Configurer une interface de routeur Cisco en trunk

Nous allons aborder ici la configuration de l’interface réseau d’un routeur Cisco en mode trunk (au sens 802.1q) afin de supporter plusieurs VLANs et d’effectuer le routage entre les sous-réseaux associés à ces VLANs.

Le schéma ci-dessous réalisé avec Packet Tracer donne un aperçu de la topologie de test :

Le principe est donc relativement simple. Nous disposons de deux PCs, un switch d’accès Cisco 2960 et un routeur 2811. Le but est ici de créer un VLAN spécifique pour chaque PC, et d’effectuer le routage inter-VLAN au niveau du routeur Cisco.

Débutons par la configuration du switch :

Switch#conf t

Switch(config)#vlan 100

%LINK-5-CHANGED: Interface Vlan100, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up

Switch(config-vlan)#name ADMINISTRATION

Nous venons de créer le VLAN 100 nommé « ADMINISTRATION ». La procédure est strictement identique pour la création d’un VLAN 50 nommé « RH » par exemple.

A présent, il nous faut placer les ports de notre switch où sont raccordées les machines dans chaque VLAN. Nous prendrons donc arbitrairement le VLAN 100 pour le PC0 relié sur la Fast0/23 du switch et le VLAN 50 pour le PC1 relié sur la Fast0/24.

Pour configurer un port dans le bon VLAN, il suffit de faire la manipulation suivante :

Switch#conf t

Switch(config)#int fast0/23

Switch(conf-if)#switchport mode access

Switch(conf-if)#switchport access vlan 100

Cette manipulation doit, bien entendu, être réalisée pour l’interface Fast0/24 dans le VLAN 50.

A présent, nous avons donc bien deux VLANs qui isolent nos deux machines au niveau 2. Pour la configuration des sous-réseaux associés à chaque machine, nous utiliserons :

• 192.168.0.0 / 24 pour le VLAN 100
• 10.0.0.0 / 24 pour le VLAN 50

Une adresse en 192.168.0.0 / 24 doit être attribuée au PC0 et une adresse en 10.0.0.0 / 24 au PC1.

A présent, il faut donc configurer le port d’interconnexion du switch avec le routeur en mode trunk pour laisser passer nos deux VLANs jusqu’au routeur :

Switch#conf t

Switch(config)#int fast0/1

Switch(conf-if)#switchport mode trunk

Ces commandes permettent donc de placer le port en trunk 802.1q. Par défaut, tous les VLANs sont autorisés à transiter sur cette interconnexion. Il est alors possible de restreindre le trunk à certains VLANs uniquement via la commande switchport trunk allowed vlan VLANS_A_AUTORISER

Nous ne l’appliquerons pas dans notre lab de démo afin de simplifier au maximum son architecture.

Ensuite, il faut passer à la configuration de l’interface physique du routeur interconnectée avec le switch 2960. Pour cela, il est nécessaire de créer des sous-interfaces correspondantes chacune à un VLAN. Pour cela, il faut exécuter les manipulations suivantes sur le routeur :

Switch#conf t

Switch(config)#int fast0/0.50

Switch(config-subif)#encapsulation dot1q vlan 50

Switch(config-subif)#ip address 10.0.0.1 255.255.255.0

Switch(config-subif)#no shutdown

La commande encapsulation dot1q vlan 50 permet d’indiquer à quel VLAN appartient la sous-interface logique. Il s’agit donc ici du VLAN 50. La commande ip address 10.0.0.1 255.255.255.0 permet ensuite d’assigner une adresse IP dans le sous-réseau associé à ce VLAN afin de servir de passerelle par défaut pour les équipements de ce VLAN (en l’occurence le PC1).

Le principe est donc exactement le même pour configurer la sous-interface logique 100 dans le VLAN 100 avec une adresse IP dans le sous-réseau associé à ce VLAN.

A ce niveau, le lab cible est donc achevé. Nous avons donc deux PCs dans deux VLANs différents, dont les sous-réseaux sont routés entre eux via un routeur configuré en trunk 802.1q avec le switch où sont déclarés les VLANs.

Interdire le trafic entre ports d’un même VLAN sur Cisco

Les switches Cisco permettent de mettre en place un blocage rapide de trafic entre deux postes situés dans un même VLAN, sans passer par la configuration d’ACL. Il s’agit du concept de ports protected. Ce dernier est le suivant : configuré sur une interface physique du switch ou sur un groupe EtherChannel, ce mode permet d’isoler l’une de l’autre chaque interface marquée comme telle. En revanche, les machines interconnectées sur ces interfaces marquées comme protected peuvent toujours communiquer avec les machines interconnectées sur des interfaces « normales ».

L’exemple suivant certainement plus concret :

Soit un switch Cisco avec une machine A connectée sur le port Gig0/1, une machine B sur le port Gig0/2 et une machine C connectée sur le port Gig0/3. Ces trois interfaces sont configurées dans le VLAN d’ID 5. La machine A doit pouvoir communiquer avec la machine B mais pas avec la C. Pour cela, il faut donc marquer les interfaces Gig0/1 et Gig0/3 comme protected :

Switch(config)# conf t

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# switchport protected

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# switchport protected

Switch(config)# write mem

Pour vérifier que le mode protected est activé sur un port, il suffit d’entrer la commande suivante :

show int gig0/1 switchport

La ligne Port Protected nous renseigne alors sur l’état du port

Video Cisco - Configuration d'un domaine VTP

Cliquez sur :Cisco - Configuration d'un domaine VTP pour voir la video

Virtual LAN et Trunking

Summary

1. VLAN
2. VLAN Creation - VLAN DATABASE
3. VLAN CRATION - CONFIG
4. Private VLAN
5. Native VLAN
6. VLAN Trunking Protocol (VTP)
7. VLAN Trunking (ISL/Dot1q)
8. Trunking 802.1 QinQ
9. PPPoE

---

VLAN - Virtual LAN = Définition administrative de ports dans un domaine de broadcast.
Permet de segmenter les domaines de broadcast.

Best practise: 1 VLAN = 1 subnet IP
Pour le transfert de données entre 2 VLAN, on utilise MLS (Multilayer switching) - Plus développé dans les chapitres suivants.

2 modes de création:

• VLAN Database:

• Administration basique
• Informations de config VTP
• Normal-range only (1-1005)
• Stocké dans vlan.dat

Switch#vlan database
! Création vlan 21
Switch(vlan)#vlan 21
Switch(vlan)#show current  // Vlans dispo dans l'IOS en VTP Server mode (pas de vlan 21)
Switch(vlan)#show proposed // VLAN 21 en attente
Switch(vlan)#apply         // Ajoute le VLAN 21 dans le vlan.dat
Switch(vlan)#show current  // Affiche le VLAN 21
Switch(vlan)#vlan 22 name ccie         

! Applicationn du VLAN précèdement créer à l'interface
Switch(config)#int f0/3
Switch(config-if)#switchport access vlan 21

! Visualisation
Switch#show vlan brief

• Config mode:

Switch(config)#int fa0/1
Switch(config-if)#switchport mode access 31
=> vlan créer (show vlan brief)

Private VLAN : (RFC5517) Permet au switch de séparer les ports, comme s’ils étaient dans différents VLAN tout en utilisant un même subnet.
3 Types de ports existent pour les private VLAN:

• Primary = promiscuous (envoi/recoivent depuis et vers n’importe quel port)
• Secondary =
  • Community = Parle avec les autres types de ports, excepté les ports Isolated
  • Isolated = Pas autorisé à tout / juste avec le promiscous

Tableau de correspondance:

	isolated	promiscuous	community1	community 2	interswitch link port
isolated	deny	permit	deny	deny	permit
promiscuous	permit	permit	permit	permit	permit
community1	deny	permit	permit	deny	permit
community2	deny	permit	deny	permit	permit
interswitch link port	deny(*)	permit	permit	permit	permit

Native VLAN

Quand un port est configuré en mode Trunk, le switch Tag la trame avec un numéro de VLAN. Toutes les trames passant par un Trunk sont ainsi taguées, sauf les trames appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas tagguées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne supportant pas le “tagging”.
VLAN natif (VLAN 1, par défaut).

VLAN Trunking Protocol (VTP)

VTP permet d’annoncer aux autres switch les VLAN utilisés/Créer/modifiés.
Grâce à ce protocole, toute l’administration se fait sur 1 switch, qui diffuse sa configuration aux autres.

Le VTP annonce:

• VLAN ID
• VLAN Name
• VLAN Type

Les ports, eux, doivent êtres assignés “à la main”.

3 modes:

• Server
• Client
• Transparent

Function	Server Mode	Client Mode	Transparent Mode
Envoi des informations VTP	YES	YES	NO
Reçoit les informations VTP pour MAJ sa config. de VLAN	YES	YES	NO
Transfère les avertissements VTP	YES	YES	YES
Sauvegarde le configuration de VLAN en NVRAM /ou vlan.dat	YES	YES	YES
Crée/Modifie/Supprime des VLAN	YES	NO	YES

VTP Process & revision number

Par défaut sur les switch, le VTP est en mode serveur !
Si il n’y à pas de VTP domaine name configuré sur les clients, le switch client prend en compte le domaine du premier paquet VTP reçu de la part du serveur.
Il est préférable d’avoir deux switchs en mode serveur dans un réseau (best-practise).
Stockage des données dans le fichier flash:/vlan.dat

Attention au revision number de la base VTP ! Surtout pour un switch que l’on ajouterai au réseau, si le RN est très grand, il prendra le dessus sur les autres et peut faire tomber tout le réseau…

Pour un nouveau switch, il faut :

• Un port trunk (vers l’autre switch)
• Le même domaine VTP
• Revision number plus petit que le VTP server déjà en place
• Password (Encrypte en MD5 + Encrypte le revision number + VTP Domain)

Configuration VTP

Switch(config)#vtp domain CCIE-domain
Switch(config)#vtp mode { server | client | transparent }
Switch(config)#vtp password password
Switch(config)#vtp version {1 |2}
Switch(config)#vtp pruning // Empêche d'envoyer des paquets VTP à un switch pour un VLAN si aucun port de ce switch n'est configuré dans ce VLAN.
Switch(config)#vtp interface interface // Identifie le switch dans les VTP update
Switch#show vtp status

Normal-range / Extended range VLAN

Normal range	1 - 1005	Annoncés par VTP 1/2
Extended range	1006 - 4096	Pas sotcké dans le vlan.dat. Doit être en vtp mode “transparent” pour exister. ISL & Dot1q supportent les VLAN Extended.

VLAN Trunking (ISL / 802.1q)
Le trunking de VLAN permet de faire passer plusieurs VLAN sur un simple lien.
Pour savoir à quel VLAN appartient un paquet, le switch ajoute un header à la trame Ethernet originale.

ISL	CISCO	Encapsule les trames	Pas de native VLAN
802.1q	IEEE	Ajoute un TAG	Native VLAN Supporté

ISL et 802.1q Marking

Configuration:

Switch(config-if)#switchport | no-switchport  ==> Interface L2 |L3
Switch(config-if)#switchport mode { access | trunk }
Switch(config-if)#switchport access ...
Switch(config-if)#switchport trunk ...

Switch#show interface trunk
Switch#show interface interface trunk
Switch#show interface interface switchport

Certains switch ne supportent pas l’ISL, ils sont donc de base en 802.1q (Ex: Catalyst 2950).

Allowed VLAN	Switchport trunk allowed vlan 1,2,3
Allowed VLAN & Active	VLAN configuré sur le switch / Trunk / VTP
Active & not pruned	VLAN enlevé des update par le VTP Pruning

Trunk configuration compatibility:

Config 1st Side	mode	Signifie	Pour trunker, il faut cette config sur la 2e side
switchport mode trunk	trunk	Always trunk / Paquets DTP envoyés	on desirable auto
switchport mode trunk switchport nonegociate	nonegociate	Always trunk / Pas de DTP envoyés	on
switchport mode dynamic desirable	desirable	DTP Sent / Trunk si négociations OK	on desirable auto
switchport mode dynamic auto	auto	Répond aux DTP / Trunk si negociations OK	on desirable
switchport mode access	access	Pas de DTP	Pas de trunk possible
switchport mode access switchport nonegociate	access (et nonegociate)	Pas de DTP	PAs de trunk possible

Trunking sur les routeurs

Pour faire du routage inter-VLAN par exemple, il peut être possible d’utiliser un routeur. Il faut donc utiliser les sous-interfaces de celui-ci. Le routeur ne participe pas à DTP. Configuration manuelle.

Voici un configuration pour faire transiter les VLAN 1, 21, 22 via votre routeur. Le VLAN 1 est natif, et ne peut être enlevé ici.

Router(config)#interface Fa0/0.1
Router(config-if)#ip address 172.21.1.1 255.255.255.0
Router(config-if)#encapsultion dot1q 21
Router(config)#interface Fa0/0.2
Router(config-if)#ip address 172.21.2.1 255.255.255.0
Router(config-if)#encapsulation dot1q 22

802.1Q-in-Q Tunneling
Le 802.1QinQ permet de faire transiter des VLAN au travers d’un lien WAN.
tout comme :

• EoMPLS (Ethernet over MPLS)
• VMPLS (VLAN MPLS)

802.1QinQ = QinQ = Layer 2 protocol tunneling
Permet à un ISP de préserver un tag VLAN au travers du réseau WAN, en ajoutant un TAG 802.1q qui correspond au client.

Le SP peut donc offrir des services liés aux VLAN avec QinQ.
Plus de flexibilité pour le design de l’architecture des clients, ex: Metro Ethernet.
Les traffic VTP, CDP passent au travers de Q-in-Q de manière transparente.

PPPoE
Je ne vois pas trop ce que viens faire cette partie dans ce chapitre, et pour ça j’ai déjà fait une cheat sheet ici !