VLAN – Configuration

Suite à l’article sur la théorie des VLAN, attardons nous aujourd’hui sur leur configuration.

Le but sera de faire le tour des différentes configurations possibles.

Avant de s’attaquer aux configurations les plus poussées, il est recommandé de maitriser la théorie.

1) La topologie

Voici la topologie que nous allons utiliser pour ce TP :

Nous y retrouvons 3 switchs. S3 et S4 symbolisent le niveau Access. Nous y connecterons des PC dans
des VLAN.

S1 symbolise le niveau Distribution. Il servira à interconnecter S3 e S4.

2) Création des VLAN

La première chose à faire dans une configuration de ce type, est de créer les VLAN.

Comme nous l’avons dit, un VLAN va correspondre à un sous réseau.

De préférence, nous choisirons un numéro de VLAN en rapport avec l’adresse du sous réseau.

Il ne s’agit pas d’une obligation, simplement que cela rend le réseau plus simple.
Voici un exemple :

Le réseau 192.168.10.0 aura 10 pour numéro de VLAN.

Le réseau 192.168.20.0 aura 20 pour numéro de VLAN.

Maintenant que nous avons les numéros de VLAN, il convient de les créer sur nos switchs.

La configuration est très simple :

Switch-3(config)#vlan 10

Switch-3(config-vlan)#name Finance

Switch-3(config)#vlan 20

Switch-3(config-vlan)#name Marketing

Le nom qui est donné aux VLAN, doit être le nom du sous réseau.

La création de VLAN n’est pas plus compliquée que cela.

Pour voir la liste de VLAN, et les ports qui y sont associés, entrer la commande suivante :

Vous pouvez voir les deux VLAN que nous venons de créer.

Le VLAN 99 est un VLAN que j’utilise pour accéder à distance aux switchs. Nous n’avons pas à nous en
occuper.

Il reste 5 autres VLAN qui sont apparus tout seul :

 1 default

 1002 fddi-default

 1003 token-ring- default

 1004 fddinet- default

  1005 trnet- default

Le VLAN 1 est le VLAN par défaut sur les switchs. Tous les ports sont dans ce VLAN par défaut.

Quant aux autres VLAN (1002 à 1005), ce sont les VLAN par défaut pour les protocoles Token Ring et
FDDI.

Ces VLAN ne peuvent pas être supprimés.

Si je vous demande « où sont stockés les VLAN » vous me répondrez certainement « dans la running /
startup config ».

En fait non, les VLAN sont stockés dans un fichier nommé vlan.dat :

Ce qui veut dire que les VLAN sont conservés lorsque l’on supprime la configuration du switch.

Pour supprimer la liste des VLAN, utiliser la commander suivante :

Switch-3#delete flash:vlan.dat

Après avoir redémarré le switch, les VLAN aurons disparu.

Avant de passer à la suite, ne pas oublier de configurer les VLAN sur S4 et S1

Switch-4(config)#vlan 10

Switch-4(config-vlan)#name Finance

Switch-4(config)#vlan 20

Switch-4(config-vlan)#name Marketing

Switch-1(config)#vlan 10

Switch-1(config-vlan)#name Finance
Switch-1(config)#vlan 20

Switch-1(config-vlan)#name Marketing

3) Configuration des ports Access

Deuxième étape, assigner les ports à des VLAN.

Nous avons choisi les ports Fa 0/1 et Fa 0/2 comme ports sur lesquels seront connectés les PC.

Il convient alors d’assigner ces ports aux bons VLAN.

Encore une fois, la configuration est très simple :

Premièrement, nous passons le port en mode Access :

Switch-3(config)#interface fastEthernet 0/1

Switch-3(config-if)#switchport mode access

Ensuite, nous attribuons le port au bon VLAN :

Switch-3(config-if)#switchport access vlan 10

De même pour le VLAN 20 :

Switch-3(config)#interface fastEthernet 0/2

Switch-3(config-if)#switchport mode access

Switch-3(config-if)#switchport access vlan 20

Maintenant, vous pouvez faire de même sur S4.

Valider la configuration avant de passer à la suite :

4) Configuration des liens Trunk

Plus intéressant, voyons la configuration des liens Trunk.

Première chose à faire, configurer le port en mode Trunk :

Switch-3(config)#interface fastEthernet 0/10

Switch-3(config-if)#switchport mode trunk

Puis choisir le VLAN natif :

Switch-3(config-if)#switchport trunk native vlan 666

Pour plus de sécurité, il est possible de choisir quels VLAN seront autorisés sur l e Trunk :

Switch-3(config-if)#switchport trunk allowed vlan none

Switch-3(config-if)#switchport trunk allowed vlan add 10

Switch-3(config-if)#switchport trunk allowed vlan add 20

Pour plus de sécurité, nous allons désactiver la négociation (et donc l’env oie de DTP).

Pour plus de détails sur ce point, voir l’article sur la théorie des VLAN, partie « Mode de fonctionnement
d’un port ».

Switch-3(config-if)#switchport nonegotiate

Quant au protocole d’encapsulation, nous pouvons choisir entre ISL ou 802.1Q.

Sur les switch 2950 (Switch 1 et Switch 2) seul le 802.1Q est disponible.
Voici la commande pour vérifier le mode de fonctionnement :

Dans le cas où votre switch propose les deux protocoles, voici comment choisir :

Appliquons cette même configuration sur S1 :

Switch-1(config)#interface fastEthernet 0/9

Si vous obtenez le message suivant, changez le mode d’encapsulation :

Switch-1(config-if)#switchport trunk encapsulation dot1q

La configuration sera la même que sur S3 :

Switch-1(config-if)#switchport mode trunk

Switch-1(config-if)#switchport trunk native vlan 666

Switch-1(config-if)#switchport trunk allowed vlan none

Switch-1(config-if)#switchport trunk allowed vlan add 10

Switch-1(config-if)#switchport trunk allowed vlan add 20

Si le VLAN natif n’est pas le même des deux côtés, vous obtiendrez le message suivant :

Finissons la configuration avec le lien S1 – S4 :

Pour cela, reproduisez simplement la configuration précédente sur le port fa 0/10 de S4 et S1.

5) Test
Passons maintenant aux tests.

Pour cela, il nous faut une machine reliée au switch 3, et une machine sur le switch 4

Voici les configurations :

PC 1 :

 IP : 192.168.10.1

 Port : Switch 3 – Fa 0/1

PC 2 :

 IP : 192.168.10.2

 Port : Switch 4 – Fa 0/1

Pour tester, il suffit de lancer un Ping depuis PC 1 vers PC2 :

Dans l’article sur la théorie des VLAN, nous avions parlé de l’importance du VLAN natif.

Nous avions vu qu’en cas de mauvaise configuration, le port était partiellement bloqué.

Seul les VLAN taguées vont alors pouvoir communiquer sur le Trunk.

Voyons si cela est vrai :

Switch-3(config)#interface fastEthernet 0/10

Switch-3(config-if)#switchport trunk native vlan 100

En effet, les PC peuvent toujours communiquer, car leurs frames sont taguées avec le VLAN 10 quand
elles passent dans le Trunk.

Nous avions aussi dit que pour communiquer entre deux VLAN, il faut un routeur.

Pour tester, le PC1 a été connecté au switch 3, sur le port Fa 0/2

Son IP est 192.168.20.1

En effet, sans routeur, pas moyen de communiquer entre 2 VLAN.

6) Routage entre des VLAN

Ce sujet sera traité plus en détail dans un prochain article qui y sera consacré.

Néanmoins, en voici un aperçu.

Pour router du trafic entre des VLAN, il faut soit un routeur, soit un switch de niveau 3.

Voici la configuration d’un routeur

Router(config)#interface fastEthernet 0/0

Router(config-if)#no shutdown

Router(config)#interface fastEthernet 0/0.10

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 192.168.10.254 255.255.255.0

Router(config)#interface fastEthernet 0/0.20

Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.254 255.255.255.0

Il est aussi possible de configurer le VLAN Natif :

Router(config)#interface fastEthernet 0/0.666

Router(config-subif)#encapsulation dot1Q 666 native

Du côté du switch, il suffit de monter un Trunk classique.

Switch-1(config)#interface fastEthernet 0/5

Switch-1(config-if)#switchport mode trunk

Switch-1(config-if)#switchport trunk native vlan 666

Switch-1(config-if)#switchport trunk allowed vlan none

Switch-1(config-if)#switchport trunk allowed vlan add 10

Switch-1(config-if)#switchport trunk allowed vlan add 20

Voici le résultat :
7) Conclusion

Au final, la configuration de VLAN se révèle relativement simple.

Le routage Inter-VLAN sera traité en détails dans un prochain article. Notamment le routage à l’aide
d’un switch de niveau 3.

Il reste une notion qui attrait aux VLAN. Il s’agit du protocole VTP.