Objectif
Cet article explique comment configurer les paramètres de VLAN privés sur un commutateur de la gamme Cisco Business 350.
Périphériques pertinents | Version du logiciel
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en désignant une diffusion à un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données de ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant la nécessité d’envoyer des diffusions et des multidiffusions vers des destinations inutiles.
Un VLAN privé assure l’isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, par opposition au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer entre eux. Les ports d’un VLAN privé peuvent être situés n’importe où dans le réseau de couche 2, ce qui signifie qu’ils ne doivent pas nécessairement se trouver sur le même commutateur. Le VLAN privé est conçu pour recevoir le trafic non étiqueté ou marqué par priorité et transmettre le trafic non étiqueté.
Les types de ports suivants peuvent être membres dans un VLAN privé :
- Promiscuité : un port proche peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs.
- Communauté (hôte) : les ports de la communauté peuvent définir un groupe de ports membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 d’autres communautés et de ports isolés. Ces ports connectent les ports hôtes.
- Isolé (hôte) : un port isolé est complètement isolé de la couche 2 des autres ports isolés et communautaires du même VLAN privé. Ces ports connectent les ports hôtes.
Le trafic hôte est envoyé sur des VLAN isolés et communautaires, tandis que le trafic serveur et routeur est envoyé sur le VLAN principal.
Configuration des paramètres de VLAN privé sur un commutateur
Important : Avant de poursuivre les étapes ci-dessous, vérifiez que les VLAN ont été configurés sur le commutateur. Pour savoir comment configurer les paramètres VLAN sur votre commutateur, cliquez ici pour obtenir des instructions.
Étape 1. Connectez-vous à l'utilitaire Web et sélectionnez Avancé dans la liste déroulante Mode d'affichage.
Étape 2. Choisissez VLAN Management > Private VLAN Settings.
Étape 3. Cliquez sur le bouton Add.
Étape 4. Dans la liste déroulante Primary VLAN ID, sélectionnez un VLAN à définir comme VLAN principal dans le VLAN privé. Le VLAN principal est utilisé pour permettre la connectivité de couche 2 à partir de ports proches vers des ports isolés et vers des ports de communauté.
Note: Dans cet exemple, l'ID de VLAN 10 est sélectionné.
Étape 5. Sélectionnez un ID de VLAN dans la liste déroulante Isolated VLAN ID. Un VLAN isolé est utilisé pour autoriser les ports isolés à envoyer du trafic au VLAN principal.
Note: Dans cet exemple, l'ID de VLAN 20 est choisi.
Étape 6. Choisissez un ID de VLAN dans la zone Available Community VLANs, puis cliquez sur le bouton > pour déplacer les VLAN que vous voulez être des VLAN de communauté vers la liste Selected Community VLANs.
Note: Pour créer un sous-groupe de ports (communauté) dans un VLAN, les ports doivent être ajoutés à un VLAN de communauté. Le VLAN de communauté est utilisé pour activer la connectivité de couche 2 des ports de communauté aux ports proches et aux ports de communauté de la même communauté. Il peut y avoir un VLAN de communauté unique pour chaque communauté et plusieurs VLAN de communauté peuvent coexister dans le système pour le même VLAN privé.
Note: Dans cet exemple, l'ID de VLAN 30 est sélectionné.
Étape 7. Cliquez sur Appliquer puis sur Fermer.
Étape 8. (Facultatif) Cliquez sur Enregistrer pour enregistrer les paramètres dans le fichier de configuration de démarrage.
Vous avez maintenant configuré les paramètres VLAN privés sur votre commutateur Cisco Business 350.
Vous recherchez plus d'informations sur les VLAN de vos commutateurs d'entreprise Cisco ? Pour plus d'informations, consultez l'un des liens suivants.
Article Squelette avec contenu
Objectif
Cet article explique comment configurer les paramètres de VLAN privés sur un commutateur de la gamme Cisco Business 350.
Un VLAN privé assure l’isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, par opposition au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer entre eux. Les ports d’un VLAN privé peuvent être situés n’importe où dans le réseau de couche 2, ce qui signifie qu’ils ne doivent pas nécessairement se trouver sur le même commutateur. Le VLAN privé est conçu pour recevoir le trafic non étiqueté ou marqué par priorité et transmettre le trafic non étiqueté.
Périphériques pertinents | Version du logiciel
Introduction
Un réseau local virtuel (VLAN) vous permet de segmenter logiquement un réseau local (LAN) en différents domaines de diffusion. Dans les scénarios où des données sensibles peuvent être diffusées sur un réseau, des VLAN peuvent être créés pour améliorer la sécurité en désignant une diffusion à un VLAN spécifique. Seuls les utilisateurs appartenant à un VLAN peuvent accéder aux données de ce VLAN et les manipuler. Les VLAN peuvent également être utilisés pour améliorer les performances en réduisant la nécessité d’envoyer des diffusions et des multidiffusions vers des destinations inutiles.
Note: Pour savoir comment configurer les paramètres VLAN de votre commutateur via l'utilitaire Web, cliquez ici. Pour obtenir des instructions basées sur l'interface de ligne de commande, cliquez ici.
Un domaine de VLAN privé se compose d’une ou plusieurs paires de VLAN. Le VLAN principal constitue le domaine ; et chaque paire de VLAN constitue un sous-domaine. Les VLAN d’une paire sont appelés VLAN principal et VLAN secondaire. Toutes les paires de VLAN d’un VLAN privé ont le même VLAN principal. L'ID de VLAN secondaire est ce qui différencie un sous-domaine d'un autre.
Un domaine de VLAN privé n'a qu'un VLAN principal. Chaque port d'un domaine de VLAN privé est membre du VLAN principal ; le VLAN principal est le domaine VLAN privé entier.
Les VLAN secondaires assurent l’isolation entre les ports d’un même domaine de VLAN privé. Les deux types suivants sont des VLAN secondaires dans un VLAN principal :
- VLAN isolés : les ports d'un VLAN isolé ne peuvent pas communiquer directement entre eux au niveau de la couche 2.
- VLAN de communauté : les ports d'un VLAN de communauté peuvent communiquer entre eux, mais ne peuvent pas communiquer avec les ports d'autres VLAN de communauté ou de n'importe quel VLAN isolé au niveau de la couche 2.
Dans un domaine VLAN privé, il existe trois désignations de port distinctes. Chaque désignation de port a son propre ensemble de règles qui régit la capacité d'un point de terminaison à communiquer avec d'autres points de terminaison connectés dans le même domaine de VLAN privé. Les trois désignations de port sont les suivantes :
- Promiscuité : un port proche peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs.
- Communauté (hôte) : les ports de la communauté peuvent définir un groupe de ports membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 d’autres communautés et de ports isolés. Ces ports connectent les ports hôtes.
- Isolé (hôte) : un port isolé est complètement isolé de la couche 2 des autres ports isolés et communautaires du même VLAN privé. Ces ports connectent les ports hôtes.
Le trafic hôte est envoyé sur des VLAN isolés et communautaires, tandis que le trafic serveur et routeur est envoyé sur le VLAN principal.
Pour configurer le VLAN privé à l'aide de l'utilitaire Web du commutateur, cliquez ici.
Configurer les paramètres de VLAN privé sur le commutateur via l’interface de ligne de commande
Créer un VLAN principal privé
Étape 1. Connectez-vous à la console du commutateur. Le nom d'utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, saisissez plutôt les informations d'identification.
Les commandes peuvent varier en fonction du modèle exact de votre commutateur.
Étape 2. À partir du mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :
CBS350#configure
Étape 3. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :
CBS350(config)#interface [vlan-id]
- vlan-id : spécifie l'ID de VLAN à configurer.
Étape 4. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé principal en entrant les informations suivantes :
CBS350(config-if)#private-vlan primary
Par défaut, aucun VLAN privé n’est configuré sur le commutateur.
Important : Veillez à respecter les consignes suivantes lors de la configuration d’un VLAN privé :
- Le type de VLAN ne peut pas être modifié s'il existe un port VLAN privé membre dans le VLAN.
- Le type de VLAN ne peut pas être modifié s'il est associé à d'autres VLAN privés.
- Le type de VLAN n'est pas conservé comme propriété du VLAN lorsque le VLAN est supprimé.
Étape 5. (Facultatif) Pour rétablir la configuration VLAN normale, saisissez ce qui suit :
CBS350(config-if)#no private-vlan
Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :
CBS350(config-if)#end
Étape 7. (Facultatif) Dans le mode d’exécution privilégié du commutateur, enregistrez les paramètres configurés dans le fichier de configuration initiale, en saisissant ce qui suit :
CBS350#copy running-config startup-config
Étape 8. (Facultatif) Appuyez sur Y pour Oui ou N pour Non sur votre clavier une fois que l'invite Overwrite file [startup-config]... s'affiche.
Vous avez maintenant créé le VLAN principal sur votre commutateur via l'interface de ligne de commande.
Créer un VLAN secondaire
Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :
CBS350#configure
Étape 2. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :
CBS350(config)#interface [vlan-id]
Étape 3. Dans le contexte de configuration d’interface, configurez l’interface VLAN en tant que VLAN privé secondaire en entrant les informations suivantes :
CBS350(config-if)#private-vlan [community | isolated]
Les options sont les suivantes :
- community - Désignez le VLAN en tant que VLAN de communauté.
- isolé : désigne le VLAN comme un VLAN isolé.
Étape 4. (Facultatif) Répétez les étapes 2 et 3 pour configurer un VLAN secondaire supplémentaire pour votre VLAN privé.
Étape 5. (Facultatif) Pour rétablir la configuration VLAN normale, saisissez ce qui suit :
CBS350(config-if)#no private-vlan
Étape 6. (Facultatif) Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :
CBS350(config-if)#end
Vous avez maintenant créé des VLAN secondaires sur votre commutateur via l'interface de ligne de commande.
Associer le VLAN secondaire au VLAN privé principal
Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :
CBS350#configure
Étape 2. Entrez le contexte de configuration d’interface VLAN du VLAN principal en saisissant les informations suivantes :
CBS350(config)#vlan [primary-vlan-id]
Étape 3. Pour configurer l'association entre le VLAN principal et les VLAN secondaires, saisissez ce qui suit :
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
Les options sont les suivantes :
- add-secondary-vlan-list - Liste des ID de VLAN de type secondaire à ajouter à un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espaces. Utilisez un tiret pour désigner une plage d'ID. Il s'agit de l'action par défaut.
- remove secondary-vlan-list - Liste des ID de VLAN de type secondaire pour supprimer l'association d'un VLAN principal. Séparez les ID de VLAN non consécutifs par une virgule et sans espaces. Utilisez un tiret pour désigner une plage d'ID.
Étape 4. Pour revenir au mode d’exécution privilégié du commutateur, saisissez ce qui suit :
CBS350(config-if)#end
Vous avez maintenant correctement associé les VLAN secondaires au VLAN privé principal de votre commutateur via l'interface de ligne de commande.
Configurer les ports sur les VLAN privés principal et secondaire
Étape 1. Dans le mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :
CBS350#configure
Étape 2. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :
CBS350(config)#interface [interface-id | range vlan vlan-range]
Les options sont les suivantes :
- interface-id : spécifie un ID d'interface à configurer.
- range vlan vlan-range : spécifie une liste de VLAN. Séparez les VLAN non consécutifs par une virgule et sans espace. Utilisez un tiret pour désigner une plage de VLAN.
Étape 3. Dans le contexte de configuration d'interface, utilisez la commande switchport mode pour configurer le mode d'appartenance VLAN.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous : spécifie un port promiscuité VLAN privé. Si cette option est utilisée, passez à l'étape 5.
- host : spécifie un port hôte VLAN privé. Si cette option est utilisée, passez à l'étape 6.
Étape 4. (Facultatif) Pour rétablir la configuration par défaut du port ou de la plage de ports, saisissez ce qui suit :
CBS350(config-if-range)#no switchport mode
Étape 5. Pour configurer l'association d'un port proche avec les VLAN principal et secondaire du VLAN privé, saisissez ce qui suit :
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
Les options sont les suivantes :
- primary-vlan-id - Spécifie l'ID de VLAN du VLAN principal.
- secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.
Étape 6. Pour configurer l'association d'un port hôte avec les VLAN principal et secondaire du VLAN privé, saisissez ce qui suit :
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
Les options sont les suivantes :
- primary-vlan-id - Spécifie l'ID de VLAN du VLAN principal.
- secondary-vlan-id : spécifie l'ID de VLAN du VLAN secondaire.
Étape 7. Pour quitter le contexte de configuration d'interface, saisissez ce qui suit :
CBS350(config-if-range)#exit
Étape 8. (Facultatif) Répétez les étapes 2 à 7 pour configurer des ports hôtes et plus proches et affecter les VLAN privés principal et secondaire correspondants.
Étape 9. Entrez la commande end pour revenir au mode d’exécution privilégié :
CBS350(config-if)#end
Étape 10. (Facultatif) Pour vérifier les VLAN privés configurés sur votre commutateur, saisissez ce qui suit :
CBS350#show vlan private-vlan tag[vlan-id]
Étape 11. (Facultatif) Dans le mode d’exécution privilégié du commutateur, enregistrez les paramètres configurés dans le fichier de configuration initiale, en saisissant ce qui suit :
CBS350#copy running-config startup-config
Étape 12. (Facultatif) Appuyez sur Y pour Oui ou N pour Non sur votre clavier une fois que l'invite Overwrite file [startup-config]... s'affiche.
Vous avez maintenant correctement configuré l'association de ports hôtes et de ports proches avec des VLAN privés principal et secondaire sur votre commutateur via l'interface de ligne de commande.
Vous recherchez plus d'informations sur les VLAN de vos commutateurs d'entreprise Cisco ? Pour plus d'informations, consultez l'un des liens suivants.