Pour identifier les flux de chaque VLAN, on tague la trame Ethernet. Pour cela, on ajoute entre autres un identifiant, numéro à 4 chiffres (de 1 à 4094), pour identifier à quel appareil correspond le trafic.
Les ports numérotés avec Po sont des canaux de port (un groupe de liaisons Ethernet). Une fois les VLAN créés, vous devez affecter les ports au VLAN approprié. Vous pouvez configurer des ports à l'aide de la commande switchport et spécifier si le port doit être en mode accès ou trunk.
Tagged port
Un port de switch configuré en “tagged” signifie que l'équipement branché derrière est capable de traiter les tags 802.1q et qu'il est configuré pour les traiter. C'est-à-dire qu'il faudra indiquer dans la configuration de l'équipement qu'il doit marquer ses paquets réseau avec son VLAN d'appartenance.
Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN. Entrez la commande switchport trunk encapsulation [isl | dot1q] pour configurer le port afin qu'il prenne en charge l'encapsulation ISL ou 802.1q. Vous devez configurer chaque extrémité du lien avec le même type d'encapsulation.
Pour autoriser une communication entre vlan, il faut faire du routage |inter-VLAN. Cela est faisable uniquement avec un périphérique de couche 3, comme un routeur, car ces interfaces peuvent être connectées à des VLAN séparés. Pour rappel, le switch est un périphérique de couche 2.
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmanter la bande passante...)
Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).
Il existe trois différents types de réseau local virtuel : de niveau 1 (aussi appelé VLAN par port), de niveau 2 (VLAN par adresse MAC) et de niveau 3 (VLAN par adresse IP).
Afin de configurer le VLAN natif, la commande Switch port trunk native VLAN est utilisée. Les VLAN natifs sont reconnus s'ils ne sont étiquetés sur aucune jonction. Il n'est pas nécessaire d'avoir un VLAN natif sur le tronc.
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
Le GVRP va permettre de taguer les ports nécessaires pour que les deux ports tagués puissent communiquer. - Une partie définissant les messages echangés entre les ports d'un même switch que l'on appellera GIP.
- Le VLAN par défaut : le VLAN par défaut est le VLAN auquel sont, par défaut, associées les trames et les ports s'il ni a pas de configuration spécifique sur le matériel, lorsque la mise en oeuvre des VLAN est réalisée. Généralement le VLAN par défaut est le VLAN 1.
Vlans asymétriques :
On utilise cette fonctionnalité lorsqu'on veut créer des réseaux virtuels indépendants mais qui partagent des ressources communes comme un serveur ou une imprimante.
Sur des réseaux de plusieurs VLAN et qui ont plusieurs switches interconnectés, il faut utiliser un lien Trunk entre les switchs. Le trunk marque le VLAN sur l'entête du paquet, avant de l'envoyer sur l'autre switch. Le Trunk permet aux switchs de faire circuler des trames de plusieurs VLAN sur un seul lien physique.
Un trunk est un lien entre deux équipements, le plus souvent entre deux switch, configuré de telle sorte que l'on peut y faire circuler des trames ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent.
Les numéros des ports ont la syntaxe suivante: 0/1 ou 1/0/1. C'est à dire: numéro du module/numéro du port ou bien numéro du switch dans le stack/numéro du module/numéro du port. La commande suivante affiche la configuration courante d'une interface.
Pour relier vos VLANs aux routeurs, vous devez créer des sub-interfaces et leur attribuer un VLAN et une adresse IP. Cette interface deviendra le gateway du VLAN : Router(config)#int fastEthernet 0/0.
Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les avantages suivants : Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs.
Le concept de VLAN est utilisé afin d'avoir plusieurs réseaux indépendants sur le même équipement réseau physique. Cela évite d'avoir des équipements réseaux différents dans une entreprise lorsque nous voulons que deux départements ou fonctionnalités ne soient pas sur le même réseau ou vu l'un de l'autre.
Pour communiquer d'un VLAN à un autre, il est obligatoire de passer par un routeur. Dans la configuration dite Router On A Stick, il faut créer un trunk entre le switch et le routeur. Tous les messages allant d'un VLAN à un autre, passerons par ce trunk.
5.1.
Pour ces raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office. Pour ces raisons, il recommandé d'éviter d'utiliser dans tous les cas le VLAN 1 dans ses déploiements en production. Notons que les VLANs 1002 à 1005 sont des VLANs par défaut réservés aux technologies FDDI et Token-Ring.
Cette attaque (qu'on appelle aussi le VLAN Hopping) n'est possible que si l'attaquant connait le native VLAN. Et comme il est égal à 1 par défaut, il est donc conseillé de changer son ID. Parce que dès lors que l'ID est changé, l'attaquant n'a aucun moyen de le découvrir.
Définition PVID
PVID signifie "Port VLAN ID" et est utilisé dans les applications VLAN et il peut être utilisé pour définir un trafic non balisé reçu par un ou plusieurs ports donnés en tant que membre d'un VLAN spécifique. Par exemple, le PVID par défaut dans le port 1 du commutateur est "1".