Virtual LAN et Trunking

Summary

1. VLAN
2. VLAN Creation - VLAN DATABASE
3. VLAN CRATION - CONFIG
4. Private VLAN
5. Native VLAN
6. VLAN Trunking Protocol (VTP)
7. VLAN Trunking (ISL/Dot1q)
8. Trunking 802.1 QinQ
9. PPPoE

---

VLAN - Virtual LAN = Définition administrative de ports dans un domaine de broadcast.
Permet de segmenter les domaines de broadcast.

Best practise: 1 VLAN = 1 subnet IP
Pour le transfert de données entre 2 VLAN, on utilise MLS (Multilayer switching) - Plus développé dans les chapitres suivants.

2 modes de création:

• VLAN Database:

• Administration basique
• Informations de config VTP
• Normal-range only (1-1005)
• Stocké dans vlan.dat

Switch#vlan database
! Création vlan 21
Switch(vlan)#vlan 21
Switch(vlan)#show current  // Vlans dispo dans l'IOS en VTP Server mode (pas de vlan 21)
Switch(vlan)#show proposed // VLAN 21 en attente
Switch(vlan)#apply         // Ajoute le VLAN 21 dans le vlan.dat
Switch(vlan)#show current  // Affiche le VLAN 21
Switch(vlan)#vlan 22 name ccie         

! Applicationn du VLAN précèdement créer à l'interface
Switch(config)#int f0/3
Switch(config-if)#switchport access vlan 21

! Visualisation
Switch#show vlan brief

• Config mode:

Switch(config)#int fa0/1
Switch(config-if)#switchport mode access 31
=> vlan créer (show vlan brief)

Private VLAN : (RFC5517) Permet au switch de séparer les ports, comme s’ils étaient dans différents VLAN tout en utilisant un même subnet.
3 Types de ports existent pour les private VLAN:

• Primary = promiscuous (envoi/recoivent depuis et vers n’importe quel port)
• Secondary =
  • Community = Parle avec les autres types de ports, excepté les ports Isolated
  • Isolated = Pas autorisé à tout / juste avec le promiscous

Tableau de correspondance:

	isolated	promiscuous	community1	community 2	interswitch link port
isolated	deny	permit	deny	deny	permit
promiscuous	permit	permit	permit	permit	permit
community1	deny	permit	permit	deny	permit
community2	deny	permit	deny	permit	permit
interswitch link port	deny(*)	permit	permit	permit	permit

Native VLAN

Quand un port est configuré en mode Trunk, le switch Tag la trame avec un numéro de VLAN. Toutes les trames passant par un Trunk sont ainsi taguées, sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas tagguées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le “tagging”.
VLAN natif (VLAN 1, par défaut).

VLAN Trunking Protocol (VTP)

VTP permet d’annoncer aux autres switch les VLAN utilisés/Créer/modifiés.
Grâce à ce protocole, toute l’administration se fait sur 1 switch, qui diffuse sa configuration aux autres.

Le VTP annonce:

• VLAN ID
• VLAN Name
• VLAN Type

Les ports, eux, doivent êtres assignés “à la main”.

3 modes:

• Server
• Client
• Transparent

Function	Server Mode	Client Mode	Transparent Mode
Envoi des informations VTP	YES	YES	NO
Reçoit les informations VTP pour MAJ sa config. de VLAN	YES	YES	NO
Transfère les avertissements VTP	YES	YES	YES
Sauvegarde le configuration de VLAN en NVRAM /ou vlan.dat	YES	YES	YES
Crée/Modifie/Supprime des VLAN	YES	NO	YES

VTP Process & revision number

Par défaut sur les switch, le VTP est en mode serveur !
Si il n’y à pas de VTP domaine name configuré sur les clients, le switch client prend en compte le domaine du premier paquet VTP reçu de la part du serveur.
Il est préférable d’avoir deux switchs en mode serveur dans un réseau (best-practise).
Stockage des données dans le fichier flash:/vlan.dat

Attention au revision number de la base VTP ! Surtout pour un switch que l’on ajouterai au réseau, si le RN est très grand, il prendra le dessus sur les autres et peut faire tomber tout le réseau…

Pour un nouveau switch, il faut :

• Un port trunk (vers l’autre switch)
• Le même domaine VTP
• Revision number plus petit que le VTP server déjà en place
• Password (Encrypte en MD5 + Encrypte le revision number + VTP Domain)

Configuration VTP

Switch(config)#vtp domain CCIE-domain
Switch(config)#vtp mode { server | client | transparent }
Switch(config)#vtp password password
Switch(config)#vtp version {1 |2}
Switch(config)#vtp pruning // Empêche d'envoyer des paquets VTP à un switch pour un VLAN si aucun port de ce switch n'est configuré dans ce VLAN.
Switch(config)#vtp interface interface // Identifie le switch dans les VTP update
Switch#show vtp status

Normal-range / Extended range VLAN

Normal range	1 - 1005	Annoncés par VTP 1/2
Extended range	1006 - 4096	Pas sotcké dans le vlan.dat. Doit être en vtp mode “transparent” pour exister. ISL & Dot1q supportent les VLAN Extended.

VLAN Trunking (ISL / 802.1q)
Le trunking de VLAN permet de faire passer plusieurs VLAN sur un simple lien.
Pour savoir à quel VLAN appartient un paquet, le switch ajoute un header à la trame Ethernet originale.

ISL	CISCO	Encapsule les trames	Pas de native VLAN
802.1q	IEEE	Ajoute un TAG	Native VLAN Supporté

ISL et 802.1q Marking

Configuration:

Switch(config-if)#switchport | no-switchport  ==> Interface L2 |L3
Switch(config-if)#switchport mode { access | trunk }
Switch(config-if)#switchport access ...
Switch(config-if)#switchport trunk ...

Switch#show interface trunk
Switch#show interface interface trunk
Switch#show interface interface switchport

Certains switch ne supportent pas l’ISL, ils sont donc de base en 802.1q (Ex: Catalyst 2950).

Allowed VLAN	Switchport trunk allowed vlan 1,2,3
Allowed VLAN & Active	VLAN configuré sur le switch / Trunk / VTP
Active & not pruned	VLAN enlevé des update par le VTP Pruning

Trunk configuration compatibility:

Config 1st Side	mode	Signifie	Pour trunker, il faut cette config sur la 2e side
switchport mode trunk	trunk	Always trunk / Paquets DTP envoyés	on desirable auto
switchport mode trunk switchport nonegociate	nonegociate	Always trunk / Pas de DTP envoyés	on
switchport mode dynamic desirable	desirable	DTP Sent / Trunk si négociations OK	on desirable auto
switchport mode dynamic auto	auto	Répond aux DTP / Trunk si negociations OK	on desirable
switchport mode access	access	Pas de DTP	Pas de trunk possible
switchport mode access switchport nonegociate	access (et nonegociate)	Pas de DTP	PAs de trunk possible

Trunking sur les routeurs

Pour faire du routage inter-VLAN par exemple, il peut être possible d’utiliser un routeur. Il faut donc utiliser les sous-interfaces de celui-ci. Le routeur ne participe pas à DTP. Configuration manuelle.

Voici un configuration pour faire transiter les VLAN 1, 21, 22 via votre routeur. Le VLAN 1 est natif, et ne peut être enlevé ici.

Router(config)#interface Fa0/0.1
Router(config-if)#ip address 172.21.1.1 255.255.255.0
Router(config-if)#encapsultion dot1q 21
Router(config)#interface Fa0/0.2
Router(config-if)#ip address 172.21.2.1 255.255.255.0
Router(config-if)#encapsulation dot1q 22

802.1Q-in-Q Tunneling
Le 802.1QinQ permet de faire transiter des VLAN au travers d’un lien WAN.
tout comme :

• EoMPLS (Ethernet over MPLS)
• VMPLS (VLAN MPLS)

802.1QinQ = QinQ = Layer 2 protocol tunneling
Permet à un ISP de préserver un tag VLAN au travers du réseau WAN, en ajoutant un TAG 802.1q qui correspond au client.

Le SP peut donc offrir des services liés aux VLAN avec QinQ.
Plus de flexibilité pour le design de l’architecture des clients, ex: Metro Ethernet.
Les traffic VTP, CDP passent au travers de Q-in-Q de manière transparente.

PPPoE
Je ne vois pas trop ce que viens faire cette partie dans ce chapitre, et pour ça j’ai déjà fait une cheat sheet ici !