Virtual LAN et Trunking
Summary
VLAN – Virtual LAN = Définition administrative de ports dans un domaine de broadcast.
Permet de segmenter les domaines de broadcast.
Best practise: 1 VLAN = 1 subnet IP
Pour le transfert de données entre 2 VLAN, on utilise MLS (Multilayer switching) – Plus développé dans les chapitres suivants.
2 modes de création:
- Administration basique
- Informations de config VTP
- Normal-range only (1-1005)
- Stocké dans vlan.dat
Switch#vlan database ! Création vlan 21 Switch(vlan)#vlan 21 Switch(vlan)#show current // Vlans dispo dans l'IOS en VTP Server mode (pas de vlan 21) Switch(vlan)#show proposed // VLAN 21 en attente Switch(vlan)#apply // Ajoute le VLAN 21 dans le vlan.dat Switch(vlan)#show current // Affiche le VLAN 21 Switch(vlan)#vlan 22 name ccie ! Applicationn du VLAN précèdement créer à l'interface Switch(config)#int f0/3 Switch(config-if)#switchport access vlan 21 ! Visualisation Switch#show vlan brief
Switch(config)#int fa0/1 Switch(config-if)#switchport mode access 31 => vlan créer (show vlan brief)
Private VLAN : (RFC5517) Permet au switch de séparer les ports, comme s’ils étaient dans différents VLAN tout en utilisant un même subnet.
3 Types de ports existent pour les private VLAN:
- Primary = promiscuous (envoi/recoivent depuis et vers n’importe quel port)
- Secondary =
- Community = Parle avec les autres types de ports, excepté les ports Isolated
- Isolated = Pas autorisé à tout / juste avec le promiscous
Tableau de correspondance:
| isolated | promiscuous | community1 | community 2 | interswitch link port | |
| isolated | deny | permit | deny | deny | permit |
| promiscuous | permit | permit | permit | permit | permit |
| community1 | deny | permit | permit | deny | permit |
| community2 | deny | permit | deny | permit | permit |
| interswitch link port | deny(*) | permit | permit | permit | permit |
Quand un port est configuré en mode Trunk, le switch Tag la trame avec un numéro de VLAN. Toutes les trames passant par un Trunk sont ainsi taguées, sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas tagguées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le “tagging”.
VLAN natif (VLAN 1, par défaut).
VTP permet d’annoncer aux autres switch les VLAN utilisés/Créer/modifiés.
Grâce à ce protocole, toute l’administration se fait sur 1 switch, qui diffuse sa configuration aux autres.
Le VTP annonce:
- VLAN ID
- VLAN Name
- VLAN Type
Les ports, eux, doivent êtres assignés “à la main”.
3 modes:
- Server
- Client
- Transparent
| Function | Server Mode | Client Mode | Transparent Mode |
| Envoi des informations VTP | YES | YES | NO |
| Reçoit les informations VTP pour MAJ sa config. de VLAN | YES | YES | NO |
| Transfère les avertissements VTP | YES | YES | YES |
| Sauvegarde le configuration de VLAN en NVRAM /ou vlan.dat | YES | YES | YES |
| Crée/Modifie/Supprime des VLAN | YES | NO | YES |
VTP Process & revision number
Par défaut sur les switch, le VTP est en mode serveur !
Si il n’y à pas de VTP domaine name configuré sur les clients, le switch client prend en compte le domaine du premier paquet VTP reçu de la part du serveur.
Il est préférable d’avoir deux switchs en mode serveur dans un réseau (best-practise).
Stockage des données dans le fichier flash:/vlan.dat
Attention au revision number de la base VTP ! Surtout pour un switch que l’on ajouterai au réseau, si le RN est très grand, il prendra le dessus sur les autres et peut faire tomber tout le réseau…
Pour un nouveau switch, il faut :
- Un port trunk (vers l’autre switch)
- Le même domaine VTP
- Revision number plus petit que le VTP server déjà en place
- Password (Encrypte en MD5 + Encrypte le revision number + VTP Domain)
Configuration VTP
Switch(config)#vtp domain CCIE-domain
Switch(config)#vtp mode { server | client | transparent }
Switch(config)#vtp password password
Switch(config)#vtp version {1 |2}
Switch(config)#vtp pruning // Empêche d'envoyer des paquets VTP à un switch pour un VLAN si aucun port de ce switch n'est configuré dans ce VLAN.
Switch(config)#vtp interface interface // Identifie le switch dans les VTP update
Switch#show vtp status
Normal-range / Extended range VLAN
| Normal range | 1 – 1005 | Annoncés par VTP 1/2 |
| Extended range | 1006 – 4096 | Pas sotcké dans le vlan.dat. Doit être en vtp mode “transparent” pour exister. ISL & Dot1q supportent les VLAN Extended. |
VLAN Trunking (ISL / 802.1q)
Le trunking de VLAN permet de faire passer plusieurs VLAN sur un simple lien.
Pour savoir à quel VLAN appartient un paquet, le switch ajoute un header à la trame Ethernet originale.
| ISL | CISCO | Encapsule les trames | Pas de native VLAN |
| 802.1q | IEEE | Ajoute un TAG | Native VLAN Supporté |
ISL et 802.1q Marking
Configuration:
Switch(config-if)#switchport | no-switchport ==> Interface L2 |L3
Switch(config-if)#switchport mode { access | trunk }
Switch(config-if)#switchport access ...
Switch(config-if)#switchport trunk ...
Switch#show interface trunk
Switch#show interface interface trunk
Switch#show interface interface switchport
Certains switch ne supportent pas l’ISL, ils sont donc de base en 802.1q (Ex: Catalyst 2950).
| Allowed VLAN | Switchport trunk allowed vlan 1,2,3 |
| Allowed VLAN & Active | VLAN configuré sur le switch / Trunk / VTP |
| Active & not pruned | VLAN enlevé des update par le VTP Pruning |
Trunk configuration compatibility:
| Config 1st Side | mode | Signifie | Pour trunker, il faut cette config sur la 2e side |
| switchport mode trunk | trunk | Always trunk / Paquets DTP envoyés | on desirable auto |
| switchport mode trunk switchport nonegociate |
nonegociate | Always trunk / Pas de DTP envoyés | on |
| switchport mode dynamic desirable | desirable | DTP Sent / Trunk si négociations OK | on desirable auto |
| switchport mode dynamic auto | auto | Répond aux DTP / Trunk si negociations OK | on desirable |
| switchport mode access | access | Pas de DTP | Pas de trunk possible |
| switchport mode access switchport nonegociate |
access (et nonegociate) | Pas de DTP | PAs de trunk possible |
Trunking sur les routeurs
Pour faire du routage inter-VLAN par exemple, il peut être possible d’utiliser un routeur. Il faut donc utiliser les sous-interfaces de celui-ci. Le routeur ne participe pas à DTP. Configuration manuelle.
Voici un configuration pour faire transiter les VLAN 1, 21, 22 via votre routeur. Le VLAN 1 est natif, et ne peut être enlevé ici.
Router(config)#interface Fa0/0.1 Router(config-if)#ip address 172.21.1.1 255.255.255.0 Router(config-if)#encapsultion dot1q 21 Router(config)#interface Fa0/0.2 Router(config-if)#ip address 172.21.2.1 255.255.255.0 Router(config-if)#encapsulation dot1q 22
802.1Q-in-Q Tunneling
Le 802.1QinQ permet de faire transiter des VLAN au travers d’un lien WAN.
tout comme :
- EoMPLS (Ethernet over MPLS)
- VMPLS (VLAN MPLS)
802.1QinQ = QinQ = Layer 2 protocol tunneling
Permet à un ISP de préserver un tag VLAN au travers du réseau WAN, en ajoutant un TAG 802.1q qui correspond au client.
Le SP peut donc offrir des services liés aux VLAN avec QinQ.
Plus de flexibilité pour le design de l’architecture des clients, ex: Metro Ethernet.
Les traffic VTP, CDP passent au travers de Q-in-Q de manière transparente.
PPPoE
Je ne vois pas trop ce que viens faire cette partie dans ce chapitre, et pour ça j’ai déjà fait une cheat sheet ici !
Benoit
Network engineer at CNS Communications. CCIE #47705, focused on R&S, Data Center, SD-WAN & Automation.
Follow Me:
