Routage inter Vlan une IP statique au Switch si besoin sur le vlan default du port 1, ce port ne servira qu’a l’administration du Switch et aucune machine ne sera branchée dessus

Page 1

KRICKA David BTS SIO

Routage inter Vlan

Page 2


Sommaire

1. Introduction

2. Contexte

3. Définitions

4. Configuration des switch

5. Création et configuration des vlan

6. Test de l’étanchéité des vlans

7. Configuration des permissions ACL

8. Test du routage inter vlan

9. Mise en place du protocole LACP et test de la répartition de

charge sur les switch

10 Test

Page 3


1. Introduction

Le but de ce compte rendu est de voir les étapes nécessaires pour configurer deux Switch

Cisco SF300 8 ports en vlan par port avec routage inter vlan plus mise en place de filtrage

(ACL) entre plusieurs Vlan et pour finir la mise en place du protocole LACP pour la

répartition de charge entre les Switch.

2. Contexte

Ce TP s’inscrit dans notre contexte PPE de fin d’année concernant le projet Maison des ligues

Nous avons différents serveurs virtuels (AD, DNS, DFS, DHCP etc…) créé avec l’outil

Virtual box ainsi que différents hôtes de la ligue basket et volley, ces serveurs et hôtes sont

répartis sur quatre machines physique possédant chacune deux cartes réseau. Nous avons donc

décidé de faire 3 vlan différents (vlan serveur, basket, volley) pour pouvoir isoler dans un

premier temps tous les réseaux, puis dans un deuxième temps permettre aux hôtes des vlan

basket et volley d’accéder au vlan serveur.

Un document au format Visio a été établi pour montrer l’organisation de ces différents postes

et machines virtuelles.

Un fichier Excel a également été établi pour définir les différentes adresses IP des machines

des switch

Page 4


3. Définitions

Quelques définitions :

Untagged : le port appartient à ce vlan et à lui seul

Tagged = Ce port laisse entrer les trames sur tous les VLAN, sans pour autant faire que les différents VLAN puissent communiquer entre eux. En gros, on s'en sert pour les Trunk, donc pour relier deux Switch entre eux par exemple.

Access : permet de n’affecter qu’un seul vlan a un port

L2/L3 : Layer 2 Switch niveau 2, ne fais pas de routage, Layer 3 Switch faisant du routage

Interdit : l'interface n'est pas autorisée à rejoindre le VLAN même à partir de l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur le port l'intègre au VLAN interne 4095 (VID réservé).

Exclu : l'interface n'est actuellement pas membre du VLAN. C'est le paramètre par défaut pour tous les ports et LAG. Le port peut rejoindre le VLAN via un enregistrement GVRP.

Balisé : l'interface est un membre balisé du VLAN. Non balisé : l'interface est un membre non balisé du VLAN. Les trames du VLAN sont envoyées non balisées à l'interface VLAN.

Page 5


4. Configuration des switch

Matériel : 2 switch Cisco SF300-8 qui vont nous servir à établir les

interconnections entre les différentes machines virtuelles.

IP d’administration du Switch : 192.168.1.254 se mettre dans le même réseau, pour

pouvoir accéder à l’interface d’administration du Switch, se brancher sur le port 1.

Mettre le Firmware a jour car de base le SF 300 ne propose pas le niveau L3 routage.

On peut également télécharger la langue sur le site de Cisco, en anglais par défaut.

Cocher L3, le Switch passe au niveau 3 puis redémarre.

Mettre une IP statique au Switch si besoin sur le vlan default du port 1, ce port ne

servira qu’a l’administration du Switch et aucune machine ne sera branchée dessus par

la suite.

5. Création et configuration des vlan

Nous allons créer ici des Vlan par port :

Gestion des VLAN > Paramètres VLAN renseigner le nom vlan ID pour nous

vlan 2 id=2 vlan3 id=3 etc…

Ajouter un vlan

Appliquer

Configuration des interfaces par port :

Gestion des VLAN > Appartenance VLAN du port

Id du port puis ok

Page 6


Puis définir l’appartenance du port au vlan (access pour les vlan serveur,

basket, volley + les mettre en untagged)

Les ports 7 et 8 serviront à faire l’équilibrage de charge entre les deux switch

grâce au protocole LACP ils vont donc être défini en trunk (lien) et taggué

pour les vlan 2, 3, 4 car ils devront transporter tous nos vlan.

Le port 5 sera défini sur trunk et taggué car il sera relié au firewall routeur

IPfire.

Résumé pour les ports :

Port 1 Port 2 Port 3 Port 4 Port 5 Port 6 Port 7 Port 8

vlan PVID=1 PVID=2 PVID=3 PVID=4 PVID=2 Lag Lag

Mode

d’accès

Trunk Access Access Access Trunk Access Trunk trunk

Tous Untagged Untagged Untagged Tagged vlan2,3,4

Untagged Tagged vlan2,3,4

Tagged vlan2,3,4

Vlan2 =Vlan Serveurs, Vlan3 = Vlan basket, Vlan4 =vlan volley

Attribution des IP aux différentes interfaces :

Il faut au préalable brancher les switch aux machines physiques, avec nos vm en acces par pont qui

sont paramétrées avec la plage IP correspondant à nos vlan.(voir tableau Excel)

Cela a pour effet de générer des routes connectées dans l’interface de configuration du

switch/routeur dans la section IPV4, routes IPV4.

Ensuite dans Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion Pv4)>

Interface IPv4.

Page 7


Renseigner l’IP de l’interface pour chaque Vlan

Vlan2 : IP 10.11.4.5/24 serveurs

Vlan3 : IP 10.10.4.5/24 basket

Vlan4 IP : 10.9.4.5/24 Volley

Puis ajouter.

Aller dans interface puis sélectionner les vlan à associer aux IP en fonction de l’interface.

Penser à sauvegarder : Dans Administration : gestion des fichiers, Télécharger/sauvegarder

configuration/journal puis sauvegarder.

Ensuite il faut aller rechercher la sauvegarde pour l’enregistrer vers un emplacement de notre

choix.

Ce fichier sauvegardé sera injecté dans le deuxième Switch pour avoir la même configuratio n.

Note :

Un Switch L3 a son administration accessible de tous les vlan sur lesquels il a une adresse IP.

Page 8


6. Test de l’étanchéité des vlan

Pour tester les vlan ne pas oublier de mettre la passerelle associée à chaque interface en

fonction du vlan dans lequel on se trouve dans notre cas :

vlan serveur interface 10.11.4.5

vlan basket interface 10.10.4.5

vlan volley interface 10.9.4.5

Ping entre basket et volley ça ne communique pas.

Ping entre volley et basket ça ne communique pas.

Ping entre serveur et volley ça ne communique pas.

Ping entre serveur et basket ça ne communique pas.

Pour l’instant rien ne communique, ce qui est l’utilité première des vlan (cloisonnement,

limitation des requêtes de diffusion).

7. Configuration des permissions ACL

Dans contrôle d’accès. ACL basées sur IPv4

Création d’un fichier acl test puis configuration dans ace

Définition des permissions pour que le vlan serveur soit accessible par les vlans basket et volley les

routes sont définies dans les deux sens.

Attention ici il faut écrire les masques associé aux IP à l’envers par exemple :

Pour un masque en 255.255.255.0 on écrira 0.0.0.255 car il s’agit ici de filtrage .

Ne pas oublier d’autoriser également les communications dans le même réseau exemple

Page 9


Nous avons choisis de mettre la règle ace par défaut sur deny, pour n’autoriser que ce que l’on veut.

Lorsqu'une ACL est liée à une interface (port, LAG ou VLAN), ses règles ACE sont appliquées aux

paquets qui arrivent sur cette interface. Les paquets qui ne correspondent à aucune des ACE de l'ACL

sont mis en correspondance avec une règle par défaut, dont l'action consiste à abandonner les

paquets sans correspondance.

Page 10


8. Test du routage inter vlan

Ici on voit que les vlan basket et volley communiquent avec le vlan serveur mais ne communiquent

pas entre eux.

Page 11


9. Mise en place du protocole LACP et test de la répartition de

charge sur les switch

Le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de

liaisons) fait partie de la spécification IEEE (802.3az) qui permet de regrouper plusieurs ports

physiques en un seul canal logique (LAG).

Les LAG multiplient la bande passante, augmentent la souplesse des ports et établissent une

redondance de liaisons entre deux périphériques.

Dans gestion des ports, agrégation de liaisons, créer un LAG entre les ports 7 et 8 et cocher LACP.

Sélectionner le LAG à configurer et cliquez sur Modifier.

LAG : sélectionnez le numéro du LAG.

Nom du LAG : saisir le nom du LAG ou un commentaire.

LACP : sélectionner cette option pour activer LACP sur le LAG sélectionné.

Ceci en fait un LAG dynamique. Vous ne pouvez activer ce champ qu'après avoir déplacé un port vers

le LAG dans le champ suivant.

Liste des ports : déplacez les ports à attribuer au LAG de la Liste des ports vers la liste Membres de

LAG. Vous pouvez affecter jusqu'à huit ports à un LAG statique et jusqu'à 16 ports à un LAG

dynamique.

Cliquez sur Appliquer. L'appartenance LAG est enregistrée dans le fichier de Configuration

d'exécution.

Page 12


10 Test

Pour la vérification de la répartition de charge

Status and Statistics > RMON > Statistics

RMON (Remote Monitoring)

L'agent logiciel intégré de surveillance à distance, RMON, prend en charge 4 groupes de données

(historique, statistiques, alarmes et événements) pour améliorer la gestion, la surveillance et

l'analyse du trafic

Page 13


Documents

Routage inter Vlan une IP statique au Switch si besoin sur le vlan default du port 1, ce port ne servira qu’a l’administration du Switch et aucune machine ne sera branchée dessus