Les ports numérotés avec Po sont des canaux de port (un groupe de liaisons Ethernet). Une fois les VLAN créés, vous devez affecter les ports au VLAN approprié. Vous pouvez configurer des ports à l'aide de la commande switchport et spécifier si le port doit être en mode accès ou trunk.
Attribution d'un port dans un VLAN
On voit avec la commande show vlan que le port Fa0/1 est désormais dans le VLAN 2, nommé finance. La commande switchport access vlan 2 permet de mettre le port Fa0/1 dans le vlan 2. Le port Fa0/1 n'appartient plus au VLAN précédent qui par défaut est le VLAN 1.
Les numéros des ports ont la syntaxe suivante: 0/1 ou 1/0/1. C'est à dire: numéro du module/numéro du port ou bien numéro du switch dans le stack/numéro du module/numéro du port. La commande suivante affiche la configuration courante d'une interface.
Entrez la commande switchport mode trunk pour configurer le port en tant que jonction VLAN. Entrez la commande switchport trunk encapsulation [isl | dot1q] pour configurer le port afin qu'il prenne en charge l'encapsulation ISL ou 802.1q. Vous devez configurer chaque extrémité du lien avec le même type d'encapsulation.
Il existe trois différents types de réseau local virtuel : de niveau 1 (aussi appelé VLAN par port), de niveau 2 (VLAN par adresse MAC) et de niveau 3 (VLAN par adresse IP).
Le vlan natif, est le vlan dans lequel sont véhiculées les trames non taguées dot1q. Donc si un switch reçoit sur une interface trunk une trame ethernet standard, il la placera dans ce vlan natif, en quelque sorte, un vlan par défaut (de marquage).
Un trunk est un lien entre deux équipements, le plus souvent entre deux switch, configuré de telle sorte que l'on peut y faire circuler des trames ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent.
Lorsque vous avez besoin davantage d'accès direct et de communication inter-VLAN, un switch de niveau 3 est le meilleur choix. Réseau avec un grand nombre de diffusions qui a besoin de meilleures performances VLANS.
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmanter la bande passante...)
Qu'est-ce qu'une gateway ? Traduit par "passerelle" ou "passerelle applicative" en français, le terme gateway désigne en informatique un dispositif matériel et logiciel qui permet de relier deux réseaux informatiques, ou deux réseaux de télécommunications, aux caractéristiques différentes.
Si c'est un switch Cisco et un port en mode access; il verra l'ID du VLAN dans le corps du message CDP sur le champ native vlan.
Afin de laisser passer les trames de différents Vlan, Nous avons besoin de tagger les ports afin qu'ils laissent passer les trames d'un commutateur vers un autre. Ce mode est principalement utilisé pour les interconnexions entre switch ou vers un routeur.
7000#(config)#vlan 100
Créer un VLAN.
Le concept de VLAN est utilisé afin d'avoir plusieurs réseaux indépendants sur le même équipement réseau physique. Cela évite d'avoir des équipements réseaux différents dans une entreprise lorsque nous voulons que deux départements ou fonctionnalités ne soient pas sur le même réseau ou vu l'un de l'autre.
Le routage inter-VLAN est un processus qui permet de transférer du trafic réseau d'un VLAN à un autre à l'aide d'un périphérique de couche 3 comme un routeur.
Le mode point d'accès est utilisé pour se connecter à des clients sans fil (cartes adaptateurs sans fil) comme les ordinateurs portables, ordinateurs de bureau et les tablettes. Les clients sans fil ne peuvent communiquer qu'avec des points d'accès (AP) en mode Point d'accès.
Cette attaque (qu'on appelle aussi le VLAN Hopping) n'est possible que si l'attaquant connait le native VLAN. Et comme il est égal à 1 par défaut, il est donc conseillé de changer son ID. Parce que dès lors que l'ID est changé, l'attaquant n'a aucun moyen de le découvrir.
Un switch de niveau 2 fonctionne uniquement avec les adresses MAC et ne fait pas attention aux adresses IP ou à tout autre élément des couches supérieures. Un switch de niveau 3, ou switch multicouche, peut effectuer toutes les tâches d'un switch de niveau 2.
Le standard 802.1Q est un standard IEEE créé en 1999. Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est complété par une balise de 4 octets. Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec laquelle on complète l'en-tête de trame Ethernet.
5.1.
Pour ces raisons, le VLAN 1 ne peut jamais être supprimé, il existe d'office. Pour ces raisons, il recommandé d'éviter d'utiliser dans tous les cas le VLAN 1 dans ses déploiements en production. Notons que les VLANs 1002 à 1005 sont des VLANs par défaut réservés aux technologies FDDI et Token-Ring.
Tagged port
Un port de switch configuré en “tagged” signifie que l'équipement branché derrière est capable de traiter les tags 802.1q et qu'il est configuré pour les traiter. C'est-à-dire qu'il faudra indiquer dans la configuration de l'équipement qu'il doit marquer ses paquets réseau avec son VLAN d'appartenance.
Pour autoriser une communication entre vlan, il faut faire du routage |inter-VLAN. Cela est faisable uniquement avec un périphérique de couche 3, comme un routeur, car ces interfaces peuvent être connectées à des VLAN séparés. Pour rappel, le switch est un périphérique de couche 2.