Cisco - Comprendre et configurer les réseaux virtuels VLAN

Comprendre le rôle et le fonctionnement du VLAN


Quelles sont les problématiques qui peuvent nous amener à la mise en place de VLAN ainsi que les avantages qui vont en résulter ? Nous parlerons des différents types de VLAN que nous pouvons rencontrer. Pourquoi mettre en place des VLAN ? L'objectif premier est la sécurité par l'isolation. On va pouvoir en fait séparer les machines contenant des données sensibles du reste du réseau.

Au niveau des performances, les VLAN permettant d'isoler les flux, les requêtes comme les broadcast ne seront donc pas transmis à l'intégralité des machines de la société. Ainsi, la bande passante sera réellement optimisée. Le fait de placer des groupes de machines dans un VLAN va entraîner la création d'un nouveau réseau IP différent. On pourra ainsi mettre des règles en place sur les équipements permettant de faire la liaison (OSI de niveau 3) entre différents VLAN c'est-à-dire mettre en place des règles sur les routeurs et firewall qui vont pouvoir traiter les réseaux différemment. On pourra autoriser un VLAN utilisateur à accéder via du routage à un VLAN serveur mais par exemple uniquement via HTTP.

On rejoint l'adage : « diviser pour mieux régner ». Diviser les machines dans des VLAN différents, c'est pouvoir les traiter avec des règles différentes. Toujours dans le principe d'amélioration des performances ça sera également l'occasion de mettre en place de la qualité de service appelé QoS. En fait, on va privilégier les flux d'un VLAN par rapport au flux d'un autre VLAN. Un exemple : on pourra réserver plus de bande passante pour le VLAN des graphiques ou des monteurs vidéos que pour celui des visiteurs invités en Wifi.

Dans une infrastructure, on rencontrera ainsi plusieurs types de VLAN :

  • les VLAN de données avec le trafic des utilisateurs, le trafic de serveurs, le trafic d'éléments de stockage comme les baies de stockages ou les NAS,
  • les VLAN dédiées à la téléphonie IP,
  • les VLAN dédiés à la supervision,
  • les VLAN dédiés à la gestion d'équipements réseaux.

C'est vraiment un découpage fonctionnel qu'on pourra faire avec les VLANS. Ce qu'il faut particulièrement retenir de tout ça, c'est que vous placez une machine dans un VLAN dédié, cela va consister à placer le port sur lequel la machine est rattachée dans le VLAN en question. Cela se fera avec une simple commande. On dira que la machine est sur un port du switch en mode Access pour un VLAN donné. Chaque port d'un switch se verra donc allouer un VLAN spécifique.


Configurer un VLAN dans une petite infrastructure


Infrastructure : VLAN

Dans cette infrastructure, j'ai mis en place deux switchs 2960 reliés entre eux ainsi que des PC et laptops de chaque côté.

  • sur le premier switch : 1 PC et 1 laptop,
  • sur le second switch : 2 PC et un laptop.

Le but va être de différencier le trafic des PC de celui des laptop. On va donc mettre en place des VLAN.

Par défaut, on laissera les PC dans le VLAN 1 et on mettra les laptops dans le VLAN numéro 2. Commençons tout d'abord sur le premier switch. Dans un premier temps, nous allons faire un point sur les VLAN natifs qui sont présents par défaut.

SW1# show vlan brief

Par défaut il existe un VLAN numéro 1 qui s'appelle Default. On constate que tous les ports du switch sont dans ce VLAN par défaut.

Il existe aussi des VLAN déjà créés de 1002 à 1005 qui sont, eux, réservés à un vieux protocole appelé Token Ring et qui ne sont ni utilisables, ni supprimables.

Il faut choisir un identifiant pour un VLAN, c'est à dire un numéro unique. Il existe 2 types de VLAN :

  1. les VLAN identifiés par un ID entre 1 et 1005 sont dit à plage normale. Ils sont stockés dans la mémoire flash dans un fichier appelé VLAN.bat.
  2. les VLAN identifiés de 1006 à 4094 appartiennent à la plage étendue. Ils ne sont pas stockés dans le VLAN.bat et ils ne seront pas pris en compte lorsqu'on mettra en place des protocoles de négociation automatique de VLAN tel que VTP (qu'on verra dans un autre article).

On peut aller jusqu'à 4094 VLAN et pas un seul de plus. Le VLAN 1 étant déjà créé, nous allons créé le VLAN 2 sur les deux switchs.

SW1(config)# vlan 2 
SW1(config-vlan)# name Laptop

Le VLAN 2 est créé. Il est impératif de créer les VLAN sur tous les switch de l'infrastructure. Il faut recommencer les mêmes manipulations sur le second switch.

Maintenant, on va placer nos laptops dans ce VLAN. On se positionne sur les interfaces sur lequels nos laptops sont reliés et on configure les ports associés.

Je configure l'interface Fast Ethernet 0/1.
NB : si on veut sélectionner plusieurs ports simultanément, on écrira : int range fa0/1-5
(par exemple pour les ports allant de 0/1 à 0/5 compris)

SW1(config)# int fa0/1 
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 2

À partir de là, mon PC lié au port Fa0/1 est dans le VLAN numéro 2. Bien sûr, il faut faire la manipulation sur tous les ports auxquels nous avons un laptop de connecté.

Le VLAN 2 est créé sur les deux switchs.


Et donc, c'est bon, ça fonctionne maintenant...
Un laptop du premier switch peut-il joindre le laptop du second switch ? Eh bien non. Pourquoi ? Parce que pour l'instant, notre VLAN 2 n'est pas propagé sur mon lien interswitch.

On va donc devoir mettre en place une liaison trunkée en 802.1Q. Pour cela, on va devoir configurer le port Gig0/1 des deux switchs en indiquant que le type de port doit être en trunk. Allons-y.

SW1(config)# int Gig0/1 
SW1(config-if)# switchport mode trunk

Avec cette commande là on indique que : j'autorise les VLAN 1 et 2 à transiter entre mes deux switchs. Bien sûr, je vous rappelle que la configuration doit se faire sur l'autre switch également.

A présent, nous avons un VLAN 2 qui abrite tous les laptops et peuvent communiquer ensemble. Le principe de VLAN permet d'affirmer que les laptops ne peuvent pas communiquer avec les PC dû à cette segmentation logique du réseau.

Comments: