VTP ou VLAN Trunking Protocol

 Qu'est que le VTP

Il permet de diffuser la déclaration des VLANs pour les ports trunk sur l'ensemble du réseau en réalisant une administration centralisée de ceux-ci.

Propriétés

C’est un protocole propriétaire Cisco de niveau 2. De part sa simplicité et sa puissance, l’IEEE a sorti un protocole similaire afin de permettre cette fonctionnalité entre switchs de constructeurs différents: GVRP (GARP VLAN Registration Protocol). La norme est IEEE 802.1ak

Mode de fonctionnement

Le serveur tient à jour une table de VLANs déclarés. Cette table est diffusée à l'ensemble des clients étant sur le même domaine VTP. De ce fait chaque modification de la table est répercutée à l'ensemble des clients. Ainsi tous les VLANs définis sur le serveur pourront transiter par l'ensemble des ports trunk des switchs clients (sauf configuration contraire sur les interfaces).

Les matériels peuvent être en mode

- Server : Il est associé à un domaine VTP. La déclaration des VLANs s'effectue sur le serveur. Il tient à jour la liste des VLANs déclarés et la diffuse à l'ensemble des clients.

- Client : Il est associé à un domaine VTP. Il reçoit la liste des VLANs, il la propage aux autres clients auxquels il est connecté et met à jour sa propre liste.

- Transparent : Il est associé à aucun domaine VTP. Sa liste de VLAN est locale et n'est pas mis à jour lorsqu'il reçoit une trame VTP. Cependant il propage les listes de VLAN qu'il reçoit. 

 Synchronisation

A chaque création/suppression/modification de VLAN, une variable appelée RN – Revision Number – s’incrémente (initialement 0 puis 1 puis 2 puis 3…). A chaque création/suppression/modification de VLAN, le switch Server envoi un message VTP avec la nouvelle valeur du RN. Les autres switchs compare le RN reçu du switch Server avec le RN qu’ils stocke en local, si ce dernier est plus petit (logiquement) alors les switchs se synchronisent avec le Server et récupère la nouvelle base de données des VLANs.

Par défaut, le RN est envoyé automatiquement dès une création/suppression/modification de VLAN puis envoyé toutes les 5 minutes.

VTP Pruning

Cette commande optionnelle permet de faire des économies de bande passante.

Explication: imaginons qu’un switch reçoit les VLANs 1 et 2 mais qu’aucunes de ses interfaces appartiennent au VLAN 2. Lorsque le switch voisin lui enverra des trames du VLAN 2, ce switch les supprimera car aucune de ses interfaces appartiennent à ce VLAN. Il est donc inutile que le switch voisin lui envoi du trafic pour le VLAN 2.

On active alors la fonction VTP pruning pour avertir le switch voisin de ne pas lui envoyer de trafic pour ce VLAN. La fonction s’active à partir du switch Server.
 

Important: si un switch client possède un RN plus élevé que le switch Server (imaginons qu’il était dans un autre réseau puis branché au notre), contrairement à ce qu’on peut penser, le client ne va pas récupérer la base de données de VLAN du Server mais l’inverse!

Pourquoi? Parce que quelque soit le mode du switch, Server ou Client, il se synchronise toujours sur celui qui a le RN le plus élevé. Dans notre cas, c’est le Server qui va se synchroniser et récupérer la base de données de VLAN du Client. Il est donc très important de remettre le RN à zéro. Pour cela, effectuer un simple basculement en mode Transparent puis en mode Client (exemple plus bas)
Remarques importantes

    Les messages VTP se propagent sur les liens configurés en Trunk (norme 802.1Q) et pas en Access
    VTP ne gère que la plage de VLAN comprise entre 1 et 1005. La plage étendue 1006 à 4096 n’est pas supportée. Pour cela, il faut basculer en mode Transparent sur tous les switchs et créer ses VLANS étendus à la mano
    Il existe 3 versions de VTP, bien vérifier qu’une et une seule version est active sur son réseau pour éviter les surprises (v1 et v2 incompatibles entre elles)
    La configuration VTP n’est pas visualisable dans la running-config mais est stockée dans le fichier vlan.dat situé dans la flash (faites un show flash: pour voir le fichier)

Configuration

Pour configurer le VTP, voici les étapes:

    obligatoire: configurer un domaine VTP qui permet à tous les switchs d’être dans le même “groupe d’amis”
    obligatoire: configurer le mode de votre switch (client, transparent ou server)
    optionnel: activer la fonction pruning
    optionnel: configurer un mot de passe pour sécuriser les messages VTP
    optionnel: activer la version 2 ou 3 de VTP (version 1 active par défaut)

1. configuration domaine VTP qu’on appelle khair:

Switch>enable
Switch#configure terminal
Switch(config)#vtp domain khair


2. configuration du mode Server:

Switch(config)#vtp mode server  (Server /Client /Transparent )
Device mode already VTP SERVER.

On remarque que le switch est déjà en mode Server par défaut, ce qui est pratique car on peut créer des VLANs une fois le switch sorti du carton.

3. configuration d’un mot de passe VTP 1234:

Switch(config)#vtp password 1234
Setting device VLAN database password to 1234

4. activation de la fonction pruning (à partir du switch Server):

Switch(config)#vtp pruning
Pruning switched on


5. activation de la version 2 de VTP  (à faire sur tous les switchs):

Switch(config)#vtp version 2

 

Vérification

Pour vérifier que le VTP est bien configuré, voici les étapes:

    visualiser si le mot de passe a bien été tapé
    vérifier si on envoi et on reçoit bien des messages VTP avec les switchs voisins
    vérifier la configuration globale du VTP (commande la plus utilisée)

1. visualisation du mot de passe configuré

Switch#show vtp password
VTP Password: 1234

2. vérification des compteurs des messages VTP envoyés et reçus:

Switch#show vtp counters
VTP statistics:
Summary advertisements received     : 0
Subset advertisements received          : 0
Request advertisements received        : 0
Summary advertisements transmitted : 0
Subset advertisements transmitted      : 0
Request advertisements transmitted    : 0
Number of config revision errors        : 0
Number of config digest errors           : 0
Number of V1 summary errors           : 0

VTP pruning statistics:

Trunk            Join Transmitted Join Received    Summary advts received from
                                                   non-pruning-capable device
---------------- ---------------- ---------------- ------------------------ ----------- -------

 

On remarque que tous les compteurs sont à 0, ce qui est logique car pour le moment, je n’ai pas encore créer/supprimer/modifier des VLANs. On revérifiera ces compteurs un peu plus tard.

3. vérification de la configuration globale du VTP:

Switch#show vtp status
VTP Version                                        : 2
Configuration Revision                       : 1
Maximum VLANs supported locally  : 255
Number of existing VLANs                : 5
VTP Operating Mode                          : Server
VTP Domain Name                             : KHAIR
VTP Pruning Mode                             : Disabled
VTP V2 Mode                                     : Enabled
VTP Traps Generation                        : Disabled


Explication de chaque ligne:

    VTP Version: affiche quelle est la version maximum supportée par le switch (ici le switch supporte les versions 1 et 2). Attention, ce n’est pas forcément celle active!
    Configuration Revision: en mode server, elle débute à 1. En mode transparent, elle ne sert pas et donc mise à 0.
    Maximum VLANs supported locally: nombre maximum de VLAN que le switch supporte. Dépend du type de switch (ici un 2960)
    Number of existing VLANs: nombre de VLANs présents dans le switch (par défaut, les VLANs 1, 1002 à 1005 sont présents donc = 5)
    VTP Operating Mode: Server, Client ou Transparent
    VTP Domain Name: nom de votre “groupe” d’amis
    VTP Pruning Mode: activation/désactivation de la fontion de pruning
    VTP V2 Mode: c’est ici qu’on peut vérifier si la version 2 est bien activée (ou la version 3 si le switch la supporte)
    VTP Traps Generation: permet d’envoyer des traps SNMP vers un serveur pour prévenir les administrateurs lorsqu’il y a un changement au niveau VTP (par exemple lors de la création d’un VLAN)

Read More

trunk : qu’est-ce que c’est ?

Un trunk est un lien entre deux équipements, le plus souvent entre deux switch, configuré de telle sorte que l’on peut y faire circuler des trames ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent.

Prenons par exemple l’exemple ou deux switch sont reliés l’un à l’autre, chacun ayant été configuré avec 2 VLANS, le VLAN 1 et le VLAN 2…

Quels protocoles ?

Quand on parle d’encapsulation, on doit forcément faire appel à un protocole. Du côté de Cisco, deux protocoles existent pour l’encapsulation des données sur un trunk:

    ISL (Inter Switch Link) qui est un protocole propriétaire Cisco qui tend à disparaître.
    dot1Q ( IEEE 802.1Q ) le protocole standard défini par l’IEEE.

Nous  nous contenterons de voir dot1q dans le cas présent. Toutefois il est bon de savoir que chacun a son propre fonctionnement. ISL pour sa part encapsule toute les trames, quelque soit le VLAN. dot1Q, lui ne fait qu’insérer un tag (un marqueur) dans l’entête de la trame ethernet … et uniquement sur les VLANs autres que le VLAN natif. (Le VLAN natif est celui utilisé par les protocoles comme CDP par exemple pour s’échanger les informations).

Principe général de configuration

La première chose à savoir c’est que les deux extrémités du lien doivent êtres configurées de manière adéquate pour que le trunk fonctionne. On peut soit forcer le mode trunk … soit s’arranger pour que les équipements négocient. Suivant le mode configuré de chaque côté du lien, le résultat variera.

Ce mode de fonctionnement se fait à l’aide de la commande suivante:

SW1(config-if)#switchport mode <mode de fonctionnement>

Il y a quatres modes:

• access: typiquement le mode d’un port prévu pour recevoir la connexion d’un PC, d’un serveur,
• trunk: force le mode de fonctionnement en trunk
• dynamic auto: autorise la négociation
• dynamic desirable: autorise la négociation avec une préférence pour le passage en trunk si possible.

Le tableau ci-dessous reprend l’état de fonctionnement du lien en fonction de la configuration du mode aux deux extrémités:

 

Exemple concret

En se basant sur le premier schéma, voici la manipulation qu’il faudrait effectuer sur SW1 et SW2 afin que la laison soit forcée en trunk:

Sur SW1

SW1#configure terminal
SW1(config)#interface fastethernet 0/1
SW1(config-if)#switchport mode trunk

Sur SW2

SW2#configure terminal
SW2(config)#interface fastethernet 0/1
SW2(config-if)#switchport mode trunk

Il nous reste maintenant à vérifier que le trunk est opérationnel:

SW1#show interface fastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none  

L’administrative mode … c’est le mode configuré, l’operationnal mode, c’est le mode de fonctionnement résultant de la configuration du lien.

A noter que sur certaines versions de switch, lorsqu’on force un trunk, il faut avoir au préalable défini l’encapsulation à utiliser:

SW2(config-if)#switchport trunk encapsulation dot1q

On peut également avoir d’autres informations:

SW1#show interfaces trunk

Port        Mode         Encapsulation  Status        Native vlan
Fa0/1       on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa0/1       1-4094

Port        Vlans allowed and active in management domain
Fa0/1       1,10,20,30

Port        Vlans in spanning tree forwarding state and not pruned
Fa0/1       1,10,20,30
SW1#

On a ici le récapitulatif des ports qui fonctionnent en trunk ainsi que les infos relatives aux VLANs qui peuvent ou non transiter sur le lien.

A noter que sous « Mode » on a l’état du trunk résultant de la config. Par exemple si on était en négociation … la commande afficherait alors « desirable » par exemple.

Comme on le constate, il n’y a pas grand chose à faire pour qu’un trunk soit établi. Là ou les choses se corsent c’est quant on veut gérer les vlans qui sont autorisés ou non sur le trunk, ou quand on active le pruning, fonctionnalité qui a pour but de ne pas propager des trames sur un lien quant il semble que le vlan en question n’est pas utilisé au delà de celui-ci.

Read More

VLAN : Réseau local virtuel

 Si on compare un switch à un immeuble, on peut expliquer assez simplement la notion de VLAN. 

 

Tout d’abord que veut dire le mot VLAN ?

Vlan veut dire Virtual local area network … en d’autres mots : réseau local virtuel.
Il s’agit, sur un même switch de créer plusieurs réseaux indépendants ne pouvant pas, par défaut, communiquer entre eux.
Dans notre exemple, un switch est comme un grand immeuble avec plusieurs appartements.
Chaque appartement créé correspond à un Vlan.
Donc si notre immeuble contient 12 appartements, cela correspond à 12 Vlans sur notre switch.
Chaque occupant d’un appartement est indépendant de son voisin avec qui il ne communique pas.
Chacun peut faire ce qu’il veut dans son appartement sans que le voisin ne puisse le voir ou communiquer avec lui. 

Utilité des VLANs

La technologie VLAN (LAN virtuel) permet de gérer et de maintenir plusieurs réseaux locaux (LANs), soit séparés par du routage, sur une seule et même infrastructure physique commutée.

Par analogie, on peut considérer qu’un VLAN est un commutateur virtuel sur plusieurs commutateurs physiques. On peut aussi considérer qu’un VLAN correspond à un domaine de diffusion (Broadcast) dans lequel on déploie un adressage IP cohérent comme un LAN.

 

 

 

Avantages et inconvénients de la technologie VLAN

On citera brièvement les avantages acquis de la technologie VLAN :

• Indépendance de la couche physique
• Contribue à la séparation des flux et la sécurité de l’infrastructure.
• Flexibilité : allocation dynamique des utilisateurs dans un réseau indépendamment de l’emplacement
• Facilité de gestion : QoS, classification, routage, filtrage
• Performances : diminution de la taille des domaines de Broadcast
• Coût abordable

A titre d’inconvénients, on peut citer :

• Architecture adaptées
• Investissements dans l’infrastructure
• Montées en compétences du personnel
  
  

 Fonctionnement d’un LAN

Au sein d’un LAN défini comme une infrastructure commutée, soit un réseau composé de commutateurs, toutes les interfaces hôtes disposent d’une adresse unique : une adresse physique MAC du protocole IEEE 802.

Un commutateur (un “switch”) tient une table de correspondance entre ses ports et les adresses MAC des hôtes afin de leur transférer rapidement le trafic. Cette opération de transfert est prise en charge au niveau matériel par des puces spécialisées appelées des ASICs.

Sur ces réseaux, on connaît du trafic Unicast (à destination d’un seul hôte), du trafic de Broadcast (diffusion, à destination de tous les hôtes) et du trafic Multicast (à destination de certains hôtes).

Un commutateur transfère le trafic de diffusion (Broadcast) et Multicast à travers tous ses ports sauf celui d’origine; un routeur “filtre” le trafic de diffusion en ne le transférant pas. Le trafic Unicast connu du commutateur est directement transféré par le bon port de sortie.

  LAN Virtuel (VLAN)

Un VLAN est donc un LAN logique fonctionnant sur une infrastructure LAN physique commutée.

Une infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera comme n’importe quel LAN distinct.

 

Du trafic de Broadcast émane des stations A et H.

 

Concrètement, les ports du commutateur prennent un identifiant VLAN. Cet identifiant logique définit l’étendue du domaine de diffusion : le trafic de diffusion ne sera transféré que sur les ports ayant le même identifiant. Autrement dit, par exemple, le trafic de diffusion venant d’un port appartenant au VLAN 66 ne se sera transféré que sur les ports ayant pour attribution le VLAN 66.

La séparation fonctionnelle entre deux ports ayant des identifiants VLAN différents correspond à une séparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports du commutateur, soit l’infrastructure physique elle-même.

 Définition

La virtualisation d’un LAN consiste à séparer l’infrastructure physique des services de transfert rapide fournis par les commutateurs.

L’objectif fondamental d’un VLAN est de rendre la fonction d’un LAN (tel que décrit plus haut) indépendante de l’infrastructure physique. Cette technologie s’intègre pleinement dans les marchés des environnements virtualisés, des déploiements de réseaux sans fil, de la VoIP, des passerelles Internet d’entreprise et familiales.

De plus, cette fonctionnalité peut être étendue sur des ports de commutateurs distants à travers toute l’infrastructure. Dans ce cas, les commutateurs devront transporter entre eux du trafic appartenant à plusieurs VLANs sur une ou plusieurs liaisons spécifiques …

 Trunking

… Les ports d’une liaison qui agrègent le trafic de plusieurs VLANs s’appellent un “Trunk” chez le constructeur Cisco Systems et “liaison d’agrégation” chez d’autres. Sur ce type de liaison, le commutateur ajoute des champs supplémentaires dans ou autour de la trame Ethernet. Ils servent notamment à distinguer le trafic de VLANs différents car ils contiennent entre autres le numéro d’identification du VLAN.

Une liaison “Trunk” transporte les trames de plusieurs VLANs. On imagine aisément que la liaison doit être dimensionnée en port “uplink” avec des capacités supérieures (bande passante) à celles des hôtes qui placent du trafic. Enfin, sauf exception, une liaison “Trunk” se monte entre des ports de commutateurs.

Les commutateurs isolent le trafic entre les VLANs distincts mais transfèrent le trafic de plusieurs VLANs sur une liaison Trunk

Protocoles “Trunk” 

On trouvera deux protocoles de “Trunk” ou de “liaison d’agrégation” VLAN qui permettent de distinguer le trafic de VLANs distincts. Il agissent au niveau de la couche 2 “liaison de données” (L2). Ils opèrent sous les couches TCP/IP.

• Inter-Switch Link (ISL) : protocole propriétaire Cisco qui encapsule la trame d’origine avec un en-tête spécifique qui contient entre autres le numéro de VLAN et un nouveau champ FCS. Il est indépendant de la technologie sous-jacente. Il est de moins en moins rencontré au profit de IEEE 802.1q.

• IEEE 802.1q : Standardisé et interopérable, il ajoute une étiquette dans l’en-tête de la trame (un ensemble de champs juste après le champ d’adresse MAC d’origine). Cette étiquette a une taille de 4 octets ou 32 bits dont 12 bits sont consacrés au numéro de VLAN. Le standard supporte les technologies IEEE 802.3 (Ethernet), IEEE 802.11 (WIFI), IEEE 802.5 (Token-Ring), etc. en tant que protocole de “pontage” (bridging, IEEE 802.1). Vu que la trame sera modifiée, le commutateur recalculera la valeur du champ CRC/FCS.

 

Où l’étiquette IEEE 802.1q est composée de :

• TPID Tag Protocol Identifier (16 bits) : 0x8100, valeur annonçant la charge IEEE 802.1q
• TCI Tag Control Identifier (16 bits) :
  • PCP Priority Code Point (3bits), priorité IEEE 802.1p
  • CFI Canonical Format Indicator (1 bit), la valeur 0 correspond à une adresse MAC en format canonique
  • VID VLAN Identifier (12 bits), l’identifiant VLAN

Encapsulation IEEE 802.1q

Quand est-ce que cette encapsulation IEEE 802.1q intervient-elle ?

 

Un hôte A veut joindre un hôte L connecté à un commutateur distant. Les commutateurs sont interconnectés par une “liaison d’agrégation” ou “Trunk”. La trame sera étiquetée seulement si elle quitte le commutateur sur un port qui connecte une “liaison d’agrégation” ou “Trunk”. Lors de la livraison locale de la trame à la station destinataire, elle sort du port du commutateur de destination sans étiquette.

2.5. Multicast/Diffusion

Le trafic de diffusion (Broadcast) comme celui de Multicast sera porté à la destination de tous les ports ayant le même identifiant VLAN, mais aussi à travers des ports “Trunk”.

 

Broadcast sur un port Trunk

Les hôtes connectés à un port d’un identifiant VLAN différent ne seront pas affectés par ce trafic. En ce sens, la taille des domaines de diffusion peut être contrôlée sur une infrastructure commutée à des fins de performance, d’administration du trafic et du contrôle des flux des machines et finalement de leurs utilisateurs.

2.6. Domaines IP

Comme dans tout LAN, le réseau IP est homogène et correspond à un adressage marqué par un préfixe et un masque de réseau.

Au sein d’un LAN, toutes les interfaces qui participent à IP partagent le même adressage.

Un routeur constitue la limite d’un VLAN comme celle d’un LAN. En conséquence, pour que des VLANs communiquent ensemble, en tant que réseaux logiques différents, une fonction de routage est nécessaire. On parle alors dans la littérature de “routage inter-VLAN”.

Cette fonction peut être remplie par des plates-formes d’entreprise comme des routeurs d’accès, des routeurs Linux/BSD mais de préférence avec des commutateurs LAN disposant d’un logiciel de routage (commutateurs L3, commutateurs mulicouches, Multilayer switches). Ces “routeurs” sont capables de transférer du trafic de VLANs différents à partir d’un seul port physique reconnu comme port d’agrégation VLAN.

 Routage inter-VLAN

Dans cet exemple, une seule interface du routeur est nécessaire. Elle sera configurée en mode “trunk” en créant pour chaque VLAN une sous-interface logique différente. Évidemment, l’interface physique ne prend pas d’adresse IP.

Cette configuration de lab que l’on ne souhaitera pas rencontrer dans la réalité, est appelée “routeur-on-a-stick”.

Implémentation VLAN

On trouvera différents types d’implémentations sur les commutateurs, à savoir :

• Les VLANs statiques ou dits “port-based” ou “port-centric” : un port de commutateur appartient “statiquement” à un VLAN. Ce type de configuration nécessite un configuration manuelle de chaque port. C’est encore l’implémentation la plus courante.
• Les VLANs dynamiques : où l’attribution d’un VLAN est effectuée dynamiquement sur base d’une adresse physique (MAC), logique (IP) ou de crédits quelconques avec IEEE 802.1X / EAP. Ce type d’implémentation est nécessairement la plus coûteuse et demande d’autant plus de composants d’infrastructure et de compétence.
  
  

      Modes opérationnels des ports sur les commutateurs Cisco

Sur un port de commutateur Cisco (pas chez les autres), un “switchport”, on rencontre deux modes opérationnels de ports :

• “access”
• “trunk”

 Mode des ports “access”

Sur un commutateur Cisco, on distinguera les ports dits “access” des ports dits “trunk”.

Un port “access” est un port qui ne transportera des informations que d’un seul VLAN. A priori, ce type de port connectera un hôte terminal, une station de travail ou un serveur.

Un port “access” n’ajoute pas d’étiquette au trafic qu’il délivre.

Mode des ports “trunk”

Un port “trunk” est un port qui transportera des informations de plusieurs VLANs. On y connectera un autre commutateur, un routeur ou même la carte réseau IEEE 802.1q d’un serveur configuré en port “trunk”.

Un port “trunk” ajoute des étiquettes au trafic puisqu’il est destiné à un autre commutateur. Le VLAN natif est celui pour lequel il n’y aura pas d’étiquette ajoutée sur le port “trunk”. Ce paramètre se définit d’ailleurs sur le port “trunk”.

Autrement dit, un port “access” n’est pas un port “trunk” et inversement.

Nomenclature des VLANs

Dans sa documentation, Cisco Systems distinguent plusieurs types de VLANs. Cette nomenclature n’est pas stricte.

En voici une liste non-exhaustive.

• VLAN 1
• VLAN par défaut (Default VLAN)
• VLANs utilisateur (User VLAN)
• VLAN de gestion (Management VLAN)
• VLAN natif (Native VLAN)
• VLAN Voice
• VLANs réservés

VLAN 1
Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous les ports, y compris l’interface de gestion (SVI). En plus, une série de protocoles de couche 2 comme CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et DTP doivent impérativement transiter à travers ce VLAN spécifique.

Pour ces raisons, le VLAN 1 ne peut jamais être supprimé, il existe d’office.

Pour ces raisons, il recommandé d’éviter d’utiliser dans tous les cas le VLAN 1 dans ses déploiements en production.

Notons que les VLANs 1002 à 1005 sont des VLANs par défaut réservés aux technologies FDDI et Token-Ring. Ils sont donc inutilisables sur un commutateur Cisco Ethernet.

Vlan par défaut

Par défaut, le VLAN 1 est celui qui assigné à tous les ports d’un commutateur tant qu’ils n’ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, gestion et natif, etc.) sont membres du VLAN 1 par défaut.

VLAN utilisateur

On dira que ce type de VLAN est un VLAN “normal” dans le sens où il est celui qui a été configuré pour rendre une segmentation logique du commutateur dans le cadre de l’utilité des VLAN. La numérotation des VLANs est disponible sur 12 bits. Ceci dit, chaque modèle de switch aura ses limites en nombre total à créer et à gérer. Pour connecter des utilisateurs et leurs services, on évitera d’utiliser le VLAN 1.

VLAN de gestion

Le VLAN de gestion est un VLAN spécifique attribué aux commutateurs pour qu’ils soient accessibles via une adresse IP (ICMP, Telnet, SNMP, HTTP).

Qu’il existe ou non une interface physique appartenant au VLAN de gestion désigné, on joindra le commutateur en IP via une interface virtuelle (SVI) de type VLANx. Tous ports “access” associés à ce VLANx répondent en IP pour l’interface virtuelle VLANx.

Dans les bonnes pratiques de configuration, on le distinguera du VLAN par défaut d’un VLAN utilisateur ou du VLAN natif. On changera donc le numéro du VLAN de gestion.

Dans le cas d’une tempête de diffusion ou d’un souci de convergence avec Spanning-Tree, l’administrateur devrait toujours avoir accès au matériel pour résoudre les problèmes via ce VLAN.

Aussi, une bonne raison de séparer le VLAN de gestion des autres tient au fait évident de séparer logiquement les périphériques “dignes de confiance” des autres. Il s’agit alors d’appliquer les règles de sécurité nécessaires afin d’éviter, par exemple, que des utilisateurs classiques ou tout simplement “non-autorisés” n’accèdent au matériel.

VLAN natif

La notion de VLAN natif n’intervient que lorsque l’on configure un port “Trunk”. Quand un port est configuré en tant que tel, le commutateur insère une “étiquette” dans l’en-tête de la trame avec le numéro de VLAN approprié.

Toutes les trames passant par un “Trunk” sont ainsi étiquetées sauf les trames appartenant au VLAN natif. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas étiquetées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas l’étiquetage. On recommandera de changer le numéro du VLAN natif.

Aussi, les protocoles de contrôles tels que CDP, VTP, PAgP et DTP sont toujours transmis par le VLAN natif. Si on change l’identifiant du VLAN natif, ce qui est conseillé, il faut le faire sur toutes les liaisons “Trunk”, sur toute la topologie.

VLAN Voice

Pour assurer la Qualité de Service (QoS) des communications vocales, le VLAN Voice se configure sur un port Access et crée une sorte de mini-Trunk vers un téléphone IP.

 

 

 

VLANs réservés

Puisque le VLAN ID est codé sur 12 bits dans les étiquettes 802.1q, offrant de la sorte 4096 possibilités, le premier ID VLAN disponible 0 et le dernier 4095 sont réservés et ne peuvent donc pas être utilisés.

En retirant les VLANs par défaut et les VLANs réservés, la plage de VLANs disponibles varie de 1 à 1001 et de 1006 à 4094.

Read More