Pour relier vos VLANs aux routeurs, vous devez créer des sub-interfaces et leur attribuer un VLAN et une adresse IP. Cette interface deviendra le gateway du VLAN : Router(config)#int fastEthernet 0/0.
L'utilisation de la commande switchport trunk allowed vlan add vous permet de configurer les VLAN autorisés sur l'agrégation.
Attribuer une adresse IP à une interface VLAN via la configuration de la ligne de commande. Accéder au mode de configuration. Accéder à l'interface vlan. Définir l'adresse IP et le masque de sous-réseau que vous souhaitez attribuer à l'interface vlan.
entrer dans le mode de configuration globale du routeur (configure terminal) entrer dans le mode de configuration de l'interface physique en question (interface FastEthernet 0/1) définir l'adresse IP et son masque (ip address 10.1.1.9 255.255.255.0) activer électriquement l'interface (no shutdown)
Il existe trois différents types de réseau local virtuel : de niveau 1 (aussi appelé VLAN par port), de niveau 2 (VLAN par adresse MAC) et de niveau 3 (VLAN par adresse IP).
Pour communiquer d'un VLAN à un autre, il est obligatoire de passer par un routeur. Dans la configuration dite Router On A Stick, il faut créer un trunk entre le switch et le routeur. Tous les messages allant d'un VLAN à un autre, passerons par ce trunk.
Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les avantages suivants : Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs.
Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).
En informatique, trunk (ou tronc) est le nom de la branche principale d'un logiciel, un matériel.... Un trunk (en) est aussi un lien physique permettant le transit de plusieurs VLANs par exemple au sein d'un réseau Ethernet.
Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.
Vlan veut dire Virtual local area network … en d'autres mots : réseau local virtuel. Il s'agit, sur un même switch de créer plusieurs réseaux indépendants ne pouvant pas, par défaut, communiquer entre eux.
Un switch de niveau 3 est un appareil qui remplit à la fois des fonctions de switching classiques et les fonctions de routeur. On parle de routing et de commutation. On parle de niveau 3 pour faire référence au niveau 3 de la couche OSI.
Généralement le VLAN par défaut est le VLAN 1. Lors de la mise en oeuvre des VLAN sur un matériel au moins un VLAN doit être définit, d'où la nécessité du VLAN par défaut. - VLAN utilisateur : Ce sont les VLANs que l'on déclare, pour une utilisation courante.
Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN. Entrez la commande switchport trunk encapsulation [isl | dot1q] pour configurer le port afin qu'il prenne en charge l'encapsulation ISL ou 802.1q. Vous devez configurer chaque extrémité du lien avec le même type d'encapsulation.
Pour autoriser une communication entre vlan, il faut faire du routage |inter-VLAN. Cela est faisable uniquement avec un périphérique de couche 3, comme un routeur, car ces interfaces peuvent être connectées à des VLAN séparés. Pour rappel, le switch est un périphérique de couche 2.
Pour faire passer plusieurs VLANs sur une interface il faut la passer en mode trunk (une fois que vous êtes sur la configuration de l'interface) : switchport mode trunk ; switchport trunk allowed vlan { vlan-list all | none [ add |except | none | remove { vlan-list }]}
Différence entre DOT1Q et ISL : DOT1Q est un mode de protocole VLAN commun pour divers produits, et DOT1Q est une norme couramment utilisée, qui s'applique à tous les commutateurs et équipements de routage. ISL est un protocole dédié aux équipements CISCO et convient aux équipements Cisco.
5.1.
Pour ces raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office. Pour ces raisons, il recommandé d'éviter d'utiliser dans tous les cas le VLAN 1 dans ses déploiements en production. Notons que les VLANs 1002 à 1005 sont des VLANs par défaut réservés aux technologies FDDI et Token-Ring.
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
Un routeur est un appareil qui permet la communication entre votre ordinateur et Internet, alors qu'un switch (ou commutateur) permet de connecter plusieurs appareils au sein d'un même réseau Ethernet.
l'avantage principale du Vlan par port est qu'il permet une étanchéité maximale des Vlans. Une attaque extèrieur ne pourra se faire qu'en branchant le PC pirate sur un port taggué. Le pirate a donc besoin d'avoir accès à la machine physique pour penetrer le Vlan. Le Vlan par port offre une facilité de configuration.
Intérêts des VLAN
Sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur.