Cours Admin Système

🚀 MODULE 3 KIT DE MAÎTRISE

VLANs & Trunking - De la théorie à la maîtrise opérationnelle

📍 ANALOGIE SYSTÉMIQUE CENTRALE

🏗️ Le Port à Conteneurs Intelligents

📦 Ports d'Accès

Quais de déchargement spécialisés - Un seul type de conteneur par quai. Les marchandises arrivent "nues" (untagged).

🚢 Trunks 802.1Q

Porte-conteneurs géants - Transportent MULTIPLES conteneurs simultanément, chacun avec son étiquette (tag) d'identification.

🆓 VLAN Natif (Native)

Zone Franche Logistique - Zone spéciale où les marchandises transitent SANS déclaration douanière (sans tag).

⚠️ RISQUE SÉCURITÉ ANALOGIQUE : Si la Zone Franche (VLAN 1 par défaut) n'est pas sécurisée, des conteneurs malveillants non-déclarés peuvent infiltrer tout le port !

🧠 MODÈLE MENTAL (Carte Conceptuelle)

[DOMAINE DE DIFFUSION LAYER 2] | ├───[SANS VLAN] ─── Trafic ARP/Broadcast partout ─── Inefficacité | └───[AVEC VLAN] ─── Segmentation logique | ├───[SWITCH] ← Tag 802.1Q ← [TRUNK INTER-SWITCH] │ │ │ │ ├───[PORT ACCESS] [PORT TRUNK] │ │ │ │ │ │ [1 VLAN/PORT] [TOUS/MULTI-VLANS] │ │ │ │ │ └───[HÔTE] ←(trame nue)→ [INSERTION/SUPPRESSION TAG] │ │ └───[Communication intra-VLAN] [Communication inter-VLAN] ↓ [ROUTEUR ou SWITCH L3]

⚡ LE NOYAU DUR (5 Lois Immuables)

Loi #1 : Port d'Accès = 1 VLAN (sauf voix)
Un port en mode "access" appartient à UN SEUL VLAN de données. Le trafic est "nu" (untagged).
Loi #2 : Un Trunk transporte TOUS les VLANs
Par défaut, un trunk transporte tous les VLANs (1-4094). Restriction possible via "allowed vlan".
Loi #3 : Le VLAN Natif est le conduit des trames NON-ÉTIQUETÉES
⚠️ FAILURE DE SÉCURITÉ SI VLAN 1 : Toute trame non-taggée sur un trunk est attribuée au VLAN natif.
Loi #4 : 1 VLAN = 1 Domaine de Broadcast unique
Une diffusion ARP du VLAN 10 n'atteint JAMAIS le VLAN 20 sans routeur L3.
Loi #5 : Le VID est local, sa signification doit être cohérente
Le tag "VID 20" sur le trunk doit représenter le MÊME VLAN ("Student") des deux côtés.

🔐 PROFONDEUR SÉCURITÉ & MÉTIER

🎯 RISQUE PRINCIPAL : Évasion de VLAN (VLAN Hopping)

Attaque Type : Double Tagging - L'attaquant envoie une trame avec DEUX tags 802.1Q

🛡️ MITIGATION IMMÉDIATE (HARDENING)

Configuration Trunk Sécurisée
interface GigabitEthernet0/1
 switchport mode trunk                    ! Mode trunk FORCÉ (pas de négociation)
 switchport trunk native vlan 999          ! VLAN natif DÉDIÉ (pas le VLAN 1!)
 switchport trunk allowed vlan 10,20,30,99,999 ! Liste EXPLICITE
 switchport nonegotiate                    ! DTP DÉSACTIVÉ
 no shutdown

🏢 INTÉGRATION ENTREPRISE

Ansible : Playbooks pour configuration idempotente des VLANs sur tous les switches

SIEM : Alerte sur %CDP-4-NATIVE_VLAN_MISMATCH ou changements VLAN non-autorisés

Git : Versioning des configurations VLAN et trunking

📚 PROFONDEUR EXAMEN CCNA

🎯 Piège #1 : Plages de VLAN

12 bits VID = 4096 valeurs (0-4095)

  • VLANs 0, 4095 : Réservés
  • VLANs 1, 1002-1005 : Réservés par défaut
  • Normaux (1-1005) : stockés dans vlan.dat
  • Étendus (1006-4094) : nécessitent VTP Transparent

🎯 Piège #2 : DTP - Dynamic Trunking Protocol

Mode par défaut 2960 : dynamic auto

Table des négociations :

Mode Local Mode Voisin Résultat Examen ?
dynamic auto dynamic auto ACCESS (pas de trunk!) ⭐ TRÈS TESTÉ
dynamic desirable dynamic auto TRUNK ⭐ TESTÉ
trunk trunk TRUNK Standard

❓ Question Type CCNA :

"PC-A (VLAN 10) peut-il ping PC-B (VLAN 10) si S1 et S2 sont en dynamic auto des deux côtés ?"

Réponse : NON - Deux ports en dynamic auto ne négocient PAS un trunk. Ils restent en mode access (VLAN 1).

⚙️ LAB COMPLET : Configuration → Automatisation

🎓 Niveau 1 (CCNA)

S1(config)# vlan 20
S1(config-vlan)# name Student
S1(config)# interface f0/6
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 20

Vérification : show vlan brief | include 20

🛡️ Niveau 2 (Production)

! Trunk SÉCURISÉ
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,99,999
switchport nonegotiate
spanning-tree bpduguard enable

🤖 Niveau 3 (Automatisation)

# Script Python - Audit de sécurité VLAN
output = connection.send_command(
'show interfaces trunk | include Native'
)
if '1' in output:
print("CRITIQUE: VLAN Natif 1 détecté!")

🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ

⚠️ SYMPTÔME :

Les utilisateurs du VLAN 20 sur S2 ne peuvent plus accéder aux ressources sur S3. Connectivité intra-VLAN OK.

🕐 Heure : 03h00 | 📞 Support : Appels entrants

🔍 ARBRE DE DÉCISION :

  1. Couche Physique : show interfaces g0/1 → Si "down/down" → Câble
  2. Statut Trunk : show interfaces g0/1 trunk
  3. SCÉNARIO RÉEL : Sortie montre "Vlans allowed: 1,10,30,99" → VLAN 20 MANQUANT!
  4. Cause Racine : show run interface g0/1 révèle la liste restreinte
🛠️ FIX
S2(config)# interface g0/1
S2(config-if)# switchport trunk allowed vlan add 20
S2(config-if)# end

! Vérification :
show interfaces g0/1 trunk
↩️ ROLLBACK (si problème)
S2(config)# interface g0/1
S2(config-if)# switchport trunk allowed vlan remove 20
S2(config-if)# end

! Toujours prévoir un rollback!

🔗 CONNECTIONS SYSTÉMIQUES

STP (Module Précédent)

Chaque VLAN exécute son propre STP (PVST+). Mauvaise design VLAN = STP complexe.

Routage Inter-VLAN

NEXT STEP ABSOLU : Communication entre VLANs nécessite Routeur/Switch L3.

🔄

Écosystème Réel

  • Wi-Fi : SSID → VLAN mapping
  • Firewall : Politiques inter-VLAN
  • SDN/ACI : Automatisation VLAN

❓ VALIDATION PAR L'EXERCICE MENTAL

🧠 Question de Concept

En utilisant l'analogie du port, comment le double-tagging permet-il d'infiltrer un VLAN interdit?

Réponse : L'attaquant emballe son conteneur malveillant dans un premier conteneur (tag natif) qui passe la douane sans inspection, puis le second tag le redirige vers la zone cible.

⚠️ Question de Piège

Que se passe-t-il si vous configurez switchport access vlan 4000 sur un 2960 avec VTP Server?

Réponse : ÉCHEC. VLAN 4000 est étendu (>1005). Nécessite VTP Transparent. Sinon : %VTP VLAN configuration not allowed.

🔥 Question de Crise

"Il est 3h, tout le VLAN Finance (10) est down. Première commande? Hypothèse? Plan?"

1. Commande : show interfaces trunk
2. Hypothèse : Trunk down ou VLAN 10 absent
3. Plan : Vérifier physique → vérifier VLAN allowed → vérifier STP

🎯 Module 3 - VLAN

Kit de Maîtrise | Version 3.0 | CCNA → CCNP Prêt

Module-Kit de Maîtrise - VLAN

© 2025