Chapitre 4

VLAN
Virtual LAN
 Plan
• Définition et nécessité de Vlan
• Types de Vlan : Statique et dynamique
: Vlan Data, …
• Native Vlan,
• Création de vlan
• Désignation des ports pour un vlan
Nécessité d’un vlan
 Définition et nécessité
LAN => inclu tous les
équipements dans un
même broadcast Domain.

Besoin d’avoir des

groupes spécifiques.

Idée : dans un même LAN

physique, nous allons créer
des groupes virtuels de
sous-LAN, appelés: Vlan id
 Définition et nécessité : dans un même LAN physique, nous
allons créer des groupes virtuels de sous-LAN, appelés: Vlan id.

• Dans un LAN, il est généralement rare de faire un

broadcast vers toutes ses équipements.

• Par contre on a besoin d’avoir des groupes

d’utilisateurs ou d’équipements selon un critère
choisi (groupes de travail, types de services
administratifs, types d’équipements, …).
 Exemple: Groupe de travail sans Vlan
• Pour créer des groupes de broadcat, il faut utiliser
des switchers séparés physiquement.
• Car un switcher considère que tous ses ports sont
dans un même domaine de broadcast.
• Sans Vlan, pour créer deux domaines de Broadcast,
il faut utiliser deux switchers séparés.
• -> couteux si on a plusieurs domaine de broadcast.
 Solution : Virtual LAN : Vlan
• Avec Vlan : un switcher peux configurer des ports pour un vlan1
(domaine Broadcast 1) séparés d’autres ports pour un autre
vlan2 (domaine Broadcast 2).
• Possibilité de créer plusieurs vlan sur un seul Switcher
(softaware Broadcast domain separation).
• Minimisation des coûts du LAN.
 Avantages des vlan
Sécurité :
• Minimisation des nombres des switchers dans un LAN.
• Minimisation de risques sur le LAN : minimisation du
nombres des hostes qui vont avoir un même frame.
• Sécurité de certains hosts envoyant des données
confidentielles, spécifiques, … en les mettant dans un
même vlan.

Flexibilité :
• Flexibilité de grouper les users par département, par
groupes de travail, … au lieu de les séparer
physiquement chacun par un switcher.
• Facilité de la détermination des pannes,
• Limitation du STP sur les vlan d’un même switcher.
 Type de de vlan
• Statique : créer manuellement (à base des @MAC)
• Dynamiquement : par un serveur (à base des
@MAC, port number, …)

• Classement de vlan :
Data : trafic classique
Voice : VoIP,..
…
 Type de vlan
• Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau
auquel il s'effectue :
• VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit
un réseau virtuel en fonction des ports de raccordement sur le commutateur ;

• VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en
anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction
des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le
VLAN par port car le réseau est indépendant de la localisation de la station ;

• VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

•Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe
des sous réseaux selon l'adresse IP source.

• Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un

réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.),
regroupant ainsi toutes les machines utilisant le même protocole au sein d'un
même réseau
 Création de vlan (d’une façon statique)
Ou bien : Sw#vlan database
• Sw(config)#vlan (vlan-id) Sw(vlan)#vlan (vlan-id) name (NOM)
• Sw(config-vlan)#name (donner un nom à votre vlan)
• Sw(config)#int fa0/1 (désigner le port fa0/1 au valn id)
ou bien
• Sw(config)#int range fa0/1-12 (allouer un ensemble de ports à un vlan id)
• Sw(config-if)#switchport mode access
• Sw(config-if)#switchport access vlan (vlan id)

Id : Identifiant d’un vlan, valeur allant de 1 ..1005 pour les vlans standards.

et 1006..4094 pour les vlans étendues.

Native Vlan ; par défaut, si vous ne créer pas de vlans, le (les) switcher auquel vous êtes connecté
va créer un vlan par défaut ayant l’identifiant 1: (VLAN001)

• L’identifiant des vlan que vous pouvez créer (effacer) vont de : 2 .. 1001

Il y a des valns spécifiques (id : 1002,..1005) qui sont réservés pour communiquer avec d’autres
types de LAN (fibre optique, FrameRlay, FDDI,…)
Type de port en vlan (access port pour le End user)
Exemple de valn ( deux valns, vlan20 et valn30
 Switch#show vlan

Les vlans standards sont stockés dans un fichier appelé : VLAN.DAT

• Switch(config)#vlan 20
• Switch(config-vlan)#name ADMINISTRATION
• Switch(config-vlan)#exit
• Switch(config)#exit
• Switch#show vlan
 Assignation des ports au vlan20
• Switch(config)#int fa0/1
• Switch(config-if)#switchport mode access
• Switch(config-if)#switchport access vlan 20
 Interface en mode trunk (tronc)

Ping entre les même postes d’un même vlan sur le même switcher : OK,
Ping entre les mêmes postes d’un même vlan mais sur des switchers différents : Failed
Problème : le lien entre les deux switchers ne peux pas assurer la commutation au sein d’un même
valn sur des switchers différents
 Interface en mode Trunk
• Solution: configurer les interfaces reliant les deux switches en mode Trunk.

Vérifier de bien cocher tous les vlans

 Avec commande ligne (CLI)
• Switch(config)#interface FastEthernet0/1
• (Ou bien en abrégé : Switch(config)#int fa0/1)
• Switch(config-if)#switchport mode trunk
• Switch(config-if)#switchport trunk allowed vlan 10,20

• Configuration de plusieurs ports sur un même switch en mode trunk

(exemple interface : fa0/1, fa0/2 et fa0/3 pour vlan 10 et 20)
• Switch(config)#int range fa0/1-3
• Switch(config-if-range)#switchport mode trunk
• Switch(config-if-range)#switchport trunk allowed vlan 10,20
 Routage inter-vlan
• Dans le cas où nous voulons échanger des informations entre
les Pcs des différents vlan, nous avons besoin d’un routeur
•
1er étape : Création d’interfaces virtuelles sur le routeur
• Ne pas donner d’@IP pour le routeur

• Dans CLI, taper :

Router(config-if)#no ip address
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.10
Router(config-subif)#encapsulation dot1Q 10 Création d’une interface
virtuelle pour le valn 10
Router(config-subif)#ip add 192.168.10.1 255.255.255.0
Router(config-subif)#no sh (🡪 no shutdown)
Router(config-subif)#exit

• Faire de même pour toutes les interfaces nécessaires aux différents vlan crées
 ème
2 étape : affecter les Gatway au niveau
des différents PCs de chaque vlan
• Aller sur chacun des PCs et leurs ajouter les gateways.
Tous les PCs d’un même vlan doivent avoir la même
gateway.
 ème
3 étape : mode trunk de l’interface
switch - Routeur
• Changer le mode du port reliant le switch au
routeur, du mode access au mode trunk.
Table de routage : Router#show ip route
exemple pour trois vlan : 10, 20 et 30
 Notion de trunk
• Quand une trame provenant d’un switch voisin arrive sur notre switch, comment sait-il à
quel VLAN appartient la trame reçue?

• Si on ne fait rien, le switch considérera que la trame appartient au VLAN 1 configuré sur le
port (VLAN 1 par défaut).

• Il faut donc configurer les switchs pour qu’à chaque fois qu’une trame sort d’un port pour
joindre un autre switch, on y rajoute l’identifiant du VLAN auquel la trame appartient.
C’est la notion de Trunk!
Durant sa propagation
sur plusieurs switchs, Le trunk est le mécanisme qui
chaque trame gardera permet d’insérer l’identifiant
l’information de son du VLAN sur une trame user.
appartenance à son
VLAN.
Le switch destinataire
saura par quels ports la
trame peut être
commutée (ports
appartenant au même
VLAN).
 Notion de trunk
• Toutes les trames qui sortiront sur ce lien (switch de droite ou de gauche), se verront
appliquer une étiquette supplémentaire qui contient l’identifiant du VLAN (en noir sur
la trame).
• Historiquement, Cisco avait créé son propre protocole de Trunk entre ses switchs,
nommé ISL – Inter-Switch Link. Mais cette fonctionnalité demanda une inter-opérabilité
avec d’autres constructeurs.
• La norme Trunk 802.1Q fut sortie et Cisco l’implémenta aussi dans ses switchs. D’où la
possibilité sur certains switchs Cisco de décider quel trunk on souhaite faire, ISL ou
802.1Q.
 Port Trunk ISL
• Le trunk propriétaire Cisco ISL a la particularité d’encapsuler toute la trame user dans une
nouvelle trame, nommée trame ISL. Voici à quoi ressemble une trame ISL:

• Etant donné que cette trame a un format particulier, il est obligatoire de configurer les
prots des switchs d’en face en trunk ISL.

• Configuration à effectuer sur les ports des switchs interconnectés entre eux:
Switch(config)# interface fastethernet 0/0
Switch(config-if)# shutdown
Switch(config-if)# switchport trunk encapsulation isl
Switch(config-if)# switchport mode trunk
Switch(config-if)# no shutdown

• Remarque : une trame qui arrive non encapsulée ISL sur un port trunk (arrivant d’un
user n’on appartenant à un VLAN) , sera classé comme appartenant au VLAN Native (qui
est par défaut le même que VLAN1).
 Port Trunk 802.1Q
• Le trunk normalisé 802.1Q n’encapsule pas toute la trame user comme ISL mais
coupe la trame et y insère une étiquette ou TAG, nommée TAG 802.1Q.
• Voici à quoi ressemble une trame utilisateur avec le rajout du TAG 802.1Q:

4Ø

• La première trame est celle de l’utilisateur qui arrive sur le switch. Dès que cette
trame sort vers un port configuré en Trunk 802.1Q, le switch insère l’étiquette TAG
(trame n°2 dans le schéma).
 Port Trunk 802.1Q
Le contenu de ce TAG sont les champs suivants (trame n°3 dans le schéma):

• Ethertype (2Ø): permet de préciser que c’est une trame 802.1Q, la valeur
en hexa est 0x8100

• PRI (3bits): champs de priorité sur 3 bits qui permet de classifier le trafic
utilisateur pour lui appliquer de la qualité de service (voix, vidéo…). Ce
champ est aussi appelé 802.1P ou COS – Class Of Service.

• CFI (1 bit)– Canonical Format Identifier: permet la compatibilité d’un

réseau Ethernet avec un réseau TokenRing. Champ à oublier pour le CCNA
car il n’existe quasiment plus du réseau TokenRing aujourd’hui.

• VLAN ID – VLAN Identifier: codé sur 12bits: valeur numérique du VLAN

auquel la trame utilisateur appartient. C’est le champ le plus important à
connaitre
 Native Vlan
• Les ports Trunk sont les liens entre les commutateurs qui prennent en charge la transmission
du trafic associé à plusieurs VLAN.
• Un port de jonction 802.1Q prend en charge le trafic provenant de nombreux VLAN (tagged
trafic : trafic identifié (balisé)), ainsi que le trafic qui ne provient pas d'un VLAN (trafic non
identifié).
• Le port de jonction 802.1Q place le trafic non identifié sur le VLAN natif, qui est par défaut le
VLAN 1 sur un commutateur Cisco.

PVID : Port Vlan ID (ç-à-d que ce port est affecté à quel VLAN ID ?)
• Lors de la configuration d'un port de jonction 802.1Q, on attribue à son PVID, l’identifiant ID
du VLAN natif. Autrement dit : chaque port configuré comme trunk sera alloué, par défaut, au
VLAN natif.
• Tout le trafic non balisé entrant ou sortant d’un port trunk est transféré en fonction de la
valeur PVID.

• Par exemple, si le VLAN 77 est configuré en tant que VLAN natif, le PVID aura 77 et tout le
trafic non balisé est transféré vers le VLAN 77.
• Il est recommandé de configurer le VLAN natif comme un VLAN distinct du VLAN 1 et des
autres VLAN. En fait, il est conseillé de dédier un VLAN fixe pour jouer le rôle de VLAN natif
pour tous les ports Trunk dans le LAN.
 Native Vlan
• PC1 et PC2 sont dans le VLAN
10.
• PC3 et PC4 sont dans le VLAN
20.
• Le trafic des deux VLAN traverse
la liaison Trunk qui est
configurée entre les deux
commutateurs.

• Si PC1 envoie du trafic à PC2,

lorsque les données quittent le
port Gi0/1, le commutateur S1
« balise » le trafic avec le VLAN
10.

• Lorsque S2 reçoit la balise, le

commutateur la supprime et
envoie les données à PC2.

• Le VLAN natif doit être un VLAN

différent du VLAN1, comme
illustré sur cette figure.
 Interface VLAN d’un switch
(SVI : Switch Vlan Interface)
• pourquoi définir une adresse IP à un switch?
Normalement, on n’en a pas besoin car ce qu’on demande au switch
c’est principalement de commuter les trames des ordinateurs
entre eux et vers le routeur de sortie Internet.

• Utilité : Le fait de configurer une adresse IP à un switch nous

permet de prendre la main à distance et de le configurer et gérer à
distance via HTTP, Telnet, SSH, or SNMP.

• La majorité des switchs d’entreprises sont configurés pour être

joignables à distance par les administrateurs.

• En effet, les administrateurs réseau, ont souvent besoin

d’accéder aux switchs pour ouvrir/bloquer une interface physique
(port), l’affecter à un VLAN particulier, configurer la vitesse et le
duplex de l’interface, analyser les statistiques du switch, …
 Analogie avec un routeur
• Nous configurons une adresse IP au routeur pour y accéder à distance,
les étapes sont:
1. identifier une interface physique du routeur (par exemple FastEthernet 0/1)
2. entrer dans le mode privilégié (enable)
3. entrer dans le mode de configuration globale du routeur (configure terminal)
4. entrer dans le mode de configuration de l’interface physique en question
(interface FastEthernet 0/1)
5. définir l’adresse IP et son masque (ip address 10.1.1.9 255.255.255.0)
6. activer électriquement l’interface (no shutdown)
7. sortir du mode de l’interface physique (exit)
8. sortir du mode de configuration global (exit).

Les étapes semblent logiques pour un routeur alors que pour un switch,
il y a une particularité , c’est l’interface VLAN.
 L’interface VLAN d’administration
• Rappel: le switch contient des VLAN qui servent à isoler (séparer) des
interfaces physiques entre elles. le switch se charge de commuter les
trames entres elles en fonction de leur VLAN d’appartenance.
• Supposons “théoriquement” que le switch ait une adresse IP sans
appartenance à un VLAN.
• Mon ordinateur est connecté à ce switch par une interface physique qui
appartient au VLAN 10.
• De mon PC, je ping l’adresse IP du switch.
• Le switch reçoit une trame sur une interface physique qui appartient au
VLAN 10, mais l’adresse IP du switch n’appartient à aucun VLAN.
A-t-il le droit de transmettre la trame?
 L’interface VLAN d’administration
• Solution : On identifie un VLAN en particulier (par exemple le VLAN 1 ou
peu importe) et sur ce VLAN on active une interface VLAN qui est une sorte
d’interface virtuelle qui peut être joignable de n’importe quelle interface
physique qui appartiennent à ce même VLAN.

• Cette interface VLAN sera interface VLAN du Switch (SVI) permettant de

l’administrer.

Pour l’exemple précédent:

• si l’interface physique appartient au VLAN 10 et que l’interface VLAN du
switch est VLAN 1 alors le ping de mon ordinateur échouera

• si l’interface physique appartient au VLAN 1 et que l’interface VLAN du

switch est VLAN 1 alors le ping de mon ordinateur vers l’adresse IP du
switch fonctionnera
 Management vlan
• Un VLAN de gestion est tout VLAN configuré pour accéder à la gestion d'un
commutateur.

• Le VLAN 1 est le VLAN de gestion par défaut. Pour créer le VLAN de gestion,
l'interface virtuelle du commutateur (SVI) de ce VLAN se voit attribuer une adresse
IP et un masque de sous-réseau, permettant au switch d'être géré via HTTP, Telnet,
SSH ou SNMP.

• Étant donné que la configuration par défaut d’un switch Cisco a le VLAN 1 comme
VLAN par défaut, le VLAN 1 serait un mauvais choix pour le VLAN de gestion.

• Si le VLAN natif est le même que le VLAN de gestion, il existe un risque de sécurité.

• Le VLAN natif, lorsqu'il est utilisé, et le VLAN de gestion doivent toujours être un
numéro de VLAN distinct de tout autre VLAN.
 Voice VLANs
Le trafic VoIP nécessite :
• Bande passante assurée pour assurer la
qualité de la voix
• Priorité de transmission par rapport aux
autres types de trafic réseau.
• Possibilité de routage autour des zones
encombrées du réseau.
• Retard inférieur à 150 ms sur le réseau Un VLAN voix est nécessaire
• Pour répondre à ces exigences, l'ensemble pour prendre en charge la voix
du réseau doit être conçu pour prendre sur IP (VoIP).
en charge la VoIP.
VLAN voix entre un
• Dans cette figure, le VLAN 150 est conçu commutateur, un téléphone
pour acheminer le trafic vocal. IP Cisco et un ordinateur.
• L'ordinateur de l'étudiant PC5 est
connecté au téléphone IP Cisco et le
téléphone est connecté au commutateur
S3.

• PC5 est dans le VLAN 20, qui est utilisé

pour les données des étudiants.
 Note
• Le nom d’un vlan est une chaine de caractères ASCII de 1 à 32 caractères.

• Création de plusieurs vlan au même temps : S1(config)# vlan 101,102-107

• Afficher en bref les vlans d’un switch : S1#show vlan brief

• Afficher les informations d’un seul vlan (à l’aide son id, exp vlan 20) : S1#show vlan id 20
• Afficher les informations d’un seul vlan (à l’aide son nom) : S1#show vlan name L2CS

• Création d’un vlan lors de l’affectation d’une interface à un vlan non existant (exp : le vlan
40n’existe pas sur S1) : S1(config-if)#switchport access vlan 40
Le switch vous affiche : “% Access VLAN does not exist. Creating vlan 40”
 Note
• Désaffectation d’une interface à un vlan id:
S1(config-if)# no switchport access vlan id

Consulter l’état d’affectation de l’interface fa2/1 au vlan :

S1#show interfaces fa2/1 switchport

Le switch vous affichera :

• Name: Fa2/1
• Switchport: Enabled
• Administrative Mode: static access
• Operational Mode: down
• Administrative Trunking Encapsulation: dot1q
• Operational Trunking Encapsulation: native
• Negotiation of Trunking: Off
• Access Mode VLAN: 40 (VLAN0040)
• Trunking Native Mode VLAN: 1 (default) …..

• Effacer un vlan : S1(config)# no vlan id