CONFIGURATION DE BASE DES PERIPHERIQUES

1.1- Configurer un commutateur avec les paramètres initiaux

1.1.1- Séquence de démarrage du commutateur

Avant de pouvoir configurer un commutateur, vous devez l'allumer et lui permettre de suivre la
séquence de démarrage en cinq étapes. Cette rubrique couvre les bases de la configuration d'un
commutateur et comprend un atelier à la fin.

Une fois sous tension, un commutateur Cisco suit la séquence de démarrage en cinq étapes suivante :

Étape 1 : Tout d’abord, le commutateur charge un programme d’auto-test à la mise sous tension
(POST) stocké dans la ROM. POST vérifie le sous-système CPU. Il teste le processeur, la DRAM et la
partie du périphérique flash qui constitue le système de fichiers flash.
Étape 2 : Ensuite, le commutateur charge le logiciel du chargeur de démarrage. Le chargeur de
démarrage est un petit programme stocké dans la ROM qui est exécuté immédiatement après la
réussite du POST.
Étape 3 : Le chargeur de démarrage effectue une initialisation de bas niveau du processeur. Il initialise
les registres du processeur, qui contrôlent l'emplacement de mappage de la mémoire physique, la
quantité de mémoire et sa vitesse.
Étape 4 : Le chargeur de démarrage initialise le système de fichiers flash sur la carte système.
Étape 5 : Enfin, le chargeur de démarrage localise et charge une image logicielle du système
d'exploitation IOS par défaut en mémoire et donne le contrôle du basculement vers l'IOS.

1.1.2- La commande du système de démarrage

Le commutateur tente de démarrer automatiquement en utilisant les informations de la variable

d'environnement BOOT. Si cette variable n'est pas définie, le commutateur tente de charger et
d'exécuter le premier fichier exécutable qu'il trouve. Sur les commutateurs de la gamme Catalyst 2960,
le fichier image est normalement contenu dans un répertoire qui porte le même nom que le fichier
image (à l'exclusion de l'extension de fichier .bin).

Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des commandes Cisco IOS
trouvées dans le fichier de configuration de démarrage. Le fichier de configuration de démarrage
s'appelle config.text et se trouve dans Flash.

S1(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-lanbasek9-mz.150-2.SE.bin

1.1.3- Indicateurs LED de commutateur

Les commutateurs Cisco Catalyst disposent de plusieurs voyants LED d'état. Vous pouvez utiliser les
voyants du commutateur pour surveiller rapidement l'activité et les performances du
commutateur. Les commutateurs de différents modèles et ensembles de fonctionnalités auront des
LED différentes et leur emplacement sur le panneau avant du commutateur peut également varier.
Le bouton Mode (7 sur la figure) est utilisé pour basculer entre l'état du port, le port duplex, la vitesse
du port et, si pris en charge, l'état Power over Ethernet (PoE) des voyants du port (8 sur la figure).

LED système

Indique si le système est alimenté et fonctionne correctement. Si la LED est éteinte, cela signifie que
le système n'est pas sous tension. Si la LED est verte, le système fonctionne normalement. Si le voyant
est orange, le système est alimenté mais ne fonctionne pas correctement.

LED du système d'alimentation redondante (RPS)

Affiche l'état RPS. Si la LED est éteinte, le RPS est éteint ou il n'est pas correctement connecté. Si la
LED est verte, le RPS est connecté et prêt à fournir une alimentation de secours. Si la LED clignote en
vert, le RPS est connecté mais n'est pas disponible car il alimente un autre appareil. Si la LED est orange,
le RPS est en mode veille ou en condition de panne. Si le voyant clignote en orange, l'alimentation
interne du commutateur est en panne et le RPS fournit de l'énergie.

LED d'état des ports

Indique que le mode d'état du port est sélectionné lorsque la LED est verte. C'est le mode par
défaut. Lorsqu'elles sont sélectionnées, les LED du port affichent des couleurs avec des significations
différentes. Si le voyant est éteint, il n'y a pas de liaison ou le port a été arrêté administrativement. Si
la LED est verte, un lien est présent. Si la LED clignote en vert, il y a une activité et le port envoie ou
reçoit des données. Si la LED alterne entre vert et orange, il y a un défaut de liaison. Si le voyant est
orange, le port est bloqué pour garantir qu'il n'existe pas de boucle dans le domaine de transfert et
qu'il ne transfère pas de données (en général, les ports restent dans cet état pendant les 30 premières
secondes après avoir été activés). Si le voyant clignote en orange, le port est bloqué pour empêcher
une éventuelle boucle dans le domaine de transfert.

LED duplex des ports

Indique que le mode duplex du port est sélectionné lorsque le voyant est vert. Lorsque cette option
est sélectionnée, les voyants des ports éteints sont en mode semi-duplex. Si le voyant du port est vert,
le port est en mode duplex intégral.

LED de vitesse du port

Indique que le mode vitesse du port est sélectionné. Lorsqu'elles sont sélectionnées, les LED du port
affichent des couleurs avec des significations différentes. Si le voyant est éteint, le port fonctionne à
10 Mbps. Si le voyant est vert, le port fonctionne à 100 Mbps. Si le voyant clignote en vert, le port
fonctionne à 1 000 Mbps.
LED du mode Alimentation par Ethernet (PoE)

Si PoE est pris en charge, une LED de mode PoE sera présente. Si le voyant est éteint, cela indique que
le mode PoE n'est pas sélectionné et qu'aucun des ports n'a été privé d'alimentation ou placé en
condition de panne. Si le voyant clignote en orange, le mode PoE n'est pas sélectionné mais au moins
un des ports n'a pas été alimenté ou présente un défaut PoE. Si la LED est verte, cela indique que le
mode PoE est sélectionné et les LED des ports afficheront des couleurs avec des significations
différentes. Si le voyant du port est éteint, le PoE est éteint. Si le voyant du port est vert, le PoE est
activé. Si le voyant du port alterne vert-orange, le PoE est refusé car l'alimentation du périphérique
alimenté dépassera la capacité d'alimentation du commutateur. Si le voyant clignote en orange, le PoE
est désactivé en raison d'un défaut. Si le voyant est orange, le PoE du port a été désactivé.

1.1.4- Accès à la gestion des commutateurs

Pour préparer un commutateur pour l'accès à la gestion à distance, le commutateur doit disposer
d'une interface virtuelle de commutateur (SVI) configurée avec une adresse IPv4 et un masque de
sous-réseau ou une adresse IPv6 et une longueur de préfixe pour IPv6. Le SVI est une interface
virtuelle et non un port physique sur le commutateur. Gardez à l'esprit que pour gérer le commutateur
à partir d'un réseau distant, le commutateur doit être configuré avec une passerelle par défaut. Ceci
est très similaire à la configuration des informations d’adresse IP sur les périphériques hôtes.

Étape 1: Configurer l'interface de gestion

Pour préparer un commutateur pour l'accès à la gestion à distance, le commutateur doit être
configuré avec une adresse IP et un masque de sous-réseau.

• Pour gérer le commutateur à partir d'un réseau distant, le commutateur doit être configuré
avec une passerelle par défaut. Ceci est très similaire à la configuration des informations
d'adresse IP sur les périphériques hôtes.
• Dans la figure, l'interface virtuelle du commutateur (SVI) sur S1 doit recevoir une adresse IP.
Le SVI est une interface virtuelle, pas un port physique sur le commutateur. Un câble de
console est utilisé pour se connecter à un PC afin que le commutateur puisse être configuré
initialement.

Par défaut, le commutateur est configuré pour que sa gestion soit contrôlée par le VLAN 1. Tous les
ports sont attribués à VLAN 1 par défaut. Pour des raisons de sécurité, il est recommandé d'utiliser un
VLAN de gestion autre que le VLAN 1.
Remarque: le commutateur doit peut-être être configuré pour IPv6. Par exemple, avant de pouvoir
configurer l'adressage IPv6 sur un Cisco Catalyst 2960 exécutant IOS version 15.0, vous devrez entrer
la commande de configuration globale sdm prefer dual-ipv4-and-ipv6 default et puis recharger le
commutateur.

Étape 2: Configurez la passerelle par défaut

• Le commutateur doit être configuré avec une passerelle par défaut s'il doit être géré à
distance depuis des réseaux connectés indirectement.

Remarque: Étant donné qu'il recevra ses informations de passerelle par défaut à partir d'un message
de publicité de routeur (RA), le commutateur ne nécessite pas de passerelle IPv6 par défaut.

Étape 3: Vérifiez la configuration.

• Les commandes show ip interface brief et show ipv6 interface brief sont utiles pour
déterminer l'état des interfaces physiques et virtuelles. La sortie affichée confirme que
l'interface VLAN 99 a été configurée avec une adresse IPv4 et IPv6.

Remarque: Une adresse IP appliquée au SVI est uniquement destinée à l'accès de gestion à distance
au commutateur; cela ne permet pas au commutateur d'acheminer les paquets de couche 3.
1.2- Configurer les ports de commutateur

1.2.1- La communication en mode duplex

• Les communications duplex intégrales simultanées augmentent la bande passante réelle, car
les deux extrémités de la connexion transmettent et reçoivent simultanément des données.
C'est ce qu'on appelle la communication bidirectionnelle et elle nécessite une
microsegmentation.
• Un réseau local microsegmenté est créé lorsqu'un port de commutateur n'a qu'un seul
appareil connecté et qu'il fonctionne en mode duplex intégral. Il n'y a pas de domaine de
collision associé à un port de commutateur fonctionnant en mode duplex intégral.
• Contrairement à la communication duplex intégral, la communication semi-duplex est
unidirectionnelle. La communication en semi-duplex pose des problèmes de performance car
les données ne peuvent circuler que dans un seul sens à la fois, ce qui entraîne souvent des
collisions.
• L'Ethernet Gigabit et les cartes réseau de 10 Gb nécessitent des connexions duplex intégrales
(full-duplex) pour fonctionner. En mode duplex intégral, le circuit de détection de collision sur
la carte réseau est désactivé. Le duplex intégral offre une efficacité de 100 % dans les deux
sens (émission et réception). Il en résulte un doublement de l'utilisation potentielle de la
bande passante indiquée.

1.2.2- Configurer les ports de commutateur sur la couche physique

• Les ports de commutateur peuvent être configurés manuellement avec des paramètres de
duplex et de vitesse spécifiques. Les commandes de configuration de l'interface respectives
sont duplex et vitesse.
• Le paramètre de bidirectionnalité et de vitesse d'un port de commutateur Cisco Catalyst 2960
ou 3560 est auto. Les ports 10/100/1000 fonctionnent en mode semi-duplex ou duplex
intégral lorsqu'ils sont réglés à 10 ou 100 Mbps et ne fonctionnent en mode duplex intégral
que lorsqu'il est réglé à 1000 Mbps (1 Gbps).
• La négociation automatique est utile lorsque les paramètres de vitesse et de duplex du
périphérique connecté au port sont inconnus ou peuvent changer. Lors de la connexion à des
périphériques connus tels que des serveurs, des stations de travail dédiées ou des
périphériques réseau, il est recommandé de définir manuellement les paramètres de vitesse
et de duplex.
• Lors du dépannage des problèmes de port de commutateur, il est important que les
paramètres duplex et de vitesse soient vérifiés.
Remarque: Des paramètres incorrects relatifs au mode duplex ou au débit peuvent entraîner des
problèmes de connectivité. La défaillance de la négociation automatique crée des paramètres mal
adaptés.

Tous les ports à fibre optique, tels que les ports 1000BASE-SX, ne fonctionnent qu'à une vitesse
prédéfinie et sont toujours en duplex intégral.

1.2.3- Auto-MDIX

• Lorsque la fonction auto-MDIX (automatic medium-dependent interface crossover) est

activée, l'interface du commutateur détecte automatiquement le type de connexion de câble
requis (droit ou croisé) et configure la connexion de manière appropriée.
• Lors la connexion aux commutateurs sans utiliser la fonction auto-MDIX, des câbles droits
doivent être utilisés pour se connecter à des périphériques tels que des serveurs, des stations
de travail ou des routeurs. Des câbles croisés doivent être utilisés pour se connecter à d'autres
commutateurs ou à des répéteurs.
• Lorsque la fonction auto-MDIX est activée, les deux types de câble peuvent être utilisés pour
se connecter à d'autres périphériques, et l'interface est adaptée automatiquement pour
communiquer avec succès.
• Sur les commutateurs Cisco les plus récents, la commande du mode de configuration
d’interface mdix auto permet d’activer cette fonctionnalité. Lorsque la fonction Auto-MDIX
est utilisée sur une interface, la vitesse et le mode duplex de celle-ci doivent être réglés
sur auto afin que le système fonctionne correctement.

Remarque: La fonctionnalité auto-MDIX est activée par défaut sur les commutateurs Cisco Catalyst
2960 et 3560, mais n'est pas disponible sur les anciens commutateurs Cisco Catalyst 2950 et 3550.

Pour examiner le paramètre Auto-MDIX pour une interface spécifique, utilisez la commande show
controllers ethernet-controller avec le mot-clé phy. Pour limiter la sortie aux lignes référençant Auto-
MDIX, utilisez le filtre Inclut Auto-MDIX.
1.2.4- Commandes de vérification du commutateur

1.2.5- Vérifier la configuration du port de commutateur

La commande show running-config peut être utilisée pour vérifier que le commutateur a été
correctement configuré. À partir de la sortie abrégée de l'échantillon sur S1, quelques informations
importantes sont présentées dans la figure:

• L'interface Fast Ethernet 0/18 configurée à l’aide du réseau local virtuel VLAN99 de gestion
• VLAN99 est configuré avec l'adresse IPv4 172.17.99.11 255.255.255.0
• Passerelle par défaut définie à 172.17.99.1

La commande show interfaces est une autre commande couramment utilisée, qui affiche des
informations d'état et de statistiques sur les interfaces réseau du commutateur. La commande show
interfaces est souvent utilisée lors de la configuration et du contrôle des périphériques réseau.

La première ligne de la sortie de la commande show interfaces FastEthernet 0/18 indique que
l'interface FastEthernet 0/18 est up/up, ce qui signifie qu'elle est opérationnelle. Plus bas, la sortie
montre que le duplex est complet et que la vitesse est 100 Mbps.
1.2.6- Les problèmes de la couche d'accès réseau

La sortie de la commande show interfaces est utile pour détecter les problèmes de supports courants.
L'une des parties les plus importantes de cette sortie est l'affichage de l'état de la ligne et du protocole
de liaison de données, comme le montre l'exemple.

Le premier paramètre (FastEthernet0/1 is up) fait référence à la couche matérielle et indique si

l’interface reçoit un signal de détection de porteuse. Le deuxième paramètre (le protocole de ligne est
active) fait référence à la couche de liaison de données et indique si les messages de test d'activité du
protocole de couche liaison de données sont en cours de réception. Selon les sorties de la
commande show interfaces les problèmes éventuels peuvent être résolus comme suit :

• Si l’interface est active et que le protocole de ligne est désactivé, un problème existe.
Il peut y avoir une incompatibilité de type d'encapsulation, l'interface à l'autre
extrémité peut être désactivée ou il peut y avoir un problème matériel.
• Si le protocole de ligne et l'interface sont tous les deux en panne, un câble n'est pas
connecté ou un autre problème d'interface existe. Par exemple, dans une connexion
dos à dos, l'autre extrémité de la connexion peut être administrativement en panne.
• Si l'interface est désactivée sur le plan administratif, cela signifie qu'elle a été
désactivée manuellement (la commande shutdown a été émise) dans la configuration
courante.

Certaines erreurs de support ne sont pas assez graves pour provoquer la défaillance du circuit, mais
causent des problèmes de performances réseau. Le tableau explique certaines de ces erreurs
courantes qui peuvent être détectées à l'aide de la commande show interfaces.
1.2.7- Erreurs en entrée et en sortie de l'interface

«Erreurs en entrée» est la somme de toutes les erreurs dans les datagrammes qui ont été reçues sur
l'interface examinée. Cela comprennent les trames incomplètes, trames géantes, pas de mémoire
tampon, CRC, trame, débordement et comptes ignorés. Les erreurs en entrée signalées par la
commande show interfaces sont notamment:

• Trames incomplètes (Runt Frames) - Les trames Ethernet qui sont plus courtes que la
longueur minimale autorisée de 64 octets sont appelées trames incomplètes. Le
mauvais fonctionnement des NIC est la cause habituelle d'un nombre excessif de
trames incomplètes, mais il peut aussi être causé par des collisions.
• Géants - Les trames Ethernet qui dépassent la taille maximale autorisée sont appelées
géants.
• Erreurs CRC - Sur les interfaces Ethernet et série, les erreurs CRC indiquent
généralement une erreur relative au support ou au câble. Parmi les causes les plus
courantes, on compte les interférences électriques, des connexions lâches ou
endommagées, ou l'utilisation d'un câble incorrect. Si vous constatez un nombre élevé
d'erreurs CRC, la liaison présente un bruit trop important et vous devriez vérifier le
câble. Vous devez également rechercher les sources de bruit et les éliminer.

«Erreurs en sortie» sont la somme de toutes les erreurs ayant empêché la transmission finale des
datagrammes vers l'interface examinée. Les erreurs en sortie signalées par la commande show
interfaces ont notamment:

• Collisions - les collisions lors de fonctionnement en mode intégral simultané sont

normales. Cependant, vous ne devez pas observer de collisions sur une interface
configurée pour la communication duplex intégral simultanée.
• Collisions tardives - Une collision tardive est une collision qui se produit après que
512 bits de la trame ont été transmis. Les longueurs de câble excessives sont la cause
la plus fréquente de collisions tardives. Une autre cause fréquente est la mauvaise
configuration des duplex.
1.3- Accès à distance sécurisé

1.3.1- Fonctionnement de Telnet

Telnet utilise le port TCP 23. Il s'agit d'un ancien protocole qui utilise la transmission non sécurisée en
texte clair à la fois de l'authentification de la connexion (nom d'utilisateur et mot de passe) et des
données transmises entre les dispositifs de communication.

Un acteur de menaces peut surveiller les paquets à l'aide de Wireshark. Par exemple, l'acteur de
menace a capturé le nom d'utilisateur admin et le mot de passe etgi à partir d'une session Telnet.

1.3.2- Fonctionnement de SSH

Secure Shell (SSH) est un protocole sécurisé qui utilise le port TCP 22. Il fournit une connexion de
gestion sécurisée (cryptée) à un appareil distant. SSH doit remplacer Telnet pour les connexions de
gestion. SSH assure la sécurité des connexions à distance en fournissant un cryptage fort lorsqu'un
dispositif est authentifié (nom d'utilisateur et mot de passe) et également pour les données transmises
entre les dispositifs communicants.

L'acteur de menaces peut suivre la session à l'aide de l'adresse IP du périphérique administrateur.

Cependant, contrairement à Telnet, avec SSH, le nom d'utilisateur et le mot de passe sont cryptés.

1.3.3- Vérifier que le commutateur prend en charge SSH

Pour activer le SSH sur un commutateur Catalyst 2960, le commutateur doit utiliser une version du
logiciel IOS comprenant des fonctions et des capacités cryptographiques (cryptées). Utilisez la
commande show version sur le commutateur pour voir quel IOS le commutateur est en cours
d'exécution. Un nom de fichier IOS qui inclut la combinaison «k9» prend en charge les fonctionnalités
et les capacités cryptographiques (cryptées).

L'exemple montre le résultat de la commande show version.

1.3.4- Configurer SSH

Avant de configurer SSH, le commutateur doit être configuré au minimum avec un nom d'hôte unique
et les paramètres de connectivité réseau corrects.

Étape 1: Vérifiez SSH- Utilisez la commande show ip ssh pour vérifier que le commutateur prend en
charge SSH. Si le commutateur n'exécute pas un IOS qui prend en charge les fonctionnalités
cryptographiques, cette commande n'est pas reconnue.

Étape 2: Configurez le domaine IP - Configurez le nom de domaine IP du réseau en utilisant la

commande de mode de configuration globale IP domain-name domain-name.
Étape 3: Générez des paires de clés RSA - La génération d'une paire de clés RSA active
automatiquement SSH. Utilisez la commande de mode de configuration globale crypto key generate
RSA pour activer le serveur SSH sur le commutateur et pour générer une paire de clés RSA.

Remarque: Pour supprimer la paire de clés RSA, utilisez la commande de mode de configuration
globale crypto key zeroize rsa. Après la suppression de la paire de clés RSA, le serveur SSH est
automatiquement désactivé.

Étape 4: Configurez l'authentification d'utilisateur - Le serveur SSH peut authentifier les utilisateurs
localement ou à l'aide d'un serveur d'authentification. Pour utiliser la méthode d'authentification
locale, créez un nom d'utilisateur et un mot de passe en utilisant la commande de mode de
configuration globale username username secret password.

Étape 5: Activez le protocole SSH sur les lignes vty à l'aide de la commande de mode de configuration
de ligne transport input ssh. Utilisez la commande de mode de configuration globale line vty, puis la
commande de mode de configuration de ligne login local pour exiger l'authentification locale des
connexions SSH provenant d'une base de données de noms d'utilisateur locale.

Étape 6: Activez SSH version 2 - Par défaut, SSH prend en charge les versions 1 et 2. Lorsque les deux
versions sont prises en charge, cela est indiqué dans les résultats de la commande show ip ssh en tant
que prise en charge de la version 2. Activez la version SSH à l'aide de la commande de mode de
configuration globale ip ssh version 2.

1.3.5- Vérifier que SSH est opérationnel

Pour afficher les données de version et de configuration SSH de l'appareil configuré en tant que
serveur SSH, utilisez la commande show ip ssh. Dans l'exemple, SSH version 2 est activée.

1.4- Configuration de base du routeur

1.4.1- Configuration des paramètres de base du routeur

Les routeurs et les commutateurs Cisco ont beaucoup de points communs. Ils prennent en charge le
même système d'exploitation de modes, les mêmes structures de commandes et comptent de
nombreuses commandes similaires. En outre, les deux périphériques présentent des étapes de
configuration initiale similaires. Par exemple, les tâches de configuration suivantes doivent toujours
être effectuées. Nommez le périphérique pour le distinguer des autres routeurs et configurez les mots
de passe, comme indiqué dans l'exemple.
Configurez une bannière pour fournir une notification légale d'accès non autorisé, comme le montre
l'exemple.

Enregistrez les modifications sur un routeur, comme indiqué dans l'exemple.

1.4.2- Configurer les interfaces du routeur

Les routeurs sont compatibles avec les LAN et les WAN et peuvent interconnecter différents types de
réseaux; ils prennent donc en charge plusieurs types d'interfaces. Par exemple, les routeurs à services
intégrés G2 disposent d'une ou de deux interfaces Gigabit Ethernet intégrées et de logements HWIC
(carte d'interface WAN haut débit) pour héberger d'autres types d'interface réseau, y compris les
interfaces série, DSL et câblées.

Pour être disponible, une interface doit être:

• Configurer avec au moins une adresse IP - Utilisez la commande de configuration de

l'interface ip address ip-address subnet-mask et ipv6 address ipv6-address/prefix .
• Activée - Par défaut, les interfaces LAN et WAN ne sont pas activées (shutdown). Les
interfaces doit être activée à l'aide de la commande no shutdown . (Cela revient à
mettre l'interface sous tension.) L'interface doit également être connectée à un autre
périphérique (concentrateur, commutateur ou autre routeur) pour que la couche
physique soit active.
 • Description - L'interface peut éventuellement être configurée avec une courte
description comptant au maximum 240 caractères. Il est recommandé de configurer
une description sur chaque interface. Sur les réseaux de production, les avantages des
descriptions d'interface sont rapidement réalisés car elles sont utiles pour le
dépannage et pour identifier une connexion et des coordonnées de tiers.

L'exemple montre la configuration des interfaces sur R1:

1.4.3- Interfaces de bouclage IPv4

Une autre configuration courante des routeurs Cisco IOS consiste à activer une interface de bouclage.

• L'interface de bouclage est une interface logique interne au routeur. Elle n'est pas affectée à
un port physique et ne peut jamais être connectée à un autre appareil. Elle est considérée
comme une interface logicielle qui est automatiquement placée en état «up», tant que le
routeur fonctionne.
• L'interface de bouclage est utile en cas de test et de gestion d'un périphérique Cisco IOS, car
elle garantit qu'au moins une interface est toujours disponible. Par exemple, elle peut être
utilisée à des fins de test des processus de routage internes, par exemple, en émulant les
réseaux se trouvant derrière le routeur.
• Les interfaces de bouclage sont également couramment utilisées dans les environnements de
travaux pratiques pour créer des interfaces supplémentaires. Par exemple, vous pouvez créer
plusieurs interfaces de bouclage sur un routeur pour simuler davantage de réseaux à des fins
de pratique de configuration et de test. L'adresse IPv4 de chaque interface de bouclage doit
être unique et ne doit pas être utilisée par une autre interface. Dans ce cursus, nous utilisons
souvent une interface de bouclage pour simuler un lien vers Internet.
• L'activation et l'attribution d'une adresse de bouclage sont simples:

Router(config)# interface loopback number

Router(config-if)# ip address ip-address subnet-mask
 CONCEPTS DE COMMUTATION

2.1- Transfert de trame

2.1.1- Commutation dans la mise en réseau

Deux termes sont associés à des trames entrant ou sortant d'une interface:

• Ingress (entrer) - entré dans l'interface

• Egress (sortie) — sortie de l'interface

Un commutateur de transfert basé sur l'interface d'entrée et l'adresse MAC de destination.

Un commutateur utilise sa table d'adresses MAC pour prendre des décisions de transmission.

Remarque: Un commutateur ne permettra jamais de transférer le trafic sur l'interface où il a reçu le

trafic.

2.1.2- Le tableau d'adresses MAC du commutateur

Un commutateur utilisera l'adresse MAC de destination pour déterminer l'interface de sortie.

Avant qu'un commutateur puisse prendre cette décision, il doit savoir quelle interface se trouve la
destination.

Un commutateur construit une table d'adresses MAC, également appelée table CAM (Content
Addressable Memory), en enregistrant l'adresse MAC source dans la table avec le port qu'il a reçu.
2.1.3- La méthode d'apprentissage et de transmission du commutateur

Le commutateur utilise un processus en deux étapes:

Étape 1. Apprendre - Examiner l'adresse source

• Ajoute le MAC source si ce n'est pas dans la table

• Réinitialise le réglage du délai d'arrêt à 5 minutes si la source est dans le tableau

Étape 2. Transfert - Examiner l'adresse de destination

• Si le MAC de destination se trouve dans la table d'adresses MAC, il est transféré hors du port
spécifié.
• Si un MAC de destination n'est pas dans la table, il est inondé de toutes les interfaces sauf
celle qu'il a reçue.

2.1.4- Les méthodes de transmission du commutateur

Les commutateurs utilisent des logiciels sur des circuits intégrés spécifiques à l'application (ASIC) pour
prendre des décisions très rapides.

Un commutateur utilisera l'une des deux méthodes pour prendre des décisions de transfert après
avoir reçu une trame:

• Commutation de stockage et de transfert - Reçoit la trame entière et assure la validité de la

trame. La commutation par stockage et retransmission est la méthode de commutation LAN
principale de Cisco.
• Commutation par coupure (cut-through) - Transfère la trame immédiatement après avoir
déterminé l'adresse MAC de destination d'une trame entrante et le port de sortie.

2.1.5- Commutation par stockage et retransmission (Store-and-Forward)

Le stockage et le transfert présentent deux caractéristiques principales :

• Vérification des erreurs — Le commutateur vérifie la séquence de vérification de trame (FCS)

pour les erreurs CRC. Les trames défectueuses seront jetées.
• Mise en mémoire tampon - L'interface d'entrée met en mémoire tampon la trame pendant
qu'elle vérifie le FCS. Cela permet également au commutateur de s'adapter à une éventuelle
différence de vitesse entre les ports d'entrée et de sortie.
2.1.6- Commutation par coupure (Cut-Through)

• La coupure transmet la trame immédiatement après avoir déterminé le MAC de destination.

• La méthode Fragment (Frag) Free permet de vérifier la destination et de s'assurer que la trame
est d'au moins 64 octets. Cela éliminera les runts.

Concepts de la commutation cut-through :

• convient aux commutateurs dont la latence doit être inférieure à 10 microsecondes

• Ne vérifie pas le FCS, il peut donc propager des erreurs
• Peut entraîner des problèmes de largeur de bande si le commutateur propage trop
d'erreurs
• Ne peut pas prendre en charge les ports dont les vitesses varient de l'entrée à la sortie

2.2- Domaines de commutation

2.2.1- Domaines de collision

Les commutateurs éliminent les domaines de collision et réduisent la congestion.

• Lorsqu'il y a duplex intégral sur le lien, les domaines de collision sont éliminés.
• Lorsqu'il y a un ou plusieurs périphériques en semi-duplex, il y aura désormais un domaine de
collision.

 Il y aura maintenant un conflit pour la bande passante.

 Les collisions sont maintenant possibles.

• La plupart des appareils, y compris Cisco et Microsoft, utilisent l'auto-négociation comme

paramètre par défaut pour le duplex et la vitesse.
2.2.2- Domaines de diffusion

• Un domaine de diffusion s'étend sur tous les périphériques de couche 1 ou 2 d'un réseau local.
• Seul un périphérique de couche 3 (routeur) brisera le domaine de diffusion,
également appelé domaine de diffusion MAC.
• Le domaine de diffusion MAC est constitué de tous les périphériques du réseau local
qui reçoivent les trames de diffusion provenant d'un hôte.
• Lorsque le commutateur de couche 2 reçoit la diffusion, il l'inondera toutes les interfaces à
l'exception de l'interface d'entrée.
• Trop de diffusions peuvent causer de la congestion et des performances réseau médiocres.
• L'augmentation des périphériques au niveau de la couche 1 ou de la couche 2 entraîne le
développement du domaine de diffusion.
 2.2.3- Réduction de la congestion des réseaux

Les commutateurs utilisent la table d'adresses MAC et le duplex intégral pour éliminer les collisions et
éviter la congestion.

Les caractéristiques de l'interrupteur qui soulagent la congestion sont les suivantes:

Protocole Fonction

Vitesse de port rapide Selon le modèle, les commutateurs peuvent avoir des vitesses de port allant jusqu'à
100 Gbit/s.

Commutation interne Cela utilise un bus interne rapide ou une mémoire partagée pour améliorer les
rapide performances.

Grands tampons de trame Cela permet un stockage temporaire lors du traitement de grandes quantités de
trames.

Nombre de ports élevé Cela fournit de nombreux ports pour les périphériques à connecter au réseau local à
moindre coût. Cela permet également d'augmenter le trafic local avec moins de
congestion.
 VLAN

Introduction

Les VLAN (Réseau Local Virtuel) sont créés au niveau de la couche 2 pour réduire ou supprimer
le trafic de diffusion. Les VLAN sont la façon dont vous divisez votre réseau en petits réseaux,
de sorte que les périphériques et les personnes d'un seul VLAN communiquent entre eux sans
avoir à gérer le trafic provenant d'autres réseaux. L'administrateur réseau peut organiser les
VLAN par emplacement, qui les utilise, le type de périphérique ou toute catégorie nécessaire.

3.1.1- Définitions des VLAN

Bien sûr, organiser votre réseau en petits réseaux n'est pas aussi simple que de séparer les vis
et de les mettre dans des bocaux. Mais cela rendra votre réseau plus facile à gérer. Dans un
réseau commuté, les VLAN assurent la segmentation et assurent la flexibilité de l'entreprise.
Un groupe d'appareils dans un VLAN communiqué comme s'ils étaient reliés au même câble.
Les VLAN reposent sur des connexions logiques, et non des connexions physiques.

Comme le montre la figure, les VLAN d'un réseau commuté permettent aux utilisateurs de
différents services (IT, RH et Ventes) de se connecter au même réseau, quel que soit le
commutateur physique utilisé ou l'emplacement d'un réseau local de Campus.

Les VLAN permettent à un administrateur de segmenter les réseaux en fonction de facteurs

tels que la fonction, l'équipe de projet ou l'application, quel que soit l'emplacement physique
de l'utilisateur ou de l'appareil. Chaque VLAN est considéré comme un réseau logique distinct.
Les appareils d'un VLAN se comportent comme s'ils se détectent chacun sur leur propre
réseau indépendant, même s'ils partagent une infrastructure commune avec d'autres VLAN.
N'importe quel port du commutateur peut appartenir à un VLAN.

Les paquets de monodiffusion, de diffusion et de multidiffusion ne sont transmis et diffusés

que vers les terminaux appartenant au VLAN d'où ils proviennent. Les paquets destinés aux
périphériques qui n'appartiennent pas au VLAN doivent être transmis via un périphérique qui
prend en charge le routage.
Plusieurs sous-réseaux IP peuvent exister sur un réseau commuté, sans l'utilisation de
plusieurs VLAN. Cependant, les périphériques sont dans le même domaine de diffusion de la
couche 2. Cela signifie que les diffusions de la couche 2, telles qu'une demande ARP, seront
reçues par tous les périphériques du réseau commuté, même par ceux non prévus pour
recevoir la diffusion.

Un VLAN crée un domaine de diffusion logique qui peut s'étendre sur plusieurs segments du
réseau physique local. Les VLAN améliorent les performances du réseau en divisant de vastes
domaines de diffusion en domaines plus petits. Si un périphérique d'un VLAN envoie une
trame Ethernet de diffusion, tous les périphériques du VLAN la reçoivent, mais pas les
périphériques d'autres VLAN.

Grâce aux VLAN, les administrateurs de réseau peuvent mettre en œuvre des politiques
d'accès et de sécurité en fonction de groupes d'utilisateurs spécifiques. Chaque port de
commutateur peut être attribué à un seul VLAN (à l'exception des ports connectés à un
téléphone IP ou à un autre commutateur).

3.1.2- Avantage d’une conception VLAN

Chaque VLAN d'un réseau commuté correspond à un réseau IP. Par conséquent, la conception
d'un VLAN doit tenir compte de la mise en œuvre d'un modèle d'adressage réseau
hiérarchique. L'adressage hiérarchique du réseau signifie que les numéros de réseau IP sont
appliqués aux segments de réseau ou aux VLAN d'une manière qui prend en considération le
réseau dans son ensemble. Les blocs d'adresses réseau contiguës sont réservés et configurés
sur les périphériques situés dans une zone spécifique du réseau, comme l'illustre la figure.
Le tableau répertorie les avantages de la conception d'un réseau avec des VLAN.

Avantages Descriptions
 La division d'un réseau en VLAN réduit le nombre de périphériques dans le
Domaines de
domaine de diffusion.
Diffusion Plus
 Dans la figure, il y a six ordinateurs dans le réseau, mais seulement trois
Petits
domaines de diffusion (p. ex., Faculté, Étudiant et Invité).
 Seuls les utilisateurs du même VLAN peuvent communiquer ensemble.
Sécurité
 Dans la figure, le trafic réseau de professeurs sur VLAN 10 est complètement
optimisée
séparé et sécurisé des utilisateurs sur d'autres VLAN.
 Les VLAN simplifient la gestion du réseau car les utilisateurs ayant des
Amélioration
besoins similaires peuvent être configurés sur le même VLAN.
de l'efficacité
 Les VLAN peuvent être nommés pour les rendre plus faciles à identifier.
des ressources
 Dans la figure, le VLAN 10 a été nommé « Faculté », le VLAN 20 « Étudiant »
informatiques
et le VLAN 30 « Invité »
Les VLAN réduisent la nécessité de mises à niveau coûteuses du réseau et
Coût réduit utilisent plus efficacement la largeur de bande et les liaisons montantes
existantes, ce qui permet de réaliser des économies.
Meilleures Les domaines de diffusion plus petits réduisent le trafic inutile sur le réseau et
performances améliorent les performances.
 Les VLAN regroupent les utilisateurs et les périphériques réseau pour
Une gestion prendre en charge l'entreprise ou les exigences géographiques.
simplifiée des  Avoir des fonctions distinctes rendent la gestion d'un projet ou l'utilisation
projets et des d'une application spécialisée plus facile ; un exemple d'une telle application
applications est une plateforme de développement de l'apprentissage en ligne pour la
faculté.

3.1.3- Types de réseaux locaux virtuels

Les VLAN sont utilisés pour différentes raisons dans les réseaux modernes. Certains types de
VLAN sont définis par les classes de trafic. D'autres types de VLAN sont définis par leur
fonction spécifique.

VLAN par défaut

Le VLAN par défaut sur un commutateur est le VLAN 1. Par conséquent, tous les ports de
commutateur sont sur le VLAN 1, sauf s'il est configuré pour être sur un autre VLAN. Par
défaut, tout le trafic de contrôle de couche 2 est associé au VLAN 1.

Les faits importants à retenir à propos du VLAN 1 sont les suivants :

 Tous les ports sont attribués au VLAN 1 par défaut.

 Le VLAN natif est le VLAN 1 par défaut.
 Le VLAN de gestion est le VLAN 1 par défaut.
 Le VLAN 1 ne peut pas être renommé ni supprimé.
Par exemple, dans la sortie show vlan brief, tous les ports sont actuellement attribués au
VLAN 1 par défaut. Aucun VLAN natif n'est attribué et aucun autre VLAN n'est actif; par
conséquent, le VLAN natif est défini comme VLAN de gestion. Il s'agit d'un risque de sécurité.

VLAN de données

Les VLAN de données sont des VLAN configurés pour séparer le trafic généré par l'utilisateur.
Les VLAN de données sont utilisés pour diviser un réseau en groupes d'utilisateurs ou de
périphériques. Un réseau moderne aurait de nombreux VLAN de données en fonction des
besoins de l'organisation. Notez que le trafic de gestion vocale et réseau ne doit pas être
autorisé sur les VLAN de données.

VLAN natif

Le trafic utilisateur provenant d'un VLAN doit être marqué avec son ID VLAN lorsqu'il est
envoyé à un autre commutateur. Les ports de tronc sont utilisés entre les commutateurs pour
prendre en charge la transmission du trafic balisé. Plus précisément, un port de trunk 802.1Q
insère une balise de 4 octets dans l'en-tête de trame Ethernet pour identifier le VLAN auquel
appartient la trame.

Un commutateur peut également avoir à envoyer du trafic non balisé à travers un lien de
tronc. Le trafic non marqué est généré par un commutateur et peut également provenir de
périphériques hérités. Le port interurbain 802.1Q place le trafic non étiqueté sur le VLAN natif.
Le VLAN natif sur un commutateur Cisco est VLAN 1 (VLAN par défaut).

Il est généralement recommandé de configurer le VLAN natif en tant que VLAN inutilisé,
distinct du VLAN 1 et des autres VLAN. En fait, il n'est pas rare de dédier un VLAN fixe jouant
le rôle de VLAN natif pour tous les ports trunk du domaine commuté.

Gestion VLAN

Un VLAN de gestion est un VLAN de données configuré spécifiquement pour le trafic de

gestion réseau, comprenant SSH, Telnet, HTTPS, HHTP et SNMP. Par défaut, le VLAN 1 est
configuré comme VLAN de gestion sur un commutateur de couche 2.
Voix VLAN

Un VLAN distinct est nécessaire pour prendre en charge la voix sur IP (VoIP). Le trafic VoIP
nécessite les éléments suivants:

 bande passante consolidée pour garantir la qualité de la voix;

 priorité de transmission par rapport aux autres types de trafic réseau;
 possibilité de routage autour des zones encombrées du réseau;
 délai inférieur à 150 ms sur tout le réseau.

Pour remplir ces conditions, le réseau entier doit être conçu pour prendre en charge la voix
sur IP.

Dans la figure, le VLAN 150 est conçu pour acheminer le trafic vocal. L'ordinateur étudiant
PC5 est connecté au téléphone IP Cisco et ce dernier est connecté au commutateur S3.
L'ordinateur PC5 se trouve dans le VLAN 20 qui est utilisé pour les données des étudiants.

3.2- VLAN dans un environnement à commutateurs multiples

3.2.1- Définitions des trunks de VLAN

Les VLAN ne seraient pas très utiles sans les trunks de VLAN. Les trunks VLAN permettent à
tout le trafic VLAN de se propager entre les commutateurs. Cela permet aux périphériques
connectés à différents commutateurs mais dans le même VLAN de communiquer sans passer
par un routeur.

Une agrégation est une liaison point à point entre deux périphériques réseau qui porte
plusieurs VLAN. Un trunk de VLAN permet d'étendre les VLAN à l'ensemble d'un réseau. Cisco
prend en charge la norme IEEE 802.1Q pour la coordination des lignes réseau sur les
interfaces Fast Ethernet, Gigabit Ethernet et 10 Gigabit Ethernet.
Un Trunk VLAN n'appartient pas à un VLAN spécifique. Au lieu de cela, il s'agit d'un canal pour
plusieurs VLAN entre les commutateurs et les routeurs. Un trunk peut également être utilisé
entre un périphérique réseau et un serveur ou un autre périphérique équipé d'une carte
réseau 802.1Q appropriée. Par défaut, sur un commutateur Cisco Catalyst, tous les VLAN sont
pris en charge sur un port trunk.

Dans la figure, les liens mis en évidence entre les commutateurs S1 et S2, et S1 et S3 sont
configurés pour transmettre le trafic provenant des VLAN 10, 20, 30 et 99 (c'est-à-dire le VLAN
natif) sur le réseau. Ce réseau ne peut pas fonctionner sans trunks de VLAN.

3.2.2- Réseau sans VLAN

Lorsqu'un commutateur reçoit une trame de diffusion sur l'un de ses ports, il la transmet à
tous les autres ports, à l'exception du port où la diffusion a été reçue. Dans l'animation,
l'ensemble du réseau est configuré dans le même sous-réseau (172.17.40.0/24) et aucun
VLAN n'est configuré. Par conséquent, lorsque l'ordinateur du personnel enseignant (PC1)
envoie une trame de diffusion, le commutateur S2 l'envoie par tous ses ports. Par la suite,
l'ensemble du réseau reçoit la diffusion, car il s'agit d'un seul domaine de diffusion.

3.2.3- Réseau avec VLAN

Cliquez sur Lire dans l'animation pour voir que le même réseau a maintenant été segmenté à
l'aide de deux VLAN. Les périphériques sur les autres sous-réseaux IPv4 vont également
recevoir la même trame de diffusion. Lorsqu'une trame de diffusion est envoyée de
l'ordinateur du personnel enseignant (PC1) au commutateur S2, ce dernier transfère la trame
de diffusion uniquement aux ports du commutateur configurés pour prendre en charge le
VLAN 10.
Les ports qui assurent la connexion entre les commutateurs S2 et S1 (ports F0/1) et entre les
commutateurs S1 et S3 (ports F0/3) sont des trunks qui ont été configurés pour prendre en
charge tous les VLAN du réseau.

Lorsque les VLAN sont implémentés sur un commutateur, la transmission du trafic

monodiffusion, multidiffusion et diffusion à partir d'un hôte figurant sur un VLAN donné est
limitée aux périphériques se trouvant sur ce VLAN.

3.2.4- Identification du VLAN à l’aide d’une balise

L'en-tête de la trame Ethernet standard ne contient pas d'informations sur le VLAN auquel
appartient la trame. Par conséquent, lorsque des trames Ethernet sont placées sur un trunk,
les informations sur les VLAN dont elles appartiennent doivent être ajoutées. Ce processus,
appelé étiquetage, s'effectue à l'aide de l'en-tête IEEE 802.1Q, précisé dans la norme IEEE
802.1Q. L'en-tête 802.1Q inclut une étiquette de 4 octets insérée dans l'en-tête d'origine de
la trame Ethernet, indiquant le VLAN auquel appartient la trame.

Lorsque le commutateur reçoit une trame sur un port configuré en mode d'accès et associé à
un VLAN, il insère une étiquette VLAN dans l'en-tête de trame, recalcule la séquence de
contrôle de trame, puis envoie la trame étiquetée par un tronc portuaire.

Détails des champs de balises VLAN

Comme le montre la figure, le champ d'information de contrôle des balises VLAN se compose
d'un champ de type, d'un champ de priorité, d'un champ d'identifiant de format canonique
et d'un champ d'ID VLAN :

 Type - Une valeur de 2 octets appelée valeur d'ID de protocole de balise (TPID). Pour
Ethernet, il est défini sur hexadécimal 0x8100.
 Priorité utilisateur - Une valeur de 3 bits qui soutient la mise en œuvre du niveau ou du
service.
 CFI (Canonical Format Identifier) - Identificateur de 1 bit qui permet aux trames Token
Ring d'être transportées sur les liaisons Ethernet.
 VID (VLAN ID) - Un numéro d'identification VLAN de 12 bits qui prend en charge jusqu'à
4096 ID VLAN.
Une fois que le commutateur a inséré les champs d'information de contrôle des balises, il
recalcule les valeurs du FCS et insère le nouveau FCS dans le cadre.

La figure montre une balise VLAN insérée dans un en-tête de trame. En haut de la figure se
trouve un cadre affichant les champs suivants : Dst MAC, Src MAC, Type/Length, Data et FCS.
Ci-dessous se trouve le cadre affiché à nouveau, cette fois avec le champ Tag inséré entre les
champs Src MAC et Type/Length. Ci-dessous se trouvent les sous-champs suivants de la balise
et leur longueur : Type (0x8100), longueur 2 octets ; Pri, longueur 3 bits ; CFI, longueur 1 bit ;
et VID, longueur 12 bits.

3.2.5- VLAN natifs et étiquetage 802.1Q

La norme IEEE 802.1Q spécifit un VLAN natif pour les liaisons de trunk, qui est par défaut VLAN
1. Lorsqu'une trame non balisée arrive sur un port de trunk, elle est attribuée au VLAN natif.
Les trames de gestion envoyées entre les commutateurs sont un exemple de trafic
généralement non balisé. Si la liaison entre deux commutateurs est un trunk, le commutateur
envoie le trafic non marqué sur le VLAN natif.

Trames marquées sur le VLAN natif

Certains périphériques prenant en charge le système de trunk ajoutent une étiquette VLAN
au trafic VLAN natif. Le trafic de contrôle envoyé sur le VLAN natif ne doit pas être étiqueté.
Si un port agrégé 802.1Q reçoit une trame étiquetée avec un ID de VLAN identique à celui du
VLAN natif, il abandonne la trame. Par conséquent, lorsque vous configurez un port sur un
commutateur, configurez les périphériques de sorte qu'ils n'envoient pas de trames
étiquetées sur le VLAN natif. Les périphériques tiers qui prennent en charge les trames
étiquetées sur le VLAN natif comprennent des téléphones IP, des serveurs, des routeurs et
des commutateurs non-Cisco.
Trames non marquées sur le VLAN natif

Lorsqu'un port trunk du commutateur Cisco reçoit des trames non étiquetées (qui sont peu
communes dans un réseau bien conçu), il transfère ces trames au VLAN natif. S'il n'existe
aucun périphérique associé au VLAN natif (ce qui n'est pas rare) et aucun autre port trunk (ce
qui n'est pas rare non plus), la trame est abandonnée.

Dans la figure, le PC1 est connecté via un concentrateur à une liaison trunk 802.1Q.

Le PC1 envoie le trafic non étiqueté que les commutateurs associés au VLAN natif configuré
sur les ports trunk et le transfert en conséquence. Le trafic étiqueté sur le tronc qui reçoit le
PC1 est abandonné. Ce scénario témoigne d'une conception réseau médiocre pour plusieurs
raisons : elle utilise un concentrateur, un hôte est connecté à une liaison trunk et les
commutateurs sont équipés de ports d'accès affectés au VLAN natif. Il illustre également la
volonté de se servir des VLAN natifs comme d'un moyen de prendre en charge les scénarios
existants selon la norme IEEE 802.1Q.

3.2.6- Etiquetage VLAN voix

Un VLAN voix distincte est nécessaire pour prendre en charge la voix sur IP (VoIP). Cela permet
d'appliquer des stratégies de qualité de service (QoS) et de sécurité au trafic vocal.

Chaque téléphone IP doit être directement branché dans un port de commutation. Un hôte
IP peut se connecter au téléphone IP pour obtenir également une connectivité réseau. Vous
pouvez configurer un port d'accès connecté à un téléphone IP Cisco pour utiliser deux VLAN
distincts : Un VLAN est destiné au trafic vocal et l'autre est un VLAN de données pour prendre
en charge le trafic hôte. La liaison entre le commutateur et le téléphone IP fait office de trunk
pour acheminer à la fois le trafic du VLAN voix et le trafic du VLAN de données.

Le téléphone IP Cisco contient un commutateur 10/100 intégré à trois ports. Les ports fournis
des connexions dédiées aux périphériques suivants :

 Le port 1 est connecté au commutateur ou à un autre périphérique de VoIP.

 Le port 2 est une interface 10/100 interne qui transporte le trafic du téléphone IP.
 Le port 3 (port d'accès) est connecté à un ordinateur ou un autre périphérique.
Le port d'accès du téléphone commutateur envoie des paquets CDP indiquant au IP connecté
d'envoyer du trafic vocal de l'une des trois manières suivantes. La méthode utilisée varie en
fonction du type de trafic :

 Le trafic VLAN vocal doit être étiqueté avec une valeur de priorité de classe de service
(CoS) de couche 2 appropriée
 Le trafic VLAN d'accès peut également être étiqueté avec une valeur de priorité CoS de
couche 2
 Le VLAN d'accès n'est pas marqué (pas de valeur de priorité CoS de couche 2)

Dans la figure, l'ordinateur PC5 de l'élève est relié à un téléphone IP Cisco, et le téléphone est
relié au commutateur S3. Le VLAN 150 est conçu pour acheminer le trafic vocal, tandis que le
PC5 se trouve dans le VLAN 20, lequel est utilisé pour les données des étudiants.

Hôte connecté à un téléphone IP connecté à un commutateur affichant la configuration d'un

VLAN vocal et de données.
3.3- Configuration du VLAN

3.3.1- Plages VLAN sur le commutateur

La création de VLAN, comme la plupart des autres aspects de la mise en réseau, est une
question d'entrer les commandes appropriées. Cette rubrique explique comment configurer
et vérifier les différents types de VLAN.

VLAN à gamme normale

Voici les caractéristiques des VLAN à plage normale :

 Ils sont utilisés dans tous les réseaux de petites et moyennes organisations et
d'entreprises.
 Ils sont identifiés par un ID VLAN composé entre 1 et 1005.
 (Les ID 1002 à 1005 sont réservés aux VLAN Token Ring et FDDI [Fiber Distributed
Data Interface].)
 Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés.
 Les configurations sont stockées dans la mémoire flash du commutateur dans un
fichier de base de données VLAN appelé vlan.dat.
 Lorsqu'il est configuré, le protocole VLAN Trunking Protocol (VTP) permet de
synchroniser la base de données VLAN entre les commutateurs.

VLAN à gamme étendue

Voici les caractéristiques des VLAN à plage étendue :

 Ils sont utilisés par les fournisseurs de services pour desservir de multiples clients et
par des entreprises mondiales suffisamment grandes pour avoir besoin d'ID de VLAN
à portée étendue.
 Ils sont identifiés par un ID VLAN entre 1006 et 4094.
 Les configurations sont enregistrées, par défaut, dans la configuration en cours.
 Ils prennent en charge moins de fonctions VLAN que les VLAN à portée normale.
 Nécessite une configuration en mode transparent VTP pour prendre en charge les
VLAN à portée étendue.

Remarque : 4096 est la limite supérieure pour le nombre de VLAN disponibles sur les
commutateurs Catalyst, car il y a 12 bits dans le champ ID VLAN de l'en-tête IEEE 802.1Q.
3.3.2- Commandes de création de VLAN

Lors de la configuration de VLAN à portée normale, les détails de la configuration sont stockés
dans la mémoire flash du commutateur dans un fichier appelé vlan.dat. La mémoire Flash est
permanente et ne nécessite pas la commande copy running-config startup-config.
Cependant, comme d'autres détails sont souvent configurés sur un commutateur Cisco au
moment où ces VLAN sont créés, il est recommandé d'enregistrer les modifications de la
configuration en cours dans la configuration initiale.

3.3.3- Commandes d’attribution de port VLAN

Après la création d'un VLAN, l'étape suivante consiste à lui attribuer des ports.

Le tableau présente la syntaxe permettant de définir un port comme port d'accès et de

l'affecter à un VLAN. La commande switchport mode access est facultative, mais fortement
recommandée comme meilleure pratique de sécurité. Avec cette commande, l'interface
passe en mode d'accès permanent.

Remarque: Utilisez la interface range commande pour configurer simultanément plusieurs

interfaces.
3.3.4- VLAN de données et de voix

Un port d’accès peut appartenir à un seul VLAN à la fois. Cependant, un port peut également
être associé à un VLAN vocal. Par exemple, un port connecté à un téléphone IP et un
périphérique final seraient associés à deux VLAN : un pour la voix et un pour les données.

Prenons l'exemple de la topologie de la figure. Le PC5 est connecté au téléphone IP Cisco, qui
à son tour est connecté à l'interface FastEthernet 0/18 sur S3. Pour mettre en œuvre cette
configuration, un VLAN de données et un VLAN de voix sont créés.

3.4- Le trunk de VLAN

3.4.1- Commandes de configuration du trunk

Maintenant que vous avez configuré et vérifié les VLANs, il est temps de configurer et de
vérifier les trunks VLAN. Un trunk de VLAN est un lien de couche 2 entre deux commutateurs
qui achemine le trafic pour tous les VLANs (à moins que la liste des VLANs autorisés ne soit
restreinte manuellement ou dynamiquement).

Pour activer les liaisons trunks, configurez les ports d'interconnexion avec l'ensemble des
commandes de configuration d'interface indiquées dans le tableau.
Exemple :

3.4.2- Réinitialisation du trunk à l’état par défaut

Utilisez les commandes no switchport trunk allowed vlan et no switchport trunk native
vlan pour supprimer les VLAN autorisés et réinitialiser le VLAN natif du trunk. Lorsqu'il est
remis à l'état par défaut, le trunk autorise tous les VLAN et utilise le VLAN 1 comme VLAN
natif. L'exemple montre les commandes utilisées pour réinitialiser toutes les caractéristiques
d'une interface de liaison aux paramètres par défaut.
 ROUTAGE INTER-VLAN

Introduction

Maintenant, vous savez comment segmenter et organiser votre réseau en VLAN. Les hôtes
peuvent communiquer avec d'autres hôtes dans le même VLAN, et vous n'avez plus d'hôtes
qui envoient des messages de diffusion à tous les autres périphériques de votre réseau, ce
qui consomme la bande passante nécessaire. Mais que faire si un hôte d'un VLAN doit
communiquer avec un hôte d'un VLAN différent? Si vous êtes administrateur réseau, vous
savez que les gens voudront communiquer avec d'autres personnes en dehors de votre
réseau. C'est là que le routage inter-VLAN peut vous aider. Le routage inter-VLAN utilise un
périphérique de couche 3 tel qu'un routeur ou un commutateur de couche 3. Prenons votre
expertise VLAN et combinons-la avec vos compétences de couche réseau et mettez-les à
l'épreuve!

4.1- Fonctionnement du routage inter-VLAN

4.1.1- Qu’est-ce que le routage inter-VLAN ?

Les VLAN sont utilisés pour segmenter des réseaux de couche 2 commutés pour diverses
raisons. Quelle que soit la raison, les hôtes d'un VLAN ne peuvent pas communiquer avec les
hôtes d'un autre VLAN sauf s'il existe un routeur ou un commutateur de couche 3 pour fournir
des services de routage.

Le routage inter-VLAN est un processus d'acheminement du trafic réseau d'un VLAN à un

autre.

Il existe 3 options de routage inter-VLAN:

 Routage inter-VLAN existant - Il s'agit d'une solution ancienne. Il ne s'étend pas bien.
 Router-on-a-Stick - C'est une solution acceptable pour un réseau de petit à moyen
taille.
 Commutateur de couche 3 utilisant des interfaces virtuelles commutées (SVI) - Il
s'agit de la solution la plus évolutive pour les moyennes et grandes entreprises.

4.1.2- Routage inter-VLAN existant

La première solution de routage inter-VLAN reposait sur des routeurs dotés de plusieurs
interfaces Ethernet. Chaque interface devait être connectée à un port de commutateur dans
différents VLAN. Les interfaces de routeur ont servi de passerelles par défaut vers les hôtes
locaux du sous-réseau VLAN.

Par exemple, reportez-vous à la topologie où R1 a deux interfaces connectées au

commutateur S1.
Notez dans l'exemple de table d'adresses MAC de S1 est rempli comme suit:

 Le port Fa0/1 est attribué au VLAN 10 et est connecté à l'interface R1 G0/0/0.

 Le port Fa0/11 est attribué au VLAN 10 et est connecté au PC1.
 Le port Fa0/12 est attribué au VLAN 20 et est connecté à l'interface R1 G0/0/1.
 Le port Fa0/11 est attribué au VLAN 20 et est connecté au PC2.

4.1.3- Routage inter-VLAN Router-on-a-stick

La méthode de routage inter-VLAN 'router-on-a-stick' surmonte la limite de la méthode de

routage inter-VLAN ancienne. Il ne nécessite qu'une seule interface Ethernet physique pour
acheminer le trafic entre plusieurs VLAN sur un réseau.

Une interface Ethernet de routeur Cisco IOS est configurée comme un trunk 802.1Q et
connectée à un port de trunk sur un commutateur de couche 2. Plus précisément, l'interface
du routeur est configurée à l'aide de sous-interfaces pour identifier les VLAN routables.

Les sous-interfaces configurées sont des interfaces virtuelles logicielles. Chacune est associée
à une seule interface Ethernet physique. Les sous-interfaces sont configurées dans un logiciel
sur un routeur. Chaque sous-interface est configurée indépendamment avec sa propre
adresse IP et une affectation VLAN. Les sous-interfaces sont configurées pour différents sous-
réseaux correspondant à une affectation VLAN. Cela facilite le routage logique.

Lorsque le trafic étiqueté VLAN entre dans l'interface du routeur, il est transféré à la sous-
interface VLAN. Une fois qu'une décision de routage est prise en fonction de l'adresse du
réseau IP de destination, le routeur détermine l'interface de sortie du trafic. Si l'interface de
sortie est configurée en tant que sous-interface 802.1q, les trames de données sont marquées
VLAN avec le nouveau VLAN et renvoyés vers l'interface physique.
4.1.4- Routage inter-VLAN sur un commutateur de couche 3

La méthode moderne d'exécution du routage inter-VLAN consiste à utiliser des commutateurs

de couche 3 et des interfaces virtuelles commutées (SVI). Une interface SVI est une interface
virtuelle configurée dans un commutateur de couche 3, comme illustré dans la figure.

Remarque: Un commutateur de couche 3 est également appelé commutateur multicouche

car il fonctionne sur les couches 2 et 3. Cependant, dans ce cours, nous utilisons le terme
commutateur de couche 3.

Les SVI inter-VLAN sont créés de la même manière que l'interface VLAN de gestion est
configurée. Une interface SVI est créée pour chaque VLAN existant sur le commutateur. Bien
que virtuel, le SVI exécute les mêmes fonctions pour le VLAN qu'une interface de routeur.
Plus précisément, il assure le traitement de couche 3 des paquets vers ou depuis tous les ports
de commutateur associés à ce VLAN.

Voici les avantages de l'utilisation de commutateurs de couche 3 pour le routage inter-VLAN:

 Cette méthode est beaucoup plus rapide que le modèle Router-on-a-stick, car
l'ensemble de la commutation et du routage est assuré de manière matérielle.
 Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur et le
routeur pour le routage.
  Ils ne sont pas limités à une liaison, car les canaux EtherChannels de couche 2 peuvent
être utilisés comme liaisons de trunk entre les commutateurs pour augmenter la
bande passante.
 La latence est bien plus faible, car les données n'ont pas besoin de quitter le
commutateur pour être acheminées vers un autre réseau.
 Ils sont plus souvent déployés dans un réseau local de campus que les routeurs.

Le seul inconvénient est que les commutateurs de couche 3 sont plus chers.

4.2- Configuration du routage inter-VLAN Router-on-a-stick

4.2-1 Configuration de VLAN et de trunk de commutateur

Procédez comme suit pour configurer S1 avec des VLAN et des trunks:

Étape 1. Créez et nommez les VLAN.

Étape 2. Créez l'interface de gestion.

Étape 3. Configurez les ports d'accès

Étape 4. Configurez les ports trunk.

1. Créez et nommez les VLAN.

Tout d'abord, les VLAN sont créés et nommés. Les VLAN ne sont créés qu'après avoir quitté
le mode de sous-configuration VLAN.

2. Créez l'interface de gestion.

Ensuite, l'interface de gestion est créée sur VLAN 99 avec la passerelle par défaut de R1.
3. Configurez les ports d'accès.

Ensuite, le port Fa0/6 se connectant à PC1 est configuré en tant que port d'accès dans VLAN
10. Supposons que PC1 ait été configuré avec l'adresse IP correcte et la passerelle par défaut.

4. Configurez les ports trunk.

Enfin, les ports Fa0/1 se connectant à S2 et Fa0/5 se connectant à R1 sont configurés en tant
que ports de trunk.

4.2.2- Configuration des sous-interfaces sur R1

Une sous-interface est créée à l'aide de la commande de mode de configuration

globale interface interface_id subinterface_id . La syntaxe de sous-interface est l’interface
physique suivie d’un point et d’un numéro de sous-interface. Bien que cela ne soit pas
nécessaire, il est habituel de faire correspondre le numéro de la sous-interface avec le numéro
du VLAN.

Chaque sous-interface est ensuite configurée avec les deux commandes suivantes:

 encapsulation dot1q vlan_id [native] l'option - This command configures the

subinterface to respond to 802.1Q encapsulated traffic from the specified vlan-id.
The native mot de clé n'est ajoutée que pour définir le VLAN natif sur autre chose que
VLAN 1.
 ip address ip-address subnet-mask - Cette commande configure l'adresse IPv4 de la
sous-interface. Cette adresse sert généralement de passerelle par défaut pour le VLAN
identifié.

Répétez le processus pour chaque VLAN pour être routée. Une adresse IP sur un sous-réseau
unique doit être affectée à chaque sous-interface de routeur pour que le routage se produise.
Lorsque toutes les sous-interfaces ont été créées, activez l'interface physique à l'aide de la
commande de configuration de l'interface no shutdown. Si l’interface physique est
désactivée, toutes les sous-interfaces sont également désactivée.

Dans la configuration suivante, les sous-interfaces R1 G0/0/1 sont configurées pour les VLAN
10, 20 et 99.
4.3- Configuration du routage inter-VLAN en utilisant le commutateur de
couche 3

4.3.1- Routage inter-VLAN de commutateur de couche 3

Les réseaux d'entreprise modernes utilisent rarement router-on-a-stick, car il est difficile de
remplir les conditions. Dans ces très grands réseaux, les administrateurs réseau utilisent des
commutateurs de couche 3 pour configurer le routage inter-VLAN.

Le routage inter-VLAN utilisant la méthode routeur-on-a-stick est simple à mettre en œuvre

pour une entreprise de petite à moyenne taille. Cependant, une grande entreprise nécessite
une méthode plus rapide et beaucoup plus évolutive pour fournir le routage inter-VLAN.

Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour
fournir le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation
matérielle pour obtenir des taux de traitement de paquets plus élevés que les routeurs. Les
commutateurs de couche 3 sont également couramment utilisés dans les armoires de câblage
de la couche de distribution d'entreprise.

Les fonctionnalités d'un commutateur de couche 3 incluent la possibilité d'effectuer les

opérations suivantes:

 Route d'un VLAN à un autre à l'aide de plusieurs interfaces virtuelles commutées (SVI).
 Convertir un port de commutateur de couche 2 en interface de couche 3 (c'est-à-dire
un port routé). Un port routé est similaire à une interface physique sur un routeur
Cisco IOS.

Pour fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVI. Les SVI
sont configurés à l'aide de la même commande interface vlan vlan-id utilisée pour créer le
SVI de gestion sur un commutateur de couche 2. Un SVI de couche 3 doit être créé pour
chacun des VLAN routables.

4.3.2- Configuration du commutateur de couche 3

Procédez comme suit pour configurer S1 avec des VLAN et des trunks:

Étape 1. Créez les VLAN.

Étape 2. Créez les interfaces VLAN SVI.

Étape 3. Configurez les ports d'accès

Étape 4. Activation du routage IP