Objectif
Cet article fournit des instructions sur la configuration des paramètres de VLAN privé sur un commutateur de la gamme Cisco Business 350.
Périphériques pertinents | Version logicielle
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en dirigeant une diffusion sur un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données sur ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant le besoin d’acheminer des diffusions et des multidiffusions vers des destinations inutiles.
Un VLAN privé assure l’isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, contrairement au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer entre eux. Les ports d'un VLAN privé peuvent être situés n'importe où dans le réseau de couche 2, ce qui signifie qu'ils ne doivent pas nécessairement se trouver sur le même commutateur. Le VLAN privé est conçu pour recevoir le trafic non étiqueté ou étiqueté par priorité et pour transmettre le trafic non étiqueté.
Les types de ports suivants peuvent être membres d'un VLAN privé :
- Promiscuous : un port proche peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs.
- Communauté (hôte) : les ports de communauté peuvent définir un groupe de ports membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 des autres communautés et des ports isolés. Ces ports connectent les ports hôtes.
- Isolé (hôte) : un port isolé est complètement isolé de la couche 2 par rapport aux autres ports isolés et communautaires du même VLAN privé. Ces ports connectent les ports hôtes.
Le trafic hôte est envoyé sur des VLAN isolés et de communauté, tandis que le trafic du serveur et du routeur est envoyé sur le VLAN principal.
Configuration des paramètres de VLAN privé sur un commutateur
Important : Avant de poursuivre avec les étapes ci-dessous, assurez-vous que les VLAN ont été configurés sur le commutateur. Pour savoir comment configurer les paramètres VLAN sur votre commutateur, cliquez ici pour obtenir des instructions.
Étape 1. Connectez-vous à l’utilitaire Web et sélectionnez Avancé dans la liste déroulante Mode d’affichage.
Étape 2. Sélectionnez VLAN Management > Private VLAN Settings.
Étape 3. Cliquez sur le bouton Ajouter.
Étape 4. Dans la liste déroulante Primary VLAN ID, sélectionnez un VLAN à définir comme VLAN principal dans le VLAN privé. Le VLAN principal est utilisé pour permettre la connectivité de couche 2 entre les ports proches et les ports isolés et les ports de communauté.
Remarque : Dans cet exemple, l'ID de VLAN 10 est choisi.
Étape 5. Choisissez un ID de VLAN dans la liste déroulante Isolated VLAN ID. Un VLAN isolé est utilisé pour permettre aux ports isolés d'envoyer du trafic au VLAN principal.
Remarque : Dans cet exemple, l'ID de VLAN 20 est choisi.
Étape 6. Choisissez un ID de VLAN dans la zone Available Community VLANs, puis cliquez sur le bouton > pour déplacer les VLAN que vous voulez être des VLAN de communauté vers la liste Selected Community VLANs.
Remarque : Pour créer un sous-groupe de ports (communauté) dans un VLAN, les ports doivent être ajoutés à un VLAN de communauté. Le VLAN de communauté est utilisé pour activer la connectivité de couche 2 entre les ports de communauté et les ports proches et les ports de communauté de la même communauté. Il peut y avoir un VLAN de communauté unique pour chaque communauté et plusieurs VLAN de communauté peuvent coexister dans le système pour le même VLAN privé.
Remarque : Dans cet exemple, l'ID de VLAN 30 est choisi.
Étape 7. Cliquez sur Apply (appliquer), puis sur Close (fermer).
Étape 8. (Facultatif) Cliquez sur Save pour enregistrer les paramètres dans le fichier de configuration initiale.
Vous venez de configurer les paramètres de VLAN privé sur votre commutateur Cisco Business 350.
Vous recherchez plus d'informations sur les VLAN de vos commutateurs professionnels Cisco ? Pour plus d'informations, consultez l'un des liens suivants.
Squelette d'article avec contenu
Objectif
Cet article fournit des instructions sur la configuration des paramètres de VLAN privé sur un commutateur de la gamme Cisco Business 350.
Un VLAN privé assure l’isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, contrairement au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer entre eux. Les ports d'un VLAN privé peuvent être situés n'importe où dans le réseau de couche 2, ce qui signifie qu'ils ne doivent pas nécessairement se trouver sur le même commutateur. Le VLAN privé est conçu pour recevoir le trafic non étiqueté ou étiqueté par priorité et pour transmettre le trafic non étiqueté.
Périphériques pertinents | Version logicielle
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en dirigeant une diffusion sur un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données sur ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant le besoin d’acheminer des diffusions et des multidiffusions vers des destinations inutiles.
Remarque : Cliquez ici pour apprendre comment configurer les paramètres de VLAN sur votre commutateur à l’aide de l’utilitaire Web. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
Un domaine de VLAN privé se compose d’une ou de plusieurs paires de VLAN. Le VLAN principal constitue le domaine ; et chaque paire de VLAN constitue un sous-domaine. Les VLAN d’une paire sont appelés VLAN principal et VLAN secondaire. Toutes les paires de VLAN d’un VLAN privé ont le même VLAN principal. L'ID de VLAN secondaire est ce qui différencie un sous-domaine d'un autre.
Un domaine de VLAN privé n'a qu'un VLAN principal. Chaque port d'un domaine de VLAN privé est membre du VLAN principal ; le VLAN principal est le domaine VLAN privé entier.
Les VLAN secondaires permettent d’isoler les ports d’un même domaine de VLAN privé. Les deux types suivants sont des VLAN secondaires dans un VLAN principal :
- VLAN isolés : les ports d'un VLAN isolé ne peuvent pas communiquer directement entre eux au niveau de la couche 2.
- VLAN de communauté : les ports d'un VLAN de communauté peuvent communiquer entre eux mais ne peuvent pas communiquer avec les ports d'autres VLAN de communauté ou d'un VLAN isolé au niveau de la couche 2.
Dans un domaine VLAN privé, il existe trois désignations de port distinctes. Chaque désignation de port possède son propre ensemble de règles qui régit la capacité d'un point d'extrémité à communiquer avec d'autres points d'extrémité connectés au sein du même domaine VLAN privé. Les trois désignations de port sont les suivantes :
- Promiscuous : un port proche peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs.
- Communauté (hôte) : les ports de communauté peuvent définir un groupe de ports membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 des autres communautés et des ports isolés. Ces ports connectent les ports hôtes.
- Isolé (hôte) : un port isolé est complètement isolé de la couche 2 par rapport aux autres ports isolés et communautaires du même VLAN privé. Ces ports connectent les ports hôtes.
Le trafic hôte est envoyé sur des VLAN isolés et de communauté, tandis que le trafic du serveur et du routeur est envoyé sur le VLAN principal.
Pour configurer le VLAN privé à l’aide de l’utilitaire Web du commutateur, cliquez ici.
Configurer les paramètres de VLAN privé sur le commutateur via l’interface de ligne de commande
Créer un VLAN principal privé
Étape 1. Connectez-vous à la console du commutateur. Le nom d’utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d’utilisateur ou mot de passe, saisissez plutôt ces identifiants.
Les commandes peuvent varier en fonction du modèle exact de votre appareil.
Étape 2. Dans le mode d’exécution privilégié du commutateur, utilisez la commande suivante pour accéder au mode de configuration globale :
CBS350#configure
Étape 3. En mode de configuration globale, utilisez la commande suivante pour saisir le contexte de configuration d’interface :
CBS350(config)#interface [vlan-id]
- vlan-id : indique l'ID de VLAN à configurer.
Étape 4. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé principal en saisissant ce qui suit :
CBS350(config-if)#private-vlan primary
Par défaut, aucun VLAN privé n’est configuré sur le commutateur.
Important : Veillez à respecter les consignes suivantes lors de la configuration d'un VLAN privé :
- Le type de VLAN ne peut pas être modifié si un port de VLAN privé est membre du VLAN.
- Le type de VLAN ne peut pas être modifié s'il est associé à d'autres VLAN privés.
- Le type de VLAN n'est pas conservé en tant que propriété du VLAN lorsque celui-ci est supprimé.
Étape 5. (Facultatif) Pour rétablir la configuration normale du VLAN, entrez la commande suivante :
CBS350(config-if)#no private-vlan
Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, entrez la commande suivante :
CBS350(config-if)#end
Étape 7. (Facultatif) Dans le mode d’exécution privilégié du commutateur, exécutez la commande suivante pour enregistrer les paramètres configurés dans le fichier de configuration de démarrage :
CBS350#copy running-config startup-config
Étape 8. (Facultatif) Appuyez sur Y pour Yes (oui) ou sur N pour No (non) sur le clavier lorsque l’invite « Overwrite file [startup-config]… » s’affiche.
Vous venez de créer le VLAN principal sur votre commutateur via l'interface de ligne de commande.
Créer un VLAN secondaire
Étape 1. Dans le mode d’exécution privilégié du commutateur, utilisez la commande suivante pour accéder au mode de configuration globale :
CBS350#configure
Étape 2. En mode de configuration globale, utilisez la commande suivante pour saisir le contexte de configuration d’interface :
CBS350(config)#interface [vlan-id]
Étape 3. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé secondaire en entrant ce qui suit :
CBS350(config-if)#private-vlan [community | isolated]
Les options sont les suivantes :
- community : désigne le VLAN en tant que VLAN de communauté.
- isolé - Désignez le VLAN comme VLAN isolé.
Étape 4. (Facultatif) Répétez les étapes 2 et 3 pour configurer un VLAN secondaire supplémentaire pour votre VLAN privé.
Étape 5. (Facultatif) Pour rétablir la configuration normale du VLAN, entrez la commande suivante :
CBS350(config-if)#no private-vlan
Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, entrez la commande suivante :
CBS350(config-if)#end
Vous venez de créer des VLAN secondaires sur votre commutateur via l'interface de ligne de commande.
Associez le VLAN secondaire au VLAN privé principal
Étape 1. Dans le mode d’exécution privilégié du commutateur, utilisez la commande suivante pour accéder au mode de configuration globale :
CBS350#configure
Étape 2. Entrez le contexte de configuration de l’interface VLAN du VLAN principal en entrant ce qui suit :
CBS350(config)#vlan [primary-vlan-id]
Étape 3. Pour configurer l’association entre le VLAN principal et les VLAN secondaires, entrez la commande suivante :
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
Les options sont les suivantes :
- add secondary-vlan-list : liste des ID de VLAN de type secondaire à ajouter à un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espace. Utilisez un trait d’union pour désigner une plage d’ID. Il s'agit de l'action par défaut.
- remove secondary-vlan-list : liste des ID de VLAN de type secondaire pour supprimer l'association d'un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espace. Utilisez un trait d’union pour désigner une plage d’ID.
Étape 4. Pour revenir au mode d’exécution privilégié du commutateur, entrez la commande suivante :
CBS350(config-if)#end
Vous avez maintenant correctement associé les VLAN secondaires au VLAN privé principal sur votre commutateur via l'interface de ligne de commande.
Configuration des ports sur les VLAN privés principal et secondaire
Étape 1. Dans le mode d’exécution privilégié du commutateur, utilisez la commande suivante pour accéder au mode de configuration globale :
CBS350#configure
Étape 2. En mode de configuration globale, utilisez la commande suivante pour saisir le contexte de configuration d’interface :
CBS350(config)#interface [interface-id | range vlan vlan-range]
Les options sont les suivantes :
- interface-id – Spécifie un ID d’interface à configurer.
- range vlan vlan-range – Spécifie une liste de VLAN. Séparez les VLAN non consécutifs par une virgule et sans espace. Utilisez un tiret pour désigner une plage de VLAN.
Étape 3. Dans le contexte de la configuration de l’interface, utilisez la commande switchport mode pour configurer le mode d’appartenance au VLAN.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous : spécifie un port promiscuous de VLAN privé. Si cette option est utilisée, passez à l'étape 5.
- host : spécifie un port hôte de VLAN privé. Si cette option est utilisée, passez à l'étape 6.
Étape 4. (Facultatif) Pour rétablir la configuration par défaut du port ou de la plage de ports, entrez la commande suivante :
CBS350(config-if-range)#no switchport mode
Étape 5. Pour configurer l’association d’un port proche avec les VLAN principal et secondaire du VLAN privé, entrez la commande suivante :
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
Les options sont les suivantes :
- primary-vlan-id : spécifie l'ID de VLAN du VLAN principal.
- secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.
Étape 6. Pour configurer l’association d’un port hôte avec les VLAN principal et secondaire du VLAN privé, entrez la commande suivante :
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
Les options sont les suivantes :
- primary-vlan-id : spécifie l'ID de VLAN du VLAN principal.
- secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.
Étape 7. Utilisez la commande suivante pour quitter le contexte de configuration d’interface :
CBS350(config-if-range)#exit
Étape 8. (Facultatif) Répétez les étapes 2 à 7 pour configurer des ports hôte et de proximité et les affecter aux VLAN privés principaux et secondaires correspondants.
Étape 9. Utilisez la commande end pour revenir au mode d’exécution privilégié :
CBS350(config-if)#end
Étape 10. (Facultatif) Pour vérifier les réseaux locaux virtuels privés configurés sur votre commutateur, entrez la commande suivante :
CBS350#show vlan private-vlan tag[vlan-id]
Étape 11. (Facultatif) Dans le mode d’exécution privilégié du commutateur, exécutez la commande suivante pour enregistrer les paramètres configurés dans le fichier de configuration de démarrage :
CBS350#copy running-config startup-config
Étape 12. (Facultatif) Appuyez sur Y pour Yes (oui) ou sur N pour No (non) sur le clavier lorsque l’invite « Overwrite file [startup-config]… » s’affiche.
Vous avez maintenant correctement configuré l'association des ports hôte et de proximité avec les VLAN privés principal et secondaire sur votre commutateur via l'interface de ligne de commande.
Vous recherchez plus d'informations sur les VLAN de vos commutateurs professionnels Cisco ? Pour plus d'informations, consultez l'un des liens suivants.
Commentaires