Introduction
Les VLANs (Virtual Local Area Networks) sont essentiels pour segmenter un réseau physique en plusieurs réseaux logiques, améliorant la sécurité, la performance et la gestion. Imaginez un switch comme un immeuble : sans VLANs, tous les locataires partagent les mêmes couloirs (broadcast domain) ; avec VLANs, chaque étage est isolé. En 2026, avec l'essor de l'IoT et des réseaux hybrides, maîtriser les VLANs est crucial pour éviter les congestions et les attaques latérales.
Ce tutoriel intermédiaire vous emmène de la configuration de base à des setups avancés comme les trunks 802.1Q et VTP. Nous utilisons Cisco IOS sur un switch Catalyst (ex: 2960 via Packet Tracer ou GNS3). À la fin, vous saurez implémenter un réseau segmenté avec 3 VLANs (VLAN 10: Prod, 20: Dev, 30: Guest), assigner des ports et inter-connecter des switches. Chaque étape inclut des commandes complètes, vérifiables. Durée estimée : 30 min en lab. Pourquoi c'est vital ? Réduit les domaines de diffusion de 100% à 33%, booste la sécurité via isolation.
(148 mots)
Prérequis
- Switch Cisco émulé (Packet Tracer 8+, GNS3 avec IOS 15.x) ou physique (Catalyst 2960/3650).
- Connaissances de base en réseaux : IP, switches layer 2.
- Accès console/Telnet/SSH au switch (câble série ou PuTTY).
- Notions CLI Cisco (modes user/exec/config).
- 2 switches + 2 PCs pour tester trunks (optionnel).
Configuration de base du switch
enable
configure terminal
hostname SW1
enable secret cisco123
line console 0
password cisco
login
line vty 0 15
password cisco
login
service password-encryption
no ip domain-lookup
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
ip default-gateway 192.168.1.1
end
write memoryCette configuration initiale définit un hostname, sécurise les accès (mots de passe chiffrés), configure l'interface de gestion VLAN1 avec IP et gateway. Elle évite les lookups DNS inutiles. Piège : oublier 'write memory' perd la config au reboot ; toujours vérifier avec 'show running-config' après.
Création et description des VLANs
Avant d'assigner des ports, créez les VLANs. Nous en faisons 3 : VLAN10 (Prod, 192.168.10.0/24), VLAN20 (Dev, 192.168.20.0/24), VLAN30 (Guest, 192.168.30.0/24). Utilisez des noms pour la lisibilité. Vérifiez avec 'show vlan brief'.
Créer les VLANs
enable
configure terminal
vlan 10
name Production
vlan 20
name Development
vlan 30
name Guest
exit
end
show vlan briefCrée 3 VLANs avec noms descriptifs. Le VLAN1 reste pour management. La commande 'show vlan brief' liste VLANs actifs, ports assignés (vides ici). Piège : VLANs >4094 sur certains switches ; limitez à 1000 pour Catalyst standards.
Assignation des ports d'accès
Les ports d'accès sont pour endpoints (PCs). Fa.Fa (FastEthernet0/1). Configurez Fa0/1-5 en VLAN10, Fa0/6-10 en VLAN20, Fa0/11-15 en VLAN30. Mode access empêche trunks non autorisés.
Configurer les ports d'accès
enable
configure terminal
interface range fa0/1 - 5
switchport mode access
switchport access vlan 10
spanning-tree portfast
interface range fa0/6 - 10
switchport mode access
switchport access vlan 20
spanning-tree portfast
interface range fa0/11 - 15
switchport mode access
switchport access vlan 30
spanning-tree portfast
end
show interfaces switchportAssigne ports en mode access à VLANs spécifiques, active PortFast pour convergence rapide (PCs). 'show interfaces switchport' vérifie operational mode/VLAN. Piège : sans PortFast, TCN floods ralentissent ; utilisez-le seulement pour non-switches.
Configuration des ports trunk
Pour inter-connecter switches, utilisez trunks (802.1Q). Port Fa0/24 vers SW2. Autorisez VLANs 10,20,30 (native VLAN1). Vérifiez avec 'show interfaces trunk'.
Configurer le port trunk
enable
configure terminal
interface fa0/24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 10,20,30
switchport nonegotiate
end
show interfaces trunk
show interfaces fa0/24 switchportConfigure trunk 802.1Q, restreint VLANs autorisés pour sécurité, désactive DTP (nonegotiate). Vérifications montrent trunks up et VLANs passing. Piège : mismatch native VLAN cause drops ; alignez sur tous trunks.
Configuration VTP pour propagation
VTP (VLAN Trunking Protocol) propage VLANs vers SW2. Mode server sur SW1 (créateur), client sur SW2. Domain 'Learni'. Password pour sécurité.
Activer VTP
enable
configure terminal
vtp domain Learni
vtp mode server
vtp password learni123
vtp version 2
end
show vtp status
show vlan briefConfigure VTP v2 server avec domain/password. VLANs se propageront via trunks. 'show vtp status' confirme. Piège : VTP pruning auto réduit trafic ; mode transparent pour indépendance.
Vérification complète et tests
Testez : ping intra/extra VLAN (doit fail sans L3), CDP pour voisins.
Commandes de vérification
show vlan brief
show interfaces switchport | include access|trunk
show interfaces trunk
show spanning-tree vlan 10
show cdp neighbors
ping 192.168.1.1
write memoryVérifie VLANs, ports, trunks, STP, voisins. Ping teste connectivité management. Sauvegardez. Piège : STP blocking drop pings ; 'show spanning-tree' diagnostique.
Bonnes pratiques
- Restreignez trunks : 'allowed vlan' pour minimiser surface d'attaque.
- Native VLAN mismatch : Toujours aligner (ex: VLAN 999 pour unused).
- Utilisez VTPv3 : Pour MSTP/PVLAN support sur switches modernes.
- Port security : Limitez MACs par port (switchport port-security maximum 2).
- Documentez : Nommez VLANs, sauvegardez configs avec TFTP.
Erreurs courantes à éviter
- Oublier 'switchport mode trunk' : Port reste access, VLANs bloqués.
- VLAN non créé avant assignation port : Port va VLAN1 par défaut.
- DTP auto : Risque VLAN hopping ; forcez 'nonegotiate'.
- Pas de 'no shutdown' sur SVI : Pas de L3 routing sans IP up.
Pour aller plus loin
- Lab Packet Tracer : Téléchargez modèle VLAN.
- CCNA officiel : Cisco Learning.
- Avancé : PVLANs, VXLAN pour data centers.
- Formations pro : Découvrez nos formations Learni sur CCNP et SDN.