AccueilCCNACCNA coursConfigurer l'interface VLAN d'administration du switch

Configurer l’interface VLAN d’administration du switch

Dans cet article nous allons voir com­ment confi­gu­rer une adresse IP sur l’inter­face VLAN d’ad­mi­nis­tra­tion d’un switch.

Mais pour­quoi défi­nir une adresse IP à un switch ? En soi on n’en a pas besoin car ce qu’on demande au switch c’est prin­ci­pa­le­ment de com­mu­ter les trames des ordi­na­teurs entre eux et vers le rou­teur de sor­tie Internet.

Si vous êtes chez vous que vous avez besoin de bran­cher plu­sieurs ordi­na­teurs entre eux + votre impri­mante + votre borne Wifi… alors vous pou­vez ache­ter un petit switch 4 ou 8 ports dans une grande sur­face. Cer­tains ne sont pas mana­geables, impos­sible de les confi­gu­rer et pour­tant ça fonctionne.

Le fait de confi­gu­rer une adresse IP à un switch (qui lui est confi­gu­rable) nous per­met de prendre la main à dis­tance et de le confi­gu­rer à dis­tance. La majo­ri­té des switchs d’en­tre­prises sont confi­gu­rés pour être joi­gnables à dis­tance par les administrateurs.

Ceux qui tra­vaillent dans le sup­port réseau ont régu­liè­re­ment besoin d’accéder aux switchs pour ouvrir un port, le mettre dans un VLAN par­ti­cu­lier, confi­gu­rer la vitesse et le duplex de l’in­ter­face, ana­ly­ser les sta­tis­tiques du switch pour com­prendre pour­quoi un uti­li­sa­teur se plaint de len­teur… et j’en passe…

L’exemple simple avec un routeur

Pre­nons l’exemple du rou­teur : vous sou­hai­tez confi­gu­rer une adresse IP au rou­teur pour la même rai­son (y accé­der à dis­tance), les étapes sont :

  1. iden­ti­fier une inter­face phy­sique du rou­teur (par exemple Fas­tE­ther­net 0/1)
  2. entrer dans le mode pri­vi­lé­gié (enable)
  3. entrer dans le mode de confi­gu­ra­tion glo­bale du rou­teur (confi­gure ter­mi­nal)
  4. entrer dans le mode de confi­gu­ra­tion de l’in­ter­face phy­sique en ques­tion (inter­face Fas­tE­ther­net 0/1)
  5. défi­nir l’a­dresse IP et son masque (ip address 10.1.1.9 255.255.255.0)
  6. acti­ver élec­tri­que­ment l’in­ter­face (no shut­down)
  7. sor­tir du mode de l’in­ter­face phy­sique (exit)
  8. sor­tir du mode de confi­gu­ra­tion glo­bal (exit). Pas affi­ché dans l’exemple ci-dessous.

Ici, les étapes semblent logiques pour un rou­teur alors que pour un switch ça l’est beau­coup moins : Il y a une par­ti­cu­la­ri­té que pas mal de per­sonnes ont un eu du mal à appré­hen­der, c’est l’inter­face VLAN. 

L’interface VLAN d’administration

Pour rap­pel, le switch contient des VLAN qui servent à iso­ler des inter­faces phy­siques entre elles. Je vous ren­voi sur le cha­pitre dédié au VLAN pour plus de détail.
Donc le switch se charge de com­mu­ter les trames entres elles en fonc­tion de leur VLAN d’appartenance :
  • une trame appar­te­nant au VLAN 8 sera com­mu­tée vers une inter­face phy­sique de des­ti­na­tion qui appar­tient elle aus­si au VLAN 8
  • une trame appar­te­nant au VLAN 8 NE sera PAS com­mu­tée vers une inter­face phy­sique qui N’appar­tient PAS au VLAN 8 (mais à un autre VLAN)
Exemple :
Sup­po­sons « théo­ri­que­ment » que le switch ait une adresse IP sans appar­te­nance à un VLAN.
Mon ordi­na­teur est connec­té à ce switch par une inter­face phy­sique qui appar­tient au VLAN 8.
De mon PC, je ping l’a­dresse IP du switch.
Le switch reçoit une trame sur une inter­face phy­sique qui appar­tient au VLAN 8. Mais l’a­dresse IP du switch n’ap­par­tient à aucun VLAN.
A‑t-il le droit de trans­mettre la trame ? Oui ? Non ? Aucune idée !
Com­ment faire alors ?
On iden­ti­fie un VLAN en par­ti­cu­lier (par exemple le VLAN 1 mais peu importe) et sur ce VLAN on active une inter­face VLAN qui est une sorte d’inter­face vir­tuelle qui peut être joi­gnable de n’im­porte quelle inter­face phy­sique qui appar­tiennent au même VLAN. Et là le pro­blème est résolu.
Repre­nons notre pré­cé­dent exemple :
  • si l’in­ter­face phy­sique appar­tient au VLAN 8 et que l’in­ter­face VLAN du switch est VLAN 1 alors le ping de mon ordi­na­teur échoue­ra
  • si l’in­ter­face phy­sique appar­tient au VLAN 1 et que l’in­ter­face VLAN du switch est VLAN 1 alors le ping de mon ordi­na­teur vers l’a­dresse IP du switch fonc­tion­ne­ra

Configuration de l’interface VLAN d’administration

  1. iden­ti­fier une inter­face VLAN logique du switch (par exemple VLAN 1)
  2. entrer dans le mode pri­vi­lé­gié (enable)
  3. entrer dans le mode de confi­gu­ra­tion glo­bale du switch (confi­gure ter­mi­nal)
  4. entrer dans le mode de confi­gu­ra­tion de l’in­ter­face VLAN en ques­tion (inter­face Vlan 1)
  5. défi­nir l’a­dresse IP et son masque (ip address 10.1.1.8 255.255.255.0)
  6. acti­ver logi­que­ment l’in­ter­face VLAN (no shut­down)
  7. sor­tir du mode de l’in­ter­face VLAN (exit)
  8. défi­nir une pas­se­relle pour pou­voir sor­tir du réseau 10.1.1.0/24 (ip default-gate­way 10.1.1.254)
  9. sor­tir du mode de confi­gu­ra­tion glo­bal (exit)

Conclusion

Il faut iden­ti­fier quelle inter­face VLAN va ser­vir pour admi­nis­trer le switch à dis­tance et lui assi­gner une adresse IP.

Dans un réseau d’en­tre­prise, on dédit un VLAN pour l’ad­mi­nis­tra­tion et la prise à dis­tance de tous les équi­pe­ments réseaux pour que seuls les admi­nis­tra­teurs puissent y accé­der. On évite ain­si que les sta­giaires s’a­musent avec le réseau 🙂

La com­mande ip default-gate­way est utile lorsque l’ad­mi­nis­tra­teur ne se trouve pas dans le même réseau IP que le switch. Il faut que le switch puisse envoyer le tra­fic retour vers une pas­se­relle. Pour cela, on fait appel au rou­tage inter-VLAN mais ça c’est une his­toire donc un autre chapitre 🙂

23 Commentaires

  1. Bon­jour,

    L’exemple de l’in­ter­face vlan est fait sur le vlan 1 qui doit être le vlan par défaut.
    Du coup, le PC qui y accède peut être sur un port qui n’est pas taggué.

    Mais si je confi­gure l’in­ter­face vlan 2 (et que je laisse le vlan 1 en vlan par défaut), est-ce que je dois confi­gu­ré le port connec­té au PC dans le vlan 2 ?

    Mer­ci d’avance
    Denis

    • Bon­jour Denis,
      Si tu as un rou­teur qui est dans les 2 VLANs alors tu n’as pas besoin de mettre ton PC dans le VLAN 2 : le rou­teur va rou­ter les paquets d’un VLAN vers un autre VLAN.
      Si tu n’as pas de rou­teur alors il faut que ton PC soit dans le même VLAN que celui de l’a­dresse IP de mana­ge­ment du switch.

      Bonnes révi­sions !

  2. Bon­jour,

    je suis com­plè­te­ment nou­veaux ici, je bosse pour une boîte infor­ma­tique à un cer­tain niveau mais j’as­pire à plus…pour faire bref je me lance dans la réseau­tique à petit pas, je suis pré­sen­te­ment sur un pro­jet (rem­pla­ce­ment de tout l’é­qui­pe­ment réseau d’un client) j’ai­me­rais donc confi­gu­ré une vlan d’administration.

    Je crois bien com­prendre le concept d’i­so­la­tion des appa­reils mais une ques­tion me brûle les lèvres, qu’elle est la bonne pra­tique pour accé­der à dis­tance à cette fameuse vlan admin ? 

    Chez la plu­part de nos client, nous pas­sons par un team­vie­wer host pré­ins­tal­lé sur un server/pc sur place ou par vpn si le client en a un de confi­gu­ré, mais pour ces clients, il n’y a pas de confi­gu­ra­tion vlan par­ti­cu­lière, donc tout est acces­sible par n’im­porte qui finalement. 

    Donc ma ques­tion est : Est-ce que le client doit avoir une machine « dédié » à la gestion(vm ou phy­sique selon le client), plus pré­ci­sé­ment dans un infra sans vpn de configuré ? 

    Je ne sais pas si je suis assez claire dans ma question. 

    Mer­ci

    • Bon­jour,
      Pour sécu­ri­ser l’ac­cès à dis­tance au VLAN d’ad­mi­nis­tra­tion, il est recom­man­dé d’a­voir une machine dédiée qu’on appelle sou­vent un Bas­tion. Assure-toi que ce der­nier est sécu­ri­sé, avec un accès res­treint aux per­sonnes auto­ri­sées. Si le client n’a pas de VPN confi­gu­ré, envi­sage un réseau dédié avec des règles de pare-feu.
      Et n’ou­blie pas qu’un VLAN peut com­mu­ni­quer avec un réseau externe grâce à un rou­teur. Ca s’ap­pelle le rou­tage inter-VLAN.

  3. Bon­jour,

    J’au­rais une petite ques­tion je dois confi­gu­rer un switch 2960 L, j “essaye de le para­mé­trer en port console comme j ai appris. Le sou­cis cest que je fait mon enable le switch est en # je tape mon conf t est la un mes­sage d’er­reur appa­rait « inva­lid com­mand » je tape ? est la le conf t n’est pas dedans .J ai essaye de taper confi­gure ter­mi­nal sans succes,je suis en pri­vi­lège 15. Seriez vous com­ment faire ?
    Auriez vous de la doc pour para­mé­trer en inter­face web ?
    mer­ci d’avance,

  4. BOn­jour, j ai un petit soucis
    Sur mon SW2 j ai fait ceci
    Inter­face Vlan 200
    Ip address 172.20.2.1 255.255.255.0
    Exit
    Ip default-gate­way 172.20.2.254

    Je n” arrive pas a Ping mon SW de mon PC qui est lui dans le Vlan 100 sur la Fa0/2. Et inver­se­ment. Pou­vez vous m” aidez ?

  5. Bon­jour Cyril et mer­ci pour ces articles tres bien faits.
    J’ai une question :
    Est il pos­sible d’at­tri­buer une inter­face de type 192.168.1.90 / 255.255.255.0 au VLAN 1 afin de pou­voir prendre la main sur le swtich a par­tir de cet adresse IP
    et de creer un VLAN 2 (par exemple) ayant pour inter­face 192.168.1.0 / 255.255.255.0 ?

    Ou chaque VLAN doit avoir un adres­sage différent ? 

    Mer­ci

    • Bon­jour Mathieu,
      Et non car l’ob­jec­tif des VLANs est de sépa­rer les machines et d’a­voir donc des sous-réseaux dif­fé­rents par VLAN.
      Pour que tu puisse confi­gu­rer des adresses IP sur plu­sieurs inter­face VLAN, il faut que ton switch soit « niveau 3 capable », comme le 3560, 3850… on les appellent les switchs niveau 3 car ils font du routage.
      Mais tu ne pour­ras pas confi­gu­rer des adresses IP d’un même reseau sur plu­sieurs inter­face VLAN, tu rece­vras un mes­sage d’erreur.

      Donc à rete­nir : 1 VLAN = 1 sous-reseau unique 

      • Mer­ci pour ta réponse ultra rapide 🙂
        Mes switchs sont niveau 3 (Cis­co SG350) donc a prio­ri ça doit être gérable, je vais regar­der de plus prés.
        Mer­ci à toi pour les infos

        • Avec plai­sir. Et oui avec les SG350 tu peux confi­gu­rer plu­sieurs inter­faces VLAN avec des adresses IP pour effec­tuer du rou­tage inter-VLAN (et pas que).
          Bonne configuration !

  6. Bon­jour Professeur,

    On est d’ac­cord que lors­qu’on lit cette art­cile, on parle bien d’un switch de Niveau 3 ? qui com­prends le rou­tage et l’at­tri­bu­tion d’une adresse ip dans une interface ?

    Car un switch clas­sique (niveau 2) on ne peut pas lui attri­buer une IP sur un vlan ?

    Mer­ci

    • Bon­jour,
      Si sur un switch niveau 2, on peut attri­buer une adresse IP sur une inter­face VLAN mais… uni­que­ment a une seule inter­face VLAN.
      Par exemple, ima­gine que tu as un switch niveau 2 et que tu sou­haite lui attri­buer l’a­dresse IP de mana­ge­ment 10.2.2.100 et que ce sous-reseau est dans le VLAN de mana­ge­ment (VLAN = 2). Alors tu confi­gure l’a­dresse IP sur l’in­ter­face VLAN 2.
      Si tu essaye de confi­gu­rer ensuite une autre inter­face VLAN (3 par exemple) tu rece­vras un mes­sage d’erreur.

      Pour rap­pel sur un switch niveau 3, pour acti­ver le rou­tage il faut taper la com­mande « ip routing »

  7. Mer­ci pour ce tra­vail, dom­mage que seul un uti­li­sa­teur expé­ri­men­té, comme vous ? Puissent vous seul com­prendre ce cha­pitre sur les accès VLAN.
    Et donc à qui sert ce chapitre ?

    eg : « entrer dans le mode pri­vi­lé­gié (enable) »

    Oui, j’aimerai(s) bien tes­ter un accès pri­vi­lé­gié à l’un de mes switchs qui n’ap­pa­rait sur aucun scan clas­sique… Sauf pour un pro­fes­sion­nel ? … ipconfig/ifconfig/arp/netscan etc etc, j’es­saye d’apprendre, et pou­voir taguer des VLAN sur un même réseau c’est mon sujet favo­ris du moment, donc votre sujet m’a tout de suite appâ­té, mais pas épa­té ! Déso­lé, la cri­tique est facile, et je cherche pas à cri­ti­quer pour cri­ti­quer ; juste espé­rer quelques ligne de plus pour ceux qui ne mai­trises pas le sujet.

    Mer­ci, jean

    • Bon­jour Jean,
      Je com­prends ta frus­tra­tion quand à la lec­ture de ce cha­pitre. Pour chaque cha­pitre publié sur ce site, l’at­tente est dif­fé­rent selon le niveau tech­nique des lec­teurs. J’es­saie­rai d’écrire un cha­pitre dédié à ton sujet.
      En tout cas, mer­ci pour ton retour, il est très impor­tant pour moi de savoir ce que mes lec­teurs attendent aus­si de ce site.

  8. Bon­jour Cyril,

    c’est exact ce que tu viens d’ex­pli­quer la dif­fé­rence entre VLAN natif et le VLAN d’administration.
    VLAN d’ad­mi­nis­tra­tion est crée par l’administrateur et le VLAN natif est existe déjà par défaut sur le switch et tous les ports appar­tiennent à ce VLAN par défaut

  9. Bon­jour,

    J’ai lu que nous avions dif­fé­rents com­mu­ta­teurs de niveau 2(OSI) non mana­geable, de niveau 2 mana­geable avec inter­face IP statique/dynamique ou com­mu­ta­teur haut de gamme de niveau 3.
    Dans un cours comme celui-ci et dans la mesure ou nous asso­cions une adresse IP à un switch, cela sup­pose que nous ayons au moins un équi­pe­ment de niveau 2 mana­geable avec inter­face IP statique (?)
    Sinon, com­ment asso­cier une IP sans avoir un équi­pe­ment qui ne prend pas en charge la couche 3 du modèle OSI ?

    Mer­ci encore pour ces cours très inté­res­sants et très utiles

    Bonne conti­nua­tion

    • Bon­jour,

      En effet, le fait de pou­voir confi­gu­rer une adresse IP à un switch indique que c’est un switch niveau 2 managable.
      La majo­ri­té des switchs niveau 2 pro­fes­sion­nels sont mana­gables et on peut donc leur attri­buer une adresse IP pour prendre la main à dis­tance. Uni­que­ment pour la par­tie admi­nis­tra­tion, la couche 3 du modèle OSI est inté­grée mais pas pour les ports phy­siques du switch.

      Avec un switch niveau 3 alors ce der­nier peut effec­tuer du rou­tage en plus d’a­voir une adresse IP de management.

  10. le vlan d’ad­mi­nis­tra­tion est le vlan natif, c’est bien ca ?
    Ce sont des paquets eti­quet­tés pour un vlan natif (vlan 1 par exemple) qui tran­sitent via ce vlan, en d’autres termes, les paquets qui n’ap­par­tienne à aucun vlan sont par défaut dnas le vlan natif (vlan1)

    • Bon­jour Marcus,

      Atten­tion à ne pas mélan­ger le VLAN d’ad­mi­nis­tra­tion et le VLAN natif, ce sont deux notions différentes :
      – le VLAN d’ad­mi­nis­tra­tion est le VLAN que tu choi­sis pour admi­nis­trer tes switchs, par exemple le VLAN 99. Sur tous tes switchs, tu crée­ras alors une inter­face VLAN 99 et confi­gu­re­ra une adresse IP.
      – le VLAN natif est une notion his­to­rique qui per­met d’en­voyer et de rece­voir sur un lien Trunk des trames non taguées 802.1Q. Je te ren­voi sur cet article qui explique son fonc­tion­ne­ment : https://reussirsonccna.fr/trunk-802 – 1q-et-isl-ce-quil-faut-savoir-pour-le-ccna/

      La sub­ti­li­té est que tu peux choi­sir ton VLAN d’ad­mi­nis­tra­tion comme étant le VLAN natif, mais ce n’est pas une obligation 🙂

      Bonne révi­sion !

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires