Comment Configurer un VLAN

Comment Configurer un VLAN

Un réseau local virtuel ou un VLAN est un moyen de partitionner les ordinateurs d’un réseau en groupes de clusters qui servent un objectif commercial commun. La partie LAN indique que nous partitionnons du matériel physique tandis que la partie virtuelle indique que nous utilisons la logique pour l’accomplir. Dans cet article, nous verrons comment créer un VLAN, puis le configurer pour permettre aux paquets de données d’un autre VLAN de s’y croiser.

Remarque: bien que nous ayons essayé de rendre l’ensemble de l’exercice de configuration d’un VLAN aussi simple que possible, il est supposé que vous, le lecteur, avez une compréhension de base de la configuration du réseau. Nous supposons également que vous avez une connaissance pratique des concepts et des objectifs des adresses IP, des passerelles, des commutateurs et des routeurs. En outre, vous devez également savoir comment naviguer dans les procédures de configuration de l’interface et de la sous-interface sur les ordinateurs et les périphériques réseau.

Étape par étape – Comment configurer un VLAN

La meilleure façon d’apprendre à configurer un VLAN – en plus d’aller à l’école de réseautage – est de le faire dans un exercice pratique. Et comme nous n’avons pas tous de routeurs et de commutateurs, il serait logique de créer notre VLAN dans un environnement simulé.

Dans cet exemple, nous utiliserons Cisco Packet Tracer pour démontrer comment configurer notre VLAN. C’est l’un des outils les plus faciles et les plus réalistes à utiliser et permet à la fois des interfaces GUI et CLI. De cette façon, vous pouvez voir les commandes exécutées en temps réel, même si vous cliquez simplement et glissez-déposez au fur et à mesure de votre configuration.

L’outil peut être téléchargé, configuré et vérifié (en ouvrant un compte d’apprentissage à Cisco Networking Academy). Ne vous inquiétez pas, vous pouvez simplement vous inscrire au cours GRATUIT Cisco Packet Tracer afin d’avoir un accès complet à l’outil de conception.

De plus, et en dehors de la facilité d’utilisation, Cisco étant le leader du marché, nous pensons que c’est le choix approprié pour démontrer comment configurer un VLAN.

Bien sûr, vous pouvez utiliser n’importe quel autre outil similaire – car le concept reste le même. Une recherche en ligne rapide vous montrera qu’il existe des applications – de bureau et basées sur un navigateur – pour chaque marque de périphériques d’interface réseau. Trouvez et travaillez avec celui avec lequel vous êtes le plus à l’aise.

Routeur sur un Stick – l’explication

Bien qu’il existe de nombreuses façons de configurer un VLAN ou un inter-VLAN, l’architecture que nous créerons utilisera ce que l’on appelle un routeur Cisco sur une configuration de Stick.

Dans cette configuration réseau, notre routeur aura une seule connexion physique ou logique à notre réseau. Ce routeur aidera à relier les deux VLAN – qui ne peuvent pas communiquer entre eux – en se connectant à notre commutateur via un seul câble.

Voici comment cela fonctionne: les paquets de données envoyés depuis un ordinateur du VLAN comptable – et destinés à un ordinateur du VLAN logistique – se rendront au commutateur. Le commutateur, en reconnaissant le besoin de paquets de traverser à un autre VLAN, transmettra le trafic au routeur.

Le routeur, quant à lui, aura une interface physique (un câble réseau, dans notre exemple) qui a été divisée en deux sous-interfaces logiques. Les sous-interfaces seront chacune autorisées à accéder à un VLAN.

Lorsque les paquets de données arrivent au routeur, ils seront transférés vers le VLAN correct via la sous-interface autorisée, puis arriveront à leur destination prévue.

Notre routeur sur une configuration VLAN Stick, avec des capacités inter-VLAN, ressemblera à ceci:

Comment configurer une conception finale de VLAN

Planification de vos tâches

Toute la tâche de création de notre architecture réseau sera divisée en quatre catégories principales où vous pourrez::

  • Connectez tous les périphériques pour former la bonne architecture
  • Configurez les interfaces pour que tous les périphériques puissent « parler » entre eux
  • Créez des VLAN et assignez des ordinateurs à leurs VLAN respectifs
  • Confirmez la configuration correcte en démontrant que les ordinateurs ne peuvent pas communiquer au-delà de leur VLAN

Alors, sans plus tarder, commençons à créer notre VLAN . Rappelez-vous, il aura initialement un commutateur et quatre ordinateurs connectés. Vous pouvez introduire le routeur dans la conception plus tard si vous choisissez de le faire.

Connectez tous les périphériques

Faites glisser et déposez un commutateur, un routeur et quatre ordinateurs dans la carte de conception principale. Pour notre démo, nous utiliserons un commutateur 2960 et un routeur 2911. Le commutateur se connectera à quatre ordinateurs (PC0, PC1, PC2 et PC3) à l’aide de connexions filaires directes en cuivre (vous verrez la description du matériel et des types de connexion tout en bas de la fenêtre du Traceur).

Ensuite, connectez le commutateur à chaque ordinateur à l’aide des ports FastEthernet.

Commutateur de connexion et ordinateurs 1

Une fois que tous les appareils sont connectés, vous devriez avoir un trafic entièrement vert entre les appareils. Comme l’outil essaie d’émuler le démarrage et la connexion des appareils dans le monde réel, cela peut prendre une minute ou deux. Ne vous inquiétez donc pas si les indicateurs de flux de données restent orange pendant quelques secondes. Si vos connexions et configurations sont correctes, tout passera bientôt au vert.

Commutateur de connexion et ordinateurs 2

Pour faciliter la compréhension, marquons les deux ordinateurs de gauche comme appartenant au service comptable (en bleu) et les deux autres comme appartenant aux services logistiques (en rouge).

ACCT et JOURNAUX VLAN

Configurez les interfaces

Maintenant, commençons à attribuer des adresses IP afin que nos ordinateurs puissent commencer à communiquer entre eux. Les affectations IP ressembleront à ceci:

  • ACCT PC0 = 192.168.1.10/255.255.255.0
  • ACCT PC1 = 192.168.1.20 / 255.255.255.0
  • LOGS PC2 = 192.168.2.10/255.255.255.0
  • LOGS PC3 = 192.168.2.20/255.255.255.0

La passerelle par défaut pour les ordinateurs est 192.168.1.1 pour les deux premiers en comptabilité et 192.168.2.1 pour les deux derniers ordinateurs en logistique. Vous pouvez accéder à la configuration en allant dans le menu du bureau, puis en cliquant sur la fenêtre de configuration IP.

Configuration du bureau et menu de configuration IP

Une fois que vous y êtes, commencez à remplir les configurations pour tous les ordinateurs:

Adresse IP et configuration de passerelle par défaut

Lorsque vous avez terminé, nous pouvons maintenant passer au commutateur. Tout d’abord, cependant, nous devons nous rappeler qu’il y aura deux types de ports sur notre commutateur:

  • Ports d’accès: ce sont les ports qui seront utilisés pour permettre aux appareils de tous les jours comme les ordinateurs et les serveurs de s’y connecter; dans notre exemple, ce sont les FastEthernet 0/1, FastEthernet 1/1, FastEthernet 2/1 et FastEthernet 3/1 – un pour chaque ordinateur.
  • Ports de jonction: ce sont les ports qui permettent à un commutateur de communiquer avec un autre commutateur – ou dans notre exemple une communication VLAN à VLAN sur le même commutateur (via le routeur) – pour étendre le réseau; nous utiliserons les ports GigaEthernet0 / 0 sur les deux périphériques de connectivité.

Dans cet esprit, passons à la partie amusante – configurer le commutateur pour exécuter nos VLAN.

Créez des VLAN et affectez des ordinateurs

Alors, créons d’abord les VLAN – ils seront nommés ACCT (VLAN 10) et LOGS (VLAN 20).

Accédez à l’interface de ligne de commande du commutateur pour saisir les commandes:

Switch#config terminalSwitch(config)#vlan 10Switch(config-vlan)#name ACCTSwitch(config-vlan)#vlan 20Switch(config-vlan)#name LOGS

Les commandes de votre CLI devraient ressembler à ceci:

Switch create VLAN CLI

Ou, si vous n’êtes pas à la hauteur, vous pouvez simplement utiliser l’interface graphique pour créer les VLAN (et voir toujours les commandes s’exécuter telles qu’elles sont exécutées ci-dessous). Allez dans le menu de la base de données Config-VLAN et AJOUTEZ les VLAN en entrant leurs numéros (10,20) et leurs noms (ACCT, LOGS).

Commutateur créer une interface graphique VLAN

Ensuite, nous devons affecter chaque port, que le commutateur utilise pour connecter les ordinateurs, à leurs VLAN respectifs.

Vous pouvez simplement choisir l’interface, puis cocher la case du VLAN correspondant dans le menu de configuration à droite:

Attribuez un port de commutateur à un VLAN

Comme vous pouvez le voir sur l’image ci-dessus, vous pouvez également accéder à l’interface CLI de chaque port et utiliser la commande : switchport access vlan 10 pour effectuer la même tâche.

Ne vous inquiétez pas; il existe un moyen plus court de le faire au cas où il y aurait un grand nombre de ports à attribuer. Par exemple, si vous aviez 14 ports, la commande serait:

Switch(config-if)#int range fa0/1-14Switch(config-if-range)#switchport mode access

La deuxième commande s’assure que le commutateur comprend que les ports doivent être des ports d’ACCÈS et non des ports DE JONCTION.

Confirmez la configuration correcte

Et c’est tout; nous avons créé deux VLAN sur le même commutateur. Pour le tester, et confirmer que notre configuration est correcte, nous pouvons essayer de pinger P1 et P3 à partir de P0. Le premier ping devrait être correct tandis que le second devrait expirer et perdre tous les paquets:

Test de ping VLAN - pas de routeur

Comment configurer un inter-VLAN

Maintenant, bien que nous ayons divisé les ordinateurs en deux VLAN – comme cela était nécessaire – il est plus logique que les deux départements (Comptabilité et logistique) aient besoin de communiquer entre eux. Ce serait la norme dans tout environnement commercial réel. Après tout, la logistique ne pouvait pas être achetée ou fournie sans soutien financier, n’est-ce pas?

Nous devons donc nous assurer que l’ACCT et les LOGS peuvent communiquer– même s’ils se trouvent sur des VLAN distincts. Cela signifie que nous devons créer une communication inter-VLAN.

Voici comment s’y prendre

Nous aurons besoin de l’aide de notre routeur; il agira comme un pont entre les deux VLAN – alors, allez-y et ajoutez un routeur à votre conception si vous ne l’avez pas déjà fait.

En sautant dans la configuration, nous devons comprendre que nous utiliserons un port sur le routeur pour la communication des deux VLAN en le « divisant » en deux ports. Pendant ce temps, le commutateur n’utilisera qu’un seul port de JONCTION pour envoyer et recevoir toutes les communications vers et depuis le routeur.

Donc, pour revenir à notre routeur, nous allons diviser l’interface GigabitEthernet0/ 0 en GigabitEthernet0/ 0.10 (pour VLAN10) et GigabitEthernet0/ 0.20 (pour VLAN20). Nous utiliserons ensuite le protocole standard IEEE 802.1Q pour interconnecter des commutateurs, des routeurs et pour définir des topologies VLAN.

Une fois cela fait, ces « sous-interfaces » – comme elles l’appelaient – sont ensuite affectées à chaque VLAN que nous voulons connecter ou ponter.

Enfin, rappelez-vous les passerelles – 192.168.1.1 et 192.168.2.1 – que nous avons ajoutées aux configurations des ordinateurs plus tôt? Eh bien, ce seront les nouvelles adresses IP des ports divisés ou des sous-interfaces sur le routeur.

Les commandes CLI pour créer les sous-interfaces sous l’interface GigabitEthernet0/0 seraient:

Router (config)#interface GigabitEthernet0/0.10Router (config-subif)#encapsulation dot1q 10Router (config-subif)#ip address 192.168.1.1 255.255.255.0

En répétant tout cela pour la deuxième sous-interface et le VLAN, nous obtenons 

Router (config)#interface GigabitEthernet0/0.20Router (config-subif)#encapsulation dot1q 20Router (config-subif)#ip address 192.168.2.1 255.255.255.0

Une fois que vous fermez la CLI, vous pouvez confirmer que votre configuration est correcte en déplaçant simplement la souris sur le routeur pour voir votre travail, ce qui devrait ressembler à ceci:

Menu contextuel de configuration de la sous-interface du routeur

Maintenant, nous savons que nous ne pouvons connecter nos sous-interfaces (sur le routeur) à notre commutateur via son port de jonction – et donc, nous devrons le créer maintenant.

Tout ce que vous devez faire est d’aller dans la configuration GigabitEthernet0/0 du commutateur et d’exécuter: joncteur réseau en mode switchport.

Et voilà, vous venez de créer deux VLAN qui contiennent chacun deux ordinateurs et qui peuvent toujours communiquer entre eux. Vous pouvez le prouver en envoyant un ping au premier ordinateur logistique (PC2) avec l’adresse IP 192.168.2.10 depuis le premier ordinateur de comptabilité (PC0) avec l’adresse IP 192.168.1.10:

Ping ENREGISTRE le PC de l'ACCT PC - Success

Grand succès!

Pourquoi configurer un VLAN ou un inter-VLAN

À ce stade, certains d’entre vous se demandent peut-être pourquoi nous aurions besoin de passer par cet exercice et de nous soucier des VLAN ou des inter-VLAN. Eh bien, il y a plusieurs raisons, dont certaines sont:

  • Sécurité La séparation d’un réseau en composants garantit que seuls les utilisateurs et les appareils autorisés peuvent accéder à un sous-réseau. Vous ne voudriez pas que vos comptables interfèrent avec le travail de votre département logistique ou vice versa.
  • Sécurité En cas d’épidémie de virus, un seul sous–réseau serait affecté car les périphériques d’un sous–réseau ne seraient pas en mesure de communiquer – et donc de transférer – le virus vers un autre. De cette façon, les procédures de nettoyage seraient concentrées sur ce sous-réseau, ce qui facilite également l’identification beaucoup plus rapide de la machine coupable.
  • Assure la confidentialité par isolement Si quelqu’un voulait connaître l’architecture de votre réseau (avec l’intention de l’attaquer), il utiliserait un renifleur de paquets pour mapper votre disposition. Avec des sous-réseaux isolés, les coupables ne pourraient obtenir qu’une image partielle de votre réseau, leur refusant ainsi des informations critiques sur vos vulnérabilités, par exemple.
  • Facilite le trafic réseau Les sous-réseaux isolés peuvent réduire l’utilisation du trafic en limitant les processus gourmands en ressources à leur propre portée et en ne submergeant pas l’ensemble du réseau. Cela signifie que ce n’est pas parce qu’il pousse des mises à jour critiques sur les machines comptables que le service logistique doit également faire face à un ralentissement du réseau.
  • Priorisation du trafic Avec les entreprises qui ont différents types de trafic de données les paquets sensibles ou encombrants de ressources (VoIP, médias et transferts de données volumineux, par exemple) peuvent être affectés à un VLAN à large bande plus large, tandis que ceux qui n’ont besoin que du réseau pour envoyer des e-mails peuvent être affectés à un VLAN avec une bande passante moindre.
  • Évolutivité Lorsqu’une entreprise a besoin de mettre à l’échelle les ressources disponibles pour ses ordinateurs, elle peut les réaffecter à de nouveaux VLAN. Leurs administrateurs créent simplement un nouveau VLAN, puis y déplacent facilement les ordinateurs.

Comme on peut le voir, les VLAN aident à protéger un réseau tout en améliorant les performances des paquets de données qui le parcourent.

VLAN statique vs VLAN dynamique

Nous avons pensé qu’il serait intéressant de mentionner qu’il existe deux types de VLAN disponibles pour l’implémentation:

VLAN statique

Cette conception de VLAN dépend du matériel pour créer les sous-réseaux. Les ordinateurs sont affectés à un port spécifique sur un commutateur et branchés directement. S’ils doivent passer à un autre VLAN, les ordinateurs sont simplement débranchés de l’ancien commutateur et rebranchés sur le nouveau.

Le problème avec cela est que n’importe qui peut passer d’un VLAN à un autre en commutant simplement les ports auxquels il est connecté. Cela signifie que les administrateurs auraient besoin de méthodes ou de dispositifs de sécurité physique mis en place pour empêcher de tels accès non autorisés.

VLAN dynamique

C’est le VLAN que nous venons de créer dans l’exercice que nous avons fait plus tôt. Dans cette architecture VLAN, nous avons des VLAN logiciels où les administrateurs utilisent simplement la logique pour attribuer des adresses IP ou MAC spécifiques à leurs VLAN respectifs.

Cela signifie que les périphériques peuvent être déplacés vers n’importe quelle partie de l’entreprise et, dès qu’ils se connectent au réseau, ils retournent à leurs VLAN pré-attribués. Il n’y a pas besoin de configurations supplémentaires.

S’il y a un inconvénient avec ce scénario, ce n’est peut–être que l’entreprise devrait investir dans un commutateur intelligent – un commutateur de stratégie de gestion VLAN (VMPS) – qui peut être coûteux par rapport au commutateur traditionnel utilisé dans les VLAN statiques.

On peut également supposer ici que les entreprises disposant de quelques ordinateurs et d’un budget informatique réduit peuvent choisir de mettre en œuvre un VLAN statique tandis que celles disposant d’un grand nombre de périphériques et ayant besoin de plus d’efficacité et de sécurité seraient sages d’investir dans un VLAN dynamique.

Conclusion

Nous espérons que vous avez trouvé toutes les informations dont vous aviez besoin pour savoir comment configurer un VLAN. Nous espérons également que l’exercice a été facile à suivre et que vous pouvez maintenant continuer à développer les connaissances que vous avez acquises. Parce que, même si vous continuez à évoluer vers le haut, ces étapes de base restent les mêmes : vous continuez simplement à ajouter du matériel et des configurations aux bases.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.