2. Blogs

les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres (4/10)

03 octobre 2011 Pascal Bonnard , Sécurité

Rappelez-vous que, par défaut, un trunk laisse passer tous les VLANs. Cela a permis à Gaston de faire de sacrés gags !

bonnes pratiques du VLAN

Une bonne pratique est de décrire explicitement les VLANs permis. Par exemple :

switchport trunk allowed vlan 10, 20-29

En plus, un trunk laisse passer les trames Ethernet natives (sans étiquette de VLAN). Le switch place ces trames dans un VLAN spécial, c’est le VLAN natif de l’interface. Par défaut, le VLAN natif est le VLAN 1 : les trames natives vont dans le VLAN 1. Et le VLAN 1 est toujours actif.

En général, quand il y a une interface trunk, c’est pour échanger des trames avec une étiquette de VLAN. Dès lors, les trames sans étiquettes de VLAN doivent être écartées. Pour cela, il suffit de spécifier, pour chaque trunk, un VLAN natif exclusif. Quoi qu’il en soit, sur un trunk, il faut toujours spécifier le VLAN natif.

Bien sûr, il ne faut jamais utiliser le VLAN 1 pour véhiculer le trafic de données. En effet, ce VLAN est utilisé par de nombreux protocoles de niveau 2.

Ah, j’allais oublier aussi ISL. Il s’agit d’un protocole propriétaire créé avant que les étiquettes de VLAN ne soient normalisées. A n’utiliser qu’en présence d’équipements CISCO obsolètes, qui gèrent uniquement ISL. Certains équipements récents ne gèrent plus ISL.

en résumé, un trunk bien propre du point de vue des VLAN donne :

  • switchport trunk encapsulation dot1q
  • switchport trunk native vlan 801
  • switchport trunk allowed vlan 10,20-29
  • switchport mode trunk
  • switchport nonegotiate

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal BONNARD

les articles de la série "Ethernet" :

  1. Ethernet, un niveau à ne pas négliger
  2. Les attaques « classiques » : interception de trafic, dénis de service
  3. A éliminer d’urgence : DTP
  4. Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
  5. Les VLANs pour les Nuls : VTP / MRP
  6. Les boucles et les tempêtes : STP et comment s’en dispenser
  7. L’art d’en dire trop : CDP et LLDP
  8. Incroyable, mais vrai : CTP loopback
  9. A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
  10. Conclusion, la configuration ultime pour mes switches

© ktsdesign - Fotolia.com

Pascal Bonnard

Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.