Virtuals LAN

Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT

Virtuals LAN (VLANs)

VLANFonctionnement

Thomas Moegli

๏ Un domaine de diffusion (Broadcast domain) est une zone d’un réseau informatique dans laquelle n’importe quel ordinateur connecté à cette zone peut directement transmettre à tous les autres ordinateurs du même domaine, sans passer par un routeur

๏ Tous les périphériques d’un même domaine de diffusion reçoivent les trames de diffusion émis dans ce domaine

๏ Un équipement de couche 3 (Routeurs, Switchs L3, Firewall) définit la limite d’un domaine de diffusion

Domaine de diffusion

3

Thomas Moegli

๏ VLAN : Séparation logique d’un domaine de diffusion en plusieurs domaines ๏ Un paquet broadcast n’est envoyé qu’aux hôtes situés dans le même VLAN

Concept VLAN

4

VLAN 100

VLAN 200

Thomas Moegli

๏ Séparation logique (par département, par emplacement physique, par groupes de travail, …

๏ Segmentation en plusieurs réseaux LAN, réduit ainsi la charge globale

๏ Réduire la charge STP ๏ Augmente la sécurité en séparant certaines sections

contenant des données sensibles des autres sections ๏ Séparation du trafic envoyé par un téléphone IP du trafic

envoyé par un PC connecté à ce téléphone

Avantages VLAN

5

VLAN 2IT

10.0.2.0/24

VLAN 3HR

10.0.3.0/24

VLAN 4Sales

10.0.4.0/24

5ème étage

3ème étage

1er étage

Thomas Moegli

Domaines de diffusion (Broadcast Domain) Fonctionnement sans VLAN

6

Broadcast

S1 S2

PC1172.17.40.21/24

PC2172.17.40.22/24

PC3172.17.40.23/24

PC4172.17.40.24/24

PC5172.17.40.25/24

PC6172.17.40.26/24

Broadcast

Broadcast Broadcast

Broadcast

Broadcast

Thomas Moegli

S1

PC1172.17.40.21/24

PC2172.17.50.22/24

PC3172.17.60.23/24

PC6172.17.40.26/24

PC7172.17.40.27/24

PC4172.17.50.24/24

PC5172.17.50.25/24

PC8172.17.60.28/24

PC9172.17.60.29/24

Broadcast

Broadcast

Broadcast

BroadcastBroadcast

Broadcast

Broadcast

Broadcast

Broadc

ast

S2

Domaines de diffusion (Broadcast Domain) Fonctionnement avec VLAN

7

Thomas Moegli

Data VLAN

๏ VLAN configuré pour transporter les données ๏ Utilisé pour séparer le trafic réseau en groupes d’utilisateurs ou périphériques

Native VLAN

๏ Sera présenté dans la section Trunking

Types de VLAN

8

Thomas Moegli

Management VLAN

๏ VLAN configuré pour accéder à la configuration du switch (Réseau de management)

๏ Recommandé de créer un VLAN de Mgmt accessible uniquement par l’administrateur et sur lequel tous les équipements réseaux seraient connectés

๏ Permet la gestion centralisée de tous les équipements réseaux

๏ Par défaut, il s’agit du VLAN 1 (déconseillé de garder VLAN1)

Types de VLAN

9

Thomas Moegli

Voice VLAN

๏ Réseau séparé pour le trafic VoIP

๏ VoIP requiert ๏ Bande passante minimale pour la qualité de la voix ๏ Transmission prioritaire sur les autres trafics de réseau ๏ Possibilité d’être routé même dans des réseaux

congestionnés

๏ Délai de moins de 150 ms sur le réseau

Types de VLAN

10

PC2

IT (VLAN 20) 172.17.20.25

F0/18

F0/3

F0/3

F0/5F0/1

S1

R1

S3

Port configuré pour supporter trafic VoIP- Le port envoie des trames CDP pour recevoir les informations IP pour le téléphone- Ces trames sont associées au VLAN 120

Switch configuré pour supporter la VoIP- Utilise VLAN 150 pour VoIP- Priorité au traffic Voice

Thomas Moegli

Classic VLAN

๏ Identifiées par un VLAN ID de 1 à 1005 ๏ Identifiant 1 et 1002 à 1005 sont crées automatiquement et ne peuvent pas être supprimés ๏ La configuration est stockée dans un fichier vlan.dat, placé en mémoire Flash

Extended VLAN

๏ Identifiants 1006 à 4094 ๏ ISL utilise un VLAN ID de 10 bits (1024 Vlans).

802.1Q utilise un VLAN ID de 12 bits ( jusqu’à 4096 Vlans) ๏ Ces configurations ne sont pas écrites dans le fichier vlan.dat mais (par défaut) dans le fichier running-config ๏ Supportent moins de fonctionnalités que les VLAN classiques ๏ VTP (sauf VTPv3) ne prend pas en compte les VLAN Extended ๏ Lorsqu’un switch en mode VTP Transparant doit être converti en VTP Server ou VTP Client, les VLANs Extended doivent

être manuellement supprimés

Types de VLAN

11

Thomas Moegli

๏ La portée des VLANs est de 1 à 4094 ๏ VLANs 1 - 1001 : Normal VLAN

๏ VLANs 1002 - 1005 : Réservés pour Token Ring ๏ VLANs 1006 - 4094 : Extended VLAN

Types de VLAN

12

VLANTrunking

Thomas Moegli

๏ Fonctionnalité permettant l’inter-connexion de VLANs à travers plusieurs switchs

VLAN Trunking

14

Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102

Thomas Moegli

๏ Lien Access ๏ Se connectent sur les terminaux (hôtes ou routeurs) ๏ Font partie d’un seul VLAN

VLAN Trunking Types de liens

15

๏ Lien de Trunk ๏ Transporte le trafic de plusieurs VLANs ๏ Lien entre switchs

Lien Trunk

Lien Access

Lien Access

Lien Access

Lien Access

Lien Access

Lien Access

Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102

Thomas Moegli

๏ Sur un lien de trunk, le trafic de plusieurs VLAN transite

๏ Pour différencier ces trafics, un tag est ajouté qui identifie le VLAN ๏ Le tag n’est ajouté qu’au début d’un lien de trunk et est retiré avant remise au destinataire

๏ Les tags sont présents uniquement sur des liens de trunking

VLAN Trunking VLAN Tagging

16

Lien Trunk

TAG

Trame

Trame

Trame

Thomas Moegli

๏ Protocoles de trunking : ๏ ISL ๏ IEEE 802.1Q

VLAN Trunking Protocoles

17

VLAN 100

VLAN 200

VLAN 100

VLAN 200

VLAN ID Ethernet Trame

Trunk

Ethernet Trame Ethernet Trame

Thomas Moegli

๏ Protocole propriétaire Cisco (crée avant le standard IEEE 802.1Q) ๏ Ne peut être utilisé qu’entre switchs Cisco

๏ Encapsulation complète de la trame Ethernet ๏ Protocole relativement ancien, n’est pratiquement plus utilisé actuellement

๏ Certains switchs récents Cisco ne supportent plus ISL

VLAN Trunking Protocole ISL : Cisco Inter-Switch Link

18

En-tête ISL

๏ Plusieurs champs dont le champ VLAN pour placer l’ID du VLAN

๏ Addr. Source et Dest sont celles des switchs

DA TYPE USER LEN AAAA03 HSA BPDU

Trame encapsulée

SA40 4 4 48 16 24 24

VLAN15 1

INDEX16

RES16

1 à 24,575 octets

FCS

32bits

En-tête ISL

26 octets

Thomas Moegli

CFI1

Trame encapsulée

42 à 1500

FCS

4

Type / Longueur

2

Tag 802.1QAdresse MAC source

Adresse MAC destinationSFDPréambule

4667 1

Priority3

VLAN ID12

TPID2

octets

[octets]

[bits]

๏ Standard IEEE, protocole le plus répandu

๏ Fonctionne avec Cisco et d’autres marques

๏ N’encapsule pas la trame originale mais insère un en-tête supplémentaire

๏ Conserve les adresses sources et destination originales

๏ Nécessité de recalculer le champ FCS (se base sur la trame entière)

VLAN Trunking Protocole 802.1Q

19

Thomas Moegli

Champs du tag 802.1Q : ๏ TPID : Tag Protocol Identifier

๏ Similaire au code Ethernet qui indique le type de trame ๏ 0x8100 : Code représentant une trame 802.1Q

๏ Priority : utilisé pour la QoS

๏ CFI : Canonical and Format Identifier : n’est plus utile sur les réseaux actuels ๏ Permet d’indiquer s’il s’agit d’un réseau Ethernet ou un réseau Token Ring


20

CFI1

Trame encapsulée

42 à 1500

FCS

4

Type / Longueur

2

Tag 802.1QAdresse MAC source

Adresse MAC destinationSFDPréambule

4667 1

Priority3

VLAN ID12

TPID2

octets

[octets]

[bits]

Thomas Moegli


21

Dest. Address Source Address Len. / Type Data FCS

Dest. Address Source Address Len. / Type Data FCS802.1Q Tag

Type(16 bits, 0x8100)

Priority(3 bits)

Flag(1 bit)

VLAN ID(12 bits)

Thomas Moegli

๏ En-tête VLAN ๏ ISL : Trame Ethernet encapsulée avec en-tête et en-queue ๏ 802.1Q : En-tête uniquement

๏ Nombre de VLAN ๏ ISL et 802.1Q : 212 soit 4096 VLAN ๏ VLAN-IDs : 1-1005 (Normal VLAN), 1005 et plus (Extended VLAN)

๏ Instance STP ๏ ISL et 802.1Q : Support d’une instance STP par VLAN

๏ VLAN Natif ๏ 802.1Q définit un VLAN natif pour chaque trunk ๏ ISL n’utilise pas ce concept

VLAN Trunking Comparatif (ISL - 802.1Q)

22

Thomas Moegli

VLAN Trunking Comparatif (ISL - 802.1Q)

23

Fonction ISL 802.1Q Défini par Cisco IEEE

En-tête En-tête + En-queue Encapsulation

En-tête uniquement Pas d’encapsulation

Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui

Plusieurs instances Spanning Tree Oui Oui

Utilisation d’un LAN natif Non Oui

Fonction ISL 802.1Q Défini par Cisco IEEE

En-tête En-tête + En-queue Encapsulation

En-tête uniquement Pas d’encapsulation

Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui

Plusieurs instances Spanning Tree Oui Oui

Utilisation d’un LAN natif Non Oui

Taille du tag 26 + 4 octets 4 octetsTechnologies Layer 2 Ethernet, Token Ring, FDDI Ethernet

Thomas Moegli

๏ Un VLAN natif est un VLAN sur lequel les switchs n’ajoutent pas de tagging. Autrement dit, les trames circulent sans être modifiées

VLAN Trunking Native VLAN

24

SW1 SW2

TrunkNative VLAN 1

TrameDst MAC

Src MAC

VLAN TagTrameDst

MACSrc

MAC TrameDst MAC

Src MAC

TrameDst MAC

Src MACTrameDst

MACSrc

MAC TrameDst MAC

Src MAC

PC 1VLAN 50

PC 2VLAN 1 (natif)

PC 3VLAN 50

PC 4VLAN 1 (natif)

Thomas Moegli

๏ Chaque switch dispose d’un VLAN natif ๏ Par défaut, il s’agit du VLAN 1 ๏ Spécifié par IEEE 802.1Q pour garder la compatibilité avec des réseaux sans gestion de VLAN

๏ Les paquets du VLAN natif transitent sur les liens de trunk sans tag ๏ Nécessaire que tous les liens de trunk disposent du même numéro VLAN natif ๏ Message d’erreur lorsque des VLANs natifs différents sont configurés sur deux switchs Voisins :

๏ CDP est utilisé pour identifier les incohérences de configuration du VLAN natif sur les switchs voisins.Si CDP est désactivé, l’erreur n’est pas détectée

๏ Best Practice : Configurer un VLAN particulier comme VLAN natif ๏ Eviter de laisser le VLAN 1 être VLAN natif ๏ Configuration nécessaire sur tous les switchs ๏ Si possible, éviter d’utiliser le VLAN natif

VLAN Trunking Native VLAN

25

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/1 (2), with D-R3550-9B GigabitEthernet0/1 (1)

Thomas Moegli

Ne pas confondre VLAN natif et VLAN par défaut

๏ Le VLAN natif est un VLAN particulier sur lequel aucun tag n’est placé dans les trames qui circulent sur le lien de trunk

๏ Pour les switchs Cisco, le VLAN natif est 1

๏ Le VLAN par défaut est un VLAN configuré sur tout switch Cisco ๏ Pour les switchs Cisco, le VLAN par défaut est également 1 (ne peut être modifié)

VLAN Trunking Native VLAN et VLAN par défaut

26

VLANRoutage Inter-VLAN

Thomas Moegli

๏ Les hôtes d’un même VLAN sont sur le même sous-réseau

๏ Communication directe entre hôtes

๏ Les hôtes de VLANs différents sont sur des sous-réseaux différents

๏ Nécessite l’utilisation d’un routeur ou équipement de couche 3 pour la communication Inter-VLAN

Routage entre VLAN

28

VLAN 10Management

VLAN 11Wireless

VLAN 12Clients

VLAN 10Management

VLAN 11Wireless

VLAN 12Clients

SW1 SW2

Thomas Moegli

Séparation physique sur routeur

Utilisation de Switchs Layer 3 et SVI (Switch Virtual Interface)

Routage entre VLAN

29

VLAN 10Management

VLAN 11Wireless

VLAN 10Management

VLAN 11Wireless

Utilisation de sous-interfaces (Sub-Interfaces) : Router to a Stick

VLAN 10Management

VLAN 11Wireless

SVI 10 : 10.10.1.254SVI 11 : 10.10.2.254

Thomas Moegli

๏ Nécessite un routeur muni d’autant d’interfaces physiques que de VLANs à connecter

๏ Chaque VLAN dispose d’une connexion physique sur le routeur

๏ Attention aux boucles de routage ! Un routeur ne doit disposer que d’une interface sur un VLAN

๏ Le lien entre le routeur et le VLAN est un lien d’accès

Routage entre VLAN Routage via interfaces physiquement séparés

30

SW1

Fa0/

0 Fa0/1

Fa0/40Fa0/

20

Fa0/19

Fa0/18

Fa0/39

Fa0/38

VLAN 10Management10.10.10.0/24

VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

.1.254

R1 : 10.10.10.1

R1

Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20

R1 : 10.20.20.254

Thomas Moegli

SW1

Fa0/0

Fa0/2

0

Fa0/1

9

Fa0/1

8

Fa0/3

9

Fa0/3

8


VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

R1 : 10.10.10.1

R1

Interfaces sur VLAN 10 : Fa0/38, Fa0/39

Interfaces sur VLAN 11 : Fa0/18, Fa0/19

R1 : 10.20.20.254Lien de TrunkVLANs autorisés : 10,11

๏ Au sein d’une interface physique, définition de plusieurs interfaces logiques

๏ Chaque interface logique est associée à un VLAN particulier

๏ L’interface physique ne reçoit pas d’adresse IP, ce sont les adresses logiques qui sont configurées avec une adresse

๏ Pas de limite sur le nombre d’interfaces logiques par interface physique

๏ Le lien entre le routeur et le switch est un lien de trunk sur lequel les VLANs devant être interconnectées sont autorisées

๏ Le numéro de la sous-interface ne doit pas forcément correspondre au numéro du VLAN

Routage entre VLAN Routage via sous-interfaces

31

R1

VLAN 10Serveurs

VLAN 20Management

VLAN 30Clients

VLAN 40Wireless

Fa0/0.10

Fa0/0.20

Fa0/0.21

Fa0/0.40

Fa0/0

Thomas Moegli

๏ Un switch Layer 3 propose également des fonctions de routage inter-VLAN

๏ Définition d’interfaces virtuelles (SVI : Switched Virtual Interface) au sein du switch

๏ Ces interfaces disposent d’adresses IP

๏ Méthode la plus couramment utilisée, la plupart des switchs actuels disposent de fonctions de couche 3

๏ Nécessaire d’activer la fonctionnalité de routage au sein du switch

Routage entre VLAN Routage par Switch Multilayer

32

SW1

Fa0/19

Fa0/18

Fa0/39

Fa0/38


VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

SW1 : 10.10.10.1

Interfaces sur VLAN 10 : Fa0/38, Fa0/39Interfaces sur VLAN 11 : Fa0/18, Fa0/19

SW1 : 10.20.20.254

Voice VLAN

Thomas Moegli

๏ La plupart des switchs Cisco permettent de mettre en oeuvre un réseau VoIP sur un réseau physique existant

๏ Séparation logique du réseau VoIP et du réseau de données

๏ Les téléphones peuvent être placés dans un Voice VLAN spécifique (VVID) avec la mise en oeuvre de politiques QoS particulières.

๏ L’administrateur n’a qu’à simplement brancher le téléphone sur le port configuré avec Voice VLAN

๏ Le téléphone est reconnu par le switch en échangeant des messages CDP

๏ Le téléphone obtient du switch via CDP les informations du VLAN Voice ainsi que toutes les informations pour contacter un serveur VoIP

Voice VLAN

34

VoiceVLAN 20

DataVLAN 10

VoiceVLAN 20

DataVLAN 10

VoiceVLAN 20

DataVLAN 10

VoiceVLAN 20

DataVLAN 10

Thomas Moegli

๏ Un switch compatible Voice VLAN offre la possibilité de configurer un port d’accès pour plusieurs VLANs ๏ Le téléphone fait office de « mini-switch » et gère le VLAN Voice et le VLAN de données

๏ Les ports qui doivent se connecter à un téléphone IP doivent être configurés en mode d’accès et supporter deux VLAN ๏ Un VLAN natif qui est utilisé par le PC pour le trafic de données ๏ Un VLAN Voice pour le téléphone

๏ Durant le processus d’échange CDP initial entre le switch et le téléphone, ce dernier est configuré avec le VVID ๏ Le port est également configuré avec des paramètres QoS pour la voix

๏ Les paquets qui transitent entre le switch et le PC sont placés dans le VLAN natif ๏ Le switch envoie les paquets du VLAN de données non taggés sur le port d’accès

๏ Les paquets Voice qui transitent entre le switch et le téléphone sont taggés

Voice VLAN Fonctionnement

35

Encapsulation 802.1QVLAN natif

Pas de configuration

nécessaire sur le PC

Voice VLAN = 20 Data VLAN = 10

Thomas Moegli

๏ Configuration d’une interface pour supporter un VLAN Voice et un VLAN Data :

Voice VLAN Configuration

36

Voice VLAN = 20

Data VLAN = 10

Fa0/1

Switch(config-if)# interface FastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# switchport voice vlan 20

Thomas Moegli

๏ Vérification que le port est connecté au VLAN Voice et VLAN Data :

Voice VLAN Vérification

37

Voice VLAN = 20

Data VLAN = 10

Fa0/1

Switch# show vlan

VLAN Name Status Ports ---- -------------------------------- --------- ----------------- 1 default active Fa0/6,Fa0/7,Fa0/8, Fa0/9,Fa0/10 10 VLANDATA10 active Fa0/1 20 VLANVOICE20 active Fa0/1 <... output omitted ...>

Configuration VLAN

Thomas Moegli

๏ Création d’un VLAN :

๏ Assignation d’un port à un VLAN particulier :

Configuration VLAN Création et assignation d’un VLAN

39

SW1(config)# vlan id-vlanSW1(config-vlan)# name nom-vlanSW1(config-vlan)# exit

SW1(config)# interface interface-type interface-idSW1(config-if)# switchport mode accessSW1(config-if)# switch port access vlan vlan-id

SW1(config)# interface range interface-type interface-id-debut - interface-id-finSW1(config-if-range)# switchport mode accessSW1(config-if-range)# switch port access vlan vlan-id

Thomas Moegli

๏ La suppression d’un VLAN se fait par la négation de la commande de création d’un VLAN :

๏ Attention aux ports attribués aux VLANs ! ๏ Lors de la suppression d’un VLAN, les ports rattachés à ce dernier ne sont pas mis dans le VLAN 1 ๏ Ils n’appartiennent à aucun VLAN et ne sont plus opérationnels ๏ Il est recommandé, avant suppression d’un VLAN, de rattacher les ports au VLAN par défaut

Configuration VLAN Suppression d’un VLAN

40

SW1(config)# no vlan id-vlan

SW1(config)# no vlan id-vlanSW1# show vlanVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5 10 Bob-vlan active Fa0/11, Fa0/12 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 …

SW1# show vlanVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 …

SW1(config)# no vlan 10

Fa0/11, Fa0/12 ????

Thomas Moegli

Configuration VLAN Exemple

41

! Création VLAN 20 SW1(config)# vlan 20SW1(config-vlan)# name Freds-vlan

SW1(config)# interface range FastEthernet 0/13 – 14 SW1(config-if)# switchport access vlan 20 SW1(config-if)# exit

! Création VLAN 10 SW1(config)# vlan 10SW1(config-vlan)# name Bob-vlan

SW1(config)# interface range FastEthernet 0/11 – 12 SW1(config-if)# switchport access vlan 10 SW1(config-if)# exit

! Création VLAN 30 SW1(config)# vlan 30SW1(config-vlan)# name Alice-vlan

SW1(config-if)# interface range FastEthernet 0/15 – 16 SW1(config-if)# switchport access vlan 30 SW1(config-if)# exit

Fa0/15

Fa0/16

Fa0/11

Fa0/12

Fa0/13

Fa0/14

VLAN 3

VLAN 1

VLAN 2

SW1

VLAN 30

VLAN 20

VLAN 10

Thomas Moegli

2 méthodes de configurer VLANs ๏ Méthode légale avec VLAN Database (déconseillé) :

๏ Méthode moderne :

Configuration VLAN Méthodes

42

SW1# vlan databaseSW1(vlan-database)# vlan vlan-idSW1(vlan-database)# end

SW1(config)# vlan vlan-idSW1(config-vlan)# name vlan-name

Thomas Moegli

Configuration VLAN Commandes de vérification

43

CommandeSwitch# show vlan Affiche les VLANs configurés ainsi que l’assignation des portsSwitch# show interfaces trunk Affiche les interfaces configurés en mode trunk ainsi que les VLANs autorisés sur ces liensSwitch# show interface interface-id switchport Affiche des informations détaillées sur l’interface

Thomas Moegli

๏ Commande show vlan brief

Commandes de vérification

Vérification : show vlan brief

44

SW1# show vlan briefVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Bob-vlan active Fa0/11, Fa0/12 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

Thomas Moegli

Etapes ๏ Configuration d’un lien de trunk

๏ Configuration du lien comme trunk ๏ Définition du protocole de trunk ๏ Autorisation de VLAN spécifiques à transiter sur ce lien de trunk

Configuration VLAN Trunking

45

SW1(config)# interface interface-type interface-idSW1(config-if)# switchport mode trunkSW1(config-if)# switchport trunk encapsulation [dot1q | isl] SW1(config-if)# switchport trunk allowed vlan vlan-id, vlan-id, …

Thomas Moegli

SW1(config)# interface Fa0/1SW1(config-if)# switchport mode trunkSW1(config-if)# switchport trunk encapsulation dot1q SW1(config-if)# switchport trunk allowed vlan 10, 11, 12

Configuration VLAN Trunking : Exemple

46

SW1 SW2

Fa0/1Fa0/1

VLAN 10Management

VLAN 11Wireless

VLAN 12Clients

Fa0/10

Fa0/11

Fa0/12

VLAN 10Management

VLAN 11Wireless

VLAN 12Clients

Fa0/10

Fa0/11

Fa0/12

SW2(config)# interface Fa0/1SW2(config-if)# switchport mode trunkSW2(config-if)# switchport trunk encapsulation dot1q SW2(config-if)# switchport trunk allowed vlan 10, 11, 12

Thomas Moegli

๏ Par défaut, les liens de trunk autorisent le passage de tous les VLANs (1 à 4094)

๏ Il est possible de restreindre le trafic à certains VLANs uniquement via la commande :

๏ Lors de l’ajout de VLANs, spécifier le mot-clé add pour ajouter le VLANs à la liste :

๏ L’omission du mot-clé add remplace la liste précédente par les nouveaux VLANs indiqués :

Configuration VLAN Trunking : Autorisation de VLANs

47

Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, vlan-id3, …

Switch(config-if)# switchport trunk allowed vlan add vlan-id4, vlan-id5, vlan-id6, …

SW1(config-if)# switchport trunk allowed vlan 10,11,12

SW1(config-if)# switchport trunk allowed vlan 66

TrunkFa0/10 Fa0/10

VLAN 10VLAN 11

VLAN 12

TrunkFa0/10 Fa0/10

VLAN 66

Thomas Moegli

Autres commandes d’autorisation de VLAN

๏ Définition de la liste :

๏ Ajout d’un VLAN dans la liste :

๏ Suppression d’un VLAN dans la liste :

๏ Ajouter tous les VLANs :

๏ Exclure un ou des VLANs de l’ensemble :

Configuration VLAN Trunking : Autorisation de VLANs

48

Switch(config-if)# switchport trunk allowed vlan 10, 20, 30

Switch(config-if)# switchport trunk allowed vlan add 40

Switch(config-if)# switchport trunk allowed vlan delete 10

Switch(config-if)# switchport trunk allowed vlan all

Switch(config-if)# switchport trunk allowed vlan except 60

10, 20, 30

10, 20, 30, 40

10, 20, 30, 40

1-65535

1-59, 61-65535

Thomas Moegli

๏ Afficher les interfaces configurés comme liens de trunk :

๏ Indique le VLAN natif ๏ Indique le protocole utilisé sur le lien de trunk ๏ Indique les VLANs autorisés sur le lien

Configuration VLAN Trunking : Vérification

49

Switch# show interfaces trunk

Switch# show interfaces trunk

Port Mode Encapsulation Status Native vlan Et0/0 on 802.1q trunking 1 Et0/1 on 802.1q trunking 1

Port Vlans allowed on trunk Et0/0 1-4094 Et0/1 1-4094

Port Vlans allowed and active in management domain Et0/0 1 Et0/1 1

Port Vlans in spanning tree forwarding state and not pruned Et0/0 1 Et0/1 1

Thomas Moegli

๏ Protocole réseau propriétaire de Cisco

๏ Permet de gérer dynamiquement l’activation ou la désactivation du mode trunk sur un port d’un switch ๏ Configuration d’un mode sur le port et échange de messages DTP (en fonction du mode) pour négocier

l’établissement ou non d’un lien de trunk ๏ Modes disponibles :

๏ Dynamic Desirable : Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk ๏ Dynamic Auto : Réception de messages DTP et configuration du port en fonction du message DTP reçu du voisin ๏ Trunk : Port configuré en mode Trunk. Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk

๏ L’état Trunk s’effectue en configurant l’interface avec la commande :

๏ Access : Port configuré en mode Access. Envoi de messages DTP pour demander la mise en oeuvre d’un lien d’accès ๏ L’état Access s’effectue en configurant l’interface avec la commande :

๏ Nonegotiate : Désactivation de l’envoi/réception de messages DTP sur le port ๏ L’état nonegotiate s’effectue en configurant l’interface avec la commande :

๏ Il est toutefois recommandé de configurer manuellement le port comme port Trunk ou port Access

Configuration VLAN DTP : Dynamic Trunk Protocol

50

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport mode access

Switch(config-if)# switchport no negotiate

Thomas Moegli

Configuration VLAN Modes Switchport

51

SW1

SW2

Mode Switchport choisi sur l’interface de SW2Dynamic Auto Dynamic Desirable Trunk Access

Dynamic Auto

Configuration incohérence Trunk Trunk Access

Dynamic Desirable Trunk Trunk Trunk Access

Trunk Trunk Trunk Trunk Configuration incohérence

Access Access Access Configuration incohérence Access

Mod

e Sw

itchp

ort c

hois

i sur

l’in

terfa

ce

de S

W1

Thomas Moegli

๏ Pour vérifier le status d’un port :

๏ Permet de déterminer quel mode DTP est configuré sur le switch ๏ Permet de déterminer quel mode DTP est actuellement

opérationnel (Trunk ou Access) ๏ Indique le VLAN natif

Configuration VLAN DTP : Vérification

52

Switch# show interfaces interface-id switchport

SW1# show interfaces Ethernet0/1 switchport Name: Et0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled

Thomas Moegli

Etapes ๏ Sur le routeur, configuration de l’interface avec une adresse IP appartenant au VLAN :

๏ Sur le switch, configuration de l’interface liée au routeur ๏ Configuration du lien comme lien d’accès :

๏ Configuration du lien sur un VLAN particulier :

Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées

53

Router(config)# interface interface-idRouter(config-if)# ip address ip-address subnet-mask

Switch(config-if)# switchport access vlan-id

Switch(config)# interface interface-idSwitch(config-if)# switchport mode access

Thomas Moegli


54

SW1

Fa0/

0 Fa0/1

Fa0/40Fa0/

20

Fa0/19

Fa0/18

Fa0/39

Fa0/38


VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

.1.254

R1 : 10.10.10.1

R1


R1 : 10.20.20.254

R1(config)# interface Fa0/0 R1(config-if)# ip address 10.20.20.254 255.255.255.0 R1(config-if)# no shutdown

R1(config)# interface Fa0/1 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config-if)# no shutdown

SW1(config)# interface range Fa0/18 - 20SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10


Thomas Moegli

Etapes ๏ Sur le routeur, suppression de l’adresse IP de l’interface physique :

๏ Sur le routeur, configuration d’une interface logique : ๏ Assignation de l’interface sur un VLAN particulier :

๏ Configuration de l’adresse IP :

๏ Sur le switch, configuration du lien vers le routeur comme lien de trunk ๏ Configuration du mode :

๏ Autorisation des VLANs :


55

Router(config)# interface interface-idRouter(config-if)# no ip address

Router(config)# interface interface-id.subinterface-idRouter(config-sub-if)# encapsulation dot1q vlan-id

Router(config-sub-if)# ip address ip-address subnet-mask

Switch(config)# interface interface-id Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, …

Thomas Moegli

Configuration VLAN Routage Inter-VLAN : Router-to-a-Stick

56

SW1Fa0/0

Fa0/20

Fa0/19

Fa0/18

Fa0/39

Fa0/38


VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

R1 : 10.10.10.1

R1


R1 : 10.20.20.254

R1(config)# interface Fa0/0R1(config-if)# no ip address R1(config-if)# no shutdown R1(config)# interface Fa0/0.10R1(config-if)# encapsulation dot1q 10 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config)# interface Fa0/0.11R1(config-if)# encapsulation dot1q 11 R1(config-if)# ip address 10.20.20.254 255.255.255.0

SW1(config)# interface range Fa0/18 - 19 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10

SW1(config)# interface range Fa0/38 - 39 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11

SW1(config)# interface Fa0/20SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk allowed vlan 10,11

Thomas Moegli

Configuration VLAN Routage Inter-VLAN : Switch Multilayer

57

SW1

Fa0/19

Fa0/18

Fa0/39

Fa0/38


VLAN 11Wireless

10.20.20.0/24

.100

.101

.200

.201

SW1 : 10.10.10.1

Interfaces sur VLAN 10 : Fa0/38, Fa0/39Interfaces sur VLAN 11 : Fa0/18, Fa0/19

SW1 : 10.20.20.254



SW1(config)# interface Vlan10SW1(config-if)# ip address 10.10.10.1 SW1(config-if)# no shutdown

SW1(config)# interface Vlan11SW1(config-if)# ip address 10.20.20.254 SW1(config-if)# no shutdown

SW1(config)# ip routing

Thomas Moegli

๏ Configuration d’une interface comme interface Layer 3


58

SW1

Fa0/0

Fa0/19

Fa0/18

Fa0/39

Fa0/38

.100

.101

.200

.201

R1

Fa0/4

7

Fa0/1

10.99

.0.0/2

4

.253

.254

192.168.0.0/24.254

SW1(config)# interface Fa0/47SW1(config-if)# no switchport SW1(config-if)# ip address 10.99.0.253 255.255.255.0 SW1(config-if)# no shutdown

๏ Les interfaces Layer 3 de switchs peuvent également être configurés avec un protocole de routage

SW1(config)# router ripSW1(config-router)# version 2 SW1(config-router)# network 10.0.0.0

Thomas Moegli

๏ Par défaut, tous les ports d’un switch Multilayer sont des ports de couche 2 ๏ Ils ne comprennent pas l’adressage IP et transmettent les trames par identification de l’adresse MAC ๏ Pour changer le port Layer 2 à un port Layer 3, il est nécessaire d’utiliser la commande no switchport


59

no switchport

Thomas Moegli

Configuration VLAN Configuration Voice VLAN

60

1 2ABC

3DEF

4 5JKL

6MNOGHI

7 8TUV

9WXYZPQRS

* 0OPER

#

?

+-

CISCO IP PHONE7970 SERIES

1 2ABC

3DEF

4 5JKL

6MNOGHI

7 8TUV

9WXYZPQRS

* 0OPER

#

?

+-


1 2ABC

3DEF

4 5JKL

6MNOGHI

7 8TUV

9WXYZPQRS

* 0OPER

#

?

+-


Fa0/20

Fa0/21

Fa0/22

VLAN 20Voice

VLAN 30DataSW1(config)# vlan 20

SW1(config-vlan)# name Voice SW1(config)# vlan 30SW1(config-vlan)# name Data

SW1(config)# interface range FastEthernet 0/20-22 SW1(config-if-range)# switchport mode accessSW1(config-if-range)# switchport access 30SW1(config-if-range)# switchport voice 20

Thomas Moegli

๏ Cisco IOS enregistre les informations VLAN dans un fichier vlan.dat dans la mémoire Flash

๏ Sauvegarde automatique des informations de VLAN (pas nécessaire de copier running-config dans la Flash)

๏ Pour réinitialiser un switch à ses paramètres d’usine ๏ Réinitialiser sa configuration via la commande : ๏ Effacer le fichier des VLANS via la commande :

Fichier de configuration VLAN

61

Switch# write erase

Switch# delete flash:vlan.dat

VLAN Trunking Protocol

Thomas Moegli

๏ Lors de la gestion d’un environnement réseau complexe, l’ajout d’un VLAN peut être fastidieux

๏ Il est nécessaire de créer le VLAN sur l’ensemble des switchs

๏ Lors de suppression ou ajout réguliers de VLANs, il est également difficile de garder une cohérence sur l’ensemble des switchs

๏ Certains switchs oubliés par l’administrateur conservent ainsi une configuration VLAN qui n’est plus adapté

๏ Solution : Protocole VTP ๏ Permet de synchronisation et utiliser une

configuration VLAN pour l’ensemble des switchs ๏ La création/suppression de VLANs est ensuite

répercutée dynamiquement sur tous les switchs


63

Je crée un nouveau VLAN 100

Configuration manuelle du VLAN 100









Thomas Moegli

๏ Utilisé pour partager la configuration VLAN sur plusieurs switchs

๏ Messages VTP entre switchs pour synchroniser leurs configuration

๏ On configure un domaine VTP et tous les switchs doivent être membres de ce domaine

๏ Maintient une structure cohérente sur l’ensemble du réseau

๏ Protocole propriétaire Cisco


64

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

VLANS10, 20, 30

Thomas Moegli

๏ VTP requiert que les switchs doivent : ๏ Etre configurés dans le même domaine VTP ๏ Etre connectés entre eux via des liens de trunks ๏ Etre configurés avec le même mot de passe VTP ๏ Sur un lien de trunk, les switchs connectés entre eux doivent communiquer en utilisant la même version de VTP

๏ Il n’est pas nécessaire (mais fortement recommandé) que l’ensemble du domaine VTP utilise la même version de VTP

VLAN Trunking Protocol Caractéristiques

65

Thomas Moegli

๏ Un switch peut être configuré selon 3 modes différents :

VLAN Trunking Protocol Modes VTP

66

Server Mode Client Mode Transparent Mode

๏ Mode par défaut ๏ Permet de créer, modifier et

supprimer des VLANs ๏ Permet la synchronisation de

configuration VLANs ๏ Envoi d’annonces VTP aux autres

switch ๏ Sauvegarde de la configuration

dans la NVRAM

๏ Ne permet pas la création, modification et suppression de VLANs

๏ Se synchronise avec les autres configurations VLANs

๏ Transfère les annonces VTP aux autres switch et peut en générer

๏ Ne sauvegarde pas sa configuration VLAN.Au démarrage, se synchronise avec le serveur

๏ Permet la création, modification et suppression de VLANs

๏ Ne se synchronise avec les autres switch

๏ Transfère les annonces VTP aux autres switch mais n’en génère pas

๏ Sauvegarde de la configuration dans la NVRAM

๏ Certains switchs disposent d’un mode Off fonctionnant comme le mode transparent mais ne transfère pas les messages VTP

Thomas Moegli

Etapes ๏ Configuration du lien de trunk ๏ Configuration VTP :

๏ Mode VTP ๏ Domaine VTP ๏ (Optionnel) Définition d’un mot de passe VTP ๏ (Optionnel) Définition de la version VTP

๏ Vérification

๏ Tous les liens doivent être configurés comme liens de trunk

๏ Les messages VTP transitent uniquement sur des liens FastEthernet ou à débit plus élevé

VLAN Trunking Protocol Configuration

67

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client

Mode VTP : Transparant

Thomas Moegli


68

SW1(config)# interface FastEthernet 0/3SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk encapsulation dot1q

SW2(config)# interface range FastEthernet 0/1 - 2SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# switchport trunk encapsulation dot1q

SW3(config)# interface FastEthernet 0/0SW3(config-if)# switchport mode trunk SW3(config-if)# switchport trunk encapsulation dot1q

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


Thomas Moegli


69

SW1(config)# vtp domain MYDOMAINSW1(config)# vtp password cisco123 SW1(config)# vtp version 2 SW1(config)# vtp mode server

SW2(config)# vtp domain MYDOMAINSW2(config)# vtp password cisco123 SW2(config)# vtp version 2 SW2(config)# vtp mode client

SW3(config)# vtp domain MYDOMAINSW3(config)# vtp password cisco123 SW3(config)# vtp version 2 SW3(config)# vtp mode transparent

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


๏ Le nom de domaine doit correspondre sur tous les switchs VTP et est Case Sensitive ๏ Le mot de passe VTP et la version doivent correspondre ๏ VTP, une fois activé, fonctionne avec la version 1

Thomas Moegli


70

SW1(config)# vlan 10SW1(config-vlan)# name VLAN10 SW1(config)# vlan 20 SW1(config-vlan)# name VLAN20 SW1(config)# vlan 30 SW1(config-vlan)# name VLAN30

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


SW3(config)# vlan 100SW3(config-vlan)# name VLAN100 SW3(config)# vlan 200 SW3(config-vlan)# name VLAN200 SW3(config)# vlan 300 SW3(config-vlan)# name VLAN300

Thomas Moegli

๏ Le numéro de révision VTP permet d’identifier les informations de configuration les plus récentes

๏ Au départ, les messages VTP comment toujours avec le numéro de révision 0 ๏ Lors de changements de configuration VLAN sur un switch VTP Server, le numéro de révision est incrémenté avant que les

messages soient envoyés

๏ Tous les switchs VTP Clients et VTP Server doivent disposer de la configuration la plus récente ๏ C’est le switch ayant le numéro de révision le plus élevé qui sert de configuration maître ๏ Les switchs ayant un numéro de version plus ancien récupèrent la configuration maître pour l’appliquer via les messages VTP qui

contiennent le numéro de révision

๏ Attention lors de l’ajout d’un switch à une topologie réseau ๏ Par défaut, le switch dispose d’une configuration VTP Server ๏ Vérifier, avant configuration VTP, que le nouveau switch dispose d’un numéro de révision inférieur aux switchs de référence. ๏ Dans le cas contraire, le nouveau switch risque de propager sa configuration sur l’ensemble des autres switchs de la

topologie réseau ๏ Risque de suppression des VLANs sur les autres switchs

VLAN Trunking Protocol Numéro de révision VTP

71

Thomas Moegli

Changer le numéro de révision ๏ Supprimer le fichier Vlan.dat de la

mémoire Flash ๏ Changer le mode VTP du switch à

transparent et changer ensuite à nouveau sur Server ou Client

๏ Le numéro de version est réinitialisé à 0

๏ Changer le domaine VTP sur un nom de test (Domaine VTP non existant) puis remettre le nom de domaine VTP réel

๏ Vérifier le numéro de révision avec la commande :

VLAN Trunking Protocol Numéro de révision VTP

72

SW1# show flash: Directory of flash:/ 1 -rw- 3058048 <no date> c2950-i6q4l2-mz.121-22.EA4.bin 3 -rw- 556 <no date> vlan.dat

SW1# delete vlan.dat Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm]

SW1# reload

SW1# show vtp status

Thomas Moegli

๏ VTP existe en 3 versions (v1, v2, v3) ๏ Pour afficher les versions supportées par le switch :

Switch# show vtp status ๏ Indiqué sur la ligne VTP Version capable ๏ Un switch tournant sur la version 1 mais où figure la

mention « Version 2 Capable » va automatiquement migrer sur la version 2 s’il détecte qu’il est connecté à un voisin v2

VLAN Trunking Protocol Versions VTP

73

SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server

Thomas Moegli

๏ Un switch VTP v1 (v2 Capable) migre automatiquement sur VTP v2 si : ๏ Il détecte qu’il est connecté à un voisin v2 ๏ Il détecte qu’il est connecté à un voisin v3 ! Attention, il ne migre pas sur la v3 !!

๏ Un switch VTP v1 ou v2 (v3 Capable) migre uniquement sur VTP v2 de manière automatique ๏ Toute utilisation de VTP v3 doit être configurée manuellement (même si le switch détecte un voisin v3 directement connecté) ๏ VTPv3 est rétro-compatible avec VTPv2

VLAN Trunking Protocol Compatibilité : Versions VTP

74

Thomas Moegli

VLAN Trunking Protocol Versions VTP

75

VTP Version 1 VTP Version 2

Ne supporte qu’un seul domaine VTP Support de domaines VTP multiples

Vérifie le nom de domaine VTPSi correspondance, fait suivre les messages VTP

Pas de vérification du nom de domaine VTP pour l’envoi ou le transfert de messages VTP

Plus de vérifications de consistence (En-tête plus importante) Vérifie la consistance lors d’ajout de nouvelles informations

Pas de support de VLAN Token-Ring Support de VLANs Token-Ring

Thomas Moegli

VLAN Trunking Protocol VTP v3

76

VTP Version 1/2 VTP Version 3

Synchronisation d’une seule base de données VTP Synchronise les VLANs, les informations 802.1s MST et Private VLAN

Mot de passe stocké en clair Mot de passe stocké en clair ou hachage

VLANs étendus (1006 - 4094) supportés uniquement en VTP Transparent

VLANs étendus complètement supportés dans VTPv3 (Création sur VTP Primary Server et synchronisation)

Modes VTP :Server, Client, Transparent

Modes VTP :Primary server, Secondary Server, Client, Transparent, Off

Sur VTPv2, le changement du nom de domaine VTP pouvait être effectuée automatiquement dès réception d’un

message VTP

Sur VTPv3, le changement de nom de domaine VTP doit être effectué manuellement

Mises à jour de VTP basés sur le numéro de révision (numéro le plus haut) Mises à jour de VTP seulement si annoncés du Primary Server

Thomas Moegli

VLAN Trunking Protocol VTP v3 : Modes

77

Mode VTP v3 Transfert des messages ? Configuration ? Sauvegarde en mémoire ?

PRIMARY SRV Oui Oui Oui

SECONDARY SRV Oui Non Oui

CLIENT Oui Non Non

TRANSPARENT Oui Oui Oui

OFF Non Oui Oui

Thomas Moegli

๏ Secondary Server (mode par défaut) ๏ Similaire au mode VTP Client : ne permet pas l’ajout/suppression de VLANs ๏ N’est pas autorisé à mettre à jour la base de données VLAN des autres switchs

๏ Primary Server ๏ Un seul Primary Server par domaine VTPv3 ๏ Seul le Primary Server est autorisé à mettre à jour la base de données VLANs sur les autres switchs ๏ Seul le Primary Server est autorisé à ajouter ou supprimer des VLANs

VLAN Trunking Protocol VTP v3 : Modes

78

Thomas Moegli

Etapes ๏ Configuration de liens comme trunk ๏ Configuration du domaine VTPv3

๏ Configuration de la version v3 de VTP ๏ Election d’un switch comme VTP Primary Server ๏ (Opt.) Configuration du mot de passe

๏ Configuration d’un mot de passe caché (hachage)

VLAN Trunking Protocol VTP v3 : Configuration

79

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


Thomas Moegli


80

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp version 3

SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 ! Mot de passe en clair SW2(config)# vtp version 3

SW1# show vtp password VTP Password: cisco123

Thomas Moegli


81

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password cisco123 hidden ! Mot de passe chiffré SW1(config)# vtp version 3

SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 hidden ! Mot de passe en clair SW2(config)# vtp version 3

SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A

Thomas Moegli


82

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW1(config)# vtp version 3

SW2(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW2(config)# vtp version 3

SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A

Thomas Moegli

๏ Définition d’un mot de passe classique : ou :

๏ Définition d’un mot de passe haché :

๏ Définition d’une empreinte (mdp déjà haché) :


83

Switch(config)# vtp password cisco123

Switch# vtp password cisco123

Switch(config)# vtp password cisco123 hidden

Switch(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret

32 caractères hexadécimaux requis

Thomas Moegli

Création de Vlans sur le serveur primaire ๏ Configurer SW1 comme serveur primaire

๏ La configuration VLAN VTP ne permet pas la création de VLAN tant que le périphérique n’est pas le serveur primaire


84

Fa0/3

Fa0/2

Fa0/1

Fa0/0

SW1

SW2

SW3

Mode VTP : Server

Mode VTP : Client


SW1(config)# vtp primary vlan This system is becoming primary server for feature vlan Enter VTP Password: SW1(config)# vlan 10,20,30,40

SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server

Thomas Moegli

VLAN Trunking Protocol Commandes de vérification

85

Commande Description

show vtp password Affiche le mot de passe configuré pour VTP

show vtp status Affiche les informations détaillées sur VTP (numéro de révision, version VTP, mode d’opération, etc…

show vlan brief Afficher les VLANs actuellement configurés sur le switch

Thomas Moegli

๏ Technique permettant une meilleure bande passante en limitant la portée du trafic des VLANs ๏ Exemple : Si la station A d’un VLAN particulier envoie une requête de diffusion, la diffusion ne sera pas transmis aux switchs

dont aucune station de ce VLAN n’est connectée

VLAN Trunking Protocol VTP Pruning

86

VLAN 60 VLAN 60

Sans Pruning Avec Pruning

Thomas Moegli

๏ Activation du VTP Pruning sur l’ensemble du domaine ๏ A activer sur le switch VTP Server

๏ VLAN 1 ne peut pas être en Pruning parce qu’il s’agit d’un VLAN Management ๏ Les VLANs 1002 à 1005 (Token Ring / FDDI) ne peuvent être restreints

VLAN Trunking Protocol Configuration VTP Pruning

87

SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Enabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00

SW1(config)# vtp pruning

VLAN 60

Thomas Moegli

๏ Pour un VLAN qui n’est pas actif (aucun Access Port associé à ce VLAN), tous les liens de trunk vont restreindre ce VLAN (Prune VLAN)

๏ Dès que le VLAN est activé (un Access Port est associé à ce VLAN) : ๏ Un message Triggered Join est envoyé sur :

๏ Les ports STP Root (lorsqu’il s’agit d’un Switch non STP Root Bridge) ๏ Les ports STP Designated (lorsqu’il s’agit du switch STP Root Bridge)

๏ Le VLAN n’est plus restreint seulement si : ๏ Un message Triggered Join est reçu sur un port ET que ce port est à l’état STP Forwarding pour ce VLAN

VLAN Trunking Protocol VTP Pruning : Règles

88

Thomas Moegli

Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Spanning-Tree n’est pas encore actif puisque aucun équipement n’est connecté sur le VLAN


89

Root BridgeF

FFF

BFBF

SW3SW2SW1

Exemple VTP Pruning

F

B

STP : Port à l’état Forwarding

STP : Port à l’état Blocked

RP DP

DP DP

DPRP

Thomas Moegli

Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Les liens de Trunks effectuent le Pruning du VLAN-X


90

Exemple VTP Pruning

F

B



P VTP Pruning : VLAN Pruned

Root BridgeF

FFF

BFBF

SW3SW2SW1P

PP P

P

RP DP RP

DP DP

DP

Thomas Moegli

Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, on connecte un hôte sur un Access Port du VLAN-X

๏ Spanning-Tree s’active et configure les ports aux états Forwarding ou Blocking selon le schéma ci-dessus ๏ SW1 commence à émettre un message Triggered Join sur ses Root Port


91

Exemple VTP Pruning

F

B




Root BridgeF

FFF

BFBF

SW3SW2SW1P P

PP P

P

RP DP RP

DP DP

DP

VLAN-X

F

J

J VTP Pruning : Triggered Join

Thomas Moegli

Root BridgeF

FFF

BFBF

SW3SW2SW1P

PP P

P

RP DP RP

DP DP

DP

VLAN-X

F

J

Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 reçoit le Triggered Join de SW1. Ce port est à l’état Forwarding ๏ SW2 ne va plus effectuer de Pruning sur ce port


92

Exemple VTP Pruning

F

B





Thomas Moegli

Root BridgeF

FFF

BFBF

SW3SW2SW1P

PP P

P

RP DP RP

DP DP

DP

VLAN-X

F

J

Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 envoie maintenant un Triggered Join sur ses Root Port


93

Exemple VTP Pruning

F

B





Thomas Moegli

Root BridgeF

FFF

BFBF

SW3SW2SW1P

PP

P

RP DP RP

DP DP

DP

VLAN-X

F

J

Etat final pour le VLAN-X sur les liens de Trunk ๏ SW1 reçoit le Triggered Join sur un port à l’état Forwarding. ๏ Il n’effectue plus de Pruning VLAN sur ce port


94

Exemple VTP Pruning

F

B





Thomas Moegli

VLAN Trunking Protocol Configuration VTP Pruning

95

SW1# show interface trunk Port Mode Encapsulation Status Native VLAN Fa0/1 on 802.1q trunking 1

Port Vlans allowed on trunk Fa0/1 1-1005

Port Vlans allowed and active in management domain Fa0/1 1,10,20,1002,1003,1004,1005

Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,1002,1003,1004,1005

SW1# show interface fa0/16

Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,58,67,146

Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,43,58,67,79,146

Thomas Moegli

๏ Il est possible de restreindre les VLANs qui doivent transiter sur un lien de trunk

๏ Ces commandes doivent être appliquées sur les deux interfaces du lien ๏ Attention lors de l’ajout d’un VLAN supplémentaire sur le lien de trunk

๏ Sans le mot-clé add, le nouveau VLAN remplace tous les autres VLANs !

๏ Il est nécessaire d’utiliser le mot-clé add pour ajouter un VLAN à la liste :

VLAN Trunking Protocol Configuration Pruning manuel

96

SW1(config)# interface FastEthernet Fa0/10 SW1(config-if)# switchport trunk allowed vlan 10,30

SW1(config-if)# switchport trunk allowed vlan 20

Port Vlans allowed and active in management domain Fa0/1 20

SW1(config-if)# switchport trunk allowed vlan add 20

Port Vlans allowed and active in management domain Fa0/1 10,20,30

TrunkFa0/10 Fa0/10

VLAN 10VLAN 20

VLAN 30VLAN 40

Virtuals LAN

Engineering

Transcript of Virtuals LAN