Packet Tracer : Permettre le passage des VLAN entre 2 commutateurs (trunk)
Objectif
Permettre aux ordinateurs de chaque VLAN de se pinguer, peu importe qu'ils soient connectés au COM_1 ou au COM_2.
En revanche, les ordinateurs de 2 VLAN différents ne doivent pas pouvoir se joindre.
Nous nous attachons désormais uniquement à la configuration des VLAN.
Le nom d'hôte et la sécurisation du mode d'exécution privilégié doit déjà avoir été faîte (voir article précédent).
Configuration du COM_1
COM_1>enable
COM_1# conf t
COM_1(config)#vlan 10
COM_1(config-vlan)#vlan 20
COM_1(config-vlan)#exit
COM_1(config)#interface GigabitEthernet 9/1
COM_1(config-if)#switchport mode access
COM_1(config-if)#switchport access vlan 10
COM_1(config-if)#no shut
COM_1(config-if)#interface GigabitEthernet 8/1
COM_1(config-if)#switchport mode access
COM_1(config-if)#switchport access vlan 20
COM_1(config-if)#no shut
COM_1(config-if)#interface GigabitEthernet 7/1
COM_1(config-if)#switchport mode access
COM_1(config-if)#switchport access vlan 10
COM_1(config-if)#no shut
COM_1(config-if)#interface GigabitEthernet 6/1
COM_1(config-if)#switchport mode access
COM_1(config-if)#switchport access vlan 20
COM_1(config-if)#no shut
COM_1(config-if)#interface GigabitEthernet 0/1
COM_1(config-if)#switchport mode trunk
COM_1(config-if)#no shut
COM_1(config-if)#exit
COM_1(config)#exit
COM_1# show vlan brief
COM_1# write memory
COM_1# show startup-configConfiguration du COM_2
COM_2>enable
COM_2# conf t
COM_2(config)#vlan 10
COM_2(config-vlan)#vlan 20
COM_2(config-vlan)#exit
COM_2(config)#interface GigabitEthernet 9/1
COM_2(config-if)#switchport mode access
COM_2(config-if)#switchport access vlan 10
COM_2(config-if)#no shut
COM_2(config-if)#interface GigabitEthernet 8/1
COM_2(config-if)#switchport mode access
COM_2(config-if)#switchport access vlan 10
COM_2(config-if)#no shut
COM_2(config-if)#interface GigabitEthernet 7/1
COM_2(config-if)#switchport mode access
COM_2(config-if)#switchport access vlan 20
COM_2(config-if)#no shut
COM_2(config-if)#interface GigabitEthernet 6/1
COM_2(config-if)#switchport mode access
COM_2(config-if)#switchport access vlan 20
COM_2(config-if)#no shut
COM_2(config-if)#interface GigabitEthernet 0/1
COM_2(config-if)#switchport mode trunk
COM_2(config-if)#no shut
COM_2(config-if)#exit
COM_2(config)#exit
COM_2# show vlan brief
COM_2# write memory
COM_2# show startup-configAttribution des adresses IP aux PC
Afin de pouvoir vérifier le ping entre les ordinateurs, nous allons leur attribuer à chacun une adresse IP, volontairement sur le même réseau (exemple : 10.10.10.0/24).
Exemple :
- PC0 : 10.10.10.1 255.255.255.0
- PC1 : 10.10.10.2 255.255.255.0
- PC2 : 10.10.10.3 255.255.255.0
- PC3 : 10.10.10.4 255.255.255.0
- PC4 : 10.10.10.5 255.255.255.0
- PC5 : 10.10.10.6 255.255.255.0
- PC6 : 10.10.10.7 255.255.255.0
- PC7 : 10.10.10.8 255.255.255.0
Faîtes le test avec l'enveloppe, cela fonctionne.
Conclusion
Voici donc comment permettre à des machines d'un même VLAN de communiquer. Nous avons montré qu'il était possible d'assurer une isolation et une sécurité au niveau 2, même lorsque les machines possèdent des adresses IP sur le même réseau. Cela garantit qu'elles ne puissent naturellement communiquer qu'au sein de leur VLAN.
La prochaine étape consiste à permettre le routage entre des VLAN différents, c'est-à-dire à permettre à des ordinateurs appartenant à un VLAN donné de communiquer avec des machines situées dans un autre VLAN. Pour cela, un dispositif de routage, tel qu'un routeur ou un switch de niveau 3, sera nécessaire.
En termes de sécurité, il sera essentiel d'appliquer une double protection :
- Au niveau de la couche 2 : grâce à la segmentation par VLAN, qui limite les communications non autorisées.
- Au niveau de la couche 3 : en segmentant les machines par sous-réseaux IP distincts.
Ainsi, non seulement les machines ne pourront pas échanger directement via leurs adresses IP, car elles appartiendront à des sous-réseaux différents, mais les VLAN renforceront également cette isolation en empêchant toute communication non explicitement autorisée.