Après la création d'un VLAN, l'étape suivante consiste à lui attribuer des ports. Un port d'accès peut appartenir à un seul VLAN à la fois. La seule exception à cette règle consiste en un port connecté à un téléphone IP. Dans ce cas, deux VLAN sont associés au port : un pour la voix et l'autre pour les données. Show
La Figure 1 présente la syntaxe permettant de définir un port d'accès et de l'affecter à un VLAN. La commande switchport mode access est facultative, mais vivement recommandée comme meilleure pratique de sécurité. Avec cette commande, l'interface passe en mode d'accès permanent. Remarque : utilisez la commande interface range pour configurer simultanément plusieurs interfaces. Dans l'exemple de la Figure 2, le VLAN 20 est affecté au port F0/18 du commutateur S1 ; par conséquent, l'ordinateur « étudiant » (PC2) se trouve dans le VLAN 20. Lorsque le VLAN 20 est configuré sur d'autres commutateurs, l'administrateur réseau sait qu'il doit configurer les autres ordinateurs des étudiants dans le même sous-réseau que le PC2 (172.17.20.0/24). Servez-vous du contrôleur de syntaxe de la Figure 3 pour attribuer un VLAN et utilisez la commande show vlan brief pour afficher le contenu du fichier vlan.dat. La commande switchport access vlan force la création d'un VLAN s'il n'existe pas déjà sur le commutateur. Par exemple, le VLAN 30 n'est pas présent dans le résultat de la commande show vlan brief du commutateur. Si la commande switchport access vlan 30 est saisie sur n'importe quelle interface sans configuration précédente, le commutateur affiche les éléments suivants : % Access VLAN does not exist. Creating vlan 30 Objectifs de certificationCCNA 200-301
Configuration des VLANs sous Cisco IOS®Ce chapitre a pour objectif d’exposer les commandes de configuration des VLANs en Cisco IOS, la configuration du protocole DTP (Dynamic Trunking Protocol) et VTP (VLAN Trunking Protocol) ainsi que les bonnes pratiques associées. 1. VLAN et paramètres switchport par défautPar défaut, un port physique d’un commutateur Cisco est un “switchport”, un port de commutation. Il est configuré par défaut dans le mode “dynamic auto” mais il est en mode opérationnel “access”. Il est associé au VLAN 1 (default). S’il devait être monté trunk, le VLAN natif serait le VLAN 1 et l’encapsulation “Trunk” serait négociée par DTP. Un port dynamique est un port qui restera un port “access” ou qui se montera en port “trunk” en fonction des messages Dynamic Trunk Protocol (DTP, protocole propriétaire Cisco) reçus par l’interface.
2. Création des VLANs et des interfaces SVI2.1. Création des VLANsLes VLANs doivent d’abord être créés sur chaque commutateur. Par exemple, pour le VLAN 10 et pour chaque VLAN, en mode de configuration globale :
Vérification
2.2. Suppression d’un VLAN
2.3. L’interface VLANx de gestion (SVI)L’interface VLANx de gestion (SVI) correspond aux interfaces physiques appartenant à ce VLAN (le numéro 10 dans l’exemple) pour le joindre en IPv4 à des fins de gestion (en Telnet, SSH, HTTP ou SNMP). Comme tout périphérique joignable sur le réseau, le commutateur doit posséder une adresse IPv4, un masque et une passerelle.
Si le VLAN qui correspond à l’interface créée a déjà été instancié (voir juste avant), l’interface se monte et le commutateur nous le dit avec un message de log :
Vérification :
Mais la colonne “Protocol” reste “down” ce qui signifie un problème de couche 2 (L2). 3. Configuration et vérification des port “Access”3.1. Configuration des ports “Access”Sous Cisco IOS un port Access est un port qui appartient à un seul VLAN. En option, on peut activer “spanning-tree portfast” qui fait passer le port directement à l’état STP “forwarding” vu qu’il connectera des périphériques de terminaison (qui ne créent pas de boucles).
Dès que des ports sont configurés dans le VLAN 10, l’interface Vlan 10 se monte en “Protocol up” :
Vérification :
3.2. Vérification des ports “Access”Vérification du VLAN associé à un port “access”
4. Configuration et vérification des ports “Trunk”4.1. Configuration d’un port “Trunk”Un port dit “Trunk” est un port qui transporte le trafic appartenant à plusieurs VLANs, tous par défaut sur du matériel Cisco.
4.2. Vérification d’un port “Trunk”
Dans cette sortie
fournie par la commande 4.3. Encapsulation sur le port “trunk”
4.4. Rétablir la négociation de l’encapsulation sur le “trunk”Pour rétablir la négociation de l’encapsulation (via DTP) :
4.5. Autoriser certains VLANs sur le port “trunk”Pour autoriser certains VLANs sur le port “trunk” :
Pour ne pas placer d’étiquette 802.1q sur un VLAN (VLAN natif) :
5. Routage Inter-VLAN5.1. Configuration du Trunk sur le routeur (Router-on-A-Stick)Pour que différents VLANs communiquent entre eux, le routage est nécessaire. Le routage peut être assuré par un routeur ou un commutateur de niveau 3. Ici la configuration sur un routeur (configuration Router-on-A-Stick).
5.2. Routage avec un commutateur L3Vérifier que votre commutateur est capable de remplir des tâches de routage. Activer le routage IPv4 : Créer les VLANs et les ports Trunks vers les commutateurs d’accès. Pour chaque VLAN à router, création d’une interface VLAN. Éventuellement, activation d’un protocole de routage 6. Dynamic Trunking Protocol (DTP)6.1. Dynamic Trunking Protocol (DTP)Dynamic Trunking Protocol (DTP) est un protocole propriétaire Cisco (activé par défaut sur les ports des commutateurs Cisco ) qui négocie aussi bien :
DTP gère la négociation “trunk” seulement si le port sur l’autre commutateur est configuré dans un mode trunk supporté par DTP. 6.2. DTP mode “dynamic auto”Par défaut, tous les ports du commutateur sont configurés en 6.3. DTP mode “on”Si le port du commutateur est configuré en 6.4. DTP mode “auto desirable”Si le commutateur est configuré en 6.5. DTP mode “nonegociate”Si le commutateur est en 6.6. Désactiver DTP sur un portConfigurer administrativement un port en 6.7. DTP tableau récapitulatif
6.8 Modes DTP et commandes associées
7. Virtual Trunking Protocol (VTP)7.1. Virtual Trunking ProtocolVTP (Virtual Trunking Protocol) est un protocole propriétaire Cisco servant à maintenir la base de données de VLANs sur plusieurs commutateurs de manière cohérente. Tout au plus VTP va-t-il ajouter, modifier ou supprimer des ID VLAN et leurs noms de manière cohérente à travers une infrastructure constituée de commutateurs. VTP ne permettra en aucun cas de configurer les ports de manière centralisée ! 7.2. Domaine et rôlesDeux éléments sont nécessaires au bon fonctionnement de VTP :
Il ne peut y avoir qu’un seul commutateur “server” dans un domaine VTP. 7.3. Rôles VTPRôles VTPChaque opération à partir du “server” VTP sera répercutée sur les “clients” VTP. Le mode “transparent” laissera le commutateur indifférent à toutes ces opérations. Mais à quoi sert-il de ce cas ? Il assure la connectivité VTP du “server” vers les “clients”. 7.4. Messages VTP et numéros de révisionLes messages VTP sont appelés “VTP Advertisements”. Ceux-ci sont identifiés par un numéro de révision de configuration. Le numéro de révision le plus élevé sera celui qui modifiera la base de données VLAN. Ce mécanisme maintient les informations VTP à jour dans un domaine. 7.5. Configuration de VTPConfigurer le rôle VTP du commutateur :
Définir le domaine VTP :
Pour configurer un mot de passe (identique sur tous les commutateurs du domaine) :
Avant d’intégrer un nouveau commutateur dans un domaine, on prendra garde d’effacer sa base de données VLAN ( 7.6. Vérification de VTP(paramètres par défaut)
7.7. Mode transparentConfiguration en mode “transparent” :
Vérification : 7.8. Désactiver VTP sur un commutateur CiscoOn désactive globalement VTP avec la
commande 8. Bonnes pratiques
Comment voir les VLAN sur un switch ?On entre en mode de configuration: Switch>en Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. On crée et on configure les VLAN2, 3 et 4 avec respectivement les adresses 192.168.2.254, 192.168.3.254 et 192.168.4.254 et un masque 255.255.255.0.
Comment connaître le VLAN ?Si tu l'obtiens en interrogeant le switch (snmp ou ssh/telnet), il faut récupérer en plus l'affectation des ports du switch dans les vlan et ensuite, tu pourras dire ce vlan contient cette liste d'adresse MAC (même si le VLAN est sur plusieurs switches).
Quelle commande permet d'afficher uniquement le nom l'État et les ports associés du VLAN sur un commutateur ?« Switch Port Mapper est un outil extrêmement utile qui scanne vos commutateurs et affiche l'état des ports, les adresses MAC, les adresses IP, le nom DNS, et des informations sur les VLAN.
Quel est le numéro de VLAN par défaut pour les switchs Cisco ?VLAN par défaut : Le vlan par défaut est le vlan 1. Lors du premier démarrage du switch, tous les ports sont dans ce vlan.
|