Pour vérifier sur un commutateur quels ports sont affectés au vlan 10, 20 et 30 sur le switch 3 j'utilise la commande show vlan id « numéro-vlan ».
On entre en mode de configuration: Switch>en Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. On crée et on configure les VLAN2, 3 et 4 avec respectivement les adresses 192.168.2.254, 192.168.3.254 et 192.168.4.254 et un masque 255.255.255.0.
Si tu l'obtiens en interrogeant le switch (snmp ou ssh/telnet), il faut récupérer en plus l'affectation des ports du switch dans les vlan et ensuite, tu pourras dire ce vlan contient cette liste d'adresse MAC (même si le VLAN est sur plusieurs switches).
7000#(config)#vlan 100
Créer un VLAN.
Sur cette topologie, |les pc's du vlan 10, doivent passer par le routeur pour pouvoir communiquer avec ceux du vlan 20 ! Le problème avec cette solution, c'est qu'il faut utiliser une interface du routeur pour chaque vlan. Plus il y'a de vlan, et plus il faut bloquer des interfaces sur le routeur.
Intérêts des VLAN
Sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur.
En informatique, trunk (ou tronc) est le nom de la branche principale d'un logiciel, un matériel.... Un trunk (en) est aussi un lien physique permettant le transit de plusieurs VLANs par exemple au sein d'un réseau Ethernet.
Il existe trois différents types de réseau local virtuel : de niveau 1 (aussi appelé VLAN par port), de niveau 2 (VLAN par adresse MAC) et de niveau 3 (VLAN par adresse IP).
Afin que celà soit possible, il faut configurer la liaison entre les deux switch en « trunk »… ou plus précisément configurer une encapsulation des trames lorsqu'elles transitent sur le lien de sorte que le switch qui la reçoit peut ensuite la relayer dans le bon VLAN.
1.1.
La technologie VLAN (LAN virtuel) permet de gérer et de maintenir plusieurs réseaux locaux (LANs), soit séparés par du routage, sur une seule et même infrastructure physique commutée. Par analogie, on peut considérer qu'un VLAN est un commutateur virtuel sur plusieurs commutateurs physiques.
Ainsi, le trafic sera bien séparé, grâce au vlan, et ce, même si il n'ya qu'un seul câble entre le téléphone et le switch. Séparer le Traffic grâce au VLAN, permet aussi de mettre en place une |qualité de service, plus connu sous le nom de QOS. Cela permet de définir des priorités pour certains types de trafic.
Après la création d'un VLAN, l'étape suivante consiste à lui attribuer des ports. Un port d'accès peut appartenir à un seul VLAN à la fois. La seule exception à cette règle consiste en un port connecté à un téléphone IP. Dans ce cas, deux VLAN sont associés au port : un pour la voix et l'autre pour les données.
Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien.
Entrez dans le mode de configuration globale en entrant la commande configure terminal. Entrez le mode de configuration de l'interface et entrez la commande interface [type] <mod / port> pour entrer le port à ajouter au VLAN. Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN.
Généralement le VLAN par défaut est le VLAN 1. Lors de la mise en oeuvre des VLAN sur un matériel au moins un VLAN doit être définit, d'où la nécessité du VLAN par défaut. - VLAN utilisateur : Ce sont les VLANs que l'on déclare, pour une utilisation courante.
Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).
Pour faire passer plusieurs VLANs sur une interface il faut la passer en mode trunk (une fois que vous êtes sur la configuration de l'interface) : switchport mode trunk ; switchport trunk allowed vlan { vlan-list all | none [ add |except | none | remove { vlan-list }]}
Les Switches Manageables offrent des possibilités de configuration qui vous permettent de modifier et de gérer leur fonctionnement. Cela s'avère particulièrement utile pour identifier les problèmes, en cas de trafic multicast sur le réseau et si les temps d'arrêt coûtent cher.
Virtual LAN (wikipedia) Un réseau virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). Flexibilité : Possibilité de travailler au niveau 2 (couche liaison) (Adresse MAC) ou au niveau 3 (IP).
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
Afin de configurer le VLAN natif, la commande Switch port trunk native VLAN est utilisée. Les VLAN natifs sont reconnus s'ils ne sont étiquetés sur aucune jonction. Il n'est pas nécessaire d'avoir un VLAN natif sur le tronc.
Cette attaque (qu'on appelle aussi le VLAN Hopping) n'est possible que si l'attaquant connait le native VLAN. Et comme il est égal à 1 par défaut, il est donc conseillé de changer son ID. Parce que dès lors que l'ID est changé, l'attaquant n'a aucun moyen de le découvrir.
Pour relier vos VLANs aux routeurs, vous devez créer des sub-interfaces et leur attribuer un VLAN et une adresse IP. Cette interface deviendra le gateway du VLAN : Router(config)#int fastEthernet 0/0.