virtuals lan
Post on 16-Apr-2017
513 Views
Preview:
TRANSCRIPT
Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT
Virtuals LAN (VLANs)
VLANFonctionnement
Thomas Moegli
๏ Un domaine de diffusion (Broadcast domain) est une zone d’un réseau informatique dans laquelle n’importe quel ordinateur connecté à cette zone peut directement transmettre à tous les autres ordinateurs du même domaine, sans passer par un routeur
๏ Tous les périphériques d’un même domaine de diffusion reçoivent les trames de diffusion émis dans ce domaine
๏ Un équipement de couche 3 (Routeurs, Switchs L3, Firewall) définit la limite d’un domaine de diffusion
Domaine de diffusion
3
Thomas Moegli
๏ VLAN : Séparation logique d’un domaine de diffusion en plusieurs domaines ๏ Un paquet broadcast n’est envoyé qu’aux hôtes situés dans le même VLAN
Concept VLAN
4
VLAN 100
VLAN 200
Thomas Moegli
๏ Séparation logique (par département, par emplacement physique, par groupes de travail, …
๏ Segmentation en plusieurs réseaux LAN, réduit ainsi la charge globale
๏ Réduire la charge STP ๏ Augmente la sécurité en séparant certaines sections
contenant des données sensibles des autres sections ๏ Séparation du trafic envoyé par un téléphone IP du trafic
envoyé par un PC connecté à ce téléphone
Avantages VLAN
5
VLAN 2IT
10.0.2.0/24
VLAN 3HR
10.0.3.0/24
VLAN 4Sales
10.0.4.0/24
5ème étage
3ème étage
1er étage
Thomas Moegli
Domaines de diffusion (Broadcast Domain) Fonctionnement sans VLAN
6
Broadcast
S1 S2
PC1172.17.40.21/24
PC2172.17.40.22/24
PC3172.17.40.23/24
PC4172.17.40.24/24
PC5172.17.40.25/24
PC6172.17.40.26/24
Broadcast
Broadcast Broadcast
Broadcast
Broadcast
Thomas Moegli
S1
PC1172.17.40.21/24
PC2172.17.50.22/24
PC3172.17.60.23/24
PC6172.17.40.26/24
PC7172.17.40.27/24
PC4172.17.50.24/24
PC5172.17.50.25/24
PC8172.17.60.28/24
PC9172.17.60.29/24
Broadcast
Broadcast
Broadcast
BroadcastBroadcast
Broadcast
Broadcast
Broadcast
Broadc
ast
S2
Domaines de diffusion (Broadcast Domain) Fonctionnement avec VLAN
7
Thomas Moegli
Data VLAN
๏ VLAN configuré pour transporter les données ๏ Utilisé pour séparer le trafic réseau en groupes d’utilisateurs ou périphériques
Native VLAN
๏ Sera présenté dans la section Trunking
Types de VLAN
8
Thomas Moegli
Management VLAN
๏ VLAN configuré pour accéder à la configuration du switch (Réseau de management)
๏ Recommandé de créer un VLAN de Mgmt accessible uniquement par l’administrateur et sur lequel tous les équipements réseaux seraient connectés
๏ Permet la gestion centralisée de tous les équipements réseaux
๏ Par défaut, il s’agit du VLAN 1 (déconseillé de garder VLAN1)
Types de VLAN
9
Thomas Moegli
Voice VLAN
๏ Réseau séparé pour le trafic VoIP
๏ VoIP requiert ๏ Bande passante minimale pour la qualité de la voix ๏ Transmission prioritaire sur les autres trafics de réseau ๏ Possibilité d’être routé même dans des réseaux
congestionnés
๏ Délai de moins de 150 ms sur le réseau
Types de VLAN
10
PC2
IT (VLAN 20) 172.17.20.25
F0/18
F0/3
F0/3
F0/5F0/1
S1
R1
S3
Port configuré pour supporter trafic VoIP- Le port envoie des trames CDP pour recevoir les informations IP pour le téléphone- Ces trames sont associées au VLAN 120
Switch configuré pour supporter la VoIP- Utilise VLAN 150 pour VoIP- Priorité au traffic Voice
Thomas Moegli
Classic VLAN
๏ Identifiées par un VLAN ID de 1 à 1005 ๏ Identifiant 1 et 1002 à 1005 sont crées automatiquement et ne peuvent pas être supprimés ๏ La configuration est stockée dans un fichier vlan.dat, placé en mémoire Flash
Extended VLAN
๏ Identifiants 1006 à 4094 ๏ ISL utilise un VLAN ID de 10 bits (1024 Vlans).
802.1Q utilise un VLAN ID de 12 bits ( jusqu’à 4096 Vlans) ๏ Ces configurations ne sont pas écrites dans le fichier vlan.dat mais (par défaut) dans le fichier running-config ๏ Supportent moins de fonctionnalités que les VLAN classiques ๏ VTP (sauf VTPv3) ne prend pas en compte les VLAN Extended ๏ Lorsqu’un switch en mode VTP Transparant doit être converti en VTP Server ou VTP Client, les VLANs Extended doivent
être manuellement supprimés
Types de VLAN
11
Thomas Moegli
๏ La portée des VLANs est de 1 à 4094 ๏ VLANs 1 - 1001 : Normal VLAN
๏ VLANs 1002 - 1005 : Réservés pour Token Ring ๏ VLANs 1006 - 4094 : Extended VLAN
Types de VLAN
12
VLANTrunking
Thomas Moegli
๏ Fonctionnalité permettant l’inter-connexion de VLANs à travers plusieurs switchs
VLAN Trunking
14
Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102
Thomas Moegli
๏ Lien Access ๏ Se connectent sur les terminaux (hôtes ou routeurs) ๏ Font partie d’un seul VLAN
VLAN Trunking Types de liens
15
๏ Lien de Trunk ๏ Transporte le trafic de plusieurs VLANs ๏ Lien entre switchs
Lien Trunk
Lien Access
Lien Access
Lien Access
Lien Access
Lien Access
Lien Access
Vlan 100 Vlan 101 Vlan 102 Vlan 100 Vlan 101 Vlan 102
Thomas Moegli
๏ Sur un lien de trunk, le trafic de plusieurs VLAN transite
๏ Pour différencier ces trafics, un tag est ajouté qui identifie le VLAN ๏ Le tag n’est ajouté qu’au début d’un lien de trunk et est retiré avant remise au destinataire
๏ Les tags sont présents uniquement sur des liens de trunking
VLAN Trunking VLAN Tagging
16
Lien Trunk
TAG
Trame
Trame
Trame
Thomas Moegli
๏ Protocoles de trunking : ๏ ISL ๏ IEEE 802.1Q
VLAN Trunking Protocoles
17
VLAN 100
VLAN 200
VLAN 100
VLAN 200
VLAN ID Ethernet Trame
Trunk
Ethernet Trame Ethernet Trame
Thomas Moegli
๏ Protocole propriétaire Cisco (crée avant le standard IEEE 802.1Q) ๏ Ne peut être utilisé qu’entre switchs Cisco
๏ Encapsulation complète de la trame Ethernet ๏ Protocole relativement ancien, n’est pratiquement plus utilisé actuellement
๏ Certains switchs récents Cisco ne supportent plus ISL
VLAN Trunking Protocole ISL : Cisco Inter-Switch Link
18
En-tête ISL
๏ Plusieurs champs dont le champ VLAN pour placer l’ID du VLAN
๏ Addr. Source et Dest sont celles des switchs
DA TYPE USER LEN AAAA03 HSA BPDU
Trame encapsulée
SA40 4 4 48 16 24 24
VLAN15 1
INDEX16
RES16
1 à 24,575 octets
FCS
32bits
En-tête ISL
26 octets
Thomas Moegli
CFI1
Trame encapsulée
42 à 1500
FCS
4
Type / Longueur
2
Tag 802.1QAdresse MAC source
Adresse MAC destinationSFDPréambule
4667 1
Priority3
VLAN ID12
TPID2
octets
[octets]
[bits]
๏ Standard IEEE, protocole le plus répandu
๏ Fonctionne avec Cisco et d’autres marques
๏ N’encapsule pas la trame originale mais insère un en-tête supplémentaire
๏ Conserve les adresses sources et destination originales
๏ Nécessité de recalculer le champ FCS (se base sur la trame entière)
VLAN Trunking Protocole 802.1Q
19
Thomas Moegli
Champs du tag 802.1Q : ๏ TPID : Tag Protocol Identifier
๏ Similaire au code Ethernet qui indique le type de trame ๏ 0x8100 : Code représentant une trame 802.1Q
๏ Priority : utilisé pour la QoS
๏ CFI : Canonical and Format Identifier : n’est plus utile sur les réseaux actuels ๏ Permet d’indiquer s’il s’agit d’un réseau Ethernet ou un réseau Token Ring
VLAN Trunking Protocole 802.1Q
20
CFI1
Trame encapsulée
42 à 1500
FCS
4
Type / Longueur
2
Tag 802.1QAdresse MAC source
Adresse MAC destinationSFDPréambule
4667 1
Priority3
VLAN ID12
TPID2
octets
[octets]
[bits]
Thomas Moegli
VLAN Trunking Protocole 802.1Q
21
Dest. Address Source Address Len. / Type Data FCS
Dest. Address Source Address Len. / Type Data FCS802.1Q Tag
Type(16 bits, 0x8100)
Priority(3 bits)
Flag(1 bit)
VLAN ID(12 bits)
Thomas Moegli
๏ En-tête VLAN ๏ ISL : Trame Ethernet encapsulée avec en-tête et en-queue ๏ 802.1Q : En-tête uniquement
๏ Nombre de VLAN ๏ ISL et 802.1Q : 212 soit 4096 VLAN ๏ VLAN-IDs : 1-1005 (Normal VLAN), 1005 et plus (Extended VLAN)
๏ Instance STP ๏ ISL et 802.1Q : Support d’une instance STP par VLAN
๏ VLAN Natif ๏ 802.1Q définit un VLAN natif pour chaque trunk ๏ ISL n’utilise pas ce concept
VLAN Trunking Comparatif (ISL - 802.1Q)
22
Thomas Moegli
VLAN Trunking Comparatif (ISL - 802.1Q)
23
Fonction ISL 802.1Q Défini par Cisco IEEE
En-tête En-tête + En-queue Encapsulation
En-tête uniquement Pas d’encapsulation
Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui
Plusieurs instances Spanning Tree Oui Oui
Utilisation d’un LAN natif Non Oui
Fonction ISL 802.1Q Défini par Cisco IEEE
En-tête En-tête + En-queue Encapsulation
En-tête uniquement Pas d’encapsulation
Support VLAN 1-1005 (Normal) et 1006-4094 (Etendu) Oui Oui
Plusieurs instances Spanning Tree Oui Oui
Utilisation d’un LAN natif Non Oui
Taille du tag 26 + 4 octets 4 octetsTechnologies Layer 2 Ethernet, Token Ring, FDDI Ethernet
Thomas Moegli
๏ Un VLAN natif est un VLAN sur lequel les switchs n’ajoutent pas de tagging. Autrement dit, les trames circulent sans être modifiées
VLAN Trunking Native VLAN
24
SW1 SW2
TrunkNative VLAN 1
TrameDst MAC
Src MAC
VLAN TagTrameDst
MACSrc
MAC TrameDst MAC
Src MAC
TrameDst MAC
Src MACTrameDst
MACSrc
MAC TrameDst MAC
Src MAC
PC 1VLAN 50
PC 2VLAN 1 (natif)
PC 3VLAN 50
PC 4VLAN 1 (natif)
Thomas Moegli
๏ Chaque switch dispose d’un VLAN natif ๏ Par défaut, il s’agit du VLAN 1 ๏ Spécifié par IEEE 802.1Q pour garder la compatibilité avec des réseaux sans gestion de VLAN
๏ Les paquets du VLAN natif transitent sur les liens de trunk sans tag ๏ Nécessaire que tous les liens de trunk disposent du même numéro VLAN natif ๏ Message d’erreur lorsque des VLANs natifs différents sont configurés sur deux switchs Voisins :
๏ CDP est utilisé pour identifier les incohérences de configuration du VLAN natif sur les switchs voisins.Si CDP est désactivé, l’erreur n’est pas détectée
๏ Best Practice : Configurer un VLAN particulier comme VLAN natif ๏ Eviter de laisser le VLAN 1 être VLAN natif ๏ Configuration nécessaire sur tous les switchs ๏ Si possible, éviter d’utiliser le VLAN natif
VLAN Trunking Native VLAN
25
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/1 (2), with D-R3550-9B GigabitEthernet0/1 (1)
Thomas Moegli
Ne pas confondre VLAN natif et VLAN par défaut
๏ Le VLAN natif est un VLAN particulier sur lequel aucun tag n’est placé dans les trames qui circulent sur le lien de trunk
๏ Pour les switchs Cisco, le VLAN natif est 1
๏ Le VLAN par défaut est un VLAN configuré sur tout switch Cisco ๏ Pour les switchs Cisco, le VLAN par défaut est également 1 (ne peut être modifié)
VLAN Trunking Native VLAN et VLAN par défaut
26
VLANRoutage Inter-VLAN
Thomas Moegli
๏ Les hôtes d’un même VLAN sont sur le même sous-réseau
๏ Communication directe entre hôtes
๏ Les hôtes de VLANs différents sont sur des sous-réseaux différents
๏ Nécessite l’utilisation d’un routeur ou équipement de couche 3 pour la communication Inter-VLAN
Routage entre VLAN
28
VLAN 10Management
VLAN 11Wireless
VLAN 12Clients
VLAN 10Management
VLAN 11Wireless
VLAN 12Clients
SW1 SW2
Thomas Moegli
Séparation physique sur routeur
Utilisation de Switchs Layer 3 et SVI (Switch Virtual Interface)
Routage entre VLAN
29
VLAN 10Management
VLAN 11Wireless
VLAN 10Management
VLAN 11Wireless
Utilisation de sous-interfaces (Sub-Interfaces) : Router to a Stick
VLAN 10Management
VLAN 11Wireless
SVI 10 : 10.10.1.254SVI 11 : 10.10.2.254
Thomas Moegli
๏ Nécessite un routeur muni d’autant d’interfaces physiques que de VLANs à connecter
๏ Chaque VLAN dispose d’une connexion physique sur le routeur
๏ Attention aux boucles de routage ! Un routeur ne doit disposer que d’une interface sur un VLAN
๏ Le lien entre le routeur et le VLAN est un lien d’accès
Routage entre VLAN Routage via interfaces physiquement séparés
30
SW1
Fa0/
0 Fa0/1
Fa0/40Fa0/
20
Fa0/19
Fa0/18
Fa0/39
Fa0/38
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
.1.254
R1 : 10.10.10.1
R1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20
R1 : 10.20.20.254
Thomas Moegli
SW1
Fa0/0
Fa0/2
0
Fa0/1
9
Fa0/1
8
Fa0/3
9
Fa0/3
8
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
R1 : 10.10.10.1
R1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39
Interfaces sur VLAN 11 : Fa0/18, Fa0/19
R1 : 10.20.20.254Lien de TrunkVLANs autorisés : 10,11
๏ Au sein d’une interface physique, définition de plusieurs interfaces logiques
๏ Chaque interface logique est associée à un VLAN particulier
๏ L’interface physique ne reçoit pas d’adresse IP, ce sont les adresses logiques qui sont configurées avec une adresse
๏ Pas de limite sur le nombre d’interfaces logiques par interface physique
๏ Le lien entre le routeur et le switch est un lien de trunk sur lequel les VLANs devant être interconnectées sont autorisées
๏ Le numéro de la sous-interface ne doit pas forcément correspondre au numéro du VLAN
Routage entre VLAN Routage via sous-interfaces
31
R1
VLAN 10Serveurs
VLAN 20Management
VLAN 30Clients
VLAN 40Wireless
Fa0/0.10
Fa0/0.20
Fa0/0.21
Fa0/0.40
Fa0/0
Thomas Moegli
๏ Un switch Layer 3 propose également des fonctions de routage inter-VLAN
๏ Définition d’interfaces virtuelles (SVI : Switched Virtual Interface) au sein du switch
๏ Ces interfaces disposent d’adresses IP
๏ Méthode la plus couramment utilisée, la plupart des switchs actuels disposent de fonctions de couche 3
๏ Nécessaire d’activer la fonctionnalité de routage au sein du switch
Routage entre VLAN Routage par Switch Multilayer
32
SW1
Fa0/19
Fa0/18
Fa0/39
Fa0/38
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
SW1 : 10.10.10.1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39Interfaces sur VLAN 11 : Fa0/18, Fa0/19
SW1 : 10.20.20.254
Voice VLAN
Thomas Moegli
๏ La plupart des switchs Cisco permettent de mettre en oeuvre un réseau VoIP sur un réseau physique existant
๏ Séparation logique du réseau VoIP et du réseau de données
๏ Les téléphones peuvent être placés dans un Voice VLAN spécifique (VVID) avec la mise en oeuvre de politiques QoS particulières.
๏ L’administrateur n’a qu’à simplement brancher le téléphone sur le port configuré avec Voice VLAN
๏ Le téléphone est reconnu par le switch en échangeant des messages CDP
๏ Le téléphone obtient du switch via CDP les informations du VLAN Voice ainsi que toutes les informations pour contacter un serveur VoIP
Voice VLAN
34
VoiceVLAN 20
DataVLAN 10
VoiceVLAN 20
DataVLAN 10
VoiceVLAN 20
DataVLAN 10
VoiceVLAN 20
DataVLAN 10
Thomas Moegli
๏ Un switch compatible Voice VLAN offre la possibilité de configurer un port d’accès pour plusieurs VLANs ๏ Le téléphone fait office de « mini-switch » et gère le VLAN Voice et le VLAN de données
๏ Les ports qui doivent se connecter à un téléphone IP doivent être configurés en mode d’accès et supporter deux VLAN ๏ Un VLAN natif qui est utilisé par le PC pour le trafic de données ๏ Un VLAN Voice pour le téléphone
๏ Durant le processus d’échange CDP initial entre le switch et le téléphone, ce dernier est configuré avec le VVID ๏ Le port est également configuré avec des paramètres QoS pour la voix
๏ Les paquets qui transitent entre le switch et le PC sont placés dans le VLAN natif ๏ Le switch envoie les paquets du VLAN de données non taggés sur le port d’accès
๏ Les paquets Voice qui transitent entre le switch et le téléphone sont taggés
Voice VLAN Fonctionnement
35
Encapsulation 802.1QVLAN natif
Pas de configuration
nécessaire sur le PC
Voice VLAN = 20 Data VLAN = 10
Thomas Moegli
๏ Configuration d’une interface pour supporter un VLAN Voice et un VLAN Data :
Voice VLAN Configuration
36
Voice VLAN = 20
Data VLAN = 10
Fa0/1
Switch(config-if)# interface FastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# switchport voice vlan 20
Thomas Moegli
๏ Vérification que le port est connecté au VLAN Voice et VLAN Data :
Voice VLAN Vérification
37
Voice VLAN = 20
Data VLAN = 10
Fa0/1
Switch# show vlan
VLAN Name Status Ports ---- -------------------------------- --------- ----------------- 1 default active Fa0/6,Fa0/7,Fa0/8, Fa0/9,Fa0/10 10 VLANDATA10 active Fa0/1 20 VLANVOICE20 active Fa0/1 <... output omitted ...>
Configuration VLAN
Thomas Moegli
๏ Création d’un VLAN :
๏ Assignation d’un port à un VLAN particulier :
Configuration VLAN Création et assignation d’un VLAN
39
SW1(config)# vlan id-vlanSW1(config-vlan)# name nom-vlanSW1(config-vlan)# exit
SW1(config)# interface interface-type interface-idSW1(config-if)# switchport mode accessSW1(config-if)# switch port access vlan vlan-id
SW1(config)# interface range interface-type interface-id-debut - interface-id-finSW1(config-if-range)# switchport mode accessSW1(config-if-range)# switch port access vlan vlan-id
Thomas Moegli
๏ La suppression d’un VLAN se fait par la négation de la commande de création d’un VLAN :
๏ Attention aux ports attribués aux VLANs ! ๏ Lors de la suppression d’un VLAN, les ports rattachés à ce dernier ne sont pas mis dans le VLAN 1 ๏ Ils n’appartiennent à aucun VLAN et ne sont plus opérationnels ๏ Il est recommandé, avant suppression d’un VLAN, de rattacher les ports au VLAN par défaut
Configuration VLAN Suppression d’un VLAN
40
SW1(config)# no vlan id-vlan
SW1(config)# no vlan id-vlanSW1# show vlanVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5 10 Bob-vlan active Fa0/11, Fa0/12 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 …
SW1# show vlanVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 …
SW1(config)# no vlan 10
Fa0/11, Fa0/12 ????
Thomas Moegli
Configuration VLAN Exemple
41
! Création VLAN 20 SW1(config)# vlan 20SW1(config-vlan)# name Freds-vlan
SW1(config)# interface range FastEthernet 0/13 – 14 SW1(config-if)# switchport access vlan 20 SW1(config-if)# exit
! Création VLAN 10 SW1(config)# vlan 10SW1(config-vlan)# name Bob-vlan
SW1(config)# interface range FastEthernet 0/11 – 12 SW1(config-if)# switchport access vlan 10 SW1(config-if)# exit
! Création VLAN 30 SW1(config)# vlan 30SW1(config-vlan)# name Alice-vlan
SW1(config-if)# interface range FastEthernet 0/15 – 16 SW1(config-if)# switchport access vlan 30 SW1(config-if)# exit
Fa0/15
Fa0/16
Fa0/11
Fa0/12
Fa0/13
Fa0/14
VLAN 3
VLAN 1
VLAN 2
SW1
VLAN 30
VLAN 20
VLAN 10
Thomas Moegli
2 méthodes de configurer VLANs ๏ Méthode légale avec VLAN Database (déconseillé) :
๏ Méthode moderne :
Configuration VLAN Méthodes
42
SW1# vlan databaseSW1(vlan-database)# vlan vlan-idSW1(vlan-database)# end
SW1(config)# vlan vlan-idSW1(config-vlan)# name vlan-name
Thomas Moegli
Configuration VLAN Commandes de vérification
43
CommandeSwitch# show vlan Affiche les VLANs configurés ainsi que l’assignation des portsSwitch# show interfaces trunk Affiche les interfaces configurés en mode trunk ainsi que les VLANs autorisés sur ces liensSwitch# show interface interface-id switchport Affiche des informations détaillées sur l’interface
Thomas Moegli
๏ Commande show vlan brief
Commandes de vérification
Vérification : show vlan brief
44
SW1# show vlan briefVLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Bob-vlan active Fa0/11, Fa0/12 20 Freds-vlan active Fa0/13, Fa0/14 30 Alice-vlan active Fa0/15, Fa0/16 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
Thomas Moegli
Etapes ๏ Configuration d’un lien de trunk
๏ Configuration du lien comme trunk ๏ Définition du protocole de trunk ๏ Autorisation de VLAN spécifiques à transiter sur ce lien de trunk
Configuration VLAN Trunking
45
SW1(config)# interface interface-type interface-idSW1(config-if)# switchport mode trunkSW1(config-if)# switchport trunk encapsulation [dot1q | isl] SW1(config-if)# switchport trunk allowed vlan vlan-id, vlan-id, …
Thomas Moegli
SW1(config)# interface Fa0/1SW1(config-if)# switchport mode trunkSW1(config-if)# switchport trunk encapsulation dot1q SW1(config-if)# switchport trunk allowed vlan 10, 11, 12
Configuration VLAN Trunking : Exemple
46
SW1 SW2
Fa0/1Fa0/1
VLAN 10Management
VLAN 11Wireless
VLAN 12Clients
Fa0/10
Fa0/11
Fa0/12
VLAN 10Management
VLAN 11Wireless
VLAN 12Clients
Fa0/10
Fa0/11
Fa0/12
SW2(config)# interface Fa0/1SW2(config-if)# switchport mode trunkSW2(config-if)# switchport trunk encapsulation dot1q SW2(config-if)# switchport trunk allowed vlan 10, 11, 12
Thomas Moegli
๏ Par défaut, les liens de trunk autorisent le passage de tous les VLANs (1 à 4094)
๏ Il est possible de restreindre le trafic à certains VLANs uniquement via la commande :
๏ Lors de l’ajout de VLANs, spécifier le mot-clé add pour ajouter le VLANs à la liste :
๏ L’omission du mot-clé add remplace la liste précédente par les nouveaux VLANs indiqués :
Configuration VLAN Trunking : Autorisation de VLANs
47
Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, vlan-id3, …
Switch(config-if)# switchport trunk allowed vlan add vlan-id4, vlan-id5, vlan-id6, …
SW1(config-if)# switchport trunk allowed vlan 10,11,12
SW1(config-if)# switchport trunk allowed vlan 66
TrunkFa0/10 Fa0/10
VLAN 10VLAN 11
VLAN 12
TrunkFa0/10 Fa0/10
VLAN 66
Thomas Moegli
Autres commandes d’autorisation de VLAN
๏ Définition de la liste :
๏ Ajout d’un VLAN dans la liste :
๏ Suppression d’un VLAN dans la liste :
๏ Ajouter tous les VLANs :
๏ Exclure un ou des VLANs de l’ensemble :
Configuration VLAN Trunking : Autorisation de VLANs
48
Switch(config-if)# switchport trunk allowed vlan 10, 20, 30
Switch(config-if)# switchport trunk allowed vlan add 40
Switch(config-if)# switchport trunk allowed vlan delete 10
Switch(config-if)# switchport trunk allowed vlan all
Switch(config-if)# switchport trunk allowed vlan except 60
10, 20, 30
10, 20, 30, 40
10, 20, 30, 40
1-65535
1-59, 61-65535
Thomas Moegli
๏ Afficher les interfaces configurés comme liens de trunk :
๏ Indique le VLAN natif ๏ Indique le protocole utilisé sur le lien de trunk ๏ Indique les VLANs autorisés sur le lien
Configuration VLAN Trunking : Vérification
49
Switch# show interfaces trunk
Switch# show interfaces trunk
Port Mode Encapsulation Status Native vlan Et0/0 on 802.1q trunking 1 Et0/1 on 802.1q trunking 1
Port Vlans allowed on trunk Et0/0 1-4094 Et0/1 1-4094
Port Vlans allowed and active in management domain Et0/0 1 Et0/1 1
Port Vlans in spanning tree forwarding state and not pruned Et0/0 1 Et0/1 1
Thomas Moegli
๏ Protocole réseau propriétaire de Cisco
๏ Permet de gérer dynamiquement l’activation ou la désactivation du mode trunk sur un port d’un switch ๏ Configuration d’un mode sur le port et échange de messages DTP (en fonction du mode) pour négocier
l’établissement ou non d’un lien de trunk ๏ Modes disponibles :
๏ Dynamic Desirable : Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk ๏ Dynamic Auto : Réception de messages DTP et configuration du port en fonction du message DTP reçu du voisin ๏ Trunk : Port configuré en mode Trunk. Envoi de messages DTP pour demander la mise en oeuvre d’un lien de trunk
๏ L’état Trunk s’effectue en configurant l’interface avec la commande :
๏ Access : Port configuré en mode Access. Envoi de messages DTP pour demander la mise en oeuvre d’un lien d’accès ๏ L’état Access s’effectue en configurant l’interface avec la commande :
๏ Nonegotiate : Désactivation de l’envoi/réception de messages DTP sur le port ๏ L’état nonegotiate s’effectue en configurant l’interface avec la commande :
๏ Il est toutefois recommandé de configurer manuellement le port comme port Trunk ou port Access
Configuration VLAN DTP : Dynamic Trunk Protocol
50
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport mode access
Switch(config-if)# switchport no negotiate
Thomas Moegli
Configuration VLAN Modes Switchport
51
SW1
SW2
Mode Switchport choisi sur l’interface de SW2Dynamic Auto Dynamic Desirable Trunk Access
Dynamic Auto
Configuration incohérence Trunk Trunk Access
Dynamic Desirable Trunk Trunk Trunk Access
Trunk Trunk Trunk Trunk Configuration incohérence
Access Access Access Configuration incohérence Access
Mod
e Sw
itchp
ort c
hois
i sur
l’in
terfa
ce
de S
W1
Thomas Moegli
๏ Pour vérifier le status d’un port :
๏ Permet de déterminer quel mode DTP est configuré sur le switch ๏ Permet de déterminer quel mode DTP est actuellement
opérationnel (Trunk ou Access) ๏ Indique le VLAN natif
Configuration VLAN DTP : Vérification
52
Switch# show interfaces interface-id switchport
SW1# show interfaces Ethernet0/1 switchport Name: Et0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled
Thomas Moegli
Etapes ๏ Sur le routeur, configuration de l’interface avec une adresse IP appartenant au VLAN :
๏ Sur le switch, configuration de l’interface liée au routeur ๏ Configuration du lien comme lien d’accès :
๏ Configuration du lien sur un VLAN particulier :
Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées
53
Router(config)# interface interface-idRouter(config-if)# ip address ip-address subnet-mask
Switch(config-if)# switchport access vlan-id
Switch(config)# interface interface-idSwitch(config-if)# switchport mode access
Thomas Moegli
Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées
54
SW1
Fa0/
0 Fa0/1
Fa0/40Fa0/
20
Fa0/19
Fa0/18
Fa0/39
Fa0/38
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
.1.254
R1 : 10.10.10.1
R1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20
R1 : 10.20.20.254
R1(config)# interface Fa0/0 R1(config-if)# ip address 10.20.20.254 255.255.255.0 R1(config-if)# no shutdown
R1(config)# interface Fa0/1 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config-if)# no shutdown
SW1(config)# interface range Fa0/18 - 20SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10
SW1(config)# interface range Fa0/38 - 40SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11
Thomas Moegli
Etapes ๏ Sur le routeur, suppression de l’adresse IP de l’interface physique :
๏ Sur le routeur, configuration d’une interface logique : ๏ Assignation de l’interface sur un VLAN particulier :
๏ Configuration de l’adresse IP :
๏ Sur le switch, configuration du lien vers le routeur comme lien de trunk ๏ Configuration du mode :
๏ Autorisation des VLANs :
Configuration VLAN Routage Inter-VLAN : Interfaces physiques séparées
55
Router(config)# interface interface-idRouter(config-if)# no ip address
Router(config)# interface interface-id.subinterface-idRouter(config-sub-if)# encapsulation dot1q vlan-id
Router(config-sub-if)# ip address ip-address subnet-mask
Switch(config)# interface interface-id Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan vlan-id1, vlan-id2, …
Thomas Moegli
Configuration VLAN Routage Inter-VLAN : Router-to-a-Stick
56
SW1Fa0/0
Fa0/20
Fa0/19
Fa0/18
Fa0/39
Fa0/38
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
R1 : 10.10.10.1
R1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39, Fa0/40Interfaces sur VLAN 11 : Fa0/18, Fa0/19, Fa0/20
R1 : 10.20.20.254
R1(config)# interface Fa0/0R1(config-if)# no ip address R1(config-if)# no shutdown R1(config)# interface Fa0/0.10R1(config-if)# encapsulation dot1q 10 R1(config-if)# ip address 10.10.10.1 255.255.255.0 R1(config)# interface Fa0/0.11R1(config-if)# encapsulation dot1q 11 R1(config-if)# ip address 10.20.20.254 255.255.255.0
SW1(config)# interface range Fa0/18 - 19 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10
SW1(config)# interface range Fa0/38 - 39 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11
SW1(config)# interface Fa0/20SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk allowed vlan 10,11
Thomas Moegli
Configuration VLAN Routage Inter-VLAN : Switch Multilayer
57
SW1
Fa0/19
Fa0/18
Fa0/39
Fa0/38
VLAN 10Management10.10.10.0/24
VLAN 11Wireless
10.20.20.0/24
.100
.101
.200
.201
SW1 : 10.10.10.1
Interfaces sur VLAN 10 : Fa0/38, Fa0/39Interfaces sur VLAN 11 : Fa0/18, Fa0/19
SW1 : 10.20.20.254
SW1(config)# interface range Fa0/18 - 19SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10
SW1(config)# interface range Fa0/38 - 39SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 11
SW1(config)# interface Vlan10SW1(config-if)# ip address 10.10.10.1 SW1(config-if)# no shutdown
SW1(config)# interface Vlan11SW1(config-if)# ip address 10.20.20.254 SW1(config-if)# no shutdown
SW1(config)# ip routing
Thomas Moegli
๏ Configuration d’une interface comme interface Layer 3
Configuration VLAN Routage Inter-VLAN : Switch Multilayer
58
SW1
Fa0/0
Fa0/19
Fa0/18
Fa0/39
Fa0/38
.100
.101
.200
.201
R1
Fa0/4
7
Fa0/1
10.99
.0.0/2
4
.253
.254
192.168.0.0/24.254
SW1(config)# interface Fa0/47SW1(config-if)# no switchport SW1(config-if)# ip address 10.99.0.253 255.255.255.0 SW1(config-if)# no shutdown
๏ Les interfaces Layer 3 de switchs peuvent également être configurés avec un protocole de routage
SW1(config)# router ripSW1(config-router)# version 2 SW1(config-router)# network 10.0.0.0
Thomas Moegli
๏ Par défaut, tous les ports d’un switch Multilayer sont des ports de couche 2 ๏ Ils ne comprennent pas l’adressage IP et transmettent les trames par identification de l’adresse MAC ๏ Pour changer le port Layer 2 à un port Layer 3, il est nécessaire d’utiliser la commande no switchport
Configuration VLAN Routage Inter-VLAN : Switch Multilayer
59
no switchport
Thomas Moegli
Configuration VLAN Configuration Voice VLAN
60
1 2ABC
3DEF
4 5JKL
6MNOGHI
7 8TUV
9WXYZPQRS
* 0OPER
#
?
+-
CISCO IP PHONE7970 SERIES
1 2ABC
3DEF
4 5JKL
6MNOGHI
7 8TUV
9WXYZPQRS
* 0OPER
#
?
+-
CISCO IP PHONE7970 SERIES
1 2ABC
3DEF
4 5JKL
6MNOGHI
7 8TUV
9WXYZPQRS
* 0OPER
#
?
+-
CISCO IP PHONE7970 SERIES
Fa0/20
Fa0/21
Fa0/22
VLAN 20Voice
VLAN 30DataSW1(config)# vlan 20
SW1(config-vlan)# name Voice SW1(config)# vlan 30SW1(config-vlan)# name Data
SW1(config)# interface range FastEthernet 0/20-22 SW1(config-if-range)# switchport mode accessSW1(config-if-range)# switchport access 30SW1(config-if-range)# switchport voice 20
Thomas Moegli
๏ Cisco IOS enregistre les informations VLAN dans un fichier vlan.dat dans la mémoire Flash
๏ Sauvegarde automatique des informations de VLAN (pas nécessaire de copier running-config dans la Flash)
๏ Pour réinitialiser un switch à ses paramètres d’usine ๏ Réinitialiser sa configuration via la commande : ๏ Effacer le fichier des VLANS via la commande :
Fichier de configuration VLAN
61
Switch# write erase
Switch# delete flash:vlan.dat
VLAN Trunking Protocol
Thomas Moegli
๏ Lors de la gestion d’un environnement réseau complexe, l’ajout d’un VLAN peut être fastidieux
๏ Il est nécessaire de créer le VLAN sur l’ensemble des switchs
๏ Lors de suppression ou ajout réguliers de VLANs, il est également difficile de garder une cohérence sur l’ensemble des switchs
๏ Certains switchs oubliés par l’administrateur conservent ainsi une configuration VLAN qui n’est plus adapté
๏ Solution : Protocole VTP ๏ Permet de synchronisation et utiliser une
configuration VLAN pour l’ensemble des switchs ๏ La création/suppression de VLANs est ensuite
répercutée dynamiquement sur tous les switchs
VLAN Trunking Protocol
63
Je crée un nouveau VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Configuration manuelle du VLAN 100
Thomas Moegli
๏ Utilisé pour partager la configuration VLAN sur plusieurs switchs
๏ Messages VTP entre switchs pour synchroniser leurs configuration
๏ On configure un domaine VTP et tous les switchs doivent être membres de ce domaine
๏ Maintient une structure cohérente sur l’ensemble du réseau
๏ Protocole propriétaire Cisco
VLAN Trunking Protocol
64
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
VLANS10, 20, 30
Thomas Moegli
๏ VTP requiert que les switchs doivent : ๏ Etre configurés dans le même domaine VTP ๏ Etre connectés entre eux via des liens de trunks ๏ Etre configurés avec le même mot de passe VTP ๏ Sur un lien de trunk, les switchs connectés entre eux doivent communiquer en utilisant la même version de VTP
๏ Il n’est pas nécessaire (mais fortement recommandé) que l’ensemble du domaine VTP utilise la même version de VTP
VLAN Trunking Protocol Caractéristiques
65
Thomas Moegli
๏ Un switch peut être configuré selon 3 modes différents :
VLAN Trunking Protocol Modes VTP
66
Server Mode Client Mode Transparent Mode
๏ Mode par défaut ๏ Permet de créer, modifier et
supprimer des VLANs ๏ Permet la synchronisation de
configuration VLANs ๏ Envoi d’annonces VTP aux autres
switch ๏ Sauvegarde de la configuration
dans la NVRAM
๏ Ne permet pas la création, modification et suppression de VLANs
๏ Se synchronise avec les autres configurations VLANs
๏ Transfère les annonces VTP aux autres switch et peut en générer
๏ Ne sauvegarde pas sa configuration VLAN.Au démarrage, se synchronise avec le serveur
๏ Permet la création, modification et suppression de VLANs
๏ Ne se synchronise avec les autres switch
๏ Transfère les annonces VTP aux autres switch mais n’en génère pas
๏ Sauvegarde de la configuration dans la NVRAM
๏ Certains switchs disposent d’un mode Off fonctionnant comme le mode transparent mais ne transfère pas les messages VTP
Thomas Moegli
Etapes ๏ Configuration du lien de trunk ๏ Configuration VTP :
๏ Mode VTP ๏ Domaine VTP ๏ (Optionnel) Définition d’un mot de passe VTP ๏ (Optionnel) Définition de la version VTP
๏ Vérification
๏ Tous les liens doivent être configurés comme liens de trunk
๏ Les messages VTP transitent uniquement sur des liens FastEthernet ou à débit plus élevé
VLAN Trunking Protocol Configuration
67
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
Thomas Moegli
VLAN Trunking Protocol Configuration
68
SW1(config)# interface FastEthernet 0/3SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk encapsulation dot1q
SW2(config)# interface range FastEthernet 0/1 - 2SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# switchport trunk encapsulation dot1q
SW3(config)# interface FastEthernet 0/0SW3(config-if)# switchport mode trunk SW3(config-if)# switchport trunk encapsulation dot1q
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
Thomas Moegli
VLAN Trunking Protocol Configuration
69
SW1(config)# vtp domain MYDOMAINSW1(config)# vtp password cisco123 SW1(config)# vtp version 2 SW1(config)# vtp mode server
SW2(config)# vtp domain MYDOMAINSW2(config)# vtp password cisco123 SW2(config)# vtp version 2 SW2(config)# vtp mode client
SW3(config)# vtp domain MYDOMAINSW3(config)# vtp password cisco123 SW3(config)# vtp version 2 SW3(config)# vtp mode transparent
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
๏ Le nom de domaine doit correspondre sur tous les switchs VTP et est Case Sensitive ๏ Le mot de passe VTP et la version doivent correspondre ๏ VTP, une fois activé, fonctionne avec la version 1
Thomas Moegli
VLAN Trunking Protocol Configuration
70
SW1(config)# vlan 10SW1(config-vlan)# name VLAN10 SW1(config)# vlan 20 SW1(config-vlan)# name VLAN20 SW1(config)# vlan 30 SW1(config-vlan)# name VLAN30
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
SW3(config)# vlan 100SW3(config-vlan)# name VLAN100 SW3(config)# vlan 200 SW3(config-vlan)# name VLAN200 SW3(config)# vlan 300 SW3(config-vlan)# name VLAN300
Thomas Moegli
๏ Le numéro de révision VTP permet d’identifier les informations de configuration les plus récentes
๏ Au départ, les messages VTP comment toujours avec le numéro de révision 0 ๏ Lors de changements de configuration VLAN sur un switch VTP Server, le numéro de révision est incrémenté avant que les
messages soient envoyés
๏ Tous les switchs VTP Clients et VTP Server doivent disposer de la configuration la plus récente ๏ C’est le switch ayant le numéro de révision le plus élevé qui sert de configuration maître ๏ Les switchs ayant un numéro de version plus ancien récupèrent la configuration maître pour l’appliquer via les messages VTP qui
contiennent le numéro de révision
๏ Attention lors de l’ajout d’un switch à une topologie réseau ๏ Par défaut, le switch dispose d’une configuration VTP Server ๏ Vérifier, avant configuration VTP, que le nouveau switch dispose d’un numéro de révision inférieur aux switchs de référence. ๏ Dans le cas contraire, le nouveau switch risque de propager sa configuration sur l’ensemble des autres switchs de la
topologie réseau ๏ Risque de suppression des VLANs sur les autres switchs
VLAN Trunking Protocol Numéro de révision VTP
71
Thomas Moegli
Changer le numéro de révision ๏ Supprimer le fichier Vlan.dat de la
mémoire Flash ๏ Changer le mode VTP du switch à
transparent et changer ensuite à nouveau sur Server ou Client
๏ Le numéro de version est réinitialisé à 0
๏ Changer le domaine VTP sur un nom de test (Domaine VTP non existant) puis remettre le nom de domaine VTP réel
๏ Vérifier le numéro de révision avec la commande :
VLAN Trunking Protocol Numéro de révision VTP
72
SW1# show flash: Directory of flash:/ 1 -rw- 3058048 <no date> c2950-i6q4l2-mz.121-22.EA4.bin 3 -rw- 556 <no date> vlan.dat
SW1# delete vlan.dat Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm]
SW1# reload
SW1# show vtp status
Thomas Moegli
๏ VTP existe en 3 versions (v1, v2, v3) ๏ Pour afficher les versions supportées par le switch :
Switch# show vtp status ๏ Indiqué sur la ligne VTP Version capable ๏ Un switch tournant sur la version 1 mais où figure la
mention « Version 2 Capable » va automatiquement migrer sur la version 2 s’il détecte qu’il est connecté à un voisin v2
VLAN Trunking Protocol Versions VTP
73
SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server
Thomas Moegli
๏ Un switch VTP v1 (v2 Capable) migre automatiquement sur VTP v2 si : ๏ Il détecte qu’il est connecté à un voisin v2 ๏ Il détecte qu’il est connecté à un voisin v3 ! Attention, il ne migre pas sur la v3 !!
๏ Un switch VTP v1 ou v2 (v3 Capable) migre uniquement sur VTP v2 de manière automatique ๏ Toute utilisation de VTP v3 doit être configurée manuellement (même si le switch détecte un voisin v3 directement connecté) ๏ VTPv3 est rétro-compatible avec VTPv2
VLAN Trunking Protocol Compatibilité : Versions VTP
74
Thomas Moegli
VLAN Trunking Protocol Versions VTP
75
VTP Version 1 VTP Version 2
Ne supporte qu’un seul domaine VTP Support de domaines VTP multiples
Vérifie le nom de domaine VTPSi correspondance, fait suivre les messages VTP
Pas de vérification du nom de domaine VTP pour l’envoi ou le transfert de messages VTP
Plus de vérifications de consistence (En-tête plus importante) Vérifie la consistance lors d’ajout de nouvelles informations
Pas de support de VLAN Token-Ring Support de VLANs Token-Ring
Thomas Moegli
VLAN Trunking Protocol VTP v3
76
VTP Version 1/2 VTP Version 3
Synchronisation d’une seule base de données VTP Synchronise les VLANs, les informations 802.1s MST et Private VLAN
Mot de passe stocké en clair Mot de passe stocké en clair ou hachage
VLANs étendus (1006 - 4094) supportés uniquement en VTP Transparent
VLANs étendus complètement supportés dans VTPv3 (Création sur VTP Primary Server et synchronisation)
Modes VTP :Server, Client, Transparent
Modes VTP :Primary server, Secondary Server, Client, Transparent, Off
Sur VTPv2, le changement du nom de domaine VTP pouvait être effectuée automatiquement dès réception d’un
message VTP
Sur VTPv3, le changement de nom de domaine VTP doit être effectué manuellement
Mises à jour de VTP basés sur le numéro de révision (numéro le plus haut) Mises à jour de VTP seulement si annoncés du Primary Server
Thomas Moegli
VLAN Trunking Protocol VTP v3 : Modes
77
Mode VTP v3 Transfert des messages ? Configuration ? Sauvegarde en mémoire ?
PRIMARY SRV Oui Oui Oui
SECONDARY SRV Oui Non Oui
CLIENT Oui Non Non
TRANSPARENT Oui Oui Oui
OFF Non Oui Oui
Thomas Moegli
๏ Secondary Server (mode par défaut) ๏ Similaire au mode VTP Client : ne permet pas l’ajout/suppression de VLANs ๏ N’est pas autorisé à mettre à jour la base de données VLAN des autres switchs
๏ Primary Server ๏ Un seul Primary Server par domaine VTPv3 ๏ Seul le Primary Server est autorisé à mettre à jour la base de données VLANs sur les autres switchs ๏ Seul le Primary Server est autorisé à ajouter ou supprimer des VLANs
VLAN Trunking Protocol VTP v3 : Modes
78
Thomas Moegli
Etapes ๏ Configuration de liens comme trunk ๏ Configuration du domaine VTPv3
๏ Configuration de la version v3 de VTP ๏ Election d’un switch comme VTP Primary Server ๏ (Opt.) Configuration du mot de passe
๏ Configuration d’un mot de passe caché (hachage)
VLAN Trunking Protocol VTP v3 : Configuration
79
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
Thomas Moegli
VLAN Trunking Protocol VTP v3 : Configuration
80
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp version 3
SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 ! Mot de passe en clair SW2(config)# vtp version 3
SW1# show vtp password VTP Password: cisco123
Thomas Moegli
VLAN Trunking Protocol VTP v3 : Configuration
81
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password cisco123 hidden ! Mot de passe chiffré SW1(config)# vtp version 3
SW2(config)# vtp domain MYDOMAIN SW2(config)# vtp password cisco123 hidden ! Mot de passe en clair SW2(config)# vtp version 3
SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A
Thomas Moegli
VLAN Trunking Protocol VTP v3 : Configuration
82
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
SW1(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW1(config)# vtp version 3
SW2(config)# vtp domain MYDOMAIN SW1(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret SW2(config)# vtp version 3
SW1# show vtp password VTP Password: D09CEE53D89CFC68C33886FCF64BDC1A
Thomas Moegli
๏ Définition d’un mot de passe classique : ou :
๏ Définition d’un mot de passe haché :
๏ Définition d’une empreinte (mdp déjà haché) :
VLAN Trunking Protocol VTP v3 : Configuration
83
Switch(config)# vtp password cisco123
Switch# vtp password cisco123
Switch(config)# vtp password cisco123 hidden
Switch(config)# vtp password D09CEE53D89CFC68C33886FCF64BDC1A secret
32 caractères hexadécimaux requis
Thomas Moegli
Création de Vlans sur le serveur primaire ๏ Configurer SW1 comme serveur primaire
๏ La configuration VLAN VTP ne permet pas la création de VLAN tant que le périphérique n’est pas le serveur primaire
VLAN Trunking Protocol VTP v3 : Configuration
84
Fa0/3
Fa0/2
Fa0/1
Fa0/0
SW1
SW2
SW3
Mode VTP : Server
Mode VTP : Client
Mode VTP : Transparant
SW1(config)# vtp primary vlan This system is becoming primary server for feature vlan Enter VTP Password: SW1(config)# vlan 10,20,30,40
SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Disabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00 Feature VLAN: ——————————————- VTP Operating Mode : Primary Server
Thomas Moegli
VLAN Trunking Protocol Commandes de vérification
85
Commande Description
show vtp password Affiche le mot de passe configuré pour VTP
show vtp status Affiche les informations détaillées sur VTP (numéro de révision, version VTP, mode d’opération, etc…
show vlan brief Afficher les VLANs actuellement configurés sur le switch
Thomas Moegli
๏ Technique permettant une meilleure bande passante en limitant la portée du trafic des VLANs ๏ Exemple : Si la station A d’un VLAN particulier envoie une requête de diffusion, la diffusion ne sera pas transmis aux switchs
dont aucune station de ce VLAN n’est connectée
VLAN Trunking Protocol VTP Pruning
86
VLAN 60 VLAN 60
Sans Pruning Avec Pruning
Thomas Moegli
๏ Activation du VTP Pruning sur l’ensemble du domaine ๏ A activer sur le switch VTP Server
๏ VLAN 1 ne peut pas être en Pruning parce qu’il s’agit d’un VLAN Management ๏ Les VLANs 1002 à 1005 (Token Ring / FDDI) ne peuvent être restreints
VLAN Trunking Protocol Configuration VTP Pruning
87
SW1# show vtp status VTP Version capable : 1 to 3 VTP Version running : 3 VTP Domain Name : MYDOMAIN VTP Pruning Mode : Enabled VTP Traps Generation : Disabled Device ID : 0022.be79.2e00
SW1(config)# vtp pruning
VLAN 60
Thomas Moegli
๏ Pour un VLAN qui n’est pas actif (aucun Access Port associé à ce VLAN), tous les liens de trunk vont restreindre ce VLAN (Prune VLAN)
๏ Dès que le VLAN est activé (un Access Port est associé à ce VLAN) : ๏ Un message Triggered Join est envoyé sur :
๏ Les ports STP Root (lorsqu’il s’agit d’un Switch non STP Root Bridge) ๏ Les ports STP Designated (lorsqu’il s’agit du switch STP Root Bridge)
๏ Le VLAN n’est plus restreint seulement si : ๏ Un message Triggered Join est reçu sur un port ET que ce port est à l’état STP Forwarding pour ce VLAN
VLAN Trunking Protocol VTP Pruning : Règles
88
Thomas Moegli
Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Spanning-Tree n’est pas encore actif puisque aucun équipement n’est connecté sur le VLAN
VLAN Trunking Protocol VTP Pruning : Règles
89
Root BridgeF
FFF
BFBF
SW3SW2SW1
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
RP DP
DP DP
DPRP
Thomas Moegli
Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, SW2 et SW3, aucun Access Port n’est configuré pour le VLAN-X ๏ Les liens de Trunks effectuent le Pruning du VLAN-X
VLAN Trunking Protocol VTP Pruning : Règles
90
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
P VTP Pruning : VLAN Pruned
Root BridgeF
FFF
BFBF
SW3SW2SW1P
PP P
P
RP DP RP
DP DP
DP
Thomas Moegli
Etat actuel pour le VLAN-X sur les liens de Trunk ๏ Sur SW1, on connecte un hôte sur un Access Port du VLAN-X
๏ Spanning-Tree s’active et configure les ports aux états Forwarding ou Blocking selon le schéma ci-dessus ๏ SW1 commence à émettre un message Triggered Join sur ses Root Port
VLAN Trunking Protocol VTP Pruning : Règles
91
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
P VTP Pruning : VLAN Pruned
Root BridgeF
FFF
BFBF
SW3SW2SW1P P
PP P
P
RP DP RP
DP DP
DP
VLAN-X
F
J
J VTP Pruning : Triggered Join
Thomas Moegli
Root BridgeF
FFF
BFBF
SW3SW2SW1P
PP P
P
RP DP RP
DP DP
DP
VLAN-X
F
J
Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 reçoit le Triggered Join de SW1. Ce port est à l’état Forwarding ๏ SW2 ne va plus effectuer de Pruning sur ce port
VLAN Trunking Protocol VTP Pruning : Règles
92
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
P VTP Pruning : VLAN Pruned
J VTP Pruning : Triggered Join
Thomas Moegli
Root BridgeF
FFF
BFBF
SW3SW2SW1P
PP P
P
RP DP RP
DP DP
DP
VLAN-X
F
J
Etat actuel pour le VLAN-X sur les liens de Trunk ๏ SW2 envoie maintenant un Triggered Join sur ses Root Port
VLAN Trunking Protocol VTP Pruning : Règles
93
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
P VTP Pruning : VLAN Pruned
J VTP Pruning : Triggered Join
Thomas Moegli
Root BridgeF
FFF
BFBF
SW3SW2SW1P
PP
P
RP DP RP
DP DP
DP
VLAN-X
F
J
Etat final pour le VLAN-X sur les liens de Trunk ๏ SW1 reçoit le Triggered Join sur un port à l’état Forwarding. ๏ Il n’effectue plus de Pruning VLAN sur ce port
VLAN Trunking Protocol VTP Pruning : Règles
94
Exemple VTP Pruning
F
B
STP : Port à l’état Forwarding
STP : Port à l’état Blocked
P VTP Pruning : VLAN Pruned
J VTP Pruning : Triggered Join
Thomas Moegli
VLAN Trunking Protocol Configuration VTP Pruning
95
SW1# show interface trunk Port Mode Encapsulation Status Native VLAN Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk Fa0/1 1-1005
Port Vlans allowed and active in management domain Fa0/1 1,10,20,1002,1003,1004,1005
Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,1002,1003,1004,1005
SW1# show interface fa0/16
Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,58,67,146
Port Vlans pruned for lack of request by neighbor Fa0/16 7—8,10,22,43,58,67,79,146
Thomas Moegli
๏ Il est possible de restreindre les VLANs qui doivent transiter sur un lien de trunk
๏ Ces commandes doivent être appliquées sur les deux interfaces du lien ๏ Attention lors de l’ajout d’un VLAN supplémentaire sur le lien de trunk
๏ Sans le mot-clé add, le nouveau VLAN remplace tous les autres VLANs !
๏ Il est nécessaire d’utiliser le mot-clé add pour ajouter un VLAN à la liste :
VLAN Trunking Protocol Configuration Pruning manuel
96
SW1(config)# interface FastEthernet Fa0/10 SW1(config-if)# switchport trunk allowed vlan 10,30
SW1(config-if)# switchport trunk allowed vlan 20
Port Vlans allowed and active in management domain Fa0/1 20
SW1(config-if)# switchport trunk allowed vlan add 20
Port Vlans allowed and active in management domain Fa0/1 10,20,30
TrunkFa0/10 Fa0/10
VLAN 10VLAN 20
VLAN 30VLAN 40
top related