VLAN
VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel). Permet de segmenter un réseau local, en plusieurs sous-réseaux locaux virtuels, indépendamment (sans tenir compte) de l’architecture physique d'une installation.
Il y a plusieurs niveaux de VLAN (selon modèle OSI).
Sur cette page, je tenterai de vous donner un maximum d’information sur le VLAN Niveau 1 car le cours que j’ai eu, se limite à ça pour le Niveau 2 et Niveau 3 je vous apporterai peut-être des informations plus tard. Pour mettre en place un VLAN on a besoin d’un switch manageable L2 ou L 3, en l’absence d’un switch réel, on peut utiliser le logiciel de simulation de réseau CISCO Packet Tracer, pour faire des exercices.
Avantages
Le Switch L2 travaille au niveau 2 d’OSI donc pour la commutation. Il analyse les requêtes émises par des stations de travail connectées sur ses ports pour remplir sa table de commutation et il fait correspondre une adresse MAC à un port. Maintenant en sachant ça, si on affecte un port à une VLAN (VLAN Niveau 1) le switch fait la correspondance entre le VLAN ⇔ Port ⇔ @MAC. Il faut cependant préciser que tous les ports d’un switch par défaut sont tagué sur le VLAN 1.
Vous allez me dire, oui mais comment faire communiquer ces réseaux entre eux et accessoirement connecter à internet, est ce qu'on va connecter trois câbles à un routeur ?
Non absolument pas, comme je l’expliquai plus haut les switch L2 communiquent aux nivaux 2 de OSI, donc avec des trames
Ethernet. C’est le moment de vous parler de la Norme 802.1Q (dot1Q) développé par IEEE. La Norme 802.1Q est
une méthode d’encapsulation des trames, qui consiste à insérer le numéro du VLAN.
Pour cela elle augmente la taille de la trame Ethernet de 4 octets et recalcule le CRC de la trame comme le dessin ci-dessous.
Un peu de l’explication s’impose :
Il à une valeur 0x8100 afin d'identifier la trame en tant que trame IEEE 802.1Q.
Qui contient 3 sous champs.
Un champ de 3 bit qui se réfère à la priorité IEEE 802.1p. Elle indique le niveau de priorité de la trame. Les valeurs vont de 0 à 7. Ces valeurs peuvent être utilisées pour hiérarchiser les différentes classes de trafic (voix, vidéo, données, etc.)
Un champ de 1 bit peuvent être utilisés séparément ou en conjonction avec le PCP pour indiquer les cadres d’admissibilité à abandonné en cas de congestion.
Un champ de 12 bit spécifiant le réseau local virtuel auquel appartient la trame. Les valeurs hexadécimales de 0x000 et 0xFFF sont réservés. Toutes les autres valeurs peuvent être utilisées comme l'identifiants VLAN, ce qui permet jusqu'à 4094 VLAN.
Désormais il est temps de vous expliquer le TRUNK (Agrégation de liens en français)
TRUNK est un lien qui permet de faire transiter plusieurs VLAN sur un seul lien physique en utilisent la méthode
d'encapsulation 802.1Q qu'on va voir en détail plus loin.
Si nous avions fait une architecture avec plusieurs sous-réseaux traditionnels, pour chaque réseau nous avions besoin
d'un switch par sous-réseau, pour pallier au problème de délimitation du domaine de broadcast et pour limiter le trafic
lie les trames en broadcaste (ARP, DHCP etc.) tandis que côte routeur nous avions besoin de 4 interfaces Ethernet physique.
Tandis qu'avec architecture VLAN à l’échelle de cette organisation on a fait l’économie de 3 switches,
3 interfaces Ethernet sur le routeur, du câblage, la consommation d’énergie et de temps pour l’administration du réseau.
Et maintenant on peut commencer à pratiquer virtuellement avec Packet Tracer. Même si on ne dispose pas de matériel
croyez-moi les paramètres et les commandes sont pratiquement les mêmes que sur un vrai switch ou routeur CISCO.
Cliquez glissez déposez un switch 2950-24, un routeur 2621XM, 4 serveurs et 13 pc comme sur l’image.
Nous allons configurer d’abord les éléments actifs du réseau.
Création des VLANs
Switch> enable Switch# configure terminal Switch(config)#hostname SW1 SW1(config)#vlan 10 SW1(config-vlan)#name serveur SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name administrative SW1(config-vlan)#exit SW1(config)#vlan 30 SW1(config-vlan)#name commerciaux SW1(config-vlan)#exit SW1(config)#vlan 40 SW1(config-vlan)#name atelier SW1(config-vlan)#exit
Commande pour affichage des VLANs crées
SW1#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 10 serveur active 20 administrative active 30 commerciaux active 40 atelier active […..]
Maintenant on va taguer les ports.
On peut taguer pote par porte ou on peut taguer une suite des ports
Ex : La commande port par port
SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 10 SW1(config-if)#exit
Ex : La commande une suite des ports
SW1(config)#interface range fastEthernet0/2 - fastEthernet0/4 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 10 SW1(config-if-range)#exit SW1(config)#
Il faut répéter la commande pour tous les ports qu’on a besoin de taguer.
SW1(config)#interface range fastEthernet0/5 - fastEthernet0/10 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 20 SW1(config-if-range)#exit SW1(config)#interface range fastEthernet0/11 - fastEthernet0/15 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 30 SW1(config-if-range)#exit SW1(config)#interface range fastEthernet0/16 - fastEthernet0/20 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 40 SW1(config-if-range)#exit
Commande pour l'affichage des VLANs crées et taguées
SW1#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/21, Fa0/22, Fa0/23, Fa0/24, Gig1/1, Gig1/2 10 serveur active Fa0/1, Fa0/2, Fa0/3, Fa0/4 20 administrative active Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/10 30 commerciaux active Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15 40 atelier active Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20 [….]
On va créer le TRUNK sur l’interface gigabitEthernet
SW1(config)#interface gigabitEthernet1/1 SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk allowed vlan 1,10,20,30,40
Pour ajouter un VLAN supplémentaire sur le TRUNK
SW1(config)#interface gigabitEthernet1/1 SW1(config-if)#switchport trunk allowed vlan add 50
Pour supprimer un VLAN
SW1(config)#interface gigabitEthernet1/1 SW1(config-if)#switchport trunk allowed vlan remove 50
Pour enregistrer la configuration
SW1#copy running-config startup-config
Nous commençons le paramétrage du routeur
Router>enable Router#configure terminal Router(config)#hostname R1 R1(config)#
Création d'une interface virtuelle pour chaque VLAN sur l’interface fastEthernet0/0
R1(config)#interface fastEthernet0/0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet0/0.10 R1(config-subif)#encapsulation dot1Q 10 R1(config-subif)#ip address 192.168.0.254 255.255.255.0 R1(config-subif)#exit R1(config)#interface fastEthernet0/0.20 R1(config-subif)#encapsulation dot1Q 20 R1(config-subif)#ip address 192.168.1.254 255.255.255.0 R1(config-subif)#exit R1(config)#interface fastEthernet0/0.30 R1(config-subif)#encapsulation dot1Q 30 R1(config-subif)#ip address 192.168.2.254 255.255.255.0 R1(config-subif)#exit R1(config)#interface fastEthernet0/0.40 R1(config-subif)#encapsulation dot1Q 40 R1(config-subif)#ip address 192.168.3.254 255.255.255.0 R1(config-subif)#exit R1(config)#
Paramétrage d’interface fastEthernet0/1 sur le routeur pour pouvoir
établir une connexion à un serveur WEB pour simuler internet.
R1(config)#interface fastEthernet0/1 R1(config-if)#ip address 10.0.0.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#exit R1#
Pour enregistrer la configuration
R1#copy running-config startup-config R1#
Configurez l’adresse IP, masque de sous réseau pour chaque PC et serveur suivant son VLAN, pour la passerelle par défaut utilisez l’adresse de l’interface virtuel, qu’on a créé pour chaque VLAN.
Si tous les Ping ont bien fonctionnés, rendez-vous sur la page de mise en place d’ACL pour sécuriser le réseau.
Sinon vous pouvez télécharger les fichiers de configuration du switch ici
et du routeur là
où le fichier VLAN.pkt ici
télécharger packet-tracer5.3.3