Module Vlan Vtp

CCNP SWITCH

Implementation de Commutation IP

Mohamed DYABI

Module 1 : VLAN _ VTP

VLAN

Introduction

Nous avons beaucoup de départements et chaque

département a son propre switch. Les utilisateurs

sont regroupés physiquement et sont connectés à

leur switch. Que pensez-vous de cela?

Est-ce que cela ressemble à une bonne conception

de réseau ?

• Que se passe-t-il lorsqu'un ordinateur connecté un au switch

de research envoie une une requête ARP en diffusion ?

• Que se passe-t-il lorsque le commutateur Helpdesk échoue

• Les utilisateurs au niveau du switch de human ressource

auront-t-ils une connexion réseau rapide ?

• Comment nous pouvons implémenter la sécurité dans ce

réseau ?

Introduction

• Il y a une grande différence entre la

topologie physique et logique. Physique est

juste la façon dont les équipement sont

connectés alors que logique, c'est comment

nous avons configurée les choses

"virtuellement".

• Dans cet exemple nous avons 4 switch et on

a créé 3 VLAN : recherche, Ingénierie et

Ventes.

• Un VLAN est un réseau local virtuel donc

c'est comme avoir un « switch à l'intérieur

d’un switch".

Introduction

Quels sont les avantages de l'utilisation de réseaux

VLAN?

Un réseau VLAN est un domaine de diffusion

unique ce qui signifie que si un utilisateur dans le

VLAN de la recherche envoie une trame de

diffusion , elle va être reçu uniquement par les

utilisateurs du même VLAN

Les utilisateurs sont capables de communiquer

seulement au sein du même VLAN (sauf si vous

utilisez un routeur).

Les utilisateurs ne doivent pas être regroupés

physiquement ensemble, comme vous pouvez le

voir, nous avons des utilisateurs du vlan

Ingénierie sur le 1èr, le 2ème et 3ème étage.

Introduction

Dans l’exemple Il y a trois ordinateurs sur chaque côté appartenant à trois

VLAN différents , VLAN 10,20 et 30 .

Les switch vont transmettre le trafic entre les différents ordinateurs .

Comment savent-ils à quel vlan appartient chaque trafic ?

L'agrégation

Voici le format d’une trame Ethernet

Est-ce que vous voyez un champ où nous pouvons préciser à quel

vlan appartient notre trame Ethernet ?

Eh bien, il y a pas ! C'est pourquoi nous avons besoin d'un

protocole d'agrégation

L'agrégation

Nous allons créer un lien d’agrégation (trunk) entre les commutateurs.

Une connexion trunk est simplement un lien qui transporte tout le trafic

vlan

Protocole d'agrégation

Il existe deux protocoles d'agrégation que nous pouvons utiliser :

IEEE 802.1Q:

un standard ouvert qui est pris en charge par des nombreux

fournisseurs et la plupart des cartes réseau. .

Cisco ISL (Inter-Switch Link):

un vieux protocole propriétaire de Cisco est uniquement pris en

charge sur certains commutateurs Cisco.

Format de la trame

vous voyez un exemple d’une trame Ethernet 802.1Q.

Comme vous pouvez le voir, c'est la même chose qu'une trame Ethernet

normal, mais avec une balise (tag) ajoutée dans le milieu (c'est la zone bleue).

Dans cette balise, vous trouverez un 'identifiant de VLAN' qui identifie à quel

Vlan appartient cette trame.

Format de la trame

Il s'agit d'un exemple d'une trame ISL. La différence entre 802.1q et ISL est

que 802. 1 tags la trame Ethernet tandis que ISL encapsule la trame Ethernet.

ISL ajoute un nouvel en-tête en début de la trame Ethernet ainsi qu'une FCS

(Frame Check Sequence).

L'en-tête contient l'identificateur « VLAN » afin que le switch puisse savoir à

quel VLAN appartient cette trame Ethernet.

VLAN

Le VLAN 1 est le VLAN par défaut

toutes les interfaces sont connecté

au VLAN 1

VLAN

Les informations du VLAN ne sont pas enregistrées dans le fichier

running-config ou startup-config mais dans un fichier distinct

appelé vlan.dat sur votre mémoire flash.

Si vous souhaitez supprimer les informations du VLAN vous devez

supprimer ce fichier en tapant la commande : delete flash:vlan.dat

VLAN

Les ordinateurs A et B sont dans le même sous-réseau :

Même avec la configuration par défaut du commutateur ComputerA est en mesure

d'atteindre ComputerB. Voyons voir si je peux créer un nouveau VLAN pour

ComputerA et ComputerB

Configuration des VLAN

Nous allons créer un nouveau VLAN pour ComputerA et ComputerB

C'est ainsi que vous créez un nouveau VLAN.

Si vous voulez, vous pouvez lui donner un nom, mais ceci est optionnel.


Nous allons créer un nouveau VLAN pour ComputerA et ComputerB

Tout d'abord, on doit configurer le switchport en mode d’accés avec la commande

switchport mode access

La commande switchport access vlan permet de déplacer nos interfaces vers

un autre VLAN


Les deux ordinateurs sont maintenant au VLAN 50 .


En plus de la commande ping , nous pouvons également utiliser une autre

commande show pour vérifier la configuration


On a ajouté SwitchB à la topologie. et également on a déplacé ComputerB de

SwitchA à SwitchB


En fonction du modèle de Switch , vous pouvez voir cette erreur. Pour changer

l'interface en mode d'agrégation il faut d’abord changer le type d'encapsulation

d'agrégation


L’encapsulation du trunk est maintenant dot1q

C'est ici que nous pouvons choisir entre 802.1Q et ISL.

Par défaut notre commutateur va négocier sur le type d'encapsulation d'agrégation


Maintenant , on a changé avec succès le mode du switchport en trunk.


si nous utilisons la commande show vlan nous ne voyons pas

l'interface Fa0/14.

la commande show vlan affiche seulement les interfaces en

mode d'accès et aucune interface de trunk


La commande show interface trunk est très utile , elle permet de voir :

si une interface est dans le mode trunk.

quel protocole d’encapsulation est utilisé.

Quel est le Vlan natif

Quels sont les vlans autorisés (1 – 4094)


Pour des raisons de sécurité, il peut être utile de ne pas autoriser tous les VLAN sur

votre lien trunk.

Nous pouvons changer cela avec la commande switchport trunk allowed vlan


Vous pouvez également utiliser la commande show interfaces trunk

pour obtenir une vue d'ensemble de toutes les interfaces de votre tronc.


Une interface peut être en mode d'accès ou en mode d'agrégation

L'interface ci-dessus est connectée à ComputerB et vous pouvez voir que le mode

de fonctionnement est « static access», ce qui signifie qu'il est en mode d'accès

L’interface qui est connectée à SwitchA et un trunk . Vous pouvez voir le mode de

fonctionnement est le mode tronc.


Si on passe à la configuration de l'interface pour modifier la commande

switchport mode, vous pouvez voir qu’il y a également une méthode

dynamique.

Nous pouvons choisir entre dynamic auto et dynamic desirable .

Notre Switch va detecter automatiquement si l'interface devrait devenir un

port d'accès ou un port trunk.


Notre mode de gestion est dynamic auto et en conséquence, nous avons

maintenant un port d'accès.


Une fois que nous changeons les deux interfaces en dynamic desirable , nous

nous retrouvons avec un lien trunk.


Il semble notre Switch a un fort désir de devenir un trunk.




SwitchA permet seulement le VLAN 1 et SwitchB permet les VLAN 1-50.


ComputerA et ComputerB sont incapables de communiquer entre eux


Même si nous avons une discordance entre les types de SwitchPort nous avons

encore une connectivité limitée parce que le VLAN 1 est autorisé


Voici un aperçu des différents modes de SwitchPort et le résultat


Vous pouvez désactiver complètement La négociation en utilisant la commande switchport nonegotiate

Voila ce qui est recommandé pour une interface trunk :

Voila ce qui est recommandé pour une interface access :


Un dernière recommandation est de de changer le VLAN natif à autre chose:

Le VLAN 1 est le VLAN natif par défaut sur les commutateurs Cisco. Les

Protocoles de gestion comme le CDP, DTP et LACP utilise le VLAN natif. pour des raisons de sécurité, il pourrait être une bonne idée de le modifier

VTP

VTP

Imaginons que vous avez un réseau avec 20 commutateurs et 50

réseaux locaux virtuels.

Normalement vous devez configurer chaque commutateur

séparément et de créer des réseaux locaux virtuels sur chaque

commutateur.

C'est une tâche difficile !

Le protocole VTP vous permet de créer les réseaux locaux virtuels

sur un commutateur et tous les autres commutateurs vont

synchroniser automatiquement.

Mode VTP

un serveur VTP est un Switch où vous

pouvez créer / modifier ou supprimer des

VLAN.

Les autres commutateurs sont des clients

VTP.

La configuration VTP a un numéro de

révision qui augmentera lorsque vous

effectuez un changement.

Chaque fois que vous faites un changement

sur le serveur VTP ce sera synchronisé avec

les clients VTP

Mode VTP

Pour faire fonctionner VTP, vous devez

configurer un nom de domaine VTP qui

sera le même sur tous les autres switch

Mode VTP

En plus du VTP serveur et du VTP

client , il y a aussi VTP transparent

Le VTP transparent enverra des

annonces, mais ne se synchronisera

pas.

Vous pouvez créer des vlans

localement bien que c’est impossible

sur un VTP client. Disons que vous

créez vlan 20 sur notre serveur VTP,

c'est ce qui arrivera

Mode VTP

Supposons que vous avez créé le vlan 20

sur votre VTP serveur, voila c'est ce qui

va arriver :

1. Vous créez VLAN 20 sur le VTP serveur.

2. Le nombre de révision va augmenter.

3. Le VTP serveur va envoyer la dernière

annonce qui atteindra le switch VTP

transparent.

4. VTP transparent ne se synchronisera pas,

mais enverra la publicité au client VTP.

5. Le VTP client se synchronisera avec les

dernières informations

Mode VTP

Voici un aperçu des 3 modes VTP :

Utilisation de VTP

Devez-vous utiliser le protocole VTP ?

Il peut sembler utile mais le protocole VTP a un énorme risque de

sécurité.

le problème avec le protocole VTP est qu'un serveur VTP est

également un client VTP et tout client VTP va se synchroniser

avec le numéro de révision le plus élevé.

Utilisation de VTP

La situation suivante peut se produire avec VTP , Vous avez un réseau avec un

seul serveur VTP et un couple de commutateurs clients VTP, tout fonctionne

très bien mais un jour vous voulez tester des trucs et décider de prendre l'un

des clients VTP sur le réseau et le mettre dans un environnement de

laboratoire.

1. Vous connectez le commutateur VTP client sur le réseau.

2. Vous le configurez de sorte qu'il n'est plus un client VTP mais un serveur VTP.

3. Vous créer des réseaux locaux virtuels, et vous modifiez certains.

4. Chaque fois que vous faites un changement le numéro de révision

augmente.

5. Vous avez fini ... vous supprimez tous les vlans.

6. Vous configurez le commutateur de Server VTP au Client VTP.

7. Vous connectez votre commutateur sur votre réseau de production

Utilisation de VTP

Que pensez-vous sera le résultat ?

Le numéro de révision de VTP sur le commutateur est plus élevé

que le numéro de révision sur les commutateurs de notre réseau

de production.

Le VTP client annoncera ses informations aux autres

commutateurs, ils synchronisent les dernières informations et

voila ! tous vos réseaux locaux virtuels sont perdus!

Un VTP client peut remplacer les informations d’un VTP serveur si

le numéro de révision est plus élevé parce qu'un serveur VTP est

également un client VTP.

Configuration de VTP

Pour configurer le VTP , on va

utiliser trois commutateurs.

On a effacé la base de données

des VLAN et la configuration de

démarrage sur tous les

commutateurs.


Configuration revision 0 :

Chaque fois que nous ajoutons ou

enlevons des VLANs ce nombre va

s’incrementer

VTP Operating mode :

Par défaut VTP serveur

VTP Pruning :

cela vous aidera à éviter le trafic inutile sur

vos liaisons d'agrégation

Mode VTP V2 :

Le commutateur est capable d'exécuter

VTP version 2 mais il exécute le VTP v1


Nous allons créer un VLAN sur SwitchA et nous allons les changements :

Le nouveau réseau local virtuel apparaît dans la base de données des VLAN


la révision de la configuration a augmenté d'un.

• Malheureusement, rien n'a changé sur SwitchB et SwitchC.

• C'est parce qu’il faut configurer un nom de domaine VTP avant que le VTP

commence à travailler.


• Avant de changer le nom de domaine , on va activer le débogage des

événements VTP. Ainsi, nous pouvons voir en temps réel ce qui se passe.


Le numéro de révision sur le SwitchB et SwitchC est égale à “1”.

La commande show vlan montre que le SwitchB a appris le VLAN 10 par le

biais de VTP


Nous allons créer le VLAN 20 sur le SwitchB et VLAN 30 sur le SwitchC


Comme vous pouvez le voir tous les commutateurs connaissent les VLAN


• A Chaque fois qu’on ajoute un autre VLAN le numéro de révision

augmentera de un


Il exécute maintenant le mode VTP client

Nous allons changer le mode VTP sur SwitchB pour voir ce qu‘il va

faire.


• En ce moment SwitchA et

SwitchC sont en mode VTP

serveur .

• SwitchB est en cours

d'exécution du mode VTP

Client.

• On a débranché le lien entre

SwitchA et SwitchC donc il n'y a

pas de lien direct entre eux.


On va créer un autre VLAN sur SwitchA afin que nous puissions voir si

SwitchB et SwitchC vont l’apprendre.

SwitchB apprend de VLAN 40 à travers SwitchA.


On va créer un autre VLAN sur SwitchA afin que nous puissions voir si

SwitchB et SwitchC vont l'apprendre

SwitchB apprend le VLAN 40 à travers SwitchA.

Documents

Module Vlan Vtp