Auteur:


Date:
7/11/2011

Catégories:
Reseau

Tags:






Cisco et le routage inter VLAN

Nous allons dans ce billet mettre en place une architecture réseau basée sur des équipements Cisco (un routeur 1841 et un switch 2960). Deux réseaux LAN différents (un pour les chefs, un autre pour le peuple) seront disponibles sur le même switch (en utilisant les fonctions VLAN). Le routage (et éventuellement le filtrage) entre ces deux réseaux LAN se fera par le routeur.

Voici un schéma simplifié:

Dans la suite du billet nous utiliserons le plan d'adressage IP suivant:

  • Réseau des chefs: 192.168.1.0/24
  • Réseau du peuple: 192.168.2.0/24

Configuration du switch Ethernet (Cisco Catalyst 2960)

L'idée générale est d'associer chaque port à un des deux réseaux virtuel. Par exemple on voudra brancher le PC du chef sur le port n°1, celui de sa secrétaire sur le port n°2.

Nous allons donc dans un premier temps définir deux réseaux LAN virtuel (VLAN):

  • Réseau des chefs: VLAN id n°1
  • Réseau du peuple: VLAN id n°2

Puis associer les ports Ethernet physique à ces VLANs:

  • VLAN id n°1:  Port n°1
  • VLAN id n°2:  Port n°2

La configuration IOS est donc la suivante:

Il faut ensuite configurer l'interface Ethernet (arbitrairement le port n°24) qui fera le lien vers le routeur. La caractéristique de cette interface est qu'elle doit appartenir à tout les VLANs.

  • VLAN id n°1:  Port n°1 et n°24
  • VLAN id n°2:  Port n°2 et n°24

Pour cela nous utilisons la configuration suivante:

Il ne reste plus qu'a faire les branchements:

  • Le PC du chef (en 192.168.1.100/24) sur le port n°1
  • Le PC de la secrétaire (en 192.168.2.100/24) sur le port n°2
  • Le routeur sur le port n°24

Configuration du routeur IP (Cisco 1841)

Le routeur Cisco 1841 est un routeur LAN/LAN. Nous allons utiliser l'interface FastEthernet0/1 pour effectuer le routage inter VLAN. L'autre interface (la FastEthernet0/0) pourra, par exemple être connecté directement à la box/routeur Internet).

On commence donc par activer l'interface FastEthernet0/1 (elle doit être shutdown par défaut):

Ensuite on génère les interfaces virtuelles correspondantes à chacun des VLANs. Les interfaces virtuelles auront comme adresse IP:

  • 192.168.1.254 pour le VLAN 1
  • 192.168.2.254 pour le VLAN 2

Une fois la configuration en place, vous devriez sans problème pouvoir "pinguer" les machines entre elles (il n'y a pas de filtrage par défaut).

  • http://twitter.com/GabrielFotoPoto GabrielFotoPoto

    Bonjour et merci pour ton billet/article. J’ai une question beaucoup plus basique, à savoir, qu’elle est la bibliothèque d’objets que tu as utilisé pour ton schéma ? Et avec quel logiciel les as tu assemblé ?

    • http://twitter.com/GabrielFotoPoto GabrielFotoPoto

      *quelle est la bibliothèque
      Désolé pour cette faute qui écorche les yeux dès le lundi matin ^^

    • http://www.nicolargo.com NicoLargo

      J’utilise le service en ligne: http://www.lovelycharts.com/

      A+

  • Scyrus87

    Slt Nico,

    Encore un très bon article que tu nous livre !
    Cependant, il y a une petite faute (de frappe je pense ;)) à la fin :


    interface FastEthernet0/1.2

    description VLAN du peuple

    encapsulation dot1Q 2

    ip address 192.168.1.254 255.255.255.0
    |-> ip address 192.168.2.254 255.255.255.0

    • http://www.nicolargo.com NicoLargo

      Effectivement :)
      C’est corrigé !

  • oliver0513

    Bonjour Nico,

    penses tu faire un prochain article concernant la mise en place d’un filtrage ? C’est simplement que je ne vois pas l’intérêt direct d’un routage inter VLAN sans.

    Cordialement,

    • http://www.nicolargo.com NicoLargo

      Le fait d’isoler des personnes dans des réseaux différents peut permettre par exemple de mettre une qualité de service différente au niveau de la liaison Internet ou bien d’appliquer des filtres sur les URLs sans avoir à mettre en place une authentification.

      Un article sur le filtrage Cisco. Pourquoi pas…

      • Scyrus87

        Je pense qu’il serait également intéressant de mettre un réseau supplémentaire branché sur ce même routeur. Ainsi,on pourrai montrer que l’on peut aussi propager nos 2 Vlans vers un site distant ou un bâtiment supplémentaire…

        L’idée de filtrage est sympa aussi ;)

  • raybones

    Tu peux directement router sur le catalyst 2960 si tu veux…^^
    http://blog.alwaysthenetwork.com/tutorials/2960s-can-route/
    Testé sur un 2960 en version IOS 15.0.1 (c2960-lanbasek9-mz.150-1.SE.bin).

  • Pingback: Cisco et le routage inter VLAN | Actualités de l'open source | Scoop.it

  • http://www.it-wars.com/ Vincent RABAH

    Salut Nico,

    Dans ma boite j’ai un réseau CISCO énorme avec un gros Catalyst 4506 et une 40ène de switch 2960G et 3750 + depuis quelques mois une poignée de Nexus :p

    J’ai une petite question : à quoi sert le routeur cisco dans ta conf ?

    • http://www.nicolargo.com NicoLargo

      Dans ma conf pas à grand chose car le routage peut être fait par le switch. Mais dans ma vraie vie c’est également ce routeur qui permet de faire le lien WAN vers Internet…

      • raybones

        Je précise tout de meme que le 2960 ne route pas nativement et surtout ne le fait qu’avec un IOS 12.2(55)SE minimum et que donc la configuration présentée par nicolargo (que l’on appelle aussi router on a stick) est un très bon moyen de se débrouiller quand vous n’avez pas de compte CCO…

  • http://www.it-wars.com Vincent RABAH

    Je sais je pourrai faire ça en 1 seul commentaire … Je te conseil d’ajouter les instructions suivantes sur chaque interface de ton switch :

    interface GigabitEthernet0/1
    switchport access vlan X
    switchport mode access
    >switchport nonegotiate
    >no ip igmp snooping tcn flood

    Le nonegotiate accélère l’obtention de l’adresse ip, car la négociation des vitesses de ports et de duplex sur les Cisco est lente ..
    Le no ip igmp snooping tcn flood : permet d’empêcher le flooding du réseau lorsqu’on fait du multicast et que des cables réseaux sont branchés/débranchés en permanence (comme c’est le cas dans mon entreprise qui utilise massivement du multicast pour la vidéo)

    Et donc, ma question précédente rejoint le message de raybones, le 2960 route :)

    A+

    • http://www.nicolargo.com NicoLargo

      Merci pour ces précisions, j’ajoute cela au billet :)

      • raybones

        une commande “no ip igmp snooping tcn flood” sur une conf de ce type je vois pas bien ce que ça viens faire… dans un billet parlant de configuration multicast routing sur des Catalyst 6500/4500 je viens bien… m’enfin là.

        • http://www.nicolargo.com NicoLargo

          C’est vrai que cela n’apporte rien au billet. Je supprime la ligne de la conf…

  • http://www.woueb.net Romain

    J’ajouterais que si tu as plus de 2 switchs, le Spanning-Tree rentre en compte, et que les ports utilisés en trunk pourraient être en : spanning-tree portfast trunk.

    • Ben

      Moi personnellement je ne conseil pas l’utilisation du spanning tree si tu fait bien ton architechture tu n’en a pas besoin.

      • Scyrus87

        Moi pour ma part, je suis pas trop d’accord avec toi car même si tu as bien configuré ton réseau, tu peux avoir un petit malin (ou un noob) qui branche un hub/switch sur ton réseau en fesant une boucle…

        Sans Spanning-Tree, tu fais quoi ? Ton réseau tombe à genou !

        • Topdam

          Il est conseillé dans ce cas d’utiliser le bpduguard : spanning tree portfast bpduguard default

      • http://www.woueb.net Romain

        Euuuuh…oui avec quelques petits switchs, et sans vouloir de redondance, effectivement, tu n’as pas besoin de spanning-tree.

        Mais comme le dit Scyrus87, même dans ce cas là, tu peux avoir des (gros) soucis si quelqu’un branche un câble où il faut pas (déjà vu en vrai, ça peut tuer un réseau en quelques secondes).

        • Scyrus87

          En effet Romain, le réseau tombe en quelques secondes voir minutes quand tu as une grosse architecture…

          Sans Spanning-Tree, difficile de voir d’où vient ton problème… Et tu peux chercher pendant des heures des fois avant de trouver la boucle (déjà vécu aussi malheureusement). Le STP permet de limiter la casse lorsque quelqu’une fait une boucle sur ton réseau. Après je suis pas un AS du STP mais tout le monde peut au moins activer le STP ou RSTP (car MSTP pas simple à configurer!)

          • raybones

            Si je peux me permettre, ne pas trouver utile le spanning-tree (quelque soit sa version), c’est avoir une vision étriquée… sur un réseau de 4/10 switchs, je veux bien (et encore), sur des réseaux qui nécessitent de la redondance et de la haute disponibilité sans spanning-tree.

            Et justement, après avoir “bien” fait ton architecture… si tu as bien fait ta configuration aussi… le spanning-tree bien configuré ça tourne comme il faut.

  • http://sltmonfrere.justeunequestion flicha111

    voila.deu reseaux lan .geographiquement distant.je veux relier les deux reseaux via internet .c du vlan par adresse ip je croit
    tu peux me donné la configuration des deux routeur.sachant que les deux lan contiennent 4 pc .merci

  • http://re flicha111

    slt c’est encore moi .si tu peux je te laisse mon adresse mail.je sais que t’as autre chose a faire que de m’aprendre des chose .mais je suis telement passionée .merci mon frère .meme si jai pas fait des etude poussé tkt pas je me debrouille bien

  • http://www.xcomengineering.com xcom

    bonsoir
    je souhaite avoir un conseil.
    j ai dans mon réseau un routeur 1841 et 3 switch 2960 lies entre elles et un serveur de voie sur asterisk.
    je souhaite pour une meilleur qualité de service diviser la voie des données et ensuite gerer la bande passante par utilisateurs .car j ai des casse pieds dans mon reseau. merci

  • gloglo31

    j’ai une question , a qui ca sert les vlan dans ce cas là ? pourquoi on met pas tous sur le meme reseau si les deux vlan se ping ?

    • http://blog.nicolargo.com/ Nicolas Hennion

      1) car c’est salle de metre deux réseau logique sur un réseau physique
      2) pour pouvoir ajouter facilement des règles de filtrage entre les deux réseaux

      • starzzz

        La principale raison, est de limiter le domaine de broadcast de chaque vlan qui ne franchie pas le niveau2

  • Arka

    Le nonegociate n’est pas nécessaire, il est utile uniquement entre switch utilisant le protocole DTP pour négocier un trunk automatiquement. Pour info ce modèle d’agrégation est appelé par cisco “Router-on-a-stick” si ça vous intéresse.

  • MOUB603

    Bonjour à tous,

    j’ai mon réseau qui rame,
    ma config: 1 switch 3750 qui le coeur de réseau; 5 switch catalyst 2960
    je n’ai qu’un seul Vlan.
    chaque switch à une adresse IP
    qu’est ce que je peut faire pour ralentir les broadcast?
    y a-t-il une config particulière à faire sur les switch?
    d’avance, merci pour votre aide

    • starzzz

      Créer plusieurs vlan pour limiter le domaine de broadcast