Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmanter la bande passante...)
Afin de laisser passer les trames de différents Vlan, Nous avons besoin de tagger les ports afin qu'ils laissent passer les trames d'un commutateur vers un autre. Ce mode est principalement utilisé pour les interconnexions entre switch ou vers un routeur.
Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.
Un trunk SIP se caractérise entre autres par le nombre de canaux, et donc de communications téléphoniques simultanées possibles. Par exemple un trunk SIP de 10 canaux est l'équivalent d'un groupement de 5 T0.
Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN. Entrez la commande switchport trunk encapsulation [isl | dot1q] pour configurer le port afin qu'il prenne en charge l'encapsulation ISL ou 802.1q. Vous devez configurer chaque extrémité du lien avec le même type d'encapsulation.
Il existe trois différents types de réseau local virtuel : de niveau 1 (aussi appelé VLAN par port), de niveau 2 (VLAN par adresse MAC) et de niveau 3 (VLAN par adresse IP).
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmanter la bande passante...)
Sécuriser le vlan natif…
Ainsi on évite qu'un utilisateur ne puisse capturer se trafic ou, pire encore, de générer de faux messages CDP ou DTP entre autre dans le but de détourner le fonctionnement du réseau.
Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).
Les avantages du VLAN
Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs. Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées.
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
Pour autoriser une communication entre vlan, il faut faire du routage |inter-VLAN. Cela est faisable uniquement avec un périphérique de couche 3, comme un routeur, car ces interfaces peuvent être connectées à des VLAN séparés. Pour rappel, le switch est un périphérique de couche 2.
Faites le routage inter-vlan
Vous allez réaliser les mêmes étapes que précédemment, à savoir : Créer les VLAN dans le commutateur de niveau 3. Affecter les VLAN dans les différentes interfaces. Créer les liaisons Trunks et autoriser les VLAN sur ces liaisons Trunks.
Vlan veut dire Virtual local area network … en d'autres mots : réseau local virtuel. Il s'agit, sur un même switch de créer plusieurs réseaux indépendants ne pouvant pas, par défaut, communiquer entre eux.
Le concept de VLAN est utilisé afin d'avoir plusieurs réseaux indépendants sur le même équipement réseau physique. Cela évite d'avoir des équipements réseaux différents dans une entreprise lorsque nous voulons que deux départements ou fonctionnalités ne soient pas sur le même réseau ou vu l'un de l'autre.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN (tel que décrit plus haut) indépendante de l'infrastructure physique.
- Le VLAN par défaut : le VLAN par défaut est le VLAN auquel sont, par défaut, associées les trames et les ports s'il ni a pas de configuration spécifique sur le matériel, lorsque la mise en oeuvre des VLAN est réalisée. Généralement le VLAN par défaut est le VLAN 1.
Le principal avantage de l'utilisation d'un VLAN de gestion est l'amélioration de la sécurité du réseau. Lorsque tout le trafic de gestion se trouve sur un VLAN distinct, il est beaucoup plus difficile pour les utilisateurs non autorisés d'apporter des modifications à votre réseau ou de surveiller le trafic réseau.
Switch en mode VTP Transparent
Le switch en mode Transparent permet à l'administrateur de faire toute modification sur les VLANs en local uniquement et donc ne propage pas ses modifications vers tous les switchs du réseau.
Cette attaque (qu'on appelle aussi le VLAN Hopping) n'est possible que si l'attaquant connait le native VLAN. Et comme il est égal à 1 par défaut, il est donc conseillé de changer son ID. Parce que dès lors que l'ID est changé, l'attaquant n'a aucun moyen de le découvrir.
Attribuer une adresse IP à une interface VLAN via la configuration de la ligne de commande. Accéder au mode de configuration. Accéder à l'interface vlan. Définir l'adresse IP et le masque de sous-réseau que vous souhaitez attribuer à l'interface vlan.
Le protocole DTP pour Dynamic Trunk Protocol, aide à négocier automatiquement le port en mode accès ou en mode trunk.
La partie la plus importante dans le protocole 802.1q est la définition automatique et propagation. On rappelle qu'on appelle "trunk" un lien transportant plusieurs Vlans.