Objectif
Cet article fournit des instructions sur la configuration de groupes basés sur MAC sur un commutateur.
Périphériques pertinents | Version logicielle
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en dirigeant une diffusion sur un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données sur ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant le besoin d’acheminer des diffusions et des multidiffusions vers des destinations inutiles.
Les périphériques réseau sur lesquels plusieurs protocoles sont exécutés ne peuvent pas être regroupés dans un VLAN commun. Les périphériques non standard sont utilisés pour acheminer le trafic entre différents VLAN afin d'inclure les périphériques participant à un protocole spécifique. Pour cette raison, l'utilisateur ne peut pas tirer parti des nombreuses fonctionnalités du VLAN.
Les groupes VLAN sont utilisés pour équilibrer la charge du trafic sur un réseau de couche 2. Les paquets sont distribués en fonction de différentes classifications et sont attribués à des VLAN. Il existe de nombreuses classifications différentes et si plusieurs schémas de classification sont définis, les paquets sont affectés au VLAN dans l'ordre suivant :
- Tag : le numéro de VLAN est reconnu à partir de la balise.
- VLAN basé sur MAC : le VLAN est reconnu à partir du mappage MAC (Media Access Control) vers VLAN source de l'interface d'entrée.
- Subnet-Based VLAN : le VLAN est reconnu à partir du mappage de sous-réseau à VLAN source de l'interface d'entrée. Pour savoir comment configurer cette fonctionnalité, cliquez ici pour obtenir des instructions.
- Protocol-Based VLAN : le VLAN est reconnu à partir du mappage de type Ethernet Protocol-to-VLAN de l'interface d'entrée.
- PVID : le VLAN est reconnu à partir de l'ID de VLAN par défaut du port.
La classification VLAN basée sur MAC permet de classer les paquets en fonction de leur adresse MAC source. Vous pouvez ensuite définir le mappage MAC vers VLAN par interface. Vous pouvez également définir plusieurs groupes VLAN basés sur MAC, chaque groupe contenant des adresses MAC différentes. Ces groupes basés sur MAC peuvent être attribués à des ports ou LAG spécifiques. Les groupes VLAN basés sur MAC ne peuvent pas contenir de plages d’adresses MAC se chevauchant sur le même port.
Configurer des groupes VLAN basés sur MAC sur le commutateur
Ajouter un groupe VLAN basé sur MAC
Étape 1
Connectez-vous à l'utilitaire Web et choisissez Advanced dans la liste déroulante Display Mode.
Étape 2
Choisissez VLAN Management > VLAN Groups > MAC-Based Groups.
Les options de menu offertes peuvent varier en fonction du modèle exact de l’appareil.
Étape 3
Dans la table des groupes basés sur MAC, cliquez sur l'icône plus.
Étape 4
Saisissez l'adresse MAC à attribuer à un groupe VLAN. Cette adresse MAC ne peut pas être attribuée à un autre groupe VLAN.
Cochez la case d'option correspondant à la méthode que vous souhaitez utiliser pour définir le masque de préfixe. Le masque de préfixe examine un certain nombre de bits, puis attribue l’adresse MAC à un groupe de VLAN.
Les options sont les suivantes :
- Hôte : l'adresse MAC complète est examinée et placée dans un groupe. Vous ne pouvez regrouper les adresses MAC qu'une par une lorsque vous utilisez l'hôte. Si cette option est choisie, passez à l’étape 5.
- Longueur : seule une section de l'adresse MAC est examinée (de gauche à droite), puis placée dans un groupe. Plus le nombre de longueurs est faible, moins il y a de bits à examiner. Cela signifie que vous pouvez attribuer un grand nombre d'adresses MAC à un groupe de VLAN à la fois. Si cette option est sélectionnée, entrez la longueur du masque de préfixe dans le champ Longueur.
Dans le champ Group ID, entrez un ID pour identifier le groupe VLAN basé sur MAC.
Étape 5
Étape 7. Cliquez sur Apply (appliquer), puis sur Close (fermer).
Étape 6
Cliquez sur Save pour enregistrer les paramètres dans le fichier de configuration initiale.
Vous devez maintenant avoir ajouté un groupe VLAN basé sur MAC sur votre commutateur.
Supprimer un groupe de VLAN basé sur MAC
Étape 1
Cliquez sur VLAN Management.
Étape 2
Choisissez VLAN Groups > MAC-Based Groups.
Étape 3
Dans la table des groupes basés sur MAC, cochez la case en regard du groupe VLAN basé sur MAC que vous souhaitez supprimer. Cliquez sur l'icône de corbeille à supprimer.
Étape 4
Cliquez sur Save pour enregistrer les paramètres dans le fichier de configuration initiale.
Le groupe VLAN basé sur MAC doit maintenant être supprimé de votre commutateur.
Vous devez maintenant avoir configuré des groupes VLAN basés sur MAC sur votre commutateur. Pour savoir comment mapper des groupes basés sur MAC à un VLAN, cliquez ici pour obtenir des instructions.
Squelette d'article avec contenu
Objectif
Cet article fournit des instructions sur la configuration de groupes basés sur MAC sur un commutateur de la gamme Cisco Business 350 via l'interface de ligne de commande (CLI).
Périphériques pertinents | Version logicielle
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en dirigeant une diffusion sur un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données sur ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant le besoin d’acheminer des diffusions et des multidiffusions vers des destinations inutiles.
Cliquez ici pour apprendre comment configurer les paramètres de VLAN sur votre commutateur à l’aide de l’utilitaire Web. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
Les périphériques réseau sur lesquels plusieurs protocoles sont exécutés ne peuvent pas être regroupés dans un VLAN commun. Les périphériques non standard sont utilisés pour acheminer le trafic entre différents VLAN afin d'inclure les périphériques participant à un protocole spécifique. Pour cette raison, vous ne pouvez pas tirer parti des nombreuses fonctionnalités du VLAN.
Les groupes VLAN sont utilisés pour équilibrer la charge du trafic sur un réseau de couche 2. Les paquets sont distribués en fonction de différentes classifications et sont attribués à des VLAN. Il existe de nombreuses classifications différentes et si plusieurs schémas de classification sont définis, les paquets sont affectés au VLAN dans l'ordre suivant :
- Tag : le numéro de VLAN est reconnu à partir de la balise.
- VLAN basé sur MAC : le VLAN est reconnu à partir du mappage MAC (Media Access Control) vers VLAN source de l'interface d'entrée.
- VLAN basé sur les sous-réseaux : le VLAN est reconnu à partir du mappage sous-réseau vers VLAN source de l'interface d'entrée.
- VLAN basé sur le protocole : le VLAN est reconnu à partir du mappage de type Ethernet entre le protocole et le VLAN de l'interface d'entrée.
- PVID : le VLAN est reconnu à partir de l'ID de VLAN par défaut du port.
La classification VLAN basée sur MAC permet de classer les paquets en fonction de leur adresse MAC source. Vous pouvez ensuite définir le mappage MAC vers VLAN par interface. Vous pouvez également définir plusieurs groupes VLAN basés sur MAC, chaque groupe contenant des adresses MAC différentes. Ces groupes basés sur MAC peuvent être attribués à des ports ou LAG spécifiques. Les groupes VLAN basés sur MAC ne peuvent pas contenir de plages d’adresses MAC se chevauchant sur le même port.
Le transfert de paquets en fonction des adresses MAC des périphériques nécessite la configuration de groupes d’adresses MAC, puis le mappage de ces groupes sur des VLAN. Vous pouvez configurer jusqu'à 256 adresses MAC, hôte ou plage, qui peuvent être mappées à un ou plusieurs groupes VLAN basés sur MAC.
Pour configurer des groupes VLAN sur votre commutateur, procédez comme suit :
1. Créez les VLAN. Cliquez ici pour apprendre comment configurer les paramètres de VLAN sur votre commutateur à l’aide de l’utilitaire Web. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
2. Configurez les interfaces vers les VLAN. Cliquez ici pour obtenir des instructions sur la façon d’attribuer des interfaces aux VLAN à l’aide de l’utilitaire Web de votre commutateur. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
Si l'interface n'appartient pas au VLAN, le paramètre de configuration des groupes basés sur MAC vers le VLAN ne prend pas effet.
3. Configurez des groupes VLAN basés sur MAC sur votre commutateur. Pour obtenir des instructions sur la configuration des groupes VLAN basés sur MAC via l'utilitaire Web de votre commutateur, cliquez ici.
4. (Facultatif) Vous pouvez également configurer les éléments suivants :
- Présentation des groupes de VLAN basés sur le sous-réseau – Cliquez ici pour obtenir des instructions sur la configuration des groupes de VLAN basés sur le sous-réseau à l’aide de l’utilitaire Web de votre commutateur. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
- Présentation des groupes de VLAN basés sur le protocole – Cliquez ici pour obtenir des instructions sur la configuration des groupes de VLAN basés sur le protocole à l’aide de l’utilitaire Web de votre commutateur. Cliquez ici pour obtenir des instructions basées sur l’interface de ligne de commande.
Configurer des groupes VLAN basés sur MAC sur le commutateur via l'interface de ligne de commande
Créer un groupe de VLAN basé sur MAC
Étape 1
Connectez-vous à la console du commutateur. Le nom d’utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d’utilisateur ou mot de passe, saisissez plutôt ces identifiants.
Les commandes peuvent varier en fonction du modèle exact de votre appareil.
Étape 2
Dans le mode d’exécution privilégié du commutateur, utilisez la commande suivante pour accéder au mode de configuration globale :
CBS350#configure
Étape 3
En mode de configuration globale, configurez une règle de classification basée sur MAC en saisissant ce qui suit :
CBS350(config)#vlan database
Étape 4
Pour mapper une adresse MAC ou une plage d'adresses MAC à un groupe d'adresses MAC, saisissez les informations suivantes :
CBS350(config-vlan)#map mac[mac-address][prefic-mask|host]macs-group [group-id]
Les options sont les suivantes :
- mac-address : spécifie l'adresse MAC à mapper au groupe VLAN. Cette adresse MAC ne peut pas être attribuée à un autre groupe VLAN.
- prefix-mask - Spécifie le préfixe de l'adresse MAC. Seule une section de l’adresse MAC est examinée (de gauche à droite), puis placée dans un groupe. Plus le nombre de longueurs est faible, moins il y a de bits à examiner. Cela signifie que vous pouvez attribuer un grand nombre d'adresses MAC à un groupe de VLAN à la fois.
- host : spécifie l'hôte source de l'adresse MAC. L’adresse MAC 48 bits est examinée et mise dans un groupe.
- group-id - Spécifie le numéro de groupe à créer. L'ID de groupe peut être compris entre un et 2147483647.
Étape 5
Pour quitter le contexte de configuration d'interface, saisissez ce qui suit :
CBS350(config-vlan)#exit
Vous avez maintenant configuré les groupes VLAN basés sur MAC sur votre commutateur via l'interface de ligne de commande.
Mapper un groupe de VLAN basé sur MAC à un VLAN
Étape 1
En mode de configuration globale, utilisez la commande suivante pour saisir le contexte de configuration d’interface :
CBS350#interface [interface-id|range interface-range]
Les options sont les suivantes :
- interface-id – Spécifie un ID d’interface à configurer.
- range interface-range - Spécifie une liste de VLAN. Séparez les VLAN non consécutifs par une virgule et sans espace. Utilisez un tiret pour désigner une plage de VLAN.
Étape 2
Dans le contexte de configuration d'interface, utilisez la commande switchport mode pour configurer le mode d'appartenance VLAN :
CBS350(config-if)#switchport mode general
- Général : l'interface peut prendre en charge toutes les fonctions définies dans la spécification IEEE 802.1q. L'interface peut être un membre balisé ou non balisé d'un ou plusieurs VLAN.
Étape 3 (facultative)
Pour rétablir le VLAN par défaut du port, entrez la commande suivante :
CBS350(config-if)#no switchport mode general
Étape 4
Pour configurer une règle de classification basée sur MAC, saisissez les informations suivantes :
CBS350(config-if)#switchport general map macs-group[group]vlan[vlan-id]
Les options sont les suivantes :
- group - Spécifie l'ID de groupe basé sur MAC pour filtrer le trafic via le port. La plage s’étend de un à 2147483647.
- vlan-id : spécifie l'ID de VLAN vers lequel le trafic du groupe VLAN est transféré. La plage s’étend de un à 4094.
Étape 5
Pour quitter le contexte de configuration d'interface, saisissez ce qui suit :
CBS350(config-if)#exit
Étape 6 (facultative)
Pour supprimer la règle de classification du port ou de la plage de ports, entrez la commande suivante :
CBS350(config-if)#no switchport general map mac-groups group
Étape 7 (facultative)
Répétez les étapes 1 à 6 pour configurer des ports plus généraux et les affecter aux groupes VLAN MAC correspondants.
Étape 8
Utilisez la commande end pour revenir au mode d’exécution privilégié :
CBS350(config-if-range)#end
Vous avez maintenant mappé des groupes de VLAN basés sur MAC aux VLAN de votre commutateur via l'interface de ligne de commande.
Afficher les groupes VLAN basés sur MAC
Étape 1
Étape 1. Pour afficher les adresses MAC qui appartiennent aux règles de classification MAC définies, entrez la commande suivante en mode d’exécution privilégié :
CBS350(config-if)#show vlan macs-groups
Étape 2 (facultative)
Pour afficher les règles de classification d'un port spécifique sur le VLAN, entrez la commande suivante :
CBS350(config-if)#show interfaces switchport [interface-id]
- interface-id : spécifie un ID d'interface.
Chaque mode de port possède sa propre configuration privée. La commande show interfaces switchport affiche toutes ces configurations, mais seule la configuration du mode de port qui correspond au mode de port actuel affiché dans la zone Mode d'administration est active.
Étape 3 (facultative)
Dans le mode d’exécution privilégié du commutateur, suivez ces instructions pour enregistrer les paramètres configurés dans le fichier de configuration de démarrage :
CBS350#copy running-config startup-config
Étape 4 (facultative)
Appuyez sur Y pour Yes ou sur N pour No sur votre clavier lorsque l'invite Overwrite file [startup-config]... apparaît.
Vous avez maintenant affiché les paramètres de configuration de port et de groupe VLAN basés sur MAC sur votre commutateur.
Pour procéder à la configuration des paramètres de groupe de VLAN sur votre commutateur, suivez les directives ci-dessus.
Commentaires