
- Mauro Escalante
- Pas de commentaires
- Partagez cet article
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
L'interconnexion VLAN fait référence au processus d'établissement de communication entre différents réseaux virtuels (VLAN) dans une infrastructure réseau. Les VLAN sont des segments logiques d'un réseau physique qui permettent aux administrateurs de diviser le réseau en groupes logiques plus petits pour améliorer la sécurité, la gestion et les performances du réseau.
Lorsque des VLAN distincts sont créés, par défaut, ils ne peuvent pas communiquer directement entre eux. Cependant, dans de nombreuses situations, il est nécessaire de permettre la communication entre différents VLAN pour partager des ressources ou permettre aux utilisateurs d'accéder à des services spécifiques sur d'autres réseaux virtuels. C'est là que le routage entre VLAN.
Le routage inter-VLAN permet au trafic de se déplacer entre différents VLAN en utilisant un dispositif de routage ou commutateur de couche 3 qui a une capacité de routage. Ces appareils agissent comme des ponts entre les VLAN et leur permettent de communiquer entre eux.
Façons de mettre en œuvre le routage
Les principales façons de mettre en œuvre le routage entre les VLAN sont :
1. Routage avec un routeur externe
Dans cette configuration, chaque VLAN est connecté à sa propre interface sur le routeur. Lorsqu'un paquet de données doit être envoyé d'un VLAN à un autre, il est envoyé au routeur, qui le transmet ensuite au VLAN de destination. Cette technique est simple et efficace, mais peut s'avérer inefficace s'il existe de nombreux VLAN, car elle nécessite une interface distincte pour chacun.
2. Routage à la commutation de couche 3
Dans cette configuration, le routage est effectué au sein du commutateur, qui peut comprendre et manipuler les paquets au niveau du réseau. Ce type de commutateur dispose de plusieurs interfaces virtuelles de couche 3, une pour chaque VLAN, vous permettant d'effectuer le routage entre elles. Cette technique est plus efficace que le routage avec un routeur externe, mais nécessite un matériel plus sophistiqué et plus coûteux.
3. Routage avec un tronc (Router-on-a-stick)
Dans cette configuration, une seule interface physique sur un routeur est utilisée pour gérer le trafic provenant de plusieurs VLAN. Les VLAN sont différenciés à l'aide de balises VLAN (802.1Q) sur les paquets de données. Cette technique est plus efficace que le routage avec un routeur externe en termes d'utilisation de l'interface, mais peut être limitée par la quantité de bande passante disponible sur l'interface réseau.
Étapes essentielles
Lors de la configuration du routage entre les VLAN, plusieurs étapes doivent être effectuées :
1. Configuration du VLAN
Tout d'abord, des VLAN individuels sont créés sur les commutateurs ou les périphériques réseau. Chaque VLAN est configuré avec un ID unique et des ports spécifiques sont attribués à chaque VLAN.
2. Configuration des interfaces de routage
Sur le périphérique de routage ou le commutateur de couche 3, les interfaces qui se connecteront à chaque VLAN doivent être configurées. Ces interfaces sont configurées avec des adresses IP appartenant aux sous-réseaux de chaque VLAN.
3. Configuration de la table de routage
Des routes statiques sont configurées ou un protocole de routage dynamique est utilisé pour permettre au périphérique de routage de savoir comment atteindre les sous-réseaux de chaque VLAN.
4. Mise en place de politiques d'accès
Des listes de contrôle d'accès (ACL) peuvent être appliquées pour contrôler le trafic autorisé ou bloqué entre les VLAN. Cela fournit une couche supplémentaire de sécurité et de contrôle.
Une fois ces étapes terminées, les VLAN seront interconnectés et pourront communiquer entre eux via le dispositif de routage ou l' commutateur de couche 3. Le périphérique de routage examinera les informations de destination des paquets et les acheminera vers le VLAN de destination correspondant.
Il est important de noter que le routage entre les VLAN peut avoir un impact sur les performances du réseau car il implique un traitement de paquets supplémentaire et peut générer un trafic supplémentaire sur le réseau.
Par conséquent, il est important de concevoir soigneusement la configuration du routage et de prendre en compte la bande passante et les ressources disponibles pour garantir des performances réseau optimales.
Routeurs ou commutateurs de couche 3
Le choix entre utiliser un routeur ou un commutateur de couche 3 pour le routage entre les VLAN dépendra de plusieurs facteurs, notamment la taille du réseau, le volume du trafic, les ressources disponibles et les besoins spécifiques de l'organisation.
Voici quelques considérations qui peuvent vous aider à prendre une décision :
1 Performance
Les commutateurs de couche 3 sont généralement plus rapides que les routeurs pour le routage, car le matériel du commutateur est conçu pour gérer le routage de paquets à haut débit. Cela peut être particulièrement important sur les réseaux avec une grande quantité de trafic inter-VLAN.
2. Coût
Les commutateurs de couche 3 sont généralement plus chers que les routeurs en raison de leur matériel spécialisé. Par conséquent, si le budget est un facteur important, un routeur peut s’avérer une option plus rentable.
3. Évolutivité
Si le réseau est destiné à croître en taille et en complexité, un commutateur de couche 3 peut constituer une option plus évolutive. Les commutateurs de couche 3 peuvent gérer un grand nombre de VLAN et fournir un routage inter-VLAN sans avoir besoin d'interfaces physiques supplémentaires comme l'exige un routeur.
4. Fonctionnalités avancées
Les routeurs offrent généralement une plus large gamme de fonctionnalités avancées par rapport aux commutateurs de couche 3. Ceux-ci peuvent inclure la prise en charge d'une gamme plus large de protocoles de routage, de capacités de pare-feu, de VPN et d'autres fonctionnalités de sécurité.
5. Facilité de configuration et de gestion
Les commutateurs de couche 3 sont généralement plus faciles à configurer et à gérer pour le routage inter-VLAN que les routeurs. En effet, vous pouvez configurer plusieurs interfaces VLAN sur un seul appareil au lieu d'avoir à gérer plusieurs interfaces physiques sur un routeur.
En résumé, le choix entre un routeur et un switch Layer 3 pour le routage inter-VLAN dépendra des besoins spécifiques de votre réseau. Les deux options présentent des avantages et des inconvénients, et la meilleure option variera d’une situation à l’autre.
Routeurs et commutateurs de couche 3
Ci-dessous, nous présentons un tableau comparatif qui met en évidence certains des avantages offerts par les deux routeurs comme commutateurs de couche 3 pour le routage entre les VLAN dans un réseau :
| Toupie | Commutateur de couche 3 | |
|---|---|---|
| Performance | Vitesses de routage généralement plus lentes par rapport aux commutateurs de couche 3 | Hautes performances, capables d'effectuer un routage à grande vitesse |
| Coût | Généralement moins cher | Généralement plus cher en raison du matériel spécialisé |
| évolutivité | Peut être limité par le nombre d'interfaces physiques disponibles | Très évolutif, peut gérer un grand nombre de VLAN |
| Fonctionnalités avancées | Prise en charge d'un large éventail de protocoles de routage, pare-feu, VPN, entre autres | Principalement limité au routage, bien que certains modèles puissent inclure des fonctionnalités avancées |
| Configuration et gestion | Peut être plus compliqué en raison de la nécessité de gérer plusieurs interfaces physiques | Configuration et gestion plus faciles grâce aux interfaces VLAN virtuelles |
Implémentation du routage VLAN dans RouterOS
Ce qui suit est un exemple de la façon dont vous pouvez configurer le routage inter-VLAN sur un routeur MikroTik. Cela suppose que vous disposez déjà de deux VLAN configurés (VLAN 10 et VLAN 20) sur le port ether2 et que vous souhaitez configurer le routage entre eux.
Il s'agit d'un exemple simple et vous devrez peut-être ajuster les commandes pour les adapter aux besoins spécifiques de votre réseau.
Tout d’abord, nous devrons attribuer des adresses IP à chacun des VLAN. Ces adresses serviront de passerelle par défaut pour chaque VLAN. Supposons que nous utilisions 192.168.10.1/24 pour le VLAN 10 et 192.168.20.1/24 pour le VLAN 20 :
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Ensuite, nous activerons le routage entre les VLAN. MikroTik le fait automatiquement grâce à sa capacité de routage de couche 3 :
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Enfin, si vous souhaitez que les VLAN puissent également accéder à Internet, vous devrez configurer une route par défaut via votre passerelle Internet. Disons que votre passerelle Internet est 192.168.1.1 :
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
L'ajout de règles de pare-feu pour contrôler le trafic entre les VLAN sur un routeur MikroTik peut contribuer à améliorer la sécurité du réseau. Voici un exemple de la façon dont vous pourriez procéder.
Supposons que vous souhaitiez bloquer tout le trafic du VLAN 10 au VLAN 20, mais autoriser le trafic dans la direction opposée. Dans un premier temps, vous devrez identifier les réseaux correspondant à vos VLAN (par exemple, 192.168.10.0/24 pour le VLAN 10 et 192.168.20.0/24 pour le VLAN 20), puis vous pourrez utiliser les commandes suivantes :
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Ces commandes créeront deux règles de pare-feu :
- La première règle bloquera tout le trafic du VLAN 10 au VLAN 20 (c'est-à-dire que tous les paquets provenant du réseau 192.168.10.0/24 et destinés au réseau 192.168.20.0/24 seront abandonnés).
- La deuxième règle autorisera le trafic du VLAN 20 vers le VLAN 10 (c'est-à-dire que tous les paquets provenant du réseau 192.168.20.0/24 et destinés au réseau 192.168.10.0/24 seront acceptés).
Ceci est un exemple très basique. Les règles de pare-feu peuvent être beaucoup plus complexes et spécifiques en fonction de vos besoins en matière de sécurité. Par exemple, vous souhaiterez peut-être bloquer ou autoriser uniquement certains types de trafic (par exemple HTTP, SSH, etc.), ou vous souhaiterez peut-être bloquer ou autoriser le trafic vers/depuis certaines adresses IP spécifiques.
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Peut-être êtes-vous intéressé...
Peut-être êtes-vous intéressé...
Microlabs
(ML-002) Façons d'attribuer des adresses IP publiques aux clients avec MikroTik
$9,99
(ML-003) Guide pour configurer les routes de sortie Internet avec deux fournisseurs ou plus (failover et récursivité dans l'équilibrage PCC)
$8,99
(ML-004) Filtrer les stratégies d'implémentation pour restreindre l'accès aux pages Web avec MikroTik
$7,99
Autres sujets qui pourraient vous intéresser
Façons d'attribuer l'adressage IPv6 (partie 2)
Mars 25, 2024
Façons d'attribuer l'adressage IPv6 (partie 1)
Mars 11, 2024
Vous souhaitez proposer un sujet ?
Chaque semaine, nous publions du nouveau contenu. Voulez-vous que nous parlions de quelque chose de précis ?
Cours en ligne à venir
MTCINE en ligne
$187,00
MTCNA en ligne
$187,00
MTCRE en ligne
$187,00
Pack 4 livres MikroTik RouterOS
$68,47
