Discussion :

[boboss123]

Ok merci pour ces informations : difficile de s'y retrouver surtout que lorsque je lis les doc sur le net (forum, blog, ...), j'ai l'impression que 99% (voir même plus..) des gens confondent default-vlan, native-vlan, management-vlan et PVID-vlan.
=> j'avais trouvé nul part à quoi servait réellement ce native-vlan. La fonction du native-vlan n'est pas de gérer les paquets non taggés sur les port trunk mais plutôt de gérer les protocoles servant à faire communiquer les switch entre eux => gros amalgame).

[boboss123]

Vu qu'il n'y a pas de notion de native-vlan sur le port access, ça veut dire que le CDP n'est pas géré sur ce type de port ?

[boboss123]

Cf
d'où ma remarque sur le Q-in-Q

Je ne comprends pas très bien ou est le risque : si une trame arrive avec double tag VLAN10 / VLAN 2 sur un port QinQ VLAN 10. elle sortira du port trunk avec un triple tag VLAN10 / VLAN 10 / VLAN 2. Ce qui fait qu'elle ressortira bien sur le port access du switch distant dans le même état qu'elle est rentrée sans avoir access aux autres vlan.
Je suis passé à coté de quelque chose ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
                  +--------------------+                              +--------------------+
VLAN 10 / VLAN 2  |                    | VLAN 10 / VLAN 10 / VLAN 2   |                    |  VLAN 10 / VLAN 2 
   -------------->| port access  port  |----------------------------->| port   port access |----------->
                  | VLAN 10      trunk |                              | trunk  VLAN 10     |
                  |                    |                              |                    |
                  +--------------------+                              +--------------------+

[Invité]

ça veut dire que le CDP n'est pas géré sur ce type de port ?

L'utilisation du native Vlan par CDP est spécifique aux trunks 802.1q.
Dans le cas d'un port access, CDP s'appuie sur des trames Ethernet.

Steph












Steph

[boboss123]

oki merci

[boboss123]

L'utilisation du native Vlan par CDP est spécifique aux trunks 802.1q.
Dans le cas d'un port access, CDP s'appuie sur des trames Ethernet.

Steph

=> ça veut donc dire que quelqu'un qui se connecte sur un port access peut détecter tous les switchs qui sont sur le réseau via CDP ? ... c'est pas un peu dangereux ça ? a part désactiver complétement la fonction, il n'y a pas moyen de résoudre le problème ?

[Invité]

=> ça veut donc dire que quelqu'un qui se connecte sur un port access peut détecter tous les switchs qui sont sur le réseau via CDP ? ... c'est pas un peu dangereux ça ? a part désactiver complétement la fonction, il n'y a pas moyen de résoudre le problème ?

Oui... La pratique courante, c'est d'activer CDP là où on en a besoin seulement (c'est configurable par interface).

Steph

[boboss123]

ok, merci

[boboss123]

bonjour,

Il existe effectivement la commande d'interface suivante (pour interdire le native-vlan sur un port trunk) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

no switchport trunk native vlan

=> je viens de faire le test sur un SG-300-10P et ça n'interdit pas le native-vlan : le native-vlan prend comme valeur, le default-vlan.
=> c'est pareil sur un catalyst ? ... il semblerait donc que pour interdire le native-vlan qu'il faille l'affecter dans un vlan qui ne contient aucun autre port

Remarque : j'ai aussi testé la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

switchport trunk native vlan tag

=> cette commande apparait dans l'aide du terminal mais me met une erreur comme quoi la commande est erronée (nombre d'arguments incorrectes) : ça doit être un bug...

[Invité]

il semblerait donc que pour interdire le native-vlan qu'il faille l'affecter dans un vlan qui ne contient aucun autre port

Ce qui revient à dire qu'on assigne le Native VLAN à un VLAN autre que le 1, ce qui est une autre bonne pratique possible à mettre en oeuvre (donc on ne l'interdit pas).

=> cette commande apparait dans l'aide du terminal mais me met une erreur comme quoi la commande est erronée (nombre d'arguments incorrectes) : ça doit être un bug...

Aucune idée, je ne connais pas le contexte de ce que tu as fait...

Steph

[boboss123]

ok merci

[boboss123]

rebonjour,

j'ai encore une petite question pour configurer un CISCO.

Pour sélectionner un port pour pouvoir configurer les VLANs de celui-ci, je dois entrer les commandes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
// etape 1
configure terminal
interface ge2

Ensuite seulement, je peux modifier sa configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
// etape 2
switchport mode access
switchport access vlan 10

Et c'est là que les problèmes commencent.
Je veux vérifier ma configuration, je dois donc entrer les commandes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
// etape 3
exit
exit
show interfaces switchport ge2
// exit, exit peut-être remplacé par end ou ctrl+z

=> il faut donc entrer au minimum deux commandes pour pouvoir visualiser la configuration (c'est un peu lourd mais ça va encore)

Après ça se complique : en regardant ma configuration, je me rend compte qu'il faut modifier la configuration du port, je dois donc tout retaper :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
configure terminal
interface ge2
switchport mode access
switchport access vlan 20
exit
exit
show interfaces switchport ge2

=> C'est super lourd !!! Il n'y a pas moyen de rester dans le mode (config-if) et de pouvoir voir l'état des vlans du port (ou une méthode pour m'éviter de devoir tout retaper ?) ?


merci d'avance,

[Invité]

=> C'est super lourd !!! Il n'y a pas moyen de rester dans le mode (config-if) et de pouvoir voir l'état des vlans du port (ou une méthode pour m'éviter de devoir tout retaper ?) ?

Tu peux voir la configuration active d'un port lorsque tu es en mode enabled :

Router(config-if)#do show run int ge2

mais si ton Cisco ne tourne pas sur un "vrai IOS", je doute que ça fonctionne...

Steph

[boboss123]

merci, le principe que tu décris fonctionne
Sur un SG 300-10P, je peux afficher la config des vlans en faisant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
xxxxx(config-if)#do show interfaces switchport ge2
xxxxx(config-if)#

ça évite donc de faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
xxxxx(config-if)#end
xxxxx#show interfaces switchport ge2
xxxxx#configure terminal
xxxxx(config)#interface ge2
xxxxx(config-if)#

[boboss123]

Bonjour,

Sur un Catalyst lorsque l'on configure le native-VLAN d'un port TRUNK en mode tagged, la commande "show interfaces switchport <port>" affiche quoi ?

merci d'avance,

[Invité]

la commande "show interfaces switchport <port>" affiche quoi ?

Cette commande s'applique à un module, pas à un port.

Par exemple, si j'ai une carte multiports Ethernet dans le slot 1 d'un Catalyst, on utilisera la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show interfaces switchport module 1

puis le Catalyst va afficher toutes les caractéristiques de switching configurées sur les ports du module. En particulier, si on tagge le Native VLAN avec le VLAN10 sur un port, on aura le display suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Trunking Native Mode VLAN: 10 (VLAN0010)

alors que si on ne touche pas au Native VLAN, ça donnera :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Trunking Native Mode VLAN: 1 (default)

Pour avoir le même display sur les ports individuels, il faut utiliser la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show int gi1/0 switchport

par exemple.

Steph

[boboss123]

ok merci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Trunking Native Mode VLAN: 10 (VLAN0010)

C'est justement ça que je voulais voir : donc pour savoir si le Natve VLAN est taggé, il faut aller voir dans la table des VLANS qui est après (ce n'est pas indiqué directement dans cette section) : c'est bien ça ?

[boboss123]

Rebonjour,

J'ai une autre petite question :
Si on configure le port entrant en QinQ et le port sortant en Access (dans le même VLAN) : si sur le port entrant un paquet avec un tag VLAN (autre que celui du VLAN du port) arrive, comment ressort le paquet (non modifié, non-taggé, double-taggé ou bloqué ?) ?

Merci d'avance

[Invité]

Rebonjour,

J'ai une autre petite question :
Si on configure le port entrant en QinQ et le port sortant en Access (dans le même VLAN) : si sur le port entrant un paquet avec un tag VLAN (autre que celui du VLAN du port) arrive, comment ressort le paquet (non modifié, non-taggé, double-taggé ou bloqué ?) ?

Merci d'avance

Le paquet sera simplement détruit. Mais dans le cas de Q-in-Q, si les équipements sont correctement configurés (concernant la tag list et les précautions d'usage sur les native-VLAN), ça ne devrait pas arriver...

Steph

[boboss123]

oki, merci
Donc le fonctionnement n'est pas le même que sur un CISCO DGS-3200-10.
Sur un DGS-3200-10, le paquets ressortent sur les ports accès taggés (mais dans l'autre sens sont bloqués)