https://vimeo.com/567739499 Dans la première partie, nous avons vu ensemble comment importer des routeurs et switchs CISCO et comment utiliser le CLI CISCO. Dans cette nouvelle partie, vous apprendrez à administrer la partie LAN du réseau d’une entreprise, en d’autres termes, la partie privée d’une entreprise. Vous serez par exemple, capables de : Show
Dans ce premier chapitre, je vous propose d’apprendre à segmenter votre réseau à l’aide de VLAN. Cela vous permettra de séparer différentes utilisations d’un même réseau, pour configurer de la voix sur IP (VoIP) ou créer une DMZ (zone démilitarisée) entre autres. Ceci vous permettra d’ajouter de la sécurité à votre réseau, mais aussi de l’optimiser. Allez, on commence tout de suite. Segmentez votre réseauLe VLAN pour Virtual Local Area Network (réseau local virtuel en français), est comme dit dans l’introduction, une façon de segmenter le réseau non pas physiquement mais logiquement. Cette segmentation est la solution à plusieurs problèmes :
Prenons par exemple le cas d’un datacenter regroupant un grand nombre de serveurs de différents clients. Les clients se connectant au datacenter doivent avoir accès uniquement à leurs serveurs et non pas ceux des autres clients. Un des moyens de faire serait de séparer physiquement les réseaux à partir du routeur donc d’avoir deux interfaces réseau du côté du LAN et de continuer ainsi avec, pour chaque réseau, ses câbles et ses switchs. Cette solution est en fait viable et fonctionne très bien, mais il est peu probable qu’un datacenter ait pour objectif de n’avoir que deux clients, mais plutôt plusieurs centaines ou milliers. Il faudrait alors que le datacenter prévoit des milliers d’interfaces réseaux, suivi de centaines de milliers de câbles et de switch, car croyez-moi, il est inconcevable d’ajouter tous ces composants à chaque nouveau client, étant donné le coût que cela représente. Une des façons de faire est donc de n’avoir qu’un seul réseau physique où tous les switchs et câbles seraient déjà installés est de les segmenter à l’aide des VLAN. De cette façon, lorsqu’un nouveau client demande un serveur, par exemple, au datacenter, il vous suffira de lui ajouter un VLAN et de brancher son serveur à ce VLAN. De cette façon, il aura accès uniquement à son serveur et à rien d’autre, bien qu’étant sur le même réseau physique que d’autres personnes (peut-être sur le même switch qu’un autre serveur), de la même manière personne d’autre n’aura accès à son serveur. C’est une façon simple et fiable d’ajouter de la sécurité dans un réseau LAN. Parcourez la trame d’un VLANCet ajout est normalisé par le protocole 802.1q (vous entendrez souvent « dot one Q » en anglais). Voilà comment elle se décompose : tableau 802.1QElle commence de la même façon avec :
Puis, le protocole dot1q ajoute deux fois 4 octets (deux pour le VLAN et deux pour l’Ether Type) à cet endroit de la trame :
Maintenant que nous avons vu ce qu’était un VLAN, voyons comment le créer sur votre switch CISCO, afin de placer le nouveau client d’e-commerce sur un réseau sécurisé, auquel personne d’autre n’aura accès. Créez un VLAN sur votre switch CISCOhttps://vimeo.com/577679969Maquette du data centerEn tant qu’administrateur·rice du datacenter, il vous faut ajouter un premier client au réseau et donc un premier VLAN. Pour créer un VLAN sur votre switch, il vous faut tout d’abord entrer en mode configuration globale : switch2# configure terminal Ajoutez un VLANPuis entrez cette commande :
Pour notre datacenter qui prévoit d’avoir 1000 clients cette année, la commande serait : switch2(config)# vlan 1-1001 Le vlan 0 représentant ce que l’on appelle l’access c’est-à-dire l’absence de VLAN. Le vlan 1 est le vlan natif, c’est-à-dire le vlan par défaut, si vous ne configurez par vos interfaces, elles seront toutes sur ce VLAN. Nous reviendrons sur ce concept juste après. La commande switch2(config)# no vlan 1 Cette commande supprime le vlan1 Configurez votre VLANVotre VLAN étant créé, il ne vous manque plus qu’à le configurer. La commande pour entrer en mode configuration vlan est… exactement la même. En fait, cette commande créée un VLAN s’il n'existe pas déjà. Dans le cas contraire, il passe en mode configuration sur celle-ci. Si vous voulez configurer le VLAN 2 : switch2(config)# vlan 2 (pour entrer en mode configuration vlan) switch2(config-vlan)# name e-commerce (pour lui donner un nom) switch2(config-vlan)# state active switch2(config-vlan)# no shutdown (pour l’activer) Attribuez un port au VLANC’est la dernière étape avant que votre VLAN ne soit configuré. Cette étape consiste à attribuer votre VLAN à un port de votre switch. De cette façon, vous allez pouvoir construire son réseau tout en l’optimisant. En effet, votre VLAN n’est actuellement disponible sur aucun port de vos switchs et donc de votre réseau. Vous pouvez voir l’association d’un port à votre VLAN comme le fait de brancher un câble sur votre réseau physique. Pour brancher le serveur du nouveau client, il va falloir associer tous les ports qui partent du routeur et qui mènent à lui. Dans notre exemple c’est le port Gi0/0/0 qui est relié au serveur d’e-commerce. Nous allons donc associer ce port au VLAN 2 que nous venons de créer. Voici les commandes : switch2(config)# interface gigabitethernet 0/0/0 (on passe sur l’interface voulue) switch2(config-if)# switchport access vlan 2 (on ajoute le VLAN) Vérifiez votre configurationNe jamais oublier de vérifier votre configuration et pour cela il existe des commandes très simples : switch2# show vlan id 2 (pour voir un vlan en particulier) switch2# show vlan summary (pour avoir un résumé des VLANs existants) switch2# show running-config vlan 2 (on spécifie le VLAN ou le range que l’on veut vérifier) switch2# show vlan (pour voir tous les VLAN existants) VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi0/0, Gi0/2, Gi0/3, Gi1/0 Gi1/1, Gi1/2, Gi1/3, Gi2/0 Gi2/1, Gi2/2, Gi2/3, Gi3/0 Gi3/1, Gi3/2, Gi3/3 2 e-commerce active Gi0/1 (On voit ici que le VLAN 2 est créé et qu’il est associé au port Gi0/1) 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup On s'aperçoit de plus qu’il existe un VLAN 1. Ça me rappelle quelque chose ? Eh oui, dans la partie précédente nous activons le protocole spanning-tree pour le VLAN 1. Changez le VLAN ID du VLAN natifCe VLAN 1 s’appelle le VLAN natif. En fait, sur un switch CISCO (même chez d’autres constructeurs) par défaut, tous les ports sont configurés sur le VLAN natif c’est-à-dire le VLAN 1. Du coup, lorsque l’on branche un ordinateur sur un port dont le VLAN n’est pas configuré, cet ordinateur est en fait sur le VLAN 1. Vérifiez que vous n’avez pas accès au serveur d’e-commercePour vérifier votre configuration, je vous propose de tester la connexion vers le serveur du client d’e-commerce depuis un autre poste ne se trouvant pas sur le même VLAN. Pour cela, configurez le deuxième PC (appelé autre_client sur la maquette) avec l’adresse 192.168.2.2/24. Sans VLAN, ces deux serveurs devraient pouvoir communiquer, mais ils ne se trouvent plus sur le même VLAN. C’est comme s’ils n’étaient plus sur le même réseau... Tentez de faire un PING entre les deux… ça ne fonctionne pas et c’est tant mieux. Bien qu’étant sur le même réseau (192.168.2.X/24), ils ne peuvent pas communiquer, car ils sont sur un VLAN différents. Configurez maintenant cette interface au VLAN 2 et refaites le test. Magie, ça fonctionne !!! Faites passer plusieurs VLAN sur le même câblehttps://vimeo.com/577680007Le datacenter grandit et il se retrouve maintenant avec plusieurs clients, plusieurs serveurs et donc plusieurs switchs. Et à ce moment, le client de la société d’e-commerce pour laquelle vous avez attribué le VLAN 2 vous demande un accès à un second serveur, cependant sur le switch auquel son premier serveur est branché, il n’y a plus de place. Vous le branchez donc sur un autre switch comme ceci : Evolution du data centerFaites passer plusieurs VLAN dans le trunkUne fois la nouvelle interface du nouveau switch configurée, tentez de faire un ping entre les deux serveurs… ça ne fonctionne pas. En effet, pour que cela fonctionne, il faudrait que le câble qui relie les deux switchs soit aussi sur le VLAN 2 mais dans ce cas, les switchs du VLAN 3 ne pourraient pas communiquer entre eux ! Et pour que deux VLAN ou plus partagent le même câble, on configure les interfaces de ce câble en “trunk”. C’est quoi un trunk ? Nous l’avons déjà vu, mais le trunk est un moyen du protocole dot1q. Il permet de faire communiquer deux appareils (des switchs en général) et leurs VLAN respectifs. De cette façon, le VLAN 2 du switch 1 et du switch 2 peuvent communiquer ensemble. La configuration se passe sur l’interface qui relie les deux switchs, comme ceci : switch2# configure terminal switch2(config)# interface GigabitEthernet 0/1 switch2(config-if)#switchport trunk encapsulation dot1q switch2(config-if)# switchport mode trunk switch2(config-if)# switchport trunk allow vlan 2-3
On fait la même opération sur l’interface du switch2. Et on retente le ping entre les deux serveurs du VLAN2… heureusement cela fonctionne comme on le veut. Vous avez maintenant un moyen très utile pour segmenter et sécuriser vos réseaux privés. Cela vous sera très utile pour l’administration de votre LAN. Étrangement, vous découvrirez dans le prochain chapitre comment relier ces VLAN entre eux, et saurez bien évidemment pourquoi vous devez le faire. En résumé
Comment modifier le nom d'un VLAN ?suivantes: conf t.. #Être en mode configuration terminale. vlan 202.. # préciser le vlan que l'on veut modifier. name 2eGene.. # renommer le vlan. wr mem.. Quelle commande permet de nommer un VLAN ?Les ports sont affectés aux réseaux locaux virtuels en mode de configuration d'interface à l'aide de la commande switchport access vlan « id-vlan ».
Comment changer le nom d'un switch Cisco ?1. Utilisez la commande set system name pour définir le nom du commutateur dans CatOS. Utilisez la commande hostname pour définir le nom du commutateur dans Cisco IOS.
Comment configurer un VLAN sur Cisco ?Que faut-il configurer ?. Avoir une liaison fonctionelle entre le switch et le routeur.. Définir la liason entre le switch et le routeur comme un « trunk ». Créer les vlans sur le switch.. Attribuer les interfaces désirées dans les différents vlans (uniquement utiles pour l'administration du switch).. |