Comment configurer un VLAN
Un réseau local virtuel ou VLAN est un moyen de partitionner les ordinateurs d'un réseau en groupes de cluster qui répondent à un objectif commercial commun..La partie LAN indique que nous partitionnons le matériel physiquealors quela partie virtuelle indique que nous utilisons la logiquepour l'accomplir. Dans cet article, nous verrons comment créer un VLAN, puis le configurer pour permettre aux paquets de données d'un autre VLAN d'y passer.
Note: bien que nous ayons essayé de rendre l'ensemble de l'exercice de configuration d'un VLAN aussi simple que possible, il est supposé que vous, le lecteur, avez une compréhension de base de la configuration réseau. Nous supposons également que vous avez une connaissance pratique des concepts et des objectifs des adresses IP, des passerelles, des commutateurs et des routeurs. En outre, vous devez également connaître la navigation dans les procédures de configuration de l’interface et des sous-interfaces sur les ordinateurs et les périphériques réseau.
Pas à pas – Comment configurer un VLAN
La meilleure façon d’apprendre à configurer un VLAN – en dehors d’aller à l’école des réseaux – est de le faire dans le cadre d’un exercice pratique. Et comme nous n’avons pas tous de routeurs et de commutateurs qui traînent, il serait logique de créer notre VLAN dans un environnement simulé.
Dans cet exemple, nous utiliseronsTraceur de paquets Ciscopour montrer comment configurer notre VLAN. C'est l'un des outils les plus simples et les plus réalistes à utiliser et permet des interfaces GUI et CLI. De cette façon, vous pouvez voir les commandes qui sont exécutées en temps réel même si vous cliquez et glissez-déposez simplement au fur et à mesure de votre configuration.
L'outil peut être téléchargé, configuré et vérifié (en ouvrant un compte d'apprentissage sur Académie de mise en réseau Cisco ). Ne t'inquiète pas; vous pouvez simplement vous inscrire GRATUITEMENT Cours Cisco Packet Tracer pouraccéder pleinement à l'outil de conception.
De plus, outre la facilité d'utilisation, Cisco étant le leader du marché, nous pensons que c'est le choix approprié pour démontrer comment configurer un VLAN.
Bien entendu, vous pouvez utiliser n’importe quel autre outil similaire, car le concept reste le même. Une recherche rapide en ligne vous montrera qu'il existe des applications – de bureau ainsi que basées sur un navigateur – pour chaque marque de périphériques d'interface réseau. Trouvez et travaillez avec celui avec lequel vous êtes le plus à l'aise.
Router-on-a-Stick – l'explication
Bien qu'il existe de nombreuses façons de configurer un VLAN ou un inter-VLAN,l'architecture que nous allons créer utilisera ce que l'on appelle une configuration de routeur Cisco sur clé..
Dans cette configuration réseau, notre routeur aura une seule connexion physique ou logique à notre réseau. Ce routeur aidera à relier les deux VLAN – qui ne peuvent pas communiquer entre eux – en se connectant à notre switch via un seul câble.
Voici comment cela fonctionne : les paquets de données envoyés depuis un ordinateur du VLAN de comptabilité – et destinés à un ordinateur du VLAN logistique – seront acheminés vers le commutateur. Le commutateur, après avoir reconnu que les paquets doivent être transférés vers un autre VLAN, transmettra le trafic au routeur.
Le routeur, quant à lui, auraune interface physique (un câble réseau, dans notre exemple) divisée en deux sous-interfaces logiques. Les sous-interfaces seront chacune autorisées à accéder à un VLAN.
Lorsque les paquets de données arrivent au routeur, ils seront transmis au bon VLAN via la sous-interface autorisée, puis arriveront à leur destination prévue.
Notre routeur sur une configuration Stick VLAN, avec des capacités inter-VLAN, ressemblera à ceci :
Planifier vos tâches
L'ensemble de la tâche de création de notre architecture réseau sera divisé en quatre catégories principales dans lesquelles vous :
- Connectez tous les appareilspour former la bonne architecture
- Configurer les interfacespour que tous les appareils puissent « parler » entre eux
- Créer des VLAN et attribuer des ordinateursà leurs VLAN respectifs
- Confirmer la configuration correcteen démontrant que les ordinateurs ne peuvent pas communiquer au-delà de leur VLAN
Alors, sans plus tarder, commençons à créer notre VLAN. N’oubliez pas qu’il y aura initialement un commutateur et quatre ordinateurs connectés. Vous pouvez intégrer le routeur dans la conception ultérieurement si vous choisissez de le faire.
Connectez tous les appareils
Faites glisser et déposez un commutateur, un routeur et quatre ordinateurs dans la carte de conception principale. Pour notre démo, nous utiliserons uncommutateur 2960et unRouteur 2911.Le commutateur se connectera àquatre ordinateurs(PC0,PC1,PCdeux, etPC3) en utilisantconnexions de fils directs en cuivre(vous verrez la description du matériel et des types de connexion tout en bas de la fenêtre Tracer).
Suivant,connectez le commutateur à chaque ordinateur à l'aide des ports FastEthernet.
Une fois que tous les appareils sont connectés, vous devriez avoir un trafic entièrement vert circulant entre les appareils. Commel'outil essaie d'émuler les appareils démarrant et se connectant dans le monde réel, cela peut prendre une minute ou deux.Ne vous inquiétez donc pas si les indicateurs de flux de données restent orangependant quelques secondes. Si vos connexions et configurations sont correctes, tout passera bientôt au vert.
Pour rendre les choses plus faciles à comprendre, commençonsmarquez les deux ordinateurs à gauche comme appartenant au service Comptabilité (bleu)et les deux autres commeappartenant aux services Logistique (rouge).
Configurer les interfaces
Maintenant, allonscommencer à attribuer des adresses IP pour que nos ordinateurs puissent commencer à communiqueravec une autre. Les attributions IP ressembleront à ceci :
- ACCT PC0= 192.168.1.10/255.255.255.0
- ACCT PC1= 192.168.1.20/255.255.255.0
- JOURNAUX PCdeux= 192.168.2.10/255.255.255.0
- JOURNAUX PC3= 192.168.2.20/255.255.255.0
La passerelle par défaut pour les ordinateurs est 192.168.1.1 pour les deux premiers en Comptabilité, et192.168.2.1 pour les deux derniers ordinateurs de la Logistique. Vous pouvez accéder à la configuration en allant dans leMenu du bureaupuis en cliquant sur leConfiguration IPfenêtre.
Une fois sur place, commencez à remplir les configurations de tous les ordinateurs :
Lorsque vous avez terminé, nous pouvons maintenant passer au changement. Mais d’abord, nous devonsrappelez-vous qu'il y aura deux types de portssur notre switch :
- Ports d'accès :ce sont les ports qui seront utilisés pour permettre aux appareils du quotidien comme les ordinateurs et les serveurs de s'y connecter ; dans notre exemple, ce sont lesEthernet rapide 0/1,Ethernet rapide 1/1,FastEthernet 2/1, etEthernet rapide 3/1– un pour chaque ordinateur.
- Ports de réseau :ce sont les ports qui permettent à un switch de communiquer avec un autre switch – ou dans notre exemple une communication VLAN à VLAN sur le même switch (via le routeur) – pour étendre le réseau ; nous utiliserons leGigaEthernet0/0ports sur les deux périphériques de connectivité.
Gardant cela à l’esprit, passons à la partie amusante : configurer le commutateur pour exécuter nos VLAN.
Créer des VLAN et attribuer des ordinateurs
Alors, créons d’abord les VLAN – ils seront nommésACCT (VLAN 10)etJOURNAUX (VLAN 20).
Accédez à la CLI du commutateur pour saisir les commandes :
|_+_|Les commandes de votre CLI devraient ressembler à ceci :
Ou, si vous n’êtes pas à la hauteur, vous pouvez simplementutiliser l'interface graphique pour créer les VLAN(et voyez toujours les commandes exécutées telles qu'elles sont exécutées ci-dessous). Allez auBase de données de configuration-VLANmenus etAJOUTEZ les VLAN en saisissant leurs numéros (10,20) et leurs noms (ACCT, LOGS).
Ensuite, nous devonsattribuer chaque port, que le commutateur utilise pour connecter les ordinateurs, à leurs VLAN respectifs.
Vous pouvez simplementchoisissez l'interface puis cochez la case du VLAN correspondant dans le menu de configuration à droite:
Comme vous pouvez le voir sur l'image ci-dessus, vous pouvez également accéder à l'interface CLI de chaque port et utiliser la commande :accès au switchport vlan 10pour effectuer la même tâche.
Ne t'inquiète pas; il existe une manière plus courte de procéder s'il y a un grand nombre de ports à attribuer. Par exemple, si vous aviez 14 ports, la commande serait :
|_+_|La deuxième commande garantit que le commutateur comprend que les ports doivent être des ports d'accès. et non les ports TRUNK.
Confirmer la configuration correcte
Et c'est tout; nous avons créé deux VLAN sur le même commutateur. Pour le tester et confirmer que notre configuration est correcte, nous pouvonsessayez de cingler P1et P3de P0. Le premier ping devrait être correct tandis que le second devrait expirer et perdre tous les paquets :
Comment configurer un inter-VLAN
Maintenant, même si nous avons divisé les ordinateurs en deux VLAN – comme cela était nécessaire – il est plus logique que les deux départements (Comptabilité et Logistique) doivent communiquer entre eux. Ce serait la norme dans n’importe quel environnement commercial réel. Après tout, la logistique ne peut pas être achetée ou fournie sans soutien financier, n’est-ce pas ?
Nous devons donc nous assurer que ACCT et LOGS sont capables de communiquer, même s'ils se trouvent sur des VLAN distincts. Cela signifienous devons créer une communication inter-VLAN.
Voici comment procéder
Nous aurons besoin de l'aide de notre routeur ; il servira de pont entre les deux VLANS – alors n’hésitez pas à ajouter un routeur à votre conception si vous ne l’avez pas déjà fait.
En passant à la configuration, nous devons comprendre que nous utiliseronsun port sur le routeur pour les deuxCommunication des VLAN par «scission'-le dans deux ports. Entre-temps,le commutateur n'utilisera qu'un seul port TRUNK pour envoyer et recevoir toutes les communicationsvers et depuis le routeur.
Donc, en revenant à notre routeur, nous allonsdiviser le GigabitEthernet0/0interface dansGigabitEthernet0/0.10(pour VLAN10) etGigabitEthernet0/0.20(pour VLAN20). Nous allons alorsutiliser le protocole standard IEEE 802.1Qpour interconnecter les commutateurs, les routeurs et pour définir les topologies VLAN.
Une fois fait,ces « sous-interfaces »– comme on l'appelait –sont ensuite attribués à chaque VLAN que l'on souhaite connecterou un pont.
Enfin,rappelez-vous les passerelles – 192.168.1.1 et 192.168.2.1 – que nous avons ajoutées aux configurations des ordinateursplus tôt? Eh bien, ce serontles nouvelles adresses IP des ports splittés ou sous-interfacessur le routeur.
Les commandes CLI pour créer les sous-interfaces sous leGigabitEthernet0/0l'interface serait :
|_+_|En répétant tout cela pour la deuxième sous-interface et le VLAN, nous obtenons
|_+_|Une fois que vous fermez la CLI, vous pouvez confirmer que votre configuration est correcte en déplaçant simplement la souris sur le routeur pour voir votre travail, qui devrait ressembler à ceci :
Maintenant, nous savons quenous ne pouvons connecter nos sous-interfaces (sur le routeur) à notre switch que via son port trunk– et donc, nous devrons le créer maintenant.
Tout ce que vous avez à faire estallez dans la configuration GigabitEthernet0/0 du switchet courir:Ligne réseau en mode switchport.
Et voila;vous venez de créer deux VLAN contenant chacun deux ordinateurs et pouvant encore communiquer entre eux. Tu peuxprouvez-le en pingant le premier ordinateur logistique (PCdeux) avec l'adresse IP 192.168.2.10 du premier ordinateur de comptabilité (PC0) avec l'adresse IP 192.168.1.10:
Grand succès!
Pourquoi mettre en place un VLAN ou inter-VLAN
À ce stade, certains d'entre vous se demandent peut-être pourquoi nous devrions faire cet exercice et nous soucier des VLAN ou des inter-VLAN. Eh bien, il y a plusieurs raisons, parmi lesquelles :
- SécuritéLa division d'un réseau en composants garantit que seuls les utilisateurs et appareils autorisés peuvent accéder à un sous-réseau. Vous ne voudriez pas que vos comptables interfèrent avec le travail de votre service logistique ou vice versa.
- SécuritéEn cas d’épidémie de virus, un seul sous-réseau serait affecté, car les appareils d’un sous-réseau ne seraient pas en mesure de communiquer – et donc de transférer – le virus vers un autre. De cette façon, les procédures de nettoyage seraient concentrées sur ce sous-réseau, ce qui faciliterait également l'identification beaucoup plus rapide de la machine coupable.
- Garantit l’intimité par l’isolementSi quelqu’un voulait en savoir plus sur l’architecture de votre réseau (avec l’intention de l’attaquer), il utiliserait un renifleur de paquets pour tracer votre mise en page. Avec des sous-réseaux isolés, les coupables ne pourraient obtenir qu’une image partielle de votre réseau, leur refusant ainsi des informations critiques sur vos vulnérabilités, par exemple.
- Facilite le trafic réseauLes sous-réseaux isolés peuvent réduire l'utilisation du trafic en limitant les processus gourmands en ressources à leur propre portée et en ne surchargeant pas l'ensemble du réseau. Cela signifie que le fait que le service informatique impose des mises à jour critiques aux machines comptables ne signifie pas que le service logistique doit également faire face à un ralentissement du réseau.
- Priorisation du traficDans les entreprises qui ont différents types de trafic de données, les paquets sensibles ou gourmands en ressources (VoIP, médias et transferts de données volumineux, par exemple) peuvent être attribués à un VLAN avec un haut débit plus large, tandis que ceux qui n'ont besoin du réseau que pour envoyer des e-mails peuvent le faire. être attribué à un VLAN avec une bande passante moindre.
- ÉvolutivitéLorsqu'une entreprise a besoin d'augmenter les ressources disponibles sur ses ordinateurs, elle peut les réaffecter à de nouveaux VLAN. Leurs administrateurs créent simplement un nouveau VLAN, puis y déplacent facilement les ordinateurs.
Comme on peut le voir,Les VLAN aident à protéger un réseau tout en améliorant les performances des paquets de donnéesqui voyagent autour de lui.
VLAN statique vs VLAN dynamique
Nous avons pensé qu'il valait la peine de mentionner qu'il existe deux types de VLAN disponibles pour la mise en œuvre :
VLAN statique
Cette conception VLAN dépend du matériel pour créer les sous-réseaux. Les ordinateurs sont affectés à un port spécifique sur un commutateur et branchés directement. S'ils doivent être déplacés vers un autre VLAN, les ordinateurs sont simplement débranchés de l'ancien commutateur et rebranchés sur le nouveau.
Le problème est que n’importe qui peut passer d’un VLAN à un autre en changeant simplement les ports auxquels il est connecté. Cela signifie que les administrateurs auraient besoin de méthodes ou de dispositifs de sécurité physique pour empêcher de tels accès non autorisés.
VLAN dynamique
C'est le VLAN que nous venons de créer dans l'exercicenous l'avons fait plus tôt. Dans cette architecture VLAN,nous avons des VLAN logiciels où les administrateurs utilisent simplement la logique pour attribuer des adresses IP ou MAC spécifiquesà leurs VLAN respectifs.
Cela signifie que les appareils peuvent être déplacés vers n'importe quelle partie de l'entreprise et dès qu'ils se connectent au réseau, ils retournent à leurs VLAN pré-attribués. Aucune configuration supplémentaire n'est nécessaire.
S'il y a un inconvénient à ce scénario, c'est peut-être que l'entreprise devra investir dans un commutateur intelligent – un commutateur de politique de gestion VLAN (VMPS) – qui peut être onéreux par rapport au commutateur traditionnel utilisé dans les environnements statiques. VLAN.
On peut également supposer ici avec certitude queles entreprises disposant de quelques ordinateurs et d'un budget informatique réduit peuvent choisir de mettre en œuvre un VLAN statiquealors queceux qui disposent d'un grand nombre d'appareils et ont besoin de plus d'efficacité et de sécurité feraient bien d'investir dans un VLAN dynamique.
Conclusion
Nous espérons que vous avez trouvé toutes les informations dont vous aviez besoin pour savoir comment configurer un VLAN. Nous espérons également que l’exercice a été facile à suivre et que vous pourrez désormais développer les connaissances que vous avez acquises. Parce que,même si vous continuez à évoluer vers le haut, ces étapes de base restent les mêmes– vous continuez simplement à ajouter du matériel et des configurations aux bases.
FAQ sur les VLAN
Qu'est-ce qu'un VLAN ?
Un VLAN est une méthode qui rend les réseaux plus efficaces en réduisant la portée des transmissions de diffusion à une seule section du réseau. Une diffusion est diffusée dans toutes les parties du réseau, ce qui peut créer un trafic important dans tout le système, y compris vers des zones qui n'auront jamais besoin de recevoir cette diffusion ni d'y répondre. En effet, un VLAN divise un réseau en sections.
En quoi un VLAN est-il différent d'un LAN ?
LAN signifie Local Area Network, qui est le nom commun d'un réseau typique à l'intérieur d'un bureau. Le réseau local virtuel (VLAN) crée des sections de ce réseau local, qui semblent être des systèmes distincts, même s'ils sont en réalité tous connectés ensemble. La segmentation du LAN en VLAN se produit au niveau de la couche liaison de données (couche 2), elle est donc implémentée sur les commutateurs et les ponts.
Les routeurs se trouvent au niveau de la couche réseau (couche 3). Ils fonctionnent sur l'ensemble du réseau mais utilisent des techniques logicielles pour distinguer les sections VLAN. Le routeur peut établir un lien entre ces sections grâce au routage inter-VLAN.
Quels sont les types de VLAN ?
Il y acinq typesdu VLAN :
- VLAN par défaut : Les commutateurs ont des paramètres qui peuvent implémenter des VLAN, mais ceux-ci sont tous initialement définis sur VLAN1. Comme tous les commutateurs ont le même VLAN, il n’y a qu’un seul VLAN opérationnel, ce qui signifie effectivement que la technologie est désactivée.
- VLAN de données : Également connue sous le nom de VLAN utilisateur, cette stratégie crée deux groupes : un pour les utilisateurs et un pour les appareils. Cela ne transportera que des données.
- VLAN voix : Destiné au réseau téléphonique de bureau et implémenté avec la VoIP, ce VLAN transporte le trafic vocal. Ce trafic est prioritaire sur le trafic de données pour garantir une haute qualité de service.
- VLAN de gestion : Accède aux fonctions de gestion d'un commutateur pour des tâches telles que la journalisation et l'extraction des données d'activité et d'état pour la surveillance du système. Lorsque d'autres VLAN sont configurés, le VLAN de gestion doit être laissé comme VLAN1.
- VLAN natif : Utilisé pour les ports de liaison qui gèrent le trafic de tous les VLAN, créant un canal de transmission commun dont le trafic peut être divisé pour des VLAN individuels.