Lolokai – Supervision, systèmes, réseaux, base de données…

7

Configurer des VLAN sur nos équipements Cisco

Cédric ROBERT 24 avril 2012

Pré-requis

  • Connaitre le fonctionnement et les différents modes d’IOS.
  • Avoir des bases en réseau (IP, masque de sous réseau…).

Qu’est-ce qu’un VLAN ?

Les VLAN (Virtual LAN) nous permettent de séparer notre LAN (Local Area Network) en plusieurs sous-réseaux virtuel. Cela nous permet de faciliter la gestion de notre réseau (séparation des utilisateurs par groupe de travail…), d’améliorer la gestion des ressources,  d’améliorer la sécurité de notre réseau, et d’améliorer la bande passante en divisant les domaines de Broadcast.

Dans cet exemple nous avons séparé notre LAN en 2 VLAN, le VLAN 10 et le VLAN 20. Ce qui nous permet :

  • D’améliorer la gestion des ressource et la sécurité, en effet les ressource de notre LAN sont séparer en 2 groupe ce faisant parti du VLAN 10 et ce faisant parti du VLAN 20. Par conséquent le Pc 0 qui fait partie du VLAN 10 ne pourra pas accéder aux données se trouvant sur le serveur qui lui est dans le VLAN 20.
  • Réduire les domaines de broadcast et donc économiser de la bande passante. En effet si le PC 0 envoi un broadcast sur le réseau celui-ci ne sera destiner qu’aux membres de son VLAN, par conséquent PC3 ne recevra pas les broadcasts envoyé par PC 0.

Les VLAN présentent bien sûr d’autre avantages que ce présenté ci-dessus, mais mon but dans cette article n’est pas de vous faire la liste des avantages des VLAN, mais de vous expliquer comment configurer un VLAN.

Le Trunking avec ISL et 802.1Q
Lorsque nous configurons des VLAN sur un réseau composé de plusieurs switches nous devons configurer les interfaces qui relient les différents switches en mode trunk, pour permettre de propager le trafic de tous les VLAN sur un seul lien physique.

Il existe 2 protocoles permettant le trunking, le protocole ISL et le protocole IEE 802.1Q.

Le protocole ISL
Le protocole ISL est un protocole propriétaire Cisco (il ne peut être utilisé que entre équipements Cisco), qui date d’avant la création du protocole IEE 802.1Q. ISL encapsule complètement la trame Ethernet en ajoutant un en-tête et un en-queue, en laissant la trame initiale intacte. L’en-tête ISL contient un identifient du VLAN.

Le protocole IEEE 802.1Q
Le protocole IEEE 802.1Q est un protocole normalisé par L’IEEE (il fonctionne sur tous les équipements.). Il est de nos jours le protocole le plus utilisé pour faire du Trunking. Le protocole IEEE 802.1Q insère un en-tête à l’intérieur de la trame original.

Configurer un VLAN

Maintenant que nous connaissons la théorie nous allons voir comment configurer nos VLAN sur nos switches.

Configurer un nouveau VLAN
Pour configurer un VLAN sur un switch il faut d’abord créer ce VLAN sur notre switch :

Switch(config)#vlan 10
Switch(config-vlan)#exit

Cette commande nous permet de créer notre VLAN 10 sur notre switch.

Puis nous allons affecter nos interfaces dans un VLAN :

Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

Ces commandes nous permettent d’affecter l’interface fastEthernet 0/2 dans notre VLAN 10, la commande switchport mode access permet de désactiver le mode trunking (car il s’agit d’une interface d’accès, nous n’avons donc pas à configurer de trunk sur cette interface).
La commande:

Switch#show vlan brief

Nous permet d’afficher les VLANs configurer sur notre switch.

On voie bien que notre VLAN 10 à bien était créé et que l’interface FastEthernet 0/2 appartient bien à ce VLAN.

Configuration des trunk
Maintenant que nous savons comment configurer nos VLAN et nos interface d’accès nous devons configurer nos interfaces entre les switches en mode trunk :

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport native vlan 99

Ces commandes nous permettent de configurer l’interface fastEthernet 0/1 en mode trunk avec un VLAN natif de 99. Il faut bien sur faire de même de l’autre côté du lien, et sur tous les liens entre nos switchs.
Voilà la configuration de base de nos VLANs est terminé.

Conclusion

Voilà cet article se termine est nous avons vu ensemble comment configurer des VLAN. Les VLAN font partie des mécanismes les plus utilisés en entreprise, on les utilise pour regrouper les utilisateurs d’un même service dans le même VLAN, met aussi par exemple pour créer un sous-réseau pour la téléphonie IP.
Avez-vous des questions ?

 Cédric ROBERT

Comments (7)

  1. Bonjour,

    Quelle est l’intèrêt d’un mettre le vlan 99 en valn natif ?.
    Dois-t-on à cet effet supprimer l’interface du vlan 1 ?.

    Si plusieurs vlan ont une interfaces ip, donc ils sont manageable à partir différentes interfaces ip ?.

    Du coup à quoi sert le vlan de management, si on peut manager le switch à partir de différent vlan ?.

    Merci.Cordialement.

    Répondre
    • Bonjour Ben,

      Le premier intérêt de changer le VLAN Natif est d’améliorer la sécurité de ton réseau. En effet, grâce à ce mécanisme tu peux éviter des attaques du type Double VLAN Tagging ou tout du moins donner plus de fil à retordre au hacker.

      Qu’entends-tu par supprimer l’interface du vlan 1 ?

      Si plusieurs interfaces de type vlan existent oui cela veut dire que le switch est manageable depuis plusieurs vlans. Pour des raisons de sécurité on ne met qu’une interface de type VLAN (avec l’id du VLAN qui correspond au VLAN de management).

      En espérant avoir répondu à tes questions.

      Répondre
  2. Bonjour,

    « Qu’entends-tu par supprimer l’interface du vlan 1 ? » :

    Mon vlan 1 à une interface ip.Comme il sera changé en vlan 99 pour le management (switchport access native vlan 99 ) avec son interface ip, je dois par conséquence supprimer l’interface vlan 1 (no ip address) ?.

    « Si plusieurs interfaces de type vlan existent oui cela veut dire que le switch est manageable depuis plusieurs vlans. Pour des raisons de sécurité on ne met qu’une interface de type VLAN (avec l’id du VLAN qui correspond au VLAN de management). »

    Alors comment les autres vlan sont routés s’ils ont pas d’interfaces ?.
    Comment une machine d’un vlan y accède au vlan x ?.

    Bien à vous.

    Répondre
    • L’interface VLAN 1 n’a pas besoin d’être supprimée.

      Les interfaces de types VLAN sont là uniquement pour l’administration du switch et non pour le routage, ni pour tagguer un port physique.
      Cette notion est rpésente sur le switch dans la mesure où tu ne peux pas attribuer à une interface physique d’un switch (de couche 2) une adresse IP pour l’administrer il a donc fallu créer des interfaces VLAN virtuelles pour pouvoir leur attribuer une IP sur un VLAN.

      Un VLAN y accède à un VLAN x via du routage inter-VLAN (il y aura un article publié là dessus bientot) c’est à dire en passant par un routeur ou un switch de couche 3.

      Répondre
  3. Bonjour,

    Je voulais dire retirer l’adresse ip du vlan 1 (no ip address), dans le cas ou je change le vlan 1 native par vlan 99 native, dont je lui attribue une interface ip.

    OK, cependant pour faire du routage inter-vlan il faut que chaque vlan possèdent une interface ip au niveau du switch/router.

    Dans ce cas le routeur devient administrable à partir de chaque ip de chaque vlan.
    Comment faire en sorte que le switch/router sois administrable uniquement à partir de l’interface du vlan 99 (management).

    Bien à vous.

    Répondre
  4. Merci pour ce tuto.
    Moi j’ai un souci. je dispose d’un switch 3750. je veux l’utiliser pour faire du routage.Mais j’ai lu à quelpart que si j’active la fonction routage, il perd son rôle de switch or je souhaite utiliser les deux fonctions. comment dois-je m y prendre?

    Répondre

Laisser un commentaire

Login to your account

Can't remember your Password ?

Register for this site!