Implementing VLANs in

Campus Networks

CCNP SWITCH: Implementing IP Switching

1
 Architecture LAN
‣ Modèle de réseau hiérarchique

‣ Le modèle hiérarchique se divise en trois couches, la couche d’accès, la

couche de distribution et la couche cœur de réseau.
 La couche d’accès sert d’interface avec les périphériques finaux, tels
que les ordinateurs, les imprimantes et les téléphones sur IP ;
 La couche de distribution gère le flux du trafic réseau à l’aide de
stratégies et offrent une disponibilité et une redondance élevées ;
 La couche cœur de réseau constitue le réseau fédérateur à haut débit
de l’inter-réseau.
2
 Architecture LAN
‣ Avantages du modèle de réseau hiérarchique

 Evolutivité (les réseaux hiérarchiques peuvent être aisément étendus)

 Redondance (qui garantit la disponibilité de chemins d’accès)
 Performance (à l’aide de l’agrégation des liens entre les commutateurs)
 Sécurité (la sécurité des ports au niveau de l’accès et les stratégies au niveau
de la distribution renforcent la sécurité des réseaux)
 Maintenance et facilité de gestion (la cohérence des commutateurs aux
différents niveaux rends l’administration plus aisée)
3
 Architecture LAN
‣ Critères utilisés pour choisir un commutateur pour un
réseau hiérarchisé

‣ Les commutateurs Catalyst de Cisco sont modulaires, ce qui permet

d’augmenter la densité de ports de votre réseau (évolutivité) ;
4
 Architecture LAN
‣ Fonctionnalités clés des commutateurs pour un réseau
hiérarchisé

‣ Commutateurs de la couche cœur de réseau

‣ Commutateurs de la couche de distribution

‣ Commutateurs de la couche d’accès

5
 Commutation LAN
‣ Réseau Ethernet
‣ Ethernet est un réseau à diffusion développé à l’origine par les sociétés
Xerox, Intel et Digital Equipment. L’IEEE a ensuite normalisé ce réseau
par la norme IEEE 802.3
‣ L’histoire d’Ethernet est riche en versions: 10base5, 10base2, 10 BaseT,
etc... Ces changements n’ont jamais affecté ni la structure de la trame
(Ethernet II ou 802.3) ni la méthode d’accès (CSMA / CD).
‣ Ethernet est une technologie de niveau liaison du modèle OSI, qui s’est
imposée et équipe actuellement la quasi-totalité des réseaux locaux
d’entreprise (LAN). Les Protocol Data Unit (PDU) transmis par Ethernet
sont appelés des trames. Ethernet (V2) et IEEE 802.3 ont un format de
trames légèrement différent et les deux sont généralement utilisés
(cohabitent) dans un réseau Ethernet, mais pas forcément par tous les
équipements.

6
 Commutation LAN
‣ Trames Ethernet / 802.3
‣ Format de la trame Ethernet V2

‣ Format de la trame Ethernet 802.3

‣ Par rapport à la trame Ethernet V2, seul change le champ EtherType qui est
remplacé par un champ Longueur qui indique la longueur de la trame.
 si valeur hexa du champ < 0x600 : trame 802.3
 si valeur hexa du champ => 0x600 : trame Ethernet 7
 Commutation LAN
‣ Sources de configuration des commutateurs
‣ Sources locales
 Le port "Console" : il s'agit d'un port série qui sera relié par un câble
série avec un micro-ordinateur utilisant un émulateur de Terminal
Asynchrone comme Hyper Terminal de Microsoft, T-Term Pro, etc.
 La configuration par défaut est 9600 bits/s, 8 bits/caractère, 1 bit de
départ, 1 bit d'arrêt, pas de bit de parité, pas de contrôle de flux.
‣ Sources distantes
 Les terminaux virtuels (VTY) : au moyen d'un émulateur de Terminal
Asynchrone comme un client Telnet par exemple ;
 Les serveurs TFTP : qui permettront de télécharger un fichier de
configuration sur le commutateur ;
 Les stations d'administration de réseau : au moyen d'une station
SNMP comme CiscoWorks ou HP Open View.
8
 Commutation LAN
‣ Sauvegarde et restauration de configuration

 Copie de la configuration en cours dans la configuration de démarrage:

"copy running-config startup-config".
 Copie de la configuration de démarrage sur un serveur TFTP :
"copy startup-config tftp".
 Copie de la configuration de démarrage à partir d'un serveur TFTP :
"copy tftp startup-config". 9
 Commutation LAN
‣ Consultation de l'état du commutateur
‣ Show version : affiche la configuration matérielle ainsi que la version
et les noms des fichiers de configuration et d'IOS ;
‣ Show flash : affiche des informations sur la mémoire flash ;
‣ Show running-config : affiche la configuration en cours ;
‣ Show startup-config : affiche la configuration de démarrage ;
‣ Show interfaces : affiche les paramètres des interfaces.
‣ Si aucun mot de passe n'a été configuré, le mode EXEC privilégié ne
peut être accessible qu'à partir du port console du commutateur, et
donc pas par une session Telnet à partir d'une station.
‣ enable secret password exige un mot de passe pour accéder au
mode EXEC privilégié, tant à partir du port console qu'à partir d'une
session Telnet

10
 Commutation LAN
‣ Accroissement des domaines de diffusion
‣ Un domaine de collision est une configuration multi-segment selon le
protocole CSMA/CD pour laquelle une collision va se produire lorsque 2
participants sur le segment envoient une trame d’information en même
temps. Si le commutateur segmente les domaines de collision, il
maintient cependant un seul domaine de diffusion.
‣ Si l’interconnexion du réseau repose sur les commutateurs et non sur
les routeurs (ce qui est de plus en plus le cas), les trames de diffusion
sont propagées sur tout le réseau, or ces trames sont nombreuses
(ARP, DHCP, Netbios, etc.).
‣ La séparation et la sécurité des domaines de diffusion exigeaient, avant
l’apparition des VLANs, une séparation géographique des domaines de
diffusion et une interconnexion par routeur.

11
 Introduction aux LANs Virtuels
‣ LANs virtuels
‣ Un VLAN ou Virtual Local Area Network permet de créer des domaines
de diffusion (domaines de broadcast) gérés par les commutateurs
indépendamment de l’emplacement où se situent les nœuds, ce sont
des domaines de diffusion gérés logiquement (les paquets de données
sont uniquement transmis dans le cadre d’un VLAN).

‣ Les LANs peuvent être regroupés par :

‣ Fonction (ex : même service dans l’entreprise)
‣ Application (ex : utilisation des même logiciels)
‣ Protocole (ex : protocoles de couches 3)
‣ Identifiant (ex : adresse MAC)
‣ etc.

12
 Exemple des LANs Virtuels

VLAN 1

iMac

iMac
VLAN 2

VLAN 3
iMac

iMac

iMac

iMac

iMac
iMac

iMac
iMac

iMac iMac

iMac
iMac

iMac

iMac

iMac

iMac

Segmentation traditionnelle Segmentation à l’aide de VLANs

13
 LANs Virtuels
‣ Avantages des VLANs
‣ La réduction des messages de diffusion (notamment les requêtes ARP)
limités à l'intérieur d’un VLAN.
‣ La création de groupes de travail indépendants de l'infrastructure
physique ; possibilité de déplacer la station sans changer de réseau
virtuel (indépendance géographique). L’indépendance entre
infrastructure physique et groupe de travail implique qu’un commutateur
puisse gérer plusieurs VLANs et qu’un même VLAN puisse être réparti
sur plusieurs commutateurs.
‣ L’augmentation de la sécurité par le contrôle des échanges inter-VLAN
utilisant des routeurs (filtrage possible du trafic échangé entre les
VLANs). En plus, les appareils d’un VLAN peuvent uniquement
communiquer avec des appareils du même VLAN.

14
 LANs Virtuels
‣ Méthodes de construction des VLANs
‣ Les VLANs par port (VLAN de niveau 1)
 On affecte chaque port des commutateurs à un VLAN ;
 L’appartenance d’une trame à un VLAN est alors déterminée par la
connexion de la carte réseau à un port du commutateur ;
 Les ports sont donc affectés statiquement à un VLAN ;
 Si on déplace physiquement une station il faut désaffecter son port du
VLAN puis affecter le nouveau port de connexion de la station au bon
VLAN ;
 Si on déplace logiquement une station (on veut la changer de VLAN)
il faut modifier l’affectation du port au VLAN.

15
 LANs Virtuels
‣ Méthodes de construction des VLANs
‣ Les VLANs par adresse MAC (VLAN de niveau 2)
 On affecte chaque adresse MAC à un VLAN ;
 L’appartenance d’une trame à un VLAN est déterminée par son
adresse MAC. En fait il s’agit, à partir de l’association MAC/VLAN,
d‘affecter dynamiquement les ports des commutateurs à chacun des
VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port ;
 L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de
la localisation géographique. Si une station est déplacée sur le réseau
physique, son adresse physique ne changeant pas, elle continue
d’appartenir au même VLAN (ce fonctionnement est bien adapté à
l'utilisation de machines portables). Si on veut changer de VLAN il
faut modifier l’association MAC / VLAN.

16
 LANs Virtuels
‣ Méthodes de construction des VLANs
‣ Les VLANs par adresse de niveau 3 (VLAN de niveau 3)
 On affecte une adresse de niveau 3 à un VLAN ;
 L’appartenance d’une trame à un VLAN est alors déterminée par
l’adresse de niveau 3 (le commutateur doit donc accéder à ces
informations). En fait, il s’agit à partir de l’association adresse niveau
3/VLAN d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN ;
 Dans ce type de VLAN, les commutateurs apprennent
automatiquement la configuration des VLAN en accédant aux
informations de couche 3. Ceci est un fonctionnement moins rapide
que le VLAN de niveau 2. Quand on utilise le protocole IP on parle
souvent de VLAN par sous-réseau.

17
 LANs Virtuels
‣ Plages des VLANs :
VLAN Range Range Usage

0, 4095 Reserved For system use only. You cannot see or use these.

1 Normal Cisco default. You can use this VLAN, but you
cannot delete it.

2 - 1001 Normal For Ethernet VLANs. You can create, use, and delete
these.

1002 - 1005 Normal Cisco defaults for FDDI and Token Ring. You cannot
delete these.

1006 - 1024 Reserved For system use only. You cannot see or use these.

1025 - 4094 Reserved For Ethernet VLANs only.

18
 LANs Virtuels
‣ Configuration: Création d’un VLAN
‣ To create a new VLAN in global configuration mode.
Switch(config)# vlan vlan-id
vlan-id is 2-1001 or 1025-4094
‣ To name a VLAN in VLAN configuration mode.
Switch(config-vlan)# name vlan-name
vlan-name is a descriptor for the VLAN (Naming a VLAN is optional).

‣ Example :

Switch# configure terminal

Switch(config)# vlan 5
Switch(config-vlan)# name Engineering
Switch(config-vlan)# exit

19
 LANs Virtuels
‣ Configuration: Création d’un VLAN
‣ To disable trunk negotiation on a switch port.
Switch(config-if)# switchport mode access
‣ To assign a port to a VLAN in interface configuration mode.
Switch(config-if)# switchport access vlan vlan-id

‣ Example :

Switch(config)# interface FastEthernet 0/1

Switch(config-if)# description PC A
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 5
Switch(config-if)# no shutdown
Switch(config-if)# end

20
 LANs Virtuels

‣Vérification: Configuration des VLANs

‣ The show vlan command and its derivatives are the most useful
commands for displaying information related to VLANs. The following two
forms have the same output.

Switch# show vlan id 5

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
5 VLAN0005 active Fa0/1

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
5 enet 100005 1500 - - - - - 0 0

Switch# show vlan name VLAN0005

VLAN Name Status Ports
---- -------------------------------- --------- ---------------------
5 VLAN0005 active Fa0/1

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
5 enet 100005 1500 - - - - - 0 0

21
 LANs Virtuels

‣Vérification: Configuration des interfaces

‣ The show running-config command has an interface keyword option to
allow for interface-specific output.
Switch# show running-config interface FastEthernet 0/1
Building configuration...
!
Current configuration :33 bytes
interface FastEthernet 0/1
switchport access vlan 5
switchport mode access
End

Switch# show interfaces f0/1 switchport

Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 5 (VLAN005)
Trunking Native Mode VLAN: 1 (default)
22
Implementing
Trunking in a
Campus Network
 LANs Virtuels
‣ Agrégation des VLANs
‣ Une agrégation est une liaison point à point entre deux périphériques
réseau qui porte plusieurs VLANs et qui permet d’étendre les VLANs à
l’ensemble d’un réseau

24
 Trunking

‣ Principe du mode Trunk

‣ Le Trunking est la méthode d’envoi de données de différents VLAN
entre deux commutateurs. Dans le cas du trunking, les switchs vont
marquer les paquets Ethernet d'un VLAN ID (tag) qui indique de quel
VLAN le paquet envoyé est originaire.
‣ Un port Trunk est un port qui accepte de faire passer des trames
Ethernet portant des VLAN ID différents. Par défaut, un port trunk
transporte le trafic de n'importe quel VLAN.

25
 Trunking
‣ Deux mécanismes d’étiquetage de la trame
‣ ISL (InterSwitch Link), il s’agit d’un protocole propriétaire Cisco est
uniquement pris en charge sur certains commutateurs Cisco
‣ IEEE 802.1Q est une norme (Standard ouvert) qui est supportée par de
nombreux fabricants de commutateurs.

26
 Trunking

‣VLAN Trunking with Inter-Switch Link (ISL)

 ISL is Cisco-proprietary trunking protocol.

 ISL is nearly obsolete.
 ISL encapsulates Ethernet frames, adding 30 bytes of overhead.
 ISL is supported on non-access-layer Cisco switches.

27
 Trunking

‣VLAN Trunking with IEEE 802.1Q

 802.1Q is a widely supported industry-standard protocol.

 IEEE 802.1Q has smaller frame overhead than ISL. 802.1Q overhead is
4 bytes.
 802.1Q has the 802.1p field for QoS support.

28
 Trunking

‣Native VLAN with IEEE 802.1Q

 Un PVID par défaut est affecté à un port Trunk 802.1Q (trafic non taggé).
Tout le trafic avec un ID de VLAN nul appartient au PVID par défaut du
port Trunk. Un paquet avec un ID de VLAN égal au PVID par défaut du
port sortant est envoyé sans tag.
 Il est recommandé de configurer les deux extrémités d'une liaison Trunk
802.1Q avec un VLAN natif distinct de tous les autres VLAN.
29
 Trunking

‣Dynamic Trunking Protocol (DTP)

‣ DTP est un protocole propriétaire Cisco donc ne fonctionne qu’entre
switchs Cisco. Le principe est très simple, lorsqu’un port monte, des
annonces DTP sont envoyées.

 Dynamic Desirable: annonce sa volonté de monter en Trunk (négociation)

 Dynamic Auto: Attends une sollicitation du voisin, il n’envoi pas de requêtes
DTP mais il réponds aux annonces DTP envoyées par le switch voisin.
 Trunk: Le switch se met en mode Trunk automatiquement et en informe le
switch voisin
 Access: Désactivation du mode Trunk (pas de négociation) 30
 Trunking

‣Configuration d’une interface en mode Trunk

‣ Select the encapsulation type:
Switch(config-if)# switchport trunk encapsulation {isl |
dot1q | negotiate}
‣ Configure the interface as a Layer 2 trunk:
Switch(config-if)# switchport mode {dynamic {auto |
desirable} | trunk}
‣ Specify the native VLAN:
Switch(config-if)# switchport trunk native vlan vlan-id
‣ Configure the allowable VLANs for this trunk:
Switch(config-if)# switchport trunk allowed vlan {add |
except | all | remove} vlan-id[,vlan-id[,vlan-id[,...]]]

Switch(config)# interface FastEthernet 0/1

Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 1-100
Switch(config-if)# no shutdown
Switch(config-if)# end
31
 Trunking

‣Vérification de la configuration Trunk

Switch# show running-config interface f 0/1
Building configuration...
Current configuration:
!
interface FastEthernet0/1
switchport mode dynamic desirable
switchport trunk encapsulation dot1q
end

Switch# show interfaces f0/1 switchport

Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: trunk
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Enabled
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL

Switch# show interfaces f0/1 trunk

Port Mode Encapsulation Status Native vlan
Fa0/1 desirable n-802.1q trunking 1

Port Vlans allowed on trunk

Fa0/1 1-100

32
VLAN Trunking
Protocol
 VLAN Trunking Protocol (VTP)

‣VLAN Trunking Protocol

‣ Le protocole de jonction VLAN (VTP) réduit la gestion dans un réseau
commuté. Quand un nouveau VLAN est configuré sur un serveur VTP, le
VLAN est distribué par tous les commutateurs dans le domaine.

 Le protocole VTP a pour but de diffuser la création des VLAN à travers les
commutateurs Cisco (Propriétaire Cisco)
 Le protocole VTP définit 3 modes (server, client et transparent)
34
 VLAN Trunking Protocol (VTP)

‣VTP Modes
Mode Description
Client • Cannot create, change, or delete VLANs on command-line interface (CLI).
• Forwards advertisements to other switches.
• Synchronizes VLAN configuration with latest information received from other
switches in the management domain.
• Does not save VLAN configuration in nonvolatile RAM (NVRAM).
(Ne peut créer, ni modifier, ni effacer de VLAN)
Server • Can create, modify, and delete VLANs.
• Sends and forwards advertisements to other switches.
• Synchronizes VLAN configuration with latest information received from other
switches in the management domain.
• Saves VLAN configuration in NVRAM.
(Peut créer, modifier et effacer un VLAN)
Transparent • Can create, modify, and delete VLANs only on the local switch.
• Forwards VTP advertisements received from other switches in the same
management domain.
• Does not synchronize its VLAN configuration with information received from
other switches in the management domain.
• Saves VLAN configuration in NVRAM.
(Peut créer, modifier et effacer un VLAN local et achemine les annonces VTP)
35
 VLAN Trunking Protocol (VTP)

‣VTP Operations

36
 VLAN Trunking Protocol (VTP)

‣VTP Pruning

 Le VTP Pruning supprime la propagation des messages de broadcast,

multicast et autres messages inconnu unicast sur les liens trunks afin
d'optimiser la bande passante.
 The broadcast traffic from Station A is not forwarded to Switches 3, 5, and 6
because traffic for the Red VLAN has been pruned on the links indicated on
Switches 2 and 4. 37
 VLAN Trunking Protocol (VTP)

‣Configuration VTP
‣ Step 1. Enter global configuration mode:
Switch# configure terminal

‣ Step 2. Configure the VTP mode as server:

Switch(config)# vtp mode server

‣ Step 3. Configure the domain name:

Switch(config)# vtp domain domain_name

‣ Step 4. (Optional.) Enable VTP version 2:

Switch(config)# vtp version 2

‣ Step 5. (Optional.) Specify a VTP password:

Switch(config)# vtp password password_string
‣ Step 6. (Optional.) Enable VTP pruning in the management domain:
Switch(config)# vtp pruning
38
 VLAN Trunking Protocol (VTP)

‣Exemple de configuration VTP

‣ Cet exemple crée un VTP Server avec un nom de domaine
"cisco_domain", un mot de passe "genus" et active VTP Pruning

Switch# configure terminal

Switch(config)# vtp mode server
Setting device to VTP SERVER mode.
Switch(config)# vtp domain cisco_domain
Switch(config)# vtp password genus
Switch(config)# vtp pruning
Switch(config)# end

39
 VLAN Trunking Protocol (VTP)

‣Vérification de la configuration VTP

‣ The show vtp status command displayed includes the VTP version, the
VTP configuration revision number, the number of VLANs supported
locally, the VTP operating mode, the VTP domain name, and the VTP
pruning mode.

Switch# show vtp status

VTP Version : 2
Configuration Revision : 247
Maximum VLANs supported locally : 1005
Number of existing VLANs : 33
VTP Operating Mode : Server
VTP Domain Name : cisco_domain
VTP Pruning Mode : Enabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x45 0x52 0xB6 0xFD 0x63 0xC8 0x49 0x80
Configuration last modified by 0.0.0.0 at 8-12-99 15:04:4

40
 VLAN Trunking Protocol (VTP)

‣Vérification de la configuration VTP

‣ The show vtp counters command displayed inludes statistics about
VTP operation. If there are any problems regarding the VTP operation,
this command helps look for VTP message type updates.

Switch# show vtp counters

VTP statistics:
Summary advertisements received : 7
Subset advertisements received : 5
Request advertisements received : 0
Summary advertisements transmitted : 997
Subset advertisements transmitted : 13
Request advertisements transmitted : 3
Number of config revision errors : 0
Number of config digest errors : 0
Number of V1 summary errors : 0

41
Private VLAN
 pVLAN

‣VLANs privés
‣ Un VLAN privé (PVLAN) est une configuration de réseau informatique où
certains ports des commutateurs sur lesquels sont définis des VLANs
sont restreints. Tous les ordinateurs membres d'un VLAN ne peuvent pas
forcément communiquer entre eux.
‣ Un VLAN privé est un VLAN primaire découpé en plusieurs VLAN
secondaires (des domaines de diffusion plus petits )

43
 pVLAN

‣pVLAN Port types

 Promiscuous Port est un port du commutateur qui est branché au routeur,

pare-feu, etc. Et qui peut communiquer avec tout ce qui fait partie du VLAN
primaire ou d'un des VLAN secondaires ;
 Isolated Port est un port qui ne peut communiquer qu'avec les ports P ;
 Community Port est un port qui peut communiquer avec les ports P et les
ports de la même communauté (community VLAN). 44
 pVLAN

‣pVLAN Structure Supporting VLANs

 Primary Private VLAN (VLAN d'origine)

 Secondary Private VLAN (isolé et communautaire)
 Community Private VLAN
 Les ports d'un même VLAN communautaire peuvent communiquer entre
eux et avec le VLAN primaire.
 Isolated Private VLAN
 Les ports du VLAN isolé peuvent atteindre le VLAN primaire, mais aucun
autre VLAN secondaire. 45
 pVLAN

‣pVLAN Structure Supporting VLANs

 A DMZ contains two DNS servers, one web server and one SMTP server.
All servers and their connecting router are in the same subnet.
 DNS servers are redundant copies, so they need to communicate with each
other to update their entries and to the Internet. In addition to that, they also
need to communicate with the Internet.
 The Web Server and the SMTP server need to communicate with the
Internet, but for security purposes, the SMTP server should not be
reachable from the Web or the DNS servers. The web server needs to be
accessible from the Internet but not from the SMTP server. 46
 pVLAN

‣Etapes de configuration des VLANs privés

‣ Step 1. Set VTP mode to transparent.

Switch(config)# VTP mode Transparent
‣ Step 2. Create the secondary pVLANs.
Switch(config)# vlan 201
Switch(config-vlan)# private-vlan isolated
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan community
‣ Step 3. Create the primary pVLAN.
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary

47
 pVLAN

‣Etapes de configuration des VLANs privés

‣ Step 4. Associate the secondary pVLAN with the primary pVLAN.

 Only one isolated pVLAN can be mapped to a primary pVLAN, but more
than one community pVLAN can be mapped to a primary pVLAN.
Switch(config-vlan)# private-vlan association 201,202
‣ Step 5. Configure an interface as community port.
Switch(config)# interface range fastethernet 0/1 - 2
Switch(config-if)# switchport mode private-vlan host
‣ Step 6. Associate the community port with the primary-secondary pVLAN
Switch(config-if)# switchport private-vlan host-
association 100 202

48
 pVLAN

‣Etapes de configuration des VLANs privés

‣ Step 7. Configure an interface as isolated port.

Switch(config)# interface range fastethernet 0/3 - 4
Switch(config-if)# switchport mode private-vlan host
‣ Step 8. Associate the isolated port with the primary-secondary pVLAN
Switch(config-if)# switchport private-vlan host-
association 100 201
‣ Step 9. Configure an interface as a promiscuous port.
Switch(config)# interface fastethernet 0/24
Switch(config-if)# switchport mode mode private-vlan
promiscuous
‣ Step 10. Map the promiscuous port to the primary-secondary pVLAN
Switch(config-if)# switchport private-vlan mapping 100
201,202 49
Configuring Link
Aggregation with
Etherchannel
 EtherChannel

‣Agrégation des liens (EtherChannel)

‣ L’EtherChannel est une technologie utilisée
par les switchs Cisco permettant d’agréger
plusieurs liens Ethernet. Cette technologie a
pour but d’augmenter la bande passante et
d’améliorer la tolérance de pannes entre les
deux équipements interconnectés.
‣ Concrètement, si on utilise deux liens de
1Gb/s le débit théorique maximal sera de
2Gb/s. On pourra également tolérer la perte
d’un lien sans interrompre la connexion.
‣ Jusqu'à 8 liens physiques peuvent être
regroupés en un seul lien logique ;
‣ EtherChannel est utilisée souvent pour des
liens Trunk ;
51
 EtherChannel

‣Protocoles de gestion d’EtherChannel

‣ La technologie EtherChannel peut utiliser
deux protocoles différents :
 Le protocole PAgP (Prot Aggregation
Protocol) qui est propriétaire Cisco
 Le protocole LACP (Link Aggregation
Control Protocol) qui est standardisé
par la norme IEEE 802.3ad
‣ PAgP envoie toutes les 30 secondes des
paquets multicast à l'adresse MAC
01:00:0C:CC:CC:CC pour s’assurer que
tous les ports ont bien la même
configuration (vitesse, duplex et VLAN)
‣ LACP fonctionne comme PAgP mais
également entre différent fabriquats.
52
 EtherChannel

‣PAgP Modes

Mode Purpose
Auto Places an interface in a passive negotiating state in which the interface responds to the PAgP
packets that it receives but does not initiate PAgP negotiation (default).
(Ecoute passive des messages PAgP)
Desirable Places an interface in an active negotiating state in which the interface initiates negotiations
with other interfaces by sending PAgP packets.
(Envoi des messages PAgP pour initier la négociation)
On Forces the interface to channel without PAgP.
(Pas de négociation / force le canal sur PAgP)
53
 EtherChannel

‣LACP Modes

Mode Purpose
Passive Places a port in a passive negotiating state. In this state, the port responds to the
LACP packets that it receives but does not initiate LACP packet negotiation.
(Ecoute des messages LACP)
Active Places a port in an active negotiating state. In this state, the port initiates
negotiations with other ports by sending LACP packets.
(Envoi des messages LACP pour initier la négociation)
On Forces the interface to the channel without PAgP or LACP.
(Pas de négociation / force le canal sur LACP)
54
 EtherChannel

‣Exemple de configuration d’EtherChannel

Switch(config)# interface fastethernet 0/23
Switch(config-if)# channel-group 2 mode active
Switch(config)# interface fastethernet 0/24
Switch(config-if)# channel-group 2 mode active
Switch(config)# interface port-channel 2
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native VLAN 99
Switch(config-if)# switchport trunk allowed VLAN 2,3,99

Remote Switch configuration

RSwitch(config)# interface fastethernet 0/23

RSwitch(config-if)# channel-group 5 mode on
RSwitch(config)# interface fastethernet 0/24
RSwitch(config-if)# channel-group 5 mode on
RSwitch(config)# interface port-channel 5
RSwitch(config-if)# switchport mode trunk
RSwitch(config-if)# switchport trunk native VLAN 99
55
 EtherChannel

‣Vérification de la configuration d’EtherChannel

Switch# show interfaces fa0/24 etherchannel
Port state = Up Sngl-port-Bndl Mstr Not-in-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = null GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = LACP

Switch# show etherchannel 1 port-channel

Port-channel: Po7 (Primary Aggregator)
Age of the Port-channel = 195d:03h:10m:44s
Logical slot/port = 0/1 Number of ports = 2
Port state = Port-channel Ag-Inuse
Protocol = LACP
Ports in the Port-channel:
Index Load Port EC state No of bits
------+------+--------+--------------+-----------
0 55 fa0/23 Active 4
1 45 fa0/24 Active 4

Switch# show etherchannel summary

Group Port-channel Protocol Ports
------+-------------+-----------+--------------------------------------------
2 Po2(SU) LACP g0/49(P) g0/50(P) g0/51(P) g0/52(P)
7 Po7(SU) LACP g0/47(P) g0/48(P)
9 Po9(SU) PAgP g0/8(P) g0/9(P)

56
 EtherChannel

‣EtherChannel Load Balancing

‣ La technologie EtherChannel effectue un
équilibrage de charge sur des liens
physiques (jusqu’à 8 liens)
‣ Il existe plusieurs méthodes d’équilibrage
de charge sur les liens :
 Via l’adresse IP Source
 Via l’adresse IP Destination
 Une combinaison de l’adresse IP
Source et Destination

57
Q and A

58