Le routage Inter-VLAN

Lorsque votre réseau s’agrandit et que vos utilisateurs ont besoin d’accéder à différents réseaux virtuels, le routage inter-VLAN devient essentiel. Cette technique permet de faire communiquer les différents VLANs de votre réseau et d’optimiser les performances de votre infrastructure. Dans cet article, nous allons explorer les concepts clés du routage inter-VLAN, ainsi que les méthodes les plus courantes pour le mettre en place. Découvrez dès maintenant comment améliorer la connectivité et la sécurité de votre réseau grâce au routage inter-VLAN.

Notre réseau local est maintenant cloisonné par plusieurs vlan. Sauf que ces vlan on besoin de communiquer avec l’extérieur. Pour se faire, nous avons mettre en place du routage inter-vlan.

Un VLAN = un réseau IP

Exemple : VLAN 10 = 192.168.10.0/24.

Si un ordinateur veut échanger avec une adresse IP qui ne fait pas partie de son réseau, il devra passer par sa passerelle par défaut (gateway en anglais). Qui va nous permettre de faire communiquer plusieurs réseaux différents ? Un routeur !!

Notre routeur va donc porter toutes les passerelles par défaut de nos VLANs.

Il existe 2 méthodes pour faire communiquer deux VLANs :

  • la méthode Router On a Stick (ROAS)
  • la méthode Switch Virtual Interface (SVI)
CHAPITRE 1 :

Le routage inter-VLAN Router On A Stick (ROAS)

Présentation

Cette image montre une configuration de VLANs utilisant la méthode Router on a Stick (ROAS). Elle présente les mêmes trois VLANs : VLAN 10 pour le Secrétariat (en jaune), VLAN 20 pour le Commercial (en bleu), et VLAN 30 pour la Direction (en vert). Le routeur (RO) est connecté aux switchs N2 pour gérer le trafic entre les VLANs, une technique courante en réseau d'entreprise pour l’interconnexion de VLANs. Ce type de configuration est souvent utilisé pour les examens de certification comme le CCNA.

Un VLAN = une interface physique sur notre routeur, c’est impensable…

Alors il fallait trouver une solution pour pallier à ça ! La solution ? Les “sous-interfaces” !!!

Router(config)# interface FastEthernet 0/0.?
<0-4294967295> FastEthernet interface number

Nous pouvons donc créer 4 294 967 295 sous-interfaces soit 4,2 milliards de possibilités ! Chaque sous-interface peut se configurer comme une interface normale ! On peut donc leur appliquer la même configuration vue plus haut. La configuration de notre switch va aussi changer. Le port d’interconnexion devrait être configuré en trunk.

Configuration du Switch

SWE_01(config)# interface FastEthernet 0/24
SWE_01(config-if)# description TRUNK_VERS_RO_01
SWE_01(config-if)# switchport mode trunk
SWE_01(config-if)# switchport trunk encapsulation dot1q

Configuration du Routeur

RO_01(config)# interface FastEthernet 0/0
RO_01(config-if)# description VERS_SWE_01
RO_01(config-if)# no shutdown
RO_01(config-if)# exit

RO_01(config)# interface FastEthernet 0/0.10
RO_01(config-subif)# description VLAN_SECRETAIRE
RO_01(config-subif)# ip address 192.168.10.254 255.255.255.0
RO_01(config-subif)# encapsulation dot1q 10
RO_01(config-subif)# exit

RO_01(config)# interface FastEthernet 0/0.20
RO_01(config-subif)# description VLAN_BOSS
RO_01(config-subif)# ip address 192.168.20.254 255.255.255.0
RO_01(config-subif)# encapsulation dot1q 20
RO_01(config-subif)# exit

RO_01(config)# interface FastEthernet 0/0.30
RO_01(config-subif)# description VLAN_VENDEUR
RO_01(config-subif)# ip address 192.168.30.254 255.255.255.0
RO_01(config-subif)# encapsulation dot1q 30
RO_01(config-subif)# exit

Exercice Packet Tracer

Configuration ROAS en vidéo

CHAPITRE 2 :

Le routage inter-VLAN Switch Virtual Interface (SVI)

Architecture

Cette image illustre la configuration de VLANs (Virtual Local Area Networks) dans une architecture réseau avec des Switch Virtual Interfaces (SVI). Elle représente trois VLANs principaux : VLAN 10 pour le Secrétariat (en jaune), VLAN 20 pour le Commercial (en bleu), et VLAN 30 pour la Direction (en vert). Les switchs N2 et N3 sont connectés et permettent la communication entre les différents VLANs. Cette architecture est couramment utilisée en réseau d'entreprise pour segmenter le trafic.

Activer le routage sur le switch

SWC_01(config)# ip routing

Configurer le port d'interconnexion

SWC_01(config)# interface FastEthernet 0/1
SWC_01(config-if)# description VERS_SWITCH_SWE_01
SWC_01(config-if)# switchport mode trunk
SWC_01(config-if)# switchport trunk encapsulation dot1q

Configurer les interfaces vlan

SWC_01(config)# interface VLAN 10
SWC_01(config-vlan)# description VLAN_SECRETAIRE
SWC_01(config-vlan)# ip address 192.168.10.254 255.255.255.0
SWC_01(config-vlan)# exit

SWC_01(config)# interface VLAN 20
SWC_01(config-vlan)# description VLAN_BOSS
SWC_01(config-vlan)# ip address 192.168.20.254 255.255.255.0
SWC_01(config-vlan)# exit

SWC_01(config)# interface VLAN 30
SWC_01(config-vlan)# description VLAN_VENDEUR
SWC_01(config-vlan)# ip address 192.168.30.254 255.255.255.0
SWC_01(config-vlan)# exit

Exercice Packet Tracer

Configuration SVI en vidéo

Conclusion

Comparatif des routages inter-vlan

Privilégiez le routage SVI !!!

Sur le même thème :

VLAN | Maîtrisez les bases en 5 minutes

Un VLAN (Virtual LAN), ou Réseau Local Virtuel, est une solution astucieuse qui permet de diviser un réseau Ethernet physique en plusieurs sous-réseaux logiquement distincts. Malgré leur partage d’une infrastructure physique unique, ces sous-réseaux agissent comme s’ils étaient séparés, offrant une isolation entre eux. La normalisation des VLANs est définie par le standard IEEE 802.1Q, qui spécifie les protocoles et méthodes permettant cette segmentation au sein d’une infrastructure commune.

Pour mieux visualiser cela, imaginons une entreprise composée de trois départements : Secrétariat, Direction et Commercial. Dans un scénario traditionnel, pour isoler la communication de chaque groupe, l’administrateur aurait besoin de trois switchs distincts. Cette solution, non seulement coûteuse, manquerait également de flexibilité.

Exemple de segmentation réseau sans VLAN montrant l'isolement des départements Secrétariat, Commercial et Direction avec des switches distincts.

En revanche, avec la technologie VLAN, on peut obtenir cette séparation tout en économisant sur le matériel. Il suffirait simplement de créer trois VLANs distincts sur un switch :

  • VLAN 10 pour le Secrétariat
  • VLAN 20 pour la Direction
  • VLAN 30 pour le Commercial

Grâce à cette configuration, les membres de chaque groupe peuvent communiquer librement entre eux au sein de leur VLAN respectif. Mais ils restent isolés des autres groupes, tout comme s’ils étaient connectés à des switchs physiques séparés.

Schéma montrant la segmentation réseau avec VLANs, isolant les départements Secrétariat, Commercial et Direction tout en utilisant un seul switch

Décryptage de la table CAM : Prenons un moment pour plonger dans la mécanique de notre switch et examiner sa table CAM.

				
					Switch# show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
10 0002.1604.94c5 DYNAMIC Fa0/1
10 0050.0f58.58ca DYNAMIC Fa0/2
20 0006.2a77.6cb9 DYNAMIC Fa0/3
20 00d0.ff8c.2b36 DYNAMIC Fa0/4
30 0001.64ac.30ed DYNAMIC Fa0/5
30 0060.3e9b.26ae DYNAMIC Fa0/6
				
			

À la lecture de cette table, on note que chaque adresse MAC est associée à un VLAN spécifique. Pour que notre switch puisse acheminer efficacement une trame à son destinataire, il est impératif que l’expéditeur et le destinataire appartiennent au même VLAN. C’est une condition sine qua non pour garantir la communication entre les dispositifs.

La Notion de VLAN : Visibilité et Marquage des Trames

Dans le monde des réseaux, le concept de VLAN (Virtual Local Area Network) est crucial pour créer des segments logiques qui améliorent la sécurité et la performance des réseaux physiques. Mais lorsque deux PC sont branchés sur le même équipement et font partie du même VLAN, comment cela fonctionne-t-il en coulisse ? Les PC sont-ils conscients de leur appartenance à un VLAN ? Leurs trames sont-elles marquées (taguées) ?

Compréhension du VLAN pour les PC :
Les PC ou autres dispositifs finaux (comme les imprimantes ou les serveurs) ne sont généralement pas au courant de leur appartenance à un VLAN. Pour eux, ils sont simplement connectés à un réseau. Le VLAN est transparent pour ces dispositifs et est principalement une abstraction au niveau du switch pour organiser et contrôler le trafic.

"Illustration montrant le concept de VLAN appliqué aux PC connectés à un switch avec des liens de communication.

Tagging des trames dans un VLAN :
Lorsque deux PC du même VLAN communiquent entre eux et sont connectés au même switch, la trame n’a pas besoin d’être taguée. En effet, puisque le switch sait déjà à quel VLAN chaque port appartient, il n’a pas besoin d’insérer de balise dans la trame pour identifier le VLAN de destination. C’est seulement lorsque la trame doit quitter le switch pour aller vers un autre switch à travers un lien trunk que le marquage (ou tagging) devient nécessaire.

les avantages des VLANs

Les réseaux d’entreprise modernes doivent être flexibles, sécurisés et faciles à gérer pour répondre efficacement aux besoins changeants des utilisateurs et des applications. Dans cette optique, les VLANs (Virtual Local Area Networks) ont été introduits comme une solution pour surmonter les défis posés par les grands domaines de diffusion traditionnels. Ils offrent une manière élégante de segmenter les réseaux, permettant une meilleure performance, une sécurité renforcée et une gestion plus aisée. Examinons de plus près les avantages distincts des VLANs et comment ils peuvent transformer la manière dont les entreprises gèrent leurs infrastructures réseau.

  1. Réduction des diffusions de broadcast : Les VLAN permettent de limiter les diffusions de broadcast en isolant les groupes d’utilisateurs dans des réseaux logiques distincts. Chaque groupe d’utilisateur ne peut communiquer qu’avec les utilisateurs du même VLAN, ce qui réduit considérablement les diffusions de broadcast sur l’ensemble du réseau.
  2. Optimisation de la bande passante : En limitant les diffusions de broadcast, les VLAN permettent d’optimiser la bande passante du réseau. Cela permet d’améliorer les performances et de réduire les temps de latence, en particulier dans les réseaux à forte charge.
  1. Gestion des utilisateurs par fonction ou département : Les VLAN permettent de regrouper les utilisateurs par fonction ou département, ce qui facilite la gestion du réseau. Les administrateurs peuvent définir des politiques de sécurité, de qualité de service ou de bande passante pour chaque VLAN, en fonction des besoins des utilisateurs.
  1. Amélioration de la sécurité : Les VLAN permettent également d’améliorer la sécurité en limitant l’accès aux ressources du réseau. Chaque VLAN est considéré comme un réseau distinct, ce qui permet de définir des politiques de sécurité spécifiques pour chaque groupe d’utilisateurs.

En résumé, les VLAN sont un moyen efficace de limiter les diffusions de broadcast, d’optimiser la bande passante, de faciliter la gestion des utilisateurs et d’améliorer la sécurité du réseau. En comprenant les avantages des VLAN, vous pouvez optimiser la performance de votre réseau local.

La numérotation VLAN

Tableau de numérotation des VLANs avec trois catégories : VLANs standard (1 à 1001), VLANs réservés (1002 à 1005), et VLANs étendus (1006 à 4094).

Il existe trois types de VLANs :

  • VLANs standard (numéroté de 1 à 1001) ;
  • VLANs réservés (numéroté de 1002 à 1005) ;
  • VLANs étendus (numéroté de 1006 à 4094).

Chacun de ces types de VLANs a des caractéristiques et des utilisations spécifiques.

  • Les VLANs 1 à 1001 sont considérés comme les VLANs “normaux” et peuvent être utilisés pour n’importe quel type de trafic Ethernet.
  • Les VLANs 1002 à 1005 sont réservés pour des raisons historiques liées à Token Ring et FDDI et ne doivent généralement pas être utilisés dans les architectures Ethernet modernes.
  • Les VLANs 1006 à 4094 sont considérés comme les VLANs “étendus”. Bien que cette distinction soit plus pertinente pour les anciens commutateurs Cisco, de nombreux commutateurs modernes traitent tous les VLANs de la même manière, quelle que soit leur numérotation.

Le VLAN par défaut

Le VLAN 1 est le VLAN par défaut sur la plupart des commutateurs. Cela signifie que tous les ports d’un commutateur sont membres du VLAN 1 par défaut lorsqu’ils sont initialisés. De nombreuses fonctions de gestion, telles que la gestion des adresses CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol) et d’autres fonctions de gestion, utilisent également le VLAN 1 par défaut. Pour des raisons de sécurité, il est recommandé de ne pas utiliser le VLAN 1 pour le trafic des utilisateurs.

En résumé, la numérotation VLAN est essentielle pour identifier, gérer et segmenter efficacement le trafic au sein d’un réseau. Une planification et une gestion appropriées sont essentielles pour garantir l’efficacité et la sécurité des communications au sein des VLANs.

AFFECTER UN VLAN

Il existe plusieurs méthodes pour affecter un VLAN à un port ou à un dispositif sur un commutateur. Voici les principales méthodes d’affectation :

  1. Affectation statique : L’administrateur attribue manuellement un port à un VLAN. C’est la méthode la plus basique et la plus utilisée, généralement via le CLI ou le GUI du commutateur.
  2. Affectation dynamique : Un serveur, comme RADIUS, assigne le VLAN en fonction de critères spécifiques, comme l’adresse MAC ou le nom d’utilisateur. C’est pratique pour des réseaux nécessitant une gestion dynamique des utilisateurs.
  3. Affectation basée sur le protocole : Le type de protocole utilisé (comme IP ou IPX) détermine le VLAN. Ainsi, différents protocoles peuvent se retrouver dans différents VLANs.
  4. Affectation par Voix : Pour les téléphones IP. Certains commutateurs séparent automatiquement le trafic vocal dans un VLAN dédié pour assurer une bonne qualité des appels.

L’affectation des VLANs est une composante fondamentale de la gestion d’un réseau commuté. Choisir la bonne méthode d’affect

Configurer UN VLAN

Par défaut, tous les ports sont dans le Vlan 1.

Pour mettre le port et donc un poste client dans un Vlan différent, il va falloir :

  • Créer le Vlan dans la Vlan Database.
  • Affecter un port dans ce Vlan.

Créer le Vlan dans la Vlan Database.

				
					Switch(config)# vlan 10
Switch(config-vlan)# name SERVEUR
				
			

Affecter un port dans un Vlan.

				
					Switch(config)# interface Interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

				
			

Exemple de configuration

Architecture de base

Schéma de configuration VLAN avec trois VLANs distincts pour le Secrétariat (VLAN 10), le Commercial (VLAN 20), et la Direction (VLAN 30) connectés à un switch.

Configuration

				
					Switch(config)# vlan 10
Switch(config-vlan)# name SECRÉTAIRE
Switch(config)# vlan 20 
Switch(config-vlan)# name BOSS
Switch(config)# vlan 30 
Switch(config-vlan)# name VENDEUR

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface FastEthernet 0/4 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 20 

Switch(config)# interface FastEthernet 0/7 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30 

				
			

Dépannage Vlan

Lorsque vous rencontrez des problèmes de VLAN sur un équipement Cisco, il existe plusieurs commandes de troubleshooting que vous pouvez utiliser pour diagnostiquer et résoudre les problèmes.

Voici quelques-unes des commandes les plus courantes :

				
					Switch# show vlan
				
			

La commande “show vlan” affiche la configuration des VLAN sur l’équipement Cisco. Elle affiche également les ports associés à chaque VLAN et l’état de chaque VLAN.

				
					Switch# show interfaces switchport
				
			

La commande “show interfaces switchport” affiche la configuration des ports switchport, y compris les VLAN associés à chaque port. Elle affiche également l’état de chaque port.

				
					Switch# show interfaces trunk
				
			

La commande “show interfaces trunk” affiche la configuration des ports trunk, y compris les VLAN associés à chaque port. Elle affiche également l’état de chaque port.

				
					Switch# debug vlan
				
			

La commande “debug vlan” active le débogage du protocole VLAN. Elle peut être utilisée pour diagnostiquer les problèmes de VLAN en temps réel.

				
					Switch# show logging
				
			

La commande “show logging” affiche les logs du commutateur. Elle peut être utilisée pour identifier les événements récents qui pourraient être liés aux problèmes de VLAN.

 

				
					Switch# show mac-address-table
Mac Address Table 
------------------------------------------- 
Vlan Mac Address Type Ports 
---- ----------- -------- ----- 
10 0002.1604.94c5 DYNAMIC Fa0/1
10 0050.0f58.58ca DYNAMIC Fa0/2
20 0006.2a77.6cb9 DYNAMIC Fa0/3
20 00d0.ff8c.2b36 DYNAMIC Fa0/4
30 0001.64ac.30ed DYNAMIC Fa0/5
30 0060.3e9b.26ae DYNAMIC Fa0/6
				
			

Les VLAN en vidéo

BONUS : Configuration VLAN VOICE

Schéma de configuration VLAN Voice, isolant les VLANs de données et de voix pour le Secrétariat, le Commercial et la Direction.
				
					Switch(config)# vlan 10
Switch(config-vlan)# name SECRÉTARIAT
Switch(config)# vlan 20 
Switch(config-vlan)# name COMMERCIAL
Switch(config)# vlan 30 
Switch(config-vlan)# name DIRECTION

Switch(config)# vlan 11
Switch(config-vlan)# name SECRÉTARIAT-VOIP
Switch(config)# vlan 21 
Switch(config-vlan)# name COMMERCIAL-VOIP
Switch(config)# vlan 31 
Switch(config-vlan)# name DIRECTION-VOIP

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport voice vlan 11

Switch(config)# interface FastEthernet 0/3 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 20 
Switch(config-if)# switchport voice vlan 21

Switch(config)# interface FastEthernet 0/5 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30 
Switch(config-if)# switchport voice vlan 31
				
			

Conclusion

En conclusion, les VLAN sont un moyen efficace de limiter les diffusions de broadcast et de gérer la bande passante dans un réseau local. Ils permettent également une meilleure gestion du réseau et une amélioration de la sécurité. En comprenant le fonctionnement des VLAN et en les configurant correctement, vous pouvez optimiser la performance de votre réseau local.

Afin de faire discuter plusieurs Vlans ensemble, je vous invite à lire l’article sur le routage inter-vlan.

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Sur le même thème :