Configurer une interface de routeur Cisco en trunk
Nous allons aborder ici la configuration de l’interface réseau d’un routeur Cisco en mode trunk (au sens 802.1q) afin de supporter plusieurs VLANs et d’effectuer le routage entre les sous-réseaux associés à ces VLANs.
Le schéma ci-dessous réalisé avec Packet Tracer donne un aperçu de la topologie de test :
Le principe est donc relativement simple. Nous disposons de deux PCs, un switch d’accès Cisco 2960 et un routeur 2811. Le but est ici de créer un VLAN spécifique pour chaque PC, et d’effectuer le routage inter-VLAN au niveau du routeur Cisco.
Débutons par la configuration du switch :
Switch(config)#vlan 100
%LINK-5-CHANGED: Interface Vlan100, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up
Switch(config-vlan)#name ADMINISTRATION
Nous venons de créer le VLAN 100 nommé « ADMINISTRATION ». La procédure est strictement identique pour la création d’un VLAN 50 nommé « RH » par exemple.
A présent, il nous faut placer les ports de notre switch où sont raccordées les machines dans chaque VLAN. Nous prendrons donc arbitrairement le VLAN 100 pour le PC0 relié sur la Fast0/23 du switch et le VLAN 50 pour le PC1 relié sur la Fast0/24.
Pour configurer un port dans le bon VLAN, il suffit de faire la manipulation suivante :
Switch(config)#int fast0/23
Switch(conf-if)#switchport mode access
Switch(conf-if)#switchport access vlan 100
Cette manipulation doit, bien entendu, être réalisée pour l’interface Fast0/24 dans le VLAN 50.
A présent, nous avons donc bien deux VLANs qui isolent nos deux machines au niveau 2. Pour la configuration des sous-réseaux associés à chaque machine, nous utiliserons :
- 192.168.0.0 / 24 pour le VLAN 100
- 10.0.0.0 / 24 pour le VLAN 50
Une adresse en 192.168.0.0 / 24 doit être attribuée au PC0 et une adresse en 10.0.0.0 / 24 au PC1.
A présent, il faut donc configurer le port d’interconnexion du switch avec le routeur en mode trunk pour laisser passer nos deux VLANs jusqu’au routeur :
Switch(config)#int fast0/1
Switch(conf-if)#switchport mode trunk
Ces commandes permettent donc de placer le port en trunk 802.1q. Par défaut, tous les VLANs sont autorisés à transiter sur cette interconnexion. Il est alors possible de restreindre le trunk à certains VLANs uniquement via la commande switchport trunk allowed vlan VLANS_A_AUTORISER
Nous ne l’appliquerons pas dans notre lab de démo afin de simplifier au maximum son architecture.
Ensuite, il faut passer à la configuration de l’interface physique du routeur interconnectée avec le switch 2960. Pour cela, il est nécessaire de créer des sous-interfaces correspondantes chacune à un VLAN. Pour cela, il faut exécuter les manipulations suivantes sur le routeur :
Switch(config)#int fast0/0.50
Switch(config-subif)#encapsulation dot1q vlan 50
Switch(config-subif)#ip address 10.0.0.1 255.255.255.0
Switch(config-subif)#no shutdown
La commande encapsulation dot1q vlan 50 permet d’indiquer à quel VLAN appartient la sous-interface logique. Il s’agit donc ici du VLAN 50. La commande ip address 10.0.0.1 255.255.255.0 permet ensuite d’assigner une adresse IP dans le sous-réseau associé à ce VLAN afin de servir de passerelle par défaut pour les équipements de ce VLAN (en l’occurence le PC1).
Le principe est donc exactement le même pour configurer la sous-interface logique 100 dans le VLAN 100 avec une adresse IP dans le sous-réseau associé à ce VLAN.
A ce niveau, le lab cible est donc achevé. Nous avons donc deux PCs dans deux VLANs différents, dont les sous-réseaux sont routés entre eux via un routeur configuré en trunk 802.1q avec le switch où sont déclarés les VLANs.
Bonjour
Pourquoi configure tu des Vlan si les PC0 et 1 ne sont pas dans le même réseau ?
Pour moi les Vlan sont important si nous souhaitons séparé des machines se trouvant dans le même réseau.
Alors voila ma question.
Sommes nous obligé d’adresser des réseaux différents pour les PC 0 et 1 si nous souhaitons qu’ils aient accès au routeur ?
Merci
Bonjour,
Le but de ce billet était de montrer la configuration d’un trunk 802.1q sur l’interconnexion entre le switch et le routeur Cisco, j’ai donc déclaré deux VLANs pour l’exemple. Cependant, les VLANs sont utiles pour définir des domaines de broadcast bien précis. Même si les machines se situent dans des sous-réseaux différents, cela peut donc signifier dans un sens qu’elles appartiennent à des tâches fonctionnelles différentes. Il est donc préférable de bien isoler les domaines de broadcast entre ces machines.
Enfin, dans mon exemple, je souhaitais faire du routage inter-VLAN. Cela implique donc que mes machines soient dans des sous-réseaux différents pour qu’il y ait bien routage. J’ai donc assigné un sous-réseau par VLAN.
Rémy
Bonjour,
voila j’aimerai bien que vous m’aidiez, j’ai deux switch cisco l’un 2950 et l’autre 2960, le 2950 relié au reseau interne et l’autre relié à internet via un pix , j’aimerai qu’un seul pc du 2960 puisse communiquer avec un seul pc du 2950 donc les autres pc reliés au 2950 ne puissent pas communiquer avec internet quel configuration dois-je faire.
merci
Bonjour,
Il faudrait que vous donniez plus détails concernant votre architecture. Y-a-t’il des VLANs, comment sont-ils mis en place ? Au delà du « niveau 2″ et de la gestion des trunks 802.1q et de ces VLANs il faut aussi voir ce qui existe au niveau du routage ainsi que le filtrage en place au niveau du PIX.
Avec ces informations, il sera alors plus facile de vous aider dans votre problématique.
Rémy
Bonjour,
Merci pour votre article.
Maintenant que les 2 vlan sont interconnecté et communiquent entre eux.
Comment autoriser la communication inter-vlan uniquement à un seul machine (pc administration).
Quelles sont les commandes afin de n’autoriser l’accès au 2 vlans a une seule machine et bloquer tout le reste ?.
Cordialement.
Bonjour,
Je pense qu’à ce niveau là il faut configurer des Access-Lists pour que seule la machine que vous souhaitez puisse accéder aux 2 VLANS.
Si vous avez besoin d’aide sur cette configuration, n’hésitez pas à poster ici je ferai de mon mieux pour vous aider !
Rémy
Bonjour,
Oui, j’aimerais bien.
Merci d’avance.
Je pensais mettre le port de ma machine en trunk, si la carte réseau le support.Cela dit c’est pas conseillé ?.
Cordialement.
Bonjour Remy,
Moi, j’ai le même Switch 2960 et un routeur 2811, mais j’ai crée 5 VLANs sur mon switch, mais mon routeur n’accepte pas la commande: Switch(config-subif)#encapsulation dot1q vlan 50.
Que pouvez-vous me conseiller ? Je suis dans l’impasse.
Bonjour,
Avez-vous essayé la commande encapsulation dot1Q 50 directement sur votre sous-interface ? (sans le mot clé vlan)
Rémy
bonjour, jai essayé de reprendre la manipulation mais ca ne marche pour moi, ca coince au niveau
Switch#conf t
quand je fais
Switch(config)#int fast0/0.50 — resultat il me met invalid input detected etc…
Switch(config-subif)#encapsulation dot1q vlan 50
Switch(config-subif)#ip address 10.0.0.1 255.255.255.0
Switch(config-subif)#no shutdown
merci pour tout eclaircissement
a+
Bonjour,
Ces commandes sont valides sur une interface de routeur et non de switch. Pour un switch, vous pouvez activer le tagging 802.1q en rentrant la commande switchport mode trunk (normalement sur les dernières versions d’IOS il n’est pas nécessaire de renseigner le protocole d’encapsulation et celui-ci est donc du 802.1q).
Par ailleurs, vous pouvez paramétrer votre interface de switch directement en interface L3, en entrant la commande no switchport. Vous pourrez alors affecter une adresse IP à cette interface qui sera donc en mode routing.
Rémy
Bonjour;
A partir de \\\\\\\\"Ensuite, il faut passer à la configuration …\\\\\\\\",
les commandes vont s\\\\\\\\\\\\\\\’adresser au Routeur 2811 et non au 2960. Comme les prompts sont identiques, il peut y avoir une confusion.
Dit autrement, si on supprime le routeur 2811 du schéma, et si on bouge pas l\\\\\\\\\\\\\\\’énnoncé (2 Vlans, 2 S/réseaux différents…), me confirmez-vous qu\\\\\\\\\\\\\\\’avec un Cisco 2960 seul, IL N\\\\\\\\\\\\\\\’EST PAS POSSIBLE de répondre au problème (PC0 ne communiquera jamais avec PC1)?
En vous remerciant pour cet exemple très clair et didactique.
Pierre.
(avec 2 ans de retard, mais tjrs d\\\\\\\\\\\\\\\’actualité)
Petit tuto simple mais efficace, bon travail!!
Cependant, il me semble qu’il y a une erreur au niveau d’un de tes screen, celui concernant la configuration des sous interface du router, les screens montrent que tu est sur un switch… Ce qui est un petit peut embrouillant.
Mais bon comme ton tuto date d’avril 2009 je ne suis pas sur que tu verra se com…
++
PS: je viens de lire des coms et il me semble que l’erreur viens de la, a confirmer…
Bonjour,
Je voudrais savoir comment on peut faire si sur le routeur on a un dhcp (donc les 2pc sont sur le meme sous reseau). Est ce qu’il y aura un conflit au niveau des int fast0/0.100 et int fast0/0.50
Laissez votre réponse !
Vous devez être connecté pour poster un commentaire
Faites un don !
Catégories
Calendrier des articles
Annonces
Pages
Commentaires récents
Articles les plus commentés
Nuage
5520 agrégat liens certification Cisco Cisco ASA Cisco ASDM Cisco CUCM Cisco EtherChannel Cisco IOS Cisco PIX Cloisonnement niveau 2 VLAN Firewall Checkpoint Gestion Administration QoS Juniper Logiciel réseaux GNS3 Logiciel Réseaux Sniffer Mécanisme redondance VRRP Mécanismes de redondance Nortel Nortel ERS Nortel ERS 8600 Nortel Radware Alteon Outil réseaux HPing Outil Réseaux Wireshark Policy Firewall Politique QoS DiffServ Port Mirroring Protocole BGP Protocole Cisco GLBP Protocole Cisco HSRP Protocole IPv6 Protocole IRDP Protocole Juniper NSRP Protocole supervision SNMP Protocole VoIP SIP Routage IP Scripts Administration Réseaux Perl Sécurité Réseaux Techniques Load-Balancing Technologie IPBX Technologie ToIP Telecom-Reseaux Tunnels VPN Virtualisation VMWare VoIP
WP Cumulus Flash tag cloud by Roy Tanck requires Flash Player 9 or better.