Lecon 2 Papier
Lecon 2 Papier
Lecon 2 Papier
VLAN
Janvier 2020
Version 2.0
Table des
matières
I - Objectifs 3
II - VLAN et Trunk 4
5. Exercice ......................................................................................................................................... 9
3
VLAN et Trunk
VLAN et Trunk
I
Objectifs
Configurer VLAN et Trunk
Les VLAN permettent à un administrateur de segmenter les réseaux en fonction de facteurs tels que
la fonction, l'équipe de projet ou l'application, quel que soit l'emplacement physique de l'utilisateur
ou du périphérique comme illustré à la figure 1.
4
VLAN et Trunk
montantes existantes.
Meilleures performances : le fait de diviser des réseaux linéaires de couche 2 en plusieurs
groupes de travail logiques (domaines de diffusion) réduit la quantité de trafic inutile sur le
réseau et augmente les performances.
Réduction de la taille des domaines de diffusion : le fait de diviser un réseau en VLAN réduit
le nombre de périphériques dans le domaine de diffusion.
Efficacité accrue du personnel informatique : les VLAN facilitent la gestion du réseau, car les
utilisateurs ayant des besoins réseau similaires partagent le même VLAN
Gestion simplifiée de projets et d'applications : les VLAN rassemblent des utilisateurs et des
périphériques réseau pour prendre en charge des impératifs commerciaux ou géographiques
Un VLAN de données est un réseau local virtuel configuré pour transmettre le trafic généré par
l'utilisateur. Un VLAN acheminant du trafic de voix ou de gestion ne peut pas faire partie d'un
VLAN de données. Il est d'usage de séparer le trafic de voix et de gestion du trafic de données. Un
VLAN de données est parfois appelé un VLAN utilisateur. Les VLAN de données sont utilisés pour
diviser un réseau en groupes d'utilisateurs ou de périphériques.
Tous les ports de commutateur font partie du VLAN par défaut après le démarrage initial d'un
commutateur chargeant la configuration par défaut. Les ports de commutateur qui participent au
VLAN par défaut appartiennent au même domaine de diffusion. Cela permet à n'importe quel
périphérique connecté à n'importe quel port du commutateur de communiquer avec d'autres
périphériques sur d'autres ports du commutateur. Le VLAN par défaut pour les commutateurs Cisco
est VLAN 1.
VLAN natif
Un réseau local virtuel natif est affecté à un port d'agrégation 802.1Q. Les ports trunk sont les
liaisons entre les commutateurs qui prennent en charge la transmission du trafic associée à plusieurs
VLAN.
Les VLAN natifs sont définis dans la spécification IEEE 802.1Q pour assurer la compatibilité
descendante avec le trafic non étiqueté qui est commun aux scénarios LAN existants. Un VLAN natif
sert d'identificateur commun aux extrémités d'une liaison trunk.
VLAN de gestion
Un VLAN de gestion est un réseau local virtuel configuré pour accéder aux fonctionnalités de gestion
d'un commutateur. Le VLAN 1 est le VLAN de gestion par défaut. Pour créer le VLAN de gestion,
l'interface virtuelle du commutateur (SVI) de ce VLAN se voit attribuer une adresse IP et un masque
de sous-réseau, ce qui permet de gérer le commutateur via HTTP, Telnet, SSH ou SNMP. Sachant
que la configuration initiale d'un commutateur Cisco utilise le VLAN 1 par défaut, il n'est pas
judicieux de le choisir comme VLAN de gestion.
VLAN voix
Un VLAN distinct est nécessaire pour prendre en charge la voix sur IP (VoIP). Le trafic de voix sur
IP requiert les éléments suivants :
bande passante consolidée pour garantir la qualité de la voix ;
priorité de transmission par rapport aux autres types de trafic réseau ;
possibilité de routage autour des zones encombrées du réseau ;
5
VLAN et Trunk
Une agrégation est une liaison point à point entre deux périphériques réseau qui porte plusieurs
VLAN.
Un trunk de VLAN permet d'étendre les VLAN à l'ensemble d'un réseau. Cisco prend en charge la
norme IEEE 802.1Q pour la coordination des trunks sur les interfaces Fast Ethernet, Gigabit
Ethernet et 10 Gigabit Ethernet.
Sans trunks de VLAN, les VLAN ne serviraient pas à grand-chose. Les trunks de VLAN permettent
à tout le trafic VLAN de se propager entre les commutateurs, de sorte que les périphériques du même
VLAN connectés à différents commutateurs puissent communiquer sans l'intervention d'un routeur.
Remarque
Un trunk de VLAN n'appartient pas à un VLAN spécifique, mais constitue plutôt un conduit pour
plusieurs VLAN entre les commutateurs et les routeurs.
L'association à un VLAN
L'association à un VLAN peut se faire en fonction du port, d'une adresse MAC, d'un protocole, ou
d'un sous réseau IP. Un port trunk sera associé aux VLANs qu'il autorise.
Ce mode d'association est situé au niveau de la couche 2 du modèle OSI (couche liaison).
L'association à un VLAN s'effectue en fonction de tables d'adresse MAC configurées sur les
commutateurs ou routeurs pour chaque VLAN.
Ce mode d'affectation permet d'avoir une gestion plus modulable et centralisée de l'affectation des
VLAN.
Cependant l'architecture est sensible au spooffing MAC.
Les trames sont associées aux différents VLANs en fonction du protocole de niveau 3 utilisé pour les
transmettre. Cette fonctionnalité peut être utile si l'on désire effectuer une différenciation de service
802.1p en fonction du protocole de niveau 3. Cependant elle est très peu utilisée dans des contextes
d'entreprise. De plus la désencapsulation des paquets entraîne une lourdeur de traitement et donc
efficacité moindre.
Les trames sont associées en fonction du sous réseau IP auquel appartient l'adresse IP source. Cette
solution permet une gestion centralisée de l'affectation des VLANs. La désencapsulation des paquets
entraîne une lourdeur de traitement et donc efficacité moindre que la gestion par adresse MAC ou
par port. Par ailleurs elle est sensible aux attaques par spooffing IP.
6
VLAN et Trunk
7
VLAN et Trunk
A partir de la topologie de la figure 2, nous allons attribuer des vlan aux ports actifs du commutateur
S2 par ordre croissant des identifiants des VLANs.
S2>enable
S2#configure terminal
S2(config)#interface Fa0/11
S2(config-if)#switchport mode access : permet de définir le port Fa0/11 en mode d'accès
S2(config-if)#switchport access vlan 10 : permet d'affecter le port au réseau local virtuel 10
S2(config-if)#exit
S2(config)#interface Fa0/18
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 20
S2(config-if)#exit
S2(config)#interface Fa0/6
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 30
S2(config-if)#exit
S2(config)#
On peut attribuer ces mêmes VLAN aux ports actifs des commutateurs S2 et S3 en utilisant les
mêmes commandes.
L'objectif ici est de configurer le trunking sur le commutateur S1 et d'utiliser le vlan 99 comme vlan
natif. On considère la topologie de la figure 2.
S1>enable
S1#configure terminal
S1(config)#interface G0/1
S1(config-if)#switchport mode trunk : permet de forcer la liaison à devenir une liaison trunk
S1(config-if)#switchport trunk native vlan 99 : permet de spécifier un vlan natif pour les trames non
étiquetées
S1(config-if)#switchport trunk allowed vlan 10,20,30,99 : permet d'indiquer la liste des VLAN
autorisés sur la liaison trunk
S1(config-if)#exit
S1(config)#interface G0/2
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#switchport trunk allowed vlan 10,20,30,99
S1(config-if)#exit
S1(config)#
8
VLAN et Trunk
5. Exercice
[Solution n°1 p 17]
Exercice : Exercice 1
A partir de la topologie de la Figure 2, forcer la liaison liée à G0/1 à devenir une liaison trunk,
spécifier le vlan natif, indiquer la liste des VLAN autorisés sur la liaison trunk.
S1> enable
S1# configure terminal
S1(config)# interface G0/1
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# exit
A partir de la topologie de la Figure 2, forcer la liaison liée à G0/2 à devenir une liaison trunk,
spécifier le vlan natif, indiquer la liste des VLAN autorisés sur la liaison trunk.
S1(config)# interface G0/2
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# exit
S1(config)#
Exercice : Exercice 2
A partir de la topologie de la figure 2, attribuer les vlan aux ports actifs du commutateur S2 par
ordre croissant des identifiants des VLANs.
S2> enable
S2# configure terminal
S2(config)# interface Fa0/11
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 10
S2(config-if)# exit
S2(config)# interface Fa0/18
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 20
S2(config-if)# exit
S2(config)# interface Fa0/6
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 30
S2(config-if)# exit
S2(config)#
* *
*
Les VLAN reposent sur des connexions logiques, et non des connexions physiques. Le VLAN est un
mécanisme qui permet aux administrateurs réseau de créer des domaines de diffusion logiques capables de
9
VLAN et Trunk
s'étendre sur un ou plusieurs commutateurs, quel que soit leur éloignement géographique. Cette
fonctionnalité permet de réduire la taille des domaines de diffusion ou d'autoriser des groupes ou des
utilisateurs à se regrouper de manière logique sans devoir se trouver physiquement au même endroit.
10
Routage inter-vlan
Routage inter-vlan
II
Objectifs
Configurer le routage inter-VLAN
1. Le routage inter-vlan
Définition
Les VLAN permettent de segmenter les réseaux commutés. Les commutateurs de couche 2, tels que
ceux de la gamme Catalyst 2960 de Cisco, peuvent être configurés avec plus de 4 000 VLAN.
Un VLAN est un domaine de diffusion : les ordinateurs se trouvant sur des VLAN différents ne
peuvent donc pas communiquer sans l'intervention d'un dispositif de routage.
Les commutateurs de couche 2 ont des fonctionnalités IPv4 et IPv6 très limitées et ne peuvent pas
exécuter la fonction de routage dynamique des routeurs.
Un périphérique qui prend en charge le routage de couche 3, tel qu'un routeur ou un commutateur
multicouche, permet d'exécuter les fonctions de routage nécessaires. Quel que soit le périphérique
utilisé, le processus de transfert du trafic réseau d'un VLAN à un autre à l'aide du routage est appelé
routage inter-VLAN.
Le routage inter-vlan basé sur un routeur est un processus d'acheminement du trafic réseau d'un
VLAN à un autre à l'aide du routeur comme illustré par la figure 3 ci-dessous.
11
Routage inter-vlan
La méthode « router-on-a-stick » est un type de configuration de routeur dans laquelle une seule
interface physique achemine le trafic entre plusieurs VLAN d'un réseau grâce aux sous interfaces
virtuels du routeur.
En effet, grâce à un logiciel du routeur, il est possible de configurer une interface de routeur en tant
que liaison trunk, ce qui signifie qu'une seule interface physique est requise sur le routeur et sur le
commutateur pour acheminer les paquets entre plusieurs VLAN.
Les sous-interfaces sont des interfaces virtuelles basées sur un logiciel, associées à une interface
physique unique. Les sous-interfaces sont configurées dans le logiciel sur un routeur et chaque
sous-interface est configurée indépendamment avec une adresse IP et une affectation VLAN. Les
sous-interfaces sont configurées pour différents sous-réseaux correspondant à leur affectation VLAN
afin de faciliter le routage logique.
12
Routage inter-vlan
commande switchport access vlan 10. Le même processus est utilisé pour affecter le VLAN 30 aux
interfaces F0/5 et F0/6 sur le commutateur S1.
Après la configuration du commutateur, on passe à la configuration de l'interface du routeur pour
effectuer le routage inter-VLAN.
Les interfaces du routeur sont configurées de la même façon que le sont les interfaces VLAN sur les
commutateurs. Pour configurer une interface spécifique, passez du mode de configuration globale au
mode de configuration d'interface.
Dans l'exemple, l'interface G0/0 est configurée avec l'adresse IPv4 172.17.10.1 et le masque de
sous-réseau 255.255.255.0 à l'aide de la commande ip address 172.17.10.1 255.255.255.0.
Le processus est répété pour toutes les interfaces de routeur. Chaque interface de routeur doit être
affectée à un sous-réseau unique pour permettre le routage.
Dans cet exemple, l'autre interface de routeur, G0/1, a été configurée pour utiliser l'adresse IPv4
172.17.30.1.
Les interfaces du routeur sont désactivées par défaut et doivent être activées à l'aide de la commande
no shutdown avant qu'elles soient utilisées.
Une fois que les adresses IPv4 sont attribuées aux interfaces physiques et que les interfaces sont
activées, le routeur est en mesure d'effectuer le routage inter-VLAN.
Le routage inter-VLAN existant au moyen d'interfaces physiques se heurte à une limite de taille.
Les routeurs disposent d'un nombre limité d'interfaces physiques pour se connecter aux différents
LAN. À mesure que le nombre de VLAN augmente sur un réseau, la nécessité de posséder une
interface de routeur physique par VLAN épuise rapidement la capacité du routeur.
Dans les grands réseaux, l'une des alternatives consiste à avoir recours au trunking VLAN et aux
sous-interfaces.
Le trunking VLAN permet à une seule interface physique de routeur d'acheminer le trafic de
plusieurs VLAN. Cette technique est appelée router-on-a-stick et utilise des sous-interfaces virtuelles
sur le routeur pour dépasser les limites matérielles reposant sur les interfaces physiques du routeur.
Chaque sous-interface est configurée indépendamment avec sa propre adresse IP et sa propre
longueur de préfixe. Cela permet à une seule interface physique de faire simultanément partie de
plusieurs réseaux logiques.
Fonctionnellement, le modèle router-on-a-stick est équivalent au modèle de routage inter-VLAN
existant, mais au lieu d'interfaces physiques, il utilise les sous-interfaces d'une seule interface
physique pour effectuer le routage.
configuration du commutateur selon la topologie de la figure 5 ci-dessous.
Pour activer le routage inter-VLAN selon la méthode router-on-a-stick, commençons par activez le
trunking sur le port de commutateur connecté au routeur.
Comme le port de commutateur F0/5 est configuré en tant que port trunk, il n'a pas besoin d'être
attribuée à un VLAN. Pour configurer le port de commutateur F0/5 comme port agrégé, exécutez la
13
Routage inter-vlan
commande switchport mode trunk en mode de configuration d'interface pour le port F0/5.
Figure 5 : router-on-a-stick
La configuration du switch est présentée comme suit :
S1(config)#vlan 10
S1(config-vlan)#exit
S1(config)#vlan 30
S1(config-vlan)#interface F0/5
S1(config-vlan)#switchport mode trunk
S1(config-vlan)#exit
S1(config)#
Le routeur peut alors être configuré pour effectuer le routage inter-VLAN.
En mode router-on-a-stick, la configuration du routeur diffère par rapport à celle qu'utilise le routage
inter-VLAN existant. La figure 5 montre que plusieurs sous-interfaces sont configurées.
Chaque sous-interface est créée à l'aide de la commande de mode de configuration globale interface
interface_id subinterface_id . La syntaxe pour la sous-interface est l'interface physique, dans ce cas
G0/0, suivie d'un point et d'un numéro de sous-interface.
Avec notre figure 5, la sous interface liée au VLAN 10 sera G0/0.10 et celle du VLAN 30 sera
G0/0.30. Le numéro de sous-interface est généralement configuré pour refléter le numéro de VLAN.
Avant de recevoir une adresse IP, une sous-interface doit être configurée pour fonctionner sur un
VLAN spécifique à l'aide de la commande encapsulation dot1q vlan_id .
Ensuite, l'attribution de l'adresse IPv4 à la sous-interface se fait à l'aide de la commande de mode de
configuration de sous-interface ip address ip_address subnet_mask . La sous-interface G0/0.10 reçoit
l'adresse IPv4 172.17.10.1 à l'aide de la commande ip address 172.17.10.1 255.255.255.0.
Ce processus est répété pour toutes les sous-interfaces de routeur requises pour le routage entre les
VLAN configurés sur le réseau.
L'autre sous-interface de routeur, G0/0.30, est configurée pour utiliser l'adresse IPv4 172.17.30.1.
14
Routage inter-vlan
2. Exercice : Exercices
[Solution n°2 p 18]
Exercice : Exercice 1
Configurer le routage entre réseaux locaux virtuels "router-on-a-stick" conformément à la figure 5
par VLAN croissant
R1> enable
R1# configure terminal
R1(config)# interface G0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 172.17.10.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config-subif)# exit
R1(config)# interface G0/0.30
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 172.17.30.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config-subif)# exit
R1(config)#
* *
*
Le routage inter-VLAN est le processus de routage du trafic entre différents VLAN, en utilisant un
routeur dédié ou un commutateur multicouche. Le routage entre VLAN facilite la communication entre
des périphériques isolés par des limites de VLAN.
Le routage inter-VLAN existant dépendait généralement de la disponibilité d'un port de routeur physique
pour chaque VLAN configuré. Il a été remplacé par la topologie router-on-a-stick qui repose sur un
routeur externe avec des sous-interfaces en trunk avec un commutateur de couche 2. Avec l'option
router-on-a-stick, l'adressage IP et les informations VLAN appropriés doivent être configurés sur chaque
sous-interface logique et une encapsulation de trunk doit être configurée pour correspondre à celle de
15
Routage inter-vlan
16
Ressources annexes
Exercice 1
A partir de la topologie de la Figure 2, forcer la liaison liée à G0/1 à devenir une liaison trunk,
spécifier le vlan natif, indiquer la liste des VLAN autorisés sur la liaison trunk.
S1> enable
S1# configure terminal
S1(config)# interface G0/1
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# exit
A partir de la topologie de la Figure 2, forcer la liaison liée à G0/2 à devenir une liaison trunk,
spécifier le vlan natif, indiquer la liste des VLAN autorisés sur la liaison trunk.
S1(config)# interface G0/2
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# exit
S1(config)#
Exercice 2
A partir de la topologie de la figure 2, attribuer les vlan aux ports actifs du commutateur S2 par
ordre croissant des identifiants des VLANs.
S2> enable
S2# configure terminal
S2(config)# interface Fa0/11
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 10
S2(config-if)# exit
S2(config)# interface Fa0/18
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 20
S2(config-if)# exit
S2(config)# interface Fa0/6
S2(config-if)# switchport mode access
17
Solutions des exercices
Exercice 1
Configurer le routage entre réseaux locaux virtuels "router-on-a-stick" conformément à la figure 5
par VLAN croissant
R1> enable
R1# configure terminal
R1(config)# interface G0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 172.17.10.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config-subif)# exit
R1(config)# interface G0/0.30
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 172.17.30.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config-subif)# exit
R1(config)#
18