Mise en uvre VLAN (Switch CISCO 2950)

Installation et configuration dun VLAN Niveau 1

Ce TP a pour but de mettre en oeuvre et dobserver certaines fonctionnalits avances de la commutation sur Ethernet avec un commutateur administrable (ici un switch CISCO 2 !"#$ en particulier la mise en %uvre dun VLAN (Virtual Local Area Network# de niveau & ('()* ph+si,ue ou '()* par ports# ou RPV (-seau Priv 'irtuel# de niveau &.

Mise en place de latelier

Moyens ncessaires
/n switch mana0eable CISCO 2 !"$ 1 PC en 22""3 Serveur ou 24P Pro$ 2 c5bles rou0es (ou 0ris# et 2 c5bles verts (ou 6aunes# .

Ce TP peut galement tre effectu sur un simulateur Boson Netsim.

Prparation de la maquette
&. -alise7 le monta0e suivant. 2. Confi0ure7 les adresses IP et mas,ues correspondants au8 postes PC& 9 PC1. 3. Installe7 si possible le Moniteur rseau ou t!ereal sur chacun des postes mais la simple observation des : pin0 ; peut 0alement suffir.

Administrer le s"itc! avec #yper$erminal

)fin de pouvoir mettre en place les '()* il faut confi0urer le switch. Cette confi0uration se fait 9 la base 9 laide du port srie destin 9 cet effet.

%onfigurer le programme #yper$erminal de la station de travail

&. <aites &marrer$ Programmes$ Accessoires$ %ommunications$ puis #yper$erminal. 2. =onne7 le nom %isco 9 votre conne8ion et choisisse7 une ic>ne ,ui vous convient. 3. Slectionne7 le port srie CO?& et confi0ure7 ce port 9 l@aide des valeurs indi,ues ciA dessous (on0let : Conne8ion 9 ;$ bouton : Confi0urer ;B selon le s+stCme de8ploitation utilis sur le poste#. 'ption de configuration Port CO? Dits par seconde Dits de donnes Parit Dits d@arrGt Contr>le de flu8 1. Termine7 en cli,uant sur : OH ;.
?a6. I & J"&J2"&1 )-(E &J!

Param(tre)s* actuel)s* CO? & E"" F aucun & aucun

Mise en uvre VLAN (Switch CISCO 2950)

Rinitialiser des s"itc!s

On va reconfi0urer le switch : comme s@il tait neuf ;. Pour cela$ il faut suivre les tapes suivantes I &. Ouvre7 au besoin la session K+perTerminal cre ou sauve0arde prcdemment et a0isse7 sur le bouton : Entre ; pour afficher la pa0e daccueil (thori,uement une action suffit mais si La ne ra0it pas tente7 deu8 ou trois actions sur la touche : Entre ;#. 2. =branche7 le switch puis maintene7 enfonc le bouton de rinitialisation (mar,u : ?ode ;#$ rebranche7Ale et maintene7 le bouton enfonc 6us,u9 ce ,ue les diodes ,ui cli0notent en oran0e passent au vert. /n messa0e doit safficher 9 la console I The s+stem has been interrupted prior to initiali7in0 the flash file s+stem. These commands will initiali7e the flash file s+stem$ and finish loadin0 the operatin0 s+stem softwareI 3. Initialise7 le s+stCme avec les commandes I SwitchM flas!+init SwitchM load+!elper SwitchM ,oot Comme il n@+ a plus de fichier de confi0uration$ le s+stCme vous propose de lancer le dialo0ue de confi0uration initial I Continue with the confi0uration dialo0N O+esJnoPI Q 1. -ponde7 oui I )prCs cette premiCre confi0uration$ le switch est normalement fonctionnel et on peut le connecter au rseau Ethernet.

',server la configuration de dpart du s"itc!

/ne fois la console K+perTerminal confi0ure on va le8ploiter. &. Ouvre7 la session K+perTerminal et connecte7Avous au switch. 2. Passe7$ si besoin$ en mode privilgi. Ruelle commande deve7Avous utiliser N SwitchM s!o" running.config et observe7 les diffrentes informations. SwitchM s!o" interfaces et observe7 les diffrentes informations. Ruelles sont les : positions ; des interfaces N
/ast t! 011 /ast t! 012 /p /ast t! 013 /p /ast t! 014 /p /ast t! 015 /p /ast t! 016 /p =own

3. Entre7 les commandes suivantes I

/p

=own

=own

=own

=own

=own

Affecter un nom au s"itc!

*ous allons donner un nom au switch. Ce nest pas : fondamental ; cest simplement une possibilit de confi0uration. &. Entre7 les commandes suivantes I SwitchM configure terminal Switch(confi0#M !ostname 7"itc!+1 SwitchS&(confi0#M end Nota I on peut saisir les commandes en abr0. )insi configure terminal peut Gtre saisi comme conf t. (e nombre de lettres 9 saisir dpend de lambi0uTt potentielle de la commande. /ne autre techni,ue consiste 9 ne saisir ,ue les premiCres lettres et 9 appu+er sur la touc!e de ta,ulation ce ,ui : complCte ; la commande si le nombre de
?a6. I & J"&J2"&1 )-(E 2J!

Mise en uvre VLAN (Switch CISCO 2950)

lettres est suffisant pour lever lambi0uTt.

Atelier 1 8 Pas de VLAN

En l@absence de confi0uration spcifi,ue$ le switch considCre ,ue tous les ports font partie dun mGme '()* : par dfaut ;$ dont le numro de VLAN (ou VLAN Id# est 1. D ns ce c!nte"te toutes les machines communi,uent : comme sil n+ avait pas de '()* ;. ?ais un '()* peut 0alement Gtre repr par un nom ainsi ,ue nous allons le voir. )vec un uni,ue '()* : par dfaut ; (,uivalent 9 : pas de '()* ;#$ on dispose donc avec le switch$ dun seulB (pense7 au niveau de la couche oU lon travaille iciB# I =omaine de collision ou =omaine de diffusion N

)fin de nous assurer de ce ,ue le switch est bien confi0ur pour tout laisser passer$ nous allons faire ,uel,ues vrifications ou r0la0es.

7upprimer des VLAN

Sil des '()* ont pralablement t confi0urs sur le switch il faut les supprimer. CommenLons par observer sil en subsiste I &. En mode privil0i (M# entre7 la commande show vlan I Ruel est le '()* par dfaut N

Sil e8iste des '()* d69 confi0urs$ on va les supprimer. 2. Entre7 les commandes suivantes I SwitchS&M VLAN data,ase SwitchS&(vlan#M no vlan n du VLAN SwitchS&(vlan#M e9it supprimer

3. -ecommence7 au besoin cette opration pour supprimer tous les '()* e8istantsB Si le '()* & est dfini avec un nom vous pouve7 0alement faire un no vlan 1 ce ,ui va supprimer le nom (mais on conserve tou6ours un '()* & par dfaut#. 1. 'rifie7 ,ue nous ave7 dornavant la seule valeur 1 comme numro de '()* et ,ue tous les ports du switch appartiennent bien 9 ce VLAN # $ r d%& ut '. !. 'rifie7 ,ue $':7 les ports du 7"itc!+1 sont bien dans le VLAN # $ r d%& ut '. Pour remettre un port dans le '()* par dfaut il faut faire I SwitchS&M conf t SwitchS&(confi0#M interface fastet!ernet 01 n du port configurer (ou int fa 01n# SwitchS&(confi0Aif#M s"itc!port access vlan 1 (ou s" a vl 1# SwitchS&(confi0Aif#M no s!utdo"n (ou no s!# SwitchS&(confi0#M end E. <aites un s!o" vlan. Tous les ports doivent Gtre revenus dans le '()* & : par dfaut ;. V. =marre7 la capture de trames sur chacune des interfaces des PC ( pas possi!le sur mac"ines #irtuelles Boson$#. F. <aites des pin0 entre PC et$ sur un poste ,uelcon,ue$ faites un pin0 vers une machine inconnue (par e8emple PI*W TEST#. Observe7 les rponses obtenues. . Cesse7 les ventuelles captures en cours et vrifie7 9 laide des trames captures$ ,ue toutes les machines ont bien reLu les re,uGtes )-P ( !roadcast# notamment lors du pin0 vers la machine inconnue. Si le broadcast )-P (trame Ethernet avec$ comme adresse de destination <<A<<A<<A<<A<<A<<# a bien t reLu par toutes les machines$ cela prouve bien ,ue nous sommes actuellement en prsence dun unique domaine de diffusion.

?a6. I & J"&J2"&1

)-(E

3J!

Mise en uvre VLAN (Switch CISCO 2950)

Atelier 2 . VLANs par ports )VLAN Niveau 1*

On souhaite ,ue le trafic entre PC& et PC1 soit totalement isol du trafic entre PC2 et PC3 (voir /igure#$ c@est 9 dire ,u@aucun chan0e ni observation ne puisse avoir lieu entre ces deu8 rseau8 locau8 virtuels. Pour cela$ on va crer deu8 '()*s distincts I le '()* : -O/WE ; pour PC& et PC1 et le '()* : 'E-T ; pour PC2 et PC3. On va dfinir ici des VLANs par port (VLAN p!ysique ou VLAN de niveau 1#. Cest 9 dire ,uon ne sintresse ici (au niveau du : filtra0e ; du switch#$ ni au8 adresses ?)C des postes ,ui vont communi,uer$ ni 9 leurs adresses IP. )insi ,ue vous ave7 du le constater lors de la premiCre partie du TP$ en l@absence de confi0uration particuliCre$ le switch considCre ,ue tous les ports font partie du mGme '()* par dfaut et donc ,ue toutes les machines communi,uent comme sil n+ avait pas de '()*. Il faut donc confi0urer le switch pour ,uil puisse reconnaXtre nos '()*s.

&finir les VLANs

Il faut 9 prsent dfinir le numro de '()* 9 affecter 9 la 7one P'I= (Port '()* I=#. Par dfaut$ tous les ports du switch appartiennent 9 un =E<)/(TS'()* ,ui a la valeur & comme numro de '()*. Il faut donc donner des '()* I= diffrents au8 deu8 '()*s. Par e8emple$ 2" pour le '()* : -ou0e ; et 3" pour le '()* : 'ert ;. On peut 0alement attribuer ici un nom plus si0nificatif tel ,ue : 'ert ; ou : -ou0e ; Y petit mnmotechni,ue amusantB : vin rou0e ; et : trente verres ;B ah ah ahB non N B )vec modration bien entenduB *ous allons donc crer les '()* (2"# : -ou0e ; et le '()* (3"# : 'ert ;. &. Entre7 les commandes suivantes I SwitchS&M VLAN data,ase SwitchS&(vlan#M vlan %& name 'ouge (on affecte le numro et le nom au vlan# SwitchS&(vlan#M vlan (& name Vert SwitchS&(vlan#M e9it SwitchS&M show vlan 'ous deve7 maintenant voir les 3 '()* (&$ 2" et 3" ainsi ,ue leurs noms#. -emar,ue7 ,ue les ports ne sont pour linstant affects ,uau seul '()* & par dfaut.

Associer les ports ; leurs VLANs

Il nous faut associer 9 prsent les ports & et 1 au '()* 2" (-ou0e# reliant les postes PC& et PC1 et les ports 2 et 3 au '()* 3" ('ert# reliant les postes PC2 et PC3. &. Entre7 les commandes suivantes (ici en version : commande compl)te ;# I SwitchS&M configure terminal SwitchS& (confi0#M interface fa 011 SwitchS& (confi0Aif#M s"itc!port access vlan %& SwitchS& (confi0Aif#M no s!utdo"n (active le port ,ui passe de ltat do"n 9 up# SwitchS& (confi0#M end SwitchS&M show vlan

(e port fast Ethernet "J& estAil bien affect au '()* 2" ((!u)e) * SwitchS&M conf t SwitchS& (confi0#M in fa 014 SwitchS& (confi0Aif#M s" a v %& SwitchS& (confi0Aif#M no s! SwitchS& (confi0#M end SwitchS&M sh vl

Oui *on

2. Entre7 les commandes suivantes (ici en version : commande rduite ;# I

(e port fast Ethernet "J1 est+i, -ien &&ect% u VLAN 20 (!u)e *

)-(E

Oui *on
1J!

?a6. I & J"&J2"&1

Mise en uvre VLAN (Switch CISCO 2950)

3. )ssocie7 les ports fast Ethernet "J2 et "J3 au '()* 3" ('ert# reliant les postes PC2 et PC3. 1. 'rifie7 ,ue les ports sont bien affects au8 bons '()*s. !. =marre7 la capture de trames sur chacune des interfaces des PC (sauf sur machines virtuelles DosonB#. E. Teste7 alors la communication entre les diffrents PC et observe7 l@activit du trafic sur les diffrentes interfaces$ comme dans l@e8ercice &. V. <aites des pin0 entre PC (entre PC dun mGme '()*$ vers des PC de lautre '()* et vers une machine inconnueB#. Observe7 bien les rponses obtenues. F. Cesse7 les ventuelles captures en cours et vrifie7 9 laide des trames captures$ ,uelles sont les machines ,ui ont bien reLu les !roadcasts )-P. . 'rifie7 en particulier ,ue les trames 0nres par le pin0 d@une machine sur un '()* n@attei0nent pas les machines de l@autre '()*. Observe7 ,uelles sont les machines ,ui ont reLues les trames correspondant au : pin0 vers la machine inconnue ;. Si les broadcast ARP ont seulement t reLus par les machines du '()* dfini pour ces machines$ cela prouve bien ,ue nous sommes en prsence de plusieurs domaines de diffusion Y isols entre eu8.

Permuter deu9 postes

*ous avons associ$ actuellement$ les postes PC& et PC1 au8 ports & et 1 dfinis comme appartenant au '()* 2" (-ou0e# et les postes PC2 et PC3 au8 ports 2 et 3 dfinis comme appartenant au '()* 3" ('ert#. ?ais$ en principe$ un commutateur travaille au niveau 2 (adresses ?)C# et il constitue 9 cet effet une table des adresses ?)C associes 9 cha,ue port. Cette table peut dailleurs Gtre visualise au mo+en de la commande s!o" mac.address.ta,le. &. E8cute7 donc la commande I SwitchS&M s! mac 2. Permute7 maintenant$ sur le switch$ les connecteurs & et 2 correspondant au8 postes PC& et PC2 et attende7 ,ue les diodes cli0notantes passent de loran0e au vert (le switch est en train : dapprendre ; les adresses ?)C#. 3. <aites sur PC& une srie de pin0 en direction des autres postes Z ?Gme chose sur PC2B Rue constate7Avous N

On observe bien 9 prsent ,ue le PC2 a chan0 de '()* et ,ue cest donc bien la position : ph+si,ue ; du connecteur ,ui va indi,uer 9 ,uel '()* est connecte la machine et ce$ ,uel,ue soit son adresse ?)C Z On a donc bien un VLAN par port ou de niveau 1 (et non pas par adresse ?)C ,ui serait un '()* de niveau 2#.

%onclusion
On limite les collisions (niveau 1# (carrment supprim ici$ compte tenu de ce ,uon est en : full switc"ed ;$ ce sera dailleurs 0nralement le casB#. DonB La cest en fait le travail fondamental du switch et pas vraiment celui du '()* Z On limite les diffusions (niveau 2# en : sparant ; le domaine de diffusion (!roadcasts# du dpart$ en sousAdomaines (ici les deu8 '()*s#. Ca cest le r>le des '()* Z On scurise le rseau$ en empGchant ,ue des machines dun '()* aient accCs au8 machines dun autre '()*. Ca cest aussi le r>le des '()* Z On constate ,uil sa0it bien 9 ce stade$ dun VLAN par port puis,ue$ ,uel ,ue soit le poste rellement connect au port$ le poste est affect au '()* ,ui correspond 9 ce port Z Et La cest potentiellement dan0ereu8 puis,uon ne vrifie pas vraiment R/I est connectB
)-(E !J!

?a6. I & J"&J2"&1