Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Configuration switch CISCO Catalyst
Bonjour,
Je suis entrain de regarder comment se configure les VLANs en ligne de commande sur un switch CISCO Catalyst.
lorsqu'on fait :
le port est mis dans quel VLAN ? le native VLAN ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport mode access
Comment fait-on pour configurer le vid du native VLAN ?
Et comment fait-on pour configurer la vlan de management ?
merci d'avance,
Oui, par défaut le port sera dans le native VLAN.Envoyé par boboss123
Pour configurer le VLAN Id, il faut entrer la commande d'interface
Dans une config "sortie d'usine", si le Vlan xxx n'existe pas lorsque tu entres la commande, le switch le créera. Dans le cas contraire, il y aura un message d'erreur (souvent lié à la configuration active VTP).
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport access vlan xxxx
On crée une interface Vlan locale au switch qui servira à l'attaquer en IP.
Ensuite, il faut s'assurer que le Vlan de management est bien "tiré" entre la station de management et le switch.
Steph
ok, merci pour les informations
Je connaissais déjà cette commande. En fait ma question était plutôt de savoir comment modifier la valeur par défaut du native vlan (ex: qu'il soit à 50 au lieu de 1) ?
C'est a dire que si j'entre la commade suivante :
=> que le port soit mis dans le vlan 50 (au lieu de 1)
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport mode access
... peut-être que ce n'est pas configurable...
Aussi lorsqu'on est en mode "switchport mode multi"
Quand j'entre cette commande :
Les VLAN 1,2 et 3 vont ressortir taggé de ce port, c'est bien ça ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport multi vlan 1,2,3
Comment faire alors pour que le VLAN 1 sorte taggé et que les VLAN 2 et 3 sortent non taggés ?
La notion de Native VLAN n'a de sens local que pour des interfaces trunks. Je m'explique...
Voici le scenario qui explique la différence entre Native VLAN et Default VLAN.
Voici ce que j'ai configuré sur SW1 :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11+-----+ | SW1 | +-----+ f1/0/ \f1/1 / \ trunk trunk / \ f1/0/ \f1/0 +-----+ +-----+ | SW2 | | SW3 | +-----+ +-----+
puis sur l'interface f1/0 de SW2 :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
et l'interface f1/0 de SW3 :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
En d'autres termes, SW1 possède 2 Native VLANs !
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Qu'est-ce que le Native VLAN ? C'est le VLAN utilisé le long d'un trunk entre 2 équipements L2 pour transporter le traffic non-taggé. Sur les équipements Cisco, ce sera le cas du traffic de certains services comme VTP, DTP et CDP.
Configurons maintenant un des ports de SW1 en mode access sans préciser le VLAN :
A quel VLAN appartient ce port ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
Ben, oui, le VLAN 1... Par définition, c'est le Default VLAN... Celui qui s'accapare les ports de switch sur lesquels on n'a pas précisé le VLAN Id...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Donc pour répondre à ta question
(qui était mal posée parce que tu ne connaissais pas encore la différence entre le Native et le Default VLAN), effectivement, le Default Vlan n'est pas configurable.ma question était plutôt de savoir comment modifier la valeur par défaut du native vlan (ex: qu'il soit à 50 au lieu de 1) ?
Venons-en à ta 2ème question concernant le multi VLAN...
Le multi VLAN est une configuration particulière de port Access et à ce titre, les trames émises par un port multi VLAN ne seront pas taggées...
Le multi VLAN avait été introduit lorsque les routeurs ne supportaient pas encore les trunks 802.1q. L'interface multi VLAN du switch était alors connectée à une interface de routeur configurée avec des adresses IP secondaires pour assurer le routage inter-VLAN. Ma recommandation serait d'éviter ce genre de fonctionnalité (appelée à disparaître d'ailleurs). C'est un artifice !
Je réponds par une autre question... Comment l'équipement qui reçoit ce traffic untagged pourra faire la différence entre le traffic provenant du VLAN 2 de celui provenant du VLAN 3 ?Comment faire alors pour que le VLAN 1 sorte taggé et que les VLAN 2 et 3 sortent non taggés ?
Que veux-tu faire exactement ?
Steph
Merci pour ces explications : effectivement je pensais que native vlan et default vlan était la même chose. J'ai un CISCO SG-300-10P (je n'ai pas encore acheté de catalyst) et il est possible de configurer le default vlan => tu es sure que ce n'est pas possible sur les catalyst (si ce n'est pas le cas, tu vois pourquoi CISCO a empêché de faire ça ? ... il doit y avoir une raison...serait-ce dangereux de pouvoir le configurer ?) ?
Pour poursuivre mes tests, je pensais utiliser GNS3 mais a priori il faut avoir acheter le switch pour avoir le droit d'utiliser l'image du firmware dans GNS3...
J'ai mal interprété la définition de "multi", je pensais qu'avec ce type de configuration qu'on pouvait controller exactement la manière dont sortait les vlans. J'ai vu que sur un H3C S5120-SI c'était a priori possible (c'est le mode hybrid). Donc a priori il n'y a aucun interet d'un tel mode ?
=> La seule application que je vois coté LAN avec plusieurs VLANs, c'est une box avec plusieurs service sur différents VLANs : donc pour ce cas, il suffit de se configurer en mode trunk, non ? ... je ne vois pas d'application avec plusieurs vlan non taggés ...
=> sur un port trunk, il est possible d'interdire le native-vlan (pour interdire les trames non taggées) ? si oui, comment ?
Je pose toutes ces questions car je développe des appareils à base de switchs L2 qui se trouvent en fin de réseau (CPE et concentrateur de caméra sur Fibre optique, produits spécifiques...). Actuellement les commandes de configuration que j'ai développées sont très proche du hardware : l'avantage est que ça permet de pouvoir faire n'importe quelle configuration (dont celle du multiple VLAN non taggé en sortie) mais j'ai remarqué que ça posait des problèmes de compréhensions des commandes pour des utilisateurs formatés "CISCO" qui ne maitrise pas bien les VLANs (en gros la majorité des utilisateurs).
Donc je pensais modifier l'interface de configuration pour se rapprocher du "standard" qu'est "CISCO".
Donc voici la liste de commandes que je pensai gérer
Le but n'est pas de faire un copier/coller du fonctionnement de CISCO mais d'avoir une interface la plus intuitive et conviviale possible (attention, trop d'options, tue l'option
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54Les paramêtres entre crochets sont optionnels // ************** cfgmanagementvlan <vid> défini l'interface vlan du management (il n'y a qu'une seule interface de management disponible) cfgdefaultvlan <vid> configure le default vlan : vlan dans lequel les ports sont mis par defaut // ************** addvlan <vid> [vlan_name>] crée un vlan rmvlan <vid> supprime un vlan (suppression du default vlan interdite) showvlan [<vid>] affiche les vlans // ************** cfgportvlan <port_list> <mode> [<pvid>] configure le mode du port <mode> : access ou trunk <pvid> : vlan associé aux paquets non taggés (pour les ports trunk, ça correspond au native vlan de chez CISCO) cfgportvlan affiche la configuration des ports // ************** // fonctions autorisées que pour les ports configurés en mode trunk addtrunkvlan <port_list> <vid_list> autorise les vlans a transiter sur le port ("all" autorise tous les vlans) rmtrunkvlan <port_list> <vid_list> interdit les vlans a transiter sur le port ("all" interdit tous les vlans) // on autorise a pouvoir supprimer le vlan du pvid ? cfgqinqtrunk <port_list> (enable|disable) [<ethtype>] active/désactive le qinq sur un port de type trunk <ethtype> : Ether Type du stag. trois valeurs possibles 802.1q (0x8100), 802.1ad (0x88A8) ou QinQ (0x9100) // => ya t-il un interet de gérer l'ethtype 0x9100 (a priori c'est obsolete) ? // ************** // fonctions autorisées que pour les ports configurés en mode access cfgqinqaccess <port_list> (enable|disable) [<mode>] active/désactive le qinq sur un port de type trunk <mode> : - suppress_stag_only : supprime uniquement le stag - suppress_all_qinq_tag : supprime tous les tags dont l'Ether Type est celui du QinQ (fonction indisponible si <ethtype> = 802.1q // => le mode "suppress_all_qinq_tag" est-il réellement utile ?).
Tu en pense quoi (j'ai mis quelques questions en commentaire) ? tu vois des améliorations possibles ou des fonctions a ajouter/supprimer ?
Remarque : lorsqu'on crée un port trunk, par défaut aucun vlan n'est autorisé sauf le native-vlan. ça ne serait pas mieux que par défaut tous les vlans soient activés ?
J'espère qu'il n'y a pas trop de questions
Encore merci,
J'ignorais que c'était possible...J'ai un CISCO SG-300-10P (je n'ai pas encore acheté de catalyst) et il est possible de configurer le default vlan
Quasiment sûr... Le Vlan1 et les codes CatOS/IOS, c'est toute une histoiretu es sure que ce n'est pas possible sur les catalyst (si ce n'est pas le cas, tu vois pourquoi CISCO a empêché de faire ça ? ... il doit y avoir une raison...serait-ce dangereux de pouvoir le configurer ?
Oui, il faut les IOS natifs pour les charger dans GNS3Pour poursuivre mes tests, je pensais utiliser GNS3 mais a priori il faut avoir acheter le switch pour avoir le droit d'utiliser l'image du firmware dans GNS3...
Oui je connais aussi très bien le code Huaweï/H3C et c'est un des constructeurs à proposer ce mode hybride. Perso, je ne l'ai jamais utilisé et je pense que les cas de figure où on doive absolument configurer plusieurs Vlans untagged doivent se compter sur les doigts d'une main.J'ai vu que sur un H3C S5120-SI c'était a priori possible (c'est le mode hybrid). Donc a priori il n'y a aucun interet d'un tel mode ?
Intuitivement, je dirais que ça peut avoir un intérêt pour collecter des flux untagged pour les concentrer vers un équipement L2 qui ne sais pas causer 802.1q. Cas extrêmes donc...
Il existe effectivement la commande d'interface suivante :sur un port trunk, il est possible d'interdire le native-vlan (pour interdire les trames non taggées) ? si oui, comment ?
mais ma recommandation serait de l'utiliser avec précaution puisque le native a un rôle assez central vis-à-vis de certains "traffics de service".
Code : Sélectionner tout - Visualiser dans une fenêtre à part no switchport trunk native vlan
Je pense que c'est essentiellement lié à la terminologie...j'ai remarqué que ça posait des problèmes de compréhensions des commandes pour des utilisateurs formatés "CISCO" qui ne maitrise pas bien les VLANs
802.1q parle de tagged et untagged seulement.
Cisco parle de trunk et d'access.
Et comme tu le mentionnais, d'autres constructeurs ont introduit l'hybride.
Ces commandes s'adressent à des machines Cisco uniquement et d'autres constructeurs ? A priori, c'est un bon départ...
Code : Sélectionner tout - Visualiser dans une fenêtre à part Tu en pense quoi (j'ai mis quelques questions en commentaire) ? tu vois des améliorations possibles ou des fonctions a ajouter/supprimer ?
Perso, j'évite autant que possible de faire un "trunk allowed vlan all". Histoire de toujours se poser la question de savoir quels Vlans doivent transiter sur ce trunk...ça ne serait pas mieux que par défaut tous les vlans soient activés ?
Steph
Ok, merci pour ces informations
J'ai eu des contacts avec des personnes qui mettaient en place des réseau (de petite taille) dont je ne suis même pas sure qu'il savaient que les trames étaient modifiées (ajout d'un tag VLAN) lorsqu'on utilise les VLAN. J'avais l'impression que pour eux c'etait un peu magique le fonctionnement XD : en gros, ils configuraient les ports leaf en mode acces dans un VLAN pour séparer leur différents sous-réseau et tous les autres ports en mode trunk sans se poser la question de savoir comment ça fonctionnait. Et après quand il faut les aider à debugger de l'IGMP snooping par dessus avec des switch de plusieurs constructeurs différents et qu'ils n'ont pas accès physiquement à l'infrastructure, je te dis pas la galère XD ...
ça s'adresse à des personnes peu formées et pour des réseaux hétérogènes. Vu qu'au moins 90% des cours et des doc sur internet parlant de VLAN font référence à CISCO, je pensais qu'il fallait partir sur ce modèle (surtout qu'il y a plusieurs constructeurs qui le suivent aussi : HP, H3C, ...).
=> je parts du principe qu'une personne connaissant bien le fonctionnement des vlans mais ne connaissant pas la terminologie CISCO arrivera toujours à se débrouiller (alors que l'inverse non)...
=> je pense que je ne vais pas implémenter le mode hybrid pour le moment vu qu'il ne sert pas à grand chose.
=> a ton avis, il y a un intérêt de pouvoir configurer le default-vlan (sur un réseau CISCO, la réponse est a priori non, mais pour une autre marque ?) ?
=> aussi, penses-tu que je dois interdire la possibilité de pourvoir interdire le native-vlan des ports trunk (ou je laisse quand même l'option ?) ?
=> penses-tu que la fonction "suppress_all_qinq_tag" que j'ai décrite dans mes fonctions soit utile ?
Est-ce que tu peux me répondre à cette question (je veux être sure d'avoir bien tout compris sur la terminologie CISCO) ?
=>ex : on defini le native-vlan pour le service internet et d'autres vlans pour les différents autres services (video, ....)=> La seule application que je vois coté LAN avec plusieurs VLANs, c'est une box avec plusieurs services sur différents VLANs : donc pour ce cas, il suffit de se configurer en mode trunk, non ?
Exact.
Changer le default Vlan et interdire le native Vlan sont des options intéressantes.
Une autre option Cisco relative au native Vlan est de le tagger... Sur Cisco, il existe la commande :
Le native Vlan est taggé et empêche des attaques de type "VLAN hopping" ou double-tag.
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport trunk native vlan tag
Q in Q ? A bannir à mon avis...
Non, non... Le native Vlan est une "facilité" qui permet à deux switches connectés par un trunk d'échanger des trames non taggées parce que dans les années 2000, il y avait beaucoup d'environnements mixtes de traffic taggé et non taggé. Et comme le default est égal au native, ça simplifiait grandement les choses ! Par contre côté sécu, c'est pas terrible.
En plus de ça, le native est utilisé entre les switches pour transporter du traffic de contrôle de type CDP/VTP/UDLD/PAgP, etc.
Pour rester général, ma recommandation serait de :
- ne jamais configurer de ports access dans le même Vlan que le native Vlan,
- tagger dès que c'est taggable pour un meilleur contrôle des flux L2,
- éviter autant que possible le "trunk allowed vlan all" sur les trunks.
Steph
oki, merci
ça ne va pas être possible c'est une spécificité requise. Cette fonction couplée a du L2PT tunneling (pour le transport du traffic de contrôle) permet à un operateur de pouvoir louer son réseau à un sous-opérateur de manière transparente.
------------
Pour le coup de la box internet qui gère le trafique internet en non-taggé et le traffic vidéo sur un VLAN, tu configure ton catalyst comment alors (vu que tu me déconseilles d'utiliser le mode trunk pour faire ça) ?
Les recommandations que j'ai données résumaient quelques "bonnes pratiques" mais dans ton cas, tu n'as guère d'alternatives, tu vas devoir utiliser le native au travers d'un trunk !
Steph
oki merci
j'ai encore un petit problème sur cette histoire de native-vlan :
le terme native-vlan est juste utilisé chez CISCO ou il est aussi utilisé chez d'autre constructeurs ?
Par exemple chez HP, je n'ai pas l'impression qu'ils en parlent : http://h20000.www2.hp.com/bizsupport...riesId=4218345
=> sur ce switch, c'est le pvid qu'on configure (il n'y a pas l'air d'avoir de notions de native-vlan) ... le résultat est le même, non (j'ai quelques doutes au sujet du trafic de contrôle) ? Comment faire alors sur ce type de switch pour interdire le native-vlan ?
C'est Cisco qui a introduit le terme de Native Vlan. H3C et Juniper l'utilisent aussi.
surOui, concernant les équipements HP (je parle des codes HP antérieurs à l'acquisition de H3C), je crois qu'ils n'ont pas cette notion de Native Vlan. Je ne connais pas suffisamment cette plateforme pour en parler.ce switch, c'est le pvid qu'on configure (il n'y a pas l'air d'avoir de notions de native-vlan) ... le résultat est le même, non (j'ai quelques doutes au sujet du trafic de contrôle) ?
N'autoriser que du tagged ?Comment faire alors sur ce type de switch pour interdire le native-vlan ?
Steph
Ok merci,
Donc entre ces configs, le switch aura le même comportement ?
=> le switch n'accepte peut être pas toutes ces configurations
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
---------------
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
Donc si sur un port trunk, du traffic de contrôle (ex: CDP) circule sur un VLAN autre que le native-vlan, il se passe quoi ? il est droppé, ? ignoré ?En plus de ça, le native est utilisé entre les switches pour transporter du traffic de contrôle de type CDP/VTP/UDLD/PAgP, etc.
Dans cette config, tu tagges le native Vlan et tu tagges en plus le Vlan21.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Ca devrait donc marcher...
Ici, tu retires le native Vlan 1...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Ici, tu configures un native Vlan et tu tagges les Vlan20,21.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
C'est OK à condition que l'autre switch soit également configuré en native Vlan 4000...
Dans le cas où tu retires le native Vlan et que tu gardes CDP configuré sur l'interface, a priori les paquets CDP seront transportés de façon taggée au travers du trunk. Et mon petit doigt me dit qu'ils auront un tag égal à 1Donc si sur un port trunk, du traffic de contrôle (ex: CDP) circule sur un VLAN autre que le native-vlan, il se passe quoi ? il est droppé, ? ignoré ?
Je peux tester ça mais pas tout de suite...
Steph
En fait, j'ai fait ça justement pour qu'il n'y ai pas de native VLAN (le VLAN 4000 est est VLAN non utilisé).
J'ai essayé des faire trois configurations ou le native-vlan du switch qui est en face serait le VLAN 20 (taggé) (+ le VLAN 21 pour faire passer des données quelconques)
=> dans les trois cas, les VLAN 20 et 21 fonctionnent et je pourrais les faire sortir sur un port access ou trunk (si je ne me suis pas trompé).
Mais si j'ai bien compris, le CDP ne pourra pas fonctionner pour les cas 2 et 3 car les switch CISCO ne traitent que les protocoles de controle de traffic sur les native-vlan, c'est bien ça ?
=> moi, mon petit doigt me dit que le switch va dire que la commande suivante est invalideDans le cas où tu retires le native Vlan et que tu gardes CDP configuré sur l'interface, a priori les paquets CDP seront transportés de façon taggée au travers du trunk. Et mon petit doigt me dit qu'ils auront un tag égal à 1
Code : Sélectionner tout - Visualiser dans une fenêtre à part switchport trunk allowed vlan remove 1
Oui...
Ca, c'est la théorie...
Que je préfère vérifier par l'expérience...
Steph
D'accord avec toi, il est fréquent d'avoir un fossé entre la théorie et la pratique
Mais sur les switch qui n'ont pas la notion de native-vlan (comme HP), comment se configure le CDP (ou tout autre protocole de controle de traffic) ? comment on indique dans quel vlan il faut qu'il travail ?
Concernant CDP, je pense qu'un Cisco continuera à envoyer les trames CDP vers son neighbor et qu'elles seront taggées dans le Vlan 1, même si le Vlan n'est pas autorisé...
Oui, je sais, c'est pas logique...
Et c'est pourquoi ça demande à le vérifier par l'expérience...
Steph
oki, oki, j'attends les résultats de tes tests avec impatience
Aussi petite autre question :
Si on déclare le native-vlan en mode tagged sur un port trunk, il est possible d'affecter les paquets non-taggés qui arrivent dans un VLAN particulier ? ... ou les trames non taggées sont forcement droppées à partir du moment que l'on active la fonction tagged sur le native-vlan ?
Cfoki, oki, j'attends les résultats de tes tests avec impatience
http://www.fragmentationneeded.net/2...yth-again.html
La messe est dite, mon intuition était juste
Je l'ai également reproduit dans une petite maquette.
Avec le recul, je me souviens avoir déjà désactivé le native Vlan sur des équipements et pourtant le 'sh cdp nei' avait des entrées...
La conclusion était donc que CDP devait être taggé... Et c'est bien sûr au travers du Vlan 1, en dépit du fait qu'il n'est pas déclaré explicitement comme 'allowed' dans le trunk.
Pour reprendre l'auteur de l'URL que je cite ici :
qui résonne avec ce que j'ai écrit un peu plus haut, de façon un peu moins mystiqueVLAN 1 is magic afterall
Le Vlan1 et les codes CatOS/IOS, c'est toute une histoire
Oui, c'est tout à fait ça. C'est pour protéger le traffic untagged contre les attaques de type "hopping", cfou les trames non taggées sont forcement droppées à partir du moment que l'on active la fonction tagged sur le native-vlan ?
http://en.wikipedia.org/wiki/VLAN_hopping
http://blog.ine.com/2011/01/26/a-vlan-hopping-attack/
que Cisco appelle appelle également le Nested Vlan Attack :
http://www.cisco.com/en/US/products/...8013159f.shtml
d'où ma remarque sur le Q-in-Q
Steph
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager