Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Chapitre 11
VLAN et routage inter-VLAN

LES SUJETS D'EXAMEN ICND1 SUIVANTS SONT COUVERTS DANS CE CHAPITRE :

Technologies de commutation LAN 2.0
2.4 Configurer, vérifier et dépanner les VLAN (plage normale) couvrant plusieurs
commutateurs

2.4.a Ports d'accès (données et voix)

2.4.b VLAN par défaut

2.5 Configurer, vérifier et dépanner la connectivité intercommutateur

2.5.a Ports tronc

2.5.b 802.1Q
2.5.c VLAN natif
3.0 Technologies de routage

3.4 Configurer, vérifier et dépanner le routage inter-VLAN

3.4.a Routeur sur stick

Je sais que je n'arrête pas de te le dire, mais pour que tu ne l'oublies jamais, j'y vais,
une dernière fois : par défaut, les commutateurs décomposent les domaines de collision et les routeurs décomposent les domaines de diffusion. Bon, je

me sens mieux ! Maintenant, nous pouvons passer à autre chose.

Contrairement aux réseaux d'hier qui reposaient sur des backbones effondrés, la conception de réseau
d'aujourd'hui se caractérise par une architecture plus plate, grâce aux commutateurs. Et maintenant? Comment
diviser les domaines de diffusion dans un inter-réseau commuté pur ? En créant des réseaux locaux virtuels
(VLAN). Un VLAN est un regroupement logique d'utilisateurs et de ressources réseau connectés à des ports
définis administrativement sur un commutateur. Lorsque vous créez des VLAN, vous avez la possibilité de créer
des domaines de diffusion plus petits au sein d'un interréseau commuté de couche 2 en attribuant différents
ports sur le commutateur pour desservir différents sous-réseaux. Un VLAN est traité comme son propre sous-
réseau ou domaine de diffusion, ce qui signifie que les trames diffusées sur le réseau ne sont commutées
qu'entre les ports regroupés logiquement au sein du même VLAN.

Alors, cela signifie-t-il que nous n'avons plus besoin de routeurs ? Peut-être oui; peut-être que non. Cela dépend vraiment de
vos besoins et objectifs particuliers en matière de réseautage. Par défaut, les hôtes d'un VLAN spécifique ne peuvent pas
communiquer avec les hôtes qui sont membres d'un autre VLAN, donc si vous voulez une communication inter-VLAN, la
réponse est que vous avez toujours besoin d'un routeur ou d'un routage inter-VLAN (IVR).

Dans ce chapitre, vous allez apprendre en détail exactement ce qu'est un VLAN et comment les
appartenances VLAN sont utilisées dans un réseau commuté. Vous saurez également ce qu'est une liaison
de tronc et comment les configurer et les vérifier.

Je terminerai ce chapitre en démontrant comment vous pouvez établir une communication inter-VLAN en
introduisant un routeur dans un réseau commuté. Bien sûr, nous allons configurer notre disposition de réseau
commuté familière que nous avons utilisée dans le dernier chapitre pour créer des VLAN et pour
mise en œuvre de la jonction et du routage inter-VLAN sur un commutateur de couche 3 en créant des interfaces
virtuelles commutées (SVI).

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter

www.lammle.com/ccna ou la page Web du livre àwww.sybex.com/go/ccna .

Notions de base sur les VLAN

Illustration 11.1 illustre l'architecture de réseau plate qui était si typique des réseaux
commutés de couche 2. Avec cette configuration, chaque paquet de diffusion transmis est vu
par chaque appareil sur le réseau, que l'appareil ait besoin de recevoir ces données ou non.

FIGURE 11.1 Structure de réseau plat

Par défaut, les routeurs autorisent les diffusions uniquement au sein du réseau d'origine, tandis que les
commutateurs transmettent les diffusions à tous les segments. Oh, et au fait, la raison pour laquelle ça s'appelle un
réseau platc'est parce que c'est undomaine de diffusion, pas parce que la conception réelle est physiquement plate.
DansIllustration 11.1 nous voyons l'Hôte A envoyer une diffusion et tous les ports de tous les commutateurs la
transmettre, tous sauf le port qui l'a reçue à l'origine.

Vérifiez maintenantFigure 11.2 . Il représente un réseau commuté et montre l'hôte A en train d'envoyer une
trame avec l'hôte D comme destination. De toute évidence, le facteur important ici est que la trame n'est
transmise que par le port où se trouve l'hôte D.
FIGURE 11.2 L'avantage d'un réseau commuté
C'est une énorme amélioration par rapport aux anciens réseaux de hub, à moins d'en avoir undomaine de collision par défaut est
ce que vous voulez vraiment pour une raison quelconque !

D'accord, vous savez déjà que le plus grand avantage d'un réseau commuté de couche 2 est qu'il crée des
segments de domaine de collision individuels pour chaque périphérique branché sur chaque port du
commutateur. Ce scénario nous libère des anciennes contraintes de densité Ethernet et nous permet de
construire des réseaux plus grands. Mais trop souvent, chaque nouvelle avancée s'accompagne de nouveaux
enjeux. Par exemple, plus il y a d'utilisateurs et d'appareils qui peuplent et utilisent un réseau, plus chaque
commutateur doit gérer de diffusions et de paquets.

Et il y a un autre gros problème : la sécurité ! Celui-ci est un vrai problème car dans l'interréseau commuté de couche 2
typique, tous les utilisateurs peuvent voir tous les appareils par défaut. Et vous ne pouvez pas empêcher les appareils de
diffuser, et vous ne pouvez pas non plus empêcher les utilisateurs d'essayer de répondre aux diffusions. Cela signifie que
vos options de sécurité sont lamentablement limitées à la mise en place de mots de passe sur vos serveurs et autres
appareils.

Mais attendez, il y a de l'espoir si vous créez unLAN virtuel (VLAN)! Vous pouvez résoudre de nombreux problèmes
associés à la commutation de couche 2 avec les VLAN, comme vous le verrez bientôt.

Les VLAN fonctionnent comme ceci :Illustration 11.3 montre tous les hôtes de cette très petite entreprise connectés à un commutateur,
ce qui signifie que tous les hôtes recevront toutes les trames, ce qui est le comportement par défaut de tous les commutateurs.
FIGURE 11.3 Un switch, un LAN : Avant les VLAN, il n'y avait pas de séparation entre les
hôtes.
Si nous voulons séparer les données de l'hôte, nous pouvons soit acheter un autre commutateur, soit créer des réseaux locaux virtuels,
comme indiqué dansIllustration 11.4 .

FIGURE 11.4 Un commutateur, deux LAN virtuels (logiqueséparation entre les hôtes) : toujours physiquement un
commutateur, mais ce commutateur agit comme plusieurs périphériques distincts.

DansIllustration 11.4 , j'ai configuré le commutateur pour qu'il soit composé de deux réseaux locaux distincts, de deux sous-réseaux, de deux
domaines de diffusion, de deux VLAN (ils signifient tous la même chose) sans acheter un autre commutateur. Nous pouvons le faire 1 000 fois
sur la plupart des commutateurs Cisco, ce qui permet d'économiser des milliers de dollars et plus encore !

Notez que même si la séparation est virtuelle et que les hôtes sont toujours connectés au même
commutateur, les réseaux locaux ne peuvent pas s'envoyer de données par défaut. C'est parce qu'il s'agit
toujours de réseaux séparés, mais pas de soucis, nous aborderons la communication inter-VLAN plus loin
dans ce chapitre.

Voici une courte liste des façons dont les VLAN simplifient la gestion du réseau :

Les ajouts, déplacements et changements de réseau sont réalisés facilement en configurant simplement un port
dans le VLAN approprié.

Un groupe d'utilisateurs qui ont besoin d'un niveau de sécurité inhabituellement élevé peut être placé dans son propre
 VLAN afin que les utilisateurs extérieurs à ce VLAN ne puissent pas communiquer avec les utilisateurs du groupe.

En tant que regroupement logique d'utilisateurs par fonction, les VLAN peuvent être considérés comme indépendants de
leurs emplacements physiques ou géographiques.

Les VLAN améliorent considérablement la sécurité du réseau s'ils sont correctement mis en œuvre. Les

VLAN augmentent le nombre de domaines de diffusion tout en diminuant leur taille.

À venir, nous explorerons en profondeur le monde de la commutation, et vous apprendrez exactement comment et pourquoi les
commutateurs nous fournissent de bien meilleurs services réseau que les concentrateurs ne peuvent le faire dans nos réseaux actuels.

Contrôle de diffusion

Les diffusions se produisent dans chaque protocole, mais leur fréquence dépend de trois choses :

Le type de protocole
La ou les applications s'exécutant sur l'interréseau

Comment ces services sont utilisés

Certaines applications plus anciennes ont été réécrites pour réduire leur consommation de bande
passante, mais il existe une nouvelle génération d'applications qui sont si gourmandes en bande passante
qu'elles consomment tout ce qu'elles peuvent trouver. Ces gloutons sont la légion des applications
multimédias qui utilisent à la fois les diffusions et les multidiffusions de manière intensive. Comme s'ils ne
constituaient pas suffisamment de problèmes, des facteurs tels qu'un équipement défectueux, une
segmentation inadéquate et des pare-feu mal conçus peuvent sérieusement aggraver les problèmes déjà
causés par ces applications intensives en diffusion. Tout cela a ajouté une nouvelle dimension majeure à la
conception du réseau et présente un tas de nouveaux défis pour un administrateur. Il est désormais
impératif de s'assurer que votre réseau est correctement segmenté afin de pouvoir isoler rapidement les
problèmes d'un seul segment pour les empêcher de se propager dans l'ensemble de votre interréseau.

Depuis que les commutateurs sont devenus plus abordables, presque tout le monde a remplacé ses réseaux de
concentrateurs plats par des environnements de réseau commuté pur et de VLAN. Tous les périphériques d'un
VLAN sont membres du même domaine de diffusion et reçoivent toutes les diffusions qui s'y rapportent. Par défaut,
ces diffusions sont filtrées à partir de tous les ports d'un commutateur qui ne sont pas membres du même VLAN.
C'est formidable car vous bénéficiez de tous les avantages d'une conception commutée sans vous heurter à tous les
problèmes que vous auriez si tous vos utilisateurs se trouvaient dans le même domaine de diffusion.

Sécurité
Mais il y a toujours un hic, non ? Il est temps de revenir sur ces problèmes de sécurité. Auparavant, la sécurité d'un
interréseau plat était assurée en connectant des concentrateurs et des commutateurs avec des routeurs. C'était donc
essentiellement le travail du routeur de maintenir la sécurité. Cet arrangement était assez inefficace pour plusieurs raisons.
Tout d'abord, toute personne se connectant au réseau physique pouvait accéder aux ressources réseau situées sur ce LAN
physique particulier. Deuxièmement, tout ce que n'importe qui avait à faire pour observer tout le trafic traversant ce réseau
était simplement de brancher un analyseur de réseau dans le concentrateur. Et similaire à ce dernier fait effrayant, les
utilisateurs pourraient facilement rejoindre un groupe de travail en branchant simplement leurs postes de travail au hub
existant. C'est à peu près aussi sûr qu'un baril de miel dans un enclos à ours !

Mais c'est exactement ce qui rend les VLAN si cool. Si vous les construisez et créez plusieurs groupes de diffusion, vous
pouvez toujours avoir un contrôle total sur chaque port et utilisateur ! Ainsi, l'époque où n'importe qui pouvait simplement
brancher son poste de travail sur n'importe quel port de commutateur et accéder aux ressources du réseau est révolue, car
vous pouvez désormais contrôler chaque port et toutes les ressources auxquelles il peut accéder.

Et ce n'est même pas tout : les VLAN peuvent être créés en harmonie avec les besoins spécifiques d'un utilisateur en
ressources réseau. De plus, les commutateurs peuvent être configurés pour informer une gestion de réseau
station sur l'accès non autorisé à ces ressources vitales du réseau. Et si vous avez besoin d'une communication inter-
VLAN, vous pouvez implémenter des restrictions sur un routeur pour vous assurer que tout se passe en toute sécurité.
Vous pouvez également imposer des restrictions sur les adresses matérielles, les protocoles et les applications.
Maintenantnous parlons de sécurité - notre baril de miel est maintenant scellé hermétiquement, fait de titane solide et
enveloppé de fil de rasoir !

Flexibilité et évolutivité
Si vous avez fait attention jusqu'à présent, vous savez que les commutateurs de couche 2 ne lisent que les trames pour
le filtrage car ils ne regardent pas le protocole de couche réseau. Vous savez également que, par défaut, transfère les
diffusions vers tous les ports. Mais si vous créez et implémentez des VLAN, vous créez essentiellement des domaines
de diffusion plus petits au niveau de la couche 2.

Par conséquent, les diffusions envoyées à partir d'un nœud d'un VLAN ne seront pas transmises aux ports configurés pour
appartenir à un VLAN différent. Mais si nous attribuons des ports de commutateur ou des utilisateurs à des groupes VLAN
sur un commutateur ou sur un groupe de commutateurs connectés, nous gagnons en flexibilité pour ajouter exclusivement
les utilisateurs que nous voulons laisser entrer dans ce domaine de diffusion, quel que soit leur emplacement physique.
Cette configuration peut également fonctionner pour bloquer les tempêtes de diffusion causées par une carte d'interface
réseau (NIC) défectueuse et empêcher un périphérique intermédiaire de propager des tempêtes de diffusion sur
l'ensemble de l'interréseau. Ces maux peuvent toujours se produire sur le VLAN d'où provient le problème, mais la maladie
sera entièrement contenue dans ce VLAN malade !

Un autre avantage est que lorsqu'un VLAN devient trop gros, vous pouvez simplement créer plus de VLAN pour éviter que les
diffusions ne consomment trop de bande passante. Moins il y a d'utilisateurs dans un VLAN, moins il y a d'utilisateurs affectés par
les diffusions. Tout cela est bien, mais vous devez sérieusement garder à l'esprit les services réseau et comprendre comment les
utilisateurs se connectent à ces services lors de la création d'un VLAN. Une bonne stratégie consiste à essayer de garder tous les
services, à l'exception de l'accès au courrier électronique et à Internet dont tout le monde a besoin, en local pour tous les
utilisateurs dans la mesure du possible.

Identification des VLAN

Les ports de commutateur sont des interfaces de couche 2 uniquement associées à un port physique qui ne peut appartenir
qu'à un seul VLAN s'il s'agit d'un port d'accès ou à tous les VLAN s'il s'agit d'un port de jonction.

Les commutateurs sont définitivement des appareils très occupés. Comme une myriade de trames sont
commutées sur l'ensemble du réseau, les commutateurs doivent être capables de les suivre toutes et de
comprendre ce qu'il faut en faire en fonction de leurs adresses matérielles associées. Et n'oubliez pas que
les trames sont gérées différemment selon le type de lien qu'elles traversent.

Il existe deux types de ports différents dans un environnement commuté. Examinons le premier type dans
Illustration 11.5 .
FIGURE 11.5 Ports d'accès
Notez qu'il existe des ports d'accès pour chaque hôte et un port d'accès entre les commutateurs, un pour chaque
VLAN.

Ports d'accèsUneport d'accèsappartient à et transporte le trafic d'un seul VLAN. Le trafic est à la fois reçu
et envoyé dans des formats natifs sans aucune information VLAN (marquage). Tout ce qui arrive sur un
port d'accès est simplement supposé appartenir au VLAN attribué au port. Étant donné qu'un port d'accès
ne regarde pas l'adresse source, le trafic marqué (une trame avec des informations VLAN ajoutées) peut
être correctement transféré et reçu uniquement sur les ports de jonction.

Avec un lien d'accès, cela peut être appelé leVLAN configurédu port. Tout appareil connecté à unlien
d'accèsn'a pas connaissance d'une appartenance à un VLAN - l'appareil suppose simplement qu'il fait
partie d'un domaine de diffusion. Mais il n'a pas une vue d'ensemble, donc il ne comprend pas du tout la
topologie physique du réseau.

Une autre bonne information à connaître est que les commutateurs suppriment toutes les informations VLAN de la trame
avant qu'elles ne soient transmises à un périphérique de liaison d'accès. N'oubliez pas que les périphériques de liaison d'accès
ne peuvent pas communiquer avec des périphériques en dehors de leur VLAN à moins que le paquet ne soit routé. De plus,
vous ne pouvez créer un port de commutateur qu'en tant que port d'accès ou port de jonction, mais pas les deux. Vous devez
donc choisir l'un ou l'autre et savoir que si vous en faites un port d'accès, ce port ne peut être attribué qu'à un seul VLAN.
DansIllustration 11.5 , seuls les hôtes du VLAN de vente peuvent communiquer avec d'autres hôtes du même VLAN. C'est la
même chose avec le VLAN Admin, et ils peuvent tous deux communiquer avec les hôtes de l'autre commutateur grâce à un
lien d'accès pour chaque VLAN configuré entre les commutateurs.
 Ports d'accès voixPour ne pas vous embrouiller, mais tout ce que je viens de dire sur le fait qu'un port d'accès ne
peut être attribué qu'à un seul VLAN n'est en réalité qu'un peu vrai. De nos jours, la plupart des commutateurs
vous permettent d'ajouter un deuxième VLAN à un port d'accès sur un port de commutateur pour votre trafic
voix, appelé VLAN voix. Le VLAN voix était autrefois appelé VLAN auxiliaire, ce qui permettait de le superposer au-
dessus du VLAN de données, permettant aux deux types de trafic de transiter par le même port. Même si cela est
techniquement considéré comme un type de lien différent, il ne s'agit toujours que d'un port d'accès qui peut
être configuré pour les VLAN de données et de voix. Cela vous permet de connecter à la fois un téléphone et un
périphérique PC à un port de commutateur tout en conservant chaque périphérique dans un VLAN distinct.

Ports de coffreCroyez-le ou non, le termeport de coffrea été inspiré par les troncs du système téléphonique, qui
transportent plusieurs conversations téléphoniques à la fois. Il s'ensuit donc que les ports de jonction peuvent
également transporter plusieurs VLAN à la fois.

UNlien de troncest une liaison point à point de 100, 1 000 ou 10 000 Mbps entre deux commutateurs, entre un
commutateur et un routeur, ou même entre un commutateur et un serveur, et il transporte le trafic de
plusieurs VLAN, de 1 à 4 094 VLAN à la fois . Mais le montant n'est vraiment que jusqu'à 1 001, à moins que
vous n'utilisiez quelque chose appelé VLAN étendus.

Au lieu d'un lien d'accès pour chaque VLAN entre les commutateurs, nous allons créer un lien principal,
illustré dansIllustration 11.6 .

FIGURE 11.6 Les VLAN peuvent s'étendre sur plusieurs commutateurs en utilisant des liaisons de jonction, qui
transportent le trafic pour plusieurs VLAN.

La jonction peut être un réel avantage car elle permet de faire en sorte qu'un seul port fasse partie de tout un tas de
VLAN différents en même temps. Il s'agit d'une fonctionnalité intéressante car vous pouvez en fait configurer des ports
pour avoir un serveur dans deux domaines de diffusion distincts simultanément afin que vos utilisateurs n'aient pas à
traverser un périphérique de couche 3 (routeur) pour se connecter et y accéder. Un autre avantage de la jonction entre
en jeu lorsque vous connectez des commutateurs. Les liaisons de tronc peuvent transporter les trames de divers VLAN
à travers eux, mais par défaut, si les liens entre vos commutateurs ne sont pas en tronc, seules les informations du
VLAN d'accès configuré seront commutées.
ce lien.
Il est également bon de savoir que tous les VLAN envoient des informations sur une liaison à ressources partagées à moins que vous
n'effaciez chaque VLAN à la main, et pas de soucis, je vais vous montrer comment effacer des VLAN individuels d'une liaison dans un
instant.

D'accord, il est enfin temps de vous parler du balisage des trames et des méthodes d'identification VLAN qui y sont
utilisées sur nos liaisons interurbaines.

Balisage de cadre

Comme vous le savez maintenant, vous pouvez configurer vos VLAN pour qu'ils s'étendent sur plusieurs
commutateurs connectés. Vous pouvez voir ce qui se passe dansIllustration 11.6 , qui représente les hôtes de deux
VLAN répartis sur deux commutateurs. Cette capacité flexible et puissante est probablement le principal avantage de
la mise en œuvre de VLAN, et nous pouvons le faire avec jusqu'à un millier de VLAN et des milliers et des milliers
d'hôtes !

Tout cela peut devenir un peu compliqué, même pour un commutateur. Il doit donc y avoir un moyen pour chacun
de suivre tous les utilisateurs et les trames lorsqu'ils parcourent la matrice de commutation et les VLAN. Lorsque je
dis "switch fabric", je fais simplement référence à un groupe de commutateurs qui partagent les mêmes
informations VLAN. Et il se trouve que c'est là quemarquage de cadreentre en scène. Cette méthode
d'identification de trame attribue de manière unique un ID VLAN défini par l'utilisateur à chaque trame.

Voici comment cela fonctionne : une fois dans la matrice de commutation, chaque commutateur atteint par la trame doit
d'abord identifier l'ID de VLAN à partir de la balise de trame. Il découvre ensuite ce qu'il faut faire avec le cadre en
consultant les informations contenues dans ce que l'on appelle la table de filtrage. Si la trame atteint un commutateur qui a
une autre liaison à ressources partagées, la trame sera transférée hors du port de liaison à ressources partagées.

Une fois que la trame atteint une sortie qui est déterminée par la table de transfert/filtre comme étant une
liaison d'accès correspondant à l'ID VLAN de la trame, le commutateur supprime l'identifiant VLAN. Ainsi, le
périphérique de destination peut recevoir les trames sans avoir à comprendre leurs informations
d'identification VLAN.

Une autre grande chose à propos des ports de jonction est qu'ils prendront en charge simultanément le trafic étiqueté
et non étiqueté si vous utilisez la jonction 802.1q, dont nous parlerons ensuite. Le port de jonction se voit attribuer un
ID de VLAN de port par défaut (PVID) pour un VLAN sur lequel transitera tout le trafic non balisé. Ce VLAN est
également appelé VLAN natif et est toujours VLAN 1 par défaut, mais il peut être remplacé par n'importe quel numéro
de VLAN.

De même, tout trafic non étiqueté ou étiqueté avec un ID VLAN NULL (non attribué) est supposé appartenir
au VLAN avec le PVID par défaut du port. Encore une fois, ce serait VLAN 1 par défaut. Un paquet avec un ID
de VLAN égal au VLAN natif du port sortant est envoyé sans balise et ne peut communiquer qu'avec des
hôtes ou des périphériques de ce même VLAN. Tout autre trafic VLAN doit être envoyé avec une balise VLAN
pour communiquer au sein d'un VLAN particulier qui correspond à cette balise.

Méthodes d'identification VLAN

L'identification VLAN est ce que les commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent
une matrice de commutation. C'est ainsi que les commutateurs identifient quelles trames appartiennent à quels VLAN, et il existe
plusieurs méthodes de jonction.

Liaison intercommutateur (ISL)

Liaison intercommutateur (ISL)est un moyen de marquer explicitement les informations VLAN sur une trame Ethernet.
Ces informations de balisage permettent aux VLAN d'être multiplexés sur une liaison de jonction via une méthode
d'encapsulation externe. Cela permet au commutateur d'identifier l'appartenance au VLAN d'une trame reçue sur la
liaison à ressources partagées.

En exécutant ISL, vous pouvez interconnecter plusieurs commutateurs tout en conservant les informations VLAN lorsque le
trafic circule entre les commutateurs sur les liaisons principales. ISL fonctionne à la couche 2 en encapsulant un
trame de données avec un nouvel en-tête et en effectuant un nouveau contrôle de redondance cyclique (CRC).

Il convient de noter qu'ISL est la propriété des commutateurs Cisco et qu'il est également assez polyvalent. ISL peut être utilisé sur un port
de commutateur, des interfaces de routeur et des cartes d'interface de serveur pour connecter un serveur.

Bien que certains commutateurs Cisco prennent toujours en charge le balisage de trames ISL, Cisco s'oriente vers l'utilisation de 802.1q
uniquement.

IEEE 802.1q
Créé par l'IEEE en tant que méthode standard d'étiquetage de trame, IEEE 802.1q insère en fait un champ dans la
trame pour identifier le VLAN. Si vous effectuez une jonction entre une liaison commutée Cisco et une autre
marque de commutateur, vous devez utiliser 802.1q pour que la jonction fonctionne.

Contrairement à ISL, qui encapsule la trame avec des informations de contrôle, 802.1q insère un champ 802.1q avec
des informations de contrôle de balise, comme indiqué dansFigure 11.7 .

FIGURE 11.7 Encapsulation IEEE 802.1q avec et sans balise 802.1q

Pour les objectifs de l'examen Cisco, seul l'ID VLAN 12 bits compte. Ce champ identifie le VLAN et peut
être compris entre 2 et 12, moins 2 pour les 0 et 4 095 VLAN réservés, ce qui signifie qu'une trame balisée
802.1q peut transporter des informations pour 4 094 VLAN.

Cela fonctionne comme ceci : vous désignez d'abord chaque port qui sera un tronc avec une encapsulation
802.1q. Les autres ports doivent se voir attribuer un ID VLAN spécifique pour qu'ils puissent communiquer.
Le VLAN 1 est le VLAN natif par défaut, et lors de l'utilisation de 802.1q, tout le trafic pour un VLAN natif est
non balisé. Les ports qui peuplent le même tronc créent un groupe avec ce VLAN natif et chaque port est
étiqueté avec un numéro d'identification reflétant cela. Là encore, la valeur par défaut est VLAN 1. Le VLAN
natif permet aux jonctions d'accepter les informations reçues sans aucune identification de VLAN ou balise
de trame.

La plupart des modèles de commutateurs 2960 ne prennent en charge que le protocole de jonction IEEE 802.1q, mais
le 3560 prend en charge les méthodes ISL et IEEE, que vous verrez plus loin dans ce chapitre.

L'objectif fondamental des méthodes d'étiquetage de trame ISL et 802.1q est de fournir des

basculer la communication VLAN. N'oubliez pas que tout balisage de trame ISL ou 802.1q est supprimé si une
trame est transférée sur une liaison d'accès. Le balisage est utilisé en interne et sur les liaisons de jonction
uniquement !

Routage entre VLAN

Les hôtes d'un VLAN vivent dans leur propre domaine de diffusion et peuvent communiquer librement. Les VLAN créent un
partitionnement du réseau et une séparation du trafic au niveau de la couche 2 de l'OSI, et comme je l'ai dit quand je vous ai expliqué
pourquoi nous avons toujours besoin de routeurs, si vous voulez que des hôtes ou tout autre périphérique adressable par IP
communiquer entre les VLAN, vous devez disposer d'un périphérique de couche 3 pour assurer le routage.

Pour cela, vous pouvez utiliser un routeur disposant d'une interface pour chaque VLAN ou un routeur prenant en
charge le routage ISL ou 802.1q. Le routeur le moins cher qui prend en charge le routage ISL ou 802.1q est le routeur
de la série 2600. Vous devrez l'acheter auprès d'un revendeur d'équipements d'occasion, car ils sont en fin de vie, ou
EOL. Je recommanderais au moins un 2800 au strict minimum, mais même cela ne prend en charge que le 802.1q ;
Cisco s'éloigne vraiment d'ISL, vous ne devriez donc probablement utiliser que 802.1q de toute façon. Certains 2800
peuvent prendre en charge à la fois ISL et 802.1q ; Je ne l'ai jamais vu pris en charge.

Quoi qu'il en soit, comme le montreIllustration 11.8 , si vous aviez deux ou trois VLAN, vous pouviez vous contenter
d'un routeur équipé de deux ou trois connexions FastEthernet. Et 10Base-T convient à des fins d'étude à domicile, et je
veux dire uniquement pour vos études, mais pour tout le reste, je recommanderais vivement les interfaces Gigabit
pour une réelle puissance sous le capot !

Ce que nous voyons dansIllustration 11.8 est que chaque interface de routeur est branchée sur un lien d'accès.
Cela signifie que chacune des adresses IP d'interface des routeurs deviendrait alors l'adresse de passerelle par
défaut pour chaque hôte dans chaque VLAN respectif.

FIGURE 11.8 Routeur reliant trois VLAN ensemble pour la communication inter-VLAN, une interface
de routeur pour chaque VLAN

Si vous avez plus de VLAN disponibles que d'interfaces de routeur, vous pouvez configurer la jonction sur une interface
FastEthernet ou acheter un commutateur de couche 3, comme l'ancien et maintenant bon marché 3560 ou un commutateur haut
de gamme comme un 3850. Vous pouvez même opter pour un 6800 si vous avez de l'argent à brûler !

Au lieu d'utiliser une interface de routeur pour chaque VLAN, vous pouvez utiliser une interface FastEthernet et
exécuter l'agrégation ISL ou 802.1q.Illustration 11.9 montre à quoi ressemblera une interface FastEthernet sur un
routeur lorsqu'elle est configurée avec une jonction ISL ou 802.1q. Cela permet à tous les VLAN de communiquer via
une seule interface. Cisco appelle cela un routeur sur clé (ROAS).
FIGURE 11.9 Routeur sur clé : interface de routeur unique connectant les trois VLAN ensemble pour
la communication inter-VLAN

Je tiens vraiment à souligner que cela crée un goulot d'étranglement potentiel, ainsi qu'un point de défaillance unique,
de sorte que votre nombre d'hôtes/VLAN est limité. Jusqu'à combien ? Eh bien, cela dépend de votre niveau de trafic.
Pour vraiment arranger les choses, vous feriez mieux d'utiliser un commutateur haut de gamme et un routage sur le
fond de panier. Mais s'il vous arrive d'avoir un routeur, la configuration de cette méthode est gratuite, n'est-ce pas ?

Illustration 11.10 montre comment créer un routeur sur une clé à l'aide de l'interface physique d'un routeur en
créant des interfaces logiques, une pour chaque VLAN.

FIGURE 11.10 Un routeur crée des interfaces logiques.

Ici, nous voyons une interface physique divisée en plusieurs sous-interfaces, avec un sous-réseau
attribué par VLAN, chaque sous-interface étant l'adresse de passerelle par défaut pour chaque VLAN/
sous-réseau. Un identifiant d'encapsulation doit être attribué à chaque sous-interface pour définir l'ID
VLAN de cette sous-interface. Dans la section suivante où je configurerai les VLAN et le routage inter-
VLAN, je configurerai notre réseau commuté avec un routeur sur clé et je vous démontrerai cette
configuration.

Mais attendez, il reste encore une façon de faire le routage ! Au lieu d'utiliser une interface de routeur externe pour
chaque VLAN, ou un routeur externe sur une clé, nous pouvons configurer des interfaces logiques sur le fond de
panier du commutateur de couche 3 ; c'est ce qu'on appelle le routage inter-VLAN (IVR), et il est configuré avec une
interface virtuelle commutée (SVI).Illustration 11.11 montre comment les hôtes voient ces interfaces virtuelles.
FIGURE 11.11 Avec IVR, le routage s'exécute sur le fond de panier du commutateur et il apparaît aux
hôtes qu'un routeur est présent.

DansIllustration 11.11 , il semble qu'un routeur soit présent, mais il n'y a pas de routeur physique comme c'était le cas
lorsque nous utilisions un routeur sur une clé. Le processus IVR demande peu d'efforts et est facile à mettre en œuvre,
ce qui le rend très cool ! De plus, il est beaucoup plus efficace pour le routage inter-VLAN qu'un routeur externe. Pour
implémenter l'IVR sur un commutateur multicouche, il suffit de créer des interfaces logiques dans la configuration du
commutateur pour chaque VLAN. Nous allons configurer cette méthode dans une minute, mais prenons d'abord
notre réseau commuté existant du Chapitre 10, « Commutation de couche 2 », et ajoutons quelques VLAN, puis
configurons les appartenances VLAN et les liaisons de jonction entre nos commutateurs.

Configuration des VLAN

Cela peut vous surprendre, mais la configuration des VLAN est en fait assez facile. C'est juste que
déterminer quels utilisateurs vous voulez dans chaque VLAN ne l'est pas, et cela peut vous prendre
beaucoup de temps ! Mais une fois que vous avez décidé du nombre de VLAN que vous souhaitez créer
et établi quels utilisateurs vous souhaitez appartenir à chacun, il est temps de mettre votre premier
VLAN au monde.

Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la configuration globalevlan
commande. Dans l'exemple suivant, je vais montrer comment configurer les VLAN sur le commutateur S1
en créant trois VLAN pour trois services différents. Encore une fois, rappelez-vous que le VLAN 1 est le
VLAN natif et de gestion par défaut :

S1(config)#vlan ?

MOT ID VLAN ISL 1-4094

plan d'accès Créez vlan access-map ou entrez la commande vlan access-map
mode
point1q paramètres dot1q
filtre Appliquer une carte VLAN
groupe Créer un VLAN interne de
interne groupe vlan
S1(config)#vlan 2
S1(config-vlan)#nom Ventes
S1(config-vlan)#vlan 3
S1(config-vlan)#commercialisation du nom
S1(config-vlan)#vlan 4
S1(config-vlan)#nom Comptabilité
S1(config-vlan)#vlan 5
S1(config-vlan)#Nom Voix
S1(config-vlan)# Ẑ
S1#

Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps vrai.
Comme je l'ai dit, les VLAN ne peuvent vraiment être créés que jusqu'à 1001, et vous ne pouvez pas utiliser, modifier,
renommer ou supprimer les VLAN 1 ou 1002 à 1005 car ils sont réservés. Les numéros de VLAN supérieurs à 1005 sont
appelés VLAN étendus et ne seront pas enregistrés dans la base de données à moins que votre commutateur ne soit défini
sur ce que l'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces numéros de VLAN utilisés
trop souvent en production. Voici un exemple de ma tentative de définir mon commutateur S1 sur VLAN 4000 lorsque mon
commutateur est défini sur le mode serveur VTP (le mode VTP par défaut):

S1#config t
S1(config)#vlan 4000
S1(config-vlan)# Ẑ
% Impossible de créer des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel. % Échec
de la validation des modifications de VLAN étendu(s).

Après avoir créé les VLAN souhaités, vous pouvez utiliser leafficher vlancommande pour les vérifier. Mais
notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour modifier le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement de quel
VLAN faire partie.

N'oubliez pas qu'un VLAN créé est inutilisé jusqu'à ce qu'il soit affecté à un port ou à des ports de

commutateur et que tous les ports sont toujours affectés au VLAN 1, sauf indication contraire.

Une fois les VLAN créés, vérifiez votre configuration avec leafficher vlancommande (sh vlanpour
faire court):

S1#sh vlan
Nom du VLAN Statut Ports
-----------------------------------------------------------------
---
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9,
Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/19,
Fa0/20
Fa0/21, Fa0/22, Fa0/23,
Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
5 Voix actif
[coupe de sortie]

Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas modifier,
supprimer ou renommer le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le modifier —
point final. Il s'agit également du VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de
l'utiliser comme votre VLAN de gestion. Si vous craignez des problèmes de sécurité, changez-le !
Fondamentalement, tous les ports qui ne sont pas spécifiquement affectés à un VLAN différent seront envoyés
au VLAN natif—VLAN 1.

Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23 et les liaisons montantes
Gi0/1 et Gi0/2 sont tous dans le VLAN 1. Mais où sont les ports 15 à 18 ? Tout d'abord, comprenez que la commande
afficher vlanaffiche uniquement les ports d'accès, donc maintenant que vous savez ce que vous regardez avec le
afficher vlancommande, où pensez-vous que les ports Fa15–18 sont ? C'est exact! Ce sont des ports à ressources
partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Protocole de jonction dynamique
(DTP), et s'il y a un commutateur compatible connecté, ils commenceront automatiquement la jonction, c'est-à-dire
précisément là où se trouvent mes quatre ports. Vous devez utiliser leafficher le tronc des interfacescommande pour
voir vos ports à ressources partagées comme ceci :

S1#afficher le tronc des interfaces

Port Mode Encapsulation Statut VLAN natif
Fa0/15 souhaitable n-isl goulotte 1
Fa0/16 souhaitable n-isl goulotte 1
Fa0/17 souhaitable n-isl goulotte 1
Fa0/18 souhaitable n-isl goulotte 1
Port Vlans autorisés sur le tronc
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

[coupe de sortie]

Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés sur le tronc par défaut. Une autre
commande utile, qui fait également partie des objectifs de l'examen Cisco, est laAfficher
interfaces port de commutation d'interfacecommande:

S1#sh interfaces fastEthernet 0/15 switchport

Nom : Fa0/15
Commutateur : Activé
Mode administratif : dynamique souhaitable
Mode opérationnel : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de jonction : activée
Mode d'accès VLAN : 1 (par défaut)
VLAN en mode natif de jonction : 1 (par défaut)
Marquage VLAN natif administratif : activé VLAN
vocal : aucun
[coupe de sortie]

La sortie en surbrillance nous montre le mode administratif dedynamique souhaitable,que le port est un port de
jonction et que DTP a été utilisé pour négocier la méthode d'étiquetage de trame d'ISL. Il montre également de
manière prévisible que le VLAN natif est la valeur par défaut de 1.

Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports
spécifiques. Chaque port ne peut faire partie que d'un seul VLAN, à l'exception des ports d'accès voix. À l'aide de la
jonction, vous pouvez rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.

Affectation de ports de commutateur aux VLAN

Vous configurez un port pour qu'il appartienne à un VLAN en attribuant un mode d'appartenance qui spécifie le type de
trafic transporté par le port ainsi que le nombre de VLAN auxquels il peut appartenir. Vous pouvez également configurer
chaque port d'un commutateur pour qu'il se trouve dans un VLAN spécifique (port d'accès) à l'aide de l'interface
switchportcommande. Vous pouvez même configurer plusieurs ports en même temps avec le
gamme d'interfacescommande.
Dans l'exemple suivant, je vais configurer l'interface Fa0/3 sur VLAN 3. Il s'agit de la connexion du commutateur
S3 au périphérique hôte :

S3#config t
S3(config)#entier fa0/3
S3(config-if)#port de commutation ?
accès Définir les caractéristiques du mode d'accès de l'interface
état automatique Inclure ou exclure ce port de la liaison vlan
calcul
sauvegarde Définir la sauvegarde de l'interface
bloc Désactiver le transfert de diffusion uni/multi inconnue
adresses
héberger Définir l'hôte du port
mode Définir le mode de jonction de l'interface
non négocié L'appareil ne s'engagera pas dans le protocole de négociation sur
cette
interface
port-sécurité Commande liée à la sécurité Définir la priorité 802.1p
priorité de l'appliance Définir la configuration du VLAN privé
vlan privé Configurer une interface en tant que port protégé
protégé Définir les caractéristiques de jonction de l'interface
tronc Attributs de l'appliance vocale voix
voix

Eh bien, qu'avons-nous ici ? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous
pouvons voir différentes commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais couvrir le
accès, mode, non négociation,ettronccommandes très prochainement. Commençons par définir un port d'accès sur
S1, qui est probablement le type de port le plus largement utilisé que vous trouverez sur les commutateurs de
production sur lesquels des VLAN sont configurés :

S3(config-if)#mode switchport ?
accès Réglez le mode de jonction sur ACCÈS sans condition.
tunnel dot1q Réglez le mode de jonction sur TUNNEL sans condition.
dynamique Définissez le mode trunking pour négocier dynamiquement l'accès ou
mode tronc
vlan privé Définir le mode VLAN privé
tronc Définir le mode trunking sur TRUNK sans condition

S3(config-if)#accès en mode switchport

S3(config-if)#switchport accès vlan 3
S3(config-if)#switchport voix vlan 5

En commençant par leaccès en mode switchportcommande, vous dites au commutateur qu'il s'agit d'un
port de couche 2 sans jonction. Vous pouvez ensuite attribuer un VLAN au port avec le
accès au port de commutationcommande, ainsi que configurer le même port pour qu'il soit membre d'un type
de VLAN différent, appelé levoixVLAN. Cela vous permet de connecter un ordinateur portable à un téléphone
et le téléphone à un seul port de commutation. N'oubliez pas que vous pouvez choisir de nombreux ports à
configurer simultanément avec legamme d'interfacescommande.

Jetons un coup d'œil à nos VLAN maintenant :

S3#afficher vlan
Nom du VLAN Statut Ports
-----------------------------------------------------------------
--
1 défaut actif Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8,
Fa0/9, Fa0/10,
Fa0/11,
Fa0/12, Fa0/13, Fa0/14,
Fa0/19,
Fa0/20, Fa0/21, Fa0/22,
Fa0/23,
Gi0/1, Gi0/2
2 Ventes actif
3 Commercialisation actif Fa0/3
5 Voix actif Fa0/3

Notez que le port Fa0/3 est désormais membre du VLAN 3 et du VLAN 5, deux types de VLAN différents.
Mais pouvez-vous me dire où se trouvent les ports 1 et 2 ? Et pourquoi n'apparaissent-ils pas dans la
sortie deafficher vlan?C'est vrai, car ce sont des ports de jonction !

On peut aussi le voir avec leaffichez le port de commutation d'interface d'interfacescommande:

S3#sh int fa0/3 switchport

Nom : Fa0/3
Commutateur : Activé
Mode administratif : accès statique
Mode opérationnel : accès statique
Encapsulation de jonction administrative : négocier
Négociation de jonction : désactivée
Mode d'accès VLAN : 3 (Marketing)
VLAN en mode natif de jonction : 1 (par défaut)
Balisage VLAN natif administratif : activé
VLAN voix : 5 (voix)

La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN
3 (Marketing), ainsi qu'un membre du Voice VLAN 5.
C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent
communiquer qu'avec d'autres appareils du même VLAN. Mais dès que vous en saurez un peu plus sur le trunking,
nous allons activer la communication inter-VLAN !

Configuration des ports de jonction

Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur
un port FastEthernet, utilisez la commande interfaceligne réseau en mode switchport.C'est un peu différent sur le
commutateur 3560.

La sortie de commutateur suivante montre la configuration du tronc sur les interfaces Fa0/15–18 comme défini sur
tronc:

S1(config)#plage entière f0/15-18

S1(config-if-range)#encapsulation de jonction switchport dot1q
S1(config-if-range)#ligne réseau en mode switchport

Si vous avez un commutateur qui n'exécute que la méthode d'encapsulation 802.1q, vous n'utiliserez pas la
encapsulationcommande comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de coffre :

S1(config-if-range)#faire sh int f0/15 swi

Nom : Fa0/15
Commutateur : Activé
Mode administratif : tronc
Mode opérationnel : tronc
Encapsulation de jonction administrative : dot1q
Encapsulation de jonction opérationnelle : dot1q
Négociation de jonction : activée
VLAN en mode d'accès : 1 (par défaut) VLAN en mode
natif de jonction : 1 (par défaut) Balisage VLAN natif
administratif : activé VLAN vocal : aucun

Notez que le port Fa0/15 est un tronc et exécute 802.1q. Jetons un autre regard :

S1(config-if-range)#faire de la merde dans le coffre

Port Mode Encapsulation Statut VLAN natif
Fa0/15 au 802.1q goulotte 1
Fa0/16 au 802.1q goulotte 1
Fa0/17 au 802.1q goulotte 1
Fa0/18 au 802.1q goulotte 1
Port Vlans autorisés sur le tronc
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

Prenez note du fait que les ports 15 à 18 sont maintenant en mode tronc et que l'encapsulation est maintenant
802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles lors de la configuration
d'une interface de commutateur :

accès en mode switchportJ'en ai discuté dans la section précédente, mais cela met l'interface
(port d'accès) en mode permanent sans agrégation et négocie pour convertir le lien en un lien
non agrégatif. L'interface devient une interface non trunk, que l'interface voisine soit ou non
une interface trunk. Le port serait un port d'accès de couche 2 dédié.
auto dynamique en mode switchportCe mode permet à l'interface de convertir le lien en lien trunk. L'interface devient
une interface de jonction si l'interface voisine est définie sur le mode jonction ou désirable. La valeur par défaut est
automatique dynamiquesur de nombreux commutateurs Cisco, mais cette méthode de jonction par défaut est en train
de changerdynamique souhaitablesur la plupart des nouveaux modèles.

mode switchport dynamique souhaitableCelui-ci oblige l'interface à tenter activement de convertir le lien en lien de
jonction. L'interface devient une interface de jonction si l'interface voisine est définie surcoffre, désirable,ou alorsauto
mode. J'avais l'habitude de voir ce mode comme mode par défaut sur certains commutateurs, mais plus maintenant. Il
s'agit désormais du mode de port de commutateur par défaut pour toutes les interfaces Ethernet sur tous les
nouveaux commutateurs Cisco.

ligne réseau en mode switchportPlace l'interface en mode trunking permanent et négocie pour
convertir le lien voisin en lien trunk. L'interface devient une interface de jonction même si
l'interface voisine n'est pas une interface de jonction.
switchport non négociéEmpêche l'interface de générer des trames DTP. Vous pouvez utiliser cette
commande uniquement lorsque le mode switchport de l'interface est access ou trunk. Vous devez configurer
manuellement l'interface voisine en tant qu'interface de jonction pour établir une liaison de jonction.

Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien

entre deux appareils ainsi que la négociation du type d'encapsulation de 802.1q ou ISL. Je utilise le
non négociécommande quand je veux des ports de jonction dédiés ; aucune question posée.

Pour désactiver la jonction sur une interface, utilisez leaccès en mode switchport, qui redéfinit le port
sur un port de commutateur d'accès de couche 2 dédié.

Définition des VLAN autorisés sur une jonction

Comme je l'ai mentionné, les ports de jonction envoient et reçoivent des informations de tous les VLAN par défaut, et
si une trame n'est pas balisée, elle est envoyée au VLAN de gestion. Comprenez que cela s'applique également
aux VLAN à portée étendue.

Mais nous pouvons supprimer des VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de traverser une
liaison à ressources partagées. Je vais vous montrer comment procéder, mais permettez-moi d'abord de démontrer à
nouveau que tous les VLAN sont autorisés par défaut sur la liaison principale :

S1#merde dans le coffre

[coupe de sortie]
Port Vlans autorisés sur le tronc
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
S1(config)#S1(config)#
S1(config-if)#S1(config-if)#
S1(config-if)#S1(config-if)#
[coupe de sortie]
Port Vlans autorisés sur le tronc
Fa0/15 4,6,12,15
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

La commande précédente a affecté la liaison de jonction configurée sur le port S1 F0/15, l'amenant à autoriser tout
le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur une liaison de
jonction, mais cela ne fonctionnera pas. envoyez et recevez toujours la gestion comme CDP, DTP et VTP, alors à quoi
ça sert?

Pour supprimer une plage de VLAN, utilisez simplement le trait d'union :

S1(config-if)#switchport tronc autorisé vlan supprimer 4-8

Si, par hasard, quelqu'un a supprimé des VLAN d'un lien de tronc et que vous souhaitez rétablir le tronc par
défaut, utilisez simplement cette commande :

S1(config-if)#switchport trunk autorisé vlan tous

Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.

Changer ou modifier le VLAN natif du tronc

Vous pouvez changer le VLAN natif du port de jonction à partir du VLAN 1, ce que beaucoup de gens font pour des
raisons de sécurité. Pour modifier le VLAN natif, utilisez la commande suivante :

S1(config)#entier f0/15
S1(config-if)#vlan natif du tronc switchport?
<1-4094> ID VLAN du VLAN natif lorsque ce port est en mode trunking

S1(config-if)#switchport trunk vlan natif 4

1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : incompatibilité de VLAN natif découverte
sur FastEthernet0/15 (4), avec S3 FastEthernet0/1 (1).

Nous avons donc changé notre VLAN natif sur notre lien principal en 4, et en utilisant leafficher la configuration
en courscommande, je peux voir la configuration sous le lien du tronc :

S1#sh run int f0/15

Configuration du bâtiment...

Configuration actuelle : 202 octets !

Interface FastEthernet0/15
description 1ère connexion à S3 switchport
trunk encapsulation dot1q switchport trunk
native vlan 4 switchport trunk autorisé vlan
4,6,12,15 switchport mode trunk

finir

S1# !

Oups—attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez à travailler,
n'est-ce pas ? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré sur les
liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :

1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : incompatibilité de VLAN natif

découverte sur FastEthernet0/15 (4), avec S3 FastEthernet0/1 (1).

En fait, il s'agit d'une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre ou nos
liaisons de jonction et changer le VLAN natif, soit nous redéfinissons le VLAN natif par défaut pour le corriger. Voici
comment nous procéderions :

S1(config-if)#pas de vlan natif de trunk switchport

1w6d : %SPANTREE-2-UNBLOCK_CONSIST_PORT : déblocage de FastEthernet0/15 sur
VLAN0004. Cohérence des ports restaurée.

Maintenant, notre lien principal utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tous les
commutateurs d'un tronc donné doivent utiliser le même VLAN natif, sinon vous aurez de sérieux problèmes de
gestion. Ces problèmes n'affecteront pas les données utilisateur, mais uniquement le trafic de gestion entre les
commutateurs. Maintenant, mélangeons cela en connectant un routeur à notre réseau commuté et en configurant la
communication inter-VLAN.

Configuration du routage inter-VLAN

Par défaut, seuls les hôtes membres du même VLAN peuvent communiquer. Pour changer cela et permettre la
communication inter-VLAN, vous avez besoin d'un routeur ou d'un commutateur de couche 3. Je vais commencer par
l'approche du routeur.

Pour prendre en charge le routage ISL ou 802.1q sur une interface FastEthernet, l'interface du routeur est
divisée en interfaces logiques, une pour chaque VLAN, comme indiqué dansIllustration 11.10 . Ceux-ci sont
appelés sous-interfaces. À partir d'une interface FastEthernet ou Gigabit, vous pouvez définir l'interface sur
trunk avec leencapsulationcommande:

ISR#config t
ISR(config)#entier f0/0.1
ISR(config-subif)#encapsulation ?
dot1Q IEEE 802.1Q LAN virtuel
ISR(config-subif)#encapsulation point1Q ?
<1-4094> ID VLAN IEEE 802.1Q

Notez que mon routeur 2811 (nommé ISR) ne prend en charge que 802.1q. Nous aurions besoin d'un routeur d'un modèle plus
ancien pour exécuter l'encapsulation ISL, mais pourquoi s'en soucier ?

Le numéro de sous-interface n'est significatif que localement, donc peu importe les numéros de sous-
interface configurés sur le routeur. La plupart du temps, je vais configurer une sous-interface avec le
même numéro que le VLAN que je veux router. Il est facile de s'en souvenir puisque le
numéro de sous-interface n'est utilisé qu'à des fins administratives.
Il est vraiment important que vous compreniez que chaque VLAN est en fait un sous-réseau distinct. C'est vrai, je
sais - ils ne le font pasavoirêtre. Mais c'est vraiment une bonne idée de configurer vos VLAN en tant que sous-
réseaux séparés, alors faites-le. Avant de continuer, je veux définirroutage en amont. C'est un terme utilisé pour
définir le routeur sur une clé. Ce routeur fournira un routage inter-VLAN, mais il peut également être utilisé pour
transférer le trafic en amont du réseau commuté vers d'autres parties du réseau d'entreprise ou d'Internet.

Maintenant, je dois m'assurer que vous êtes parfaitement préparé à configurer le routage inter-VLAN ainsi qu'à
déterminer les adresses IP des hôtes connectés dans un environnement VLAN commuté. Et comme toujours, c'est aussi
une bonne idée de pouvoir résoudre les problèmes qui peuvent survenir. Pour vous préparer au succès, permettez-moi
de vous donner quelques exemples.

Tout d'abord, commencez par regarderIllustration 11.12 et lire la configuration du routeur et du commutateur qu'il
contient. À ce stade du livre, vous devriez être en mesure de déterminer l'adresse IP, les masques et les passerelles
par défaut de chacun des hôtes des VLAN.

FIGURE 11.12 Exemple de configuration inter-VLAN 1

L'étape suivante consiste à déterminer quels sous-réseaux sont utilisés. En regardant la

configuration du routeur dans la figure, vous pouvez voir que nous utilisons 192.168.10.0/28
pour VLAN1, 192.168.1.64/26 avec VLAN 2 et 192.168.1.128/27 pour VLAN 10.

En regardant la configuration du commutateur, vous pouvez voir que les ports 2 et 3 sont dans le VLAN 2 et le port 4
est dans le VLAN 10. Cela signifie que l'hôte A et l'hôte B sont dans le VLAN 2 et l'hôte C est dans le VLAN 10.

Mais attendez, que fait cette adresse IP sous l'interface physique ? Pouvons-nous même faire cela? Bien sûr
que nous pouvons! Si nous plaçons une adresse IP sous l'interface physique, le résultat est que les trames
envoyées à partir de l'adresse IP ne seront pas balisées. Alors, de quel VLAN ces trames seraient-elles
membres ? Par défaut, ils appartiendraient au VLAN 1, notre VLAN de gestion. Cela signifie que l'adresse
192.168.10.1 /28 est mon adresse IP VLAN native pour ce commutateur.

Voici ce que devraient être les adresses IP des hôtes :

Hôte A :192.168.1.66, 255.255.255.192, passerelle par défaut 192.168.1.65

Hôte B :192.168.1.67, 255.255.255.192, passerelle par défaut 192.168.1.65 Hôte

C :192.168.1.130, 255.255.255.224, passerelle par défaut 192.168.1.129

Les hôtes peuvent être n'importe quelle adresse de la plage - j'ai juste choisi la première adresse IP disponible après
l'adresse de la passerelle par défaut. Ce n'était pas si difficile, n'est-ce pas ?

Maintenant, encore une fois en utilisantIllustration 11.12 , passons en revue les commandes nécessaires pour configurer le
port 1 du commutateur afin qu'il établisse une liaison avec le routeur et fournisse une communication inter-VLAN en utilisant
la version IEEE pour l'encapsulation. Gardez à l'esprit que les commandes peuvent varier légèrement en fonction du type de
commutateur auquel vous avez affaire.

Pour un commutateur 2960, utilisez les éléments suivants :

2960 #config t
2960(config)#fa0/1
2960(config-if)#ligne réseau en mode switchport

C'est ça! Comme vous le savez déjà, le commutateur 2960 ne peut exécuter que l'encapsulation 802.1q, il n'est donc pas
nécessaire de le spécifier. Vous ne pouvez pas de toute façon. Pour un 3560, c'est fondamentalement la même chose,
mais comme il peut exécuter ISL et 802.1q, vous devez spécifier le protocole d'encapsulation de jonction que vous allez
utiliser.

N'oubliez pas que lorsque vous créez une liaison à ressources partagées, tous les VLAN sont autorisés à transmettre des

données par défaut.

Jetons un coup d'oeil àIllustration 11.13 et voyons ce que nous pouvons déterminer. Cette figure montre trois VLAN,
avec deux hôtes dans chacun d'eux. Le routeur dansIllustration 11.13 est connecté au port du commutateur Fa0/1 et
le VLAN 4 est configuré sur le port F0/6.

En regardant ce diagramme, gardez à l'esprit que ces trois facteurs sont ce que Cisco s'attend à ce que vous
sachiez :

Le routeur est connecté au commutateur à l'aide de sous-interfaces. Le

port du commutateur connecté au routeur est un port de jonction.

Les ports de commutateur se connectant aux clients et au concentrateur sont des ports d'accès et non des ports de jonction.
FIGURE 11.13 Exemple inter-VLAN 2
La configuration du commutateur ressemblerait à ceci :

2960 #config t
2960(config)#entier f0/1
2960(config-if)#ligne réseau en mode switchport
2960(config-if)#entier f0/2
2960(config-if)#switchport accès vlan 2
2960(config-if)#entier f0/3
2960(config-if)#switchport accès vlan 2
2960(config-if)#entier f0/4
2960(config-if)#switchport accès vlan 3
2960(config-if)#entier f0/5
2960(config-if)#switchport accès vlan 3
2960(config-if)#entier f0/6
2960(config-if)#switchport accès vlan 4

Avant de configurer le routeur, nous devons concevoir notre réseau logique :

VLAN 1 :192.168.10.0/28
VLAN 2 :192.168.10.16/28
VLAN 3 :192.168.10.32/28
VLAN 4 :192.168.10.48/28
La configuration du routeur ressemblerait alors à ceci :

ISR#config t
ISR(config)#entier fa0/0
ISR(config-if)#adresse IP 192.168.10.1 255.255.255.240
ISR(config-if)#Pas d'extinction
ISR(config-if)#entier f0/0.2
ISR(config-subif)#encapsulation dot1q 2
ISR(config-subif)#adresse IP 192.168.10.17 255.255.255.240
ISR(config-subif)#entier f0/0.3
ISR(config-subif)#encapsulation dot1q 3
ISR(config-subif)#adresse IP 192.168.10.33 255.255.255.240
ISR(config-subif)#entier f0/0.4
ISR(config-subif)#encapsulation dot1q 4
ISR(config-subif)#adresse IP 192.168.10.49 255.255.255.240

Remarquez que je n'ai pas étiqueté le VLAN 1. Même si j'aurais pu créer une sous-interface et étiqueter le VLAN
1, ce n'est pas nécessaire avec 802.1q car les trames non étiquetées sont membres du VLAN natif.

Les hôtes de chaque VLAN se verraient attribuer une adresse de leur plage de sous-réseaux, et la
passerelle par défaut serait l'adresse IP attribuée à la sous-interface du routeur dans ce VLAN.

Maintenant, regardons une autre figure et voyons si vous pouvez déterminer les configurations du commutateur et
du routeur sans regarder la réponse—pas de triche !Illustration 11.14 montre un routeur connecté à un
commutateur 2960 avec deux VLAN. Un hôte dans chaque VLAN se voit attribuer une adresse IP. Quelles seraient les
configurations de votre routeur et de votre commutateur basées sur ces adresses IP ?

FIGURE 11.14 Exemple inter-VLAN 3

Étant donné que les hôtes ne répertorient pas de masque de sous-réseau, vous devez rechercher le nombre d'hôtes
utilisés dans chaque VLAN pour déterminer la taille du bloc. VLAN 2 a 85 hôtes et VLAN 3 a 115 hôtes. Chacun d'entre
eux tiendra dans une taille de bloc de 128, qui est un masque /25, ou 255.255.255.128.

Vous devriez maintenant savoir que les sous-réseaux sont 0 et 128 ; le sous-réseau 0 (VLAN 2) a une plage d'hôtes de
1 à 126 et le sous-réseau 128 (VLAN 3) a une plage de 129 à 254. Vous pouvez presque vous tromper puisque l'hôte A
a une adresse IP de 126, ce qui en faitpresquesemblent que l'hôte A et B sont dans le même sous-réseau. Mais ce
n'est pas le cas, et vous êtes maintenant bien trop intelligent pour vous laisser berner par celui-ci !
Voici la configuration du commutateur :

2960 #config t
2960(config)#entier f0/1
2960(config-if)#ligne réseau en mode switchport
2960(config-if)#entier f0/2
2960(config-if)#switchport accès vlan 2
2960(config-if)#entier f0/3
2960(config-if)#switchport accès vlan 3

Voici la configuration du routeur :

ISR#config t
ISR(config) #entier f0/0
ISR(config-if)#adresse IP 192.168.10.1 255.255.255.0
ISR(config-if)#Pas d'extinction
ISR(config-if)#entier f0/0.2
ISR(config-subif)#encapsulation dot1q 2
ISR(config-subif)#adresse IP 172.16.10.1 255.255.255.128
ISR(config-subif)#entier f0/0.3
ISR(config-subif)#encapsulation dot1q 3
ISR(config-subif)#adresse IP 172.16.10.254 255.255.255.128

J'ai utilisé la première adresse de la plage d'hôtes pour le VLAN 2 et la dernière adresse de la plage pour le
VLAN 3, mais n'importe quelle adresse de la plage fonctionnerait. Vous n'auriez qu'à configurer la
passerelle par défaut de l'hôte en fonction de l'adresse du routeur. De plus, j'ai utilisé un sous-réseau
différent pour mon interface physique, qui est l'adresse de mon routeur VLAN de gestion.

Maintenant, avant de passer à l'exemple suivant, je dois m'assurer que vous savez comment définir l'adresse IP
sur le commutateur. Étant donné que le VLAN 1 est généralement le VLAN administratif, nous utiliserons une
adresse IP issue de ce pool d'adresses. Voici comment définir l'adresse IP du commutateur (pas harcelant, mais
vous devriez déjà le savoir !) :

2960 #config t
2960(config)#vlan international 1
2960(config-if)#adresse IP 192.168.10.2 255.255.255.0
2960(config-if)#Pas d'extinction
2960(config-if)#sortir
2960(config)#passerelle IP par défaut 192.168.10.1

Oui, vous devez exécuter unPas d'extinctionsur l'interface VLAN et définissez lepasserelle IP par
défautadresse au routeur.
Encore un exemple, puis nous passerons à l'IVR à l'aide d'un commutateur multicouche, un autre sujet
important à ne surtout pas manquer ! DansFigure 11.15 il y a deux VLAN, plus le VLAN de gestion 1. En
examinant la configuration du routeur, quels sont l'adresse IP, le masque de sous-réseau et la passerelle
par défaut de l'hôte A ? Utilisez la dernière adresse IP de la plage pour l'adresse de l'hôte A.

Si vous regardez attentivement la configuration du routeur (le nom d'hôte dans cette configuration est simplement
Router), il existe une réponse simple et rapide. Tous les sous-réseaux utilisent un /28, qui est un masque
255.255.255.240. Il s'agit d'une taille de bloc de 16. L'adresse du routeur pour le VLAN 2 est dans le sous-réseau
128. Le sous-réseau suivant est 144, donc l'adresse de diffusion du VLAN 2 est 143 et la plage d'hôtes
valide est 129–142. L'adresse de l'hôte serait donc celle-ci :

Adresse IP:192.168.10.142
Masque:255.255.255.240
 Passerelle par défaut :192.168.10.129

FIGURE 11.15 Exemple inter-VLAN 4

Cette section était probablement la partie la plus difficile de tout ce livre, et j'ai honnêtement créé la
configuration la plus simple que vous puissiez utiliser pour vous aider à le parcourir !

je vais utiliserIllustration 11.16 pour démontrer la configuration du routage inter-VLAN (IVR) avec un
commutateur multicouche, souvent appelé interface virtuelle commutée (SVI). Je vais utiliser le même réseau
que celui que j'ai utilisé pour discuter d'un commutateur multicouche dansIllustration 11.11 , et j'utiliserai ce
schéma d'adresse IP : 192.168.X.0/24, oùXreprésente le sous-réseau VLAN. Dans mon exemple, ce sera le même
que le numéro de VLAN.

FIGURE 11.16 Routage inter-VLAN avec un commutateur multicouche

Les hôtes sont déjà configurés avec l'adresse IP, le masque de sous-réseau et la passerelle par défaut
adresse en utilisant la première adresse de la plage. Il ne me reste plus qu'à configurer le routage sur le
switch, ce qui est assez simple en fait :

S1(config)#routage IP
S1(config)#vlan international 10
S1(config-if)#adresse IP 192.168.10.1 255.255.255.0
S1(config-if)#vlan international 20
S1(config-if)#adresse IP 192.168.20.1 255.255.255.0

Et c'est tout! Activez le routage IP et créez une interface logique pour chaque VLAN à l'aide du
numéro de vlan de l'interfacecommande et voilà! Vous avez maintenant réussi à faire fonctionner le routage
inter-VLAN sur le fond de panier du commutateur !

Résumé
Dans ce chapitre, je vous ai présenté le monde des réseaux locaux virtuels et décrit comment les commutateurs Cisco
peuvent les utiliser. Nous avons parlé de la façon dont les VLAN divisent les domaines de diffusion dans un interréseau
commuté - une chose très importante et nécessaire car les commutateurs de couche 2 ne divisent que les domaines de
collision et, par défaut, tous les commutateurs constituent un grand domaine de diffusion. Je vous ai également décrit les
liens d'accès et nous avons expliqué comment les VLAN à ressources partagées fonctionnent sur un FastEthernet ou un lien
plus rapide.

Le trunking est une technologie cruciale à bien comprendre lorsqu'il s'agit d'un réseau
peuplé de plusieurs commutateurs qui exécutent plusieurs VLAN.
On vous a également présenté quelques exemples de dépannage et de configuration clés pour les ports
d'accès et de jonction, la configuration des options de jonction et une énorme section sur l'IVR.

L'essentiel de l'examen

Comprendre le termemarquage de cadre.Balisage de cadrefait référence à l'identification VLAN ; c'est ce que les commutateurs
utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent une matrice de commutation. C'est ainsi que les
commutateurs identifient quelles trames appartiennent à quels VLAN.

Comprendre la méthode d'identification VLAN 802.1q.Il s'agit d'une méthode IEEE non propriétaire de balisage des
trames. Si vous effectuez une jonction entre une liaison commutée Cisco et une autre marque de commutateur,
vous devez utiliser 802.1q pour que la jonction fonctionne.

Rappelez-vous comment définir un port de jonction sur un commutateur 2960.Pour définir un port sur la jonction sur un
2960, utilisez leligne réseau en mode switchportcommande.

N'oubliez pas de vérifier l'affectation VLAN d'un port de commutateur lors de la connexion d'un nouvel hôte.Si
vous connectez un nouvel hôte à un commutateur, vous devez vérifier l'appartenance au VLAN de ce port. Si
l'appartenance est différente de ce qui est nécessaire pour cet hôte, l'hôte ne pourra pas accéder aux services
réseau nécessaires, tels qu'un serveur de groupe de travail ou une imprimante.

Rappelez-vous comment créer un routeur Cisco sur une clé pour fournir une communication inter-VLAN.Vous
pouvez utiliser une interface Cisco FastEthernet ou Gigabit Ethernet pour fournir un routage inter-VLAN. Le port
de commutateur connecté au routeur doit être un port de jonction ; vous devez alors créer des interfaces
virtuelles (sous-interfaces) sur le port du routeur pour chaque VLAN qui s'y connecte. Les hôtes de chaque VLAN
utiliseront cette adresse de sous-interface comme adresse de passerelle par défaut.

Rappelez-vous comment fournir un routage inter-VLAN avec un commutateur de couche 3.Vous pouvez utiliser un
commutateur de couche 3 (multicouche) pour fournir un IVR comme avec un routeur sur clé, mais l'utilisation d'un
commutateur de couche 3 est plus efficace et plus rapide. Commencez par démarrer le processus de routage avec la
commanderoutage IP,puis créez une interface virtuelle pour chaque VLAN à l'aide de la commandeinterface vlan vlan,
puis appliquez l'adresse IP pour ce VLAN sous cette interface logique.

Laboratoire écrit 11

Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
les concepts qu'ils contiennent sont entièrement

intégrés : TP 11.1 : VLAN

Vous trouverez les réponses à cet atelier dans l'annexe A, "Réponses aux ateliers écrits".

Écrivez les réponses aux questions suivantes :

1. Vrai/Faux : Pour fournir un IVR avec un commutateur de couche 3, vous placez une adresse IP sur chaque
interface du commutateur.

2. Quel protocole arrêtera les boucles dans un réseau commuté de couche 2 ?

3. Les VLAN divisent les domaines ___________ dans un réseau commuté de couche 2.

4. Quels numéros de VLAN sont réservés par défaut ?

5. Si vous avez un commutateur qui fournit à la fois le balisage de trame ISL et 802.1q, quelle commande
sous l'interface de jonction fera que la jonction utilisera 802.1q ?

6. Qu'apporte le trunking ?
7. Combien de VLAN pouvez-vous créer par défaut sur un commutateur IOS ?

8. Vrai/Faux : L'encapsulation 802.1q est supprimée de la trame si la trame est

transmise par une liaison d'accès.
9. Quel type de lien sur un commutateur est membre d'un seul VLAN ?

10. Vous souhaitez passer de la valeur par défaut de VLAN 1 à VLAN 4 pour le trafic non balisé. Quelle commande
allez-vous utiliser ?

Laboratoires pratiques

Dans ces laboratoires, vous utiliserez trois commutateurs et un routeur. Pour effectuer le dernier laboratoire, vous aurez besoin d'un commutateur

de couche 3.

Lab 11.1 : Configurer et vérifier les VLAN Lab 11.2 :

Configurer et vérifier les liaisons de jonction Lab 11.3 :

Configurer le routeur sur un stick Routing Lab 11.4 :

Configurer l'IVR avec un commutateur de couche 3 Dans

ces laboratoires, j'utiliserai la disposition suivante :

Laboratoire pratique 11.1 : Configuration et vérification des VLAN

Ce laboratoire vous demandera de configurer les VLAN à partir du mode de configuration globale, puis de vérifier les
VLAN.

1. Configurez deux VLAN sur chaque commutateur, VLAN 10 et VLAN 20.

S1(config)#vlan 10
S1(config-vlan)#réseau local virtuel 20

S2(config)#vlan 10
S2(config-vlan)#réseau local virtuel 20

S3(config)#vlan 10
S3(config-vlan)#réseau local virtuel 20

2. Utilisez leafficher vlanetafficher le bref vlancommandes pour vérifier vos VLAN. Notez que toutes les
interfaces sont dans le VLAN 1 par défaut.

S1#sh vlan
S1#bref sh vlan

Laboratoire pratique 11.2 : Configuration et vérification des liaisons réseau Cet atelier

vous demandera de configurer des liaisons de jonction, puis de les vérifier.

1. Connectez-vous à chaque commutateur et configurez la jonction sur toutes les liaisons de commutateur. Si vous
utilisez un commutateur prenant en charge à la fois le balisage de trames 802.1q et ISL, utilisez la commande
d'encapsulation ; sinon, ignorez cette commande.

S1#config t
S1(config)#fa0/15
S1(config-if)#encapsulation de tronc de switchport ?
point1q L'interface utilise uniquement l'encapsulation de jonction 802.1q lorsque
goulotte
île L'interface utilise uniquement l'encapsulation de jonction ISL lorsque
goulotte
négocier L'appareil négociera l'encapsulation de jonction avec
pair sur l'interface

Encore une fois, si vous avez tapé le précédent et reçu une erreur, votre commutateur ne prend pas en charge les deux
méthodes d'encapsulation :

S1 (config-if)#encapsulation de jonction switchport dot1q

S1 (config-if)#ligne réseau en mode switchport
S1 (config-if)#interface fa0/16
S1 (config-if)#encapsulation de jonction switchport dot1q
S1 (config-if)#ligne réseau en mode switchport
S1 (config-if)#fa0/17
S1 (config-if)#encapsulation de jonction switchport dot1q
S1 (config-if)#ligne réseau en mode switchport
S1 (config-f)#fa0/18
S1 (config-if)#encapsulation de jonction switchport dot1q
S1 (config-if)#ligne réseau en mode switchport

2. Configurez les liaisons trunk sur vos autres commutateurs.

3. Sur chaque commutateur, vérifiez vos ports de jonction avec leafficher le tronc de l'interfacecommande:

S1#afficher le tronc de l'interface

4. Vérifiez la configuration du port de commutation avec ce qui suit :

S1#afficher l'interfaceinterfaceswitchport

La deuxièmeinterfacedans la commande se trouve une variable, telle que Fa0/15.

TP 11.3 : Configuration d'un routeur sur un stick Routage

Dans cet atelier, vous utiliserez le routeur connecté au port F0/8 du commutateur S1 pour configurer le ROAS.

1. Configurez le F0/0 du routeur avec deux sous-interfaces pour fournir un routage inter-VLAN à l'aide
de l'encapsulation 802.1q. Utilisez 172.16.10.0/24 pour votre VLAN de gestion, 10.10.10.0/24 pour le
VLAN 10 et 20.20.20.0/24 pour le VLAN 20.

Routeur #config t
Routeur (configuration)#entier f0/0
Routeur (config-if)#adresse IP 172.16.10.1 255.255.255.0
Routeur (config-if)#interface f0/0.10
Routeur (config-subif)#encapsulation dot1q 10
Routeur (config-subif)#adresse IP 10.10.10.1 255.255.255.0
Routeur (config-subif)#interface f0/0.20
Routeur (config-subif)#encapsulation dot1q 20
Routeur (config-subif)#adresse IP 20.20.20.1 255.255.255.0

2. Vérifiez la configuration avec leafficher la configuration en cours d'exécutioncommande.

3. Configurez la jonction sur l'interface F0/8 du commutateur S1 se connectant à votre routeur.

4. Vérifiez que vos VLAN sont toujours configurés sur vos commutateurs avec lesh vlancommande.
5. Configurez vos hôtes pour être dans VLAN 10 et VLAN 20 avec leswitchport accès vlan
xcommande.
6. Envoyez une requête ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.

7. Ping de votre PC à votre PC dans l'autre VLAN. Vous êtes maintenant en train de router via le routeur !

Laboratoire pratique 11.4 : Configuration de l'IVR avec un commutateur de couche 3

Dans cet atelier, vous désactiverez le routeur et utiliserez le commutateur S1 pour fournir un routage inter-VLAN en
créant des SVI.

1. Connectez-vous au commutateur S1 et faites de l'interface F0/8 un port d'accès, ce qui empêchera

le routeur de fournir un routage inter-VLAN.

2. Activez le routage IP sur le commutateur S1.

S1(config)#routage IP

3. Créez deux nouvelles interfaces sur le commutateur S1 pour fournir l'IVR.

S1(config)#interface vlan 10
S1(config-if)#adresse IP 10.10.10.1 255.255.255.0
S1(config-if)#interface vlan 20
S1(config-if)#adresse IP 20.20.20.1 255.255.255.0

4. Effacez le cache ARP sur le commutateur et les hôtes.

S1#arpège clair

5. Envoyez une requête ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.

6. Ping de votre PC à votre PC dans l'autre VLAN. Vous êtes maintenant en train de router via le S1
 changer!

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension du contenu de ce chapitre.

Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez
voirwww.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ». 1.

Laquelle des affirmations suivantes est vraie en ce qui concerne les VLAN ?

A. Les VLAN réduisent considérablement la sécurité du réseau.

B. Les VLAN augmentent le nombre de domaines de collision tout en diminuant leur taille.

C. Les VLAN diminuent le nombre de domaines de diffusion tout en diminuant leur taille.

D. Les ajouts, déplacements et changements de réseau sont réalisés facilement en configurant simplement un
port dans le VLAN approprié.

2. Écrivez la commande qui doit être présente pour que ce commutateur de couche 3 fournisse le
routage inter-VLAN entre les deux VLAN créés avec ces commandes :

S1(config)#vlan international 10
S1(config-if)#adresse IP 192.168.10.1 255.255.255.0
S1(config-if)#vlan international 20
S1(config-if)#adresse IP 192.168.20.1 255.255.255.0

3. Dans le schéma suivant, comment le port à chaque extrémité de la ligne doit-il être configuré pour acheminer
le trafic entre les quatre hôtes ?

A. Port d'accès
 B. 10 Go
C. Tronc
D. Enjambement

4. Quel est le seul type desecondeVLAN dont un port d'accès peut être membre ?
A. Secondaire
B. Voix
C. Primaire
D. Tronc
5. Dans la configuration suivante, quelle commande manque dans la création de l'interface
VLAN ?

2960 #config t
2960(config)#vlan international 1
2960(config-if)#adresse IP 192.168.10.2 255.255.255.0
2960(config-if)#sortir
2960(config)#passerelle IP par défaut 192.168.10.1

UN.Pas d'extinctionsous int vlan 1

Bencapsulation dot1q 1sous int vlan 1
Cswitchport accès vlan 1
RÉ.interface passive
6. Laquelle des affirmations suivantes est vraie en ce qui concerne ISL et 802.1q ?

A. 802.1q encapsule la trame avec des informations de contrôle ; ISL insère un champ ISL avec les
informations de contrôle de balise.

B. 802.1q est la propriété de Cisco.

C. ISL encapsule la trame avec des informations de contrôle ; 802.1q insère un champ 802.1q avec les
informations de contrôle de balise.

D. ISL est une norme.

7. Quel concept est représenté dans le diagramme ?
 A. Routage multiprotocole
B. Interface passive
C. Redondance de la passerelle

D. Routeur sur bâton

8. Écrivez la commande qui place une interface dans le VLAN 2. Écrivez uniquement la commande
et non l'invite.
9. Écrivez la commande qui a généré la sortie suivante :

Nom du VLAN Statut Ports

-------------------------------------------------------------1
défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5,
Fa0/6, Fa0/7, Fa0/8 Fa0/9,
Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/19,
Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
[coupe de sortie]

10. Dans la configuration et le diagramme affichés, quelle commande manque pour activer le routage
inter-VLAN entre VLAN 2 et VLAN 3 ?
 UN.encapsulation dot1q 3sous int f0/0.2
Bencapsulation dot1q 2sous int f0/0.2
CPas d'extinctionsous int f0/0.2
RÉ.Pas d'extinctionsous int f0/0.3
11. D'après la configuration illustrée ici, quelle affirmation est vraie ?

S1(config)#routage IP
S1(config)#vlan international 10
S1(config-if)#adresse IP 192.168.10.1 255.255.255.0
S1(config-if)#vlan international 20
S1(config-if)#adresse IP 192.168.20.1 255.255.255.0

A. Il s'agit d'un commutateur multicouche.

B. Les deux VLAN se trouvent dans le même sous-réseau.

C. L'encapsulation doit être configurée.

D. VLAN 10 est le VLAN de gestion.
12. Qu'est-ce qui est vrai de la sortie montrée ici ?

S1#sh vlan
Nom du VLAN Statut Ports
---------------------------------------------------------------
--
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5,
Fa0/6, Fa0/7, Fa0/8 Fa0/9,
Fa0/10, Fa0/11,
Fa0/12
Fa0/13, Fa0/14, Fa0/19,
Fa0/20,
Fa0/22, Fa0/23, Gi0/1, Gi0/2
2 Ventes actif
3 Commercialisation actif Fa0/21
 4 Comptabilité actif
[coupe de sortie]

A. L'interface F0/15 est un port de jonction.

B. L'interface F0/17 est un port d'accès.

C. L'interface F0/21 est un port de jonction.

D. Le VLAN 1 a été rempli manuellement.

13. Les trames non balisées 802.1q sont membres du VLAN __________.
A. Auxiliaire
B. Voix
C. Indigène

D. Privé
14. Écrivez la commande qui a généré la sortie suivante. Écrivez uniquement la commande et
non l'invite :

Nom : Fa0/15
Commutateur : Activé
Mode administratif : dynamique souhaitable
Mode opérationnel : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl Négociation
de jonction : activée
VLAN en mode d'accès : 1 (par défaut) VLAN en mode
natif de jonction : 1 (par défaut) Balisage VLAN natif
administratif : activé VLAN vocal : aucun

[coupe de sortie]

15. Dans la sortie du commutateur de la question 12, combien de domaines de diffusion sont affichés ?

A.1
B.2
C.4
D.1001
16. Dans le schéma, quelle devrait être l'adresse de passerelle par défaut de l'Hôte B ?
 A.192.168.10.1
B.192.168.1.65
C.192.168.1.129
D.192.168.1.2
17. À quoi sert le balisage des trames dans les configurations de réseau local virtuel (VLAN) ?

A. Routage inter-VLAN
B. Chiffrement des paquets réseau
C. Identification de trame sur des liaisons interurbaines

D. Identification de trame sur les liaisons d'accès

18. Écrivez la commande pour créer le VLAN 2 sur un commutateur de couche 2. Écrivez uniquement la commande
et non l'invite.

19. Quelle affirmation est vraie concernant le balisage de trame 802.1q ?

A. 802.1q ajoute une fin de 26 octets et un en-tête de 4 octets.

B. 802.1q utilise un VLAN natif.

C. La trame Ethernet d'origine n'est pas modifiée.
D. 802.1q ne fonctionne qu'avec les commutateurs Cisco.

20. Ecrivez la commande qui empêche une interface de générer des trames DTP. Écrivez
uniquement la commande et non l'invite.