Vlan

De BlaxWiki
Aller à la navigationAller à la recherche


Explication

Doc

Doc Vlan-fr

Doc Vlan-fr bis++(pris sur http://www.linux-france.org/prj/inetdoc/telechargement/routage.inter-vlan.pdf)

Commandes vlan Cisco

Introduction

Le VLAN (Virtual Local Area Network) est une solution logiciel pour separer virtuellement des reseaux ips connectes sur des equipements physiques (switchs) connectes. Ainsi un 
equipement connecte sur un port sur le VLAN X ne pourra communiquer directement avec un equipement connecte sur un port (du meme switch ou d'un switch interconnecte au premier) sur un 
VLAN Y. Pour que les 2 equipements communiquent, il faut donc qu'un equipement serve de passerelle entre les deux VLANs. Cela augmente la securite dans certain domaine. En 
particulier, un equipement sur un vlan X ne pourra pas se faire passer pour un equipement du VLAN Y (en changeant son IP) car il ne sera alors plus sur le bon VLAN et ne sera donc pas 
accede. Il peut aussi protege les equipements en forcant le passage par une passerelle qui effectuera du filtrage.

Mise en pratique

Lorsque l'on définit les ports associés à chaque VLAN, il y a 3 modes :Untagged et Tagged et No :

Untagged : Le port est associé qu'à un seul VLAN. C'est à dire que tout équipements raccordés à ce port fera partie du VLAN.

Tagged : Signifie que les trames qui arrivent et sortent sur le port sont marquées par une en-tête 802.1q supplémentaire dans le champs Ethernet. Un port peut être "tagged" sur plusieurs VLAN différents. (ici rouge et vert par exemple) L'avantage du mode Tagged est la possibilité d'avoir un serveur pouvant communiquer avec toutes les stations des VLANs sans que les VLANs ne puissent communiquer entre eux.

Les différents types de VLANs

VLAN 1 Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous les ports, y compris les ports de "management". En plus, une série de protocoles de couche 2 comme CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et DTP doivent impérativement transiter à travers ce VLAN spécifique. Pour ces deux raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office.

On trouvera quatre types de VLANs : 

   * VLAN par défaut (Default VLAN)
   * VLANs utilisateur (User VLAN)
   * VLAN de management (Management VLAN)
   * VLAN natif (Native VLAN)


VLAN par défaut Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.

VLAN utilisateur On dira que ce type de VLAN est un VLAN "normal" dans le sens où il est celui qui a été configuré pour rendre une segmentation logique du commutateur dans le cadre de l'utilité des VLAN. La numérotation des VLANs est disponible sur 12 bits. Ceci dit, chaque modèle de switch aura ses limites en nombre total à créer et à gérer.

VLAN de management Il s'agit d'un VLAN spécifique attribué au commutateur pour qu'il devienne accessible via une adresse IP (ICMP, Telnet, SNMP, HTTP). Dans les bonnes pratiques de configuration, on le distinguera du VLAN par défaut, d'un VLAN utilisateur ou du VLAN natif. Dans le cas d'une tempête de broadcast ou d'un soucis de convergence avec Spanning-Tree, l'administrateur devrait toujours avoir accès au matériel pour résoudre les problèmes. Aussi, une bonne raison de séparer le VLAN de management des autres tient au fait évident de séparer logiquement les périphériques "dignes de confiance" des autres. Il s'agit alors d'appliquer les règles de sécurité nécessaires afin d'éviter, par exemple, que des utilisateurs classiques accèdent au matériel. Qu'il existe ou non une interface physique appartenant au VLAN de management désigné, on joindra le commutateur par IP via une interface virtuelle de type VLANx. Tous ports "access" associés à ce VLANx répondent pour l'interface virtuelle VLANx.

VLAN natif La notion de VLAN natif n'intervient que lorsque l'on configure un port Trunk. Quand un port est configuré en tant que tel, le switch "étiquette" la trame avec le numéro de VLAN approprié. Toutes les trames passant par un Trunk sont ainsi étiquettées sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas étiquettées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le "tagging". Aussi, les protocoles de contrôles tels que CDP, VTP, PAgP et DTP sont toujours transmis par le VLAN1. Le fait de changer le VLAN natif va faire en sorte que ce traffic sera alors "étiquetté" VLAN 1, ce qui ne pose aucun problème. Enfin, on évitera d'utiliser le VLAN 1 comme VLAN utilisateur ou de management. Sur le routeur, on définira malgré tout le VLAN natif (VLAN 1, par défaut).

Lorsqu'un port est en trunk il faut toujours laisser le vlan natif sur 1, sinon on ne pourra pas joindre le serveur derriere (qui a une ip sur un autre vlan que le vlan 1) et sur switch on aura ce message d'erreur : Oct 23 16:59:10 2012 Oct 23 16:59:09 CEST +02:00 %SYS-4-P2_WARN: 1/Tag 406 on packet from 90:b1:1c:06:c3:76 port 2/23, but port's native vlan is 221

Sur un trunk, le vlan natif n'est pas taggué, et les requetes non taggués arrivant sur le port sont dans ce vlan. Un port ne peut avoir qu'un seul vlan untag. Si on veut un port en mode trunk avec plusieur vlan il faut tagger (vlan 10 tagged 7, vlan 12 tagged 7 : le port 7 est en trunk et accepte les vlan 10 & 12). Sur un port en trunk, le native vlan est toujours 1. Dans une config de IOS, on pourra avoir un "switchport access vlan 327" sur un port en trunk : le vlan 327 sera le native vlan, pour resumer dans un port en trunk c'est le vlan a utiliser si le paquet n'est pas taggue

Nomenclature

Récupérée de « https://wiki.blaxeen.com/index.php?title=Vlan&oldid=2702 »