metatoc

Les sujets traités dans ce chapitre sont les suivants :

• Décrire le fonctionnement d'un réseau
• Décrire l'impact des applications (Voix sur IP et Vidéo sur IP) sur un réseau
• Configurer, vérifier et dépanner un commutateur avec des VLAN et des communications entre commutateurs
• Vérifier l'état du réseau et le fonctionnement du commutateur à l'aide d'utilitaires de base (notamment : ping, traceroute, telnet, SSH, arp, ipconfig), SHOW et commandes DEBUG
• Identifier, prescrire et résoudre les problèmes courants de média réseau commuté, les problèmes de configuration, la négociation automatique et les échecs de commutation
• Décrire les technologies de commutation améliorées (y compris : VTP, RSTP, VLAN, PVSTP, 802.1q)
• Décrire comment les VLAN créent des réseaux logiquement séparés et le besoin de routage entre eux
• Configurer, vérifier et dépanner les VLAN
• Configurer, vérifier et dépanner la jonction sur les commutateurs Cisco
• Configurer, vérifier et dépanner le routage interVLAN
• Configurer, vérifier et dépanner VTP
• Configurer, vérifier et dépanner le fonctionnement RSTP
• Interpréter la sortie de diverses commandes show et debug pour vérifier l'état opérationnel d'un réseau commuté Cisco
• Mettre en œuvre la sécurité de base du commutateur (y compris : la sécurité des ports, l'accès aux lignes réseau, le vlan de gestion autre que vlan1, etc.)

Contrairement aux réseaux d'hier qui étaient basés sur des collapsed backbone, la conception de réseau d'aujourd'hui se caractérise par une architecture réseau commuté de couche 2—grâce aux commutateurs. Comment diviser les domaines de diffusion dans un interréseau purement commuté ? En créant un réseau local virtuel (VLAN). Un VLAN est un regroupement logique d'utilisateurs et de ressources réseau connectés à des ports définis administrativement sur un commutateur.

Lorsqu'on créer des VLAN, on a la possibilité de créer des domaines de diffusion plus petits au sein d'un inter-réseau commuté de couche 2 en attribuant différents ports sur le commutateur pour desservir différents sous-réseaux. Un VLAN est traité comme son propre sous-réseau ou domaine de diffusion, ce qui signifie que les trames diffusées sur le réseau ne sont commutés qu'entre les ports regroupés logiquement au sein du même VLAN.

Alors, cela signifie-t-il qu'on n'a plus besoin de routeurs ? Peut-être oui; peut-être que non. Cela dépend vraiment de ce que l'on veut ou des besoins. Par défaut, les hôtes d'un VLAN spécifique ne peuvent pas communiquer avec les hôtes membres d'un autre VLAN, donc si on veut une communication inter-VLAN, la réponse est qu'on a toujours besoin d'un routeur.

Dans ce chapitre, on va apprendre en détail ce qu'est exactement un VLAN et comment les adhésions au VLAN sont utilisées dans un réseau commuté. Aussi, on va voir comment le VLAN Trunk Protocol (VTP) est utilisé pour mettre à jour les bases de données des commutateurs avec les informations VLAN et comment la jonction est utilisée pour envoyer des informations de tous les VLAN via un seul lien. On va également voir comment on peut faire en sorte que la communication inter-VLAN se produise en introduisant un routeur dans un réseau commuté.

Bien sûr, on va configurer un réseau commuté avec des VLAN, VTP et routage inter-VLAN.

La figure suivante montre comment les réseaux commutés de couche 2 sont généralement conçus, en tant que réseaux plats. Avec cette configuration, chaque paquet de diffusion transmis est vu par chaque appareil sur le réseau, que l'appareil ait besoin ou non de recevoir ces données.

Par défaut, les routeurs autorisent les diffusions uniquement au sein du réseau d'origine, tandis que les commutateurs transmettent les diffusions à tous les segments. En fait, la raison pour laquelle on l'appelle un réseau plat est qu'il s'agit d'un domaine de diffusion, et non parce que la conception réelle est physiquement plate. Dans la figure précédente on voit l'hôte A envoyant une diffusion et tous les ports sur tous les commutateurs la transférant, tous sauf le port qui l'a initialement reçu.

La figure suivante représente un réseau commuté et montre l'hôte A envoyant une trame avec l'hôte D comme destination.

Ce qui est important, c'est que, comme on peut le voir, cette trame n'est transférée que sur le port où se trouve l'hôte D. Il s'agit d'une énorme amélioration par rapport aux anciens réseaux hub, à moins d'avoir un domaine de collision par défaut est ce que on veut vraiment.

Maintenant, le plus grand avantage qu'on obtiens en ayant un réseau commuté de couche 2 est qu'il crée un domaine de collision individuel pour chaque périphérique connecté à chaque port du commutateur. Ce scénario libère des contraintes de densité Ethernet, donc désormais des réseaux plus grand peuvent être construits. Mais souvent, chaque nouvelle avancée s'accompagne de nouveaux problèmes. Par exemple, plus le nombre d'utilisateurs et d'appareils est grand, plus grand est le nombre de paquets de diffusion que chaque commutateur doit gérer.

Et voici un autre problème : la sécurité ! Celui-ci est un vrai problème car dans l'inter-réseau commuté de couche 2 typique, tous les utilisateurs peuvent voir tous les appareils par défaut. Et on ne peut pas empêcher les appareils de diffuser, ni empêcher les utilisateurs d'essayer de répondre aux diffusions. Les options pour assurer la sécurité sont lamentablement limitées à placer des mots de passe sur les serveurs et autres appareils.

Mais lorsqu'on créer un réseau local virtuel (VLAN). on peut résoudre de nombreux problèmes associés à la commutation de couche 2 avec le VLAN, comme on le verra bientôt.

Voici une courte liste de façons dont les VLAN simplifient la gestion du réseau :

• Les ajouts, déplacements et modifications de réseau sont réalisés facilement en configurant simplement un port dans le VLAN approprié.
• Un groupe d'utilisateurs qui ont besoin d'un niveau de sécurité exceptionnellement élevé peut être placé dans son propre VLAN afin que les utilisateurs en dehors du VLAN ne puissent pas communiquer avec eux.
• En tant que regroupement logique d'utilisateurs par fonction, les VLAN peuvent être considérés comme indépendants de leurs emplacements physiques ou géographiques.
• Les VLAN améliorent considérablement la sécurité du réseau.
• Les VLAN augmentent le nombre de domaines de diffusion tout en diminuant leur taille.

On va voir les caractéristiques de commutation et décrire en détail et comment les commutateurs fournissent de meilleurs services réseau que les hubs dans les réseaux aujourd'hui.

Les diffusions se produisent dans tous les protocoles, mais leur fréquence dépend de trois éléments :

• le type de protocole,
• la ou les applications s'exécutant sur l'interréseau
• Comment ces services sont utilisés

Certaines applications plus anciennes ont été réécrites pour réduire leur appétit de bande passante, mais il existe une nouvelle génération d'applications incroyablement gourmande en bande passante qui consommera tout ce qu'ils pourront trouver. Ces gloutons de bande passante sont des applications multimédias qui utilisent à la fois des diffusions et multicast de manière intensive. Et un équipement défectueux, une segmentation inadéquate et des pare-feu mal conçus aggravent sérieusement les problèmes que ces applications à forte intensité de diffusion créent. Tout cela a ajouté une nouvelle dimension majeure à la conception du réseau et présente un tas de nouveaux défis pour un administrateur. S'assurer positivement qu'un réseau est correctement segmenté afin qu'on puisse rapidement isoler les problèmes d'un seul segment pour les empêcher de se propager dans l'ensemble d'un inter-réseau est impératif ! Et le moyen le plus efficace d'y parvenir est d'effectuer des changements stratégiques et routage.

Étant donné que les commutateurs sont devenus plus abordables ces derniers temps, de nombreuses entreprises remplacent leurs réseaux de concentrateurs plats par un réseau commuté pur et des environnements VLAN. Tous les appareils d'un VLAN sont membres du même domaine de diffusion et reçoivent toutes les diffusions. Par défaut, ces diffusions sont filtrées à partir de tous les ports d'un commutateur qui ne sont pas membres du même VLAN. Ainsi on obtiens tous les avantages qu'on aurait avec une conception commutée sans se heurter à tous les problèmes qu'on aurait si tous les utilisateurs étaient dans le même domaine de diffusion.

Dans un internet plat la sécurité du travail était autrefois abordée en connectant des hubs et des commutateurs avec des routeurs. C'était donc essentiellement le travail du routeur de maintenir la sécurité. Cet arrangement était assez inefficace pour plusieurs raisons.

1. Premièrement, toute personne se connectant au réseau physique pourrait accéder aux ressources réseau situées sur ce réseau local physique particulier.
2. Deuxièmement, tout ce que qu'on avait à faire pour observer tout le trafic se produisant sur ce réseau consistait simplement à brancher un analyseur de réseau sur le concentrateur. Et de la même façon, les utilisateurs pouvaient rejoindre un groupe de travail en branchant simplement leurs postes de travail sur le hub existant. C'est à peu près aussi sûr qu'un baril ouvert de miel dans un enclos à ours !

Mais c'est exactement ce qui rend les VLAN si utile. Si on construit des VLAN et créer plusieurs groupes de diffusion, on peut avoir un contrôle total sur chaque port et utilisateur ! Ainsi, l'époque où n'importe qui pouvait simplement brancher ses postes de travail sur n'importe quel port de commutateur et accéder aux ressources du réseau est révolue car maintenant on contrôle chaque port, ainsi que toutes les ressources auxquelles ce port peut accéder.

Et cela ne s'arrête pas là, car les VLAN peuvent être créés en fonction des ressources réseau dont un utilisateur donné a besoin, les commutateurs peuvent être configurés pour informer une station de gestion de réseau de tout accès non autorisé aux ressources du réseau. Et si on a besoin d'une communication inter-VLAN , on peut implémenter des restrictions sur un routeur pour s'assurer que cela se passe en toute sécurité. On peut également imposer des restrictions sur le matériel, adresses, protocoles et applications.

La couche 2 ne commute que les trames pour le filtrage - ils ne regardent pas le protocole de couche réseau. Et par défaut, les commutateurs transmettent les diffusions à tous les ports. Mais si on créé et implémente des VLAN, on créé essentiellement de plus petits domaines de diffusion à la couche 2.

Cela signifie que les diffusions envoyées depuis un nœud dans un VLAN ne seront pas transférées vers des ports configurés pour appartenir à un autre VLAN. Alors en attribuant des ports de commutateur ou des utilisateurs à des groupes VLAN sur un commutateur ou un groupe de commutateurs connectés, on a la possibilité d'ajouter uniquement les utilisateurs qu'on veut dans ce domaine de diffusion indépendamment de leur emplacement physique. Cette configuration peut également fonctionner pour bloquer les tempêtes de diffusion causées par une carte d'interface réseau (NIC) ainsi que d'empêcher un périphérique intermédiaire de propager des tempêtes de diffusion dans l'ensemble de l'interréseau. Ces maux peuvent toujours se produire sur le VLAN d'où provient le problème, mais la maladie sera plutôt mise en quarantaine sur ce VLAN malade.

Un autre avantage est que lorsqu'un VLAN devient trop grand, on peut créer plus de VLAN pour empêcher les diffusions de consommer trop de bande passante.— moins il y a d'utilisateurs dans un VLAN, moins il y a d'utilisateurs affectés par les diffusions. C'est bien beau, mais il faut sérieusement comprendre comment les utilisateurs se connectent à ces services lorsqu'ons créer un VLAN. C'est une bonne chose d'essayer de garder tous les services, à l'exception du courrier électronique et l'accès Internet dont tout le monde a besoin dans la mesure du possible.

Pour comprendre à quoi ressemble un VLAN à un commutateur, il est utile de commencer par examiner d'abord un réseau traditionnel. La figure suivante montre comment un réseau a été créé en utilisant des concentrateurs pour connecter des réseaux locaux physiques à un routeur.

Ici, on peut voir que chaque réseau est connecté avec un port concentrateur au routeur (chaque segment a également son propre numéro de réseau logique même si ce n'est pas évident en regardant la figure). Chaque nœud attaché à un réseau physique particulier doit correspondre au numéro de ce réseau afin de pouvoir communiquer sur l'interréseau. Chaque service a son propre réseau local, donc si on a besoin d'ajouter de nouveaux utilisateurs à, disons, Ventes, on les brancherait simplement sur le réseau local des ventes et ils feraient automatiquement partie du domaine de collision et de diffusion des ventes. Cette conception fonctionnerait bien pendant de nombreuses années.

Mais il y avait un défaut majeur : que se passe-t-il si le hub pour les ventes est plein et qu'on doive ajouter un autre utilisateur au réseau local des ventes ? Ou, que faire si il n'y a plus d'espace physique où se trouve l'équipe commerciale pour ce nouvel employé ? Eh bien, il se trouve qu'il y a beaucoup de place dans la section Finances de l'immeuble. On va donc mettre ce nouveau membre de l'équipe des ventes dans les service finances, et on va simplement le connecter au hub de la finance.

Le nouvel utilisateur va donc faire partie du réseau local des finances, ce qui est très mauvais pour de nombreuses raisons. D'abord et avant tout, on a maintenant un grand problème de sécurité. Étant donné que le nouvel employé des ventes est membre du domaine de diffusion Finance, le débutant peut voir tous les mêmes serveurs et accéder à tous les services réseau des finances. Deuxièmement, pour que cet utilisateur accède aux services du réseau de vente dont il a besoin pour faire son travail, ils devraient passer par les routeurs pour se connecter au serveur Sales—pas vraiment efficace !

Voyons maintenant ce qu'un commutateur accomplit. La figure suivante montre comment les commutateurs viennent à la rescousse en supprimant le frontière pour résoudre le problème. Il montre également comment six VLAN (numérotés de 2 à 7) sont utilisés pour créer un domaine de diffusion pour chaque service.

Chaque port de commutateur se voit ensuite attribuer administrativement une appartenance à un VLAN, en fonction de l'hôte et du domaine de diffusion dans lequel il doit être placé.

Alors maintenant, si on doit ajouter un autre utilisateur au VLAN de vente (VLAN 7), on pourrait simplement affecter le port au VLAN 7 quel que soit l'emplacement ou le nouveau membre de l'équipe de vente est physiquement situé. Cela illustre l'un des avantages les plus intéressants de la conception d'un réseau avec des VLAN par rapport à l'ancienne conception de l'épine dorsale effondrée. Maintenant, proprement et simplement, chaque hôte qui doit être dans le VLAN de vente est simplement connecté à un port affecté au VLAN 7.

Étant donné que chaque VLAN est considéré comme un domaine de diffusion, il doit également avoir son propre numéro de sous-réseau. Et si on utilise IPv6, chaque VLAN doit également se voir attribuer son propre numéro de réseau IPv6. Pour ne pas se tromper, il faut considérer les VLAN comme des sous-réseaux ou réseaux séparés.

Revenons maintenant à cette idée fausse “à cause des commutateurs, on n'a plus besoin de routeurs”. En regardant la Figure précédente, on remarquera qu'il y a sept VLAN, ou domaines de diffusion, en comptant le VLAN 1. Les nœuds de chaque VLAN peuvent communiquer entre eux mais pas avec quoi que ce soit dans un VLAN différent parce que les nœuds d'un VLAN donné « pensent » qu'ils sont en fait dans un collapsed backbone réduit.

Alors, de quel outil on dispose pour permettre aux hôtes de communiquer avec un nœud ou un hôte sur un autre VLAN ? Le routeur ! Ces nœuds doivent absolument passer par un routeur ou un autre périphérique de couche 3, tout comme lorsqu'ils sont configurés pour une communication interréseau. Cela fonctionne de la même manière que si on essaye de connecter différents réseaux physiques. la communication entre les VLAN doivent passer par un périphérique de couche 3.

On utilisera à la fois un routeur et le commutateur pour fournir un routage inter-VLAN sur le réseau commuté vers la fin de ce chapitre. Lorsque le routeur gère également la couche 3, on pourrait en fait utiliser le commutateur comme un routeur.

La plupart du temps, les VLAN sont créés par un administrateur système qui procède à l'attribution de ports de commutation à chaque VLAN. Les VLAN de ce type sont dits statiques VLAN. On peut aussi affecter toutes les adresses matérielles des périphériques hôtes dans une base de données afin que les commutateurs puissent être configurés pour attribuer des VLAN de manière dynamique à chaque fois qu'on branche un hôte sur un commutateur. Ce type de VLAN est connu sous le nom de VLAN dynamique, on étudiera à la fois les VLAN statiques et dynamiques dans les deux prochaines sections.

La création de VLAN statiques est le moyen le plus courant de créer un VLAN, car les VLAN statiques sont les plus sécurisés.

Cette sécurité provient du fait que tout port de commutateur auquel on a attribué une association VLAN conservera toujours cette association, sauf si on modifie l'attribution du port manuellement. La configuration VLAN statique est assez facile à configurer et à superviser, et elle fonctionne très bien dans un environnement réseau où tout mouvement de l'utilisateur au sein du réseau doit être contrôlé. Il peut être utile d'utiliser un logiciel de gestion de réseau pour configurer les ports, mais on n'est pas obligé de l'utiliser si on ne veut pas.

Les ports d'accès statiques sont soit attribués manuellement à un VLAN, soit attribués via un Serveur RADIUS avec IEEE 802.1x.

D'autre part, un VLAN dynamique détermine automatiquement l'attribution de VLAN d'un nœud. En utilisant un logiciel de gestion intelligent, on peut baser l'affectation des VLAN sur des adresses matérielles (MAC), des protocoles ou même des applications qui créent des VLAN dynamiques.

Par exemple, disons que les adresses MAC ont été saisies dans une application de gestion VLAN centralisée et qu'on connecte un nouveau nœud. Si on attache à un port de commutateur désigné comme un port VLAN dynamique, la base de données de gestion VLAN peut rechercher l'adresse matérielle et attribuer et configurer le port du commutateur dans le VLAN correct. Inutile de dire que cela rend la gestion et la configuration beaucoup plus faciles car si un utilisateur se déplace, le commutateur les affectera simplement automatiquement au bon VLAN. Mais là encore, il y a un hic : il faut faire beaucoup plus de travail de configuration initiale de la base de données. Cela peut être très intéressant quand même !

Par exemple le service VLAN Management Policy Server (VMPS) permet de configurer une base de données d'adresses MAC à utilisé pour l'adressage dynamique de vos VLAN. La base de données VMPS mappe les adresses MAC aux VLAN.

Un port d'accès dynamique peut appartenir à un VLAN (ID VLAN 1 jusqu'à 4094) et, comme on l'a dit, est attribué dynamiquement par le VMPS. On peut avoir des ports d'accès dynamique et des ports de jonction sur le même commutateur, mais il faut connecter le port d'accès dynamique à une station d'extrémité ou à un concentrateur, pas à un autre commutateur !

Les ports de commutation sont des interfaces de couche 2 uniquement associées à un port physique. Un port de commutateur ne peut appartenir qu'à un seul VLAN s'il s'agit d'un port access ou a plusieurs VLANs s'il s'agit d'un port trunk. on peut configurer manuellement un port en tant que port access ou trunk, ou on peut laisser le Protocole Dynamic Trunking (DTP) fonctionner sur le port pour définir le mode switchport. DTP le fait en négociant avec le port à l'autre extrémité du lien.

Les commutateurs sont certainement des appareils assez occupés. Au fur et à mesure que les trames sont commutées sur le réseau, elles doivent être en mesure de suivre tous les différents types et comprendre ce qu'il faut en faire en fonction de l'adresse matérielle. Et les trames sont gérées différemment selon le type de lien qu'ils traversent.

Il existe deux types de ports différents dans un environnement commuté :

• Port access: Un port access appartient et transporte le trafic d'un seul VLAN. Le trafic est à la fois reçu et envoyé dans des formats natifs sans marquage VLAN que ce soit. Tout ce qui arrive sur un access port est simplement supposé appartenir au VLAN attribué au port. Alors, que se produira-t'il si un port access reçoit un paquet étiqueté IEEE 802.1Q ? Ce paquet serait simplement abandonné. Mais Pourquoi? Eh bien, parce qu'un port access ne regarde pas l'adresse source, le trafic étiqueté peut donc être transféré et reçu uniquement sur les port trunk. Avec un port access, cela peut être appelé le VLAN configuré du port. Tout périphérique connecté à un port access n'a pas connaissance d'une adhésion à un VLAN - l'appareil suppose simplement qu'il fait partie d'un domaine de diffusion, mais il n'a pas la vue d'ensemble, il ne comprend donc pas la topologie du réseau physique du tout. Une autre bonne information à retenir est que les commutateurs suppriment toutes les informations VLAN de la trame avant qu'elles ne soient transmises à un périphérique accesslink. Les périphériques accesslink ne peuvent pas communiquer avec des périphériques en dehors de leur VLAN à moins que le paquet ne soit routé. Et on pet créer uniquement un port de commutateur pour être un access port ou un port trunk, pas les deux. il faut donc choisir l'un ou l'autre et savoir que si on veut faire un port access, ce port ne peut être attribué qu'à un seul VLAN.

• Port trunk: Le terme port trunk a été inspiré par les jonctions du système téléphonique qui transportent plusieurs conversations téléphoniques à la fois. Il s'ensuit que les ports de jonction peuvent de la même manière transporter plusieurs VLAN à la fois. Un trunk est une liaison point à point de 100 ou 1000 Mbps entre deux commutateurs, entre un commutateur et un routeur, ou même entre un commutateur et serveur, et il transporte le trafic de plusieurs VLAN—de 1 à 4 094 à la fois (bien que ce ne soit en réalité que jusqu'à 1 005 à moins qu'on utilise des VLAN étendus). L'agrégation peut être un réel avantage car avec elle, on peut intégrer un seul port à un ensemble de VLAN différents en même temps. C'est une fonctionnalité intéressante car on peut réellement configurer des ports pour avoir un serveur dans deux domaines de diffusion distincts simultanément afin que les utilisateurs n'aient pas à traverser un périphérique de couche 3 (routeur) pour se connecter et y accéder. Un autre avantage du port trunk entre en jeu lorsqu'on doit se connecter aux commutateurs. Les trunklink peuvent transporter les trames de divers VLAN sur la liaison, mais par défaut, si les liaisons entre le commutateurs ne sont pas partagées, seules les informations du VLAN d'accès configuré seront commutées sur ce lien. Il est également bon de savoir que tous les VLAN envoient des informations sur un lien à ressources partagées à moins qu'on efface chaque VLAN à la main.

On peut configurer les VLAN pour couvrir plusieurs commutateurs connectés. Cette capacité flexible et puissante est probablement le principal avantage d'implémenter des VLAN.

Mais cela peut devenir un peu compliqué, même pour un commutateur, donc il doit y avoir un moyen pour chacun de garder une trace de tous les utilisateurs et trames au fur et à mesure qu'il parcourent la matrice de commutation et les VLAN. Le “switch fabric”, fait simplement référence à un groupe de commutateurs qui partagent les mêmes informations VLAN. Et il se trouve que c'est là que le marquage des trames entre en scène. Cette méthode d'identification de trame attribue de manière unique un ID de VLAN défini par l'utilisateur à chaque trame. Parfois, les gens l'appellent un ID de VLAN.

Voici comment cela fonctionne :

1. Une fois dans la matrice de commutation, chaque commutateur atteint par la trame doit d'abord identifier l'ID de VLAN à partir de la balise de trame. Alors il découvre ce qu'il faut faire avec la trame en regardant les informations dans ce qu'on appelle la table de filtrage. Si la trame atteint un commutateur qui a un autre lien à ressources partagées, la trame sera transférée vers le port de liaison réseau.
2. Une fois que la trame atteint une sortie déterminée par la table de transfert/filtre comme étant un lien d'accès correspondant à l'ID de VLAN de la trame, le commutateur supprime l'identifiant du VLAN. C'est ainsi que le périphérique de destination peut recevoir les trames sans avoir à comprendre leur identification VLAN.

Une autre chose à propos des port trunk est qu'ils prendront en charge simultanément le trafic balisé et non balisé (si on utilise le trunk 802.1Q). Un port trunk a un Port VLAN ID attribué par défaut (PVID) pour un VLAN sur lequel transitera tout le trafic non balisé. Ce VLAN est également appelé le VLAN natif et est toujours VLAN 1 par défaut (mais il peut être remplacé par n'importe quel numéro de VLAN).

De même, tout trafic non balisé ou balisé avec un ID de VLAN NULL (non attribué) est supposé appartenir au VLAN avec le PVID par défaut du port (encore une fois,VLAN 1 par défaut). Un paquet avec un ID de VLAN égal au VLAN natif du port sortant est envoyé sans balise et ne peut communiquer qu'avec les hôtes ou périphériques dans ce même VLAN. Tout autre trafic VLAN doit être envoyé avec une balise VLAN pour communiquer au sein d'un VLAN particulier qui correspond à cette balise.

L'identification du VLAN est ce que les commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent une matrice de commutation. C'est ainsi que les commutateurs identifient quelles trames appartiennent à quels VLAN et il existe plusieurs méthodes de jonction.

Inter-Switch Link (ISL) est un moyen de marquer explicitement les informations VLAN sur une trame Ethernet. Ces informations de marquage permettent aux VLAN d'être multiplexé sur une liaison de jonction via une méthode d'encapsulation externe (ISL), qui permet au commutateur d'identifier l'appartenance au VLAN d'une trame reçue sur la liaison partagée.

En exécutant ISL, on peut interconnecter plusieurs commutateurs tout en conservant les informations VLAN pendant que le trafic circule entre les commutateurs sur les liaisons de jonction. ISL fonctionne au niveau de la couche 2 en encapsulant une trame de données avec un nouvel en-tête et un nouveau contrôle de redondance cyclique (CRC).

Il s'agit de la propriété des commutateurs Cisco qui est utilisé sur les liaisons FastEthernet et Gigabit Ethernet uniquement. Le routage ISL est assez polyvalent et peut être utilisé sur un port de commutateur, des interfaces de routeur et des cartes d'interface de serveur pour relier un serveur.

Créé par l'IEEE en tant que méthode standard de marquage de trame, IEEE 802.1Q insère en fait un champ dans la trame pour identifier le VLAN. Si on est dans un trunk entre une liaison commutée Cisco avec d'autres marques de commutateurs, il faut utiliser 802.1Q pour que le trunk fonctionne.

Cela fonctionne comme ceci :

1. On désigne d'abord chaque port qui va être une jonction avec l'encapsulation 802.1Q. Les ports doivent se voir attribuer un ID de VLAN, afin qu'ils puissent communiquer. (VLAN 1 est le VLAN natif par défaut et tout le trafic pour un VLAN natif lors de l'utilisation de 801.q n'est pas balisé.)
2. Les ports qui peuplent le même trunk créent un groupe avec ce VLAN natif, et chaque port est étiqueté avec un numéro d'identification reflétant cela, encore une fois la valeur par défaut est VLAN 1. Le VLAN natif permet aux jonctions d'accepter les informations qui ont été reçues sans aucune identification de VLAN ou balise de trame.

L'objectif fondamental des méthodes de marquage de trame ISL et 802.1Q est de fournir une communication VLAN entre commutateurs. N'oublier pas non plus que tout balisage de trame ISL ou 802.1Q est supprimé si une trame est transférée vers un lien access - le balisage est utilisé en interne et sur les liens de jonction uniquement !

Les objectifs de base du VLAN Trunking Protocol (VTP) sont de gérer tous les VLAN configurés sur un réseau commuté et de maintenir la cohérence sur l'ensemble de ce réseau. VTP permet d'ajouter, de supprimer et de renommer des VLAN—informations qui sont ensuite propagé à tous les autres commutateurs du domaine VTP.

Voici une liste de certaines des fonctionnalités intéressantes que VTP offre:

1. Configuration VLAN cohérente sur tous les commutateurs du réseau
2. Agrégation VLAN sur des réseaux mixtes, tels que Ethernet vers ATM LANE ou même FDDI
3. Suivi et surveillance précis des VLAN
4. Rapport dynamique des VLAN ajoutés à tous les commutateurs du domaine VTP
5. Ajout de VLAN à l'aide de Plug and Play

Avant de pouvoir faire en sorte que VTP gère les VLAN sur le réseau, il faut créer un serveur VTP (vraiment, on n'a pas besoin de même faire cela puisque tous les commutateurs sont par défaut en mode serveur VTP, mais s'assurer simplement d'avoir un serveur). Tous les serveurs qui ont besoin de partager des informations VLAN doivent utiliser le même nom de domaine et un commutateur ne peut appartenir qu'à un seul domaine à la fois. Donc, fondamentalement, cela signifie qu'un commutateur peut partager ses informations dans le domaine VTP avec d'autres commutateurs uniquement s'ils sont configurés dans le même domaine VTP. on peut utiliser un domaine VTP si on a plusieurs commutateurs connecté à un réseau, mais si on a tous les commutateurs dans un seul VLAN,on n'a tout simplement pas besoin d'utiliser VTP. Les informations VTP sont envoyées entre les commutateurs uniquement via un port de jonction.

Les commutateurs annoncent les informations du domaine de gestion VTP ainsi qu'un numéro de révision de configuration et tous les VLAN connus avec paramètres. Mais il y a aussi quelque chose appelé mode transparent VTP, dans ce mode, on peut configurer des commutateurs pour transmettre les informations VTP via le port trunk mais ne pas accepter les mises à jour d'informations ou mettre à jour leurs bases de données VTP.

Si on a des utilisateurs sournois qui ajoutent des commutateurs au domaine VTP, on peut inclure des mots de passe, mais: chaque commutateur doit être configuré avec le même mot de passe.

Les commutateurs détectent tous les VLAN ajoutés dans une annonce VTP, puis se préparent à envoyer des informations sur leurs ports de jonction avec le nouveau VLAN en remorque. Les mises à jour sont envoyées sous forme de numéros de révision qui consistent en des annonces récapitulatives. Chaque fois qu'un commutateur voit un numéro de révision plus élevé, il sait que les informations qu'il obtient sont plus actuelles, il écrasera donc la base de données VLAN existante avec les dernières informations.

Il faut connaître ces exigences pour que VTP communique les informations VLAN entre les commutateurs :

1. Le nom de domaine de gestion VTP des deux commutateurs doit être défini de la même manière.
2. L'un des commutateurs doit être configuré en tant que serveur VTP.
3. Définir un mot de passe VTP s'il est utilisé.

Il y a trois modes de fonctionnement différents au sein d'un domaine VTP :

• Serveur: Il s'agit du mode par défaut pour tous les commutateurs Catalyst. Il faut au moins un serveur dans le domaine VTP pour propager les informations VLAN dans tout ce domaine. Également important : le commutateur doit être en mode serveur pour pouvoir créer, ajouter et supprimer des VLAN dans un domaine VTP. Les informations VLAN doivent être modifiées en mode serveur, et toute modification apportée aux VLAN sur un commutateur en mode serveur sera annoncée au domaine VTP entier. En mode serveur VTP, les configurations VLAN sont enregistrées dans la NVRAM sur le commutateur.
• Client: En mode client, les commutateurs reçoivent des informations du serveur VTP, mais ils reçoivent et transmettent également des mises à jour, donc de cette façon, ils se comportent comme les serveurs VTP. La différence est qu'ils ne peuvent pas créer, modifier ou supprimer des VLAN. De plus, aucun des ports d'un commutateur client ne peut être ajouté à un nouveau VLAN avant que le serveur VTP n'informe le commutateur client du nouveau VLAN et que le VLAN existe dans la base de données VLAN du client. Les informations VLAN envoyées depuis un serveur VTP ne sont pas stockées dans la NVRAM, ce qui est important car cela signifie que si le commutateur est réinitialisé ou rechargé, les informations VLAN seront supprimées. Si on veut qu'un commutateur devienne un serveur, il faut d'abord en faire un client afin qu'il reçoive toutes les informations VLAN correctes, puis le changer en serveur. Donc, fondamentalement, un commutateur en mode client VTP transmettra les annonces récapitulatives VTP et les traitera. Ce commutateur apprendra mais n'enregistrera pas la configuration VTP dans la configuration en cours, et il ne l'enregistrera pas dans la NVRAM. Les commutateurs qui sont en mode client VTP ne feront qu'apprendre et transmettre des informations VTP.
• Transparent: Les commutateurs en mode transparent ne participent pas au domaine VTP ou ne partagent pas sa base de données VLAN, mais ils transmettront toujours les annonces VTP via toutes les liaisons trunk configurées. Ils peuvent créer, modifier et supprimer des VLAN car ils conservent leur propre base de données, mais ils gardent le secret des autres commutateurs. Bien qu'elle soit conservée dans la NVRAM, la base de données VLAN en mode transparent n'est en fait que localement important. L'objectif du mode transparent est de permettre aux commutateurs distants de recevoir la base de données VLAN d'un serveur VTP configuré via un commutateur qui ne participe pas aux mêmes attributions de VLAN.

VTP n'apprend que les VLAN à plage normale, avec les ID de VLAN 1 à 1005 ; Les VLAN avec des ID supérieurs à 1005 sont appelés VLAN à portée étendue et ils ne sont pas stockés dans la base de données VLAN. Le commutateur doit être en mode transparent VTP lorsqu'on créer des ID de VLAN de 1006 à 4094, donc il serait assez rare qu'on utilise jamais ces VLAN. Une autre chose : les ID de VLAN 1 et 1002 à 1005 sont automatiquement créés sur tous commutateurs et ne peuvent pas être retirés.

VTP offre un moyen de préserver la bande passante en la configurant pour réduire la quantité de diffusions, de multidiffusions et de paquets de monodiffusion. C'est appelé élagage (pruning) . Les commutateurs activés pour l'élagage VTP envoient des diffusions uniquement aux liaisons de jonction qui doivent réellement disposer des informations.

Voici ce que cela signifie : Si le commutateur A n'a aucun port configuré pour le VLAN 5 et qu'une diffusion est envoyée à travers le VLAN 5, cette diffusion ne traverserait pas la liaison de jonction vers le commutateur A. Par défaut, l'élagage VTP est désactivé sur tous les commutateurs. Cela semble un bon défaut pour ce paramètre. Lorsqu'on activer l'élagage sur un serveur VTP, on l'active pour l'ensemble du domaine. Par défaut, les VLAN 2 à 1001 sont éligibles à l'élagage,mais le VLAN 1 ne peut jamais être élagué car il s'agit d'un VLAN administratif. L'élagage VTP est pris en charge avec les versions 1 et 2 de VTP.

En utilisant la commande show interface trunk, on peut voir que tous les VLAN sont autorisés sur une liaison agrégée par défaut :

S1# sh int trunk
Port   Mode  Encapsulation Status     Native vlan
Fa0/1  auto  802.1q        trunking   1
Fa0/2  auto  802.1q        trunking  1

Port   Vlans allowed on trunk
Fa0/1  1-4094
Fa0/2  1-4094

Port   Vlans allowed and active in management domain
Fa0/1  1
Fa0/2  1

Port   Vlans in spanning tree forwarding state and not pruned
Fa0/1  1
Fa0/2  none
S1#

En regardant la sortie précédente, on peut voir que l'élagage VTP est désactivé par défaut. On va l'activer avec une seule commande et elle sera activée sur l'ensemble du réseau commuté pour les VLAN répertoriés:

S1# config t
S1(config)# int f0/1
S1(config-if)# switchport trunk ?
  allowed Set allowed VLAN characteristics when interface is
  in trunking mode
  native Set trunking native characteristics when interface
  is in trunking mode
  pruning Set pruning VLAN characteristics when interface is
  in trunking mode
S1(config-if)# switchport trunk pruning ?
  vlan Set VLANs enabled for pruning when interface is in
  trunking mode
S1(config-if)# switchport trunk pruning vlan 3-4

Les VLAN valides pouvant être élagués sont compris entre 2 et 1001. Les VLAN à portée étendue (ID de VLAN 1006 à 4094) ne peuvent pas être élagués, et ces VLAN non éligibles à l'élagage peuvent recevoir un flot de trafic.

Il est impératif de voir cette section VTP plus d'une fois, et il est extrêmement important pour les objectifs du CCNA, il faut avoir une compréhension fondamentale très claire du VTP.

Les hôtes d'un VLAN vivent dans leur propre domaine de diffusion et peuvent communiquer librement. Les VLAN créent un partitionnement du réseau et une séparation du trafic au niveau de la couche 2 de l'OSI, et si on veut que des hôtes ou tout autre périphérique adressable par IP communiquent entre VLAN, il suffit d'avoir un périphérique de couche 3 pour assurer le routage, point final.

Pour cela, on peut utiliser un routeur disposant d'une interface pour chaque VLAN ou un routeur prenant en charge le routage ISL ou 802.1Q.

Dans la figure suivante on peut voir que chaque interface de routeur est branchée sur une liaison d'accès. Cela signifie que les adresses IP de l'interface de chacun des routeurs deviendraient alors l'adresse de passerelle par défaut pour chaque hôte dans chaque VLAN respectif.

Si on a plus de VLAN disponibles que d'interfaces de routeur, on peut configurer un trunk sur une interface FastEthernet ou acheter un commutateur de couche 3.

Au lieu d'utiliser une interface de routeur pour chaque VLAN, on peut utiliser une interface FastEthernet et exécuter le trunk ISL ou 802.1Q, comme le montre la figure suivante.

Cela permet à tous les VLAN de communiquer via un seul interface. Cisco appelle cela un « router in a stick».

On dois souligner que cela crée un goulot d'étranglement potentiel, ainsi qu'un point de défaillance unique, de sorte que le nombre d'hôtes/VLAN est limité. De combien? cela dépend du niveau de trafic. ?

Cela peut surprendre, mais la création des VLAN est en fait assez simple, mais déterminer quels utilisateurs on veut dans chaque VLAN est extrêmement chronophage.

Pour configurer des VLAN sur un commutateur Cisco Catalyst, utiliser la commande global config vlan. Dans l'exemple suivant, on va voir comment configurer les VLAN sur le commutateur S1 en créant trois VLAN pour trois services différents (Le VLAN 1 est le VLAN administratif par défaut) :

S1# config t
S1(config)# vlan ?
  WORD     ISL VLAN IDs 1-4094
  internal internal VLAN
S1(config)# vlan 2
S1(config-vlan)# name Sales
S1(config-vlan)# vlan 3
S1(config-vlan)# name Marketing
S1(config-vlan)# vlan 4
S1(config-vlan)# name Accounting
S1(config-vlan)# ^Z
S1#

À partir des commandes précédentes, on peut voir qu'on peut créer des VLAN de 2 à 4094. Ce n'est que partiellement vrai, car on ne peut pas utiliser, modifier, renommer ou supprimer les VLAN 1 et 1002 à 1005 car ils sont réservés.

Les VLAN de nombres supérieurs à 1005 sont appelés VLAN étendus et ne seront pas enregistrés dans la base de données à moins que le commutateur ne soit configuré en mode transparent VTP. On ne verra pas ces numéros de VLAN utilisés trop souvent en production. Voici un exemple de définition d'un VLAN 4000 sur un commutateur défini sur le mode serveur VTP (le mode VTP par défaut) :

S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Failed to create VLANs 4000
Extended VLAN(s) not allowed in current VTP mode.
%Failed to commit extended VLAN(s) changes.

Après avoir créé les VLAN souhaités, on peut utiliser la commande show vlan pour les vérifier. Mais par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour modifier le VLAN associé à un port, il faut accéder à chaque interface et lui indiquer à quel VLAN faire partie.

Une fois les VLAN créés, vérifier la configuration avec la commande show vlan:

S1# sh vlan
VLAN Name                Status      Ports
---- -----------------------------------------------------------
1    default             active      Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                     Fa0/7, Fa0/8, Gi0/1
2    Sales               active
3    Marketing           active
4    Accounting          active
[output cut]

Cela peut sembler répétitif, mais c'est important, on ne peut pas modifier, supprimer ou renommer le VLAN 1 car c'est la valeur VLAN par défaut et on ne peut tout simplement pas changer cela. C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco recommande de l'utiliser comme VLAN administratif. Fondamentalement, tous les ports qui ne sont pas spécifiquement affectés à un VLAN différent seront envoyés au VLAN natif (VLAN 1).

Dans la sortie S1 précédente, on peut voir que les ports Fa0/3 à Fa0/8 et la liaison montante Gi0/1 sont tous dans le VLAN 1, mais où sont les ports 1 et 2 ?

Maintenant qu'on peut voir les VLAN créés, on peut attribuer des ports de commutation à des ports spécifiques. Chaque port ne peut faire partie que d'un seul VLAN, à l'exception des ports access voix. Avec le trunk, on peut rendre un port disponible pour le trafic de tous les VLAN.

Dans cette section on va voir comment:

• configurer chaque port d'un commutateur pour qu'il se trouve dans un VLAN (port access) spécifique.
• configurer un port trunk en spécifi=ant le type de trafic que le port transporte, ainsi que les VLAN auxquels il peut appartenir.

  1. configurer plusieurs ports en même temps avec la commande interface range
  2. configurer des appartenances statiques ou dynamiques sur un port.

  #### Configuration port access

Dans l'exemple suivant, on va configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du commutateur S1 au périphérique HostA :

Commençons par définir un port access sur S1, qui est probablement le type de port le plus largement utilisé sur les commutateurs de production sur lesquels des VLAN sont configurés :

S1(config-if)# switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or
trunk mode
trunk
Set trunking mode to TRUNK unconditionally
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 3

En commençant par la commande switchport mode access, on indique au commutateur qu'il s'agit d'un port de couche 2 sans agrégation. on peut ensuite attribuer un VLAN au port avec la commande switchport access.

Si on a branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres appareils dans le même VLAN. Lorsqu'on veut activer la communication interVLAN il faut d'abord en apprendre un peu plus sur le trunk.

Pour configurer le trunk sur un port FastEthernet, utiliser la commande interface switchport mode trunk.

La sortie de commutateur suivante affiche la configuration de trunk sur l'interface fa0/8 définie en trunk :

S1# config t
S1(config)# int fa0/8
S1(config-if)# switchport mode trunk

Pour désactiver le trunk sur une interface, utiliser la commande switchport mode access, qui rétablit le port sur un port de commutateur d'accès de couche 2 dédié.

Comme on l'a mentionné, les ports trunk envoient et reçoivent des informations de tous les VLAN par défaut, et si une trame n'est pas balisée, elle est envoyée à la gestion VLAN. Cela s'applique également aux VLAN à portée étendue.

Mais on peut supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de traverser une liaison à ressources partagées. Voici comment procéder :

S1# config t
S1(config)# int f0/1
S1(config-if)# switchport trunk allowed vlan ?
  WORD     VLAN IDs of the allowed VLANs when this port is in
  trunking mode
  add      add VLANs to the current list
  all      all VLANs
  except   all VLANs except the following
  none     no VLANs
  remove   remove VLANs from the current list
S1(config-if)# switchport trunk allowed vlan remove ?
  WORD VLAN IDs of disallowed VLANS when this port is in trunking mode
S1(config-if)# switchport trunk allowed vlan remove 4

La commande précédente a affecté le trunk sur le port S1 f0/1, l'amenant à supprimer tout le trafic envoyé et reçu pour le VLAN 4.

Pour supprimer une plage de VLAN, utiliser simplement le tiret :

S1(config-if)# switchport trunk allowed vlan remove 4-8

Si, par hasard, quelqu'un a supprimé des VLAN d'une liaison de jonction et qu'on souhaite rétablir la valeur par défaut de la jonction, utiliser simplement cette commande :

S1(config-if)# switchport trunk allowed vlan all

Ou cette commande pour accomplir la même chose :

S1(config-if)# no switchport trunk allowed vlan

Ensuite, on va voir comment configurer un VLAN natif pour un trunk avant de commencer le routage inter VLAN.

Pour changer le VLAN natif, utiliser la commande suivante :

S1# config t
S1(config)# int f0/1
S1(config-if)# switchport trunk ?
  allowed Set allowed VLAN characteristics when interface is
  in trunking mode
  native Set trunking native characteristics when interface
  is in trunking mode
  pruning Set pruning VLAN characteristics when interface is
  in trunking mode
S1(config-if)# switchport trunk native ?
 vlan Set native VLAN when interface is in trunking mode
S1(config-if)# switchport trunk native vlan ?
  <1-4094> VLAN ID of the native VLAN when this port is in
  trunking mode
S1(config-if)# switchport trunk native vlan 40
S1(config-if)# ^Z

On a donc changé le VLAN natif sur le lien trunk en 40, et en utilisant show running-config on peut voir la nouvelle configuration du trunk:

!
interface FastEthernet0/1
switchport trunk native vlan 40
switchport trunk allowed vlan 1-3,9-4094
switchport trunk pruning vlan 3,4
!

Si tous les commutateurs ne sont pas configurés avec le même VLAN natif dans le lien trunk, alors on commencera à recevoir cette erreur :

19:23:29: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch
discovered on FastEthernet0/1 (40), with Core FastEthernet0/7 (1).
19:24:29: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch
discovered on FastEthernet0/1 (40), with Core FastEthernet0/7 (1).

En fait, c'est une bonne erreur non cryptique, donc soit on modifie le VLAN Natif à l'autre extrémité du lien, soit on définit le VLAN natif à la valeur par défaut. Voici comment on procéderait :

S1(config-if)# no switchport trunk native vlan

Maintenant, le lien trunk utilise le VLAN 1 par défaut comme VLAN natif.

Maintenant, on va connecter un routeur au réseau commuté et configurer la communication l'inter-VLAN.

Par défaut, seuls les hôtes membres du même VLAN peuvent communiquer. Pour changer cela et permettre la communication inter-VLAN, on a besoin d'un routeur ou un commutateur de couche 3. On va commencer par l'approche du routeur.

Pour prendre en charge le routage ISL ou 802.1Q sur une interface FastEthernet, l'interface du routeur est divisée en interfaces logiques, une pour chaque VLAN. Ils sont appelées sous-interfaces. À partir d'une interface FastEthernet ou Gigabit, on peut définir l'interface sur trunk avec la commande d'encapsulation :

ISR# config t
ISR(config)# int f0/0.1
ISR(config-subif)# encapsulation ?
  dot1Q IEEE 802.1Q Virtual LAN
ISR(config-subif)# encapsulation dot1Q ?
  <1-4094> IEEE 802.1Q VLAN ID

On remarquera que le routeur ne prend en charge que 802.1Q.

Le numéro de sous-interface n'est significatif que localement, donc peu importe quels numéros de sous-interface sont configurés sur le routeur. Le plus souvent, on va configurer une sous-interface avec le même numéro que le VLAN qu'on veut acheminer. Il est facile de s'en souvenir puisque le numéro de la sous-interface est utilisé uniquement à des fins administratives.

Il est vraiment important de comprendre que chaque VLAN est un sous-réseau distinct (même s'ils n'ont pas à l'être, c'est vraiment une bonne idée de configurer les VLAN en tant que sous-réseaux distincts).

Maintenant, on doit s'assurer qu'on est parfaitement prêt à configurer le routage inter-VLAN ainsi qu'à déterminer les adresses IP des hôtes connectés dans un environnement VLAN commuté, etc omme toujours, c'est aussi une bonne idée de pouvoir résoudre tous les problèmes qui peuvent survenir, à partir de quelques exemples.

Tout d'abord, on va étudier la figure suivante pour étudier la configuration du routeur et du commutateur qu'elle contient. On doit être en mesure de déterminer l'adresse IP, les masques et les passerelles par défaut de chacun des hôtes dans les VLAN.

L'étape suivante consiste à déterminer quels sous-réseaux sont utilisés. En regardant la configuration du routeur dans la figure, on peut voir qu'on utilise 192.168.1.64/26 dans le VLAN 1 et 192.168.1.128/27 dans le VLAN 10. Et en regardant la configuration du commutateur, on peut voir que les ports 2 et 3 sont dans le VLAN 1 et le port 4 est dans le VLAN 10. Cela signifie que HostA et HostB sont dans le VLAN 1 et HostC est dans le VLAN 10.

Voici ce que devraient être les adresses IP des hôtes :

1. HostA : 192.168.1.66, 255.255.255.192, passerelle par défaut 192.168.1.65
2. HostB : 192.168.1.67, 255.255.255.192, passerelle par défaut 192.168.1.65
3. HostC : 192.168.1.130, 255.255.255.224, passerelle par défaut 192.168.1.129

Les hôtes peuvent être n'importe quelle adresse de la plage - on viens de choisir la première adresse IP disponible après l'adresse de passerelle par défaut.

Maintenant, en utilisant à nouveau la Figure précédente, passons en revue les commandes nécessaires pour configurer le port de commutateur 1 pour établir une liaison avec le routeur et fournir communication inter-VLAN utilisant la version IEEE pour en capsulage. Garder à l'esprit que les commandes peuvent varier légèrement selon le type de commutateur auquel on a affaire.

2960#config t
2960(config)#interface fa0/1
2960(config-if)#switchport mode trunk

Remarque, le commutateur 2960 ne peut exécuter que l'encapsulation 802.1Q, il n'est donc pas nécessaire de le spécifier. Pour un 3560, c'est fondamentalement la même chose , mais comme il peut exécuter ISL et 802.1Q, il faut spécifier le protocole de jonction qu'on va utiliser.

Jetons un coup d'œil à la figure suivante et voyons ce qu'on peut en apprendre. Cette figure montre trois VLAN, avec deux hôtes dans chacun d'eux.

Le routeur est connecté au port du commutateur fa0/1 et le VLAN 2 est configuré sur le port F0/6.

En regardant le diagramme, voici les choses qu'il faut retenir:

1. Le routeur est connecté au commutateur à l'aide de sous-interfaces.
2. Le port de commutation se connectant au routeur est un port de jonction.
3. Les ports de commutation qui se connectent aux clients et au concentrateur sont des ports access et non des ports trunk.

La configuration du commutateur ressemblerait à ceci :

2960# config t
2960(config)# int f0/1
2960(config-if)# switchport mode trunk
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 1
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 1
2960(config-if)# int f0/4
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/5
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/6
2960(config-if)# switchport access vlan 2

Avant de configurer le routeur, on doit concevoir le réseau logique :

1. VLAN 1 : 192.168.10.16/28
2. VLAN 2 : 192.168.10.32/28
3. VLAN 3 : 192.168.10.48/28

La configuration du routeur ressemblerait alors à ceci :

ISR# config t
ISR(config ) # int Fa0/0
ISR(config-if)# no ip address
ISR(config-if)# no shutdown
ISR(config-if)# int f0/0.1
ISR(config-subif)# encapsulation dot1q 1
ISR(config-subif)# ip address 192.168.10.17 255.255.255.240
ISR(config-subif)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# ip address 192.168.10.33 255.255.255.240
ISR(config-subif)# int f0/0.3
ISR(config-subif)# encapsulation dot1q 3
ISR(config-subif)# ip address 192.168.10.49 255.255.255.240

Les hôtes de chaque VLAN se verraient attribuer une adresse de leur plage de sous-réseau, et la passerelle par défaut serait l'adresse IP attribuée au sous-interface du routeur dans ce VLAN.

La figure suivante montre un routeur connecté à un commutateur avec deux VLAN. Un hôte dans chaque VLAN se voit attribuer une adresse IP. Quels sont les configurations de routeur et de commutateur basées sur ces adresses IP ?

Étant donné que les hôtes ne répertorient pas de masque de sous-réseau, il faut rechercher le nombre d'hôtes utilisés dans chaque VLAN pour déterminer la taille du bloc. Le VLAN 1 a 85 hôtes et le VLAN 2 compte 115 hôtes. Chacun d'eux s'adaptera à une taille de bloc de 128, qui est un masque /25, ou 255.255.255.128.

Les sous-réseaux sont 0 et 128:

1. le sous-réseau 0 (VLAN 1) a une plage d'hôtes de 1 à 126,
2. le sous-réseau 128 (VLAN 2) a un plage de 129 à 254.

Puisque HostA a une adresse IP de 126, cela donne presque l'impression que HostA et HostB sont dans le même sous-réseau, mais HostA et HostB ne sont pas dans le même sous-reseau.

Voici la configuration du commutateur :

2960# config t
2960(config)# int f0/1
2960(config-if)# switchport mode trunk
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 1
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 2

Voici la configuration du routeur :

ISR# config t
ISR(config ) # int f0/0
ISR(config-if)# no ip address
ISR(config-if)# no shutdown
ISR(config-if)# int f0/0.1
ISR(config-subif)# encapsulation dot1q 1
ISR(config-subif)# ip address 172.16.10.1 255.255.255.128
ISR(config-subif)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# ip address 172.16.10.254 255.255.255.128

On a utilisé la première adresse de la plage d'hôtes pour le VLAN 1 et la dernière adresse de la plage pour le VLAN 2, mais n'importe quelle adresse de la plage fonctionnerait. Il suffit de configurer la passerelle par défaut de l'hôte sur l'adresse du routeur.

Maintenant, avant de passer à l'exemple suivant, on doit s'assurer qu'on sait comment définir l'adresse IP sur le commutateur. Étant donné que le VLAN 1 est généralement le VLAN administratif, on utilisera une adresse IP de ce pool d'adresses. Voici comment définir l'adresse IP du commutateur:

2960#config t
2960(config)#int vlan 1
2960(config-if)#ip adress 172.16.10.2 255.255.255.128
2960(config-if)#no shutdown

Un autre exemple, et on passera ensuite au VTP, un autre sujet important à ne pas manquer !

Dans la figure suivante, il y a deux VLAN. En regardant la configuration du routeur, quelle est l'adresse IP, le masque et la passerelle par défaut de HostA ? Utiliser la dernière adresse IP de la plage pour l'adresse de HostA.

Si on regarder vraiment attentivement la configuration du routeur (le nom d'hôte dans cette figure est juste Router), il existe une réponse simple et rapide. Les deux sous-réseaux utilisent un /28, qui est un masque 255.255.255.240. Il s'agit d'une taille de bloc de 16. L'adresse du routeur pour le VLAN 1 se trouve dans le sous-réseau 128. Le sous-réseau suivant est 144, donc l'adresse de diffusion du VLAN 1 est 143 et la plage d'hôtes valide est 129–142. L'adresse de l'hôte serait donc celle-ci :

1. Adresse IP : 192.168.10.142
2. Masque : 255.255.255.240
3. Passerelle par défaut : 192.168.10.129

Tous les commutateurs Cisco sont configurés pour être des serveurs VTP par défaut. Pour configurer VTP, il faut d'abord configurer le nom de domaine qu'on souhaite utiliser. Et bien sûr, une fois qu'on a configuré les informations VTP sur un commutateur, il faut les vérifier.

Lorsqu'on créer le domaine VTP, on dispose de quelques options, notamment la définition du nom de domaine, le mot de passe, le mode de fonctionnement et les capacités d'élagage du commutateur. Utiliser la commande de mode de configuration globale vtp pour définir toutes ces informations. Dans l'exemple suivant, on va régler le commutateur S1 sur serveur vtp, le domaine VTP à Lammle et le mot de passe VTP à todd, en utilisant la disposition qu'on a utilisée dans la Figure suivante:

S1# config t
S1#(config)# vtp mode server
Device mode already VTP SERVER.
S1(config)# vtp domain Lammle
Changing VTP domain name from null to Lammle
S1(config)# vtp password todd
Setting device VLAN database password to todd
S1(config)# do show vtp password
VTP Password: todd
S1(config)# do show vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 255
Number of existing VLANs        : 8
VTP Operating Mode              : Server
VTP Domain Name                 : Lammle
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x15 0x54 0x88 0xF2 0x50 0xD9 0x03 0x07
Configuration last modified by 192.168.24.6 at 3-14-93 15:47:32
Local updater ID is 192.168.24.6 on interface Vl1 (lowest numbered VLAN interface found)

Tous les commutateurs sont définis sur le mode serveur VTP par défaut, et si on souhaite modifier et distribuer un VLAN informations sur un switch, il faut absolument être en mode serveur VTP. Après avoir configuré les informations VTP, on peut les vérifier avec la commande show vtp comme indiqué dans la sortie précédente. La sortie de commutateur précédente affiche le domaine VTP, le mot de passe VTP et le mode du commutateur.

On remarquera que la sortie de show vtp montre que le nombre maximal de VLAN pris en charge localement n'est que de 255. Étant donné que on peut créer plus de 1 000 VLAN sur un commutateur, cela semble comme ce serait certainement un problème si on a plus de 255 VLAN et qu'on utilise VTP. C'est un problème - si on essaye de configurer le 256ème VLAN sur un commutateur, on aura un message d'erreur indiquant qu'il n'y a pas asser de ressources matérielles disponibles, et alors il arrêtera le VLAN et le 256ème VLAN apparaîtra dans l'état suspendu dans la sortie de la commande show vlan.

Passons aux commutateurs Core et S2 et plaçons-les dans le domaine Lammle VTP. Il est très important de se rappeler que le nom de domaine VTP est sensible aux majuscules et minuscules! VTP ne pardonne pas - une toute petite erreur et cela ne fonctionnera tout simplement pas.

Core# config t
Core(config)# vtp mode client
Setting device to VTP CLIENT mode.
Core(config)# vtp domain Lammle
Changing VTP domain name from null to Lammle
Core(config)# vtp password todd
Setting device VLAN database password to todd
Core(config)# do show vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 5
VTP Operating Mode              : Server
VTP Domain Name                 : Lammle
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x2A 0x6B 0x22 0x17 0x04 0x4F 0xB8 0xC2
Configuration last modified by 192.168.10.19 at 3-1-93 03:13:16
Local updater ID is 192.168.24.7 on interface Vl1 (first interface found)

S2# config t
S2(config)# vtp mode client
Setting device to VTP CLIENT mode.
S2(config)# vtp domain Lammle
Changing VTP domain name from null to Lammle
S2(config)# vtp password todd
Setting device VLAN database password to todd
S2(config)# do show vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 5
VTP Operating Mode              : Client
VTP Domain Name                 : Lammle
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x02 0x11 0x18 0x4B 0x36 0xC5 0xF4 0x1F
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

Mmaintenant que tous les commutateurs sont définis sur le même domaine et mot de passe VTP, les VLAN qu'on a créés précédemment sur le commutateur S1 doivent être affichés dans les commutateurs clients Core et S2 VTP. Jetons un coup d'œil à l'aide de la commande show vlan brief sur les commutateurs Core et S2 :

Core# sh vlan brief
VLAN Name               Status    Ports
---- ------------------ --------- ---------------------
1    default            active    Fa0/1,Fa0/2,Fa0/3,Fa0/4
                                  Fa0/9,Fa0/10,Fa0/11,Fa0/12
                                  Fa0/13,Fa0/14,Fa0/15,
                                  Fa0/16,Fa0/17, Fa0/18, Fa0/19,
                                  Fa0/20,Fa0/21, Fa0/22, Fa0/23,
                                  Fa0/24, Gi0/1, Gi0/2
2    Sales              active
3    Marketing          active
4    Accounting         active
[output cut]

S2# sh vlan bri
VLAN Name               Status    Ports
---- ------------------ --------- ---------------------
1    default            active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                  Fa0/7, Fa0/8, Gi0/1
2    Sales              active
3    Marketing          active
4    Accounting         active
[output cut]

La base de données VLAN qu'on a créée sur le commutateur S1 plus tôt dans ce chapitre a été téléchargée sur les commutateurs Core et S2 via des annonces VTP. VTP est un excellent moyen de maintenir la cohérence des noms de VLAN sur le réseau commuté. On peut maintenant attribuer des VLAN aux ports sur le Commutateurs Core, S1 et S2, et ils communiqueront avec les hôtes dans les mêmes VLAN sur les autres commutateurs à travers les ports à ressources partagées entre commutateurs.

Il est impératif qu'on puisse attribuer un nom de domaine VTP, régler le commutateur en mode serveur VTP et créer un VLAN !

Si VTP n'est pas configuré correctement, il (surprise !) ne fonctionnera pas, il faut donc absolument être capable de dépanner VTP. Examinons quelques configurations et résolvons les problèmes. Étudier la sortie des deux commutateurs suivants :

VTP Version		                : 2	
Configuration Revision		        : 0
Maximum VLANs supported locally		: 64
Number of existing VLANs		: 7
VTP Operating Mode	         	: Server
VTP Domain Name		                : RouterSim
VTP Pruning Mode	            	: Disabled
VTP V2 Mode	                   	: Disabled
VTP Traps Generation                    : Disabled

SwitchB# sh vtp status VTP Version : 2 Configuration Revision : 1 Maximum VLANs supported locally : 64 Number of existing VLANs : 7 VTP Operating Mode : Server VTP Domain Name : GlobalNet VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled

Alors, que se passe-t-il avec ces deux commutateurs ? Pourquoi ne partagent-ils pas les informations VLAN ? A première vue, il semble que les deux serveurs soient en VTP mode serveur, mais ce n'est pas le problème. Les serveurs en mode serveur VTP partageront les informations VLAN à l'aide de VTP. Le problème c'est qu'ils sont en deux domaines VTP différents. SwitchA est dans le domaine VTP RouterSim et SwitchB est dans le domaine VTP GlobalNet. Ils ne partageront jamais les informations VTP car les noms de domaine VTP sont configurés différemment.

Maintenant qu'on sait comment rechercher les erreurs de configuration de domaine VTP courantes dans les commutateurs, examinons une autre configuration de commutateur :

SwitchC# sh vtp status			
VTP Version		                : 2
Configuration Revision		        : 1
Maximum VLANs supported locally		: 64
Number of existing VLANs		: 7
VTP Operating Mode		        : Client
VTP Domain Name		                : Todd
VTP Pruning Mode		        : Disabled
VTP V2 Mode		                : Disabled
VTP Traps Generation		        : Disabled

Là, on aura un problème l'orsqu'on essaye simplement de créer un nouveau VLAN sur SwitchC, pourquoi ne peut-on pas créer un VLAN sur SwitchC ? Eh bien, le nom de domaine VTP n'est pas la chose importante dans cet exemple. Ce qui est critique ici, c'est le mode VTP. Le mode VTP est client, et un client VTP ne peut pas créer, supprimer ou modifier des VLAN. Les clients VTP ne conservent que la base de données VTP en RAM, et ce n'est pas enregistré dans la NVRAM. Ainsi, afin de créer un VLAN sur ce commutateur, il faut d'abord faire du commutateur un serveur VTP.

Voici ce qui se passera lorsqu'on a la configuration VTP précédente :

SwitchC(config)# vlan 50
VTP VLAN configuration not allowed when device is in CLIENT mode.

Donc, pour résoudre ce problème, voici ce que il faut faire :

SwitchC(config)# vtp mode server
Setting device to VTP SERVER mode
SwitchC(config)# vlan 50
SwitchC(config-vlan)#

Maintenant regardons la configuration de deux commutateurs pour déterminer pourquoi SwitchB ne reçoit pas d'informations VLAN du CommutateurA :

SwitchA# sh vtp status			
VTP Version		                : 2
Configuration Revision		        : 4
Maximum VLANs supported locally		: 64
Number of existing VLANs		: 7
VTP Operating Mode		        : Server
VTP Domain Name		                : GlobalNet
VTP Pruning Mode		        : Disabled
VTP V2 Mode		                : Disabled
VTP Traps Generation : Disabled			

SwitchB# sh vtp status			
VTP Version	                   	: 2
Configuration Revision		        : 14
Maximum VLANs supported locally		: 64
Number of existing VLANs		: 7
VTP Operating Mode		        : Server
VTP Domain Name		                : GlobalNet
VTP Pruning Mode		        : Disabled
VTP V2 Mode		                : Disabled
VTP Traps Generation                    : Disabled

On pourrait être tenté de dire que c'est parce qu'ils sont tous les deux des serveurs VTP, mais ce n'est pas le problème. Tous les commutateurs peuvent être des serveurs et ils peuvent encore partager les informations VLAN. En fait, Cisco suggère en fait que tous les commutateurs restent des serveurs VTP et qu'on s'assure simplement que le commutateur qui doit annoncer les informations VTP VLAN ait le numéro de révision le plus élevé. Si tous les commutateurs sont des serveurs VTP, tous les commutateurs enregistreront la Base de données VLAN. Mais SwitchB ne reçoit pas d'informations VLAN de SwitchA car SwitchB a un numéro de révision plus élevé que SwitchA. Il est très important de connaître ce problème.

Il existe plusieurs manières de résoudre ce problème. La première chose qu'on peut faire est de changer le nom de domaine VTP sur SwitchB en un autre name, puis le remettre à GlobalNet, ce qui réinitialisera le numéro de révision à zéro (0) sur SwitchB. La deuxième approche serait de créer ou de supprimer VLAN sur SwitchA jusqu'à ce que le numéro de révision dépasse le numéro de révision sur SwitchB.

Une dernière chose qu'il faut être capable de comprendre. Où le commutateur a-t-il reçu la base de données VLAN ? On peut savoir exactement d'où on a reçu la base de données VLAN en en utilisant la commande show vtp status :

Core# do show vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 5
VTP Operating Mode              : Client
VTP Domain Name                 : Lammle
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x02 0x11 0x18 0x4B 0x36 0xC5 0xF4 0x1F
Local updater ID is 192.168.24.7 on interface Vl1 (first interface found)

La dernière ligne de la sortie indique d'où on a reçu la base de données VLAN qu'on utilise. L'adresse IP de gestion de commutateur est 192.168.24.7, et on a utilisé la base de données de vlan.dat. Cependant, s'il ne s'agit pas de l'adresse IP du commutateur, on peut simplement afficher les détails des voisins et découvrir quel commutateur est 192.168.24.7.

La fonction VLAN voix permet aux ports configurés en port access de transporter le trafic vocal IP à partir d'un téléphone IP. Lorsqu'un commutateur est connecté à un téléphone IP Cisco, l'IP téléphone envoie le trafic vocal avec des valeurs de priorité IP de couche 3 et de classe de service (CoS) de couche 2, qui sont toutes deux définies sur 5 pour le trafic vocal ; pour tous les autres le trafic est par défaut à 0.

Étant donné que la qualité sonore d'un appel téléphonique IP peut se détériorer si les données sont envoyées de manière inégale, le commutateur prend en charge la qualité de service (QoS) basée sur CoS IEEE 802.1p. (802.1p fournit un mécanisme pour mettre en œuvre la QoS au niveau de la liaison de données.) Le champ 802.1p est transporté dans l'entêtee 802.1Q. Si on regarde les champs dans une balise 802.1Q, on verra un champ appelé le champ prioritaire ; c'est là que vont les informations 802.1p. QoS utilise classification et planification pour envoyer le trafic réseau depuis le commutateur de manière organisée et prévisible.

Le téléphone IP Cisco est un périphérique configurable et on peut le configurer pour transférer le trafic avec une priorité IEEE 802.1p. on peut également le configurer pour faire confiance ou pas à (annnulation) la priorité de trafic attribuée par un téléphone IP, ce qui est exactement ce qu'on va faire. Le téléphone Cisco est essentiellement un commutateur à trois ports : un pour se connecter au commutateur Cisco, un pour un périphérique PC et un pour le téléphone lui-même, qui est interne.

On peut également configurer un port access avec un téléphone IP Cisco connecté pour utiliser un VLAN pour le trafic vocal et un autre VLAN pour le trafic de données depuis un périphérique connecté au téléphone, tel qu'un PC. on peut configurer les ports access sur le commutateur pour envoyer des paquets Cisco Discovery Protocol (CDP) qui demandent à un téléphone IP Cisco connecté d'envoyer le trafic vocal au commutateur de l'une des manières suivantes :

1. Dans le VLAN voix étiqueté avec une valeur de priorité CoS de couche 2
2. Dans le VLAN access étiqueté avec une valeur de priorité CoS de couche 2
3. Dans le VLAN access, non balisé (pas de valeur de priorité CoS de couche 2

Le commutateur peut également traiter le trafic de données étiquetées (trafic dans les types de trame IEEE 802.1Q ou IEEE 802.1p) à partir du périphérique connecté au port access sur le téléphone IP Cisco. on peut configurer les ports access de couche 2 sur le commutateur pour envoyer des paquets CDP qui demandent au téléphone IP Cisco connecté de configurer le port access PC du téléphone IP dans l'un de ces modes :

• En mode trusted, tout le trafic reçu via le port access du téléphone IP Cisco transite par le téléphone IP sans modification.
• En mode non trusted, tout le trafic dans les trames IEEE 802.1Q ou IEEE 802.1p reçues via le port access sur le téléphone IP reçoit une valeur CoS de la couche 2 e. La valeur CoS de couche 2 par défaut est 0. Le mode non approuvé est la valeur par défaut.

Par défaut, la fonctionnalité VLAN voix est désactivée ; on l'active à l'aide de la commande d'interface switchport voice vlan. Lorsque la fonction VLAN voix est activé, tout le trafic non balisé est envoyé en fonction de la priorité CoS par défaut du port. La valeur CoS n'est pas approuvée pour IEEE 802.1p ou IEEE 802.1Q trafic balisé.

Ce sont les directives de configuration du VLAN voix :

• il faut configurer un VLAN voix sur les ports access du commutateur ; Le VLAN voix n'est pas pris en charge sur les ports trunk, même si on peut
• Le VLAN voix doit être présent et actif sur le commutateur pour que le téléphone IP communique correctement dessus. Privilégier la commande show vlan pour voir si le VLAN voix est présent - s'il l'est, il sera répertorié à l'écran.
• Avant d'activer le VLAN voix, il est recommandé d'activer QoS sur le commutateur en entrant la commande de configuration globale mls qos et définir l'état de confiance du port sur Trust en entrant la commande de configuration d'interface mls qos trust cos.
• Il faut s'assurer que CDP est activé sur le port du commutateur connecté au téléphone IP Cisco pour envoyer la configuration. C'est activé par défaut, donc à moins qu'on ne l'ait désactivé, on ne doit pas avoir de problème.
• La fonctionnalité PortFast est automatiquement activée lorsque le VLAN voix est configuré, mais lorsqu'on désactive le VLAN voix, la fonctionnalité PortFast n'est pas automatiquement désactivé.
• Pour remettre le port à ses paramètres par défaut, utiliser la commande de configuration d'interface no switchport voice vlan.

On peut configurer un port connecté au téléphone IP Cisco pour envoyer des paquets CDP au téléphone afin de configurer la façon dont le téléphone envoie la circulation voix. Le téléphone peut acheminer le trafic vocal dans les trames IEEE 802.1Q pour un VLAN vocal spécifié avec une valeur CoS de couche 2. Il peut utiliser le marquage de priorité IEEE 802.1p pour donner au trafic vocal une priorité plus élevée ainsi que pour transférer tout le trafic vocal via le VLAN voix au lieu du natif (access) VLAN. Le téléphone IP peut également envoyer du trafic vocal non balisé ou utiliser sa propre configuration pour envoyer le trafic vocal dans le VLAN access. Dans toutes les configurations, le trafic vocal porte une valeur de priorité IP de couche 3 — encore une fois, pour la voix, le paramètre est généralement de 5.

On va voir quelques exemples concrets pour que cela soit clair.

Cet exemple montre comment configurer quatre éléments :

1. Comment configurer un port connecté à un téléphone IP pour utiliser la valeur CoS pour classer le trafic entrant
2. Comment configurer le port pour utiliser le marquage prioritaire IEEE 802.1p pour le trafic vocal
3. Comment le configurer pour utiliser le VLAN vocal (10) pour transporter tout le trafic vocal
4. Et enfin, comment configurer le VLAN 3 pour transporter les données du PC

Switch# configure t
Switch(config)# mls qos
Switch(config)# interface f0/1
Switch(config-if)# switchport priority extend ?
  cos   Override 802.1p priority of devices on appliance
  trust Trust 802.1p priorities of devices on appliance
Switch(config-if)# switchport priority extend trust
Switch(config-if)# mls qos trust cos
Switch(config-if)# switchport voice vlan dot1p
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 3
Switch(config-if)# switchport voice vlan 10

La commande mls qos trust cos configurera l'interface pour classer les paquets de trafic entrants à l'aide de la valeur CoS du paquet. Pour les paquets non étiquetés la valeur CoS par défaut du port sera utilisée. Mais avant de configurer l'état de confiance du port, il faut d'abord activer globalement QoS en utilisant la commande de configuration globale mls qos.

On remarquera comment on a ajouté deux VLAN d'accès au même port ? On ne peut le faire que si on en a un pour un VLAN de données et un autre pour un VLAN voix.

Cette section était probablement la partie la plus difficile de tout ce livre, et on honnêtement créé la configuration la plus simple qu'on puisse utiliser!

Ce chapitre a présenté le monde des réseaux locaux virtuels et décrit comment les commutateurs Cisco peuvent les utiliser. On a parlé de la rupture par VLAN des domaines de diffusion dans un interréseau commuté - une chose très importante et nécessaire car les commutateurs de couche 2 ne font que briser les domaines de collision et, par défaut, tous les commutateurs constituent un grand domaine de diffusion.

On a également vu les liens access et on a expliqué comment fonctionnent les VLAN à ressources partagées via un FastEthernet ou un lien plus rapide.

L'agrégation est une technologie cruciale à bien comprendre lorsqu'on a à affaire à un réseau peuplé de plusieurs commutateurs exécutant plusieurs VLAN.

On a aussi longuement parlé du VLAN Trunk Protocol (VTP), qui, en réalité, n'a rien à voir avec le trunking.

On a appris qu'il envoie les informations VLAN sur une liaison à ressources partagées, mais que la configuration de la liaison en elle-même ne fait pas partie de VTP.

Ce chapitre a également fourni d'importants exemples de dépannage et de configuration de configurations VTP, de trunk et de VLAN, et puis il y avait la téléphonie.

Dans cette section, donner les réponses aux questions suivantes :

1. Quel mode VTP peut uniquement accepter les informations VLAN et ne pas les modifier ?
2. Quelle commande montrera d'où on a reçu la base de données VLAN ?
3. Les VLAN divisent domaines.
4. Les commutateurs, par défaut, ne divisent que domaines.
5. Quel est le mode VTP par défaut ?
6. Que fournit le trunking ?
7. Qu'est-ce que le balisage des trames ?
8. Vrai/Faux : L'encapsulation ISL est supprimée de la trame si la trame est transmise par une liaison d'accès.
9. Quel type de lien sur un commutateur est membre d'un seul VLAN ?
10. Quel type d'informations de balisage Cisco permet aux VLAN d'être multiplexés sur un trunk via une méthode d'encapsulation externe ?

(Les réponses peuvent être trouvées après les réponses aux questions de révision de ce chapitre.)

Les questions suivantes sont conçues pour tester votre compréhension du contenu de ce chapitre:

1. Laquelle des affirmations suivantes est vraie concernant les VLAN ?

A.il faut avoir au moins deux VLAN définis dans chaque réseau commuté Cisco.
B.Tous les VLAN sont configurés sur le commutateur le plus rapide et, par défaut, propagent ces informations à tous les autres commutateurs.
C.On ne doit pas avoir plus de 10 commutateurs dans le même domaine VTP.
D.VTP est utilisé pour envoyer des informations VLAN aux commutateurs dans un domaine VTP configuré.

2. Selon le schéma suivant, lequel des éléments suivants décrit la configuration du port du routeur et la configuration du port du commutateur comme indiqué dans la topologie ? (Choisir trois.)

A.Le port WAN du routeur est configuré comme port trunk.
B.Le port du routeur connecté au commutateur est configuré à l'aide de sous-interfaces.
C.Le port du routeur connecté au commutateur est configuré à 10 Mbps.
D.Le port du commutateur connecté au concentrateur est configuré en duplex intégral.
E.Le port de commutateur connecté au routeur est configuré comme port trunk.
F.Les ports de commutation connectés aux hôtes sont configurés en tant que port access.

3. Un commutateur a été configuré pour trois VLAN différents : VLAN2, VLAN3 et VLAN4. Un routeur a été ajouté pour assurer la communication entre les VLAN. Quel type d'interface minimum est nécessaire sur le routeur si une seule connexion doit être établie entre le routeur et le changer?

A.Ethernet 10 Mbps
B.Série 56Kbps
C.Ethernet 100 Mbps
D.Ethernet 1 Gbit/s

4. On souhaite améliorer les performances du réseau en augmentant la bande passante disponible pour les hôtes et en limitant la taille des domaines de diffusion. Lequel des options suivantes permettront d'atteindre cet objectif ?

A.Hubs gérés
B.Ponts (Bridges)
C.Commutateurs
D.Commutateurs configurés avec des VLAN

5. Lequel des protocoles suivants est utilisé pour configurer l'agrégation sur un commutateur ? (Choisir deux.)

A.Protocole VLAN trunk
B.VLAN
C.802.1Q
D.ISL

6. Lorsqu'une nouvelle liaison de jonction est configurée sur un commutateur basé sur IOS, quels VLAN sont autorisés sur la liaison ?

A.Par défaut, tous les VLAN sont autorisés sur la jonction.
B.Aucun VLAN n'est autorisé ; il faut configurer chaque VLAN à la main.
C.Seuls les VLAN configurés sont autorisés sur le lien.
D.Seuls les VLAN étendus sont autorisés par défaut.

7. Quelle technologie de commutation réduit la taille d'un domaine de diffusion ?

A.ISL
B.802.1Q
C.VLAN
D.STP

8. Quel mode VTP permet de modifier les informations VLAN sur le commutateur ? Une cliente

B.STP
C.Serveur
D.802.1q

9. Quelle commande configurera un port de commutateur pour utiliser la méthode standard IEEE d'insertion des informations d'appartenance au VLAN dans les trames Ethernet ?

A. `Switch(config)#switchport trunk encapsulation isl`
B. `Switch(config)#switchport trunk encapsulation ietf`
C. `Switch(config)#switchport trunk encapsulation dot1q`
D. `Switch(config-if)#switchport trunk encapsulation isl`
E. `Switch(config-if)#switchport trunk encapsulation ietf`
F. `Switch(config-if)#switchport trunk encapsulation dot1q`

10. Laquelle des affirmations suivantes est vraie concernant le VTP ?

A.Tous les commutateurs sont des serveurs VTP par défaut.
B.Tous les commutateurs sont VTP transparents par défaut.
C.VTP est activé par défaut avec un nom de domaine Cisco sur tous les commutateurs Cisco.
D.Tous les commutateurs sont des clients VTP par défaut.

11. Quel protocole réduit la surcharge administrative dans un réseau commuté en permettant la configuration d'un nouveau VLAN à distribuer à tous les commutateurs dans un domaine ?

A.STP
B.VTP
C.DHCP
D.ISL

12. Laquelle des commandes suivantes définit un port de jonction sur un commutateur 2960 ?

A. `trunk on`
B. `trunk all`
C. `switchport trunk on`
D. `switchport mode trunk`

13. Parmi les propositions suivantes, laquelle est une norme IEEE pour le balisage de trames ?

A.ISL
B.802.3Z
C.802.1Q
D.802.3U

14. On connecte un hôte à un port de commutateur, mais le nouvel hôte ne peut pas se connecter au serveur connecté au même commutateur. Quel pourrait être le problème? (Choisir la réponse la plus probable.)

A.Le routeur n'est pas configuré pour le nouvel hôte.
B.La configuration VTP sur le commutateur n'est pas mise à jour pour le nouvel hôte.
C.L'hôte a une adresse MAC non valide.
D.Le port de commutateur auquel l'hôte est connecté n'est pas configuré avec l'appartenance VLAN correcte.

15. D'après le schéma, quelles commandes peuvent être utilisées pour établir une liaison avec l'interface FastEthernet du routeur à l'aide de l'IEEE version de balisage de trames ? (Choisir trois.)

A. `Switch(config)#interface fastethernet 0/1`
B. `Switch(config-if)#switchport mode access`
C. `Switch(config-if)#switchport mode trunk`
D. `witch(config-if)#switchport access vlan 1`
E. `Switch(config-if)#switchport trunk encapsulation isl`
F. `Switch(config-if)#switchport trunk encapsulation dot1q`

16. Ces deux commutateurs ne partagent pas les informations VLAN. D'après la sortie suivante, quelle est la raison pour laquelle ces commutateurs ne partagent pas les messages VTP ?

SwitchA#sh vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 64
Number of existing VLANs        : 7
VTP Operating Mode              : Server
VTP Domain Name                 : RouterSim
VTP Pruning Mode                : Disabled

SwitchB#sh vtp status
VTP Version                     : 2
Configuration Revision          : 1
Maximum VLANs supported locally : 64
Number of existing VLANs        : 7
VTP Operating Mode              : Server
VTP Domain Name                 : GlobalNet
VTP Pruning Mode                : Disabled

A.L'un des commutateurs doit être réglé sur VTP version 1.
B.Les deux commutateurs sont définis sur le serveur VTP et l'un doit être défini sur le client.
C.Les noms de domaine VTP ne sont pas configurés correctement.
D.L'élagage VTP est désactivé.

17. Lequel des éléments suivants fournit des communications inter-commutateurs multi-VLAN ? (Choisir deux.)

A.ISL
B.VTP
C.802.1Q
D.802.3Z

18. Pour configurer le VLAN Trunking Protocol afin de communiquer des informations VLAN entre deux commutateurs, quelles sont les deux conditions requises ?(Choisir deux.)

A.Chaque extrémité de la liaison principale doit être définie sur l'encapsulation IEEE 802.1e.
B.Le nom de domaine de gestion VTP des deux commutateurs doit être le même.
C.Tous les ports sur les deux commutateurs doivent être définis comme ports d'accès.
D.L'un des deux commutateurs doit être configuré en tant que serveur VTP.
E.Un câble de retournement est nécessaire pour connecter les deux commutateurs ensemble.
F.Un routeur doit être utilisé pour transférer le trafic VTP entre les VLAN.

19. Parmi les éléments suivants, quels sont les avantages des VLAN ? (Choisir trois.)

A.Ils augmentent la taille des domaines de collision.
B.Ils permettent un regroupement logique des utilisateurs par fonction.
C.Ils peuvent améliorer la sécurité du réseau.
D.Ils augmentent la taille des domaines de diffusion tout en diminuant le nombre de domaines de collision.
E.Ils simplifient l'administration des commutateurs.
F.Ils augmentent le nombre de domaines de diffusion tout en diminuant la taille des domaines de diffusion.

20. Lesquels des modes suivants sont valides lorsqu'un port de commutateur est utilisé comme jonction VLAN ? (Choisir trois.)

A. Blocking
B. Dynamic auto
C. Dynamic desirable
D. Nonegotiate
E. Access
F. Learning

1. D. Les commutateurs ne propagent pas les informations VLAN par défaut ; il faut configurer le domaine VTP. Le VLAN Trunk Protocol (VTP) est utilisé pour propager les informations VLAN sur une liaison à ressources partagées.
2. B, E, F. Un routeur connecté à un commutateur qui fournit une communication inter-VLAN est configuré à l'aide de sous-interfaces. Le port du commutateur connecté au routeur doit utiliser ISL ou 802.1Q trunking, et les hôtes sont tous connectés en tant que ports d'accès, ce qui est la valeur par défaut sur tous les ports des commutateurs.
3. C. Bien qu'on puisse utiliser Ethernet 100 Mbps ou 1 Gbps, le 100 Mbps est nécessaire au minimum et constitue la meilleure réponse à cette question. il faut agréger la liaison du commutateur au routeur pour que cette connexion fonctionne avec la communication inter-VLAN.
4. D. En créant et en implémentant des VLAN dans votre réseau commuté, on peut diviser les domaines de diffusion au niveau de la couche 2. Pour les hôtes sur différents VLAN pour communiquer, il faut disposer d'un routeur ou d'un commutateur de couche 3.
5. C, D. Cisco a un protocole de jonction propriétaire appelé ISL. La version IEEE est 802.1Q.
6. A. Par défaut, tous les VLAN sont autorisés sur le lien agrégé et il faut supprimer à la main chaque VLAN qu'on ne veut pas dans le lien agrégé.
7. C. Les réseaux locaux virtuels divisent les domaines de diffusion dans les interréseaux commutés de couche 2.
8. C. Ce n'est qu'en mode serveur que on peut modifier les informations VLAN sur un commutateur.
9. F. Si on est sur un commutateur 2950, ​​la commande d'interface est simplement une ligne réseau en mode switchport puisque le 2950 ne peut exécuter que la version IEEE 802.1Q. Cependant, un 3550 peut exécuter à la fois ISL et 802.1Q, il faut donc également utiliser la commande d'encapsulation. L'argument pour choisir le 802.1Q le protocole pour un trunking est dot1q.
10. A. Tous les commutateurs Cisco sont des serveurs VTP par défaut. Aucune autre information VTP n'est configurée sur un commutateur Cisco par défaut. il faut définir le nom de domaine VTP sur tous les commutateurs doit être le même nom de domaine ou ils ne partageront pas la base de données VTP.
11. B. Virtual Trunk Protocol (VTP) est utilisé pour transmettre une base de données VLAN à tout ou partie des commutateurs du réseau commuté. Les trois modes VTP sont server, client et transparent.
12. D. Pour définir un port de commutateur en mode trunk, ce qui permet aux données de toutes les informations VLAN de transmettre le lien, utiliser la commande switchport mode trunk.
13. C. 802.1Q a été créé pour autoriser les liaisons à ressources partagées entre des commutateurs disparates.
14. D. Cette question est un peu vague, mais la meilleure réponse est que l'appartenance au VLAN pour le port n'est pas configurée.
15. A, C, F. Pour créer une liaison à ressources partagées sur un port de commutateur, il faut d'abord accéder à l'interface — dans cette question, l'interface FastEthernet 0/1. Alors on choisit la commande trunk, soit switchport mode trunk pour le commutateur 2950/2960 (IEEE 802.1Q est la seule version exécutée par le commutateur 2950/2960) ou switchport trunk encapsulation dot1q pour un commutateur 3560.
16. C. Bien que l'un des commutateurs puisse être réglé sur client, cela ne les empêcherait pas de partager les informations VLAN via VTP. Cependant, ils ne seront pas partager les informations VLAN via VTP si les noms de domaine ne sont pas définis de la même manière.
17. A, C. ISL est une méthode de balisage de trames propriétaire de Cisco. IEEE 802.1Q est la version non exclusive du balisage de trames.
18. B, D. il faut avoir le même nom de domaine VTP sur tous les commutateurs afin de partager les informations VLAN entre les commutateurs. Au moins un des commutateurs doivent être un serveur VTP ; les autres commutateurs doivent être configurés en mode client VTP.
19. B, C, F. Les VLAN divisent les domaines de diffusion dans un réseau commuté de couche 2, ce qui signifie des domaines de diffusion plus petits. Ils permettent de configurer par fonction logique au lieu de l'emplacement physique et peut créer une certaine sécurité s'il est configuré correctement.
20. B, C, D. Les modes valides d'une VLAN trunk sur un commutateur sont dynamic auto, dynamic desirable, trunk (on) et nonegotiate

1. Cliente
2. afficher le statut vtp
3. Diffusion
4. Collision
5. Serveur
6. L'agrégation permet de faire en sorte qu'un seul port fasse partie de plusieurs VLAN en même temps.
7. L'identification de trame (marquage de trame) attribue de manière unique un ID défini par l'utilisateur à chaque trame. Ceci est parfois appelé ID de VLAN.
8. Vrai
9. access link
10. Lien inter-commutateur (ISL)