Mise en œuvre des

VLAN

Azzeddine ELMAHI -Cybersecurity 59

Le principe de
fonctionnement des VLAN
Concept des VLAN

Azzeddine ELMAHI -Cybersecurity 60

Le principe de fonctionnement des
VLAN
Nous avons défini un LAN comme un ensemble d’hôtes
géographiquement proches qui font partie du même sous-
réseau.

Tous les hôtes d’un même LAN partagent le même domaine

de diffusion.

La mise en place de VLAN permet de séparer les domaines

de diffusion entre différents hôtes connectés à un même
switch.

Azzeddine ELMAHI -Cybersecurity 61

Le principe de fonctionnement des
VLAN

Azzeddine ELMAHI -Cybersecurity 62

Le principe de fonctionnement des
VLAN

Azzeddine ELMAHI -Cybersecurity 63

Le principe de fonctionnement des
VLAN
Où l’étiquette IEEE 802.1q est composée de :

TPID Tag Protocol Identifier (16 bits) : 0x8100, valeur

annonçant la charge IEEE 802.1q

TCI Tag Control Identifier (16 bits) :

PCP Priority Code Point (3bits), priorité IEEE 802.1p

CFI Canonical Format Indicator (1 bit), la valeur 0 correspond

à une adresse MAC en format canonique

VID VLAN Identifier (12 bits), l’identifiant VLAN

Azzeddine ELMAHI -Cybersecurity 64
Le principe de fonctionnement des
VLAN
Avantages

La création de domaines de diffusions séparés et plus petits

comporte les avantages suivants :

• limite la diffusion des broadcastes ;

• plus grande flexibilité de la segmentation du réseau ;

• (indépendance géographique)

• amélioration de la sécurité ;
Azzeddine ELMAHI -Cybersecurity 65
Types de VLAN
• VLAN 1

• VLAN par défaut (Default VLAN)

• VLANs utilisateur (User VLAN)

• VLAN de gestion (Management VLAN)

• VLAN natif (Native VLAN)

• VLAN voix (Voice VLAN)

• VLANs réservés ( Reserved VLAN)

Azzeddine ELMAHI -Cybersecurity 66
Types de VLAN
1. VLAN 1:

• Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut

de tous les ports, y compris l’interface de gestion (SVI).
En plus, une série de protocoles de couche 2 comme
CDP (Cisco Discovery Protocol), VTP (VLAN Trunk
Protocol), PAgP (Port Aggregation Protocol) et DTP
doivent impérativement transiter à travers ce VLAN
spécifique

• Cet id ne peut pas être supprimé.

Azzeddine ELMAHI -Cybersecurity 67
Types de VLAN
2. VLAN par défaut (Default VLAN):

• Par défaut, le VLAN 1 est celui qui assigné à tous les

ports d’un commutateur tant qu’ils n’ont pas été
configurés autrement. Cela signifie que tous les autres
types de VLANs (utilisateur, gestion et natif, etc.) sont
membres du VLAN 1 par défaut.

Azzeddine ELMAHI -Cybersecurity 68

Types de VLAN
3. VLAN utilisateur (User VLAN):

Ce type de VLAN est un VLAN “normal” dans le sens où il est

celui qui a été configuré pour rendre une segmentation
logique du commutateur dans le cadre de l’utilité des VLAN.

La numérotation des VLANs est disponible sur 12 bits. Ceci dit,

chaque modèle de switch aura ses limites en nombre total à
créer et à gérer. Pour connecter des utilisateurs et leurs
services, on évitera d’utiliser le VLAN 1.

Azzeddine ELMAHI -Cybersecurity 69

Types de VLAN
3. VLAN utilisateur (User VLAN):

• Aussi appelé VLAN donnée ou VLAN d’accès, on en crée

autant que de domaines de diffusion séparés nécessaires.

• Un id différent de 1 doit être associé à chaque VLAN créé.

Les hôtes concernés sont ensuite associés à cet id.

Azzeddine ELMAHI -Cybersecurity 70

Types de VLAN
4. VLAN de gestion (Management VLAN):

• Le VLAN de gestion est un VLAN spécifique attribué aux

commutateurs pour qu’ils soient accessibles via une
adresse IP (ICMP, Telnet, SNMP, HTTP).

• Dans les bonnes pratiques de configuration, on le

distinguera du VLAN par défaut d’un VLAN utilisateur ou
du VLAN natif. On changera donc le numéro du VLAN de
gestion.

Azzeddine ELMAHI -Cybersecurity 71

Types de VLAN
5. VLAN natif (Native VLAN):

• Le VLAN natif reçoit les flux non taggés lorsqu’un port

d’agrégation est configuré avec le protocole 802.1Q
que nous introduisons juste après.

• La notion de VLAN natif n’intervient que lorsque l’on

configure un port “Trunk”.

Azzeddine ELMAHI -Cybersecurity 72

Types de VLAN
5. VLAN natif (Native VLAN):

• Toutes les trames passant par un “Trunk” sont ainsi

étiquetées sauf les trames appartenant au VLAN natif.
Donc, les trames du VLAN natif, par défaut le VLAN 1,
ne sont pas étiquetées.

• Aussi, les protocoles de contrôles tels que CDP, VTP,

PAgP et DTP sont toujours transmis par le VLAN natif. Si
on change l’identifiant du VLAN natif, ce qui est
conseillé, il faut le faire sur toutes les liaisons “Trunk”, sur
toute la topologie.Azzeddine ELMAHI -Cybersecurity 73
Types de VLAN
6. VLAN voix (VLAN Voice) :

• Un VLAN voix préserve la bande passante nécessaire

pour les applications de voix sur IP.

• Pour assurer la Qualité de Service (QoS) des

communications vocales, le VLAN Voice se configure
sur un port Access et crée une sorte de mini-Trunk vers
un téléphone IP.

Azzeddine ELMAHI -Cybersecurity 74

Types de VLAN
6. VLANs réservés ( Reserved VLAN):

• le VLAN ID est codé sur 12 bits dans les étiquettes

802.1q, offrant de la sorte 4096 possibilités, le premier ID
VLAN disponible 0 et le dernier 4095 sont réservés et ne
peuvent donc pas être utilisés.

• En retirant les VLANs par défaut et les VLANs réservés, la

plage de VLANs disponibles varie de 1 à 1001 et de
1006 à 4094.

Azzeddine ELMAHI -Cybersecurity 75

Types de VLAN
VLANs Range Usage
For system use only. You cannot see or use these
0, 4095 Reserved
VLANs.

Cisco default. You can use this VLAN but you

1 Normal
cannot delete it.
For Ethernet VLANs; you can create, use, and
2-1001 Normal
delete these VLANs.

Cisco defaults for FDDI and Token Ring. You

1002-1005 Normal
cannot delete VLANs 1002-1005.

1006-4094 Extended For Ethernet VLANs only.

Azzeddine ELMAHI -Cybersecurity 76
Configuration des VLAN
Concept des VLAN

Azzeddine ELMAHI -Cybersecurity 77

Configuration des VLAN
Nomination des ports

Les noms des ports sont nommées des interfaces.

Fast Ethernet => 100Mbits/s

Gigabit Ethernet => 1Gbits/s

TenGigabit Ethernet => 10Gbits/s

Azzeddine ELMAHI -Cybersecurity 78

Configuration des VLAN
dénomination de numéro de port (interfaces)

Les numéros des ports ont la syntaxe suivante: 0/1 ou 1/0/1

dont :

0/1 => numéro du module / numéro du port

1/0/1 => numéro du switch dans le stack / numéro du

module / numéro du port

Azzeddine ELMAHI -Cybersecurity 79

Configuration des VLAN
Configurer une interface

Pour affiche la configuration courante d'une interface.

On utilise la commande suivante :

SW-01# show running-config interface fastEthernet 0/1

Azzeddine ELMAHI -Cybersecurity 80

Configuration des VLAN
Création de vlan

Avant qu'un commutateur accepte ou transfère le trafic

pour un VLAN, le VLAN doit exister dans la base de données
VLAN du commutateur. L'ajout d'un VLAN à la base de
données VLAN nécessite une seule commande :

On utilise la commande suivante :

SW-01(config)# vlan 10

Azzeddine ELMAHI -Cybersecurity 81

Configuration des VLAN
Création de vlan

À partir de ce point, vous pouvez également éventuellement

nommer le VLAN. Bien que cela ne soit pas explicitement
nécessaire pour que le trafic circule, il est recommandé de
fournir un nom pour chaque VLAN. Cela rendra le VLAN plus
facile à identifier. Pour nommer un VLAN, utilisez simplement
le nom ; commande directement après sa création.

SW-01(config)# vlan dix

Azzeddine ELMAHI -Cybersecurity 82

Configuration des VLAN
Affectation d'un port à un vlan

Nous pouvons configurer un port de commutateur pour qu'il

soit un port d'accès pour un VLAN particulier.

Il existe deux commandes dans le mode de configuration de

l'interface pour cette étape :

SW-01(config)# interface Ethernet 0/0

SW-01(config-if)# switchport mode access

SW-01(config-if)# switchport access vlan 10

Azzeddine ELMAHI -Cybersecurity 83
Configuration des VLAN
Affectation d’une plage des ports à un vlan

Nous pouvons affecter plusieurs ports de commutateur pour

qu’ils soient des ports d'accès pour un VLAN particulier en
utilisant la commande suivante :
SW-01(config)#interface range fastEthernet 0/5-8

SW-01(config-if-range)#switchport mode access

SW-01(config-if-range)#switchport access vlan 10

SW-01(config-if-range)#end

SW-01 #
Azzeddine ELMAHI -Cybersecurity 84
Configuration des VLAN
Affichage des vlans crées

Avec la commande show vlan on peut afficher la base de

donnée des vlans d’un commutateur.

On utilise la commande suivante :

SW-01# show vlan

SW-01# show vlan brief

Azzeddine ELMAHI -Cybersecurity 85
Configuration des VLAN
Suppression d'un vlan

Lorsqu'on souhaite supprimer un vlan, on utilise la commande

suivante :

SW-01# no vlan 10

Azzeddine ELMAHI -Cybersecurity 86

Configuration des VLAN
Configuration d'un port en mode trunk

Le trafic traversant un port de jonction est toujours sous la

forme de 1 et de 0. Pour désigner quels 1 et 0 appartiennent
à quels VLAN, une balise VLAN est ajoutée à tout le trafic
sortant d'un port de jonction. La norme 802.1q spécifie le
format omniprésent pour la balise VLAN.

SW-01(config)# interface Ethernet1/1

SW-01(config-if)# switchport trunk encapsulation dot1q

SW-01(config-if)# switchport mode trunk

Azzeddine ELMAHI -Cybersecurity 87