les VLANs et leur administration Présentation de l’activité Objectifs À l’issue de ce TP, vous devez être capable de : Créer un VLAN Configurer des interfaces trunks Configurer un domaine VTP Configurer un switch en tant que serveur VTP Configurer un switch en tant que client VTP Configurer un switch en mode VTP ``transparent'' Durée 4h Compte rendu Réalisez le compte rendu avec une suite bureautique et enregistrez-le dans votre répertoire de travail en format propriétaire (.docx ou .odt) et format .pdf. Veillez à ne pas abuser des copies d’écran. Les commandes demandées ainsi que le résultat de leur exécution seront reportées fidèlement dans le compte rendu par un simple copier-coller depuis Packet Tracer. Pré-requis Fonctionnement de base de Packet Tracer Utilisation de l’interface en ligne de commande (CLI) des équipements Cisco. Ressources Matériels : PC Windows Logiciels : Packet Tracer v6.0.1 ou ultérieur Documents : Aide de Packet Tracer Site “Network Admin Stuff” : Lesson 15 - VLANs Overview Lesson 16 - VLANs In Practice Lesson 17 - Inter VLAN Traffic Flow Analysis Lesson 18 - VTP and VLAN Quiz Présentation générale Les VLANs (Virtual Local Area Network ou réseaux locaux virtuels) sont une technique qui permet de faire coexister plusieurs réseaux dît logiques ou virtuels sur 1 seul réseau physique en leur “faisant croire” qu’ils disposent chacun du leur. Dans le jargon réseau, on dit qu’un VLAN “segmente le domaine de diffusion d’un réseau commuté” (c’est bôoo, non !? 😉). Cette technique s’appuie sur les fonctionnalités offertes par les commutateurs (switches) de niveau 3. Figure 1. VLANs dans un établissement scolaire En regardant l’illustration précédente, on peut être tenté d’assimiler le switch de niveau 3 à un routeur. Cependant, de nombreuses différences existent entre les 2. Voir Switch de niveau 3 ou routeur : Quelle est la meilleure option ? pour une comparaison des 2 équipements. En permettant de regrouper au sein d’un même réseau logique un certain nombre de machines répondant aux même critères, les VLANs offrent de nombreux avantages. Parmi ceux-ci, on peut citer : l’augmentation des performances du réseau par une optimisation des échanges l’accroissement de la sécurité par une séparation des flux de données une simplification des tâches d’administration L’appartenance d’un hôte à un VLAN se décide selon le type du VLAN : VLAN de niveau 1 : Le regroupement des machines du VLAN est déterminé selon leurs ports de raccordement au niveau du commutateur. VLAN de niveau 2 : Ce type de VLAN permet d’associer les machines en fonction de leurs adresses MAC. Il offre plus de souplesse que le précédent car il n’impose pas que toutes les machines soient localisées au même endroit. VLAN de niveau 3 : Dans ce dernier type de VLAN, les machines sont regroupées soit en fonction de leurs adresses IP soit selon le protocole utilisé (IP, IPX, Netbeui…). C’est le type de VLAN le plus souple mais aussi le plus gourmand en ressources. Ici, VLAN de niveau 3 ne signifie pas que la gestion de celui-ci repose sur la couche 3 du modèle OSI (→ couche “Réseau”) mais simplement qu’elle utilise des informations de ce niveau (@ IP, protocole de couche réseau) pour associer les machines. Dans la pratique, la prise en charge des VLANs entre commutateurs passe par un “étiquettage” spécifique des trames Ethernet qu’ils s’échangent. Le rôle de cet “étiquettage”' — appelé tag — est de permettre d’utiliser une seule interface du switch, et donc un seul câble, pour faire transiter les trames ethernet des VLANs pris en charge vers ou depuis un autre switch. Ce lien entre commutateurs est nommé trunk. En français, on parle d'agrégation de VLANs. Le tag — présent dans l’entête des trames Ethernet transitant sur les trunks — permet notamment d’identifier le VLAN grâce à une valeur codée sur 12 bits. 4096 VLANs sont donc théoriquement possibles mais, dans la pratique, seuls les VLANs dans la plage 2 à 1000 sont habituellement utilisés dans le cadre de réseaux locaux (→ LANs). Par convention : le VLAN n°1 est réservé pour l’administration du réseau on attribue aux VLANs que l’on crée des n° multiples de 10 (→ 10, 20, 30…) La gestion du tag dans les échanges entre commutateurs a été normalisée via la norme IEEE 802.1q mais des protocoles propriétaires existent néanmoins (Ex. : ISL chez Cisco). Figure 2. Agrégation de VLANs Travail demandé 🖮 Travail n° 1 Configuration de VLANs On considère pour cet exercice le réseau suivant : On désire segmenter le réseau par des VLANs de la manière suivante : Couleur n° VLAN Nom VLAN Réseau Vert 10 DIRECTION 192.168.0.0/24 Rose 20 COMPTABILITE 192.168.1.0/24 Orange 30 ATELIER 192.168.2.0/24 Reproduisez le réseau dans Packet Tracer Attribuez les adresse IP des PCs selon ce qu’indique le tableau suivant : Réseau “Vert”. PC0 192.168.0.1/24 PC3 192.168.0.2/24 Réseau “Rose”. PC1 192.168.1.1/24 PC4 192.168.1.2/24 Réseau “Orange”. PC2 192.168.2.1/24 PC5 192.168.2.2/24 Depuis le mode de configuration globale dans CLI du switch, attribuez le nom d’hôte SW0 au switch (→ commande hostname) Depuis le mode privilégié dans le CLI, visualisez la configuration par défaut du switch en rapport avec les VLANs grâce à la commande : SW0#show vlan brief Relevez les n° de VLANs présents par défaut au démarrage du switch et expliquez ce que représente selon vous le contenu de la colonne intitulée Ports Depuis le mode de configuration globale dans le CLI du switch : créez le VLAN numéroté 10 avec la commande vlan 10 nommez-le “DIRECTION” avec la commande name DIRECTION présente dans le mode de configuration du VLAN (invite de commande : SW0(config-vlan)#) Revenez dans le mode de configuration globale et créez les 2 autres VLANs Visualisez à nouveau la configuration associée aux VLANs et vérifiez la présence des 3 VLANs nouvellement créés Attribuez les ports du switch aux différents VLANs. Pour cela, rendez-vous dans le mode de configuration de chaque interface du switch (Fa0/1, Fa0/2…) et attribuez-la au VLAN spécifié avec la commande switchport access … que vous complèterez. Consignez les commandes utilisées. Testez la connectivité entre les différentes machines Ajoutez un PC (PC6) au switch et attribuez-lui l’adresse 192.168.0.3/24 mais ne le placez pas dans le VLAN “DIRECTION”. Expliquez — grâce au mode de simulation de Packet Tracer — la différence entre l’échec du test de connectivité entre 2 PCs situés dans des réseaux différents (Ex.: PC0 ↔ PC1) et celui entre 2 PCs situés dans le même réseau MAIS pas dans le même VLAN (PC0 ↔ PC6). 🖮 Travail n° 2 Aggrégation de VLANs On considère pour cet exercice le réseau suivant : On désire segmenter le réseau de la manière suivante : Couleur n° VLAN Nom VLAN Réseau Vert 10 DIRECTION 192.168.0.192/28 Rose 20 COMPTABILITE 192.168.0.128/26 Orange 30 ATELIER 192.168.0.0/25 Dans le schéma, l’identifiant du PC regroupe à la fois le n° du VLAN auquel il appartient et le n° d’hôte dans ce VLAN. Exemple : PC303 = PC n°3 dans le réseau associé au VLAN 30 ⇒ son adresse IP sera 192.168.0.3 Reproduisez le réseau dans Packet Tracer Indiquez pour chaque réseau : la masque de sous-réseau le nombre max. d’hôtes qu’il peut contenir les adresses d’hôtes min. & max. l’adresse de broadcast Attribuez les adresses IP ainsi que les masques de sous-réseaux aux interfaces des PCs Nommez les switches : SW1 pour le switch inférieur et SW2 pour le switch supérieur Créez et nommez les VLANs Affectez les ports des switches aux VLANs → commande : switchport access vlan <n° vlan> Configurer les interfaces GigabitEthernet des switches pour qu’elles prennent en charge le mode trunk. → commande : switchport mode trunk Testez la connectivité entre PC301 et PC302 puis entre PC201 et PC202 en mode simulation. Relevez et inspectez dans chaque cas le contenu de la trame entrante dans le switch (Onglet Inbound details). Notez les différences et interprétez le contenu du champ nommé TCI. 🖮 Travail n° 3 Administration de VLANs par le protocole VTP Le protocole VTP (VLAN Trunking Protocol) permet de faciliter la tâche d’administration des VLANs dans un réseau contenant un grand nombre de switches. En effet, vous avez vu dans ce qui précède que la mise en place de VLANs au sein d’un switch nécessitait d’intervenir dessus pour : créer les VLANs affecter les ports du switch aux différents VLANs Dans le cas d’une topologie complexe, l’administration des VLANs peut vite devenir fastidieuse et source d’erreurs puisqu’il va falloir intervenir sur tous les switches en cas d’évolution/modification du réseau. Le protocole VTP va “balayer” ces inconvénients en effectuant une synchronisation automatique des configurations des switches. Cette synchronisation automatique est basée sur : le regroupement des switches dans un domaine VTP. Ce domaine constitue la frontière de la zone où la synchronisation automatique s’appliquera l’attribution de rôles aux switches du domaine. Les rôles possibles sont : serveur VTP : switch sur lequel il est possible de créer/modifier/supprimer des VLANs et qui propage les mises à jour de la configuration par l’intermédiaire d'anonnces VTP. C’est le rôle par défaut d’un switch. client VTP : switch qui reçoit les mises à jour de configuration et les applique en interne. switch “transparent” : switch qui ignore les mises à jour qui lui parviennent mais qui les tansmet tout de même aux switches voisins. En plus de sa faculté à synchroniser les configurations de VLANs à travers le réseau, le protocole VTP propose une fonctionnalité appelée élagage VTP (→ VTP pruning) qui augmente la bande passante disponible sur le réseau en optimisant l’utilisation des trunks en fonction des VLANs vraiment utilisés. Dans la suite du TP, vous allez étendre le réseau de l’activité précedente pour : Configurer un domaine VTP Configurer un switch en tant que serveur VTP Configurer un switch en tant que client VTP Configurer un switch en mode VTP ``transparent'' On considère pour cet exercice le réseau suivant : Reprendre le schéma de l’activité précédente et le compléter dans Packet Tracer pour qu’il soit conforme au schéma ci-dessus. Nommez les switches en accord avec le schéma fourni Sur le switch SW5 : créez les VLANs affectez les ports aux VLANs Configurer les interfaces GigabitEthernet des switches SW3, SW4 et SW5 pour qu’elles prennent en charge le mode trunk. Vérifiez la configuration des trunks des switches SW3, SW4 et SW5 avec la commande : show interfaces trunk Consignez les résultats dans le rapport. Ajoutez le switch SW1 dans un domaine VTP appelé acme.com : SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vtp domain acme.com Changing VTP domain name from NULL to acme.com SW1(config)#vtp password yesUcan Setting device VLAN database password to yesUcan SW1(config)#vtp version 2 Répétez les commandes précédentes pour les switches SW2 à SW5 Configurez SW1 comme client VTP : SW1(config)#vtp mode client Configurez de la même façon SW5 comme client VTP Configurez SW3 comme serveur VTP : SW3(config)#vtp mode server Configurer également SW2 en tant que serveur VTP. Il est tout à fait possible d’avoir plusieurs serveurs VTP dans un domaine VTP. Cette redondance permet de pallier à une défaillance d’un des serveurs VTP. Configurer SW4 comme switch VTP “transparent” : SW4(config)#vtp mode transparent Vérifiez la connectivité entre les PCs des différents VLANs Tentez de créer des VLANs sur les switches SW5 et SW4 et indiquez ce qu’il se passe. Passez en mode simulation et éditez les filtres dans le mode simulation de façon à afficher les messages VTP. Créez un VLAN DRH — en mode simulation — avec un identifiant 40 sur SW3. Expliquez ce qu’il se produit. Affichez les configurations de VLANs sur les switches SW5 et SW4. Sont-elles identiques ? Pourquoi ? Supprimez le VLAN DRH depuis SW3 ou SW2 : SW2(config)#no vlan 40 Recréez ce même VLAN mais avec 2 identifiants différents (par exemple 40 et 50) depuis les 2 serveurs VTP. Quelle est la configuration retenue ? Qu’en déduisez-vous sur la politique d’application des configurations VLAN ? 🞄 🞄 🞄 Prise en main de Packet Tracer Le bus I2C