Image by: Brett Sayles
Comprendre les bases des VLAN et le routage inter-VLAN
Saviez-vous que 78% des pannes réseau dans les PME proviennent d’une mauvaise segmentation VLAN ? Le routage inter-VLAN est la colonne vertébrale des réseaux modernes, permettant à différents segments logiques de communiquer tout en maintenant isolation et sécurité. Contrairement à un réseau plat où toutes les machines partagent le même domaine de diffusion, les VLANs (Virtual Local Area Networks) créent des frontières logiques au sein d’une même infrastructure physique. Mais cette segmentation pose un défi : comment faire communiquer ces îlots virtuels ? C’est là qu’intervient le routage inter-VLAN, indispensable pour :
- Contrôler les flux entre services (comptabilité/RH)
- Appliquer des politiques de sécurité granulaires
- Optimiser les performances en réduisant les domaines de broadcast
Deux méthodes dominent : le router-on-a-stick et les commutateurs de couche 3. Chaque approche a ses forces, comme nous le verrons dans ce guide complet pour administrateurs réseau. Pour approfondir les concepts VLAN, consultez l’article Wikipédia sur les VLAN.
Méthode router-on-a-stick : principe et applications
Imaginez un routeur jouant les acrobates sur un câble unique : c’est l’essence du router-on-a-stick. Cette méthode historique utilise une seule interface physique du routeur pour router le trafic entre plusieurs VLANs via des sous-interfaces logiques. Chaque sous-interface est associée à un VLAN spécifique et agit comme une passerelle par défaut pour ce segment. Le secret réside dans l’encapsulation 802.1Q, le standard IEEE qui marque les trames avec des tags VLAN.
Scénario idéal :
- Réseaux avec budget limité (réutilisation de routeurs existants)
- Environnements où le trafic inter-VLAN est modéré
- Architectures centralisées avec routeur dédié
Attention cependant : cette solution crée un goulot d’étranglement potentiel puisque tout le trafic inter-VLAN transite par un seul lien physique. Une étude Cisco révèle qu’au-delà de 500 Mb/s de trafic agrégé, les performances peuvent se dégrader de 40%. Découvrez les spécifications officielles du standard 802.1Q sur le site IEEE.
Configuration pas à pas du router-on-a-stick
Passons à la pratique avec une configuration type sur routeur Cisco (les concepts sont transposables à d’autres marques). Nous prendrons l’exemple de deux VLANs : VLAN 10 (192.168.10.0/24) et VLAN 20 (192.168.20.0/24).
Étape 1 : Configuration des sous-interfaces
- Accédez au mode de configuration globale :
configure terminal - Créez la sous-interface pour VLAN 10 :
interface gigabitethernet0/0.10 - Spécifiez l’encapsulation :
encapsulation dot1Q 10 - Attribuez l’adresse IP :
ip address 192.168.10.1 255.255.255.0 - Répétez pour VLAN 20 :
interface gigabitethernet0/0.20→encapsulation dot1Q 20→ip address 192.168.20.1 255.255.255.0
Étape 2 : Configuration du switch
Sur le commutateur (Cisco Catalyst exemple) :
- Créez les VLANs :
vlan 10→name Financeetvlan 20→name RH - Configurez le port relié au routeur en mode trunk :
interface gig0/1→switchport mode trunk→switchport trunk allowed vlan 10,20 - Attribuez les ports d’accès :
interface range gi0/2-5→switchport mode access→switchport access vlan 10
Pour des configurations alternatives, explorez nos solutions réseau compatibles multi-fournisseurs.
Routage inter-VLAN avec commutateur de niveau 3
Les commutateurs L3 représentent l’évolution moderne du routage inter-VLAN. Intégrant des fonctions de routage directement dans le châssis, ils éliminent le goulot d’étranglement du router-on-a-stick. Selon une étude IDC, cette approche réduit la latence inter-VLAN de 60% en moyenne grâce au switching hardware des paquets. Le processus s’appuie sur des SVI (Switched Virtual Interfaces), interfaces virtuelles associées à chaque VLAN.
Avantages clés :
- Routage à la vitesse du hardware (plusieurs Tb/s)
- Simplification de l’architecture (réduction des équipements)
- Support natif des ACL matérielles
Cette méthode est idéale pour les campus universitaires, datacenters, ou tout environnement avec un trafic inter-VLAN intense. Le guide officiel Cisco sur les VLANs fournit des détails complémentaires.
Configuration avancée du commutateur L3
Configuration type sur Cisco Catalyst (fonctionnalités similaires existent sur Aruba, Juniper, etc.) :
Activation du routage IP
- Activer le routage :
configure terminal→ip routing - Créer le SVI pour VLAN 10 :
interface vlan 10→ip address 192.168.10.1 255.255.255.0 - Activer l’interface :
no shutdown - Répéter pour VLAN 20 :
interface vlan 20→ip address 192.168.20.1 255.255.255.0
Configuration des ports
Contrairement au router-on-a-stick, aucun port trunk spécial n’est nécessaire vers un routeur externe. Configurez simplement :
- Ports d’accès :
switchport mode access+switchport access vlan X - Ports trunk entre switches :
switchport mode trunk+switchport trunk allowed vlan all
Optimisez votre infrastructure avec nos commutateurs L3 supportant le routage distribué.
Analyse comparative des deux approches
| Critère | Router-on-a-stick | Commutateur L3 |
|---|---|---|
| Coût | Économique (réutilise routeur existant) | Élevé (investissement matériel) |
| Performance | Limitée par la bande passante du lien | Latence sub-milliseconde |
| Scalabilité | Max 8-10 VLANs (bonnes pratiques) | Supporte 1000+ VLANs |
| Simplicité | Configuration complexe | Gestion unifiée |
| Cas d’usage | Petits bureaux, environnements tests | Entreprises, datacenters, campus |
Frequently asked questions
Quelle est la différence entre un trunk 802.1Q et un port d’accès ?
Un port d’accès transporte le trafic d’un seul VLAN sans tag, idéal pour connecter des terminaux. Un port trunk transporte plusieurs VLANs tagués avec l’identifiant 802.1Q, indispensable entre équipements réseau (switch-switch ou switch-routeur).
Peut-on mélanger router-on-a-stick et commutateur L3 ?
Oui, dans des architectures hybrides. Par exemple, un commutateur L3 peut router localement les VLANs principaux, tandis qu’un router-on-a-stick gère des VLANs périphériques isolés. Utilisez des routes statiques ou protocoles dynamiques (OSPF) pour interconnecter les domaines.
Comment dépanner une panne de routage inter-VLAN ?
Vérifiez : 1) La correspondance des tags VLAN sur le trunk, 2) Les adresses IP des passerelles, 3) L’état des interfaces (up/up), 4) Les tables de routage, 5) Les ACL bloquant le trafic. Utilisez show interface trunk et show ip route pour diagnostiquer.
Quels sont les risques de sécurité avec le routage inter-VLAN ?
Le principal risque est le saut de VLAN (VLAN hopping) via une configuration incorrecte des ports. Mitigez cela avec : ports d’accès en « host mode », désactivation du DTP, filtrage strict des VLANs sur les trunks, et implémentation d’ACLs inter-VLAN.
Conclusion
Maîtriser le routage inter-VLAN est indispensable pour tout administrateur réseau. La méthode router-on-a-stick reste une solution pragmatique pour des besoins limités, tandis que les commutateurs L3 offrent performance et scalabilité pour les infrastructures critiques. Quel que soit votre choix, respectez les bonnes pratiques : documentation précise des VLANs, tests de connectivité rigoureux, et supervision continue des performances. Prêt à optimiser votre réseau ? Évaluez dès aujourd’hui vos flux inter-VLAN et consultez notre bibliothèque technique pour concevoir une architecture robuste et sécurisée.
