Suite à l’article sur la théorie des VLAN, attardons nous aujourd’hui sur leur configuration.
Le but sera de faire le tour des différentes configurations possibles.
Avant de s’attaquer aux configurations les plus poussées, il est recommandé de maitriser la théorie.
1) La topologie
Voici la topologie que nous allons utiliser pour ce TP :
Nous y retrouvons 3 switchs. S3 et S4 symbolisent le niveau Access. Nous y connecterons des PC dans des VLAN.
S1 symbolise le niveau Distribution. Il servira à interconnecter S3 e S4.
2) Création des VLAN
La première chose à faire dans une configuration de ce type, est de créer les VLAN.
Comme nous l’avons dit, un VLAN va correspondre à un sous réseau.
De préférence, nous choisirons un numéro de VLAN en rapport avec l’adresse du sous réseau.
Il ne s’agit pas d’une obligation, simplement que cela rend le réseau plus simple.
Voici un exemple :
Le réseau 192.168.10.0 aura 10 pour numéro de VLAN.
Le réseau 192.168.20.0 aura 20 pour numéro de VLAN.
Maintenant que nous avons les numéros de VLAN, il convient de les créer sur nos switchs.
La configuration est très simple :
Switch-3(config)#vlan 10 Switch-3(config-vlan)#name Finance Switch-3(config)#vlan 20 Switch-3(config-vlan)#name Marketing
Le nom qui est donné aux VLAN, doit être le nom du sous réseau.
La création de VLAN n’est pas plus compliquée que cela.
Pour voir la liste de VLAN, et les ports qui y sont associés, entrer la commande suivante :
Vous pouvez voir les deux VLAN que nous venons de créer.
Le VLAN 99 est un VLAN que j’utilise pour accéder à distance aux switchs. Nous n’avons pas à nous en occuper.
Il reste 5 autres VLAN qui sont apparus tout seul :
- 1 default
- 1002 fddi-default
- 1003 token-ring- default
- 1004 fddinet- default
- 1005 trnet- default
Le VLAN 1 est le VLAN par défaut sur les switchs. Tous les ports sont dans ce VLAN par défaut.
Quant aux autres VLAN (1002 à 1005), ce sont les VLAN par défaut pour les protocoles Token Ring et FDDI.
Ces VLAN ne peuvent pas être supprimés.
Si je vous demande « où sont stockés les VLAN » vous me répondrez certainement « dans la running / startup config ».
En fait non, les VLAN sont stockés dans un fichier nommé vlan.dat :
Ce qui veut dire que les VLAN sont conservés lorsque l’on supprime la configuration du switch.
Pour supprimer la liste des VLAN, utiliser la commander suivante :
Switch-3#delete flash:vlan.dat
Après avoir redémarré le switch, les VLAN aurons disparu.
Avant de passer à la suite, ne pas oublier de configurer les VLAN sur S4 et S1
Switch-4(config)#vlan 10 Switch-4(config-vlan)#name Finance Switch-4(config)#vlan 20 Switch-4(config-vlan)#name Marketing
Switch-1(config)#vlan 10 Switch-1(config-vlan)#name Finance Switch-1(config)#vlan 20 Switch-1(config-vlan)#name Marketing
3) Configuration des ports Access
Deuxième étape, assigner les ports à des VLAN.
Nous avons choisi les ports Fa 0/1 et Fa 0/2 comme ports sur lesquels seront connectés les PC.
Il convient alors d’assigner ces ports aux bons VLAN.
Encore une fois, la configuration est très simple :
Premièrement, nous passons le port en mode Access :
Switch-3(config)#interface fastEthernet 0/1 Switch-3(config-if)#switchport mode access
Ensuite, nous attribuons le port au bon VLAN :
Switch-3(config-if)#switchport access vlan 10
De même pour le VLAN 20 :
Switch-3(config)#interface fastEthernet 0/2 Switch-3(config-if)#switchport mode access Switch-3(config-if)#switchport access vlan 20
Maintenant, vous pouvez faire de même sur S4.
Valider la configuration avant de passer à la suite :
4) Configuration des liens Trunk
Plus intéressant, voyons la configuration des liens Trunk.
Première chose à faire, configurer le port en mode Trunk :
Switch-3(config)#interface fastEthernet 0/10 Switch-3(config-if)#switchport mode trunk
Puis choisir le VLAN natif :
Switch-3(config-if)#switchport trunk native vlan 666
Pour plus de sécurité, il est possible de choisir quels VLAN seront autorisés sur le Trunk :
Switch-3(config-if)#switchport trunk allowed vlan none Switch-3(config-if)#switchport trunk allowed vlan add 10 Switch-3(config-if)#switchport trunk allowed vlan add 20
Pour plus de sécurité, nous allons désactiver la négociation (et donc l’envoie de DTP).
Pour plus de détails sur ce point, voir l’article sur la théorie des VLAN, partie « Mode de fonctionnement d’un port ».
Switch-3(config-if)#switchport nonegotiate
Quant au protocole d’encapsulation, nous pouvons choisir entre ISL ou 802.1Q.
Sur les switch 2950 (Switch 1 et Switch 2) seul le 802.1Q est disponible.
Voici la commande pour vérifier le mode de fonctionnement :
Dans le cas où votre switch propose les deux protocoles, voici comment choisir :
Appliquons cette même configuration sur S1 :
Switch-1(config)#interface fastEthernet 0/9
Si vous obtenez le message suivant, changez le mode d’encapsulation :
Switch-1(config-if)#switchport trunk encapsulation dot1q
La configuration sera la même que sur S3 :
Switch-1(config-if)#switchport mode trunk Switch-1(config-if)#switchport trunk native vlan 666 Switch-1(config-if)#switchport trunk allowed vlan none Switch-1(config-if)#switchport trunk allowed vlan add 10 Switch-1(config-if)#switchport trunk allowed vlan add 20
Si le VLAN natif n’est pas le même des deux côtés, vous obtiendrez le message suivant :
Finissons la configuration avec le lien S1 – S4 :
Pour cela, reproduisez simplement la configuration précédente sur le port fa 0/10 de S4 et S1.
5) Test
Passons maintenant aux tests.
Pour cela, il nous faut une machine reliée au switch 3, et une machine sur le switch 4
Voici les configurations :
PC 1 :
- IP : 192.168.10.1
- Port : Switch 3 – Fa 0/1
PC 2 :
- IP : 192.168.10.2
- Port : Switch 4 – Fa 0/1
Pour tester, il suffit de lancer un Ping depuis PC 1 vers PC2 :
Dans l’article sur la théorie des VLAN, nous avions parlé de l’importance du VLAN natif.
Nous avions vu qu’en cas de mauvaise configuration, le port était partiellement bloqué.
Seul les VLAN taguées vont alors pouvoir communiquer sur le Trunk.
Voyons si cela est vrai :
Switch-3(config)#interface fastEthernet 0/10 Switch-3(config-if)#switchport trunk native vlan 100
En effet, les PC peuvent toujours communiquer, car leurs frames sont taguées avec le VLAN 10 quand elles passent dans le Trunk.
Nous avions aussi dit que pour communiquer entre deux VLAN, il faut un routeur.
Pour tester, le PC1 a été connecté au switch 3, sur le port Fa 0/2
Son IP est 192.168.20.1
En effet, sans routeur, pas moyen de communiquer entre 2 VLAN.
6) Routage entre des VLAN
Ce sujet sera traité plus en détail dans un prochain article qui y sera consacré.
Néanmoins, en voici un aperçu.
Pour router du trafic entre des VLAN, il faut soit un routeur, soit un switch de niveau 3.
Voici la configuration d’un routeur
Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown
Router(config)#interface fastEthernet 0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.254 255.255.255.0
Router(config)#interface fastEthernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.254 255.255.255.0
Il est aussi possible de configurer le VLAN Natif :
Router(config)#interface fastEthernet 0/0.666 Router(config-subif)#encapsulation dot1Q 666 native
Du côté du switch, il suffit de monter un Trunk classique.
Switch-1(config)#interface fastEthernet 0/5 Switch-1(config-if)#switchport mode trunk Switch-1(config-if)#switchport trunk native vlan 666 Switch-1(config-if)#switchport trunk allowed vlan none Switch-1(config-if)#switchport trunk allowed vlan add 10 Switch-1(config-if)#switchport trunk allowed vlan add 20
Voici le résultat :
7) Conclusion
Au final, la configuration de VLAN se révèle relativement simple.
Le routage Inter-VLAN sera traité en détails dans un prochain article. Notamment le routage à l’aide d’un switch de niveau 3.
Il reste une notion qui attrait aux VLAN. Il s’agit du protocole VTP.
Il serra détaillé dans l’article suivant.
Bonjour, j’aurai une question sur le VLAN natif.
Je créer mes trunks, et à l’aide de la commande « switchport trunk native vlan 99 » je défini le vlan 99 comme natif.
Mais ai-je besoin de créer (avant ou après) ce vlan ? pour qu’il apparaisse après avec la commande « show vlan brief »
en vous remerciant
Bonjour,
Oui, il faut que le Vlan soit créé pour que la configuration soit juste. Dans certains cas, si le Vlan n’existe pas, le routeur ou le switch l’indique et l’ajoute. Mais de manière générale, commencez par créé le Vlan, donnez lui un nom, puis passez à la configuration des ports.
Bonjour.
Vous avez commencé votre document avec cette phrase « Suite à l’article sur la théorie des VLAN, attardons nous aujourd’hui sur leur configuration. » Pouvez-vous donner le lien vers cet article.
En vous remerciant.
Bonjour, voici le lien : https://www.networklab.fr/vlan-theorie/
bjr à tous!
Aprês avoir creer les differents vlan dans chaque switch et fait la laison trunk et ainsi que inter-vlan,alors dîte moi comment est gerer le vlan de management dans les switchs pour pouvois accédé a distance cas il lui faut un ip default gateway!
Bonjour,
Il faudra configurer une interface Vlan de niveau 3, configurer une default gateway et configurer les paramètres de connexions (SSH, AAA, etc…)
Vous trouverez de l’aide dans cet article : https://www.networklab.fr/guide-de-configuration-cisco-switch/
bonjour!
J’arrive après la guerre mais javais une question par rapport au Switch L3. si je connecte une L2 avec une L3 tout en mettant la L2 en mode trunk, dois-je mettre la L3 aussi en mode trunk? j’ai l’impression que non, mais en même temps un lien de layer 2 fait que la L3 agit comme L2. le but finale de ma configuration et de faire du inter-vlan routing avec la L3 et des SVI, mais je savais si il fallait d’abord mettre les connections en trunk ou pas
merci d’avance pour ta réponse!
Bonjour,
Tout dépend si sur le switch L3 vous configurez des sous interfaces avec des adresses IP (comme dans l’article), ou si vous faites des SVI.
Dans le premier cas il suffit de suivre la configuration donnée dans l’article.
Dans le cas des SVI (donc des interfaces vlan) il faut mettre le port d’interconnexion en trunk sur le switch L3.
les deux ports qui appartient(L2,L3) qui sont lié doit être configuré en trunk et pas la suite dans le L3 tu créer des SVI pour permettre le routage des diffèrent vlan que tu as fais véhiculé dans ta liaison trunk