Rappel sur la notion de VLAN
L'objectif d'une configuration de VLAN est de
permettre la configuration de réseaux différents sur un même switch.
Il existe plusieurs façons de configurer les VLANs. Cette page traitera uniquement du VLAN par port.
La norme utilisée ici porte l'identifiant 802.1q.Il existe plusieurs façons de configurer les VLANs. Cette page traitera uniquement du VLAN par port.
Les avantages principaux de la segmentation par VLAN sont la réduction des domaines de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la communication entre les réseaux).
Principe
de fonctionnement du VLAN par port.
Un tag de 4 octet est ajouté à la trame Ethernet. Ce
tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise
uniquement aux ports appartenant au vlan identifié dans la trame.
Type de configuration des ports des switchs Cisco .
Type de configuration des ports des switchs Cisco .
Le port
est configuré en mode Access ou en mode Trunk.
Le mode Access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul VLAN. Le mode Trunk est utilisé dans le cas ou plusieurs VLAN s doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux Switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs VLANs.
Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un port.
Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux VLANs (un VLAN dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du VLAN voix (voice VLAN).
VLAN non affecté à un port et présent sur le switch.
Le mode Access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul VLAN. Le mode Trunk est utilisé dans le cas ou plusieurs VLAN s doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux Switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs VLANs.
Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un port.
Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux VLANs (un VLAN dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du VLAN voix (voice VLAN).
VLAN non affecté à un port et présent sur le switch.
Des vlans peuvent être créés sur un switch et
n'être affectés à aucun port. C'est le cas du vlan de management (une adresse
IP sera configurée sur ce vlan).
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.
Communication entre
les VLAN.
La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen
La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen
d'ACLs (access control list).
VLAN natif: Le VLAN appelé "natif" est le vlan par
défaut du switch (en général le VLAN1). Sans configuration, tous les ports du
switch sont placés dans ce VLAN. Ce vlan n'est pas marqué même si il passe sur
une liaison trunk.
Configuration type d'un switch :
§
La liaison entre les switchs est en mode trunk.
§
Les autres ports des switchs sont en mode access.
§
Le vlan dédié aux téléphones sera également
configuré sur tous les ports en plus de leur vlan data respectif.
Un VLAN dédié
à l'administration et à la supervision du switch sera créé. L'adresse IP de
supervision du switch sera associée à ce VLAN.
Ajout de VLAN
Création du vlan 2 puis des VLANs 3 à
5
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
suppression d'un VLAN
960-RG(config)#no
vla
Affichage des vlans ainsi
que des affectations de port.
2960-RG#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Gi0/1
2 administration active
3 VLAN0003 active
4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
5 VLAN0005 active
10 VLAN0010 active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
Affectation
d'un port à un VLAN :
Dans l'exemple ci-dessous le port est
configuré en mode access puis il est placé dans le vlan 3.
Pour un switch série 2950, 2960, 3750
Pour un switch série 2950, 2960, 3750
2960-RG(config)#interface fastEthernet 0/1
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
L'exemple suivant présente la
configuration des ports 5 à 8 en mode access, puis configurés avec le vlan 4
2960-RG(config)#interface range fastEthernet
0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
Pour un switch série 6500
6500(config)#interface gi 0/2
6500(config-if-range)#switchport
6500(config-if-range)#switchport mode access
6500(config-if-range)#switchport access vlan 4
6500(config-if-range)#end
6500#
6500(config-if-range)#switchport
6500(config-if-range)#switchport mode access
6500(config-if-range)#switchport access vlan 4
6500(config-if-range)#end
6500#
Configuration
d'un port en mode trunk (par exemple une connexion entre deux switch) :
Pour
un switch série 2950 et 3750
3750(config)#interface gigabitEthernet 1/0/1
3750(config)#switchport trunk encapsulation dot1q
3750(config-if)#switchport mode trunk
3750(config-if)#
3750(config)#switchport trunk encapsulation dot1q
3750(config-if)#switchport mode trunk
3750(config-if)#
Pour
un switch série 2960
2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport mode trunk
2960-RG(config-if)#
2960-RG(config-if)#switchport mode trunk
2960-RG(config-if)#
Pour un switch série 6500
500(config)#interface gigabitEthernet 1/0/1
6500(config-if)#switchport
6500(config-if)#switchport trunk encapsulation dot1q
6500(config-if)#switchport mode trunk
6500(config-if)#
6500(config-if)#switchport
6500(config-if)#switchport trunk encapsulation dot1q
6500(config-if)#switchport mode trunk
6500(config-if)#
Filtrage des VLANs sur un port uplink :
Pour les swiths série 2950, 2960, 3750,
6500 (dans l'exemple, on autorise les vlans 2,3 et 10 a être transportés sur le
lien).
2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport trunk allowed vlan add 2,3,10
2960-RG(config-if)#
2960-RG(config-if)#switchport trunk allowed vlan add 2,3,10
2960-RG(config-if)#
Pour
interdire un vlan de passer par le lien trunk (dans l'exemple, le vlan3):
2960-RG(config-if)#switchport trunk allowed vlan
remove 3
2960-RG(config-if)#
2960-RG(config-if)#
Pour supprimer la commande de filtrage:
960-RG(config-if)#no switchport trunk allowed
vlan
2960-RG(config-if)#
2960-RG(config-if)#
Configuration
d'un VLAN dédié à la téléphonie
Le protocole cdp
doit préalablement être activé.
2960-RG(config)#vlan 10
2960-RG(config-vlan)#name voip
2960-RG(config-vlan)#ex
2960-RG(config-vlan)#name voip
2960-RG(config-vlan)#ex
2960-RG(config)#int fastEthernet 0/1
2960-RG(config)#switchport voice vlan 10
Suppression
de la configuration d'un port
Comme d'habitude,
il suffit de mettre la commande no devant les commandes entrées précédemment.
Par exemple:
Par exemple:
2960-RG(config)#int fastEthernet 0/1
2960-RG(config-if)#no switchport access vlan
2960-RG(config-if)#no switchport mode acc
2960-RG(config-if)#end
2960-RG(config-if)#no switchport access vlan
2960-RG(config-if)#no switchport mode acc
2960-RG(config-if)#end
Configuration du protocole VTP (Vlan Transport
Protocol) en mode transparent :
Le protocole VTP permet la
configuration automatique de vlan entre des serveurs VTP et des clients sur un
même domaine VTP.
Pour utiliser uniquement la base locale de vlan sur nos commutateurs, on configure VTP en mode transparent.
Pour utiliser uniquement la base locale de vlan sur nos commutateurs, on configure VTP en mode transparent.
Switch(config)#vtp domain mondomaine
Changing VTP domain name from NULL to mondomaine
Switch(config)#
Switch(config)#vtp mode transparent
Device mode already VTP Transparent for VLANS.
Switch(config)#vtp password passdomaine
Setting device VTP password to passdomaine
Switch(config)#vtp version 2
Switch(config)#^Z
Switch#
Switch#
Switch#show vtp status
VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : mondomaine
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 0012.dbab.4321
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Feature VLAN:
Changing VTP domain name from NULL to mondomaine
Switch(config)#
Switch(config)#vtp mode transparent
Device mode already VTP Transparent for VLANS.
Switch(config)#vtp password passdomaine
Setting device VTP password to passdomaine
Switch(config)#vtp version 2
Switch(config)#^Z
Switch#
Switch#
Switch#show vtp status
VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : mondomaine
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 0012.dbab.4321
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Feature VLAN:
--------------
VTP Operating Mode : Transparent
Maximum VLANs supported locally : 1005
Number of existing VLANs : 19
Configuration Revision : 0
MD5 digest : 0x1D 0x52 0x66 0xAA 0xD8 0xAA 0x30 0xFF
0x6C 0xCA 0xB0 0x6F 0x5C 0xF3 0x9D 0xCC
Switch#
Commande nonegociate
Le protocole DTP (Dynamic Trunking
Protocol) permet à deux commutateurs qui sont connectés ensemble de monter un
lien trunk automatiquement sous certaines conditions (par exemple la connexion
d'un port configuré par défaut en dynamic auto vers un port trunk). En général,
il vaut mieux désactiver cette possibilité.
On désactive donc cette option sur tous les ports access et trunk.
On désactive donc cette option sur tous les ports access et trunk.
Switch(config)#interface range fastEthernet
1/0/1 - 10
Switch(config-if-range)#switchport nonegotiate
Switch(config-if-range)#switchport nonegotiate
Vérification sur une interface:
Switch#show interfaces fa1/0/2 switchport
Name: Fa1/0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 2 (VLAN0002)
Name: Fa1/0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 2 (VLAN0002)
