Avantages d’utiliser des VLAN’s :

  • Un VLAN est un domaine de broadcast unique, ce qui signifie que si un utilisateur dans le VLAN du service marketing, envoie un broadcast, alors seuls les utilisateurs de ce même VLAN le recevront.
  • Le second avantage est que les utilisateurs ne peuvent communiquer qu’avec ceux du même VLAN.
  • Et le dernier point avantageux est que les utilisateurs ne doivent pas nécessairement être regroupés physiquement sur le même commutateur.

Dans la voix sur IP

Les téléphones sont dans un vlan séparés de la data du PC.
Sur un téléphone IP, il y’a deux interfaces : 1 pour connecter le téléphone IP au commutateur et 1 pour le connecter au PC.

Devenir un Expert IT

Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences

Recevoir la version digitale gratuitement

Cela permet d’économiser un port sur le switch et évite aussi d’avoir une prise réseau en + sur le bureau.

Le téléphone IP sera donc dans le VLAN voix et le PC dans le VLAN data.
Ainsi, le trafic sera bien séparé, grâce au vlan, et ce, même si il n’ya qu’un seul câble entre le téléphone et le switch.

Séparer le Traffic grâce au VLAN, permet aussi de mettre en place une qualité de service, plus connu sous le nom de QOS. Cela permet de définir des priorités pour certains types de trafic. La VoIP est très sensible au délai et à la gigue, c’est pourquoi il faut s’assurer que son trafic sera toujours prioritaire en cas de surcharge sur le réseau.

Le Trunk permet de faire passer plusieurs Vlan entre commutateurs.

Il existe 2 types de trunk :

  • Le 802.1Q: qui est le protocole Trunk le plus couramment utilisé. Car il est standard et est supporté par de nombreux fournisseurs.
  • Et il y’a le protocole ISL: qui lui, est propriétaire Cisco. Certains switchs ne le supportent pas.

802.1Q

Au milieu d’une trame Ethernet 802.1Q. Il y’a le champ « TAG ».

C’est dans ce champ « Tag » qu’on trouvera l’identifiant du VLAN, c’est-à-dire le numéro de vlan auquel la trame Ethernet appartient.
Le champ « Priority » permet de donner une priorité aux différents types de trafic.

Chaque VLAN qui traverse le trunk sera tagué, de son numéro de vlan, par le protocole 802.1Q.

La seule exception est le VLAN natif qui ne sera jamais étiqueté. Par défaut, il s’agit du vlan 1 !

Mode Access et Trunk

Le VLAN 1 est le VLAN par défaut

La commande « Vlan » permet de rentrer en mode de configuration du vlan.
La commande « name » permet de donner un nom au numéro du vlan.

La commande « show interfaces » suivie du « N° de l’interface » et de « switchport » permet d’afficher de nombreuses informations comme le type d’interface et son numéro de vlan auquel il appartient.

Le type ISL est un protocole Cisco qui n’est pas interopérable avec d’autres constructeurs.
Et le type 802.1Q, est un protocole libre et compatible avec la plupart des switchs.

Router on a stick et DTP

DTP

Il y’a 2 modes différents :

  • le mode « Trunk »
  • et le mode « Access »

Lorsqu’un port monte, des annonces DTP sont envoyées :

  • si le port est connecté à un autre switch, alors ce dernier recevra l’annonce DTP et y répondra. L’activation du Trunk s’effectuera des deux côtés !
  • Et si le port est connecté à un pc, et bien, comme le PC ne comprend pas le protocole, il n’y répondra pas. Le trunk ne sera donc pas activé et le port restera en mode « access » .

Un port physique d’un switch peut avoir plusieurs états, ou modes, concernant le DTP.
Ces états sont très importants à connaitre, car malheureusement, selon le modèle du switch, l’état par défaut n’est pas le même …

  • En mode Dynamic désirable, le switch annonce sa volonté de monter en trunk, on dit qu’il est prêt à négocier.
  • En mode Dynamic Auto, le switch attend une sollicitation du voisin à l’autre bout. C’est-à-dire qu’il n’envoie pas de requêtes, mais répond à ceux d’en face !
  • En mode Trunk, le switch monte automatiquement en trunk et en informe le voisin d’en face.
  • Dans le mode « nonegociate » il monte aussi en trunk mais n’informe pas son voisin.
  • Et le mode « access » désactive le trunk et prévient le voisin.

En fonction du mode choisi, soit :

  • le port souhaite monter en trunk
  • ou bien, le port s’impose pour monter en trunk
  • ou bien il interdit de monter en trunk !

Il est donc possible de retrouver différentes combinaisons entre 2 switchs !

Pour des raisons de sécurité, il est préférable de configurer soit même les ports du switch, et de ne pas utiliser le mode dynamique, car sinon, n’importe qui peut venir se brancher avec un pc portable, et lancer le simulateur GNS3 pour former un trunk, et ainsi avoir accès à l’ensemble des VLAN’s !

C’est pourquoi, si on souhaite qu’un port soit utilisé qu’en mode access, il est préférable de lui faire un « switchport mode acces » suivi d’un « switchport nonegotiate »
Et si on veut qu’un port monte en trunk, ce sera un « switchport mode trunk » suivi d’un « switchport nonegotiate »

Pour des raisons de sécurité, il est conseillé de désactiver la négociation sur les switchs, et de configurer soit même le mode du port !

Introduction VTP

Le protocole VTP

Permets de synchroniser les Vlan’s entre les switches.

Ce qui aide grandement un administrateur réseau.

On à un switch en mode serveur, ou l’on effectue toutes les modification, suppression, ou création de vlan, et le VTP se charge d’envoyer ces infos sur tous les switches client, qui font partie du même domaine VTP.

Il est possible d’avoir plusieurs switches en mode VTP serveur, afin d’effectuer des modifications à différent endroit du réseau !

Pour que le VTP fonctionne, il faut lui configurer un nom de domaine VTP, qui devra être identique sur tous ces switches.

Pour rÉsumer :

  1. Lorsque l’on ajoute, modifie, ou supprime un vlan sur le switch en mode VTP
  2. Cela à pour effet d’augmenter le numéro de révision
  3. ça déclenche ensuite un paquet d’avertissements qui est envoyé sur tous les switches clients, du même domaine VTP.
  4. Et pour finir, ils viennent ensuite se synchroniser pour avoir le dernier numéro de révision

VTP Transparent

Un switch en mode VTP Transparent transmettra les messages d’avertissement de la modification du numéro de révision, mais ne se synchronisera pas avec le switch en mode VTP Serveur !

Le protocole VTP permet donc de gagner grandement du temps.

DTP et VTP

DTP DYNAMIC TRUNKING PROTOCOL

Le protocole DTP est un protocole propriétaire Cisco.

C’est-à-dire qu’il ne fonctionne qu’entre switchs Cisco.

Lorsqu’un port monte, des annonces DTP sont envoyées :

  • Si le port est connecté à un switch voisin, ce dernier va recevoir l’annonce DTP et y répondre. Des deux côtés, l’activation du Trunk s’effectue.
  • Si le port est connecté à un pc, ce dernier ne répondra pas à l’annonce, car il ne comprend pas le protocole. Sur le port du switch, le Trunk n’est pas activé et reste en mode Access.

switchport nonegociate 

Un switch envoie donc des requêtes DTP régulièrement sur le réseau. Pour annuler ces envois, il faut utiliser la commande « switchport nonegociate » directement sur l’interface.

Mode DTP

  • La commande « switchport mode access » force le port en mode « accès », et désactive l’envoi de requête DTP sur le réseau.
  • La commande « switchport mode trunk » force le port à être un port trunk, et envoie des requêtes DTP au switch d’en face.
  • La commande « switchport mode dynamic auto » est en quelque sorte un mode passif.
    C’est-à-dire qu’il attend patiemment un message, du switch en face, pour s’autoconfigurer. Si le port en face est en mode « Trunk » ou en mode « desirable », alors il montera en « trunk ».
    Sinon il restera en mode « acces » !
    Dans ce mode des requêtes DTP sont envoyées régulièrement sur le réseau.
  • La commande « switchport mode dynamic desirable » est un mode Actif !
    C’est-à-dire qu’il envoie des requêtes DTP au switch d’en face pour lui faire une proposition de trunk.

VTP VLAN Trunking Protocol

Pour réduire les erreurs de configuration de VLAN dans son réseau, il faut utilisez le protocole VTP

C’est un protocole de couche 2 qui facilite la gestion de VLAN à travers plusieurs switches dans un réseau.

Un switch ne peut appartenir qu’à un seul domaine VTP.

Les configurations que l’on apporte sur un équipement qui est en mode VTP serveur se propageront sur l’ensemble des autres équipements qui sont en mode Client.

Les messages VTP que s’échange les switches sont envoyés toutes les 5 minutes ou bien, à chaque fois qu’il y a une modification sur les VLAN.
Ces échangent se font uniquement dans un même domaine VTP

IL EXISTE TROIS VERSIONS VTP DIFFÉRENTES.

La version 1 est la version par défaut.

Les différentes versions ne sont pas compatibles entre eux, il faut obligatoirement la même version dans le même domaine VTP.

Il existe trois modes VTP diffÉrents:

  • Le mode Server: est le mode VTP par défaut. Ici, les VLAN sont propagés sur le réseau d’un même domaine VTP. 
    Lorsque l’on modifie la configuration VLAN sur un serveur VTP, que ce soit un ajout, une suppression ou bien une simple modification, elle est propagée sur tous les switchs du domaine VTP. 

La commande « vtp mode server » permet de configurer le switch en mode VTP serveur.

  • Dans le mode Client: il n’est pas possible de modifier la configuration des VLAN. La synchronisation se fait avec d’autres switchs qui sont soit en mode Client ou bien en mode Serveur !
    La commande « vtp mode client » permet de configurer le switch en mode VTP Client.
  • Et en mode Transparent, quand on modifie la configuration des VLAN’s, cela n’affecte que le switch local et il il n’ya aucune propagation dans le domaine VTP.
    Les messages VTP peuvent circuler librement, mais aucune synchronisation ne sera faite avec un autre switch !
    La commande « vtp mode transparent »  permet de configurer le switch en mode transparent.

Configuration

La commande « vtp », en mode de configuration globale, permet de configurer le mode, soit en client, soit en serveur, ou bien en mode transparent .

Un nom de domaine VTP peut être renseigné manuellement avec la commande « vtp domain »
ou bien appris automatiquement.

La commande « vtp pruning » permet de faire des économies de bande passante.
Par exemple s’il y’a plusieurs VLAN, et que le switch n’a aucun de ses ports sur l’un de ces VLAN’s, alors il est inutile qu’ils reçoivent des trames VTP de ce VLAN.

La fonction « VTP pruning » permet d’avertir le switch voisin de ne pas lui envoyer de trafic pour un VLAN dont il n’a aucun port d’affecter.

Vérification

La commande « show vtp status » permet d’afficher la configuration VTP du switch.

Et la commande « show vlan » affiche la configuration des VLAN

VTP Configuration

Dans la sortie d’un « show vtp status », on peut voir:

  • Le numéro de révision. Chaque fois qu’on ajoute ou supprime un vlan, c’est ce numéro qui est incrémenté ! Ici il est à « 0 » sur les 3 switches, car aucune modification de vlan à eu lieu.
  • Le mode opératoire du VTP : Le mode Serveur est le mode par défaut.
  • Et la ligne VTP prunning permet de supprimer le trafic inutile sur les liens trunks.

Par exemple, si un switch reçoit des paquets à destination de vlan, dont aucune de ses interfaces n’en fait partit, alors les paquets seront supprimés.

Cette fonction permet donc d’éviter que le switch voisin n’envoie des paquets qui seront, de toute façon, supprimés.

Très utilisé pour faire des économies de bande passante.

VTP DANGER

Si un client possède un numéro de révision supérieur à celui de ses voisins, il va alors transmettre ses informations à tout le monde. Ceci est très dangereux. Il faut donc faire très attention lorsque nous insérons un nouveau switch dans un réseau à remettre son numéro de révision à 0. Le passage du mode client-serveur permet de le faire.

Recommandations

  • utiliser un mot de passe par domaine VTP
  • ne pas créer de domaine VTP trop étendu
  • ne pas dépasser 1 ou 2 VTP server

Rappelez-vous la révision de configuration et comment la réinitialiser à chaque fois que vous insérez un nouveau commutateur dans votre réseau, de sorte que vous ne mettiez pas en panne le réseau entier.

● Évitez autant que possible d’avoir un VLAN qui s’étend sur le réseau entier.

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

A lire également

Sécurité Serveur AAA RADIUS TACACS

ParDamien Soulages

Sécurité RADIUS TACACS : La couche d’accès est le point auquel les périphériques utilisateurs se connectent au réseau. C’est donc le point de connexion entre le réseau et tout périphérique client. Protéger cette couche revient à protéger les utilisateurs, les applications et le réseau lui-même contre les erreurs humaines et les attaques malveillantes. Atténuer les menaces à…

Démarrage des équipements Cisco : CPU RAM ROM FLASH

ParDamien Soulages

Démarrage des équipements cisco Composants internes du routeur Les principaux composants internes d’un routeur Cisco sont le CPU, les interfaces, la RAM, la mémoire ROM, la mémoire flash et la NVRAM. Devenir un Expert IT Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences Recevoir la version digitale gratuitement…

RIPv2 : Routage à vecteur de distance ou état de lien

ParDamien Soulages

RIPv2 Vue d’ensemble des protocoles de routage Ripv2 : Les routeurs sont des dispositifs permettant de « choisir » le chemin que les datagrammes vont emprunter pour arriver à destination. Il s’agit de machines ayant plusieurs cartes réseau dont chacune est reliée à un réseau différent. Ainsi, dans la configuration la plus simple, le routeur n’a qu’à…

PortFast et BPDU Guard Spanning-tree Boucle

ParDamien Soulages

PortFast : STP est responsable du maintien d’une topologie réseau sans boucles. PortFast et BPDU Guard Des précautions sont nécessaires, à chaque fois que l’on active un port de switch. Si le port qu’on active est connecté à un autre switch, alors des BPDU seront échangées pour s’assurer qu’il n’ya aucune boucle dans le réseau. Pendant…
|

Commande Show

ParDamien Soulages

Les commandes de type Show pour les interfaces Lorsqu’on termine la configuration des interfaces d’un routeur, c’est-à-dire après lui avoir affecté une ou des IP, il est possible de faire des vérifications en utilisant différentes commandes «  show ». Devenir un Expert IT Le guide ultime pour les personnes en reconversion et celles qui veulent monter en…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *