Configuration des vlans par port sur un switch Cisco.
Les commandes suivantes ont été testées sur des switchs série 2950, 2960, 3750 et 6500.
Il existe plusieurs façon de configurer les vlans. Cette page traitera uniquement du vlan par port.
La norme utilisée ici porte l'identifiant 802.1q.
Les avantages principaux de la segmentation par vlan sont la réduction des domaines de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la communication entre les réseaux).
Principe de fonctionnement du vlan par port
Un tag de 4 octet est ajouté à la trame ethernet. Ce tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement aux ports appartenant au vlan identifié dans la trame.
Type de configuration des ports des switchs Cisco
Le port est configuré en mode access ou en mode trunk.
Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.
Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un port
Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du vlan voix (voice vlan).
VLAN non affecté à un port et présent sur le switch
Des vlans peuvent être créés sur un switch et n'être affectés à aucun port. C'est le cas du vlan de management (une adresse IP sera configurée sur ce vlan).
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.
Communication entre les vlans
La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen d'ACLs (access control list).
VLAN natif: Le vlan appelé "natif" est le vlan par défaut du switch (en général le vlan 1). Sans configuration, tous les ports du switch sont placés dans ce VLAN. Ce vlan n'est pas marqué même si il passe sur une liaison trunk.
Configuration type d'un switch:
Les commandes suivantes ont été testées sur des switchs série 2950, 2960, 3750 et 6500.
Rappel sur la notion de VLAN (Virtual Local Area Network)
L'objectif d'une configuration de vlan est de permettre la configuration de réseaux différents sur un même switch.Il existe plusieurs façon de configurer les vlans. Cette page traitera uniquement du vlan par port.
La norme utilisée ici porte l'identifiant 802.1q.
Les avantages principaux de la segmentation par vlan sont la réduction des domaines de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la communication entre les réseaux).
Principe de fonctionnement du vlan par port
Un tag de 4 octet est ajouté à la trame ethernet. Ce tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement aux ports appartenant au vlan identifié dans la trame.
Type de configuration des ports des switchs Cisco
Le port est configuré en mode access ou en mode trunk.
Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.
Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un port
Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du vlan voix (voice vlan).
VLAN non affecté à un port et présent sur le switch
Des vlans peuvent être créés sur un switch et n'être affectés à aucun port. C'est le cas du vlan de management (une adresse IP sera configurée sur ce vlan).
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.
Communication entre les vlans
La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen d'ACLs (access control list).
VLAN natif: Le vlan appelé "natif" est le vlan par défaut du switch (en général le vlan 1). Sans configuration, tous les ports du switch sont placés dans ce VLAN. Ce vlan n'est pas marqué même si il passe sur une liaison trunk.
Configuration type d'un switch:
- La liaison entre les switchs est en mode trunk.
- Les autres ports des switchs sont en mode access.
- Le vlan dédié aux téléphones sera également configuré sur tous les ports en plus de leur vlan data respectif. Un vlan dédié à l'administration et à la supervision du switch sera créé. L'adresse IP de supervision du switch sera associée à ce vlan.
Ajout de vlan
Création du vlan 2 puis des vlans 3 à 5
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
suppression d'un vlan
2960-RG(config)#no vlan 2
Affichage des vlans ainsi que des affectations de port
2960-RG#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Gi0/1
2 administration active
3 VLAN0003 active
4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
5 VLAN0005 active
10 VLAN0010 active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
Affectation d'un port à un vlan
Dans l'exemple ci-dessous le port est configuré en mode access puis il est placé dans le vlan 3.Pour un switch série 2950, 2960, 3750
2960-RG(config)#interface fastEthernet 0/1
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
2960-RG(config)#interface range fastEthernet 0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
6500(config)#interface gi 0/2
6500(config-if-range)#switchport
6500(config-if-range)#switchport mode access
6500(config-if-range)#switchport access vlan 4
6500(config-if-range)#end
6500#
Configuration d'un port en mode trunk (par exemple une connexion entre deux switch)
Pour un switch série 2950 et 37503750(config)#interface gigabitEthernet 1/0/1
3750(config)#switchport trunk encapsulation dot1q
3750(config-if)#switchport mode trunk
3750(config-if)#
2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport mode trunk
2960-RG(config-if)#
6500(config)#interface gigabitEthernet 1/0/1
6500(config-if)#switchport
6500(config-if)#switchport trunk encapsulation dot1q
6500(config-if)#switchport mode trunk
6500(config-if)#
Filtrage des vlans sur un port uplink
Pour les swiths série 2950, 2960, 3750, 6500 (dans l'exemple, on autorise les vlans 2,3 et 10 a être transportés sur le lien).2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport trunk allowed vlan add 2,3,10
2960-RG(config-if)#
2960-RG(config-if)#switchport trunk allowed vlan remove 3
2960-RG(config-if)#
2960-RG(config-if)#no switchport trunk allowed vlan
2960-RG(config-if)#
Configuration d'un vlan dédié à la téléphonie
Le protocole cdp doit préalablement être activé.2960-RG(config)#vlan 10
2960-RG(config-vlan)#name voip
2960-RG(config-vlan)#ex
2960-RG(config)#int fastEthernet 0/1
2960-RG(config)#switchport voice vlan 10
Suppression de la configuration d'un port
Comme d'habitude, il suffit de mettre la commande no devant les commandes entrées précédemment.Par exemple:
2960-RG(config)#int fastEthernet 0/1
2960-RG(config-if)#no switchport access vlan
2960-RG(config-if)#no switchport mode acc
2960-RG(config-if)#end
Configuration du protocole VTP (Vlan Transport Protocol) en mode transparent
Le protocole VTP permet la configuration automatique de vlan entre des serveurs VTP et des clients sur un même domaine VTP.Pour utiliser uniquement la base locale de vlan sur nos commutateurs, on configure VTP en mode transparent.
Switch(config)#vtp domain mondomaine
Changing VTP domain name from NULL to mondomaine
Switch(config)#
Switch(config)#vtp mode transparent
Device mode already VTP Transparent for VLANS.
Switch(config)#vtp password passdomaine
Setting device VTP password to passdomaine
Switch(config)#vtp version 2
Switch(config)#^Z
Switch#
Switch#
Switch#show vtp status
VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : mondomaine
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 0012.dbab.4321
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Feature VLAN:
--------------
VTP Operating Mode : Transparent
Maximum VLANs supported locally : 1005
Number of existing VLANs : 19
Configuration Revision : 0
MD5 digest : 0x1D 0x52 0x66 0xAA 0xD8 0xAA 0x30 0xFF
0x6C 0xCA 0xB0 0x6F 0x5C 0xF3 0x9D 0xCC
Switch#
Commande nonegociate
Le protocole DTP (Dynamic Trunking Protocol) permet à deux commutateurs qui sont connectés ensemble de monter un lien trunk automatiquement sous certaines conditions (par exemple la connexion d'un port configuré par défaut en dynamic auto vers un port trunk). En général, il vaut mieux désactiver cette possibilité.On désactive donc cette option sur tous les ports access et trunk.
Switch(config)#interface range fastEthernet 1/0/1 - 10
Switch(config-if-range)#switchport nonegotiate
Switch#show interfaces fa1/0/2 switchport
Name: Fa1/0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 2 (VLAN0002)
No comments:
Post a Comment