La leçon d'aujourd'hui sera consacrée à l'apprentissage avancé des VLAN. Avant de commencer, je vous rappelle encore une fois afin de ne pas oublier de partager ces vidéos avec des amis et d'aimer notre chaîne et groupe YouTube sur Facebook. Aujourd'hui, nous allons explorer trois sujets: VLAN natif, VTP (VLAN Trunk Protocol) et élagage VTP. Tout d'abord, rappelez-vous ce qu'est la jonction et touchez aux sujets des deux derniers didacticiels vidéo.
Ainsi, un tronc est une connexion que nous utilisons pour connecter un commutateur à un autre commutateur. Le VLAN est une technologie qui n'est applicable qu'aux commutateurs, cependant, tout appareil parlant le langage d'encapsulation et associé à un commutateur utilisant le protocole .1Q comprend tout ce qui concerne le VLAN. Les ordinateurs ne savent rien de cette technologie.
Dans la figure ci-dessus, PC1, PC2 et PC4 font partie du VLAN bleu, comme vous vous en souvenez de la leçon précédente, il s'agit du VLAN10. La ligne elle-même, indiquée en bleu, n'a rien à voir avec le VLAN, car le VLAN ne touche que le port du commutateur. Ainsi, les deux ports du commutateur gauche appartiennent à VLAN10 et tout trafic entrant ou sortant est associé uniquement à ce réseau. Le commutateur sait que le trafic sur ces ports bleus n'a rien à voir avec le port rouge, car ce sont deux lignes virtuelles différentes.
Le VLAN est un concept pour les commutateurs, donc chaque commutateur prend en charge la création et le stockage d'une base de données de réseaux virtuels. Il s'agit d'un tableau qui indique quel port correspond à un VLAN spécifique. Ainsi, si le commutateur reçoit du trafic pour PC1, il vérifie si ce trafic fait partie du VLAN10 et le transmet à l'ordinateur. Si le trafic provenant de PC1 est destiné à PC4, le commutateur l'acheminera via la jonction SW1-SW2. Dès que le trafic entre dans le port de jonction du premier commutateur, il fournit à la trame l'en-tête VLAN TAG, qui contient l'ID de VLAN, dans notre cas, il est de 10. Après avoir reçu ce trafic, le deuxième commutateur lit les informations de trame, voit qu'il s'agit du trafic VLAN10 et l'achemine au port bleu pour PC4.
Ainsi, la jonction est le processus de transfert de trafic entre deux commutateurs, et les VLAN TAGS sont des en-têtes de trame qui identifient un réseau virtuel spécifique et indiquent vers quel réseau ce trafic doit être dirigé. Si par erreur le trafic bleu arrive à l'ordinateur par la ligne rouge, il ne saura même pas le lire. C'est comme si quelqu'un parlait une langue étrangère avec une personne qui ne connaissait pas cette langue. Ainsi, l'ordinateur est complètement incapable de reconnaître les balises VLAN. L'ordinateur PC3 est connecté au commutateur via le port d'accès, et le trafic que nous avons mentionné ne peut être envoyé que via le port de jonction.
Ce sont toutes des caractéristiques du 2e niveau du modèle OSI auquel appartiennent les commutateurs. Afin de mieux comprendre l'essence du VLAN et des balises, nous devons penser comme un commutateur. Supposons qu'un interrupteur soit une pièce avec 5 personnes et que vous êtes le propriétaire de cette pièce. Trois personnes sous les numéros 1, 2 et 4 appartiennent au même groupe, et deux personnes sous les numéros 3 et 5 appartiennent à l'autre, et votre devoir est de vous assurer que seules les personnes appartenant au même groupe peuvent se parler.
Nous poursuivons la discussion sur le concept de VLAN natif. Comme déjà mentionné, chaque port de commutateur est associé à un VLAN spécifique.
Par exemple, deux ports du premier commutateur sont connectés à VLAN10, un troisième port d'accès est avec VLAN20 et le quatrième est un port de jonction. De la même manière, SW2 est connecté à PC4 via le port VLAN10, à PC5 via le port d'accès VLAN20 et au concentrateur via le port trunk. Cependant, nous avons un problème - les commutateurs sont chers, donc un schéma est souvent utilisé dans lequel deux commutateurs sont connectés l'un à l'autre via un concentrateur. Deux commutateurs sont connectés au concentrateur à l'aide de lignes réseau, mais le concentrateur lui-même ne sait rien du concept de VLAN, il copie simplement le signal. Comme nous l'avons déjà dit, si le trafic VLAN est envoyé directement à l'ordinateur, il le supprimera, car il ne comprend pas de quoi il s'agit. Comment gérer un ordinateur PC6 directement connecté au concentrateur s'il veut établir une connexion avec l'ordinateur PC4?
PC6 envoie le trafic qui va au commutateur SW2. Ayant reçu ce trafic, le commutateur voit que la trame n'a pas de balise VLAN et ne sait pas à quel réseau l'envoyer - VLAN10 ou VLAN20. Dans ce cas, Cisco a créé une technologie appelée VLAN natif et, par défaut, VLAN1 est VLAN natif.
Supposons que nous ayons un autre ordinateur, je vais le dessiner sur le commutateur SW2, et ce PC est connecté au commutateur via le port VLAN1. Le même ordinateur est situé au-dessus de SW1 et lui est également connecté via VLAN1. Je vais dessiner un autre ordinateur sous le bon interrupteur.
Deux ordinateurs connectés au commutateur SW2 via VLAN1 peuvent communiquer entre eux, mais ne peuvent pas communiquer avec d'autres ordinateurs. Lorsqu'un commutateur reçoit du trafic non balisé via une jonction, il considère que ce trafic est adressé à VLAN1, ou VLAN natif, et le transmet aux ordinateurs connectés aux ports VLAN1. De même, lorsqu'un commutateur reçoit du trafic PC6 non balisé, il adresse son réseau VLAN1.
Que se passe-t-il si nous avons un téléphone IP Cisco sur la ligne rouge du VLAN20 qui est connecté au PC5 et au commutateur SW2? Il s'agit d'une disposition typique de l'équipement de réseau de bureau. Dans ce cas, le concept VLAN natif est également utilisé. Comme je l'ai dit, l'ordinateur ne sait pas ce qu'est un VLAN et le téléphone le sait. La question est de savoir si nous pouvons envoyer des données et de la voix sur le même VLAN. C'est une situation très dangereuse, car si l'ordinateur est sur la même ligne de communication avec le téléphone IP, le pirate peut facilement se connecter à un tel canal de communication et utiliser Wireshark pour intercepter les paquets vocaux. Il peut ensuite convertir ces paquets vocaux en un fichier audio et écouter n'importe quelle conversation téléphonique. Par conséquent, dans la pratique, le trafic voix et données n'est jamais transmis sur le même VLAN. Comment cela peut-il être mis en place?
Nous transformons le port auquel le téléphone IP est connecté en port de jonction, et nous pensons que tout trafic passant par ce port est du trafic vocal VLAN30. Tout téléphone IP Cisco utilise le protocole d'encapsulation 802.1q, communément appelé .1Q ou Dot 1Q. Ainsi, lorsque le trafic provenant du téléphone tombe dans le port correspondant, le commutateur comprend qu'il s'agit du trafic vocal VLAN30. Nous devons avoir un autre téléphone connecté au commutateur SW, qui fait également partie du VLAN30.
Que se passe-t-il dans ce cas avec un ordinateur PC4 connecté au commutateur via le port d'accès? Après tout, tout le trafic que cet ordinateur échange avec le commutateur appartient au VLAN10 bleu. Cependant, PC5 est connecté au commutateur via un tronc, et pour le tronc, nous ne configurons aucun VLAN! Dans ce cas, le port fonctionne en mode jonction, pas en mode accès, nous ne pouvons donc pas utiliser la commande switchport access VLAN #. Il utilise le même concept que dans le cas de PC6 - si le commutateur reçoit du trafic non balisé, il l'achemine vers le port VLAN natif, par défaut c'est VLAN1.
La question est de savoir si le VLAN natif peut être modifié. La réponse est oui, vous pouvez le faire, par exemple, dans le cas de la ligne rouge, vous pouvez changer le VLAN natif en VLAN20, puis le commutateur redirigera le trafic de PC5 vers le réseau VLAN20. Étant donné que les deux commutateurs sont connectés par jonction, le commutateur SW2, ayant reçu le trafic VLAN20, le considérera comme le trafic VLAN natif et enverra le commutateur SW1 comme non balisé.
Après avoir reçu ce trafic, le commutateur SW1 le reconnaît comme du trafic natif non balisé, et puisque son VLAN natif est VLAN1, il enverra ce trafic à ce réseau. Si nous changeons le VLAN natif, nous devons le faire avec soin pour nous assurer que tous les VLAN natifs dans tous les commutateurs ont changé correctement, sinon cela peut causer beaucoup de problèmes.
Il s'agissait d'un bref aperçu du VLAN natif, et maintenant nous allons passer au protocole VLAN Trunking Protocol (VLAN) propriétaire. Tout d'abord, vous devez vous rappeler que, malgré son nom, VTP n'est pas un protocole de jonction.
Des leçons précédentes, nous savons qu'il n'y a que 2 protocoles de jonction: le protocole Cisco propriétaire appelé ISL et le protocole 802.1q généralement accepté.
VTP est également le protocole propriétaire de Cisco, mais ne fait pas de jonction dans le sens de créer des connexions de jonction. Supposons que nous avons créé VLAN10 sur le port du premier commutateur auquel l'ordinateur est connecté. De plus, nous avons le tronc SW1-SW2 et le tronc SW2-SW3. Lorsque le port de ligne de réseau SW1 reçoit du trafic informatique, il sait qu'il s'agit du trafic VLAN10 et le transmet au deuxième commutateur. Cependant, le deuxième commutateur ne sait pas ce qu'est le VLAN10, car rien à part le tronc n'est connecté à celui-ci, donc, afin de recevoir ce trafic et de l'envoyer plus loin, il crée VLAN10 sur ses ports. Le commutateur 3 fera de même - après avoir reçu du trafic sur le tronc, il créera VLAN10.
Vous pouvez créer deux ports d'accès sur SW3, et les deux seront VLAN10. Supposons que sur les 3 commutateurs, je souhaite créer un autre réseau - VLAN20. Cela ne sera possible qu'après la création des ports pour VLAN20. Plus il y a d'appareils, d'ordinateurs et de commutateurs ajoutés à votre réseau, plus il devient difficile de créer de nouveaux VLAN, c'est pourquoi Cisco a automatisé ce processus en créant un VTP.
Si nous créons un nouveau VLAN, appelons-le VLAN30, sur l'un des commutateurs, puis sur tous les autres commutateurs connectés par une jonction, le même réseau VLAN30 est automatiquement créé.
La base de données VLAN mise à jour et mise à jour est simplement envoyée à tous les commutateurs, après quoi il vous suffit de créer un port d'accès pour l'ordinateur. Sans ce protocole, vous devrez reconfigurer manuellement tous les commutateurs. L'inconvénient de VTP est que si vous apportez des modifications à la base de données VLAN, il modifie le numéro de révision - le numéro de révision. Habituellement, lorsque vous utilisez un commutateur dès la sortie de la boîte, tous les paramètres ont un numéro de révision zéro. Lorsque vous ajoutez un nouveau VLAN, tel que le dixième, la base de données SW1 obtient le numéro de révision # 1. Dans ce cas, le deuxième commutateur dit: "ok, vous avez la révision 1, et j'ai la révision 0, donc je dois changer mon numéro de révision à 1 et copier toutes les données de votre table VLAN dans ma table." Le troisième interrupteur fait de même.
Supposons maintenant que 2 commutateurs ajoutent VLAN20 et modifient le numéro de révision à 2, alors les premier et troisième commutateurs doivent faire de même. Chaque fois que vous modifiez le numéro de révision, le protocole vérifie qui a ce numéro supérieur et remplace tous les autres numéros de révision par ce numéro, tout en mettant à jour sa table VLAN. De plus, VTP approuve inconditionnellement le commutateur avec le numéro de révision le plus élevé.
Imaginez cette situation. Un nouvel employé arrive dans l'entreprise et découvre quelque part dans le coin un interrupteur qui sert à former le personnel. Il ne sait rien à ce sujet, voit que ce commutateur semble plus récent et décide de le connecter à un réseau partagé. Il configure ce commutateur, le connecte, par exemple, au commutateur SW2 et crée un tronc. Et dès qu'il s'allume, tout votre réseau tombe en panne! Tout cesse de fonctionner, car la connexion entre les ordinateurs et les commutateurs disparaît complètement.
Pourquoi est-ce arrivé? Le numéro de révision maximum de la société de commutation est de 50, car la société ne dispose que de 5 VLAN - 10,20,30,40,50. Le nouveau commutateur a été utilisé pour la formation, davantage de réseaux y étaient connectés, de nombreux changements ont été apportés aux paramètres, ce qui a entraîné une augmentation du nombre de révisions à 100. De plus, il n'a qu'un seul réseau au numéro 105 dans la base de données VLAN.
Après que SW Training s'est connecté à SW2 via un tronc, le deuxième commutateur a vu que le débutant avait un numéro de révision plus élevé et a décidé de changer son numéro en un numéro plus élevé. Dans le même temps, il a copié pour lui-même la table VLAN du nouveau commutateur, supprimant automatiquement tous ses réseaux VLAN10,20,30 existants ...., les remplaçant par un VLAN105, qui n'existait pas auparavant dans le réseau existant. Les premier et troisième commutateurs ont fait de même, en changeant le numéro de révision de 50 en 100 et en supprimant les anciens réseaux de la base de données, car ils n'étaient pas contenus dans la table VLAN du commutateur SW Training.
Le commutateur SW1 a créé des ports d'accès pour le réseau VLAN10, mais après la mise à jour de la révision, ce réseau a disparu. Les commutateurs sont disposés de telle manière que si le port d'accès est configuré pour fonctionner avec un réseau qui ne se trouve pas dans la base de données VLAN, ce port est désactivé par programme. La même chose s'est produite avec les réseaux VLAN20 et VLAN30 - les commutateurs ne les ont pas trouvés dans la base de données mise à jour des réseaux virtuels et ont simplement désactivé les ports d'accès correspondants, après quoi le réseau local existant de l'entreprise a échoué.
Je vous assure que cela se produit souvent dans la pratique. Personnellement, j'ai été témoin à deux reprises d'un événement où le réseau a cessé de fonctionner en raison du fait que quelqu'un a connecté un nouveau commutateur. Soyez donc prudent, car VTP est une chose très puissante. Cisco estime qu'en raison du potentiel de ce type de problème, il est préférable d'éviter le VTP.
Il existe un mécanisme pour éviter les pannes de réseau causées par une erreur d'utilisation VTP. Il s'agit du mécanisme des domaines VTP fonctionnant de la manière suivante: si le domaine de l'un des commutateurs du réseau diffère du domaine des autres commutateurs exécutant le protocole VTP, ce commutateur ne sera pas répliqué dans la base de données VLAN. Cependant, malgré ce mécanisme, Cisco ne recommande pas d'utiliser ce protocole sans besoin particulier.
Cependant, si vous êtes sûr que VTP vous aidera lors de la création d'un réseau et que vous pouvez aborder de manière responsable la configuration des commutateurs, vous pouvez essayer de l'utiliser. VTP a 3 modes: serveur, client et transparent.
Le mode serveur VTP vous permet d'apporter des modifications au réseau, c'est-à-dire de créer, supprimer et modifier des VLAN à partir de la ligne de commande du commutateur. Par défaut, ce mode est défini dans tous les commutateurs Cisco.
J'ai dessiné trois commutateurs, le premier est en mode serveur et les deux autres sont en mode client. Vous pouvez créer un nouveau VLAN uniquement sur le premier commutateur, après quoi la base de données sera répliquée sur les deuxième et troisième commutateurs. Si vous essayez de le faire avec le deuxième commutateur, vous obtiendrez la réponse: «Je ne suis pas un serveur, vous ne pouvez donc pas effectuer de telles modifications dans mes paramètres». C'est le mécanisme qui empêche les changements. Ainsi, vous pouvez sélectionner l'un des commutateurs par le serveur, apporter des modifications à ses paramètres, et ils seront répétés sur les commutateurs - clients. Cependant, que se passe-t-il si vous n'avez pas l'intention d'utiliser VTP?
Pour abandonner complètement l'utilisation de ce protocole, vous devez mettre le commutateur en mode transparent. Dans le même temps, vous ne désactivez pas le mode VTP, le commutateur ne génère plus de publications VTP, ne met pas à jour les bases de données VLAN et utilise toujours le numéro de révision de configuration 0.
Disons que nous utilisons le mode transparent pour le deuxième commutateur. À la réception des informations VTP, il verra que ce protocole ne s'applique pas à lui et transférera simplement ces informations au commutateur suivant, qui est en mode Client, sans rien mettre à jour dans ses propres paramètres. Ainsi, le mode transparent signifie refuser d'utiliser VTP avec un commutateur spécifique.
N'oubliez donc pas que le mode serveur vous permet d'effectuer des modifications, le mode client vous permet de recevoir ces modifications et le mode transparent empêche les modifications d'être appliquées via le protocole VTP, les transférant plus loin sur le réseau.
Parlons maintenant d'un concept appelé élagage VTP. Supposons que sur le commutateur SW1, il existe deux réseaux VLAN30, un réseau VLAN20 rouge et deux réseaux VLAN10 bleus.
Le commutateur SW2 n'a pas de port pour VLAN30. Cependant, par défaut, SW1 transmet le trafic VLAN10,20 et 30 étiqueté sur le tronc. En tant qu'administrateur réseau, vous savez que le commutateur SW2 ne dispose pas de VLAN30, cependant, vous devez assurer le transfert correct de tout trafic. Pour ce faire, vous utilisez des informations supplémentaires pour le trafic provenant de SW1 à l'aide de l'élagage VTP. Vous configurez le premier commutateur de manière à ce qu'il puisse uniquement transmettre le trafic des réseaux VLAN10 et VLAN20 via une jonction, excluant la possibilité de transmettre le trafic du réseau VLAN30 via une jonction. C'est à cela que sert le concept d'élagage VTP. Dans le prochain didacticiel vidéo, nous verrons comment définir les paramètres dont j'ai parlé aujourd'hui.
Nous avons donc discuté de trois concepts: VLAN natif, VTP et élagage VTP. J'espère que vous comprenez tout de ce que vous avez entendu. Si ce n'est pas le cas, revoyez la leçon autant de fois que vous le souhaitez et n'hésitez pas à me poser des questions par mail ou dans les commentaires de cette vidéo.
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?