CCNP SWITCH
Implementation de Commutation IP
Mohamed DYABI
Module 1 : VLAN _ VTP
VLAN
Introduction
Nous avons beaucoup de départements et chaque
département a son propre switch. Les utilisateurs
sont regroupés physiquement et sont connectés à
leur switch. Que pensez-vous de cela?
Est-ce que cela ressemble à une bonne conception
de réseau ?
• Que se passe-t-il lorsqu'un ordinateur connecté un au switch
de research envoie une une requête ARP en diffusion ?
• Que se passe-t-il lorsque le commutateur Helpdesk échoue
• Les utilisateurs au niveau du switch de human ressource
auront-t-ils une connexion réseau rapide ?
• Comment nous pouvons implémenter la sécurité dans ce
réseau ?
Introduction
• Il y a une grande différence entre la
topologie physique et logique. Physique est
juste la façon dont les équipement sont
connectés alors que logique, c'est comment
nous avons configurée les choses
"virtuellement".
• Dans cet exemple nous avons 4 switch et on
a créé 3 VLAN : recherche, Ingénierie et
Ventes.
• Un VLAN est un réseau local virtuel donc
c'est comme avoir un « switch à l'intérieur
d’un switch".
Introduction
Quels sont les avantages de l'utilisation de réseaux
VLAN?
Un réseau VLAN est un domaine de diffusion
unique ce qui signifie que si un utilisateur dans le
VLAN de la recherche envoie une trame de
diffusion , elle va être reçu uniquement par les
utilisateurs du même VLAN
Les utilisateurs sont capables de communiquer
seulement au sein du même VLAN (sauf si vous
utilisez un routeur).
Les utilisateurs ne doivent pas être regroupés
physiquement ensemble, comme vous pouvez le
voir, nous avons des utilisateurs du vlan
Ingénierie sur le 1èr, le 2ème et 3ème étage.
Introduction
Dans l’exemple Il y a trois ordinateurs sur chaque côté appartenant à trois
VLAN différents , VLAN 10,20 et 30 .
Les switch vont transmettre le trafic entre les différents ordinateurs .
Comment savent-ils à quel vlan appartient chaque trafic ?
L'agrégation
Voici le format d’une trame Ethernet
Est-ce que vous voyez un champ où nous pouvons préciser à quel
vlan appartient notre trame Ethernet ?
Eh bien, il y a pas ! C'est pourquoi nous avons besoin d'un
protocole d'agrégation
L'agrégation
Nous allons créer un lien d’agrégation (trunk) entre les commutateurs.
Une connexion trunk est simplement un lien qui transporte tout le trafic
vlan
Protocole d'agrégation
Il existe deux protocoles d'agrégation que nous pouvons utiliser :
IEEE 802.1Q:
un standard ouvert qui est pris en charge par des nombreux
fournisseurs et la plupart des cartes réseau. .
Cisco ISL (Inter-Switch Link):
un vieux protocole propriétaire de Cisco est uniquement pris en
charge sur certains commutateurs Cisco.
Format de la trame
vous voyez un exemple d’une trame Ethernet 802.1Q.
Comme vous pouvez le voir, c'est la même chose qu'une trame Ethernet
normal, mais avec une balise (tag) ajoutée dans le milieu (c'est la zone bleue).
Dans cette balise, vous trouverez un 'identifiant de VLAN' qui identifie à quel
Vlan appartient cette trame.
Format de la trame
Il s'agit d'un exemple d'une trame ISL. La différence entre 802.1q et ISL est
que 802. 1 tags la trame Ethernet tandis que ISL encapsule la trame Ethernet.
ISL ajoute un nouvel en-tête en début de la trame Ethernet ainsi qu'une FCS
(Frame Check Sequence).
L'en-tête contient l'identificateur « VLAN » afin que le switch puisse savoir à
quel VLAN appartient cette trame Ethernet.
VLAN
Le VLAN 1 est le VLAN par défaut
toutes les interfaces sont connecté
au VLAN 1
VLAN
Les informations du VLAN ne sont pas enregistrées dans le fichier
running-config ou startup-config mais dans un fichier distinct
appelé vlan.dat sur votre mémoire flash.
Si vous souhaitez supprimer les informations du VLAN vous devez
supprimer ce fichier en tapant la commande : delete flash:vlan.dat
VLAN
Les ordinateurs A et B sont dans le même sous-réseau :
Même avec la configuration par défaut du commutateur ComputerA est en mesure
d'atteindre ComputerB. Voyons voir si je peux créer un nouveau VLAN pour
ComputerA et ComputerB
Configuration des VLAN
Nous allons créer un nouveau VLAN pour ComputerA et ComputerB
C'est ainsi que vous créez un nouveau VLAN.
Si vous voulez, vous pouvez lui donner un nom, mais ceci est optionnel.
Configuration des VLAN
Nous allons créer un nouveau VLAN pour ComputerA et ComputerB
Tout d'abord, on doit configurer le switchport en mode d’accés avec la commande
switchport mode access
La commande switchport access vlan permet de déplacer nos interfaces vers
un autre VLAN
Configuration des VLAN
Les deux ordinateurs sont maintenant au VLAN 50 .
Configuration des VLAN
En plus de la commande ping , nous pouvons également utiliser une autre
commande show pour vérifier la configuration
Configuration des VLAN
On a ajouté SwitchB à la topologie. et également on a déplacé ComputerB de
SwitchA à SwitchB
Configuration des VLAN
En fonction du modèle de Switch , vous pouvez voir cette erreur. Pour changer
l'interface en mode d'agrégation il faut d’abord changer le type d'encapsulation
d'agrégation
Configuration des VLAN
L’encapsulation du trunk est maintenant dot1q
C'est ici que nous pouvons choisir entre 802.1Q et ISL.
Par défaut notre commutateur va négocier sur le type d'encapsulation d'agrégation
Configuration des VLAN
Maintenant , on a changé avec succès le mode du switchport en trunk.
Configuration des VLAN
si nous utilisons la commande show vlan nous ne voyons pas
l'interface Fa0/14.
la commande show vlan affiche seulement les interfaces en
mode d'accès et aucune interface de trunk
Configuration des VLAN
La commande show interface trunk est très utile , elle permet de voir :
si une interface est dans le mode trunk.
quel protocole d’encapsulation est utilisé.
Quel est le Vlan natif
Quels sont les vlans autorisés (1 – 4094)
Configuration des VLAN
Pour des raisons de sécurité, il peut être utile de ne pas autoriser tous les VLAN sur
votre lien trunk.
Nous pouvons changer cela avec la commande switchport trunk allowed vlan
Configuration des VLAN
Vous pouvez également utiliser la commande show interfaces trunk
pour obtenir une vue d'ensemble de toutes les interfaces de votre tronc.
Configuration des VLAN
Une interface peut être en mode d'accès ou en mode d'agrégation
L'interface ci-dessus est connectée à ComputerB et vous pouvez voir que le mode
de fonctionnement est « static access», ce qui signifie qu'il est en mode d'accès
L’interface qui est connectée à SwitchA et un trunk . Vous pouvez voir le mode de
fonctionnement est le mode tronc.
Configuration des VLAN
Si on passe à la configuration de l'interface pour modifier la commande
switchport mode, vous pouvez voir qu’il y a également une méthode
dynamique.
Nous pouvons choisir entre dynamic auto et dynamic desirable .
Notre Switch va detecter automatiquement si l'interface devrait devenir un
port d'accès ou un port trunk.
Configuration des VLAN
Notre mode de gestion est dynamic auto et en conséquence, nous avons
maintenant un port d'accès.
Configuration des VLAN
Une fois que nous changeons les deux interfaces en dynamic desirable , nous
nous retrouvons avec un lien trunk.
Configuration des VLAN
Il semble notre Switch a un fort désir de devenir un trunk.
Configuration des VLAN
Configuration des VLAN
Configuration des VLAN
SwitchA permet seulement le VLAN 1 et SwitchB permet les VLAN 1-50.
Configuration des VLAN
ComputerA et ComputerB sont incapables de communiquer entre eux
Configuration des VLAN
Même si nous avons une discordance entre les types de SwitchPort nous avons
encore une connectivité limitée parce que le VLAN 1 est autorisé
Configuration des VLAN
Voici un aperçu des différents modes de SwitchPort et le résultat
Configuration des VLAN
Vous pouvez désactiver complètement La négociation en utilisant la commande switchport nonegotiate
Voila ce qui est recommandé pour une interface trunk :
Voila ce qui est recommandé pour une interface access :
Configuration des VLAN
Un dernière recommandation est de de changer le VLAN natif à autre chose:
Le VLAN 1 est le VLAN natif par défaut sur les commutateurs Cisco. Les
Protocoles de gestion comme le CDP, DTP et LACP utilise le VLAN natif. pour des raisons de sécurité, il pourrait être une bonne idée de le modifier
VTP
VTP
Imaginons que vous avez un réseau avec 20 commutateurs et 50
réseaux locaux virtuels.
Normalement vous devez configurer chaque commutateur
séparément et de créer des réseaux locaux virtuels sur chaque
commutateur.
C'est une tâche difficile !
Le protocole VTP vous permet de créer les réseaux locaux virtuels
sur un commutateur et tous les autres commutateurs vont
synchroniser automatiquement.
Mode VTP
un serveur VTP est un Switch où vous
pouvez créer / modifier ou supprimer des
VLAN.
Les autres commutateurs sont des clients
VTP.
La configuration VTP a un numéro de
révision qui augmentera lorsque vous
effectuez un changement.
Chaque fois que vous faites un changement
sur le serveur VTP ce sera synchronisé avec
les clients VTP
Mode VTP
Pour faire fonctionner VTP, vous devez
configurer un nom de domaine VTP qui
sera le même sur tous les autres switch
Mode VTP
En plus du VTP serveur et du VTP
client , il y a aussi VTP transparent
Le VTP transparent enverra des
annonces, mais ne se synchronisera
pas.
Vous pouvez créer des vlans
localement bien que c’est impossible
sur un VTP client. Disons que vous
créez vlan 20 sur notre serveur VTP,
c'est ce qui arrivera
Mode VTP
Supposons que vous avez créé le vlan 20
sur votre VTP serveur, voila c'est ce qui
va arriver :
1. Vous créez VLAN 20 sur le VTP serveur.
2. Le nombre de révision va augmenter.
3. Le VTP serveur va envoyer la dernière
annonce qui atteindra le switch VTP
transparent.
4. VTP transparent ne se synchronisera pas,
mais enverra la publicité au client VTP.
5. Le VTP client se synchronisera avec les
dernières informations
Mode VTP
Voici un aperçu des 3 modes VTP :
Utilisation de VTP
Devez-vous utiliser le protocole VTP ?
Il peut sembler utile mais le protocole VTP a un énorme risque de
sécurité.
le problème avec le protocole VTP est qu'un serveur VTP est
également un client VTP et tout client VTP va se synchroniser
avec le numéro de révision le plus élevé.
Utilisation de VTP
La situation suivante peut se produire avec VTP , Vous avez un réseau avec un
seul serveur VTP et un couple de commutateurs clients VTP, tout fonctionne
très bien mais un jour vous voulez tester des trucs et décider de prendre l'un
des clients VTP sur le réseau et le mettre dans un environnement de
laboratoire.
1. Vous connectez le commutateur VTP client sur le réseau.
2. Vous le configurez de sorte qu'il n'est plus un client VTP mais un serveur VTP.
3. Vous créer des réseaux locaux virtuels, et vous modifiez certains.
4. Chaque fois que vous faites un changement le numéro de révision
augmente.
5. Vous avez fini ... vous supprimez tous les vlans.
6. Vous configurez le commutateur de Server VTP au Client VTP.
7. Vous connectez votre commutateur sur votre réseau de production
Utilisation de VTP
Que pensez-vous sera le résultat ?
Le numéro de révision de VTP sur le commutateur est plus élevé
que le numéro de révision sur les commutateurs de notre réseau
de production.
Le VTP client annoncera ses informations aux autres
commutateurs, ils synchronisent les dernières informations et
voila ! tous vos réseaux locaux virtuels sont perdus!
Un VTP client peut remplacer les informations d’un VTP serveur si
le numéro de révision est plus élevé parce qu'un serveur VTP est
également un client VTP.
Configuration de VTP
Pour configurer le VTP , on va
utiliser trois commutateurs.
On a effacé la base de données
des VLAN et la configuration de
démarrage sur tous les
commutateurs.
Configuration de VTP
Configuration revision 0 :
Chaque fois que nous ajoutons ou
enlevons des VLANs ce nombre va
s’incrementer
VTP Operating mode :
Par défaut VTP serveur
VTP Pruning :
cela vous aidera à éviter le trafic inutile sur
vos liaisons d'agrégation
Mode VTP V2 :
Le commutateur est capable d'exécuter
VTP version 2 mais il exécute le VTP v1
Configuration de VTP
Nous allons créer un VLAN sur SwitchA et nous allons les changements :
Le nouveau réseau local virtuel apparaît dans la base de données des VLAN
Configuration de VTP
la révision de la configuration a augmenté d'un.
• Malheureusement, rien n'a changé sur SwitchB et SwitchC.
• C'est parce qu’il faut configurer un nom de domaine VTP avant que le VTP
commence à travailler.
Configuration de VTP
• Avant de changer le nom de domaine , on va activer le débogage des
événements VTP. Ainsi, nous pouvons voir en temps réel ce qui se passe.
Configuration de VTP
Le numéro de révision sur le SwitchB et SwitchC est égale à “1”.
La commande show vlan montre que le SwitchB a appris le VLAN 10 par le
biais de VTP
Configuration de VTP
Nous allons créer le VLAN 20 sur le SwitchB et VLAN 30 sur le SwitchC
Configuration de VTP
Comme vous pouvez le voir tous les commutateurs connaissent les VLAN
Configuration de VTP
• A Chaque fois qu’on ajoute un autre VLAN le numéro de révision
augmentera de un
Configuration de VTP
Il exécute maintenant le mode VTP client
Nous allons changer le mode VTP sur SwitchB pour voir ce qu‘il va
faire.
Configuration de VTP
• En ce moment SwitchA et
SwitchC sont en mode VTP
serveur .
• SwitchB est en cours
d'exécution du mode VTP
Client.
• On a débranché le lien entre
SwitchA et SwitchC donc il n'y a
pas de lien direct entre eux.
Configuration de VTP
On va créer un autre VLAN sur SwitchA afin que nous puissions voir si
SwitchB et SwitchC vont l’apprendre.
SwitchB apprend de VLAN 40 à travers SwitchA.
Configuration de VTP
On va créer un autre VLAN sur SwitchA afin que nous puissions voir si
SwitchB et SwitchC vont l'apprendre
SwitchB apprend le VLAN 40 à travers SwitchA.
Top Related