Concepts et configurations de VLAN et de trunking sur les switchs Cisco

Concepts et configurations de VLAN et de trunking sur les switchs Cisco

La plupart des grands réseaux mettent aujourd’hui en œuvre des réseaux locaux virtuels (VLAN). Sans VLAN, un commutateur considère chaque port comme faisant partie du même domaine de diffusion.

Avec les VLAN, les ports de commutation peuvent être regroupés en différents VLAN, segmentant essentiellement le domaine de diffusion. Aujourd’hui, nous présentons les concepts de VLAN, les types de trafic, les types de VLAN et le concept de trunking, y compris le protocole Dynamic Trunking Protocol (DTP).

Ensuite, nous passons en revue les commandes pour configurer et vérifier les VLANs et le trunking.

Concepts VLAN

Bien qu’un commutateur soit livré avec un seul VLAN, un commutateur est normalement configuré pour avoir deux VLAN ou plus.

De cette façon, vous créez plusieurs domaines de diffusion en plaçant certaines interfaces dans un VLAN et d’autres interfaces dans d’autres VLANs.

Considérez ces raisons pour l’utilisation des VLANs :

  • Regrouper les utilisateurs par département au lieu de les regrouper par emplacement physique
  • Segmentation des périphériques en réseaux locaux plus petits pour réduire la surcharge de traitement de tous les périphériques sur le réseau local
  • Réduire la charge de travail du STP en limitant un VLAN à un seul commutateur d’accès
  • Renforcer la sécurité en isolant les données sensibles dans des VLANs séparés.
  • Séparer le trafic vocal IP du trafic de données
  • Aide au dépannage en réduisant la taille du domaine de défaillance (le nombre de dispositifs qui peuvent causer une défaillance ou être affectés par une défaillance).

Les avantages de l’utilisation des VLAN sont les suivants :

  • Sécurité : Les données sensibles peuvent être isolées sur un VLAN en la séparant du reste du réseau.
  • Réduction des coûts : Les réductions de coûts résultent d’un besoin moindre de mises à niveau coûteuses du réseau et d’une utilisation plus efficace de la bande passante et des liaisons montantes existantes.
  • Meilleure performance : Diviser les réseaux plats de couche 2 en plusieurs domaines de diffusion logique réduit le trafic inutile sur le réseau et améliore les performances.
  • Atténuation des tempêtes de diffusion (Broadcast storm): La segmentation en VLAN empêche une tempête de diffusion de se propager sur l’ensemble du réseau.
  • Facilité de gestion et de dépannage : Un schéma d’adressage hiérarchique regroupe les adresses réseau de manière contiguë. Parce qu’un schéma d’adressage IP hiérarchique facilite la localisation des composants problématiques, la gestion et le dépannage du réseau sont plus efficaces.

Types de trafic

La clé d’un déploiement réussi de VLAN est de comprendre les modèles de trafic et les différents types de trafic dans l’organisation. Le tableau A énumère les types courants de trafic réseau à évaluer avant de placer les périphériques et de configurer les VLAN.

Tableau A – Types de trafic

Types de traficDescription
Gestion du réseauDe nombreux types de trafic de gestion de réseau peuvent être présents sur le réseau. Pour faciliter le dépannage réseau, certains concepteurs assignent un VLAN séparé pour transporter certains types de trafic de gestion de réseau.
Téléphonie IPIl existe deux types de trafic de téléphonie IP : les informations de signalisation entre les terminaux et les paquets de données de la conversation vocale. Les designers configurent souvent les données à destination et en provenance des téléphones IP sur un VLAN distinct conçu pour le trafic vocal afin qu'ils puissent appliquer des mesures de qualité de service pour accorder une priorité élevée au trafic vocal.
Multidiffusion IPLe trafic multidiffusion peut produire une grande quantité de données en continu sur le réseau. Les commutateurs doivent être configurés pour empêcher que ce trafic ne soit inondé par les dispositifs qui ne l'ont pas demandé, et les routeurs doivent être configurés pour garantir que le trafic multicast est transféré vers les zones du réseau où il est demandé.
Données normalesLe trafic de données normal est le trafic d'applications typique lié aux services de fichiers et d'impression, au courrier électronique, à la navigation sur Internet, à l'accès aux bases de données et aux autres applications réseau partagées.
Classe ScavengerLa classe Scavenger inclut tout le trafic avec des protocoles ou des modèles qui dépassent leurs flux de données normaux. Les applications affectées à cette classe contribuent peu ou pas du tout aux objectifs organisationnels de l'entreprise et sont généralement axées sur le divertissement.

Types de VLANs

Certains types de VLAN sont définis par le type de trafic qu’ils supportent ; d’autres sont définis par les fonctions spécifiques qu’ils exécutent. Les principaux types de VLAN et leur description suivent :

  • VLAN de données : Configuré pour ne prendre en charge que le trafic généré par l’utilisateur, en veillant à ce que les trafic VoIP et de gestion soient séparés du trafic de données.
  • VLAN par défaut : Tous les ports d’un commutateur sont membres du VLAN par défaut lorsque le commutateur est réinitialisé aux valeurs par défaut de la fabrication. Le VLAN par défaut pour les commutateurs Cisco est le VLAN 1. VLAN 1 possède toutes les caractéristiques d’un VLAN, sauf que vous ne pouvez pas le renommer ou l’effacer. C’est une bonne pratique en matière de sécurité de restreindre le VLAN 1 pour qu’il ne serve de canal que pour le trafic de contrôle de couche 2 (par exemple, CDP) et ne supporte aucun autre trafic.
  • VLAN trou noir (Black hole) : Une des meilleures pratiques en matière de sécurité consiste à définir un VLAN trou noir comme étant un VLAN fictif distinct de tous les autres VLAN définis dans le LAN commuté. Tous les ports de commutation inutilisés sont affectés au VLAN à trou noir de sorte que tout dispositif non autorisé se connectant à un port de commutation inutilisé soit empêché de communiquer au-delà du commutateur auquel il est connecté.
  • VLAN natif : Ce type de VLAN sert d’identificateur commun aux extrémités opposées d’une liaison tronc commun (trunk link). Une pratique exemplaire en matière de sécurité consiste à définir un VLAN natif comme étant un VLAN fictif distinct de tous les autres VLAN définis dans le LAN commuté. Le VLAN natif n’est utilisé pour aucun trafic dans le réseau commuté, à moins que des dispositifs de pontage (bridging) anciens soient présents dans le réseau ou qu’une interconnexion multi-accès existe entre des switches reliés par un hub.
  • VLAN de gestion: L’administrateur réseau définit ce VLAN comme un moyen d’accéder aux outils de gestion d’un commutateur. Par défaut, VLAN 1 est le VLAN de gestion. C’est une bonne pratique de sécurité de définir le VLAN de gestion comme étant un VLAN distinct de tous les autres VLAN définis dans le réseau local commuté. Pour ce faire, vous configurez et activez une nouvelle interface VLAN.
  • VLAN VoIP : La fonction VLAN VoIP permet aux ports de commutation d’acheminer le trafic vocal IP à partir d’un téléphone IP. L’administrateur réseau configure un VLAN vocal et l’affecte aux ports d’accès. Ensuite, lorsqu’un téléphone IP est connecté au port du commutateur, celui-ci envoie des messages CDP qui demandent au téléphone IP connecté d’envoyer le trafic vocal marqué avec l’ID VLAN vocal.

Exemple de VLAN vocal

La Figure A montre un exemple d’utilisation d’un port sur un commutateur pour connecter le téléphone IP et le PC d’un utilisateur. Le port du commutateur est configuré pour acheminer le trafic de données sur le VLAN 20 et le trafic vocal sur le VLAN 150.

Le téléphone IP Cisco contient un commutateur à trois ports 10/100 intégrés pour fournir les connexions dédiées suivantes :

  • Le port 1 se connecte au commutateur ou à un autre dispositif VoIP.
  • Le port 2 est une interface interne 10/100 qui achemine le trafic du téléphone IP.
  • Le port 3 (port d’accès) se connecte à un PC ou à un autre appareil.
Figure A - Commutation du trafic voix et données sur un téléphone IP Cisco
Figure A – Commutation du trafic voix et données sur un téléphone IP Cisco

Le trafic du PC5 connecté au téléphone IP passe par le téléphone IP sans marquage. La liaison entre S2 et le téléphone IP agit comme un tronc modifié pour acheminer à la fois le trafic vocal balisé (tagged) et le trafic de données non balisé.

VLAN de trunking

Un trunk VLAN est une liaison Ethernet point à point entre une interface de commutateur Ethernet et une interface Ethernet sur un autre périphérique réseau, tel qu’un routeur ou un commutateur, transportant le trafic de plusieurs VLAN sur le lien unique.

Un tronc de VLAN vous permet d’étendre les VLAN à l’ensemble d’un réseau. Un tronc de VLAN n’appartient pas à un VLAN spécifique ; il sert plutôt de canal pour les VLANs entre les commutateurs.

La Figure B montre un petit réseau commuté avec une liaison trunk entre S1 et S2 transportant un trafic VLAN multiple.

Figure B - Exemple d'un trunk VLAN
Figure B – Exemple d’un trunk VLAN

Lorsqu’un frame est placé sur un lien trunk, les informations sur le VLAN auquel il appartient doivent être ajoutées à la frame. Ceci est réalisé en utilisant le balisage de trame IEEE 802.1Q.

Lorsqu’un commutateur reçoit une trame sur un port configuré en mode d’accès et destiné à un périphérique distant via une liaison trunk, il démonte la trame et insère une étiquette VLAN, recalcule la séquence de vérification de trame (FCS) et envoie la trame marquée au port trunk.

La Figure C montre l’étiquette 802.1Q insérée dans une trame Ethernet.

Figure C - Champs_de_la_balise_802.1Q_à_l'intérieur_d'une_trame_Ethernet
Figure C – Champs_de_la_balise_802.1Q_à_l’intérieur_d’une_trame_Ethernet

Le champ d’étiquette VLAN se compose d’un champ Type 16 bits appelé champ EtherType et d’un champ Information de contrôle de l’étiquette. Le champ EtherType est défini sur la valeur hexadécimale 0x8100.

Cette valeur est appelée valeur de l’ID de protocole de balise (TPID). Avec le champ EtherType réglé sur la valeur TPID, le commutateur qui reçoit la trame sait qu’il doit chercher des informations dans le champ Informations de contrôle de l’étiquette.

Le champ Information de contrôle de l’étiquette contient les informations suivantes :

3 bits de priorité utilisateur : Fournit une transmission accélérée des trames de couche 2, telles que le trafic vocal.

1 bit de Canonical Format Identifier (CFI) : Permet aux trames Token Ring d’être facilement transportées sur les liaisons Ethernet

12 bits d’ID VLAN (VID) : Fournit les numéros d’identification du VLAN

REMARQUE : Bien que la norme 802.1Q soit la méthode recommandée pour baliser (tag) les trames, vous devez connaître le protocole propriétaire Cisco de trunking existant appelé Inter-Switch Link (ISL).

Protocole de trunking dynamique DTP

Dynamic Trunking Protocol (DTP) est un protocole Cisco-propriétaire qui négocie à la fois le statut des ports du tronc et l’encapsulation des ports du tronc.

La DTP gère la négociation de l’établissement du trunk uniquement si le port de l’autre switch est configuré dans un mode trunk supportant le protocole DTP. Un port sur un commutateur Cisco Catalyst prend en charge un certain nombre de modes de trunking.

Le mode trunking définit comment le port négocie en utilisant le protocole DTP pour établir une liaison trunk avec son port homologue. Ce qui suit est une brève description de chaque mode de trunking:

  • Si le commutateur est configuré avec la commande switchport mode trunk, le port du commutateur envoie périodiquement des messages DTP au port distant, annonçant qu’il est dans un état de trunking inconditionnel.
  • Si le commutateur est configuré avec la commande switchport mode trunk dynamic auto, le port du commutateur local annonce au port du commutateur distant qu’il est capable d’établir un trunk mais ne demande pas à passer en état trunking. Après une négociation DTP, le port local se retrouve dans l’état de trunking uniquement si le mode trunk du port distant a été configuré pour que l’état soit on ou desirable. Si les deux ports des commutateurs sont réglés sur auto, ils ne négocient pas pour être dans un état de trunking. Ils négocient pour être en mode d’accès.
  • Si le commutateur est configuré avec la commande switchport mode dynamic desirable, le port du commutateur local annonce au port du commutateur distant qu’il est capable de trunker et demande au portdistant de passer en état trunking. Si le port local détecte que son homologue a été configurée en mode on, desirable, ou auto, le port local se retrouve dans l’état de trunking. Si le port du commutateur distant est en mode nonegotiate, le port du commutateur local reste un port sans trunking.
  • Si le commutateur est configuré avec la commande switchport nonnegotiate, le port local est alors considéré comme étant dans un état de trunking inconditionnel. Utilisez cette fonction lorsque vous devez configurer un trunk avec un commutateur d’un autre fournisseur de commutateurs.

Le tableau B résume les résultats des négociations de DTP sur la base des différentes configurations DTP. sur un port local et distant.

Tableau B – Résultats des négociations trunk entre un port local et un port distant

 Dynamic
Auto
Dynamic
Desirable
TrunkAccess
Dynamic AutoAccessTrunkTrunkAccess
Dynamic DesirableTrunkTrunkTrunkAccess
TrunkTrunkTrunkTrunkNot recommended
AccessAccessAccessNot recommendedAccess

Configuration et vérification des VLAN

Reportez-vous à la topologie de la Figure D lors de cette révision sur les commandes de configuration, de vérification et de dépannage des VLAN et du trunking.

Figure D - Exemple de topologie
Figure D – Exemple de topologie

La configuration par défaut d’un commutateur Cisco est de mettre toutes les interfaces dans le VLAN 1. Vous pouvez le vérifier cela avec la commande show vlan brief, comme démontré pour S2 dans l’exemple A.

Exemple A – Configuration VLAN par défaut

S2#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
S2#

Un VLAN est créé de deux façons : soit en mode configuration globale, soit directement sous le mode interface. L’avantage de la configuration en mode configuration globale est que vous pouvez ensuite attribuer un nom avec la commande name vlan-name.

L’avantage de configurer le VLAN en mode de configuration d’interface est que vous affectez le VLAN à l’interface et créez le VLAN avec une seule commande. Cependant, pour nommer le VLAN, vous devez encore retourner à la méthode de configuration globale.

L’exemple B montre la création des VLAN 10 et 20 en utilisant ces deux méthodes. Le VLAN 20 est alors nommé et les VLAN restants sont créés en mode de configuration globale.

Exemple B – Créant des VLANs

S2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S2(config)#vlan 10
S2(config-vlan)#name Faculty/Staff
S2(config-vlan)#interface fa0/18
S2(config-if)#switchport access vlan 20
% Access VLAN does not exist. Creating vlan 20
S2(config-if)#vlan 20
S2(config-vlan)#name Students
S2(config-vlan)#vlan 30
S2(config-vlan)#name Guest(Default)
S2(config-vlan)#vlan 99
S2(config-vlan)#name Management&Native
S2(config-vlan)#end
S2#
%SYS-5-CONFIG_I: Configured from console by console

S2#

Notez dans l’exemple C où tous les VLAN sont créés, mais seul le VLAN 20 est affecté à une interface.

Exemple C – Vérification de la création de VLANs

S2#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24, Gig0/1
                                                Gig0/2
10   Faculty/Staff                    active    
20   Students                         active    Fa0/18
30   Guest(Default)                   active    
99   Management&Native                active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
S2#

Pour affecter les interfaces restantes aux VLANs spécifiés dans la Figure D, vous pouvez soit configurer une interface à la fois, soit utiliser la commande range pour configurer toutes les interfaces qui appartiennent à un VLAN avec une seule commande, comme dans l’exemple D.

Exemple D – Affectation des VLAN aux interfaces

S2#config t
Enter configuration commands, one per line.  End with CNTL/Z.
S2(config)#interface range fa 0/11 - 17
S2(config-if-range)#switchport access vlan 10
S2(config-if-range)#interface range fa 0/18 - 24
S2(config-if-range)#switchport access vlan 20
S2(config-if-range)#interface range fa 0/6 - 10
S2(config-if-range)#switchport access vlan 30
S2(config-if-range)#end
S2#
S2#
%SYS-5-CONFIG_I: Configured from console by console

S2#

La commande show vlan brief de l’exemple E vérifie que toutes les interfaces spécifiées dans la Figure D ont été affectées au VLAN approprié. Notez que les interfaces non affectées appartiennent toujours au VLAN par défaut 1.

Exemple E – Vérification de l’affectation des VLAN aux interfaces

S2#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Gig0/1, Gig0/2
10   Faculty/Staff                    active    Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17
20   Students                         active    Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24
30   Guest(Default)                   active    Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10
99   Management&Native                active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
S2#

Vous pouvez également vérifier l’affectation à un VLAN d’une interface spécifique à l’aide de la commande show interfaces type number switchport, comme illustré pour FastEthernet 0/11 dans l’exemple F.

Exemple F – Vérification de l’affectation VLAN d’une interface

S2#show interfaces fastethernet 0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 10 (Faculty/Staff)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none


S2#

Pour l’exemple de la topologie de la figure D, vous pouvez également configurer les VLANs sur S1 et S3, mais seul S3 nécessite des VLANs affectés aux interfaces.

VLANs étendus

Les VLAN sont divisés en une plage normale ou une plage étendue, comme le décrit le tableau C.

Tableau C – Comparaison des VLAN normaux et étendus

TypeDéfinition
Normal range VLANsLes VLAN à portée normale sont utilisés dans les réseaux des petites et moyennes entreprises et les réseaux d'entreprise.
Ces VLAN sont identifiés par des ID VLAN entre 1 et 1005.
Les ID 1 et 1002 à 1005 sont créés automatiquement et ne peuvent pas être supprimés.
Les configurations sont stockées dans un fichier de base de données VLAN appelé vlan.dat, qui est stocké dans la mémoire Flash.
VLAN à portée étendueLes fournisseurs de services et les grandes organisations utilisent les VLAN à portée étendue pour étendre leur infrastructure à un plus grand nombre de clients.
Ces VLAN sont identifiés par un ID VLAN entre 1006 et 4094.
Les VLAN à portée étendue supportent moins de fonctions VLAN que les VLAN à portée normale.
Les configurations sont enregistrées dans le fichier de configuration en cours d'exécution (running configuration file).

REMARQUE : Un commutateur Cisco Catalyst 2960 peut prendre en charge jusqu’à 255 VLAN de portée normale et étendue. Cependant, le nombre de VLAN configurés affecte les performances du matériel du commutateur.

Par défaut, les commutateurs Cisco 2960 exécutent les versions VTP 1 et 2, qui ne prennent pas en charge les VLAN étendus. Pour configurer un VLAN étendu, vous devez d’abord configurer le commutateur en mode transparent VTP, comme dans l’exemple G.

Exemple G – Configuration des VLAN étendus sur un commutateur Cisco 2960

Dist-A(config)#vlan 2500
VLAN_CREATE_FAIL: Failed to create VLANs 2500 : extended VLAN(s) not allowed in current VTP mode
Dist-A(config)#
Dist-A(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.
Dist-A(config)#
Dist-A(config)#vlan 2500
Dist-A(config-vlan)#end
Dist-A#
%SYS-5-CONFIG_I: Configured from console by console

Dist-A#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
2500 VLAN2500                         active    
Dist-A#

Les VLAN normaux sont enregistrés dans la mémoire Flash du fichier vlan.dat. Les configurations VLAN normales ne s’affichent pas dans la sortie du show run.

Cependant, les configurations VLAN étendues sont sauvegardées dans la configuration en cours d’exécution (running configuration) et peuvent être vues dans la sortie d’un ordre show run (voir exemple H).

Exemple H – Affichage de la configuration de VLANs étendus

Dist-A#show run
Building configuration...

Current configuration : 1113 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Dist-A
!
!
!
!
vtp mode transparent
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan 2500
!
.....................

REMARQUE : VTP version 3 prend en charge les VLAN étendus, mais les sujets d’examen actuels ne couvrent que les versions 1 et 2 de VTP.

Configuration et vérification du trunking

Conformément aux meilleures pratiques en matière de sécurité, nous configurons un VLAN différent pour la gestion et le VLAN par défaut.

Dans un réseau de production, vous voudriez en utiliser un VLAN différent pour chacun: un pour le VLAN de gestion et un pour le VLAN natif. Pour des raisons de commodité, nous utilisons le VLAN 99 pour les deux.

Pour commencer, nous définissons d’abord une nouvelle interface de gestion pour VLAN 99, comme dans l’exemple I.

Exemple I – Définition d’une nouvelle interface de gestion

S1#conf t
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.31 255.255.255.0
S1(config-if)#end
%LINK-5-CHANGED: Interface Vlan99, changed state to up

%SYS-5-CONFIG_I: Configured from console by console

S1#

Répéter la configuration sur S2 et S3. L’adresse IP sert à tester la connectivité au commutateur, ainsi que l’adresse IP utilisée par l’administrateur réseau pour l’accès distant (Telnet, SSH, SDM, HTTP, etc.).

Selon le modèle du commutateur et la version Cisco IOS, DTP peut avoir été déjà établi un trunking entre deux commutateurs qui sont directement connectés. Par exemple, la configuration par défaut du trunk pour les commutateurs 2950 est dynamique et desirable.

Par conséquent, un 2950 lancera les négociations sur les liaisons trunk. Pour nos besoins, supposons que les commutateurs sont tous des 2960. La configuration par défaut du 2960 est la configuration dynamic auto, dans laquelle l’interface n’initiera pas de négociations de trunking.

Dans l’exemple J, les cinq premières interfaces sur S1 sont configurées pour le trunking. Notez également que le VLAN natif est remplacé par le VLAN 99.

Exemple J – Configuration du trunk et affectation de VLAN natif

S1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#interface range g0/1 - 2
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#end
%SYS-5-CONFIG_I: Configured from console by console

S1#
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/2 (99), with S3 GigabitEthernet0/2 (1).

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (99), with S2 GigabitEthernet0/1 (1).

Si vous attendez la prochaine série de messages CDP, vous devriez obtenir le message d’erreur illustré dans l’exemple J. Bien que le trunk fonctionne entre S1 et S2 et entre S1 et S3, les switches ne sont pas d’accord sur le VLAN natif.

Répétez les commandes de trunking sur S2 et S3 pour corriger l’inadéquation du VLAN natif.

REMARQUE : Le type d’encapsulation – dot1q ou isl – peut nécessiter une configuration, selon le modèle de commutateur. Si c’est le cas, la syntaxe pour configurer le type d’encapsulation est la suivante :

Switch(config-if)# switchport trunk encapsulation { dot1q | isl | negotiate }

La série des switchs 2960 ne prend en charge que la norme 802.1Q, cette commande n’est donc pas disponible.

Pour vérifier que le trunking est opérationnel, utilisez les commandes de l’exemple K.

Exemple K – Vérification de la configuration de trunk

S1#show interfaces trunk
Port        Mode         Encapsulation  Status        Native vlan
Gig0/1      on           802.1q         trunking      99
Gig0/2      on           802.1q         trunking      99

Port        Vlans allowed on trunk
Gig0/1      1-1005
Gig0/2      1-1005

Port        Vlans allowed and active in management domain
Gig0/1      1,10,20,30,99
Gig0/2      1,10,20,30,99

Port        Vlans in spanning tree forwarding state and not pruned
Gig0/1      1,10,20,30,99
Gig0/2      1,10,20,30,99

S1#

S1#show interface g0/1 switchport
Name: Gig0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (VLAN0099)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none


S1#

Rappelez-vous que les hôtes sur le même VLAN doivent être configurés avec une adresse IP et un masque de sous-réseau sur le même sous-réseau.

Le test ultime de votre configuration consiste donc à vérifier que les périphériques finaux d’un même VLAN peuvent désormais “se pinguer” mutuellement. Si ce n’est pas le cas, utilisez les commandes de vérification pour détecter systématiquement le problème avec votre configuration.

Dépannage des VLAN

Si des problèmes de connectivité surviennent entre les VLAN et que vous avez déjà résolu des problèmes potentiels d’adressage IP, vous pouvez utiliser l’organigramme de la Figure E pour suivre méthodiquement tous les problèmes liés aux erreurs de configuration du VLAN.

Figure E - Diagramme de dépannage du VLAN
Figure E – Diagramme de dépannage du VLAN

L’organigramme de la figure F fonctionne de cette façon :

Étape 1. Utilisez la commande show vlan pour vérifier si le port appartient au VLAN attendu. Si le port est affecté au mauvais VLAN, utilisez la commande switchport access vlan pour corriger l’appartenance au VLAN.

Utilisez la commande show mac address-table pour vérifier quelles adresses ont été associées à un port particulier du commutateur et voir le VLAN auquel ce port est affecté.

Étape 2. Si le VLAN auquel le port est affecté est supprimé, le port devient inactif. Utilisez les commandes show vlan ou show interfaces switchport pour découvrir les problèmes avec les VLANs supprimés. Si le port est inactif, il n’est pas fonctionnel tant que le VLAN manquant n’est pas créé à l’aide de la commande vlan vlan_id.

Le tableau D résume ces commandes, qui peuvent être particulièrement utiles pour résoudre les problèmes de VLAN.

Tableau D – Commandes de dépannage des VLANs

Command EXECDescription
show vlanListe chaque VLAN et toutes les interfaces affectées à ce VLAN (mais n'inclut pas les trunks opérationnels)
show vlan brief
show vlan id numListe à la fois les ports d'accès et les ports trunk dans le VLAN
show interfaces switchportIdentifie le VLAN d'accès et le VLAN vocal de l'interface, les modes configuré et opérationnel (accès ou trunk), et l'état du port (up ou down)
show interfaces type
number switchport
show mac address-tableListe les entrées de table MAC, y compris le VLAN associé
show interface statusRésume la liste des statuts de toutes les interfaces (connected, notconnect, errdisabled), du VLAN, du duplex, de la vitesse et du type de port.

VLAN désactivés

Les VLAN peuvent être désactivés manuellement. Vous pouvez vérifier que les VLANs sont actifs avec la commande show vlan.

Comme l’exemple L le montre, les VLANs peuvent être dans l’un des deux états suivants : active ou act/lshut. Le second de ces états signifie que le VLAN est éteint.

Exemple L – Activation et désactivation des VLAN sur un commutateur

S1#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
10   VLAN0010                         act/lshut Fa0/13
20   VLAN0020                         active    
30   VLAN0030                         act/lshut    
99   VLAN0099                         active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
S1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)# no shutdown vlan 10
S1(config)# vlan 30
S1(config-vlan)# no shutdown
S1(config-vlan)#

Les commandes en surbrillance dans l’exemple L montrent les deux méthodes de configuration que vous pouvez utiliser pour activer l’arrêt du VLAN.

Dépannage du trunking

Pour résumer les problèmes liés aux VLAN et au trunking, les quatre problèmes potentiels sont les suivants :

Étape 1. Identifiez toutes les interfaces d’accès et les VLAN d’accès qui leur sont assignés, et réassignez-les dans les VLAN corrects, si nécessaire.

Étape 2. Déterminez si les VLAN existent et sont actifs sur chaque commutateur. Sinon, configurez et activez les VLANs pour résoudre les problèmes, si nécessaire.

Étape 3. Vérifiez les listes de VLAN autorisées sur les commutateurs situés aux deux extrémités du trunk et assurez-vous que les listes de VLAN autorisés sont les mêmes.

Étape 4. Veillez à ce que, pour toutes les liaisons qui devraient utiliser le trunking, l’un des commutateurs ne pense pas qu’il s’agit d’un trunking, tandis que l’autre commutateur ne pense pas qu’il s’agit d’un trunking.

La section précédente examinait les étapes 1 et 2. Ensuite, nous passons en revue les étapes 3 et 4.

Vérifier les deux extrémités d’un trunk

Pour l’examen CCNA, vous devriez être prêt à remarquer quelques choses bizarres qui se produisent avec certains choix de configuration non convenables sur les trunks.

Il est possible de configurer une autre liste de VLAN autorisés sur les extrémités opposées d’un trunk de VLAN. Comme le montre la Figure F, lorsque les listes de VLAN ne correspondent pas, le trunk ne peut pas transmettre le trafic pour ce VLAN.

Figure F - Mauvaises correspondances entre les listes autorisées de VLANs sur un trunk
Figure F – Mauvaises correspondances entre les listes autorisées de VLANs sur un trunk

Vous pouvez isoler ce problème qu’en comparant les listes autorisées aux deux extrémités du trunk. L’exemple K affiche la sortie de la commande show interfaces trunk sur S2.

Pour comparer les VLANs autorisés sur chaque commutateur, vous devez regarder la deuxième des trois listes de VLANs listées par la commande show interfaces trunk. Voir la sortie dans l’exemple M.

Exemple M – Vérification des VLANs autorisés sur S2

S2#show interfaces trunk
Port        Mode        Encapsulation   Status        Native vlan
Gig0/2      desirable    n-802.1q       trunking          1

Port        Vlans allowed on trunk
Gig0/2      1-4094

Port        Vlans allowed and active in management domain
Gig0/2      1,9

Port        Vlans in spanning tree forwarding state and not pruned
Gig0/2      1,9

S2#

 

Pour ajouter le VLAN 10 au réseau S2, entrez les commandes suivantes :

S2(config)# interface g0/2
S2(config-if)# switchport trunk allowed vlan add 10

Le mots-clés add permet d’ajouter un ou plusieurs VLANs au trunk sans avoir besoin de spécifier à nouveau tous les VLAN existants qui sont déjà autorisés.

Vérifier les états de fonctionnement du Trunking

Les trunks peuvent également être mal configurés. Dans certains cas, les deux commutateurs concluent que leurs interfaces ne peuvent pas former un trunk commun.

Dans d’autres cas, un commutateur croit que son interface est correctement prête pour créer un trunk, alors que l’autre commutateur ne le croit pas.

La configuration incorrecte la plus fréquente – ce qui fait que les deux commutateurs ne sont pas en trunking- est une configuration qui utilise la commande switchport mode dynamic auto sur les deux commutateurs du lien.

Le mot-clé auto ne signifie pas que le trunking est automatique. Au lieu de cela, les deux commutateurs attendent passivement sur l’autre dispositif pour commencer les négociations DTP.

Avec cette configuration particulièrement incorrecte, la commande show interfaces switchport des deux commutateurs confirme à la fois l’état administratif (auto) et le fait que les deux commutateurs fonctionnent comme ports d’accès statiques. L’exemple N met en évidence les parties de la sortie pour S2.

Exemple N – Vérification de l’état du trunc pour une interface spécifique

SW2# show interfaces gigabit0/2 switchport
Name: Gi0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
! lines omitted for brevity

Vérifiez toujours l’état de fonctionnement du trunk de ces deux côtés. Les meilleures commandes pour vérifier les faits relatifs au trunking sont show interfaces trunk et show interfaces switchport.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image