Mise en place de VLANs et de routage inter-VLANs

I. Présentation

Dans ce tutoriel, nous allons aujourd'hui voir comment mettre en place un réseau simple composé de 4 postes de travail, deux switchs et un routeur. Les deux switchs partageront des VLANS et le routeur se chargera des tâches de routage inter-VLANs. Nous aborderons divers fonction et manipulation sous des éléments de marques Cisco. Ainsi, nous régulerons plus facilement le flux (Les vlans bloquent les adresses de diffusions), nous pourrons créer des espaces de travail indépendants et la sécurité sera accrue car les flux réseau seront isolés.

II. Schéma du réseau

Pour illustrer le tutoriel, j'utiliserais ce schéma fait sous Packet Tracer 6 :

RoutageInterVLAN01

III. Configuration des Vlans

La première étape à suivre une fois que le cablage est en place est de créer les deux VLANS sur nos deux switchs. Pour faire simple, nous allons supposer que nous aurons deux VLANS (10 et 20) avec une liaison par port trunk entre le switch 2 et le switch 3. Le reste de la configuration sera détaillée et expliquée plus tard.

Note : Les lignes de configuration suivantes sont à exécuter sur les deux Switchs

Switch>enable
Switch#conf t

Nous allons ensuite créer les VLANS et les nommer :

Switch(config)#vlan 10 
Switch(config-vlan)#name vlan_10 
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan_20
Switch(config-vlan)#vlan 99
Switch(config-vlan)#name Native
Switch(config-vlan)#exit

Nous créons également un VLAN natif dont l'explication sera faite un peu plus bas dans le tutoriel.

Nous allons maintenant créer nos ports trunk sur les interfaces Fa0/1 de nos deux switchs. Le port trunk va permettre, au travers des trames 802.1q de faire transiter des trames tagguées (ou étiquetées) selon un Vlan ou un autre afin que tous les Vlan autorisés puissent passer au travers d'un même lien. Plus clairement, c'est un port qui peut faire passer plusieurs VLAN vers un autre élément actif. Cela permet, dans notre cas, de faire communiquer les VLANS 10 et 20 entres des éléments connectés à deux switchs différents. Sans port trunk, il faudrait une liaison entre les switchs par VLANs.

Switch(config)#interface fa0/1
Switch(config-if)#switchport mode trunk 
Switch(config-if)#switchport trunk allowed vlan 20,30,99
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)#no shutdown
Switch(config-if)#exit

Faisons un petit point sur le terme "native vlan"sur ce lien : vlan natif

On spécifie également les VLANS que nous souhaitons laisser passer sur notre trunk à savoir les trames étiquetées sur les VLAN 20,30 et 99. Par défaut, toutes les VLANS peuvent passer sur un port trunk. Si nous spécifions l'autorisation de certaines VLANs, les autres ne seront pas acceptés à transiter. Nous allons maintenant affecter les ports voulus à nos différentes VLANS. On présume que nous souhaitons affecter les ports Fa0/10 des deux switchs sur la VLAN 20 et les ports Fa0/11 sur le VLAN 30, on exécute donc ces commandes sur nos deux switchs :

Switch(config)#interface fa0/10
Switch(config-if)#switchport access vlan 20 
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#interface fa0/11
Switch(config-if)#switchport access vlan 30 
Switch(config-if)#no shutdown
Switch(config-if)#exit

Voici à présent le schéma de notre réseau, j'ai juste ajouté des détails sur les postes pour savoir sur quel VLAN ils sont :

RoutageInterVLAN02

J'ai également ajouté des IPs à mes postes. Ceux sur la VLAN 20 appartient au réseau "192.168.20.0/24" et ceux sur le VLAN 30 appartiennent au réseau "192.168.30.0/24" (pour faire simple 😉 ).

 

IV. Test Vlans

Nous allons maintenant tester la connectivité des postes situées sur la même VLAN. On prend pas exemple le poste "Laptop2" sur le VLAN 30 et avec l'IP 192.168.30.2 pour pinger le poste "Laptop1" située sur la VLAN 30 de l'autre switch et avec l'IP 192.168.30.1 :

 

RoutageInterVLAN03

On peut faire la même chose en pingant du poste "PC1" au poste "PC2" qui sont également tout deux sur le même VLAN (20 cette fois ci). Les plus curieux aurons remarqué que le "PC1" ou "PC2" ne peuvent pinger "Laptop1" et "Laptop2" qui sont sur des VLANS différentes (20 et 30). C'est justement la problématique que nous venons de nous créer est que les VLANS isolent correctement les groupes de postes/d'utilisateur mais bloquent complétement la communication entres elles.

Pourquoi ?

Les VLANs sont des LAN virtuelle (d'où leur nom 😉 ) et comme chaque LAN, nous ne pouvons les interconnectés que par l'intermédiaire de routeur (d’élément gérant la couche 3 - réseau plus spécifiquement). Nous avons maintenant besoin de router nos différentes VLANS entre elles pour qu'elles puissent communiquer. Nous abordons donc la deuxième partie du tutoriel qui est donc le routage inter-vlan.

V. Routage inter-vlan

Il se peut qu’un besoin de communication se fasse entre les deux groupes de travail. Il est alors possible de faire communiquer deux Vlans sans pour autant compromettre leur sécurité.

Pour cela nous utilisons un routeur relié à un des deux switchs. Nous appelons ce type de routage inter-vlan un Router-on-stick. Cela signifie que le router va, par intermédiaire d'un seul lien physique router et faire transiter un ensemble de VLAN. On aurait également pu mettre en place un switch de niveau trois qui aurai été capable d'effectuer les tâches de routage inter-vlan.

Plusieurs Vlans peuvent avoir pour passerelle un même port physique du routeur qui sera "découpé" en plusieurs interfaces virtuelles. Nous pouvons en effet diviser un port du routeur selon les Vlans à router et ainsi créer une multitude de passerelles virtuelles avec des adresses IP différentes.

VI. Configuration du routeur

Nous allons donc créer nos interface virtuelles sur le port Fa0/0 de notre routeur. Il faut tout d'abord absolument activer l'interface physique pour que les interfaces virtuelles soient opérationnelles :

Router>enable
Router#configuration terminal
Router(config)#interface fa0/0
Router(config-if)#no shutdown 
Router(config-if)#exit

Nous allons ensuite créer l'interface fa0/0.1 (interface virtuelle 1 de l'interface physique fa0/0),nous dirons que ce port virtuel sur la passerelle des postes du VLAN 20 :

Router(config)#interface fa0/0.1
Router(config-subif)#encapsulation dot1Q 20 
Router(config-subif)#ip address 192.168.20.254 255.255.255.0 
Router(config-subif)#no shutdown
Router(config-subif)#exit

Nous faisons pareil pour l'interface fa0/0.2 et les postes du réseau du vlan 30

Router(config)#interface fa0/0.2
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#ip address 192.168.30.254 255.255.255.0 
Router(config-subif)#no shutdown
Router(config-subif)#exit

Un petit mot de la commande "encapsulation dot1q". La norme de trame 802.1q indique que les trames sont étiquetées pour contenir le numéro de vlan à laquelle elles sont destinées/attribuées. La commande "encapsulation dot1q 30" permet donc d'encapsuler une trame pour transiter sur le vlan 30 si elle est destinée à celui ci. Le routeur a besoin de cette information par exemple quand il voit une trame venant du vlan 20 (étiquetée vlan 20) qui souhaite se diriger sur le vlan 30. Il change donc à ce moment la son étiquetage 802.1q pour que les switchs puissent correctement acheminé la trame vers le ou les postes du vlan 30. N'oublions pas notre switch ! Il faut également mettre le port fa0/24 de notre "Switch2" (qui fait la liaison avec le routeur) en mode trunk pour que lui aussi puisse acheminer toutes les VLANs vers et depuis le routeur :

Switch(config)#interface fa0/24
Switch(config-if)#switchport mode trunk 
Switch(config-if)#switchport trunk allowed vlan 20,30,99
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)#no shutdown
Switch(config-if)#exit

VII. Test Routage Vlan

Une fois que nous avons mis les bonnes passerelles à nos postes (par exemple 192.168.20.254 pour les postes du VLAN 20 dans le cas de notre schéma de test), nous pouvons tester la communication inter-VLAN par l'intermédiaire d'un simple ping par exemple du poste 192.168.20.2 vers 192.168.30.1

RoutageInterVLAN04

Notre routage inter-VLAN est maintenant opérationnel !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.

Nombre de posts de cet auteur : 523.Voir tous les posts

67 thoughts on “Mise en place de VLANs et de routage inter-VLANs

  • bonjour a tous,
    au fait j’ai un souci avec switchs dont sur ce il ya un vlan public 11 sur lequel plusieur operateur sont connecter et le souci un regulateur veut controle le trafic de trois opérateur sur leur reseau différent. comment faire?

    Répondre
  • Bonjour,
    Je me pose une question :
    La création de vlans permet de séparer les réseaux et de les sécuriser.
    Un trunk entre les les switchs permet de choisir quels vlans communiquent entre eux.
    La communication intervlans au niveau du routeur permet aux différents vlans de sortir du réseau via un lien trunk et des sous interfaces et du coup de communiquer entre eux.
    Mais du coup, est ce que cela n’annule pas l’intérêt des Vlans
    Je ne sais pas si cela est clair.
    cdt

    Répondre
    • En partie, mais malgré le fait de faire le trunking il n’y a qui le traffic qui a besoin de joindre l’autre vlan qui passe, et tout ce qui est broadcast est de toutes manières bloqué car il ne passe pas le routeur, du coup on limite grandement le traffic inutile et le risque de congestion

      Répondre
  • Explication très clair cependant tu n’expliques jamais le rôle du vlan native 99 🙂

    Répondre
  • remplacer le vlan native par défaut (le vlan1) par n’importe quel autre vlan (ici le 99) permet d’empécher un hacker qui simulerait des trames sur le vlan par défaut (vlan1) pour tenter d’atteindre des équipements situés dans d’autres vlan : ce remplacement oblige le hacker à rechercher la valeur du native vlan, ce qui est pour l’instant plutot difficile (on peut mettre de nombreuses valeurs, dépassant 1005)

    Répondre
  • j’ai aussi un probleme j’ai deja terminee de configurer les switchs client et serveurs meme le routage intervlans mais differents vlans ne communiquent pas quel est le probleme?

    Répondre
    • As tu mis ta passerelle sur tes ordinateurs?

      Répondre
  • Bonjour,

    J’ai un problème pour mettre le switch access vlan 30. Il me dit que le vlan 30 n’existe pas.

    Merci

    Répondre
    • Bonjour si le Vlan n’existe pas ..tu dois d’abord annoncer le Vlan avant de la créer
      C’est a dire quand tu es en mode config tu tape la commande Vlan (Num)
      Puis tu Renome le Vlan avec la commande name (nom) puis end et de la sur le mode config tu pourras créé ton clan et il sera visible

      Répondre
  • bonjour une machine dans un vlan peut elle communiquer avec une autre machine dans un autre vlan, mais juste 1 machine du vlan , exemple , j’ai un vlan avec un serveur et un autre vlan avec un serveur aussi , je voudrais que toutes les machines du vlan 1 puisse communiquer avec le serveur du vlan 2 , mais je n y arrive pas merci d avance

    Répondre
  • Bonjour, j’ai créé une topologie avec plusieurs VLANs, avec 600 PCs, 2 routers et 40 switchs. Je fais l’encapsulation avec une topologie en miniature et j’ai réussi a pinger, mais avec ces 600 PCs, cela ne marche pas, alors que j’ai tout fait sur le router. Auriez-vous un conseil à me donner (protocole à suivre) pour une topologie assez grande et avec beaucoup d’hôtes ? Les pings sur les 600 PCs marchent, mais prennent aussi 2 ou 3 secondes.

    Répondre
  • Bonjour,
    Vous parlez de mettre la passerelle sur les ordinateurs. Est-ce chaque PC mettre la passerelle du réseau auquel il appartient.
    ex pc 192.168.20.1 >>>>> passerelle 192.168.20.254
    Merci par avance

    Répondre
  • bonjour a vous tous
    moi j’essaye via un serveur dhcp d’attribuer dynamiquement les @IP aux hôtes du réseau, ma question est comment configuré les différents pools dhcp ?(avec 5 vlan 192.168.10.0 —->192.168.50.0) et est ce que je peut ajouter manuellement uniquement les passerelles des hôtes (qui sont réellement des @IP D’interfaces virtuelles créer sur le routeur)? merci pour votre honorable collaboration.

    Répondre
  • bonjour
    les éléments actifs n’ont pas d’IP?
    quelles sont les passerelles des Pcs?

    Répondre
  • Bonjour Team Merci pour les explications c’est vraiment important

    Ma question c’est qu’au départ du tutoriel c’est ca qu’on navait créer nespas Vlan 10 et Vlan 20
    Switch(config)#vlan 10
    Switch(config-vlan)#name vlan_10
    Switch(config-vlan)#vlan 20
    Switch(config-vlan)#name vlan_20
    Switch(config-vlan)#vlan 99
    Switch(config-vlan)#name Native
    Switch(config-vlan)#exit

    Et finalement on se retrouve avec Vlan 20 et Vlan 30 ????????????????

    Répondre
  • Pourquoi passer du vlan 10 20 au 20 et 30?

    Que fait on du vlan 10 du coup? ou du 30 ?

    Répondre
  • Bonjour,
    Tutorial à revoir car on crée le Vlan 99 pour l’administration et il parle du 30.

    Répondre

Répondre à mouad martil Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.