> Tech > VLAN et DHCP …

VLAN et DHCP …

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Q. Notre société a récemment mis à  niveau tous ses commutateurs de réseau et a déployé des réseaux locaux virtuels (VLAN, Virtual LAN) dans tout le campus d'entreprise. L'intérêt des VLAN est qu'ils nous permettent d'ajouter des utilisateurs au LAN individuel d'un département même si les utilisateurs se trouvent à 

VLAN et DHCP …

un autre étage ou dans un autre immeuble. Dans
le cadre du changement, nous
avons attribué à  chaque département
sa propre adresse réseau
IP classe C privée, sous la forme
10.0.x.y, où x est le numéro du
département et y est une adresse
attribuée dynamiquement dans
le département. Nous utilisons
DHCP pour attribuer les
adresses, mais comme nous
sommes passés à  un VLAN,
DHCP ne fonctionne pas pour de
nombreux utilisateurs, ce qui
m’oblige à  leur donner des
adresses statiques temporaires.
Notre serveur DHCP est sur son
propre VLAN afin que tous les
utilisateurs puissent l’atteindre.
Qu’est-ce qui ne va pas ?

R. Les VLAN sont sûrement de pures
merveilles, mais de nombreux responsables
sous-estiment l’une de leurs
règles de base : les paquets ne peuvent
circuler entre des VLAN que par l’intermédiaire
d’un routeur. Celui-ci reçoit
le trafic d’un VLAN, reconnaît l’adresse
IP de destination vers un autre VLAN,
et dirige le trafic vers la machine appropriée
sur le VLAN de destination.
Même si deux utilisateurs dans des
VLAN différents se trouvent sur le
même commutateur Ethernet, leurs
paquets doivent passer par le routeur.

Vous avez bien sûr un routeur
VLAN en place, sinon vos utilisateurs
ne pourraient pas du tout accéder au
réseau. Mais comme DHCP utilise des
diffusions subnet locales, il demande
un traitement spécial.

Quand un ordinateur client demande
une adresse IP en utilisant
DHCP, il envoie un message de diffusion
général sur son segment LAN
local, demandant à  n’importe quel serveur
DHCP de répondre. Mais, par définition,
les diffusions locales ne passent
pas par l’intermédiaire d’un
routeur et donc votre serveur DHCP
ne les « entend » jamais. Et, comme il
n’entend jamais la demande du client,
il n’y répond jamais.

Heureusement, les fabricants de
routeurs ont déjà  rencontré ce problème
et ont une solution. Elle s’appelle
le paramètre DHCP Helper
Address et c’est une valeur que vous indiquez
dans votre configuration de
routeur pour chaque VLAN. La DHCP
Helper Address est l’adresse IP de
votre serveur DHCP. Quand elle est
présente, votre routeur utilise cette information
pour transmettre la demande
DHCP d’un client vers votre
serveur DHCP. Celui-ci renvoie la réponse
au routeur, lequel la retransmet
au client, aboutissant à  une attribution
d’adresse IP DHCP réussie.

Il existe un autre problème avec le DHCP et les VLAN. Comme chaque
VLAN est un subnet IP séparé, vous devez
configurer votre serveur DHCP
pour fournir les adresses IP appropriées
à  chaque subnet. Avec le serveur
DHCP de Windows 2000, vous faites
cela en créant un royaume DHCP séparé
pour chaque VLAN. Tous les serveurs
DHCP n’ont pas cette possibilité.
Si votre serveur DHCP actuel ne fonctionne
qu’avec des LAN plats, il vous
faudra probablement passer à  un package
plus sophistiqué.

Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident

Rapport mondial 2025 sur la réponse à incident

Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT