LES VLANS

RAPPORT DE : Ingrid Dhoneure BOUITY

MASTER1
EC2LT
Contexte :
Nous avons un rseau local quon doit dcouper en plusieurs LAN virtuel : VLAN et
permettre ces derniers de pouvoir communiquer grce au routage inter-VLAN

Problmatique :
Difficult dans un rseau de pouvoir grer plusieurs quipements se trouvant

dans des zones gographiques diffrents.

Difficult de grer les utilisateurs ayant les mmes droits et se trouvant dans
des zones gographiques diffrents
Comment faire communiquer deux vlan diffrents
Comment faire pour identifier une trame qui se trouve dans un vlan

Objectif :
Comprendre cest quoi un vlan

Faire la diffrence entre domaine de diffusion et domaine de collision

Comprendre le fonctionnement dun hub et dun switch
Pouvoir grer le rseau local en crant des rseaux virtuels
Pouvoir faire communiquer plusieurs rseaux vlan
Identifier une trame qui se trouve dans un vlan

Outils et mthodes de travail :

GNS3 ou routeur et switch physique

Wireschark pour analyser les trames
Putty : logiciel de connexion (pour les quipements cisco physiques)

Prsentations des rsultats et commentaires :

Capture dcran des configurations et commentaires

1. Introduction
Aujourdhui une entreprise peut occuper tout un immeuble et avoirs plusieurs secteurs
rpartis dans chaque niveau de limmeuble utilisant les mmes rssources. On peut
retrouver par exemple le service comptabilit au premier niveau, au troisime niveau et au
dernier niveau de limmeuble.
Etant dans le mme rseau bien sr ses activits sont disperses, pour pallier cela il ya
naissance des Vlan pour faciliter le travail de ladministrateur. En premier lieu nous allons
voir quelques dfinitions des diffrents lments qui feront lobjet de ce document.

2. Dfinitions et rles
a. Domaines de diffusion :
Cest la zone logique dun rseau informatique compose de tous les ordinateurs et les
quipements de communication qui peuvent tre contacts en envoyant une trame
l'adresse de diffusion de la couche liaison. Les vlan permettent de sparer virtuellement un
commutateur en plusieurs domaines de diffusion

b. Domaines de collision :
Un domaine de collision est une zone logique d'un rseau informatique o les paquets de
donnes peuvent entrer en collision entre eux, dans un rseau Ethernet. Un commutateur
ou un routeur cre des domaines de collisions par ports.
Finalement un domaine de diffusion contient des domaines de collision.

c. Requte ARP :
Cest un protocole qui permet de connatre ladresse MAC dun hte partir
de son adresse IP.

d. Vlan :
Un Vlan est un rseau local virtuel, cest un rseau logique de niveau 2. Il permet de crer
des domaines de diffusion grs par les commutateurs indpendamment de lemplacement
o se situent les nuds, de se connecter avec un matriel adapt un groupe logique de
stations se trouvant au mme endroit ou dans des zones gographiquement loignes et
aussi de regrouper les utilisateurs qui ont besoins daccder au mme rssources.

e. Commutateur :
un commutateur est un quipement qui ne diffuse pas les trames. Il met en relation les
seuls postes concerns par lchange, avant de rmettre les trames le commutateur vrifie
que si le support de communication est libre, il vite aussi les collisions contrairement un

concentrateur.
f.

Hub : reoit linformation et le diffuse tous ces ports

g. Switch :
C'est un quipement qui est capable d'apprendre et de retenir les adresses MAC qui se
prsentent sur chacun de ses ports. Hormis les trames de diffusion qui seront
systmatiquement rpercutes sur tous les ports, il ne laissera communiquer entre eux que
les ports concerns par un dialogue entre deux nuds. C'est sa fonction principale de pont
Ethernet.

3. Types de VLAN :
Il existe quatre types de VLAN :

Les Vlan par port (Vlan de niveau 1) : On affecte chaque port des commutateurs un
VLAN.
Lappartenance dune trame un VLAN est alors dtermine par la connexion de la carte
rseau un port du commutateur. Les ports sont donc affects statiquement un VLAN.
Si on dplace physiquement une station il faut dsaffecter son port du Vlan puis affecter le
nouveau port de connexion de la station au bon Vlan. Si on dplace logiquement une station
(on veut la changer de Vlan) il faut modifier laffectation du port au Vlan.

Les Vlan par adresse MAC (Vlan de niveau 2) : On affecte chaque adresse MAC un
VLAN.
Lappartenance dune trame un VLAN est dtermine par son adresse MAC. En fait il sagit,
partir de lassociation Mac/VLAN, daffecter dynamiquement les ports des commutateurs
chacun des VLAN en fonction de ladresse MAC de lhte qui met sur ce port.
L'intrt principal de ce type de VLAN est l'indpendance vis--vis de la localisation
gographique. Si une station est dplace sur le rseau physique, son adresse physique ne
changeant pas, elle continue dappartenir au mme VLAN (ce fonctionnement est bien
adapt l'utilisation de machines portables).Si on veut changer de Vlan il faut modifier
lassociation Mac / Vlan.
Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) : On affecte une adresse de
niveau 3 un VLAN. Lappartenance dune trame un VLAN est alors dtermine par
ladresse de niveau 3 ou suprieur quelle contient (le commutateur doit donc accder ces
informations).En fait, il sagit partir de lassociation adresse niveau 3/VLAN daffecter
dynamiquement les ports des commutateurs chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accdant aux informations de couche 3. Ceci est un fonctionnement moins rapide
que le Vlan de niveau 2.
Les vlan par protocole de niveau 3

 Les VLAN se font de deux manires :

Attribution statique (niveau 1)
C'est la mthode la plus simple et aussi la moins souple, qui consiste attribuer un port du
SWITCH un VLAN donn, en configurant statiquement le SWITCH.
Attribution dynamique (niveaux > 1)
Cest la mthode qui fait appel 802.1x et un procd d'authentification(serveur
dauthentification RADIUS). Il faut disposer dun switch capable denvoyer un serveur
dauthentification ladresse MAC de la station connecte un port, en guise de
"login/password". Si l'adresse MAC est connue
(Authentification russie), le serveur pourra envoyer au SWITCH le numro du VLAN attach
la station. Cette mthode est plus souple, puisqu'une station donne pourra se connecter
sur n'importe quel port, elle se retrouvera toujours sur le VLAN qui lui convient.

a. Fonctionnement des ports :

Il existe trois modes daccs au port :
Mode daccs
Mode trunk (tiquetage de trame)
Mode dynamic ou automatique

b. Rle du vlan :
Il permet :
LEfficacit du rseau
LEfficience
La Meilleur gestion du rseau et des quipements
LAugmentation de la scurit
La meilleure grance de la communication

4. Commande :
Un switch dispose dun vlan par dfaut cest le VLAN 1 appel VLAN NATIVE et il contient
tous les ports par dfaut

a. Cration de vlan :
Pour crer un vlan :
Switch#vlan database
Switch(config)#vlan id_vlan name nom_vlan
Switch#conf t
Switch(config)#vlan id_vlan
Switch(config-vlan)#name nom_vlan

b. Attribution des ports:

Switch#conf t

Switch(config)#interface fastethernet 0/5(par exemple)(pour lattribution de plusieurs ports

la fois saisir la commande:interface range fastethernet0/5-0/10 par exemple)
Switch(config-if)#switchport mode access(pour le mode access)
Switch(config-if)#switchport access id_vlan
Switch(config-if)#no shutdown
Pour rendre les ports transparents sur les switchs: mode trunk

Faire :

Switch#conf t
Switch (config)#interface gigabitethernet 1/0/1(par exemple)
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shutdown

Pour un routage inter-vlan:

Sur un routeur faire:

Activer dabord linterface du routeur
Routeur#conf t
Routeur(config)#interface fastethernet 0/0(par exemple)
Routeur(config-if)#no shutdown

Faire lencapsulation:

Routeur#conf t
Routeur(config)#interface fastethernet 0/0.id_vlan
Routeur(config-subif)#encapsulation dot1q id_vlan
Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
Routeur(config-subif)#no shutdown
Routeur(config-subif)#end
Routeur#copy running-config startup-config

Mettre les passerelles sur chacune des machines connectes au vlan

c. Implmentation :
Nous disposons dun switch ayant trois vlan et dun routeur pour faire le routage inter-vlan.
Ici nous utiliserons trois routeurs 3700 quon transformera en machine
Un routeur 3700 quon transformera en switch avec 16ports fastethernet propre au switch
Un routeur 3700 pour le routage

d. Configuration :
On commencera par crer les diffrents vlan au niveau du switch:
Vlan 10 nomm etudiant
Vlan 20 nomm prof
Vlan 30 nomm admin

Faire :
Switch#show vlan-switch brief (pour voir les vlan cres)

Nous remarquons bien que les trois vlan sont bel et bien cres et le valn 1 par defaut
contient tous les ports du fastethernet 1/0 au fastethernet 1/15
Attribution des ports aux diffrents vlan cres :
Vlan 10 :

Vlan 20 :

Vlan 30 :

Lattribution des autres ports aux diffrents vlan se feront de la mme manire :
On a aussi attribu les ports :
Fa1/1-fa1/5 pour le vlan 10
Fa1/6-fa1/10 pour le vlan 20
Fa1/11-fa1/14 pour le vlan 30

Nous allons maintenant attribuer les adresses au diffrentes machines pour voir si les
machines du mme vlan peuvent communiquer :

Pour le Vlan 10 :192.168.10.1

Vrification :

Pour le Vlan 20 : 192.168.20.6

Vrification :

Pour le Vlan 30 :

Vrification :

Nous avons connect au vlan 10 un ordinateur ensuite nous allons faire un ping pour voir
sils peuvent communiquer :

Vrification :

Ping du 192.168.10.1 au 192.168.10.2 du mme vlan :

Nous constatons que le Vlan passe pas, parce que les deux ordinateurs se trouvent dans le
mme vlan.
Alors que le pc du vlan 10 ne peut faire un ping au pc du vlan 2,et l on fait le routage intervlan

Nous allons alors faire un routage inter-vlan pour faire communiquer les deux vlan :

Premirement nous allons activer le port fa1/15 :

Ensuite nous allons rendre transparent le lien, en activant le mode trunk au port
fa1/15

Vrification :

On constate que le port fa1/15 napparait plus sur la liste ce qui prouve quil ya bel et bien
lactivation du mode trunk sur le port fa1/15.

e. Configuration du routeur :

Activation du port dabord :

Faire lencapsulpation dot1q au vlan10 et lattibution dadresse au port fa0/0.10 du

routeur :

Encapsulation dot1Q au vlan 20 et lattribution dadresse au port fa0/0.20 du

routeur :

Encapsulation dot1Q au vlan 30 et attribution dadresse au port fa0/0.30 du routeur :

Vrification des adresses attribues :

Fa0/0.10

Fa0/0.20

Fa0/0.30

Nous voyons bel et bien que les adresses sont bien configures et lencapsulation aussi.
Faisons alors un ping :
Du pc 192.168.10.2 au pc 192.168.10.1 :

Nous constatons que les vlan 10, 20, et 30 ne communiquent pas. nous allons dclarer les
routes : la passerelle

faire ip route au niveau des machines :

vlan10#conf t
vlan10(config)#int fa0/0
vlan10(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.10.254
vlan10(config-if)#no shutdown

vlan20#conf t
vlan20(config)#int fa0/0
vlan20(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.20.254
vlan20(config-if)#no shutdown

vlan30#conf t
vlan30(config)#int fa0/0
vlan30(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.30.254
vlan30(config-if)#no shutdown

ping du vlan10 au vlan20 :

Ping du vlan10 au vlan30 :

Ping du vlan 20 au vlan 10 :

Ping du vlan 20 au vlan 30 :

Ping du vlan30 au vlan10 :

Ping du vlan30 au vlan20 :

Nous constatons que tous les ping marchent maintenant et que tous les vlan peuvent
communiquer.

Vrification des trames avec wirshark :

Ping du vlan10 au vlan20 :
La capture au niveau du lien trunk :
On constate ceci :

Ici on voit les adresses mac du pc source et destination

Source : C2 :03 :03 :74 :F1 :0F
Destination : 01 :00 :0C :CC :CC :CD
On voit aussi que le trunk a t configur :
Type : 802.1Q virtual lan(0x8100)
Ensuite Faisons la capture au niveau du lien entre le pc :

Source : 01 :80 :C2 :00 :00 :00

Destination :C2 :09 :13 :D4 :F1 :01
Type :0x802

5. Conclusion :
En crant les vlan, le rseau sera mieux structur, mieux gr et on pourra faire des accesslist par groupe.