Avant d'entrer dans les bases des VLAN, je vous demanderais à tous de mettre cette vidéo en pause, de cliquer sur l'icône dans le coin inférieur gauche où il est écrit Consultant en réseau, d'aller sur notre page Facebook et de l'aimer là-bas. Revenez ensuite à la vidéo et cliquez sur l'icône King dans le coin inférieur droit pour vous abonner à notre chaîne YouTube officielle. Nous ajoutons constamment de nouvelles séries, maintenant cela concerne le cours CCNA, puis nous prévoyons de commencer un cours de leçons vidéo CCNA Security, Network+, PMP, ITIL, Prince2 et de publier ces merveilleuses séries sur notre chaîne.
Aujourd'hui, nous allons donc parler des bases du VLAN et répondre à 3 questions : qu'est-ce qu'un VLAN, pourquoi avons-nous besoin d'un VLAN et comment le configurer. J'espère qu'après avoir regardé ce didacticiel vidéo, vous serez en mesure de répondre aux trois questions.
Qu’est-ce qu’un VLAN ? VLAN est l'abréviation de réseau local virtuel. Plus loin dans ce didacticiel, nous verrons pourquoi ce réseau est virtuel, mais avant de passer aux VLAN, nous devons comprendre le fonctionnement d'un commutateur. Nous passerons en revue certaines des questions dont nous avons discuté dans les leçons précédentes.
Tout d’abord, discutons de ce qu’est un domaine de collisions multiples. Nous savons que ce commutateur à 48 ports possède 48 domaines de collision. Cela signifie que chacun de ces ports, ou les appareils connectés à ces ports, peuvent communiquer avec un autre appareil sur un port différent de manière indépendante sans s'affecter mutuellement.
Les 48 ports de ce commutateur font partie d'un seul domaine de diffusion. Cela signifie que si plusieurs appareils sont connectés à plusieurs ports et que l'un d'eux diffuse, il apparaîtra sur tous les ports auxquels les appareils restants sont connectés. C'est exactement ainsi que fonctionne un interrupteur.
C'est comme si les gens étaient assis dans la même pièce, à proximité les uns des autres, et que lorsque l'un d'eux disait quelque chose à voix haute, tous les autres pouvaient l'entendre. Cependant, cela est totalement inefficace : plus il y a de personnes dans la pièce, plus elle deviendra bruyante et les personnes présentes ne s'entendront plus. Une situation similaire se produit avec les ordinateurs : plus il y a d'appareils connectés à un réseau, plus le « volume » de la diffusion devient important, ce qui ne permet pas d'établir une communication efficace.
On sait que si l'un de ces appareils est connecté au réseau 192.168.1.0/24, tous les autres appareils font partie du même réseau. Le switch doit également être connecté à un réseau avec la même adresse IP. Mais ici, le commutateur, en tant que périphérique OSI de couche 2, peut avoir un problème. Si deux appareils sont connectés au même réseau, ils peuvent facilement communiquer entre eux. Supposons que notre entreprise ait un « méchant », un hacker, que je vais dessiner ci-dessus. En dessous, c'est mon ordinateur. Il est donc très facile pour ce pirate informatique de s’introduire dans mon ordinateur car nos ordinateurs font partie du même réseau. C'est le problème.
Si j'appartiens à la direction administrative et que ce nouveau venu peut accéder aux fichiers sur mon ordinateur, ce ne sera pas bien du tout. Bien entendu, mon ordinateur dispose d’un pare-feu qui protège contre de nombreuses menaces, mais il ne serait pas difficile pour un pirate informatique de le contourner.
Le deuxième danger qui existe pour tous ceux qui sont membres de ce domaine de diffusion est que si quelqu'un a un problème avec la diffusion, cette interférence affectera d'autres appareils sur le réseau. Bien que les 48 ports puissent être connectés à différents hôtes, la panne d’un hôte affectera les 47 autres, ce qui n’est pas ce dont nous avons besoin.
Pour résoudre ce problème nous utilisons le concept de VLAN, ou réseau local virtuel. Cela fonctionne très simplement, en divisant ce grand commutateur à 48 ports en plusieurs commutateurs plus petits.
Nous savons que les sous-réseaux divisent un grand réseau en plusieurs petits réseaux, et les VLAN fonctionnent de la même manière. Il divise par exemple un switch de 48 ports en 4 switchs de 12 ports, chacun faisant partie d'un nouveau réseau connecté. Dans le même temps, nous pouvons utiliser 12 ports pour la gestion, 12 ports pour la téléphonie IP, etc., c'est-à-dire diviser le commutateur non pas physiquement, mais logiquement, virtuellement.
J'ai alloué trois ports bleus sur le commutateur supérieur pour le réseau VLAN10 bleu et trois ports orange pour le VLAN20. Ainsi, tout trafic provenant d'un de ces ports bleus ira uniquement vers les autres ports bleus, sans affecter les autres ports de ce commutateur. Le trafic des ports orange sera réparti de la même manière, c'est-à-dire que c'est comme si nous utilisions deux commutateurs physiques différents. Ainsi, le VLAN est un moyen de diviser un commutateur en plusieurs commutateurs pour différents réseaux.
J'ai dessiné deux commutateurs en haut, nous avons ici une situation où sur le commutateur de gauche, seuls les ports bleus d'un réseau sont connectés, et à droite, uniquement les ports orange pour un autre réseau, et ces commutateurs ne sont en aucun cas connectés les uns aux autres. .
Disons que vous souhaitez utiliser plus de ports. Imaginons que nous ayons 2 bâtiments, chacun avec son propre personnel de direction, et que deux ports orange du switch inférieur soient utilisés pour la gestion. Par conséquent, nous avons besoin que ces ports soient connectés à tous les ports orange des autres commutateurs. La situation est similaire avec les ports bleus : tous les ports bleus du commutateur supérieur doivent être connectés à d'autres ports de couleur similaire. Pour ce faire, nous devons connecter physiquement ces deux commutateurs dans des bâtiments différents avec une ligne de communication distincte ; sur la figure, il s'agit de la ligne entre les deux ports verts. Comme nous le savons, si deux commutateurs sont physiquement connectés, nous formons un backbone, ou tronc.
Quelle est la différence entre un commutateur standard et un commutateur VLAN ? Ce n'est pas une grande différence. Lorsque vous achetez un nouveau switch, par défaut tous les ports sont configurés en mode VLAN et font partie du même réseau, désigné VLAN1. C'est pourquoi lorsque nous connectons un périphérique à un port, il finit par être connecté à tous les autres ports, car les 48 ports appartiennent au même VLAN1. Mais si nous configurons les ports bleus pour qu'ils fonctionnent sur le réseau VLAN10, les ports orange sur le réseau VLAN20 et les ports verts sur VLAN1, nous obtiendrons 3 commutateurs différents. Ainsi, l'utilisation du mode réseau virtuel nous permet de regrouper logiquement les ports en réseaux spécifiques, de diviser les diffusions en parties et de créer des sous-réseaux. Dans ce cas, chacun des ports d'une couleur spécifique appartient à un réseau distinct. Si les ports bleus fonctionnent sur le réseau 192.168.1.0 et les ports oranges sur le réseau 192.168.1.0, alors malgré la même adresse IP, ils ne seront pas connectés entre eux, car ils appartiendront logiquement à des commutateurs différents. Et comme nous le savons, différents commutateurs physiques ne communiquent pas entre eux s’ils ne sont pas connectés par une ligne de communication commune. Nous créons donc différents sous-réseaux pour différents VLAN.
Je voudrais attirer votre attention sur le fait que le concept VLAN s'applique uniquement aux commutateurs. Toute personne familiarisée avec les protocoles d'encapsulation tels que .1Q ou ISL sait que ni les routeurs ni les ordinateurs ne disposent de VLAN. Lorsque vous connectez votre ordinateur, par exemple, à l'un des ports bleus, vous ne modifiez rien dans l'ordinateur, tous les changements se produisent uniquement au deuxième niveau OSI, le niveau du commutateur. Lorsque nous configurons les ports pour qu'ils fonctionnent avec un réseau VLAN10 ou VLAN20 spécifique, le commutateur crée une base de données VLAN. Il « enregistre » dans sa mémoire que les ports 1,3 et 5 appartiennent au VLAN10, les ports 14,15 et 18 font partie du VLAN20 et les ports restants impliqués font partie du VLAN1. Par conséquent, si une partie du trafic provient du port bleu 1, il est uniquement dirigé vers les ports 3 et 5 du même VLAN10. Le commutateur examine sa base de données et constate que si le trafic provient de l'un des ports orange, il ne doit être dirigé que vers les ports orange du VLAN20.
Cependant, l'ordinateur ne sait rien de ces VLAN. Lorsque nous connectons 2 commutateurs, un tronc se forme entre les ports verts. Le terme « tronc » ne s'applique qu'aux appareils Cisco ; d'autres fabricants de périphériques réseau, tels que Juniper, utilisent le terme « port tag » ou « port étiqueté ». Je pense que le nom Tag port est plus approprié. Lorsque le trafic provient de ce réseau, le tronc le transmet à tous les ports du commutateur suivant, c'est-à-dire que nous connectons deux commutateurs à 48 ports et obtenons un commutateur à 96 ports. En même temps, lorsque nous envoyons du trafic depuis le VLAN10, il devient étiqueté, c'est-à-dire qu'il reçoit une étiquette indiquant qu'il est destiné uniquement aux ports du réseau VLAN10. Le deuxième commutateur, ayant reçu ce trafic, lit la balise et comprend qu'il s'agit d'un trafic spécifiquement destiné au réseau VLAN10 et qu'il ne doit aller que vers les ports bleus. De même, le trafic « orange » pour le VLAN20 est étiqueté pour indiquer qu'il est destiné aux ports VLAN20 du deuxième commutateur.
Nous avons également évoqué l'encapsulation et il existe ici deux méthodes d'encapsulation. Le premier est .1Q, c'est-à-dire que lorsque nous organisons un tronc, nous devons prévoir une encapsulation. Le protocole d'encapsulation .1Q est une norme ouverte qui décrit la procédure de balisage du trafic. Il existe un autre protocole appelé ISL, Inter-Switch link, développé par Cisco, qui indique que le trafic appartient à un VLAN spécifique. Tous les commutateurs modernes fonctionnent avec le protocole .1Q, donc lorsque vous sortez un nouveau commutateur de la boîte, vous n'avez pas besoin d'utiliser de commandes d'encapsulation, car par défaut, elle est effectuée par le protocole .1Q. Ainsi, après la création d'un tronc, l'encapsulation du trafic se produit automatiquement, ce qui permet la lecture des balises.
Commençons maintenant à configurer le VLAN. Créons un réseau dans lequel il y aura 2 commutateurs et deux périphériques finaux - les ordinateurs PC1 et PC2, que nous connecterons avec des câbles au commutateur n°0. Commençons par les paramètres de base du commutateur de configuration de base.
Pour ce faire, cliquez sur le commutateur et accédez à l'interface de ligne de commande, puis définissez le nom d'hôte en appelant ce commutateur sw1. Passons maintenant aux paramètres du premier ordinateur et définissons l'adresse IP statique 192.168.1.1 et le masque de sous-réseau 255.255. 255.0. Il n'est pas nécessaire d'avoir une adresse de passerelle par défaut car tous nos appareils sont sur le même réseau. Ensuite, nous ferons de même pour le deuxième ordinateur, en lui attribuant l'adresse IP 192.168.1.2.
Revenons maintenant au premier ordinateur pour envoyer une requête ping au deuxième ordinateur. Comme vous pouvez le voir, le ping a réussi car ces deux ordinateurs sont connectés au même commutateur et font partie du même réseau par défaut VLAN1. Si nous regardons maintenant les interfaces des commutateurs, nous verrons que tous les ports FastEthernet de 1 à 24 et deux ports GigabitEthernet sont configurés sur le VLAN #1. Cependant, une telle disponibilité excessive n'est pas nécessaire, nous allons donc dans les paramètres du commutateur et entrons dans la commande show vlan pour consulter la base de données du réseau virtuel.
Vous voyez ici le nom du réseau VLAN1 et le fait que tous les ports du commutateur appartiennent à ce réseau. Cela signifie que vous pouvez vous connecter à n’importe quel port et qu’ils pourront tous « parler » entre eux car ils font partie du même réseau.
Nous allons changer cette situation ; pour ce faire, nous allons d'abord créer deux réseaux virtuels, c'est-à-dire ajouter le VLAN10. Pour créer un réseau virtuel, utilisez une commande telle que « numéro de réseau vlan ».
Comme vous pouvez le voir, lors de la tentative de création d'un réseau, le système a affiché un message avec une liste de commandes de configuration VLAN qui doivent être utilisées pour cette action :
quitter – appliquer les modifications et quitter les paramètres ;
nom – entrez un nom de VLAN personnalisé ;
non – annulez la commande ou définissez-la par défaut.
Cela signifie qu'avant d'entrer la commande create VLAN, vous devez entrer la commande name, qui active le mode de gestion des noms, puis procéder à la création d'un nouveau réseau. Dans ce cas, le système demande que le numéro de VLAN puisse être attribué dans la plage de 1 à 1005.
Alors maintenant, nous entrons la commande pour créer le numéro de VLAN 20 - vlan 20, puis lui donnons un nom pour l'utilisateur, qui indique de quel type de réseau il s'agit. Dans notre cas, nous utilisons le nom de commande Employés, ou réseau pour les employés de l'entreprise.
Nous devons maintenant attribuer un port spécifique à ce VLAN. Nous entrons dans le mode de paramètres du commutateur int f0/1, puis basculons manuellement le port en mode d'accès à l'aide de la commande d'accès au mode switchport et indiquons quel port doit être basculé vers ce mode - il s'agit du port du réseau VLAN10.
On voit qu'après cela la couleur du point de connexion entre PC0 et le switch, la couleur du port, est passée du vert à l'orange. Il redeviendra vert dès que les modifications des paramètres prendront effet. Essayons d'envoyer une requête ping au deuxième ordinateur. Nous n'avons apporté aucune modification aux paramètres réseau des ordinateurs, ils ont toujours les adresses IP 192.168.1.1 et 192.168.1.2. Mais si nous essayons de pinger PC0 depuis l'ordinateur PC1, rien ne fonctionnera, car désormais ces ordinateurs appartiennent à des réseaux différents : le premier au VLAN10, le second au VLAN1 natif.
Revenons à l'interface du commutateur et configurons le deuxième port. Pour ce faire, je vais émettre la commande int f0/2 et répéter les mêmes étapes pour le VLAN 20 que lors de la configuration du réseau virtuel précédent.
Nous voyons que maintenant le port inférieur du commutateur, auquel le deuxième ordinateur est connecté, a également changé de couleur du vert à l'orange - quelques secondes doivent s'écouler avant que les modifications des paramètres prennent effet et qu'il redevienne vert. Si nous recommençons à envoyer une requête ping au deuxième ordinateur, rien ne fonctionnera, car les ordinateurs appartiennent toujours à des réseaux différents, seul PC1 fait désormais partie du VLAN1, et non du VLAN20.
Ainsi, vous avez divisé un commutateur physique en deux commutateurs logiques différents. Vous voyez que maintenant la couleur du port est passée de l'orange au vert, le port fonctionne, mais ne répond toujours pas car il appartient à un autre réseau.
Modifions notre circuit - déconnectez l'ordinateur PC1 du premier commutateur et connectez-le au deuxième commutateur, puis connectez les commutateurs eux-mêmes avec un câble.
Afin d'établir une connexion entre eux, je vais entrer dans les paramètres du deuxième switch et créer le VLAN10 en lui donnant le nom Management, c'est-à-dire le réseau de gestion. Ensuite, j'activerai le mode Access et préciserai que ce mode est destiné au VLAN10. Désormais, la couleur des ports via lesquels les commutateurs sont connectés est passée de l'orange au vert car ils sont tous deux configurés sur VLAN10. Nous devons maintenant créer un tronc entre les deux commutateurs. Ces deux ports sont Fa0/2, vous devez donc créer une jonction pour le port Fa0/2 du premier commutateur à l’aide de la commande switchport mode trunk. La même chose doit être faite pour le deuxième commutateur, après quoi un tronc est formé entre ces deux ports.
Maintenant, si je veux envoyer une requête ping à PC1 depuis le premier ordinateur, tout ira bien, car la connexion entre PC0 et le commutateur n°0 est un réseau VLAN10, entre le commutateur n°1 et le PC1 est également un VLAN10, et les deux commutateurs sont connectés par une jonction. .
Ainsi, si les appareils sont situés sur des VLAN différents, ils ne sont pas connectés les uns aux autres, mais s'ils sont sur le même réseau, le trafic peut être librement échangé entre eux. Essayons d'ajouter un périphérique supplémentaire à chaque commutateur.
Dans les paramètres réseau de l'ordinateur PC2 ajouté, je définirai l'adresse IP sur 192.168.2.1, et dans les paramètres du PC3, l'adresse sera 192.168.2.2. Dans ce cas, les ports auxquels sont connectés ces deux PC seront désignés Fa0/3. Dans les paramètres du commutateur n°0, nous définirons le mode d'accès et indiquerons que ce port est destiné au VLAN20, et nous ferons de même pour le commutateur n°1.
Si j'utilise la commande switchport access vlan 20 et que le VLAN20 n'a pas encore été créé, le système affichera une erreur du type « Le VLAN d'accès n'existe pas » car les commutateurs sont configurés pour fonctionner uniquement avec le VLAN10.
Créons le VLAN20. J'utilise la commande "show VLAN" pour afficher la base de données du réseau virtuel.
Vous pouvez voir que le réseau par défaut est VLAN1, auquel les ports Fa0/4 à Fa0/24 et Gig0/1, Gig0/2 sont connectés. Le VLAN numéro 10, nommé Management, est connecté au port Fa0/1, et le VLAN numéro 20, nommé VLAN0020 par défaut, est connecté au port Fa0/3.
En principe, le nom du réseau n'a pas d'importance, l'essentiel est qu'il ne soit pas répété pour différents réseaux. Si je souhaite modifier le nom du réseau que le système attribue par défaut, j'utilise la commande vlan 20 et nomme Employés. Je peux changer ce nom en autre chose, comme les téléphones IP, et si nous pingons l'adresse IP 192.168.2.2, nous pouvons voir que le nom du VLAN n'a aucune signification.
La dernière chose que je veux mentionner est le but de Management IP, dont nous avons parlé dans la dernière leçon. Pour ce faire, nous utilisons la commande int vlan1 et saisissons l'adresse IP 10.1.1.1 et le masque de sous-réseau 255.255.255.0, puis ajoutons la commande no shutdown. Nous n'avons pas attribué l'adresse IP de gestion à l'ensemble du commutateur, mais uniquement aux ports VLAN1, c'est-à-dire que nous avons attribué l'adresse IP à partir de laquelle le réseau VLAN1 est géré. Si nous voulons gérer VLAN2, nous devons créer une interface correspondante pour VLAN2. Dans notre cas, il existe des ports VLAN10 bleus et des ports VLAN20 orange, qui correspondent aux adresses 192.168.1.0 et 192.168.2.0.
Le VLAN10 doit avoir des adresses situées dans la même plage pour que les périphériques appropriés puissent s'y connecter. Un paramètre similaire doit être défini pour le VLAN20.
Cette fenêtre de ligne de commande du commutateur affiche les paramètres d'interface pour le VLAN1, c'est-à-dire le VLAN natif.
Afin de configurer Management IP pour VLAN10, nous devons créer une interface int vlan 10, puis ajouter l'adresse IP 192.168.1.10 et le masque de sous-réseau 255.255.255.0.
Pour configurer le VLAN20, il faut créer une interface int vlan 20, puis ajouter l'adresse IP 192.168.2.10 et le masque de sous-réseau 255.255.255.0.
Pourquoi est-ce nécessaire ? Si l'ordinateur PC0 et le port supérieur gauche du commutateur n°0 appartiennent au réseau 192.168.1.0, PC2 appartient au réseau 192.168.2.0 et est connecté au port VLAN1 natif, qui appartient au réseau 10.1.1.1, alors PC0 ne peut pas établir communication avec ce switch via le protocole SSH car ils appartiennent à des réseaux différents. Par conséquent, pour que PC0 communique avec le commutateur via SSH ou Telnet, nous devons lui accorder un accès Access. C'est pourquoi nous avons besoin d'une gestion de réseau.
Nous devrions pouvoir lier PC0 à l'aide de SSH ou Telnet à l'adresse IP de l'interface VLAN20 et apporter toutes les modifications dont nous avons besoin via SSH. Ainsi, Management IP est nécessaire spécifiquement pour la configuration des VLAN, car chaque réseau virtuel doit avoir son propre contrôle d'accès.
Dans la vidéo d'aujourd'hui, nous avons abordé de nombreux problèmes : les paramètres de base du commutateur, la création de VLAN, l'attribution de ports VLAN, l'attribution d'une adresse IP de gestion pour les VLAN et la configuration des lignes réseau. Ne soyez pas gêné si vous ne comprenez pas quelque chose, c'est naturel, car le VLAN est un sujet très complexe et vaste sur lequel nous reviendrons dans les prochaines leçons. Je vous garantis qu'avec mon aide, vous pouvez devenir un maître VLAN, mais le but de cette leçon était de clarifier 3 questions pour vous : que sont les VLAN, pourquoi en avons-nous besoin et comment les configurer.
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com