Les switchs : Utilisation des VLANs (3/4)

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


Les VLANs (Virtual Local Area Network) sont des fonctionnalités avancées de gestion des réseaux qui permettent de segmenter un réseau en fonction de sa taille, des besoins des utilisateurs ainsi que des applications disponibles/utilisables et ce de manière logique.

Prenons un exemple. Dans une entreprise il existe plusieurs services : RH, comptabilité, finance, informatique… Ces services n’ont pas besoin d’accéder aux mêmes serveurs ou aux mêmes applications. On pourrait donc limiter l’accès des RH’s aux serveurs contenant les informations relatives aux employés. De même on pourrait limiter les informaticiens aux serveurs AD, DNS, DHCP etc… Un informaticien n’a pas besoin d’avoir accès aux informations personnels d’un employé (coucou la GDPR 😰😰) !

Pour autant on ne va pas s’amuser à créer des sous réseaux pour chaque service mais on peut créer un « équivalent » via les VLANs :

vlan.png

Ainsi les ordinateurs du  VLAN RH ne pourront pas communiquer avec le VLAN Informatique ou le VLAN Finance et vis vers ça. En créant ces séparations nous augmentons donc drastiquement la sécurité au sein de notre infrastructure et nous diminuons les coûts d’utilisation !

Pour illustrer cet article je vous propose de monter cette architecture :

archibase.png

Étant donné que toutes les machines sont sur le même réseau, rien ne les empêche de communiquer. En créant les VLANs (vert pour les professeurs et orange pour les étudiants) nous pourrons empêcher les machines du VLAN vert de communiquer avec les machines du VLAN orange. Le but de cet article sera donc de montrer comment créer et configurer ces VLANs afin qu’ils répondent à nos exigences.

La première chose à faire sera bien évidemment d’attribuer une adresse IP et un masque à chacun de nos ordinateurs.

Ensuite nous allons configurer nos switchs. Commençons par le switch de gauche. Allez dans la CLI et entrez ces commandes afin d’accéder au mode de configuration du terminal :

enable
configure terminal

Maintenant nous allons créer nos VLANs. La création de VLAN tient sur deux lignes. La première va nous permettre de numéroter nos VLAN afin de les réutiliser plus tard. Tandis que la seconde ligne va nous permettre de lui donner un nom afin de l’identifié plus facilement  :

vlan "numéro_du_vlan"
name "nom_du_vlan"

C’est important de toujours garder en mémoire le numéro des VLANs puisque nous en aurons besoin plus tard. Voici les commandes que j’utilise pour créer le VLAN des étudiants :

vlan 10
name etudiant

Et celles que j’utilise pour le VLAN des professeurs :

vlan 20
name professeur

Les mêmes commandes seront à entrer dans la CLI du switch du droite.

A ce niveau là, nous avons créer nos VLANs mais nous n’avons pas configurer nos switchs pour qu’ils les utilisent. Deux grandes étapes sont encore à réaliser.

La première, ça va être d’indiquer à chaque interface (sauf les interfaces qui relient les switchs entre eux) quel VLAN elles doivent utiliser. Si on reprend le schéma général :

archibase

Alors on voit que le PC en haut à gauche est dans le VLAN étudiant (VLAN 10) donc on va configurer l’interface fastEthernet 0/1 (celle qui lie le PC au switch) en lui disant qu’elle ne doit transmettre au PC que des paquets venant du VLAN 10 et aussi qu’elle doit taguer toutes les trames envoyées par le PC.

Taguer ? Eh bien oui ! En fait pour qu’un switch soit capable de différencier les trames venant du VLAN étudiants et celles venant du VLAN professeur, nous devons les taguer :

tagged.png

Sur le schéma ci dessus vous trouverez une trame non taguée (en haut) et une trame taguée (en bas). La différence étant que dans la trame taguée, quatre champs ont été ajoutés :
-Le TPID (Tag Protocol Indentifier) : est un champ qui indique au switch que la trame est bel et bien taguée.
-Le PCP (Priotity Code Point) : c’est tout simplement la priorité de la trame allant de 0 à 7.
-Le DEI (Drop Eligible Indicator) : ce champ indique si la trame est dropable en cas de congestion du réseau.
-Le VID (VLAN Identifier) : qui identifie le VLAN auquel est lié la trame.

Dans le champ VID nous trouverons le fameux nombre que nous avons utilisé ici :

vlan 10

C’est pour cela que je vous disais qu’il est important de s’en rappeler. Du coup, pour dire à l’interface fastEthernet 0/1 qu’elle doit utiliser le VLAN des étudiants (VLAN 10) nous utiliserons ces commandes :

interface fastEthernet 0/1
switchport mode access
switchport access vlan 10 #On ne laisse passer que les trames tagués 10
no sh

Pour l’interface fastEthernet 0/2 c’est le VLAN 20 qui sera à utiliser :

interface fastEthernet 0/2
switchport mode access
switchport acess vlan 20 #On ne laisse passer que les trames tagués 20
no sh

access.png

Dorénavant nos trames seront taguées et ne pourront être envoyées qu’aux ordinateurs présents dans les bons VLANs. Le problème maintenant c’est que nos switchs, quand ils vont recevoir les trames ne vont pas comprendre pourquoi elles sont taguées et ne vont pas non plus comprendre comment ils doivent les traiter (s’ils doivent les accepter ou les refuser). Pour pallier ce problème nous devrons configurer certaines interfaces en mode trunk.

On dit d’un port qu’il est en mode trunk lorsque ce dernier laisse passer des trames venant de différents VLANs (lorsque les trames sont taguées donc). Généralement on configure en mode trunk les ports d’un switch qui communiquent soit avec un autre switch soit avec un routeur. Dans notre cas, ce sont donc les interfaces fastEthernet 0/3 que nous devons configurer :

trunked

Voici les commandes à entrer sur les deux interfaces fastEthernet 0/3 de nos switchs :

switchport mode trunk 
switchport trunk allowed vlan 10,20 #On ne laisse passer que les trames taguées 10 et 20

trunk.pngTout est configuré, testons l’architecture :

  • Ping entre 192.168.0.1 et 192.168.0.3 (même VLAN) :

ping1.png

Ça marche !

  • Ping entre 192.168.0.1 et 192.168.0.3 (VLAN différent) :

ping2.png

Ça marche pas ! Et c’est normal !

Nous avons donc bien cloisonné nos ordinateurs dans deux VLANs séparés ! Voilà pour les VLANs. Il nous reste un dernier petit point à voir mais je le traiterai un peu plus tard. Si vous avez des questions n’hésitez pas à me contacter via ma page Facebook.

4 commentaires

Répondre à baraque-foraine.com Annuler la réponse.

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s