Configurer les paramètres d’appartenance à un VLAN privé sur un commutateur via l’interface de ligne de commande

Introduction

Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en désignant une diffusion à un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données de ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant la nécessité d’envoyer des diffusions et des multidiffusions vers des destinations inutiles.

Note: Pour savoir comment configurer les paramètres VLAN de votre commutateur via l'utilitaire Web, cliquez ici. Pour obtenir des instructions basées sur l'interface de ligne de commande, cliquez ici.

Un domaine de VLAN privé se compose d’une ou plusieurs paires de VLAN. Le VLAN principal constitue le domaine ; et chaque paire de VLAN constitue un sous-domaine. Les VLAN d’une paire sont appelés VLAN principal et VLAN secondaire. Toutes les paires de VLAN d’un VLAN privé ont le même VLAN principal. L'ID de VLAN secondaire est ce qui différencie un sous-domaine d'un autre.

Un domaine de VLAN privé n'a qu'un VLAN principal. Chaque port d'un domaine de VLAN privé est membre du VLAN principal ; le VLAN principal est le domaine VLAN privé entier.

Les VLAN secondaires assurent l’isolation entre les ports d’un même domaine de VLAN privé. Les deux types suivants sont des VLAN secondaires dans un VLAN principal :

• VLAN isolés : les ports d'un VLAN isolé ne peuvent pas communiquer directement entre eux au niveau de la couche 2.
• VLAN de communauté : les ports d'un VLAN de communauté peuvent communiquer entre eux, mais ne peuvent pas communiquer avec les ports d'autres VLAN de communauté ou de n'importe quel VLAN isolé au niveau de la couche 2.

Dans un domaine VLAN privé, il existe trois désignations de port distinctes. Chaque désignation de port a son propre ensemble de règles qui régit la capacité d'un point de terminaison à communiquer avec d'autres points de terminaison connectés dans le même domaine de VLAN privé. Les trois désignations de port sont les suivantes :

• Promiscuité : un port proche peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs.
• Communauté (hôte) : les ports de la communauté peuvent définir un groupe de ports membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 d’autres communautés et de ports isolés. Ces ports connectent les ports hôtes.
• Isolé (hôte) : un port isolé est complètement isolé de la couche 2 des autres ports isolés et communautaires du même VLAN privé. Ces ports connectent les ports hôtes.

Le trafic hôte est envoyé sur des VLAN isolés et communautaires, tandis que le trafic serveur et routeur est envoyé sur le VLAN principal.

Objectif

Un VLAN privé assure l’isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, par opposition au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer entre eux. Les ports d’un VLAN privé peuvent être situés n’importe où dans le réseau de couche 2, ce qui signifie qu’ils ne doivent pas nécessairement se trouver sur le même commutateur. Le VLAN privé est conçu pour recevoir le trafic non étiqueté ou marqué par priorité et transmettre le trafic non étiqueté.

Cet article explique comment configurer les paramètres de VLAN privé sur un commutateur.

Note: Pour configurer le VLAN privé à l'aide de l'utilitaire Web du commutateur, cliquez ici.

Périphériques pertinents

• Série Sx300
• Gamme Sx350
• Gamme SG350X
• Série Sx500
• Gamme Sx550X

Version du logiciel

• 1.4.7.06 - Sx300, Sx500
• 2.2.8.04 - Sx350, SG350X, Sx550X

Configurer les paramètres de VLAN privé sur le commutateur via l’interface de ligne de commande

Créer un VLAN principal privé

Étape 1. Connectez-vous à la console du commutateur. Le nom d'utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, saisissez plutôt les informations d'identification.

Note: Les commandes peuvent varier en fonction du modèle exact de votre commutateur. Dans cet exemple, le commutateur SG350X est accessible via Telnet.

Étape 2. À partir du mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 3. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :

• vlan-id : spécifie l'ID de VLAN à configurer.

Note: Dans cet exemple, VLAN 2 est utilisé.

Étape 4. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé principal en entrant les informations suivantes :

Note: Par défaut, aucun VLAN privé n’est configuré sur le commutateur.

Important : Veillez à respecter les consignes suivantes lors de la configuration d’un VLAN privé :

• Le type de VLAN ne peut pas être modifié s'il existe un port VLAN privé membre dans le VLAN.
• Le type de VLAN ne peut pas être modifié s'il est associé à d'autres VLAN privés.
• Le type de VLAN n'est pas conservé comme propriété du VLAN lorsque le VLAN est supprimé.

Étape 5. (Facultatif) Pour rétablir la configuration VLAN normale, saisissez ce qui suit :

Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :

Étape 7. (Facultatif) Dans le mode d’exécution privilégié du commutateur, enregistrez les paramètres configurés dans le fichier de configuration initiale, en saisissant ce qui suit :

Étape 8. (Facultatif) Appuyez sur Y pour Oui ou N pour Non sur votre clavier une fois que l'invite Overwrite file [startup-config]... s'affiche.

Vous devez maintenant avoir créé le VLAN principal sur votre commutateur via l'interface de ligne de commande.

Créer un VLAN secondaire

Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 2. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :

Note: Dans cet exemple, VLAN 10 est utilisé.

Étape 3. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé secondaire en entrant les informations suivantes :

Les options sont les suivantes :

• community : désigne le VLAN en tant que VLAN de communauté.
• isolé : désigne le VLAN comme un VLAN isolé.

Note: Dans cet exemple, le VLAN 10 est configuré en tant que VLAN isolé.

Étape 4. (Facultatif) Répétez les étapes 2 et 3 pour configurer un VLAN secondaire supplémentaire pour votre VLAN privé.

Note: Dans cet exemple, VLAN 20 et VLAN 30 sont configurés en tant que VLAN de communauté.

Étape 5. (Facultatif) Pour rétablir la configuration VLAN normale, saisissez ce qui suit :

Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :

Vous devez maintenant avoir créé des VLAN secondaires sur votre commutateur via l'interface de ligne de commande.

Associer le VLAN secondaire au VLAN privé principal

Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 2. Entrez le contexte de configuration d’interface VLAN du VLAN principal en saisissant les informations suivantes :

Note: Dans cet exemple, le VLAN principal est le VLAN 2.

Étape 3. Pour configurer l'association entre le VLAN principal et les VLAN secondaires, saisissez ce qui suit :

Les options sont les suivantes :

• add-secondary-vlan-list — Liste des ID de VLAN de type secondaire à ajouter à un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espaces. Utilisez un tiret pour désigner une plage d'ID. Il s'agit de l'action par défaut.
• remove secondary-vlan-list — Liste des ID de VLAN de type secondaire pour supprimer l'association d'un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espaces. Utilisez un tiret pour désigner une plage d'ID.

Note: Dans cet exemple, les VLAN secondaires 10, 20 et 30 sont ajoutés au VLAN principal.

Étape 4. Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :

Vous devez maintenant avoir correctement associé les VLAN secondaires au VLAN privé principal de votre commutateur via l'interface de ligne de commande.

Configurer les ports sur les VLAN privés principal et secondaire

Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 2. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :

Les options sont les suivantes :

• interface-id : spécifie un ID d'interface à configurer.
• range vlan vlan-range : spécifie une liste de VLAN. Séparez les VLAN non consécutifs par une virgule et sans espace. Utilisez un tiret pour désigner une plage de VLAN.

Note: Dans cet exemple, une interface ge1/0/10 est entrée.

Étape 3. Dans le contexte de configuration d'interface, utilisez la commande switchport mode pour configurer le mode d'appartenance VLAN.

• promiscuous : spécifie un port de promiscuité VLAN privé. Si cette option est utilisée, passez à l'étape 5.
• host : spécifie un port hôte VLAN privé. Si cette option est utilisée, passez à l'étape 6.

Note: Dans cet exemple, le port est défini comme proche.

Étape 4. (Facultatif) Pour rétablir la configuration par défaut du port ou de la plage de ports, saisissez ce qui suit :

Étape 5. Pour configurer l'association d'un port proche avec les VLAN principal et secondaire du VLAN privé, saisissez ce qui suit :

Les options sont les suivantes :

• primary-vlan-id : spécifie l'ID de VLAN du VLAN principal.
• secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.

Note: Dans cet exemple, l'interface promiscuité est mappée au VLAN principal 2 et ajoutée au VLAN secondaire 30.

Étape 6. Pour configurer l'association d'un port hôte avec les VLAN principal et secondaire du VLAN privé, saisissez ce qui suit :

Les options sont les suivantes :

• primary-vlan-id : spécifie l'ID de VLAN du VLAN principal.
• secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.

Note: Dans cet exemple, la plage d'interface hôte 40 à 45 est mappée au VLAN principal 2 et ajoutée au VLAN secondaire 20.

Étape 7. Pour quitter le contexte de configuration d'interface, saisissez ce qui suit :

Étape 8. (Facultatif) Répétez les étapes 2 à 7 pour configurer des ports hôtes et plus proches et affecter les VLAN privés principal et secondaire correspondants.

Note: Dans cet exemple, la plage d'interface hôte 36 à 39 est mappée au VLAN principal 2 et ajoutée au VLAN secondaire 10.

Étape 9. Entrez la commande end pour revenir au mode d’exécution privilégié :

Étape 10. (Facultatif) Pour vérifier les VLAN privés configurés sur votre commutateur, saisissez ce qui suit :

Étape 11. (Facultatif) Dans le mode d’exécution privilégié du commutateur, enregistrez les paramètres configurés dans le fichier de configuration initiale, en saisissant ce qui suit :

Étape 12. (Facultatif) Appuyez sur Y pour Oui ou N pour Non sur votre clavier une fois que l'invite Overwrite file [startup-config]... s'affiche.

Vous devez maintenant avoir correctement configuré l'association de ports hôtes et de ports proches avec des VLAN privés principal et secondaire sur votre commutateur via l'interface de ligne de commande.