Dans ce TP n°9, le sujet à propos des VLAN est abordé. Un VLAN est un réseau local virtuel qui limite la diffusion tel qu’un routeur. Il existe cependant plusieurs méthodes de construction des VLAN, à savoir les VLAN par port (celui qui sera utilisé tout au long du TP), par adresse IEEE, par protocole, par sous-réseau et pour finir par règle.

A) Spécification de l’infrastructure

Dans le tableau ci-dessous se trouve les spécificités des réseaux ainsi que l’appartenance des ordinateurs à la VLAN correspondante. Le schéma de l’infrastructure est présenté ci-après.

  • Les spécificités du réseau:
  • ➔ Réseaux privés : 192.168.1.0/24; 192.168.2.0/24 ; 172.16.0.0/16
  • ➔ Réseau public : 193.45.125.0/24
  • ➔ 4 Postes
  • ➔ 1 serveur DHCP: 172.16.0.200
  • ➔ 2 commutateurs : Commutateurl (VLAN) ; Commutateur2
  • ➔ 2 routeurs : Routeurl ; Routeur2
Tableau des caractéristiques réseaux
Schéma de l’infrastructure :

B) Création des VLAN

Les VLAN sont créés sur le commutateur n°1. Les noms de ces VLAN sont TECHNIQUE pour le VLAN 10 et COMMERCIAL pour le VLAN 20.

Dans un premier temps, il faut accéder à la console CLI du commutateur puis au mode privilégié à l’aide de ces commandes et renommer le commutateur.

Switch> enable   (élévation des privilèges)
Switch# configuration terminal   (accès aux configurations du commutateur)
Switch(config)# hostname Commutateur1  (nommage du commutateur)
Commutateur1(config)#

Après avoir renommé le commutateur, nous avons créé les VLAN à l’aide de ces commandes :

Commutateur1(config)# vlan 10  (création du VLAN 10)
Commutateur1(config-vlan)# name TECHNIQUE   (nommage du VLAN)
Commutateur1(config-vlan)# exit
Commutateur1(config)# vlan 20
Commutateur1(config-vlan)# name COMMERCIAL
Commutateur1(config-vlan)# exit

C) Affectation des ports

Une fois les VLAN crées, l’affectation des ports aux VLAN correspondantes se fait à l’aide de ces commandes :

Commutateur1(config)# interface range fa0/1 — fa0/9
Commutateur1(config-if-range)# switchport access vlan 10
Commutateur1(config-if-range)# exit
Commutateur1(config)# interface range fa0/10 — fa0/19
Commutateur1(config-if-range)# switchport access vlan 20
Commutateur1(config-if-range)# exit

Résultat obtenu à l’aide de la commande : show vlan

Le port 24 du switch est un port stratégique: il donne accès vers le routeur et il permet aux VLAN 10 et VLAN 20 d’aller vers les autres réseaux (ex: internet ou d’autre réseaux locaux)


ROUTAGE INTER-VLAN

Les réseaux TECHNIQUE et COMMERCIAL sont désormais isolés. Pour pouvoir joindre le serveur SRV, un routeur a été ajouté afin de permettre la communication entre ces derniers. Mais un problème va survenir lors du paramétrage CAR il n’y a qu’une interface pouvant être relié au commutateur 1.En effet, il existe deux réseaux distincts sur ce commutateur. La solution à cette problématique est la création d’interfaces virtuelles/sous interfaces sur le routeur.

A) Spécification des routeurs

Le tableau ci-dessous montre les spécificités du routeur 1 :

B) Configuration des interfaces

Pour permettre la communication entre les deux sous-réseaux et le serveur SRV, la configuration des sous-interfaces est nécessaire. Le routeur 1 a été renommé avant. Cependant, l’activation de ces interfaces va entrainer la communication entre VLAN distincts !

Les commandes suivantes ne s’appliquent qu’au routeur 1

Routeur1(config)# interface gigabitEthernet 0/0.1 (création de la sous-interface pour le VLAN 10)
Routeur1(config-subif)# encapsulation dot1Q 10  (encapsulation du protocole 802.1Q du vlan 10)
Routeur1(config-subif)# ip address 192.168.1.254 255.255.255.0  (attribution de l’@ IP)
Routeur1(config-subif)# no shutdown  (activation de l’interface virtuelle)
Routeur1(config-subif)# exit
Routeur1(config)# interface gigabitEthernet 0/0.2  (création de la sous-interface pour le VLAN 20)
Routeur1(config-subif)# encapsulation dot1Q 20  (encapsulation du protocole 802.1Q du vlan 20)
Routeur1(config-subif)# ip address 192.168.2.254 255.255.255.0 (attribution de l’@ IP)
Routeur1(config-subif)# no shutdown  (activation de l’interface virtuelle)
Routeur1(config-subif)# exit
Routeur1(config)# interface gigabitEthernet 0/1  (création de l’interface)
Routeur1(config-if)# ip address 172.16.0.254 255.255.0.0  (attention masque réseau classe B)
Routeur1(config-if)# no shutdown  (activation de l’interface)
Routeur1(config-if)# exit

C) Routage inter-VLAN

Maintenant que toutes les interfaces sont configurées, il va falloir activer le Mode Trunk du commutateur 1 pour permettre le routage.

Les commandes suivantes ont été réalisées sur le commutateur 1 :

Commutateur1(config)# interface fa0/24
Commutateur1(config-if)# switchport mode trunk  (activation du Mode Trunk sur le port n°24)
Commutateur1(config-if)# exit

Test de communication entre PC-01 COMMERCIAL & PC-01TECHNIQUE : Ping OK 👎 Donc il y a un problème d’étanchéité !

D) Access Control List (ACL)

L’objectif des VLAN est d’empêcher la communication entre les différents services, dans notre cas, mais avec l’activation du mode Trunk cette règle ne s’applique plus en partie ! Pour y remédier, les Listes de Contrôle d’Accès permettent de corriger ce problème.

Les ACL créées sont les suivantes : ACL Extended

Routeur1(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0.0 0.0.0.255   (rejet des paquets IP du réseau 192.168.2.0)
Routeur1(config)# access-list 101 permit ip any any  (Mais autorise tous les autres réseaux)
Routeur1(config)# access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255   (rejet des paquets IP du réseau 192.168.1.0)
Routeur1(config)# access-list 102 permit ip any any  (Mais autorise tous les autres réseaux)

Une fois les listes d’accès créées, il ne reste plus qu’à configurer les interfaces qui appliqueront ces règles :

Routeur1(config)# interface gigabitEthernet 0/0.1
Routeur1(config-subif)# ip access-group 101 in  (application de l’ACL en entrée pour le VLAN 10)
Routeur1(config-subif)# exit
Routeur1(config)# interface gigabitEthernet 0/0.2
Routeur1(config-subif)# ip access-group 102 in  (application de l’ACL en entrée pour le VLAN 20)
Routeur1(config-subif)# exit

Test de communication entre PC-01COMMERCIAL & PC-01 TECHNIQUE: Ping = ECHEC 👍 Donc les postes clients COMMERCIAL et TECHNIQUE ne peuvent plus communiquer entre eux mais peuvent chacun d’entre eux aller vers le réseau 172.16.0.0/16. C’est bien ce qu’on voulait. Les VLAN 10 et VLAN 20 sont maintenant étanchent entre eux.

Test de communication entre PC-01 & PC-02 : ping OK ✓
Test de communication entre PC-03 & PC-04 : ping OK✓
Test de communication entre PC-01 & PC-03 : ping ECHEC✓
Test de communication entre PC-04 & PC-02 : ping ECHEC✓
L'étanchéité des VLAN fonctionne correctement !

E) Configuration du serveur DHCP

Au niveau du serveur DHCP : mettre les étendues du réseau TECHNIQUE et du réseau COMMERCIAL

@IP Serveur DHCP: 172.16.0.200

F) Configuration de l’agent relais DHCP sur le routeur

Paramétrage de la première sous-interface du routeur correspondante au VLAN 10

Routeur1(config)# interface GigabitEthernet 0/0.1   (sélection de la sous-interface du VLAN 10)
Routeur1(config-subif)# ip helper 172.16.0.200  (activation du relais DHCP)
Routeur1(config-subif)# exit

Paramétrage de la deuxième sous-interface du routeur correspondante au VLAN 20

Routeur1(config)# interface GigabitEthernet 0/0.2   (sélection de la sous-interface du VLAN 20)
Routeur1(config-subif)# ip helper 172.16.0.200  (activation du relais DHCP)
Routeur1(config-subif)# exit
  • Phase de test en branchant deux nouveaux postes en mode DHCP :
  • PC-4 sur le VLAN 10 et PC-5 sur le VLAN 20
  • Ipconfig /release
  • Ipconfig /renew
Attribution de l’@ IP 192.168.1.11 qui appartient au VLAN 10
Attribution de l’@ IP 192.168.2.11 qui appartient au VLAN 20