Dans cet article nous allons voir comment configurer une adresse IP sur l’interface VLAN d’administration d’un switch.
Mais pourquoi définir une adresse IP à un switch ? En soi on n’en a pas besoin car ce qu’on demande au switch c’est principalement de commuter les trames des ordinateurs entre eux et vers le routeur de sortie Internet.
Si vous êtes chez vous que vous avez besoin de brancher plusieurs ordinateurs entre eux + votre imprimante + votre borne Wifi… alors vous pouvez acheter un petit switch 4 ou 8 ports dans une grande surface. Certains ne sont pas manageables, impossible de les configurer et pourtant ça fonctionne.
Le fait de configurer une adresse IP à un switch (qui lui est configurable) nous permet de prendre la main à distance et de le configurer à distance. La majorité des switchs d’entreprises sont configurés pour être joignables à distance par les administrateurs.
Ceux qui travaillent dans le support réseau ont régulièrement besoin d’accéder aux switchs pour ouvrir un port, le mettre dans un VLAN particulier, configurer la vitesse et le duplex de l’interface, analyser les statistiques du switch pour comprendre pourquoi un utilisateur se plaint de lenteur… et j’en passe…
L’exemple simple avec un routeur
Prenons l’exemple du routeur : vous souhaitez configurer une adresse IP au routeur pour la même raison (y accéder à distance), les étapes sont :
- identifier une interface physique du routeur (par exemple FastEthernet 0/1)
- entrer dans le mode privilégié (enable)
- entrer dans le mode de configuration globale du routeur (configure terminal)
- entrer dans le mode de configuration de l’interface physique en question (interface FastEthernet 0/1)
- définir l’adresse IP et son masque (ip address 10.1.1.9 255.255.255.0)
- activer électriquement l’interface (no shutdown)
- sortir du mode de l’interface physique (exit)
- sortir du mode de configuration global (exit). Pas affiché dans l’exemple ci-dessous.
Ici, les étapes semblent logiques pour un routeur alors que pour un switch ça l’est beaucoup moins : Il y a une particularité que pas mal de personnes ont un eu du mal à appréhender, c’est l’interface VLAN.
L’interface VLAN d’administration
- une trame appartenant au VLAN 8 sera commutée vers une interface physique de destination qui appartient elle aussi au VLAN 8
- une trame appartenant au VLAN 8 NE sera PAS commutée vers une interface physique qui N’appartient PAS au VLAN 8 (mais à un autre VLAN)
- si l’interface physique appartient au VLAN 8 et que l’interface VLAN du switch est VLAN 1 alors le ping de mon ordinateur échouera
- si l’interface physique appartient au VLAN 1 et que l’interface VLAN du switch est VLAN 1 alors le ping de mon ordinateur vers l’adresse IP du switch fonctionnera
Configuration de l’interface VLAN d’administration
- identifier une interface VLAN logique du switch (par exemple VLAN 1)
- entrer dans le mode privilégié (enable)
- entrer dans le mode de configuration globale du switch (configure terminal)
- entrer dans le mode de configuration de l’interface VLAN en question (interface Vlan 1)
- définir l’adresse IP et son masque (ip address 10.1.1.8 255.255.255.0)
- activer logiquement l’interface VLAN (no shutdown)
- sortir du mode de l’interface VLAN (exit)
- définir une passerelle pour pouvoir sortir du réseau 10.1.1.0/24 (ip default-gateway 10.1.1.254)
- sortir du mode de configuration global (exit)
Conclusion
Il faut identifier quelle interface VLAN va servir pour administrer le switch à distance et lui assigner une adresse IP.
Dans un réseau d’entreprise, on dédit un VLAN pour l’administration et la prise à distance de tous les équipements réseaux pour que seuls les administrateurs puissent y accéder. On évite ainsi que les stagiaires s’amusent avec le réseau 🙂
La commande ip default-gateway est utile lorsque l’administrateur ne se trouve pas dans le même réseau IP que le switch. Il faut que le switch puisse envoyer le trafic retour vers une passerelle. Pour cela, on fait appel au routage inter-VLAN mais ça c’est une histoire donc un autre chapitre 🙂
Bonjour,
L’exemple de l’interface vlan est fait sur le vlan 1 qui doit être le vlan par défaut.
Du coup, le PC qui y accède peut être sur un port qui n’est pas taggué.
Mais si je configure l’interface vlan 2 (et que je laisse le vlan 1 en vlan par défaut), est-ce que je dois configuré le port connecté au PC dans le vlan 2 ?
Merci d’avance
Denis
Bonjour Denis,
Si tu as un routeur qui est dans les 2 VLANs alors tu n’as pas besoin de mettre ton PC dans le VLAN 2 : le routeur va router les paquets d’un VLAN vers un autre VLAN.
Si tu n’as pas de routeur alors il faut que ton PC soit dans le même VLAN que celui de l’adresse IP de management du switch.
Bonnes révisions !
Bonjour,
je suis complètement nouveaux ici, je bosse pour une boîte informatique à un certain niveau mais j’aspire à plus…pour faire bref je me lance dans la réseautique à petit pas, je suis présentement sur un projet (remplacement de tout l’équipement réseau d’un client) j’aimerais donc configuré une vlan d’administration.
Je crois bien comprendre le concept d’isolation des appareils mais une question me brûle les lèvres, qu’elle est la bonne pratique pour accéder à distance à cette fameuse vlan admin ?
Chez la plupart de nos client, nous passons par un teamviewer host préinstallé sur un server/pc sur place ou par vpn si le client en a un de configuré, mais pour ces clients, il n’y a pas de configuration vlan particulière, donc tout est accessible par n’importe qui finalement.
Donc ma question est : Est-ce que le client doit avoir une machine « dédié » à la gestion(vm ou physique selon le client), plus précisément dans un infra sans vpn de configuré ?
Je ne sais pas si je suis assez claire dans ma question.
Merci
Bonjour,
Pour sécuriser l’accès à distance au VLAN d’administration, il est recommandé d’avoir une machine dédiée qu’on appelle souvent un Bastion. Assure-toi que ce dernier est sécurisé, avec un accès restreint aux personnes autorisées. Si le client n’a pas de VPN configuré, envisage un réseau dédié avec des règles de pare-feu.
Et n’oublie pas qu’un VLAN peut communiquer avec un réseau externe grâce à un routeur. Ca s’appelle le routage inter-VLAN.
Bonjour,
J’aurais une petite question je dois configurer un switch 2960 L, j “essaye de le paramétrer en port console comme j ai appris. Le soucis cest que je fait mon enable le switch est en # je tape mon conf t est la un message d’erreur apparait « invalid command » je tape ? est la le conf t n’est pas dedans .J ai essaye de taper configure terminal sans succes,je suis en privilège 15. Seriez vous comment faire ?
Auriez vous de la doc pour paramétrer en interface web ?
merci d’avance,
BOnjour, j ai un petit soucis
Sur mon SW2 j ai fait ceci
Interface Vlan 200
Ip address 172.20.2.1 255.255.255.0
Exit
Ip default-gateway 172.20.2.254
Je n” arrive pas a Ping mon SW de mon PC qui est lui dans le Vlan 100 sur la Fa0/2. Et inversement. Pouvez vous m” aidez ?
Vous pouvez supprimez, j ai trouver mon erreur
Pas de souci !
comment on peut effacer ou corriger une commande dans CLI et configurer de nouveaux ?
Merci
Tu peux utiliser les flèches du haut et du bas pour rappeler une commande puis la modifier.
Bonjour Cyril et merci pour ces articles tres bien faits.
J’ai une question :
Est il possible d’attribuer une interface de type 192.168.1.90 / 255.255.255.0 au VLAN 1 afin de pouvoir prendre la main sur le swtich a partir de cet adresse IP
et de creer un VLAN 2 (par exemple) ayant pour interface 192.168.1.0 / 255.255.255.0 ?
Ou chaque VLAN doit avoir un adressage différent ?
Merci
Bonjour Mathieu,
Et non car l’objectif des VLANs est de séparer les machines et d’avoir donc des sous-réseaux différents par VLAN.
Pour que tu puisse configurer des adresses IP sur plusieurs interface VLAN, il faut que ton switch soit « niveau 3 capable », comme le 3560, 3850… on les appellent les switchs niveau 3 car ils font du routage.
Mais tu ne pourras pas configurer des adresses IP d’un même reseau sur plusieurs interface VLAN, tu recevras un message d’erreur.
Donc à retenir : 1 VLAN = 1 sous-reseau unique
Merci pour ta réponse ultra rapide 🙂
Mes switchs sont niveau 3 (Cisco SG350) donc a priori ça doit être gérable, je vais regarder de plus prés.
Merci à toi pour les infos
Avec plaisir. Et oui avec les SG350 tu peux configurer plusieurs interfaces VLAN avec des adresses IP pour effectuer du routage inter-VLAN (et pas que).
Bonne configuration !
Bonjour Professeur,
On est d’accord que lorsqu’on lit cette artcile, on parle bien d’un switch de Niveau 3 ? qui comprends le routage et l’attribution d’une adresse ip dans une interface ?
Car un switch classique (niveau 2) on ne peut pas lui attribuer une IP sur un vlan ?
Merci
Bonjour,
Si sur un switch niveau 2, on peut attribuer une adresse IP sur une interface VLAN mais… uniquement a une seule interface VLAN.
Par exemple, imagine que tu as un switch niveau 2 et que tu souhaite lui attribuer l’adresse IP de management 10.2.2.100 et que ce sous-reseau est dans le VLAN de management (VLAN = 2). Alors tu configure l’adresse IP sur l’interface VLAN 2.
Si tu essaye de configurer ensuite une autre interface VLAN (3 par exemple) tu recevras un message d’erreur.
Pour rappel sur un switch niveau 3, pour activer le routage il faut taper la commande « ip routing »
Merci pour ce travail, dommage que seul un utilisateur expérimenté, comme vous ? Puissent vous seul comprendre ce chapitre sur les accès VLAN.
Et donc à qui sert ce chapitre ?
eg : « entrer dans le mode privilégié (enable) »
Oui, j’aimerai(s) bien tester un accès privilégié à l’un de mes switchs qui n’apparait sur aucun scan classique… Sauf pour un professionnel ? … ipconfig/ifconfig/arp/netscan etc etc, j’essaye d’apprendre, et pouvoir taguer des VLAN sur un même réseau c’est mon sujet favoris du moment, donc votre sujet m’a tout de suite appâté, mais pas épaté ! Désolé, la critique est facile, et je cherche pas à critiquer pour critiquer ; juste espérer quelques ligne de plus pour ceux qui ne maitrises pas le sujet.
Merci, jean
Bonjour Jean,
Je comprends ta frustration quand à la lecture de ce chapitre. Pour chaque chapitre publié sur ce site, l’attente est différent selon le niveau technique des lecteurs. J’essaierai d’écrire un chapitre dédié à ton sujet.
En tout cas, merci pour ton retour, il est très important pour moi de savoir ce que mes lecteurs attendent aussi de ce site.
Bonjour Cyril,
c’est exact ce que tu viens d’expliquer la différence entre VLAN natif et le VLAN d’administration.
VLAN d’administration est crée par l’administrateur et le VLAN natif est existe déjà par défaut sur le switch et tous les ports appartiennent à ce VLAN par défaut
Bonjour,
J’ai lu que nous avions différents commutateurs de niveau 2(OSI) non manageable, de niveau 2 manageable avec interface IP statique/dynamique ou commutateur haut de gamme de niveau 3.
Dans un cours comme celui-ci et dans la mesure ou nous associons une adresse IP à un switch, cela suppose que nous ayons au moins un équipement de niveau 2 manageable avec interface IP statique (?)
Sinon, comment associer une IP sans avoir un équipement qui ne prend pas en charge la couche 3 du modèle OSI ?
Merci encore pour ces cours très intéressants et très utiles
Bonne continuation
Bonjour,
En effet, le fait de pouvoir configurer une adresse IP à un switch indique que c’est un switch niveau 2 managable.
La majorité des switchs niveau 2 professionnels sont managables et on peut donc leur attribuer une adresse IP pour prendre la main à distance. Uniquement pour la partie administration, la couche 3 du modèle OSI est intégrée mais pas pour les ports physiques du switch.
Avec un switch niveau 3 alors ce dernier peut effectuer du routage en plus d’avoir une adresse IP de management.
le vlan d’administration est le vlan natif, c’est bien ca ?
Ce sont des paquets etiquettés pour un vlan natif (vlan 1 par exemple) qui transitent via ce vlan, en d’autres termes, les paquets qui n’appartienne à aucun vlan sont par défaut dnas le vlan natif (vlan1)
Bonjour Marcus,
Attention à ne pas mélanger le VLAN d’administration et le VLAN natif, ce sont deux notions différentes :
– le VLAN d’administration est le VLAN que tu choisis pour administrer tes switchs, par exemple le VLAN 99. Sur tous tes switchs, tu créeras alors une interface VLAN 99 et configurera une adresse IP.
– le VLAN natif est une notion historique qui permet d’envoyer et de recevoir sur un lien Trunk des trames non taguées 802.1Q. Je te renvoi sur cet article qui explique son fonctionnement : https://reussirsonccna.fr/trunk-802 – 1q-et-isl-ce-quil-faut-savoir-pour-le-ccna/
La subtilité est que tu peux choisir ton VLAN d’administration comme étant le VLAN natif, mais ce n’est pas une obligation 🙂
Bonne révision !