Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres (4/10)

Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres (4/10)
2011-10-032013-04-11sériesfr
En plus, un trunk laisse passer les trames Ethernet natives (sans étiquette de VLAN). Le switch place ces trames dans un VLAN spécial, c'est le VLAN natif de l'interface. Par défaut, le VLAN natif est le VLAN 1 : les trames natives vont dans le VLAN 1. Et le VLAN 1 est toujours...
Publié le 3 Octobre 2011 par Pascal Bonnard dans séries
RJ45 cable

Rappelez-vous que, par défaut, un trunk laisse passer tous les VLANs. Cela a permis à Gaston de faire de sacrés gags !

bonnes pratiques du VLAN

Une bonne pratique est de décrire explicitement les VLANs permis. Par exemple :

switchport trunk allowed vlan 10, 20-29

En plus, un trunk laisse passer les trames Ethernet natives (sans étiquette de VLAN). Le switch place ces trames dans un VLAN spécial, c’est le VLAN natif de l’interface. Par défaut, le VLAN natif est le VLAN 1 : les trames natives vont dans le VLAN 1. Et le VLAN 1 est toujours actif.

En général, quand il y a une interface trunk, c’est pour échanger des trames avec une étiquette de VLAN. Dès lors, les trames sans étiquettes de VLAN doivent être écartées. Pour cela, il suffit de spécifier, pour chaque trunk, un VLAN natif exclusif. Quoi qu’il en soit, sur un trunk, il faut toujours spécifier le VLAN natif.

Bien sûr, il ne faut jamais utiliser le VLAN 1 pour véhiculer le trafic de données. En effet, ce VLAN est utilisé par de nombreux protocoles de niveau 2.

Ah, j’allais oublier aussi ISL. Il s’agit d’un protocole propriétaire créé avant que les étiquettes de VLAN ne soient normalisées. A n’utiliser qu’en présence d’équipements CISCO obsolètes, qui gèrent uniquement ISL. Certains équipements récents ne gèrent plus ISL.

en résumé, un trunk bien propre du point de vue des VLAN donne :

  • switchport trunk encapsulation dot1q
  • switchport trunk native vlan 801
  • switchport trunk allowed vlan 10,20-29
  • switchport mode trunk
  • switchport nonegotiate

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal BONNARD

les articles de la série "Ethernet" :

  1. Ethernet, un niveau à ne pas négliger
  2. Les attaques « classiques » : interception de trafic, dénis de service
  3. A éliminer d’urgence : DTP
  4. Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
  5. Les VLANs pour les Nuls : VTP / MRP
  6. Les boucles et les tempêtes : STP et comment s’en dispenser
  7. L’art d’en dire trop : CDP et LLDP
  8. Incroyable, mais vrai : CTP loopback
  9. A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
  10. Conclusion, la configuration ultime pour mes switches

© ktsdesign - Fotolia.com

3 Commentaires

  • 5 Octobre 2011
    2011-10-05
    par
    Pascal
    @Daniel,
    Je ne sais pas si "switchport voice vlan" est inoffensif.
    Ce que je sais, c'est que l'utilisation d'un vlan natif, c'est la porte ouverte à l'attaque "vlan hopping". L'attaquant empile deux entêtes Dot1Q, l'une avec le vlan natif et une seconde avec un autre vlan.
    De la sorte, le trunk de sortie délivre une trame avec seulement le second Vlan. Ceci permet de mener une attaque DOS sur l'équipement suivant.
    Si on doit absolument créer des trunks avec le vlan natif, le mieux est de passer la commande globale "vlan dot1q tag native", de la sorte, le catalyst va toujours mettre une entête dot1q.
    L'implémentation de Juniper est -à ma connaissance- bien plus sûre de ce point de vue.
    Cette histoire de Vlan natif ne fait pas partie des normes.
    Pour ma part, je configure un vlan natif DIFFERENT sur chaque interface trunk, ce vlan étant seulement utilisé pour cette interface.
    De la sorte, sur les trunks, on a seulement du traffic avec une en-tête Dot1Q.
    Cette configuration ne gêne absolument pas le fonctionnement de STP.
  • 5 Octobre 2011
    2011-10-05
    par
    Daniel
    A partir du moment où l'on n'utilise pas le VLAN 1 (natif) pour y positionner des serveurs, ou des postes, je ne vois pas trop l'intérêt d'en changer ? Prise de tête garantie si le "native vlan-id" n'est pas homogène dans le réseau... et bonjour les problèmes de STP (entre autres).
    Pour les configs avec téléphone IP + PC empilés, il est probablement plus clair de faire une config à base de "switchport voice vlan", et pas le mode trunk.
    Encore une fois, le choix des autres constructeurs est différent (plus pertinent ?) : en dehors de Cisco, rares sont ceux qui autorisent tous les VLANs par défaut sur un trunk.
    Et à propos du VLAN natif, par exemple, la config Juniper EX est également plus explicite : les trames non tagguées n'arrivent pas par défaut dans le VLAN 1, parce que le vlan-id avec tag à 1 n'existe pas dans la configuration par défaut.
  • 3 Octobre 2011
    2011-10-05
    par
    Pascal
    Au sujet des VLAN, voici une documentation en français, un peu ancienne (2003), je recommande les 10 premières pages :
    http://repo.mynooblife.org/Reseau/Vlan_802.1Q.pdf
    Quelques attaques sont évoquées par la suite, mais cette partie du document contient quelques erreurs et n'est pas à jour.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage