Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Virtuals LAN

2,316 views

Published on

Présentation des VLANs
Fonctionnement, Trunking, Routage Inter-VLAN, VLAN Voice, Configuration de VLANs, Protocole VTP

Published in: Engineering
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... ,DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ,DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ,DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ,DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ,DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ,DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Virtuals LAN

  1. 1. Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT Virtuals LAN (VLANs)
  2. 2. VLAN Fonctionnement
  3. 3. Thomas Moegli ๏ Un domaine de diffusion (Broadcast domain) est une zone d’un réseau informatique dans laquelle n’importe quel ordinateur connecté à cette zone peut directement transmettre à tous les autres ordinateurs du même domaine, sans passer par un routeur ๏ Tous les périphériques d’un même domaine de diffusion reçoivent les trames de diffusion émis dans ce domaine ๏ Un équipement de couche 3 (Routeurs, Switchs L3, Firewall) définit la limite d’un domaine de diffusion Domaine de diffusion 3
  4. 4. Thomas Moegli ๏ VLAN : Séparation logique d’un domaine de diffusion en plusieurs domaines ๏ Un paquet broadcast n’est envoyé qu’aux hôtes situés dans le même VLAN Concept VLAN 4 VLAN 100 VLAN 200
  5. 5. Thomas Moegli ๏ Séparation logique (par département, par emplacement physique, par groupes de travail, … ๏ Segmentation en plusieurs réseaux LAN, réduit ainsi la charge globale ๏ Réduire la charge STP ๏ Augmente la sécurité en séparant certaines sections contenant des données sensibles des autres sections ๏ Séparation du trafic envoyé par un téléphone IP du trafic envoyé par un PC connecté à ce téléphone Avantages VLAN 5 VLAN 2 IT 10.0.2.0/24 VLAN 3 HR 10.0.3.0/24 VLAN 4 Sales 10.0.4.0/24 5ème étage 3ème étage 1er étage
  6. 6. Thomas Moegli Domaines de diffusion (Broadcast Domain) Fonctionnement sans VLAN 6 Broadcast S1 S2 PC1 172.17.40.21/24 PC2 172.17.40.22/24 PC3 172.17.40.23/24 PC4 172.17.40.24/24 PC5 172.17.40.25/24 PC6 172.17.40.26/24 Broadcast Broadcast Broadcast Broadcast Broadcast
  7. 7. Thomas Moegli S1 PC1 172.17.40.21/24 PC2 172.17.50.22/24 PC3 172.17.60.23/24 PC6 172.17.40.26/24 PC7 172.17.40.27/24 PC4 172.17.50.24/24 PC5 172.17.50.25/24 PC8 172.17.60.28/24 PC9 172.17.60.29/24 Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast S2 Domaines de diffusion (Broadcast Domain) Fonctionnement avec VLAN 7
  8. 8. Thomas Moegli Data VLAN ๏ VLAN configuré pour transporter les données ๏ Utilisé pour séparer le trafic réseau en groupes d’utilisateurs ou périphériques Native VLAN ๏ Sera présenté dans la section Trunking Types de VLAN 8
  9. 9. Thomas Moegli Management VLAN ๏ VLAN configuré pour accéder à la configuration du switch (Réseau de management) ๏ Recommandé de créer un VLAN de Mgmt accessible uniquement par l’administrateur et sur lequel tous les équipements réseaux seraient connectés ๏ Permet la gestion centralisée de tous les équipements réseaux ๏ Par défaut, il s’agit du VLAN 1 (déconseillé de garder VLAN1) Types de VLAN 9
  10. 10. Thomas Moegli Voice VLAN ๏ Réseau séparé pour le trafic VoIP ๏ VoIP requiert ๏ Bande passante minimale pour la qualité de la voix ๏ Transmission prioritaire sur les autres trafics de réseau ๏ Possibilité d’être routé même dans des réseaux congestionnés ๏ Délai de moins de 150 ms sur le réseau Types de VLAN 10 PC2 IT (VLAN 20) 172.17.20.25 F0/18 F0/3 F0/3 F0/5F0/1 S1 R1 S3 Port configuré pour supporter trafic VoIP - Le port envoie des trames CDP pour recevoir les informations IP pour le téléphone - Ces trames sont associées au VLAN 120 Switch configuré pour supporter la VoIP - Utilise VLAN 150 pour VoIP - Priorité au traffic Voice
  11. 11. Thomas Moegli Classic VLAN ๏ Identifiées par un VLAN ID de 1 à 1005 ๏ Identifiant 1 et 1002 à 1005 sont crées automatiquement et ne peuvent pas être supprimés ๏ La configuration est stockée dans un fichier vlan.dat, placé en mémoire Flash Extended VLAN ๏ Identifiants 1006 à 4094 ๏ ISL utilise un VLAN ID de 10 bits (1024 Vlans).
 802.1Q utilise un VLAN ID de 12 bits ( jusqu’à 4096 Vlans) ๏ Ces configurations ne sont pas écrites dans le fichier vlan.dat mais (par défaut) dans le fichier running-config ๏ Supportent moins de fonctionnalités que les VLAN classiques ๏ VTP (sauf VTPv3) ne prend pas en compte les VLAN Extended ๏ Lorsqu’un switch en mode VTP Transparant doit être converti en VTP Server ou VTP Client, les VLANs Extended doivent être manuellement supprimés Types de VLAN 11
  12. 12. Thomas Moegli ๏ La portée des VLANs est de 1 à 4094 ๏ VLANs 1 - 1001 : Normal VLAN ๏ VLANs 1002 - 1005 : Réservés pour Token Ring ๏ VLANs 1006 - 4094 : Extended VLAN Types de VLAN 12
  13. 13. VLAN Trunking
  14. 14. Thomas Moegli ๏ Fonctionnalité permettant l’inter-connexion de VLANs à travers plusieurs switchs VLAN Trunking 14 Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102
  15. 15. Thomas Moegli ๏ Lien Access ๏ Se connectent sur les terminaux (hôtes ou routeurs) ๏ Font partie d’un seul VLAN VLAN Trunking Types de liens 15 ๏ Lien de Trunk ๏ Transporte le trafic de plusieurs VLANs ๏ Lien entre switchs Lien Trunk Lien Access Lien Access Lien Access Lien Access Lien Access Lien Access Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102
  16. 16. Thomas Moegli ๏ Sur un lien de trunk, le trafic de plusieurs VLAN transite ๏ Pour différencier ces trafics, un tag est ajouté qui identifie le VLAN ๏ Le tag n’est ajouté qu’au début d’un lien de trunk et est retiré avant remise au destinataire ๏ Les tags sont présents uniquement sur des liens de trunking VLAN Trunking VLAN Tagging 16 Lien Trunk TAG Trame Trame Trame
  17. 17. Thomas Moegli ๏ Protocoles de trunking : ๏ ISL ๏ IEEE 802.1Q VLAN Trunking Protocoles 17 VLAN 100 VLAN 200 VLAN 100 VLAN 200 VLAN ID Ethernet Trame Trunk Ethernet Trame Ethernet Trame
  18. 18. Thomas Moegli ๏ Protocole propriétaire Cisco (crée avant le standard IEEE 802.1Q) ๏ Ne peut être utilisé qu’entre switchs Cisco ๏ Encapsulation complète de la trame Ethernet ๏ Protocole relativement ancien, n’est pratiquement plus utilisé actuellement ๏ Certains switchs récents Cisco ne supportent plus ISL VLAN Trunking Protocole ISL : Cisco Inter-Switch Link 18 En-tête ISL ๏ Plusieurs champs dont le champ VLAN pour placer l’ID du VLAN ๏ Addr. Source et Dest sont celles des switchs DA TYPE USER LEN AAAA03 HSA BPDU Trame encapsulée SA 40 4 4 48 16 24 24 VLAN 15 1 INDEX 16 RES 16 1 à 24,575 octets FCS 32 bits En-tête ISL 26 octets
  19. 19. Thomas Moegli CFI 1 Trame encapsulée 42 à 1500 FCS 4 Type / Longueur 2 Tag 802.1Q Adresse MAC source Adresse MAC destination SFDPréambule 4667 1 Priority 3 VLAN ID 12 TPID 2 octets [octets] [bits] ๏ Standard IEEE, protocole le plus répandu ๏ Fonctionne avec Cisco et d’autres marques
 
 ๏ N’encapsule pas la trame originale mais insère un en-tête supplémentaire ๏ Conserve les adresses sources et destination originales ๏ Nécessité de recalculer le champ FCS (se base sur la trame entière) VLAN Trunking Protocole 802.1Q 19
  20. 20. Thomas Moegli Champs du tag 802.1Q : ๏ TPID : Tag Protocol Identifier ๏ Similaire au code Ethernet qui indique le type de trame ๏ 0x8100 : Code représentant une trame 802.1Q ๏ Priority : utilisé pour la QoS ๏ CFI : Canonical and Format Identifier : n’est plus utile sur les réseaux actuels ๏ Permet d’indiquer s’il s’agit d’un réseau Ethernet ou un réseau Token Ring VLAN Trunking Protocole 802.1Q 20 CFI 1 Trame encapsulée 42 à 1500 FCS 4 Type / Longueur 2 Tag 802.1Q Adresse MAC source Adresse MAC destination SFDPréambule 4667 1 Priority 3 VLAN ID 12 TPID 2 octets [octets] [bits]
  21. 21. Thomas Moegli VLAN Trunking Protocole 802.1Q 21 Dest. Address Source Address Len. / Type Data FCS Dest. Address Source Address Len. / Type Data FCS 802.1Q Tag Type (16 bits, 0x8100) Priority (3 bits) Flag (1 bit) VLAN ID (12 bits)
  22. 22. Thomas Moegli ๏ En-tête VLAN ๏ ISL : Trame Ethernet encapsulée avec en-tête et en-queue ๏ 802.1Q : En-tête uniquement ๏ Nombre de VLAN ๏ ISL et 802.1Q : 212 soit 4096 VLAN ๏ VLAN-IDs : 1-1005 (Normal VLAN), 1005 et plus (Extended VLAN) ๏ Instance STP ๏ ISL et 802.1Q : Support d’une instance STP par VLAN ๏ VLAN Natif ๏ 802.1Q définit un VLAN natif pour chaque trunk ๏ ISL n’utilise pas ce concept VLAN Trunking Comparatif (ISL - 802.1Q) 22
  23. 23. Thomas Moegli VLAN Trunking Comparatif (ISL - 802.1Q) 23 Fonction ISL 802.1Q Défini par Cisco IEEE En-tête En-tête + En-queue Encapsulation En-tête uniquement Pas d’encapsulation Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui Plusieurs instances Spanning Tree Oui Oui Utilisation d’un LAN natif Non Oui Fonction ISL 802.1Q Défini par Cisco IEEE En-tête En-tête + En-queue Encapsulation En-tête uniquement Pas d’encapsulation Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui Plusieurs instances Spanning Tree Oui Oui Utilisation d’un LAN natif Non Oui Taille du tag 26 + 4 octets 4 octets Technologies Layer 2 Ethernet, Token Ring, FDDI Ethernet
  24. 24. Thomas Moegli ๏ Un VLAN natif est un VLAN sur lequel les switchs n’ajoutent pas de tagging. Autrement dit, les trames circulent sans être modifiées VLAN Trunking Native VLAN 24 SW1 SW2 Trunk Native VLAN 1 Trame Dst MAC Src MAC VLAN Tag Trame Dst MAC Src MAC Trame Dst MAC Src MAC Trame Dst MAC Src MAC Trame Dst MAC Src MAC Trame Dst MAC Src MAC PC 1 VLAN 50 PC 2 VLAN 1 (natif) PC 3 VLAN 50 PC 4 VLAN 1 (natif)
  25. 25. Thomas Moegli ๏ Chaque switch dispose d’un VLAN natif ๏ Par défaut, il s’agit du VLAN 1 ๏ Spécifié par IEEE 802.1Q pour garder la compatibilité avec des réseaux sans gestion de VLAN ๏ Les paquets du VLAN natif transitent sur les liens de trunk sans tag ๏ Nécessaire que tous les liens de trunk disposent du même numéro VLAN natif ๏ Message d’erreur lorsque des VLANs natifs différents sont configurés sur deux switchs Voisins : ๏ CDP est utilisé pour identifier les incohérences de configuration du VLAN natif sur les switchs voisins.
 Si CDP est désactivé, l’erreur n’est pas détectée ๏ Best Practice : Configurer un VLAN particulier comme VLAN natif ๏ Eviter de laisser le VLAN 1 être VLAN natif ๏ Configuration nécessaire sur tous les switchs ๏ Si possible, éviter d’utiliser le VLAN natif VLAN Trunking Native VLAN 25 %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/1 (2), with D-R3550-9B GigabitEthernet0/1 (1)
  26. 26. Thomas Moegli Ne pas confondre VLAN natif et VLAN par défaut ๏ Le VLAN natif est un VLAN particulier sur lequel aucun tag n’est placé dans les trames qui circulent sur le lien de trunk ๏ Pour les switchs Cisco, le VLAN natif est 1 ๏ Le VLAN par défaut est un VLAN configuré sur tout switch Cisco ๏ Pour les switchs Cisco, le VLAN par défaut est également 1 (ne peut être modifié) VLAN Trunking Native VLAN et VLAN par défaut 26
  27. 27. VLAN Routage Inter-VLAN
  28. 28. Thomas Moegli ๏ Les hôtes d’un même VLAN sont sur le même sous-réseau ๏ Communication directe entre hôtes ๏ Les hôtes de VLANs différents sont sur des sous- réseaux différents ๏ Nécessite l’utilisation d’un routeur ou équipement de couche 3 pour la communication Inter-VLAN Routage entre VLAN 28 VLAN 10 Management VLAN 11 Wireless VLAN 12 Clients VLAN 10 Management VLAN 11 Wireless VLAN 12 Clients SW1 SW2
  29. 29. Thomas Moegli Séparation physique sur routeur Utilisation de Switchs Layer 3 et SVI (Switch Virtual Interface) Routage entre VLAN 29 VLAN 10 Management VLAN 11 Wireless VLAN 10 Management VLAN 11 Wireless Utilisation de sous-interfaces (Sub-Interfaces) : Router to a Stick VLAN 10 Management VLAN 11 Wireless SVI 10 : 10.10.1.254 SVI 11 : 10.10.2.254
  30. 30. Thomas Moegli ๏ Nécessite un routeur muni d’autant d’interfaces physiques que de VLANs à connecter ๏ Chaque VLAN dispose d’une connexion physique sur le routeur ๏ Attention aux boucles de routage ! Un routeur ne doit disposer que d’une interface sur un VLAN ๏ Le lien entre le routeur et le VLAN est un lien d’accès Routage entre VLAN Routage via interfaces physiquement séparés 30 SW1 Fa0/0 Fa0/1 Fa0/40 Fa0/20Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 .1.254 R1 : 10.10.10.1 R1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40 Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20 R1 : 10.20.20.254
  31. 31. Thomas Moegli SW1 Fa0/0Fa0/20 Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 R1 : 10.10.10.1 R1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39 Interfaces sur VLAN 11 : Fa0/18, Fa0/19 R1 : 10.20.20.254Lien de Trunk VLANs autorisés : 10,11 ๏ Au sein d’une interface physique, définition de plusieurs interfaces logiques ๏ Chaque interface logique est associée à un VLAN particulier ๏ L’interface physique ne reçoit pas d’adresse IP, ce sont les adresses logiques qui sont configurées avec une adresse ๏ Pas de limite sur le nombre d’interfaces logiques par interface physique ๏ Le lien entre le routeur et le switch est un lien de trunk sur lequel les VLANs devant être interconnectées sont autorisées ๏ Le numéro de la sous-interface ne doit pas forcément correspondre au numéro du VLAN Routage entre VLAN Routage via sous-interfaces 31 R1 VLAN 10 Serveurs VLAN 20 Management VLAN 30 Clients VLAN 40 Wireless Fa0/0.10 Fa0/0.20 Fa0/0.21 Fa0/0.40 Fa0/0
  32. 32. Thomas Moegli ๏ Un switch Layer 3 propose également des fonctions de routage inter-VLAN ๏ Définition d’interfaces virtuelles (SVI : Switched Virtual Interface) au sein du switch ๏ Ces interfaces disposent d’adresses IP ๏ Méthode la plus couramment utilisée, la plupart des switchs actuels disposent de fonctions de couche 3 ๏ Nécessaire d’activer la fonctionnalité de routage au sein du switch Routage entre VLAN Routage par Switch Multilayer 32 SW1 Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 SW1 : 10.10.10.1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39 Interfaces sur VLAN 11 : Fa0/18, Fa0/19 SW1 : 10.20.20.254
  33. 33. Voice VLAN
  34. 34. Thomas Moegli ๏ La plupart des switchs Cisco permettent de mettre en oeuvre un réseau VoIP sur un réseau physique existant ๏ Séparation logique du réseau VoIP et du réseau de données ๏ Les téléphones peuvent être placés dans un Voice VLAN spécifique (VVID) avec la mise en oeuvre de politiques QoS particulières. ๏ L’administrateur n’a qu’à simplement brancher le téléphone sur le port configuré avec Voice VLAN ๏ Le téléphone est reconnu par le switch en échangeant des messages CDP ๏ Le téléphone obtient du switch via CDP les informations du VLAN Voice ainsi que toutes les informations pour contacter un serveur VoIP Voice VLAN 34 Voice VLAN 20 Data VLAN 10 Voice VLAN 20 Data VLAN 10 Voice VLAN 20 Data VLAN 10 Voice VLAN 20 Data VLAN 10
  35. 35. Thomas Moegli ๏ Un switch compatible Voice VLAN offre la possibilité de configurer un port d’accès pour plusieurs VLANs ๏ Le téléphone fait office de « mini-switch » et gère le VLAN Voice et le VLAN de données ๏ Les ports qui doivent se connecter à un téléphone IP doivent être configurés en mode d’accès et supporter deux VLAN ๏ Un VLAN natif qui est utilisé par le PC pour le trafic de données ๏ Un VLAN Voice pour le téléphone ๏ Durant le processus d’échange CDP initial entre le switch et le téléphone, ce dernier est configuré avec le VVID ๏ Le port est également configuré avec des paramètres QoS pour la voix ๏ Les paquets qui transitent entre le switch et le PC sont placés dans le VLAN natif ๏ Le switch envoie les paquets du VLAN de données non taggés sur le port d’accès ๏ Les paquets Voice qui transitent entre le switch et le téléphone sont taggés Voice VLAN Fonctionnement 35 Encapsulation 802.1Q VLAN natif Pas de configuration nécessaire sur le PC Voice VLAN = 20 Data VLAN = 10
  36. 36. Thomas Moegli ๏ Configuration d’une interface pour supporter un VLAN Voice et un VLAN Data :
 
 Voice VLAN Configuration 36 Voice VLAN = 20 Data VLAN = 10 Fa0/1 Switch(config-if)# interface FastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# switchport voice vlan 20
  37. 37. Thomas Moegli ๏ Vérification que le port est connecté au VLAN Voice et VLAN Data : Voice VLAN Vérification 37 Voice VLAN = 20 Data VLAN = 10 Fa0/1 Switch# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------- 1 default active Fa0/6,Fa0/7,Fa0/8, Fa0/9,Fa0/10 10 VLANDATA10 active Fa0/1 20 VLANVOICE20 active Fa0/1 <... output omitted ...>
  38. 38. Configuration VLAN
  39. 39. Thomas Moegli ๏ Création d’un VLAN :
 
 
 ๏ Assignation d’un port à un VLAN particulier :
 
 
 Configuration VLAN Création et assignation d’un VLAN 39 SW1(config)# vlan id-vlan
 SW1(config-vlan)# name nom-vlan
 SW1(config-vlan)# exit SW1(config)# interface interface-type interface-id
 SW1(config-if)# switchport mode access
 SW1(config-if)# switch port access vlan vlan-id SW1(config)# interface range interface-type interface-id-debut - interface-id-fin
 SW1(config-if-range)# switchport mode access
 SW1(config-if-range)# switch port access vlan vlan-id
  40. 40. Thomas Moegli ๏ La suppression d’un VLAN se fait par la négation de la commande de création d’un VLAN :
 
 ๏ Attention aux ports attribués aux VLANs ! ๏ Lors de la suppression d’un VLAN, les ports rattachés à ce dernier ne sont pas mis dans le VLAN 1 ๏ Ils n’appartiennent à aucun VLAN et ne sont plus opérationnels ๏ Il est recommandé, avant suppression d’un VLAN, de rattacher les ports au VLAN par défaut Configuration VLAN Suppression d’un VLAN 40 SW1(config)# no vlan id-vlan SW1(config)# no vlan id-vlan SW1# show vlan
 VLAN Name                             Status    Ports ---- -------------------------------- --------- ------------------------------- 1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4                                                 Fa0/5 10   Bob-vlan                         active    Fa0/11, Fa0/12                        20   Freds-vlan                       active    Fa0/13, Fa0/14                        30   Alice-vlan                       active    Fa0/15, Fa0/16                        … SW1# show vlan
 VLAN Name                             Status    Ports ---- -------------------------------- --------- ------------------------------- 1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4                                                 Fa0/5                        20   Freds-vlan                       active    Fa0/13, Fa0/14                       30   Alice-vlan                       active    Fa0/15, Fa0/16                       … SW1(config)# no vlan 10 Fa0/11, Fa0/12 ????
  41. 41. Thomas Moegli Configuration VLAN Exemple 41 ! Création VLAN 20 SW1(config)# vlan 20
 SW1(config-vlan)# name Freds-vlan 
 SW1(config)# interface range FastEthernet 0/13 – 14 SW1(config-if)# switchport access vlan 20 SW1(config-if)# exit ! Création VLAN 10 SW1(config)# vlan 10
 SW1(config-vlan)# name Bob-vlan 
 SW1(config)# interface range FastEthernet 0/11 – 12 SW1(config-if)# switchport access vlan 10 SW1(config-if)# exit ! Création VLAN 30 SW1(config)# vlan 30
 SW1(config-vlan)# name Alice-vlan

 SW1(config-if)# interface range FastEthernet 0/15 – 16 SW1(config-if)# switchport access vlan 30 SW1(config-if)# exit Fa0/15 Fa0/16 Fa0/11 Fa0/12 Fa0/13 Fa0/14 VLAN 3 VLAN 1 VLAN 2 SW1 VLAN 30 VLAN 20 VLAN 10
  42. 42. Thomas Moegli 2 méthodes de configurer VLANs ๏ Méthode légale avec VLAN Database (déconseillé) :
 
 
 ๏ Méthode moderne :
 
 Configuration VLAN Méthodes 42 SW1# vlan database
 SW1(vlan-database)# vlan vlan-id
 SW1(vlan-database)# end SW1(config)# vlan vlan-id
 SW1(config-vlan)# name vlan-name
  43. 43. Thomas Moegli Configuration VLAN Commandes de vérification 43 Commande Switch# show vlan Affiche les VLANs configurés ainsi que l’assignation des ports Switch# show interfaces trunk Affiche les interfaces configurés en mode trunk ainsi que les VLANs autorisés sur ces liens Switch# show interface interface-id switchport Affiche des informations détaillées sur l’interface
  44. 44. Thomas Moegli ๏ Commande show vlan brief Commandes de vérification Vérification : show vlan brief 44 SW1# show vlan brief
 VLAN Name                             Status    Ports ---- -------------------------------- --------- ------------------------------- 1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4                                                 Fa0/5, Fa0/6, Fa0/7, Fa0/8                                                 Fa0/9, Fa0/10, Fa0/11, Fa0/12                                                 Fa0/15, Fa0/16, Fa0/17, Fa0/18                                                 Fa0/19, Fa0/20, Fa0/21, Fa0/22                                                 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10   Bob-vlan                         active    Fa0/11, Fa0/12                        20   Freds-vlan                       active    Fa0/13, Fa0/14                        30   Alice-vlan                       active    Fa0/15, Fa0/16                        1002 fddi-default                     act/unsup 1003 token-ring-default               act/unsup 1004 fddinet-default                  act/unsup 1005 trnet-default                    act/unsup
  45. 45. Thomas Moegli Etapes ๏ Configuration d’un lien de trunk ๏ Configuration du lien comme trunk ๏ Définition du protocole de trunk ๏ Autorisation de VLAN spécifiques à transiter sur ce lien de trunk
 
 Configuration VLAN Trunking 45 SW1(config)# interface interface-type interface-id
 SW1(config-if)# switchport mode trunk
 SW1(config-if)# switchport trunk encapsulation [dot1q | isl] SW1(config-if)# switchport trunk allowed vlan vlan-id, vlan-id, …
  46. 46. Thomas Moegli SW1(config)# interface Fa0/1
 SW1(config-if)# switchport mode trunk
 SW1(config-if)# switchport trunk encapsulation dot1q SW1(config-if)# switchport trunk allowed vlan 10, 11, 12 Configuration VLAN Trunking : Exemple 46 SW1 SW2 Fa0/1Fa0/1 VLAN 10 Management VLAN 11 Wireless VLAN 12 Clients Fa0/10 Fa0/11 Fa0/12 VLAN 10 Management VLAN 11 Wireless VLAN 12 Clients Fa0/10 Fa0/11 Fa0/12 SW2(config)# interface Fa0/1
 SW2(config-if)# switchport mode trunk
 SW2(config-if)# switchport trunk encapsulation dot1q SW2(config-if)# switchport trunk allowed vlan 10, 11, 12
  47. 47. Thomas Moegli ๏ Par défaut, les liens de trunk autorisent le passage de tous les VLANs (1 à 4094) ๏ Il est possible de restreindre le trafic à certains VLANs uniquement via la commande :
 ๏ Lors de l’ajout de VLANs, spécifier le mot-clé add pour ajouter le VLANs à la liste :
 ๏ L’omission du mot-clé add remplace la liste précédente par les nouveaux VLANs indiqués : Configuration VLAN Trunking : Autorisation de VLANs 47 Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, vlan-id3, … Switch(config-if)# switchport trunk allowed vlan add vlan-id4, vlan-id5, vlan-id6, … SW1(config-if)# switchport trunk allowed vlan 10,11,12 SW1(config-if)# switchport trunk allowed vlan 66 TrunkFa0/10 Fa0/10 VLAN 10 VLAN 11 VLAN 12 TrunkFa0/10 Fa0/10 VLAN 66
  48. 48. Thomas Moegli Autres commandes d’autorisation de VLAN ๏ Définition de la liste : ๏ Ajout d’un VLAN dans la liste : ๏ Suppression d’un VLAN dans la liste :
 ๏ Ajouter tous les VLANs : ๏ Exclure un ou des VLANs de l’ensemble :
 Configuration VLAN Trunking : Autorisation de VLANs 48 Switch(config-if)# switchport trunk allowed vlan 10, 20, 30 Switch(config-if)# switchport trunk allowed vlan add 40 Switch(config-if)# switchport trunk allowed vlan delete 10 Switch(config-if)# switchport trunk allowed vlan all Switch(config-if)# switchport trunk allowed vlan except 60 10, 20, 30 10, 20, 30, 40 10, 20, 30, 40 1-65535 1-59, 61-65535
  49. 49. Thomas Moegli ๏ Afficher les interfaces configurés comme liens de trunk :
 ๏ Indique le VLAN natif ๏ Indique le protocole utilisé sur le lien de trunk ๏ Indique les VLANs autorisés sur le lien Configuration VLAN Trunking : Vérification 49 Switch# show interfaces trunk Switch# show interfaces trunk Port Mode Encapsulation Status Native vlan Et0/0 on 802.1q trunking 1 Et0/1 on 802.1q trunking 1 Port Vlans allowed on trunk Et0/0 1-4094 Et0/1 1-4094 Port Vlans allowed and active in management domain Et0/0 1 Et0/1 1 Port Vlans in spanning tree forwarding state and not pruned Et0/0 1 Et0/1 1
  50. 50. Thomas Moegli ๏ Protocole réseau propriétaire de Cisco ๏ Permet de gérer dynamiquement l’activation ou la désactivation du mode trunk sur un port d’un switch ๏ Configuration d’un mode sur le port et échange de messages DTP (en fonction du mode) pour négocier l’établissement ou non d’un lien de trunk ๏ Modes disponibles : ๏ Dynamic Desirable : Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk ๏ Dynamic Auto : Réception de messages DTP et configuration du port en fonction du message DTP reçu du voisin ๏ Trunk : Port configuré en mode Trunk. Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk ๏ L’état Trunk s’effectue en configurant l’interface avec la commande : ๏ Access : Port configuré en mode Access. Envoi de messages DTP pour demander la mise en oeuvre d’un lien d’accès ๏ L’état Access s’effectue en configurant l’interface avec la commande : ๏ Nonegotiate : Désactivation de l’envoi/réception de messages DTP sur le port ๏ L’état nonegotiate s’effectue en configurant l’interface avec la commande : ๏ Il est toutefois recommandé de configurer manuellement le port comme port Trunk ou port Access Configuration VLAN DTP : Dynamic Trunk Protocol 50 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport mode access Switch(config-if)# switchport no negotiate
  51. 51. Thomas Moegli Configuration VLAN Modes Switchport 51 SW1 SW2 Mode Switchport choisi sur l’interface de SW2 Dynamic Auto Dynamic Desirable Trunk Access Dynamic Auto Configuration incohérence Trunk Trunk Access Dynamic Desirable Trunk Trunk Trunk Access Trunk Trunk Trunk Trunk Configuration incohérence Access Access Access Configuration incohérence Access ModeSwitchportchoisisurl’interface deSW1
  52. 52. Thomas Moegli ๏ Pour vérifier le status d’un port : 
 ๏ Permet de déterminer quel mode DTP est configuré sur le switch ๏ Permet de déterminer quel mode DTP est actuellement opérationnel (Trunk ou Access) ๏ Indique le VLAN natif Configuration VLAN DTP : Vérification 52 Switch# show interfaces interface-id switchport SW1# show interfaces Ethernet0/1 switchport Name: Et0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled
  53. 53. Thomas Moegli Etapes ๏ Sur le routeur, configuration de l’interface avec une adresse IP appartenant au VLAN :
 
 ๏ Sur le switch, configuration de l’interface liée au routeur ๏ Configuration du lien comme lien d’accès :
 
 ๏ Configuration du lien sur un VLAN particulier :
 
 Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées 53 Router(config)# interface interface-id
 Router(config-if)# ip address ip-address subnet-mask Switch(config-if)# switchport access vlan-id Switch(config)# interface interface-id
 Switch(config-if)# switchport mode access
  54. 54. Thomas Moegli Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées 54 SW1 Fa0/0 Fa0/1 Fa0/40 Fa0/20Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 .1.254 R1 : 10.10.10.1 R1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40 Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20 R1 : 10.20.20.254 R1(config)# interface Fa0/0
 R1(config-if)# ip address 10.20.20.254 255.255.255.0 R1(config-if)# no shutdown R1(config)# interface Fa0/1
 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config-if)# no shutdown SW1(config)# interface range Fa0/18 - 20
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config)# interface range Fa0/38 - 40
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11
  55. 55. Thomas Moegli Etapes ๏ Sur le routeur, suppression de l’adresse IP de l’interface physique :
 
 ๏ Sur le routeur, configuration d’une interface logique : ๏ Assignation de l’interface sur un VLAN particulier :
 
 ๏ Configuration de l’adresse IP :
 ๏ Sur le switch, configuration du lien vers le routeur comme lien de trunk ๏ Configuration du mode :
 
 ๏ Autorisation des VLANs :
 Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées 55 Router(config)# interface interface-id
 Router(config-if)# no ip address Router(config)# interface interface-id.subinterface-id
 Router(config-sub-if)# encapsulation dot1q vlan-id Router(config-sub-if)# ip address ip-address subnet-mask Switch(config)# interface interface-id Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, …
  56. 56. Thomas Moegli Configuration VLAN Routage Inter-VLAN : Router-to-a-Stick 56 SW1 Fa0/0Fa0/20 Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 R1 : 10.10.10.1 R1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40 Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20 R1 : 10.20.20.254 R1(config)# interface Fa0/0
 R1(config-if)# no ip address R1(config-if)# no shutdown R1(config)# interface Fa0/0.10
 R1(config-if)# encapsulation dot1q 10 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config)# interface Fa0/0.11
 R1(config-if)# encapsulation dot1q 11 R1(config-if)# ip address 10.20.20.254 255.255.255.0 SW1(config)# interface range Fa0/18 - 19
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config)# interface range Fa0/38 - 39
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11 SW1(config)# interface Fa0/20
 SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk allowed vlan 10,11
  57. 57. Thomas Moegli Configuration VLAN Routage Inter-VLAN : Switch Multilayer 57 SW1 Fa0/19 Fa0/18 Fa0/39 Fa0/38 VLAN 10 Management 10.10.10.0/24 VLAN 11 Wireless 10.20.20.0/24 .100 .101 .200 .201 SW1 : 10.10.10.1 Interfaces sur VLAN 10 : Fa0/38, Fa0/39 Interfaces sur VLAN 11 : Fa0/18, Fa0/19 SW1 : 10.20.20.254 SW1(config)# interface range Fa0/18 - 19
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config)# interface range Fa0/38 - 39
 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11 SW1(config)# interface Vlan10
 SW1(config-if)# ip address 10.10.10.1 SW1(config-if)# no shutdown SW1(config)# interface Vlan11
 SW1(config-if)# ip address 10.20.20.254 SW1(config-if)# no shutdown SW1(config)# ip routing
  58. 58. Thomas Moegli ๏ Configuration d’une interface comme interface Layer 3 Configuration VLAN Routage Inter-VLAN : Switch Multilayer 58 SW1 Fa0/0 Fa0/19 Fa0/18 Fa0/39 Fa0/38 .100 .101 .200 .201 R1 Fa0/47 Fa0/1 10.99.0.0/24 .253 .254 192.168.0.0/24 .254 SW1(config)# interface Fa0/47
 SW1(config-if)# no switchport SW1(config-if)# ip address 10.99.0.253 255.255.255.0 SW1(config-if)# no shutdown ๏ Les interfaces Layer 3 de switchs peuvent également être configurés avec un protocole de routage SW1(config)# router rip
 SW1(config-router)# version 2 SW1(config-router)# network 10.0.0.0
  59. 59. Thomas Moegli ๏ Par défaut, tous les ports d’un switch Multilayer sont des ports de couche 2 ๏ Ils ne comprennent pas l’adressage IP et transmettent les trames par identification de l’adresse MAC ๏ Pour changer le port Layer 2 à un port Layer 3, il est nécessaire d’utiliser la commande no switchport Configuration VLAN Routage Inter-VLAN : Switch Multilayer 59 no switchport
  60. 60. Thomas Moegli Configuration VLAN Configuration Voice VLAN 60 1 2 ABC 3 DEF 4 5 JKL 6 MNOGHI 7 8 TUV 9 WXYZPQRS * 0 OPER # ? + - CISCO IP PHONE 7970SERIES 1 2 ABC 3 DEF 4 5 JKL 6 MNOGHI 7 8 TUV 9 WXYZPQRS * 0 OPER # ? + - CISCO IP PHONE 7970SERIES 1 2 ABC 3 DEF 4 5 JKL 6 MNOGHI 7 8 TUV 9 WXYZPQRS * 0 OPER # ? + - CISCO IP PHONE 7970SERIES Fa0/20 Fa0/21 Fa0/22 VLAN 20 Voice VLAN 30 Data SW1(config)# vlan 20
 SW1(config-vlan)# name Voice SW1(config)# vlan 30
 SW1(config-vlan)# name Data SW1(config)# interface range FastEthernet 0/20-22 SW1(config-if-range)# switchport mode access
 SW1(config-if-range)# switchport access 30
 SW1(config-if-range)# switchport voice 20
  61. 61. Thomas Moegli ๏ Cisco IOS enregistre les informations VLAN dans un fichier vlan.dat dans la mémoire Flash ๏ Sauvegarde automatique des informations de VLAN (pas nécessaire de copier running-config dans la Flash) ๏ Pour réinitialiser un switch à ses paramètres d’usine ๏ Réinitialiser sa configuration via la commande : ๏ Effacer le fichier des VLANS via la commande : Fichier de configuration VLAN 61 Switch# write erase Switch# delete flash:vlan.dat
  62. 62. VLAN Trunking Protocol
  63. 63. Thomas Moegli ๏ Lors de la gestion d’un environnement réseau complexe, l’ajout d’un VLAN peut être fastidieux ๏ Il est nécessaire de créer le VLAN sur l’ensemble des switchs ๏ Lors de suppression ou ajout réguliers de VLANs, il est également difficile de garder une cohérence sur l’ensemble des switchs ๏ Certains switchs oubliés par l’administrateur conservent ainsi une configuration VLAN qui n’est plus adapté ๏ Solution : Protocole VTP ๏ Permet de synchronisation et utiliser une configuration VLAN pour l’ensemble des switchs ๏ La création/suppression de VLANs est ensuite répercutée dynamiquement sur tous les switchs VLAN Trunking Protocol 63 Je crée un nouveau VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100 Configuration manuelle du VLAN 100
  64. 64. Thomas Moegli ๏ Utilisé pour partager la configuration VLAN sur plusieurs switchs ๏ Messages VTP entre switchs pour synchroniser leurs configuration ๏ On configure un domaine VTP et tous les switchs doivent être membres de ce domaine ๏ Maintient une structure cohérente sur l’ensemble du réseau ๏ Protocole propriétaire Cisco VLAN Trunking Protocol 64 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30 VLANS 10, 20, 30
  65. 65. Thomas Moegli ๏ VTP requiert que les switchs doivent : ๏ Etre configurés dans le même domaine VTP ๏ Etre connectés entre eux via des liens de trunks ๏ Etre configurés avec le même mot de passe VTP ๏ Sur un lien de trunk, les switchs connectés entre eux doivent communiquer en utilisant la même version de VTP ๏ Il n’est pas nécessaire (mais fortement recommandé) que l’ensemble du domaine VTP utilise la même version de VTP VLAN Trunking Protocol Caractéristiques 65
  66. 66. Thomas Moegli ๏ Un switch peut être configuré selon 3 modes différents : VLAN Trunking Protocol Modes VTP 66 Server Mode Client Mode Transparent Mode ๏ Mode par défaut ๏ Permet de créer, modifier et supprimer des VLANs ๏ Permet la synchronisation de configuration VLANs ๏ Envoi d’annonces VTP aux autres switch ๏ Sauvegarde de la configuration dans la NVRAM ๏ Ne permet pas la création, modification et suppression de VLANs ๏ Se synchronise avec les autres configurations VLANs ๏ Transfère les annonces VTP aux autres switch et peut en générer ๏ Ne sauvegarde pas sa configuration VLAN.
 Au démarrage, se synchronise avec le serveur ๏ Permet la création, modification et suppression de VLANs ๏ Ne se synchronise avec les autres switch ๏ Transfère les annonces VTP aux autres switch mais n’en génère pas ๏ Sauvegarde de la configuration dans la NVRAM ๏ Certains switchs disposent d’un mode Off fonctionnant comme le mode transparent mais ne transfère pas les messages VTP
  67. 67. Thomas Moegli Etapes ๏ Configuration du lien de trunk ๏ Configuration VTP : ๏ Mode VTP ๏ Domaine VTP ๏ (Optionnel) Définition d’un mot de passe VTP ๏ (Optionnel) Définition de la version VTP ๏ Vérification ๏ Tous les liens doivent être configurés comme liens de trunk ๏ Les messages VTP transitent uniquement sur des liens FastEthernet ou à débit plus élevé VLAN Trunking Protocol Configuration 67 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant
  68. 68. Thomas Moegli VLAN Trunking Protocol Configuration 68 SW1(config)# interface FastEthernet 0/3
 SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk encapsulation dot1q SW2(config)# interface range FastEthernet 0/1 - 2
 SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# switchport trunk encapsulation dot1q SW3(config)# interface FastEthernet 0/0
 SW3(config-if)# switchport mode trunk SW3(config-if)# switchport trunk encapsulation dot1q Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant
  69. 69. Thomas Moegli VLAN Trunking Protocol Configuration 69 SW1(config)# vtp domain MYDOMAIN
 SW1(config)# vtp password cisco123 SW1(config)# vtp version 2 SW1(config)# vtp mode server SW2(config)# vtp domain MYDOMAIN
 SW2(config)# vtp password cisco123 SW2(config)# vtp version 2 SW2(config)# vtp mode client SW3(config)# vtp domain MYDOMAIN
 SW3(config)# vtp password cisco123 SW3(config)# vtp version 2 SW3(config)# vtp mode transparent Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant ๏ Le nom de domaine doit correspondre sur tous les switchs VTP et est Case Sensitive ๏ Le mot de passe VTP et la version doivent correspondre ๏ VTP, une fois activé, fonctionne avec la version 1
  70. 70. Thomas Moegli VLAN Trunking Protocol Configuration 70 SW1(config)# vlan 10
 SW1(config-vlan)# name VLAN10 SW1(config)# vlan 20 SW1(config-vlan)# name VLAN20 SW1(config)# vlan 30 SW1(config-vlan)# name VLAN30 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant SW3(config)# vlan 100
 SW3(config-vlan)# name VLAN100 SW3(config)# vlan 200 SW3(config-vlan)# name VLAN200 SW3(config)# vlan 300 SW3(config-vlan)# name VLAN300
  71. 71. Thomas Moegli ๏ Le numéro de révision VTP permet d’identifier les informations de configuration les plus récentes ๏ Au départ, les messages VTP comment toujours avec le numéro de révision 0 ๏ Lors de changements de configuration VLAN sur un switch VTP Server, le numéro de révision est incrémenté avant que les messages soient envoyés ๏ Tous les switchs VTP Clients et VTP Server doivent disposer de la configuration la plus récente ๏ C’est le switch ayant le numéro de révision le plus élevé qui sert de configuration maître ๏ Les switchs ayant un numéro de version plus ancien récupèrent la configuration maître pour l’appliquer via les messages VTP qui contiennent le numéro de révision ๏ Attention lors de l’ajout d’un switch à une topologie réseau ๏ Par défaut, le switch dispose d’une configuration VTP Server ๏ Vérifier, avant configuration VTP, que le nouveau switch dispose d’un numéro de révision inférieur aux switchs de référence. ๏ Dans le cas contraire, le nouveau switch risque de propager sa configuration sur l’ensemble des autres switchs de la topologie réseau ๏ Risque de suppression des VLANs sur les autres switchs VLAN Trunking Protocol Numéro de révision VTP 71
  72. 72. Thomas Moegli Changer le numéro de révision ๏ Supprimer le fichier Vlan.dat de la mémoire Flash ๏ Changer le mode VTP du switch à transparent et changer ensuite à nouveau sur Server ou Client ๏ Le numéro de version est réinitialisé à 0 ๏ Changer le domaine VTP sur un nom de test (Domaine VTP non existant) puis remettre le nom de domaine VTP réel ๏ Vérifier le numéro de révision avec la commande : VLAN Trunking Protocol Numéro de révision VTP 72 SW1# show flash:
 Directory of flash:/ 1 -rw- 3058048 <no date> c2950-i6q4l2-mz.121-22.EA4.bin 3 -rw- 556 <no date> vlan.dat SW1# delete vlan.dat
 Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm] SW1# reload SW1# show vtp status
  73. 73. Thomas Moegli ๏ VTP existe en 3 versions (v1, v2, v3) ๏ Pour afficher les versions supportées par le switch :
 Switch# show vtp status ๏ Indiqué sur la ligne VTP Version capable ๏ Un switch tournant sur la version 1 mais où figure la mention « Version 2 Capable » va automatiquement migrer sur la version 2 s’il détecte qu’il est connecté à un voisin v2 VLAN Trunking Protocol Versions VTP 73 SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server
  74. 74. Thomas Moegli ๏ Un switch VTP v1 (v2 Capable) migre automatiquement sur VTP v2 si : ๏ Il détecte qu’il est connecté à un voisin v2 ๏ Il détecte qu’il est connecté à un voisin v3 ! Attention, il ne migre pas sur la v3 !! ๏ Un switch VTP v1 ou v2 (v3 Capable) migre uniquement sur VTP v2 de manière automatique ๏ Toute utilisation de VTP v3 doit être configurée manuellement (même si le switch détecte un voisin v3 directement connecté) ๏ VTPv3 est rétro-compatible avec VTPv2 VLAN Trunking Protocol Compatibilité : Versions VTP 74
  75. 75. Thomas Moegli VLAN Trunking Protocol Versions VTP 75 VTP Version 1 VTP Version 2 Ne supporte qu’un seul domaine VTP Support de domaines VTP multiples Vérifie le nom de domaine VTP
 Si correspondance, fait suivre les messages VTP Pas de vérification du nom de domaine VTP 
 pour l’envoi ou le transfert de messages VTP Plus de vérifications de consistence 
 (En-tête plus importante) Vérifie la consistance lors d’ajout de nouvelles informations Pas de support de VLAN Token-Ring Support de VLANs Token-Ring
  76. 76. Thomas Moegli VLAN Trunking Protocol VTP v3 76 VTP Version 1/2 VTP Version 3 Synchronisation d’une seule base de données VTP Synchronise les VLANs, les informations 802.1s MST et Private VLAN Mot de passe stocké en clair Mot de passe stocké en clair ou hachage VLANs étendus (1006 - 4094) supportés uniquement en VTP Transparent VLANs étendus complètement supportés dans VTPv3 
 (Création sur VTP Primary Server et synchronisation) Modes VTP :
 Server, Client, Transparent Modes VTP :
 Primary server, Secondary Server, Client, Transparent, Off Sur VTPv2, le changement du nom de domaine VTP pouvait être effectuée automatiquement dès réception d’un message VTP Sur VTPv3, le changement de nom de domaine VTP doit être effectué manuellement Mises à jour de VTP basés sur le numéro de révision (numéro le plus haut) Mises à jour de VTP seulement si annoncés du Primary Server
  77. 77. Thomas Moegli VLAN Trunking Protocol VTP v3 : Modes 77 Mode VTP v3 Transfert des messages ? Configuration ? Sauvegarde en mémoire ? PRIMARY SRV Oui Oui Oui SECONDARY SRV Oui Non Oui CLIENT Oui Non Non TRANSPARENT Oui Oui Oui OFF Non Oui Oui
  78. 78. Thomas Moegli ๏ Secondary Server (mode par défaut) ๏ Similaire au mode VTP Client : ne permet pas l’ajout/suppression de VLANs ๏ N’est pas autorisé à mettre à jour la base de données VLAN des autres switchs ๏ Primary Server ๏ Un seul Primary Server par domaine VTPv3 ๏ Seul le Primary Server est autorisé à mettre à jour la base de données VLANs sur les autres switchs ๏ Seul le Primary Server est autorisé à ajouter ou supprimer des VLANs VLAN Trunking Protocol VTP v3 : Modes 78
  79. 79. Thomas Moegli Etapes ๏ Configuration de liens comme trunk ๏ Configuration du domaine VTPv3 ๏ Configuration de la version v3 de VTP ๏ Election d’un switch comme VTP Primary Server ๏ (Opt.) Configuration du mot de passe ๏ Configuration d’un mot de passe caché (hachage) VLAN Trunking Protocol VTP v3 : Configuration 79 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant
  80. 80. Thomas Moegli VLAN Trunking Protocol VTP v3 : Configuration 80 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp version 3 SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 ! Mot de passe en clair SW2(config)# vtp version 3 SW1# show vtp password VTP Password: cisco123
  81. 81. Thomas Moegli VLAN Trunking Protocol VTP v3 : Configuration 81 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password cisco123 hidden ! Mot de passe chiffré SW1(config)# vtp version 3 SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 hidden ! Mot de passe en clair SW2(config)# vtp version 3 SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A
  82. 82. Thomas Moegli VLAN Trunking Protocol VTP v3 : Configuration 82 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW1(config)# vtp version 3 SW2(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW2(config)# vtp version 3 SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A
  83. 83. Thomas Moegli ๏ Définition d’un mot de passe classique :
 ou : ๏ Définition d’un mot de passe haché : ๏ Définition d’une empreinte (mdp déjà haché) : VLAN Trunking Protocol VTP v3 : Configuration 83 Switch(config)# vtp password cisco123 Switch# vtp password cisco123 Switch(config)# vtp password cisco123 hidden Switch(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret 32 caractères hexadécimaux requis
  84. 84. Thomas Moegli Création de Vlans sur le serveur primaire ๏ Configurer SW1 comme serveur primaire ๏ La configuration VLAN VTP ne permet pas la création de VLAN tant que le périphérique n’est pas le serveur primaire VLAN Trunking Protocol VTP v3 : Configuration 84 Fa0/3 Fa0/2 Fa0/1 Fa0/0 SW1 SW2 SW3 Mode VTP : Server Mode VTP : Client Mode VTP : Transparant SW1(config)# vtp primary vlan This system is becoming primary server for feature vlan Enter VTP Password: SW1(config)# vlan 10,20,30,40 SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server
  85. 85. Thomas Moegli VLAN Trunking Protocol Commandes de vérification 85 Commande Description show vtp password Affiche le mot de passe configuré pour VTP show vtp status Affiche les informations détaillées sur VTP (numéro de révision, version VTP, mode d’opération, etc… show vlan brief Afficher les VLANs actuellement configurés sur le switch
  86. 86. Thomas Moegli ๏ Technique permettant une meilleure bande passante en limitant la portée du trafic des VLANs ๏ Exemple : Si la station A d’un VLAN particulier envoie une requête de diffusion, la diffusion ne sera pas transmis aux switchs dont aucune station de ce VLAN n’est connectée VLAN Trunking Protocol VTP Pruning 86 VLAN 60 VLAN 60 Sans Pruning Avec Pruning
  87. 87. Thomas Moegli ๏ Activation du VTP Pruning sur l’ensemble du domaine ๏ A activer sur le switch VTP Server ๏ VLAN 1 ne peut pas être en Pruning parce qu’il s’agit d’un VLAN Management ๏ Les VLANs 1002 à 1005 (Token Ring / FDDI) ne peuvent être restreints VLAN Trunking Protocol Configuration VTP Pruning 87 SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Enabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 SW1(config)# vtp pruning VLAN 60
  88. 88. Thomas Moegli ๏ Pour un VLAN qui n’est pas actif (aucun Access Port associé à ce VLAN), tous les liens de trunk vont restreindre ce VLAN (Prune VLAN) ๏ Dès que le VLAN est activé (un Access Port est associé à ce VLAN) : ๏ Un message Triggered Join est envoyé sur : ๏ Les ports STP Root (lorsqu’il s’agit d’un Switch non STP Root Bridge) ๏ Les ports STP Designated (lorsqu’il s’agit du switch STP Root Bridge) ๏ Le VLAN n’est plus restreint seulement si : ๏ Un message Triggered Join est reçu sur un port ET que ce port est à l’état STP Forwarding pour ce VLAN VLAN Trunking Protocol VTP Pruning : Règles 88
  89. 89. Thomas Moegli Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Spanning-Tree n’est pas encore actif puisque aucun équipement n’est connecté sur le VLAN VLAN Trunking Protocol VTP Pruning : Règles 89 Root Bridge F F FF BFB F SW3SW2SW1 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked RP DP DP DP DPRP
  90. 90. Thomas Moegli Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Les liens de Trunks effectuent le Pruning du VLAN-X VLAN Trunking Protocol VTP Pruning : Règles 90 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked P VTP Pruning : VLAN Pruned Root Bridge F F FF BFB F SW3SW2SW1 P P P P P RP DP RP DP DP DP
  91. 91. Thomas Moegli Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, on connecte un hôte sur un Access Port du VLAN-X ๏ Spanning-Tree s’active et configure les ports aux états Forwarding ou Blocking selon le schéma ci-dessus ๏ SW1 commence à émettre un message Triggered Join sur ses Root Port VLAN Trunking Protocol VTP Pruning : Règles 91 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked P VTP Pruning : VLAN Pruned Root Bridge F F FF BFB F SW3SW2SW1 P P P P P P RP DP RP DP DP DP VLAN-X F J J VTP Pruning : Triggered Join
  92. 92. Thomas Moegli Root Bridge F F FF BFB F SW3SW2SW1 P P P P P RP DP RP DP DP DP VLAN-X F J Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 reçoit le Triggered Join de SW1. Ce port est à l’état Forwarding ๏ SW2 ne va plus effectuer de Pruning sur ce port VLAN Trunking Protocol VTP Pruning : Règles 92 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked P VTP Pruning : VLAN Pruned J VTP Pruning : Triggered Join
  93. 93. Thomas Moegli Root Bridge F F FF BFB F SW3SW2SW1 P P P P P RP DP RP DP DP DP VLAN-X F J Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 envoie maintenant un Triggered Join sur ses Root Port VLAN Trunking Protocol VTP Pruning : Règles 93 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked P VTP Pruning : VLAN Pruned J VTP Pruning : Triggered Join
  94. 94. Thomas Moegli Root Bridge F F FF BFB F SW3SW2SW1 P P P P RP DP RP DP DP DP VLAN-X F J Etat final pour le VLAN-X sur les liens de Trunk ๏ SW1 reçoit le Triggered Join sur un port à l’état Forwarding. ๏ Il n’effectue plus de Pruning VLAN sur ce port VLAN Trunking Protocol VTP Pruning : Règles 94 Exemple VTP Pruning F B STP : Port à l’état Forwarding STP : Port à l’état Blocked P VTP Pruning : VLAN Pruned J VTP Pruning : Triggered Join
  95. 95. Thomas Moegli VLAN Trunking Protocol Configuration VTP Pruning 95 SW1# show interface trunk Port Mode Encapsulation Status Native VLAN Fa0/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Port Vlans allowed and active in management domain Fa0/1 1,10,20,1002,1003,1004,1005 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,1002,1003,1004,1005 SW1# show interface fa0/16 Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,58,67,146 Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,43,58,67,79,146
  96. 96. Thomas Moegli ๏ Il est possible de restreindre les VLANs qui doivent transiter sur un lien de trunk ๏ Ces commandes doivent être appliquées sur les deux interfaces du lien ๏ Attention lors de l’ajout d’un VLAN supplémentaire sur le lien de trunk ๏ Sans le mot-clé add, le nouveau VLAN remplace tous les autres VLANs !
 
 
 
 ๏ Il est nécessaire d’utiliser le mot-clé add pour ajouter un VLAN à la liste :
 VLAN Trunking Protocol Configuration Pruning manuel 96 SW1(config)# interface FastEthernet Fa0/10 SW1(config-if)# switchport trunk allowed vlan 10,30 SW1(config-if)# switchport trunk allowed vlan 20 Port Vlans allowed and active in management domain Fa0/1 20 SW1(config-if)# switchport trunk allowed vlan add 20 Port Vlans allowed and active in management domain Fa0/1 10,20,30 TrunkFa0/10 Fa0/10 VLAN 10 VLAN 20 VLAN 30 VLAN 40

×