– VLAN et VTP

Sommaire

1) VLAN*

1) VTP**

*Virtual Local Area Network

**VLAN Trunk Protocol

1) Introduction aux LANs Virtuels

La commutation est un moyen d’optimiser les performances d’un réseau en réalisant une segmentation

Switchs, bridges et routeurs effectuent une segmentation des domaines de collisions

Le routeur effectue une segmentation des domaines de broadcast

Présentation des LANs virtuels

LANs virtuel ensemble logique d’unités ou d’utilisateurs pouvant être

regroupé quelque soit leur emplacement physique

Peuvent être regroupés par : Fonction (ex : même service dans l’entreprise) Application (ex : utilisation des même logiciels) Protocole (ex : protocoles de couches 3) Identifiant (ex : adresse MAC) etc.

Exemple de LANs virtuels

iMac

iMac

iMac

iMac

iMac

iMac

iMac

iMac

iMac

Lan 1

Lan 2

Lan 3

iMac

iMac

iMac

iMac

iMac

iMac

iMac

iMac

iMac

VLAN 1

VLAN 2

VLAN 3

Segmentation traditionnelle Segmentation à l’aide de Vlans

Spécificités des VLAN

Spécificités des VLAN :

Fournissent une méthode de contrôle des broadcasts

La communication inter-VLAN est assurée par le routage de couche 3

Établir une politique réseaux en définissant quels nœuds réseaux peuvent communiquer entre eux

Sécurité : définir un VLAN de quarantaine

VLAN et backbone = liens TRUNK

Les informations des VLAN circulent sur le backbone

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

Ports 10/100 Mbits

Ports 10/100 Mbits

Ports 10/100 Mbits

Ports Gbits

Ports Gbits

Ports Gbits

Utilisation d’un trunk

Graphiste1

Graphiste2

Production1

Production2

Graphiste1

Graphiste2

Production1

Production2

Trunkencapsulation ISL/802.1q

Rôle des routeurs

Rôle traditionnel Pare feu Acheminement des paquets dans les réseaux Gestion des routes Filtrage des broadcast

Rôle dans les VLANs Assurent l’interconnexion entre les VLANs Interconnectent des environnements VLAN et des

environnements traditionnels

Termes anglais CCNA : Packet filtering Packet switching Route management Broadcast filtering

Intégration des routeurs dans un LAN

Interconnexion entre les VLAN

Connexions WAN

Utilisation des trames dans les VLAN

Trames élément de base des communication de couche 2 et

des VLAN

Méthodes pour gérer l’appartenance des utilisateurs à un VLAN: Filtrage de trames Identification de trames

Mise en œuvre centralisée possible

Le filtrage de trames

Examen des informations particulière à chaque trame

Une table de filtrage élaborée par commutateur Contrôle administratif étendu

Possibilité de regrouper les utilisateurs en fonction Des adresses MAC Du type de protocole de couche réseau

Inconvénient : Chaque trame doit être vérifiée dans une table de

filtrage

L’étiquetage de trames

Attribution à chaque trame d’un code d’identification VLAN Attribué à chaque VLAN lors de la création Retiré par le commutateur avec de transmettre la trame à

l’hôte cible

Méthode plus évolutive

Utilisation de 2 normes : IEEE 802.1q ISL

Conçu pour plusieurs commutateurs interconnectés

Communication inter-VLAN

Le trunking est la façon de relier des commutateur comportant des VLAN entre eux

Deux protocoles : ISLISL propriétaire Cisco qui encapsule les informations VLAN

dans la trame IEEE 802.1qIEEE 802.1q, normalisé qui ajoute 4 octets dans la trame,

permet d’utiliser les VLAN natifs et donc de faire communiquer avec des matériels ne supportant pas ce protocole.

VLAN Natif

VLAN 1 NATIF

VLAN3

Graphiste1 Graphiste2Production1 Production2

Trunkencapsulation ISL/802.1q

VLAN2

Production1 Production3 Production4

PAS DE GESTION ISL / 802.1q

Relation / Vlan/ Port/ Broadcast

VLAN : Réseau commuté Segmenté logiquement quelque soit l’emplacement

physique des utilisateurs.

Ports : Chaque port de commutateur peut être attribué à un VLAN Les ports affectés au même VLAN partagent le même

domaine de broadcast

Amélioration des performances globales du réseau

Mise en œuvre des Vlans

2 méthodes :

LANs virtuels statiques Programme CCNA…

LANs virtuels dynamiques Pour information…

VLAN axés sur le port

Les utilisateurs sont affectés en fonction de chaque port

Les LAN virtuels sont faciles à administrer

La sécurité entre VLAN est accrue

Les paquets ne passent pas d’autres domaines de broadcast

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

SD

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x Ax Bx

Catalyst 1900 CISCO SYSTEMS

SYSTEM RPS

STAT UTL FDUP

MODE

Series

10BaseT 100BaseTX

Vlan 1 Vlan 2 Vlan 3

SR 1

SR 2

SR 3

VLAN statique

Les ports sont attribués manuellement aux VLAN

Facilité de configuration

Configuration des VLAN statique

Création et nomination

Assignation d’un port à un VLAN

Switch# vlan databaseSwitch(vlan)# vlan 2 name Developpeur

Switch(config)# interface FastEthernet 0/1Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 2

Exemple

Switch>enableSwitch# vlan daSwitch# vlan database%War ni ng: I t i s r ecommended t o confi gur e VLAN f r om confi g mode, as VLANdat abase mode i s bei ng depr ecat ed. Pl ease consul t user document at i on f orConfi gur at i ng VTP/ VLAN i n confi g mode.Switch(vlan)# vlan 30 name AdminVLAN 30 added: Name: Admi nSwi t ch( vl an) #exi tAPPLY compl et ed.Exi t i ng …Swi t ch#confi gur e t er mi nalEnt er confi gur at i on commands, one per l i ne. End wi t h CNTL/ ZSwi t ch( confi g) #i nt er f ace f astSwi t ch( confi g) #i nt er f ace f ast Et her net 0/ 1Swi t ch( confi g- i f ) #swiSwi t ch( confi g- i f ) #swi t chpor t mode accessSwi t ch( confi g- i f ) #swi t chpor t access vl an 30Swi t ch( confi g- i f ) #_

VLAN dynamiques

Les ports de commutateur peuvent automatiquement déterminer leur VLAN d’appartenance

Les fonctions dynamiques sont basés sur : L’adressage MAC Le type de protocole de donnée

Utilisation = Serveur VMPS* Catalyst 5000, 5500, 6000 et 6500 VMPS support Tous les Catalyst VMPS client support

*VLAN Management Policy Server

VLANs dynamiques (2)

Lien Trunk

Ajout d’une nouvelle Station sur le port FA

0/1 du Switch A

VLAN 1

VLAN 1

VLAN 2

VLAN 3

VLAN 2

VLAN 2

Serveur VMPS

Switch A Switch B

VLANs dynamiques (3)

Lien Trunk

A quel VLAN appartiendra cette

station ?

VLAN 1

VLAN 1

VLAN 2

VLAN 3

VLAN 2

VLAN 2

Serveur VMPS

Consultation dans la Base de donnée du serveur@Mac = 00:0C:3E:10:FF:23VLAN = ??

@Mac = 00:0C:3E:10:FF:23

Switch A Switch B

VLANs dynamiques (4)

Lien Trunk

Cette station appartiendra au VLAN 2

VLAN 1

VLAN 1

VLAN 2

VLAN 3

VLAN 2

VLAN 2

Serveur VMPS

Résultat:@Mac = 00:0C:3E:10:FF:23 à VLAN =2

FA 0/1 = VLAN 2

Switch A Switch B

Configuration routeur

Routage Inter-VLAN :

!interface FastEthernet0/0 no i p addr ess dupl ex aut o speed aut o ! i nt er f ace Fast Et her net 0/ 0. 1 encapsul at i on dot 1Q 10 i p addr ess 192. 168. 2. 1 255. 255. 255. 192 i p access- gr oup 1 out! i nt er f ace Fast Et her net 0/ 0. 2 encapsul at i on dot 1Q 20 i p addr ess 192. 168. 2. 65 255. 255. 255. 224 i p access- gr oup 2 out! i nt er f ace Fast Et her net 0/ 0. 3 encapsul at i on dot 1Q 30 i p addr ess 192. 168. 2. 97 255. 255. 255. 248

Conclusion : Avantages des Vlans

Sécurité Restreint le nombre d’utilisateurs dans un Vlan Empêche d’autres utilisateurs d’accéder au réseau s’ils n’ont pas

été autorisés Configuration de tous les ports non utilisés à un Vlan virtuel à

faible niveau de service par défaut

Economie De temps pour l’administration De modification de câblage

Performances Segmentation des domaines de broadcast

2) Complément : VTP

Le protocole VTP (VLAN Trunk Protocol) a pour but de diffuser la création des VLAN à travers les commutateurs

Réduction de la charge administrative en ne créant les VLAN que sur les commutateurs « servers »

3 états VTP possibles pour un commutateur : Server Client Transparent (autonome)

Complément : VTP

Fonctionnement du protocole : Quand il y a changement dans la création des VLAN, une mise à

jour est envoyée avec un numéro de révision par les « VTP servers »

Si un VTP client reçoit une mise à jour avec un numéro de révision supérieur au sien, il l’applique.

Ajout d’un nouveau VLAN 41

Numéro de révision = 334562

Envoie d’une Mise à jour VTP incluant la liste de toute les VLAN (ancien et nouveau)

3VTP Server

VTP Client VTP Client

33

Numéro de révision = 334550

Numéro de révision = 334554

Numéro de révision = 334564Ajout de tout les VLANs5

Le commutateur ne tiens pas compte de la mise à jour5 Numéro de révision = 334566

Updates toutes les 5 minutes

Contenu des messages VTP: Un numéro de mise à jour incrémenté à chaque nouvelle

diffusion Les noms et numéro de VLANs

transmission du fichier « flash:vlan.dat » Remarque

VTP « flood advertisement »

Complément : VTP

OUINONOUIPeut créer, modifier ou supprimer des VLAN en utilisant les commandes de configurations

OUINONOUISauvegarde la configuration des VLAN en NVRAM

OUIOUIOUIFait suivre les MAJ VTP reçue par une liaison « trunk »

NONOUIOUILes instances reçoivent les MAJ et synchronise et se synchronise avec les autres les autre Switch

NONNONOUIEnvoie des MAJ VTP

Mode TransparentMode ClientMode ServerFonction

Les modes VTP

Configuration - Commandes

vtp domain {nom} [password mdp | pruning | v2-mode ]

vtp mode {server | client | transparent}

Switch>enableSwitch# configure terminalEnt er confi gur at i on commands, one per l i ne. End wi t h CNTL/ ZSwitch(config)# vtp domain LABOChangi ng VTP domai n f r om CI SCO t o LABOSwitch(config)# vtp mode transparentSet t i ng Devi ce t o VTP TRANSPARENT mode.

Visualisations

show vlan [id {id} | name {nom de vlan}] Affiche des informations sur le VLAN

Switch#show vlanVLAN Name Status Ports- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1 def aul t act i ve Fa0/ 2, Fa0/ 3, Fa0/ 4, Fa0/ 11 Fa0/ 12, Fa0/ 13, Fa0/ 14, Fa0/ 15 Fa0/ 16, Fa0/ 17, Fa0/ 18, Fa0/ 19 Fa0/ 20, Fa0/ 21, Fa0/ 22, Fa0/ 23 Fa0/ 24, Gi 0/ 1, Gi 0/ 210 DRH act i ve Fa0/ 5, Fa0/ 6, Fa0/ 7, Fa0/ 8 Fa0/ 9, Fa0/ 1030 Admi n act i ve Fa0/ 11002 f ddi - def aul t act / unsup1003 t oken- r i ng- def aul t act / unsup1004 f ddi net - def aul t act / unsup1005 t r net - def aul t act / unsup

Visualisations (suite)

show vtp status Affiche la configuration VTP et le statut du processus

Switch#sh vtp statusVTP Ver si on : 2Confi gur at i on Revi si on : 0Maxi mum VLANs suppor t ed l ocal l y : 250Number of exi st i ng VLANs : 7VTP Oper at i ng Mode : Ser verVTP Domai n Name : LABOVTP Pr uni ng Mode : Di sabl edVTP V2 Mode : Di sabl edVTP Tr aps Gener at i on : Di sabl edMD5 di gest : 0x80 0x86 0x88 0xE7 0xB1 0x6E 0xBB 0xF8Confi gur at i on l ast modi fi ed by 0. 0. 0. 0 at 3- 1- 93 00: 08: 35Local updat er I D i s 0. 0. 0. 0 ( no val i d i nt er f ace f ound)Swi t ch#

Questions types CCNA

Questions types CCNA