Configuration switch CISCO Catalyst [Résolu]

[boboss123]

Bonjour,

Je suis entrain de regarder comment se configure les VLANs en ligne de commande sur un switch CISCO Catalyst.

lorsqu'on fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport mode access

le port est mis dans quel VLAN ? le native VLAN ?
Comment fait-on pour configurer le vid du native VLAN ?

Et comment fait-on pour configurer la vlan de management ?

merci d'avance,

[IP_Steph]

Citation:

Envoyé par boboss123

lorsqu'on fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport mode access

le port est mis dans quel VLAN ? le native VLAN ?
Comment fait-on pour configurer le vid du native VLAN ?

Oui, par défaut le port sera dans le native VLAN.

Pour configurer le VLAN Id, il faut entrer la commande d'interface

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport access vlan xxxx

Dans une config "sortie d'usine", si le Vlan xxx n'existe pas lorsque tu entres la commande, le switch le créera. Dans le cas contraire, il y aura un message d'erreur (souvent lié à la configuration active VTP).

Citation:

Envoyé par boboss123

Et comment fait-on pour configurer la vlan de management ?

On crée une interface Vlan locale au switch qui servira à l'attaquer en IP.
Ensuite, il faut s'assurer que le Vlan de management est bien "tiré" entre la station de management et le switch.

Steph

[boboss123]

ok, merci pour les informations

Citation:

Envoyé par IP_Steph

Oui, par défaut le port sera dans le native VLAN.

Pour configurer le VLAN Id, il faut entrer la commande d'interface

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport access vlan xxxx

Je connaissais déjà cette commande. En fait ma question était plutôt de savoir comment modifier la valeur par défaut du native vlan (ex: qu'il soit à 50 au lieu de 1) ?
C'est a dire que si j'entre la commade suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport mode access

=> que le port soit mis dans le vlan 50 (au lieu de 1)
... peut-être que ce n'est pas configurable...


Aussi lorsqu'on est en mode "switchport mode multi"
Quand j'entre cette commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport multi vlan 1,2,3

Les VLAN 1,2 et 3 vont ressortir taggé de ce port, c'est bien ça ?
Comment faire alors pour que le VLAN 1 sorte taggé et que les VLAN 2 et 3 sortent non taggés ?

[IP_Steph]

La notion de Native VLAN n'a de sens local que pour des interfaces trunks. Je m'explique...

Voici le scenario qui explique la différence entre Native VLAN et Default VLAN.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
             +-----+
             | SW1 |
             +-----+
        f1/0/       \f1/1
           /         \
        trunk       trunk
         /             \
    f1/0/               \f1/0
 +-----+                 +-----+
 | SW2 |                 | SW3 |
 +-----+                 +-----+

Voici ce que j'ai configuré sur SW1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
!
interface FastEthernet1/0
 switchport trunk native vlan 10
 switchport mode trunk
!
interface FastEthernet1/1
 switchport trunk native vlan 20
 switchport mode trunk
!

puis sur l'interface f1/0 de SW2 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
!
interface FastEthernet1/0
 switchport trunk native vlan 10
 switchport mode trunk
end

et l'interface f1/0 de SW3 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
!
interface FastEthernet1/0
 switchport trunk native vlan 20
 switchport mode trunk
end

En d'autres termes, SW1 possède 2 Native VLANs !

Qu'est-ce que le Native VLAN ? C'est le VLAN utilisé le long d'un trunk entre 2 équipements L2 pour transporter le traffic non-taggé. Sur les équipements Cisco, ce sera le cas du traffic de certains services comme VTP, DTP et CDP.

Configurons maintenant un des ports de SW1 en mode access sans préciser le VLAN :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f1/2
R1(config-if)#switchport mode acc
R1(config-if)#^Z
R1#
R1#
R1#
*Mar  1 02:40:12.303: %SYS-5-CONFIG_I: Configured from console by console
R1#
R1#

A quel VLAN appartient ce port ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
R1#sh int f1/2 switchport
Name: Fa1/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Disabled
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: none
Protected: false
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
R1#

Ben, oui, le VLAN 1... Par définition, c'est le Default VLAN... Celui qui s'accapare les ports de switch sur lesquels on n'a pas précisé le VLAN Id...

Donc pour répondre à ta question

Citation:

ma question était plutôt de savoir comment modifier la valeur par défaut du native vlan (ex: qu'il soit à 50 au lieu de 1) ?

(qui était mal posée parce que tu ne connaissais pas encore la différence entre le Native et le Default VLAN), effectivement, le Default Vlan n'est pas configurable.

Venons-en à ta 2ème question concernant le multi VLAN...

Le multi VLAN est une configuration particulière de port Access et à ce titre, les trames émises par un port multi VLAN ne seront pas taggées...

Le multi VLAN avait été introduit lorsque les routeurs ne supportaient pas encore les trunks 802.1q. L'interface multi VLAN du switch était alors connectée à une interface de routeur configurée avec des adresses IP secondaires pour assurer le routage inter-VLAN. Ma recommandation serait d'éviter ce genre de fonctionnalité (appelée à disparaître d'ailleurs). C'est un artifice !

Citation:

Comment faire alors pour que le VLAN 1 sorte taggé et que les VLAN 2 et 3 sortent non taggés ?

Je réponds par une autre question... Comment l'équipement qui reçoit ce traffic untagged pourra faire la différence entre le traffic provenant du VLAN 2 de celui provenant du VLAN 3 ?

Que veux-tu faire exactement ?

Steph

[boboss123]

Citation:

Envoyé par IP_Steph

(qui était mal posée parce que tu ne connaissais pas encore la différence entre le Native et le Default VLAN), effectivement, le Default Vlan n'est pas configurable.

Merci pour ces explications : effectivement je pensais que native vlan et default vlan était la même chose. J'ai un CISCO SG-300-10P (je n'ai pas encore acheté de catalyst) et il est possible de configurer le default vlan => tu es sure que ce n'est pas possible sur les catalyst (si ce n'est pas le cas, tu vois pourquoi CISCO a empêché de faire ça ? ... il doit y avoir une raison...serait-ce dangereux de pouvoir le configurer ?) ?
Pour poursuivre mes tests, je pensais utiliser GNS3 mais a priori il faut avoir acheter le switch pour avoir le droit d'utiliser l'image du firmware dans GNS3...

Citation:

Envoyé par IP_Steph

Le multi VLAN est une configuration particulière de port Access et à ce titre, les trames émises par un port multi VLAN ne seront pas taggées...

Je réponds par une autre question... Comment l'équipement qui reçoit ce traffic untagged pourra faire la différence entre le traffic provenant du VLAN 2 de celui provenant du VLAN 3 ?

J'ai mal interprété la définition de "multi", je pensais qu'avec ce type de configuration qu'on pouvait controller exactement la manière dont sortait les vlans. J'ai vu que sur un H3C S5120-SI c'était a priori possible (c'est le mode hybrid). Donc a priori il n'y a aucun interet d'un tel mode ?
=> La seule application que je vois coté LAN avec plusieurs VLANs, c'est une box avec plusieurs service sur différents VLANs : donc pour ce cas, il suffit de se configurer en mode trunk, non ? ... je ne vois pas d'application avec plusieurs vlan non taggés ...
=> sur un port trunk, il est possible d'interdire le native-vlan (pour interdire les trames non taggées) ? si oui, comment ?

Citation:

Envoyé par IP_Steph

Que veux-tu faire exactement ?

Je pose toutes ces questions car je développe des appareils à base de switchs L2 qui se trouvent en fin de réseau (CPE et concentrateur de caméra sur Fibre optique, produits spécifiques...). Actuellement les commandes de configuration que j'ai développées sont très proche du hardware : l'avantage est que ça permet de pouvoir faire n'importe quelle configuration (dont celle du multiple VLAN non taggé en sortie) mais j'ai remarqué que ça posait des problèmes de compréhensions des commandes pour des utilisateurs formatés "CISCO" qui ne maitrise pas bien les VLANs (en gros la majorité des utilisateurs ).
Donc je pensais modifier l'interface de configuration pour se rapprocher du "standard" qu'est "CISCO".

Donc voici la liste de commandes que je pensai gérer

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
Les paramêtres entre crochets sont optionnels

// **************
cfgmanagementvlan <vid> 
  défini l'interface vlan du management (il n'y a qu'une seule interface de management disponible)

cfgdefaultvlan <vid>
  configure le default vlan : vlan dans lequel les ports sont mis par defaut

// **************
addvlan <vid> [vlan_name>]
  crée un vlan
  
rmvlan <vid>
  supprime un vlan (suppression du default vlan interdite)
  
showvlan [<vid>]
  affiche les vlans


// **************
cfgportvlan <port_list> <mode> [<pvid>]
  configure le mode du port
  <mode> : access ou trunk
  <pvid> : vlan associé aux paquets non taggés (pour les ports trunk, ça correspond au native vlan de chez CISCO)

cfgportvlan
  affiche la configuration des ports

  
// **************
// fonctions autorisées que pour les ports configurés en mode trunk

addtrunkvlan <port_list> <vid_list>
  autorise les vlans a transiter sur le port ("all" autorise tous les vlans)

rmtrunkvlan <port_list> <vid_list>
  interdit les vlans a transiter sur le port ("all" interdit tous les vlans) // on autorise a pouvoir supprimer le vlan du pvid ?

cfgqinqtrunk <port_list> (enable|disable) [<ethtype>]
  active/désactive le qinq sur un port de type trunk
  <ethtype> : Ether Type du stag. trois valeurs possibles 802.1q (0x8100), 802.1ad (0x88A8) ou QinQ (0x9100)
  // => ya t-il un interet de gérer l'ethtype 0x9100 (a priori c'est obsolete) ?

// **************
// fonctions autorisées que pour les ports configurés en mode access

cfgqinqaccess <port_list> (enable|disable) [<mode>]
  active/désactive le qinq sur un port de type trunk
  <mode> :
    - suppress_stag_only : supprime uniquement le stag
    - suppress_all_qinq_tag : supprime tous les tags dont l'Ether Type est celui du QinQ (fonction indisponible si <ethtype> = 802.1q
    // => le mode "suppress_all_qinq_tag" est-il réellement utile ?

Le but n'est pas de faire un copier/coller du fonctionnement de CISCO mais d'avoir une interface la plus intuitive et conviviale possible (attention, trop d'options, tue l'option ).
Tu en pense quoi (j'ai mis quelques questions en commentaire) ? tu vois des améliorations possibles ou des fonctions a ajouter/supprimer ?

Remarque : lorsqu'on crée un port trunk, par défaut aucun vlan n'est autorisé sauf le native-vlan. ça ne serait pas mieux que par défaut tous les vlans soient activés ?




J'espère qu'il n'y a pas trop de questions
Encore merci,

[IP_Steph]

Citation:

J'ai un CISCO SG-300-10P (je n'ai pas encore acheté de catalyst) et il est possible de configurer le default vlan

J'ignorais que c'était possible...

Citation:

tu es sure que ce n'est pas possible sur les catalyst (si ce n'est pas le cas, tu vois pourquoi CISCO a empêché de faire ça ? ... il doit y avoir une raison...serait-ce dangereux de pouvoir le configurer ?

Quasiment sûr... Le Vlan1 et les codes CatOS/IOS, c'est toute une histoire

Citation:

Pour poursuivre mes tests, je pensais utiliser GNS3 mais a priori il faut avoir acheter le switch pour avoir le droit d'utiliser l'image du firmware dans GNS3...

Oui, il faut les IOS natifs pour les charger dans GNS3

Citation:

J'ai vu que sur un H3C S5120-SI c'était a priori possible (c'est le mode hybrid). Donc a priori il n'y a aucun interet d'un tel mode ?

Oui je connais aussi très bien le code Huaweï/H3C et c'est un des constructeurs à proposer ce mode hybride. Perso, je ne l'ai jamais utilisé et je pense que les cas de figure où on doive absolument configurer plusieurs Vlans untagged doivent se compter sur les doigts d'une main.
Intuitivement, je dirais que ça peut avoir un intérêt pour collecter des flux untagged pour les concentrer vers un équipement L2 qui ne sais pas causer 802.1q. Cas extrêmes donc...

Citation:

sur un port trunk, il est possible d'interdire le native-vlan (pour interdire les trames non taggées) ? si oui, comment ?

Il existe effectivement la commande d'interface suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

no switchport trunk native vlan

mais ma recommandation serait de l'utiliser avec précaution puisque le native a un rôle assez central vis-à-vis de certains "traffics de service".

Citation:

j'ai remarqué que ça posait des problèmes de compréhensions des commandes pour des utilisateurs formatés "CISCO" qui ne maitrise pas bien les VLANs

Je pense que c'est essentiellement lié à la terminologie...
802.1q parle de tagged et untagged seulement.
Cisco parle de trunk et d'access.
Et comme tu le mentionnais, d'autres constructeurs ont introduit l'hybride.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Tu en pense quoi (j'ai mis quelques questions en commentaire) ? tu vois  des améliorations possibles ou des fonctions a ajouter/supprimer ?

Ces commandes s'adressent à des machines Cisco uniquement et d'autres constructeurs ? A priori, c'est un bon départ...

Citation:

ça ne serait pas mieux que par défaut tous les vlans soient activés ?

Perso, j'évite autant que possible de faire un "trunk allowed vlan all". Histoire de toujours se poser la question de savoir quels Vlans doivent transiter sur ce trunk...

Steph

[boboss123]

Ok, merci pour ces informations

Citation:

Envoyé par IP_Steph

Je pense que c'est essentiellement lié à la terminologie...
802.1q parle de tagged et untagged seulement.
Cisco parle de trunk et d'access.

J'ai eu des contacts avec des personnes qui mettaient en place des réseau (de petite taille) dont je ne suis même pas sure qu'il savaient que les trames étaient modifiées (ajout d'un tag VLAN) lorsqu'on utilise les VLAN. J'avais l'impression que pour eux c'etait un peu magique le fonctionnement XD : en gros, ils configuraient les ports leaf en mode acces dans un VLAN pour séparer leur différents sous-réseau et tous les autres ports en mode trunk sans se poser la question de savoir comment ça fonctionnait. Et après quand il faut les aider à debugger de l'IGMP snooping par dessus avec des switch de plusieurs constructeurs différents et qu'ils n'ont pas accès physiquement à l'infrastructure, je te dis pas la galère XD ...

Citation:

Envoyé par IP_Steph

Ces commandes s'adressent à des machines Cisco uniquement et d'autres constructeurs ? A priori, c'est un bon départ...

ça s'adresse à des personnes peu formées et pour des réseaux hétérogènes. Vu qu'au moins 90% des cours et des doc sur internet parlant de VLAN font référence à CISCO, je pensais qu'il fallait partir sur ce modèle (surtout qu'il y a plusieurs constructeurs qui le suivent aussi : HP, H3C, ...).
=> je parts du principe qu'une personne connaissant bien le fonctionnement des vlans mais ne connaissant pas la terminologie CISCO arrivera toujours à se débrouiller (alors que l'inverse non)...
=> je pense que je ne vais pas implémenter le mode hybrid pour le moment vu qu'il ne sert pas à grand chose.
=> a ton avis, il y a un intérêt de pouvoir configurer le default-vlan (sur un réseau CISCO, la réponse est a priori non, mais pour une autre marque ?) ?
=> aussi, penses-tu que je dois interdire la possibilité de pourvoir interdire le native-vlan des ports trunk (ou je laisse quand même l'option ?) ?
=> penses-tu que la fonction "suppress_all_qinq_tag" que j'ai décrite dans mes fonctions soit utile ?


Est-ce que tu peux me répondre à cette question (je veux être sure d'avoir bien tout compris sur la terminologie CISCO) ?

Citation:

=> La seule application que je vois coté LAN avec plusieurs VLANs, c'est une box avec plusieurs services sur différents VLANs : donc pour ce cas, il suffit de se configurer en mode trunk, non ?

=>ex : on defini le native-vlan pour le service internet et d'autres vlans pour les différents autres services (video, ....)

[IP_Steph]

Citation:

Envoyé par boboss123

=> je pense que je ne vais pas implémenter le mode hybrid pour le moment vu qu'il ne sert pas à grand chose.

Exact.

Citation:

Envoyé par boboss123

=> a ton avis, il y a un intérêt de pouvoir configurer le default-vlan (sur un réseau CISCO, la réponse est a priori non, mais pour une autre marque ?) ?
=> aussi, penses-tu que je dois interdire la possibilité de pourvoir interdire le native-vlan des ports trunk (ou je laisse quand même l'option ?) ?

Changer le default Vlan et interdire le native Vlan sont des options intéressantes.
Une autre option Cisco relative au native Vlan est de le tagger... Sur Cisco, il existe la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport trunk native vlan tag

Le native Vlan est taggé et empêche des attaques de type "VLAN hopping" ou double-tag.

Citation:

Envoyé par boboss123

=> penses-tu que la fonction "suppress_all_qinq_tag" que j'ai décrite dans mes fonctions soit utile ?

Q in Q ? A bannir à mon avis...

Citation:

Envoyé par boboss123

Est-ce que tu peux me répondre à cette question (je veux être sure d'avoir bien tout compris sur la terminologie CISCO) ?

=>ex : on defini le native-vlan pour le service internet et d'autres vlans pour les différents autres services (video, ....)

Non, non... Le native Vlan est une "facilité" qui permet à deux switches connectés par un trunk d'échanger des trames non taggées parce que dans les années 2000, il y avait beaucoup d'environnements mixtes de traffic taggé et non taggé. Et comme le default est égal au native, ça simplifiait grandement les choses ! Par contre côté sécu, c'est pas terrible.

En plus de ça, le native est utilisé entre les switches pour transporter du traffic de contrôle de type CDP/VTP/UDLD/PAgP, etc.

Pour rester général, ma recommandation serait de :
- ne jamais configurer de ports access dans le même Vlan que le native Vlan,
- tagger dès que c'est taggable pour un meilleur contrôle des flux L2,
- éviter autant que possible le "trunk allowed vlan all" sur les trunks.

Steph

[boboss123]

oki, merci

Citation:

Envoyé par IP_Steph

Exact.
Q in Q ? A bannir à mon avis...

ça ne va pas être possible c'est une spécificité requise. Cette fonction couplée a du L2PT tunneling (pour le transport du traffic de contrôle) permet à un operateur de pouvoir louer son réseau à un sous-opérateur de manière transparente.

------------
Pour le coup de la box internet qui gère le trafique internet en non-taggé et le traffic vidéo sur un VLAN, tu configure ton catalyst comment alors (vu que tu me déconseilles d'utiliser le mode trunk pour faire ça) ?

[IP_Steph]

Citation:

Envoyé par boboss123

Pour le coup de la box internet qui gère le trafique internet en non-taggé et le traffic vidéo sur un VLAN, tu configure ton catalyst comment alors (vu que tu me déconseilles d'utiliser le mode trunk pour faire ça) ?

Les recommandations que j'ai données résumaient quelques "bonnes pratiques" mais dans ton cas, tu n'as guère d'alternatives, tu vas devoir utiliser le native au travers d'un trunk !

Steph

[boboss123]

oki merci

j'ai encore un petit problème sur cette histoire de native-vlan :
le terme native-vlan est juste utilisé chez CISCO ou il est aussi utilisé chez d'autre constructeurs ?
Par exemple chez HP, je n'ai pas l'impression qu'ils en parlent : http://h20000.www2.hp.com/bizsupport...riesId=4218345
=> sur ce switch, c'est le pvid qu'on configure (il n'y a pas l'air d'avoir de notions de native-vlan) ... le résultat est le même, non (j'ai quelques doutes au sujet du trafic de contrôle) ? Comment faire alors sur ce type de switch pour interdire le native-vlan ?

[IP_Steph]

C'est Cisco qui a introduit le terme de Native Vlan. H3C et Juniper l'utilisent aussi.

sur

Citation:

ce switch, c'est le pvid qu'on configure (il n'y a pas l'air d'avoir de notions de native-vlan) ... le résultat est le même, non (j'ai quelques doutes au sujet du trafic de contrôle) ?

Oui, concernant les équipements HP (je parle des codes HP antérieurs à l'acquisition de H3C), je crois qu'ils n'ont pas cette notion de Native Vlan. Je ne connais pas suffisamment cette plateforme pour en parler.

Citation:

Comment faire alors sur ce type de switch pour interdire le native-vlan ?

N'autoriser que du tagged ?

Steph

[boboss123]

Ok merci,


Donc entre ces configs, le switch aura le même comportement ?
=> le switch n'accepte peut être pas toutes ces configurations

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
switchport mode trunk
switchport trunk native vlan 20
switchport trunk native vlan tag
trunk allowed vlan 21

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
switchport mode trunk
switchport trunk native vlan 1
trunk allowed vlan 20,21
switchport trunk allowed vlan remove 1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
switchport mode trunk
switchport trunk native vlan 4000 // vlan existant sur aucun autre port
trunk allowed vlan 20,21

---------------

Citation:

En plus de ça, le native est utilisé entre les switches pour transporter du traffic de contrôle de type CDP/VTP/UDLD/PAgP, etc.

Donc si sur un port trunk, du traffic de contrôle (ex: CDP) circule sur un VLAN autre que le native-vlan, il se passe quoi ? il est droppé, ? ignoré ?

[IP_Steph]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
switchport mode trunk
switchport trunk native vlan 20
switchport trunk native vlan tag
trunk allowed vlan 21

Dans cette config, tu tagges le native Vlan et tu tagges en plus le Vlan21.
Ca devrait donc marcher...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
switchport mode trunk
switchport trunk native vlan 1
trunk allowed vlan 20,21
switchport trunk allowed vlan remove 1

Ici, tu retires le native Vlan 1...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
switchport mode trunk
switchport trunk native vlan 4000 // vlan existant sur aucun autre port
trunk allowed vlan 20,21

Ici, tu configures un native Vlan et tu tagges les Vlan20,21.
C'est OK à condition que l'autre switch soit également configuré en native Vlan 4000...

Citation:

Donc si sur un port trunk, du traffic de contrôle (ex: CDP) circule sur un VLAN autre que le native-vlan, il se passe quoi ? il est droppé, ? ignoré ?

Dans le cas où tu retires le native Vlan et que tu gardes CDP configuré sur l'interface, a priori les paquets CDP seront transportés de façon taggée au travers du trunk. Et mon petit doigt me dit qu'ils auront un tag égal à 1

Je peux tester ça mais pas tout de suite...

Steph

[boboss123]

Citation:

Envoyé par IP_Steph

[code]
Ici, tu configures un native Vlan et tu tagges les Vlan20,21.
C'est OK à condition que l'autre switch soit également configuré en native Vlan 4000...

En fait, j'ai fait ça justement pour qu'il n'y ai pas de native VLAN (le VLAN 4000 est est VLAN non utilisé).
J'ai essayé des faire trois configurations ou le native-vlan du switch qui est en face serait le VLAN 20 (taggé) (+ le VLAN 21 pour faire passer des données quelconques)
=> dans les trois cas, les VLAN 20 et 21 fonctionnent et je pourrais les faire sortir sur un port access ou trunk (si je ne me suis pas trompé).
Mais si j'ai bien compris, le CDP ne pourra pas fonctionner pour les cas 2 et 3 car les switch CISCO ne traitent que les protocoles de controle de traffic sur les native-vlan, c'est bien ça ?

Citation:

Dans le cas où tu retires le native Vlan et que tu gardes CDP configuré sur l'interface, a priori les paquets CDP seront transportés de façon taggée au travers du trunk. Et mon petit doigt me dit qu'ils auront un tag égal à 1

=> moi, mon petit doigt me dit que le switch va dire que la commande suivante est invalide :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport trunk allowed vlan remove 1

[IP_Steph]

Citation:

Envoyé par boboss123

=> dans les trois cas, les VLAN 20 et 21 fonctionnent et je pourrais les faire sortir sur un port access ou trunk (si je ne me suis pas trompé).

Oui...

Citation:

Envoyé par boboss123

Mais si j'ai bien compris, le CDP ne pourra pas fonctionner pour les cas 2 et 3, c'est bien ça ?

Ca, c'est la théorie...
Que je préfère vérifier par l'expérience...

Steph

[boboss123]

Citation:

Envoyé par IP_Steph

Ca, c'est la théorie...
Que je préfère vérifier par l'expérience...

D'accord avec toi, il est fréquent d'avoir un fossé entre la théorie et la pratique (mais pas toujours... heureusement) ...

Mais sur les switch qui n'ont pas la notion de native-vlan (comme HP), comment se configure le CDP (ou tout autre protocole de controle de traffic) ? comment on indique dans quel vlan il faut qu'il travail ?

[IP_Steph]

Citation:

Envoyé par boboss123

comment se configure le CDP (ou tout autre protocole de controle de traffic) ? comment on indique dans quel vlan il faut qu'il travail ?

Concernant CDP, je pense qu'un Cisco continuera à envoyer les trames CDP vers son neighbor et qu'elles seront taggées dans le Vlan 1, même si le Vlan n'est pas autorisé...

Oui, je sais, c'est pas logique...

Et c'est pourquoi ça demande à le vérifier par l'expérience...

Steph

[boboss123]

oki, oki, j'attends les résultats de tes tests avec impatience ...

Aussi petite autre question :
Si on déclare le native-vlan en mode tagged sur un port trunk, il est possible d'affecter les paquets non-taggés qui arrivent dans un VLAN particulier ? ... ou les trames non taggées sont forcement droppées à partir du moment que l'on active la fonction tagged sur le native-vlan ?

[IP_Steph]

Citation:

oki, oki, j'attends les résultats de tes tests avec impatience ...

Cf

http://www.fragmentationneeded.net/2...yth-again.html

La messe est dite, mon intuition était juste
Je l'ai également reproduit dans une petite maquette.

Avec le recul, je me souviens avoir déjà désactivé le native Vlan sur des équipements et pourtant le 'sh cdp nei' avait des entrées...

La conclusion était donc que CDP devait être taggé... Et c'est bien sûr au travers du Vlan 1, en dépit du fait qu'il n'est pas déclaré explicitement comme 'allowed' dans le trunk.

Pour reprendre l'auteur de l'URL que je cite ici :

Citation:

VLAN 1 is magic afterall

qui résonne avec ce que j'ai écrit un peu plus haut, de façon un peu moins mystique

Citation:

Le Vlan1 et les codes CatOS/IOS, c'est toute une histoire

Citation:

ou les trames non taggées sont forcement droppées à partir du moment que l'on active la fonction tagged sur le native-vlan ?

Oui, c'est tout à fait ça. C'est pour protéger le traffic untagged contre les attaques de type "hopping", cf

http://en.wikipedia.org/wiki/VLAN_hopping
http://blog.ine.com/2011/01/26/a-vlan-hopping-attack/

que Cisco appelle appelle également le Nested Vlan Attack :

http://www.cisco.com/en/US/products/...8013159f.shtml

d'où ma remarque sur le Q-in-Q

Steph