Configuration des VLAN sur un switch Cisco

Configuration des vlans par port sur un switch Cisco.
Les commandes suivantes ont été testées sur des switchs série Catalyst 2950, 2960, 3750, 9200, 9200L et 6500.

Rappel sur la notion de VLAN (Virtual Local Area Network)

L'objectif d'une configuration de vlan est de permettre la configuration de réseaux différents sur un même switch.
Il existe plusieurs façon de configurer les vlans. Cette page traitera uniquement du vlan par port.
La norme utilisée ici porte l'identifiant 802.1q.
Les avantages principaux de la segmentation par vlan sont la réduction des domaines de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la communication entre les réseaux).

Principe de fonctionnement du vlan par port
Un tag de 4 octet est ajouté à la trame ethernet. Ce tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement aux ports appartenant au vlan identifié dans la trame.

Type de configuration des ports des switchs Cisco
Le port est configuré en mode access ou en mode trunk.
Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.

Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un port
Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du vlan voix (voice vlan).

VLAN non affecté à un port et présent sur le switch
Des vlans peuvent être créés sur un switch et n'être affectés à aucun port. C'est le cas du vlan de management (une adresse IP sera configurée sur ce vlan).
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.

Communication entre les vlans
La communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen d'ACLs (access control list).

VLAN par défaut: Le vlan par défaut est le vlan 1. Lors du premier démarrage du switch, tous les ports sont dans ce vlan.

VLAN natif: Le vlan appelé "natif" est le vlan qui n'est pas marqué sur une liaison trunk. Certains protocoles comme VTP ou CDP utilisent ce vlan pour partager des informations. Pour des raisons de sécurité, il est conseillé de le modifier afin qu'il ne correponde pas au vlan par défaut.

Configuration type d'un switch:

La liaison entre les switchs est en mode trunk.
Les autres ports des switchs sont en mode access.
Le vlan dédié aux téléphones sera également configuré sur tous les ports en plus de leur vlan data respectif.

Ajout de vlan



2960-RG(config)#vlan 2

2960-RG(config-vlan)#name administration

2960-RG(config-vlan)#ex

2960-RG(config)#vlan 3,4,5

2960-RG(config-vlan)#ex

2960-RG(config)#

suppression d'un vlan



2960-RG(config)#no vlan 2

Affichage des vlans ainsi que des affectations de port



2960-RG#show vlan



VLAN Name                             Status    Ports

---- -------------------------------- --------- -------------------------------

1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4

                                                Gi0/1

2    administration                   active

3    VLAN0003                         active

4    VLAN0004                         active    Fa0/5, Fa0/6, Fa0/7, Fa0/8

5    VLAN0005                         active

10   VLAN0010                         active    Fa0/1

1002 fddi-default                     act/unsup

1003 token-ring-default               act/unsup

Affectation d'un port à un vlan


2960-RG(config)#interface fastEthernet 0/1

2960-RG(config-if)#switchport mode access

2960-RG(config-if)#switchport access vlan 3

2960-RG(config-if)#ex

2960-RG(config)#


2960-RG(config)#interface range fastEthernet 0/5-8

2960-RG(config-if-range)#switchport mode access

2960-RG(config-if-range)#switchport access vlan 4

2960-RG(config-if-range)#end

2960-RG#


6500(config)#interface gi 0/2

6500(config-if-range)#switchport

6500(config-if-range)#switchport mode access

6500(config-if-range)#switchport access vlan 4

6500(config-if-range)#end

6500#

Configuration d'un port en mode trunk (par exemple une connexion entre deux switch)


3750(config)#interface gigabitEthernet 1/0/1

3750(config)#switchport trunk encapsulation dot1q

3750(config-if)#switchport mode trunk

3750(config-if)#


2960-RG(config)#interface gigabitEthernet 1/0/1

2960-RG(config-if)#switchport mode trunk

2960-RG(config-if)#


6500(config)#interface gigabitEthernet 1/0/1

6500(config-if)#switchport

6500(config-if)#switchport trunk encapsulation dot1q

6500(config-if)#switchport mode trunk

6500(config-if)#


2960-RG(config)#interface gigabitEthernet 1/0/1

2960-RG(config-if)#switchport trunk native vlan 11

2960-RG(config-if)#

Filtrage des vlans sur un port uplink


2960-RG(config)#interface gigabitEthernet 1/0/1

2960-RG(config-if)#switchport trunk allowed vlan add 2,3,10

2960-RG(config-if)#


2960-RG(config-if)#switchport trunk allowed vlan remove 3

2960-RG(config-if)#


2960-RG(config-if)#no switchport trunk allowed vlan

2960-RG(config-if)#

Configuration d'un vlan dédié à la téléphonie


2960-RG(config)#vlan 10

2960-RG(config-vlan)#name voip

2960-RG(config-vlan)#ex

2960-RG(config)#int fastEthernet 0/1

2960-RG(config)#switchport voice vlan 10

Suppression de la configuration d'un port


2960-RG(config)#int fastEthernet 0/1

2960-RG(config-if)#no switchport access vlan

2960-RG(config-if)#no switchport mode acc

2960-RG(config-if)#end

Configuration du protocole VTP (Vlan Transport Protocol) en mode transparent


Switch(config)#vtp domain mondomaine

Changing VTP domain name from NULL to mondomaine

Switch(config)#

Switch(config)#vtp mode transparent

Device mode already VTP Transparent for VLANS.

Switch(config)#vtp password passdomaine

Setting device VTP password to passdomaine

Switch(config)#vtp version 2

Switch(config)#^Z

Switch#

Switch#

Switch#show vtp status

VTP Version capable             : 1 to 3

VTP version running             : 2

VTP Domain Name                 : mondomaine

VTP Pruning Mode                : Disabled

VTP Traps Generation            : Disabled

Device ID                       : 0012.dbab.4321

Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00



Feature VLAN:

--------------

VTP Operating Mode                : Transparent

Maximum VLANs supported locally   : 1005

Number of existing VLANs          : 19

Configuration Revision            : 0

MD5 digest                        : 0x1D 0x52 0x66 0xAA 0xD8 0xAA 0x30 0xFF

                                    0x6C 0xCA 0xB0 0x6F 0x5C 0xF3 0x9D 0xCC

Switch#

Commande nonegociate


Switch(config)#interface range fastEthernet 1/0/1 - 10

Switch(config-if-range)#switchport nonegotiate


Switch#show interfaces fa1/0/2 switchport

Name: Fa1/0/2

Switchport: Enabled

Administrative Mode: static access

Operational Mode: down

Administrative Trunking Encapsulation: negotiate

Negotiation of Trunking: Off

Access Mode VLAN: 2 (VLAN0002)

Configuration des ports

Haut de la page

Comment configurer simplement la qualité de service