Skip navigation

CISCO : segmenter un réseau grâce au VLAN

Segmenter un réseau via les VLAN

Les VLAN permettent de segmenter logiquement un réseau physique.

Définir l’id – et le nom – du VLAN

La commande vlan permet de définir l’id du VLAN, c’est « dans » cette id de VLAN que les interfaces seront. La commande name permet de nommer les VLAN.

Switch(config)# vlan 20
Switch(config-vlan)# name nom-vlan
Switch(config-vlan)# end

: il y a des id de VLAN réservée. Le VLAN 1 est le VLAN par défaut ainsi que le VLAN natif. Les VLAN compris entre 1002 et 1005 sont également réservées. Ainsi, les VLAN paramétrables sont comprisent entre 2 et 1001 ainsi qu’entre 1006 et 4094, ces derniers sont les VLAN étendus.

Supprimer un VLAN

Pour supprimer un VLAN, on utilise la commande no vlan id-vlan.

Switch(config)# no vlan 20

Vérification d’attribution de VLAN

Une fois le VLAN définit, pour vérifier qu’il est présent, on utilise la commande show vlan.

Switch# show vlan

sortie

vlan Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
20   student                          active

Attribution de la VLAN à l’interface

Une fois le ou les VLAN définit, il faut mettre les interfaces concernées dans ces VLAN. C’est la commande swicthport avec l’option access suivi de l’id du VLAN qui le permet. Mais en premier lieu, il faut sélectionner l’interface – ou la plage d’interfaces via la commande range – qui sera dans le VLAN.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

La commande switchport mode access permet de s’assurer que les interfaces sont en mode access et non en mode trunk. Le mode trunk permet aux switch de faire passer les informations de VLAN – autorisé – par l’interface sous ce mode.

Attribution d’une VLAN à une plage d’interfaces

Cependant, il est fréquent de vouloir attribuer plus d’une interface à un même VLAN. Pour ce faire, il est possible de sélectionner une plage d’interface via l’option range de la commande interface.

Switch(config)# interface range gigabitEthernet 0/1-16
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

Ici, ce sera les interfaces gigabitEthernet 1 à 16 qui seront affecté par ce changement.

Une fois cela fait, la commande show vlan devrait sortir quelque chose comme cela.

sortie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/8, Fa0/9, Fa0/10, Fa0/11
                                                Fa0/12, Fa0/13, Fa0/14, Fa0/15
                                                Fa0/16, Fa0/17, Fa0/18, Fa0/19
                                                Fa0/20, Fa0/21, Fa0/22, Fa0/23
                                                Fa0/24, Gig0/1, Gig0/2
20   student                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7

Trunking : faire communiquer les VLAN entre les switch

Par défaut toutes les interfaces d’un switch sont généralement en mode access. Pour que les informations de VLAN d’un switch communique ses propres informations de VLAN, il faut configurer l’interface de « sortie » en mode trunk.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk

Ce qui aura pour effet de redémarrer l’interface.

sortie

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

Trunk de VLAN

Il est possible de limitée manuellement les VLAN utilisant le trunk.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30

Désactiver DTP

Pour rappel, DTP est un protocole de Cisco permettant à l’interface d’un switch de négocier son mode (access ou trunk) avec son interface voisine. Pour des raisons de sécurité et pour éviter les conflits plus tard, il est conseiller de le désactiver.

: seules les interfaces en mode trunk peuvent utiliser le protocole DTP. Par conséquent la désactivation peut se faire uniquement sur ces interfaces.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate

Changer le VLAN natif

Switch(config)# interface range gigabitEthernet 0/1-2
Switch(config-if)# switchport trunk native vlan 99

by | January 29, 2015 | No Comments | CISCO | Tags : switch vlan