Le Switch Réseau de Couche 2 : Ce Sociopathe Poli Qui Trie Vos Trames
On parle souvent des switches comme s’ils étaient de simples passe-plats du réseau.
Mais sous leur coque grise, il y a toute une mécanique impitoyable à l’œuvre : un contrôle strict, silencieux, sans émotion.
Les switches de couche 2 ne parlent pas d’amour ou de justice, ils parlent de trames Ethernet, de ports physiques, de VLANs, et ils n’hésitent pas à sacrifier des paquets sur l’autel de la performance.
Le glorieux ancêtre : le hub, ou comment commencer par le chaos
Avant les switches, on utilisait des hubs.
Ces appareils, un peu comme un mégaphone mal réglé, retransmettaient chaque trame reçue à tous les ports, sans distinction. Une sorte de potin de quartier numérique : tout le monde entend tout, même les conversations privées. Niveau efficacité : 2/10. Niveau sécurité : -10/10.
C’était simple, brutal, et d’une stupidité presque touchante.
Puis, vers la fin des années 90, les switches sont arrivés, remplaçant les hubs dans les bureaux, les data centers et les esprits.
Et là, le réseau local (LAN) a arrêté de hurler pour commencer à parler intelligemment.
Switch de couche 2 : de la trame, rien que de la trame
Un switch de couche 2 (selon le modèle OSI) traite les trames Ethernet, pas les paquets IP.
Il regarde l’en-tête de la trame, extrait les adresses MAC source et destination, et décide quoi en faire. Il ne sait pas ce qu’il y a à l’intérieur (les paquets IP, les datagrammes UDP, les fragments de vos rêves), et il s’en fiche. Ce n’est pas son problème.
Il agit ainsi :
1. Il apprend où se trouvent les adresses MAC via les trames entrantes.
2. Il transmet les trames en fonction de ce qu’il sait.
3. Il oublie ce qu’il n’a pas vu depuis un moment (vieillissement de la table MAC).
4. Il flood quand il est perdu (diffusion sur tous les ports sauf l’entrée, pour les MAC inconnues).
C’est un peu comme un videur de boîte qui connaît les habitués et laisse entrer ceux qu’il reconnaît, mais qui envoie les autres toquer à toutes les portes jusqu’à ce qu’ils trouvent quelqu’un qui les accepte.
Les super-pouvoirs du switch moderne
VLAN (Virtual LAN) : une schizophrénie organisée
Un switch peut être divisé en plusieurs réseaux logiques. Chaque port peut appartenir à un VLAN différent, comme si le switch souffrait de troubles dissociatifs de l’identité… mais volontairement.
Les VLANs permettent :
- D’isoler des groupes d’utilisateurs (sécurité, performance).
- De faire croire à des machines éloignées physiquement qu’elles sont voisines.
- D’éviter que le stagiaire du marketing ne découvre par accident le NAS de production.
Le tout via un tag 802.1Q dans la trame Ethernet. Du propre, du standardisé, du paranoïaque.
PoE (Power over Ethernet) : l’électricité, ce flux magique
Grâce au PoE, les switches modernes peuvent alimenter vos caméras IP, téléphones VoIP ou points d’accès Wi-Fi via le même câble Ethernet. Plus besoin de blocs d’alimentation foireux ou de multiprises dans les plafonds.
Le switch devient ainsi une prise électrique intelligente, qui en plus peut couper le courant si l’appareil devient suspect. Un peu comme un dompteur de lions qui aurait aussi le disjoncteur.
STP (Spanning Tree Protocol) : l’angoisse de la boucle infinie
Connecter des switches en boucle ? Très mauvaise idée. Les trames pourraient tourner éternellement, jusqu’à ce que votre réseau fonde comme un glacier dans un data center mal ventilé.
Le Spanning Tree Protocol (et ses variantes RSTP, MSTP…) permet d’éviter ça en désactivant dynamiquement certains liens, de façon à ce qu’aucune boucle logique n’existe. Si un lien tombe, un autre est activé. C’est de la redondance contrôlée.
STP, c’est le moine bouddhiste du réseau. Il médite sur les chemins, coupe ceux qui mènent au chaos, et veille au calme éternel.
Agrégation de liens (LACP) : parce qu’un lien, c’est bien, mais deux, c’est mieux
Le Link Aggregation Control Protocol (LACP) permet de combiner plusieurs liens physiques en un seul lien logique. Plus de bande passante, plus de redondance, moins de crises de nerfs.
Un peu comme faire passer deux autoroutes côte à côte pour doubler le débit… sauf que le switch ne râle pas quand un camion ralentit la voie de gauche.
Les switches sont (parfois) méchants
Bien que discrets, les switches peuvent être des portes d’entrée pour les attaques :
MAC flooding : on envoie plein de fausses adresses MAC pour saturer la table. Résultat : le switch repasse en mode hub (flooding total), et un attaquant peut sniffer les trames.
VLAN hopping : sauter d’un VLAN à l’autre via une mauvaise configuration. Bonjour les fuites de données.
DHCP spoofing, ARP poisoning, etc. — si le switch n’est pas vigilant, il devient complice.
C’est pourquoi les switches professionnels embarquent souvent des fonctionnalités de sécurité : port security, ACLs, DHCP snooping, Dynamic ARP Inspection. Parce qu’un switch, c’est mieux quand il est paranoïaque.
La frontière avec la couche 3 : le switch qui pense
Les switches de couche 3 vont plus loin : ils savent router des paquets IP.
Ils combinent les fonctions de commutation et de routage. Ils peuvent gérer des VLANs, mais aussi faire du routage inter-VLAN, filtrer le trafic, et parfois, pleurer dans les logs.
Ce ne sont plus de simples tri-porteurs de trames, mais de véritables aspirants routeurs, taillés pour les grandes entreprises. Ils ont des tables de routage, comprennent les sous-réseaux, et font parfois même de l’OSPF. Mais ils coûtent cher et ont un ego.
Conclusion : Le switch, ce cerveau discret du réseau local
Le switch n’a pas de clavier, pas d’écran, et rarement des LED joyeuses. Mais il est le cœur battant du LAN. Il trie, apprend, décide, et oublie. Il coupe les boucles, alimente vos gadgets, tague vos trames, et agrège vos liens. Il est juste, impitoyable, et discret.
Et surtout, il sait tout ce que vous faites.
La prochaine fois que vous branchez un câble Ethernet, rappelez-vous : un switch est là, quelque part, et il vous regarde. Pas pour vous juger. Juste pour savoir où vous êtes, et à qui vous parlez.