Version Filtre

MODULE-KIT DE MAÎTRISE : ROUTAGE INTER-VLAN

Le contenu complet du module source est réintégré dans un habillage modernisé, avec scripts et styles utiles conservés.

Contenu sourceLe texte et les structures utiles du document d'origine sont conservés dans cette reconstruction.
RenduHabillage moderne inspire du modele principal, sans supprimer les blocs specifiques du document initial.
FocusMODULE-KIT DE MAÎTRISE : ROUTAGE INTER-VLAN

MODULE-KIT DE MAÎTRISE : ROUTAGE INTER-VLAN

Transformez votre compréhension Cisco en expertise opérationnelle

Note pédagogique traitée : Approfondissement des bases, focus sur les concepts fondamentaux (broadcast, intérêts/inconvénients des VLANs)

TABLE DES MATIÈRES

ANALOGIE SYSTÉMIQUE

Thème central : "Un système de boîtes aux lettres dans un immeuble avec service de courrier interne"

Métaphore : Imaginez un immeuble (votre réseau) où chaque famille (groupe d'utilisateurs) vit dans un appartement différent (VLAN). Chaque appartement a sa propre boîte aux lettres (domaine de broadcast).

Éléments clés :

  • Boîte aux lettres par appartement : Chaque VLAN est un domaine de broadcast isolé
  • Service de courrier : Périphérique L3 qui filtre le trafic entre boîtes
  • Couloir de livraison : Trunk qui permet aux paquets étiquetés de circuler

Risque analogique : Si on laisse toutes les portes ouvertes (pas de VLANs), un colis piégé (broadcast storm) peut inonder tout l'immeuble.

MODÈLE MENTAL PÉDAGOGIQUE

flowchart TD A[Problème: Tous les hôtes dans
le même domaine de broadcast] --> B{Causes} B --> C[🟢 Trop de trafic broadcast
ex: ARP, NetBIOS] B --> D[🟢 Manque de sécurité
écoute réseau facile] B --> E[🟢 Mauvaise organisation
départements mélangés] C --> F[Solution: Segmentation en VLANs] D --> F E --> F F --> G{Nouveau Problème:
Les VLANs sont isolés!} G --> H[Besoin de communication
entre départements] G --> I[Besoin d'accès Internet
pour tous] H --> J[Solution: ROUTAGE INTER-VLAN] I --> J J --> K{Comment implémenter?} K --> L[Routeur Physique
1 lien par VLAN] K --> M[Router-on-a-Stick
1 trunk + sous-interfaces] K --> N[Switch L3 + SVI
Solution moderne] L --> O[⚠️ NON SCALABLE] M --> P[✅ Bon pour petites orgs] N --> Q[✅ Meilleure performance]

NOYAU DUR - LES FONDAMENTAUX ABSOLUS

Loi #1 : Un VLAN = Un domaine de broadcast ISOLÉ.

Preuve/Pourquoi : La définition même d'un VLAN est un domaine de broadcast logique. Un paquet broadcast (comme une requête ARP "Qui a l'IP 192.168.10.1?") envoyé dans le VLAN 10 s'arrête aux ports membres du VLAN 10.

// CONSÉQUENCE PRATIQUE :
PC1 (VLAN 10) envoie: "ARP pour 192.168.20.1"
-> Seuls les périphériques VLAN 10 reçoivent cette requête
-> PC2 (VLAN 20) ne la voit PAS
-> ISOLATION COMPLÈTE au niveau couche 2

Loi #2 : La communication entre VLANs nécessite FORCÉMENT un périphérique de couche 3.

Preuve/Pourquoi : Les VLANs opèrent à la couche 2 (commutation). Pour passer d'un sous-réseau IP à un autre, il faut un routeur ou un commutateur capable de router (couche 3).

Loi #3 : Chaque VLAN doit avoir sa propre passerelle par défaut.

Preuve/Pourquoi : Quand un hôte veut communiquer en dehors de son sous-réseau local, il envoie le paquet à sa passerelle par défaut.

Configuration TYPIQUE:
VLAN 10: Sous-réseau 192.168.10.0/24, Passerelle: 192.168.10.1
VLAN 20: Sous-réseau 192.168.20.0/24, Passerelle: 192.168.20.1
-> Deux passerelles DIFFÉRENTES sur deux interfaces LOGIQUES différentes

Loi #4 : Le trunk est l'autoroute à plusieurs voies étiquetées.

Preuve/Pourquoi : Un lien normal (access) ne transporte qu'un seul type de trafic. Un trunk utilise le tagging 802.1Q pour transporter MULTIPLES VLANs sur un seul lien physique.

Loi #5 : Il existe TROIS méthodes historiques de routage inter-VLAN.

Preuve/Pourquoi : Évolution technologique: Legacy → Router-on-a-Stick → Switch L3 avec SVI.

POURQUOI LES VLANS ? (LA BASE ABSOLUE)

INTÉRÊTS PRIMAIRES DES VLANS

flowchart TD A[Avantages des VLANs] --> B[Sécurité Renforcée] A --> C[Performance Améliorée] A --> D[Gestion Simplifiée] A --> E[Flexibilité Organisationnelle] B --> F[Isolation des domaines broadcast
Un malware dans un VLAN reste contenu] C --> G[Réduction du trafic broadcast
Moins d'ARP flooding, plus de bande passante utile] D --> H[Groupement logique vs physique
Marketing peut être sur VLAN 30
quel que soit le bâtiment] E --> I[Facilité des changements
Déplacer un utilisateur = changer port VLAN]

Détail Crucial sur les Broadcasts :

SANS VLAN (1 domaine broadcast):
- 1000 hôtes → 1 broadcast atteint 1000 périphériques
- Tempête broadcast possible = PANNE RÉSEAU COMPLÈTE

AVEC VLANs (ex: 10 VLANs de 100 hôtes):
- Broadcast dans VLAN 10 → 100 hôtes seulement touchés
- Isolation de la faille : Problème dans VLAN 20 n'affecte pas VLAN 10

INCONVÉNIENTS DES VLANS

1. ISOLEMENT TROP FORT : Les VLANs font trop bien leur travail !

- Serveur dans VLAN 10, utilisateurs dans VLAN 20 → IMPOSSIBLE de communiquer

- SOLUTION : Routage inter-VLAN pour permettre une communication CONTRÔLÉE

2. COMPLEXITÉ DE CONFIGURATION :

- Il faut configurer: VLANs, ports d'accès, trunks, et ENFIN le routage

- Une erreur à n'importe quelle étape = panne

3. DÉPENDANCE AUX TRUNKS :

- Si le trunk entre switches tombe, les VLANs sont coupés en deux

- Nécessite des trunks redondants + STP pour éviter les boucles

COMPARAISON DÉTAILLÉE DES 3 MÉTHODES

1. ROUTAGE INTER-VLAN LEGACY (Obsolète mais à comprendre)

SCÉNARIO: Routeur avec 3 interfaces Ethernet, 3 VLANs
┌─────┐     ┌─────┐     ┌─────┐
│ VLAN10│────│ Fa0/1│   │ Fa0/2│────│ VLAN20│
│       │    │      │   │      │    │       │
└─────┘     │  R1  │   │      │    └─────┘
            │      │   │      │
┌─────┐     │ Fa0/3│   │      │
│ VLAN99│────│      │   │      │
└─────┘     └─────┘   └─────┘

COMMANDE TYPE :

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ! Chaque interface a une IP dans le sous-réseau de son VLAN

2. ROUTER-ON-A-STICK (La méthode d'apprentissage)

COMMENT ÇA MARCHE PAS À PAS :

  1. PC1 (VLAN10) veut parler à PC2 (VLAN20)
  2. PC1 envoie à sa passerelle 192.168.10.1 (MAC de R1)
  3. SW1 reçoit la trame sur port d'accès VLAN10
  4. SW1 forwarde sur le trunk vers R1 AVEC TAG VLAN10
  5. R1 reçoit sur Gi0/0/1, voit le tag VLAN10, envoie à la sous-interface .10
  6. Sous-interface .10 fait décision de routage: destination = 192.168.20.0/24
  7. R1 envoie le paquet vers la sous-interface .20 (VLAN20)
  8. R1 met le paquet sur Gi0/0/1 AVEC TAG VLAN20
  9. SW1 reçoit la trame taguée VLAN20, retire le tag, forwarde à PC2

LIMITATION CLÉ : Le routeur doit examiner CHAQUE paquet (processeur) → Goulot d'étranglement à partir de ~50 VLANs ou trafic important.

3. COMMUTATEUR COUCHE 3 (Solution professionnelle)

SCÉNARIO: Le switch fait tout: commutation ET routage
┌─────┐     ┌──────────────┐     ┌─────┐
│ VLAN10│────│              │─────│ VLAN20│
│       │    │              │     │       │
└─────┘     │   SWITCH L3  │     └─────┘
            │              │
            │ SVI VLAN10:  │
            │ 192.168.10.1 │
            │ SVI VLAN20:  │
            │ 192.168.20.1 │
            └──────────────┘

RÉVOLUTION : Le routage se fait en MATÉRIEL (ASIC)

  • Vitesse de commutation (Gbps) ≠ Vitesse de routage logiciel (Mbps)
  • Latence réduite de 99% vs Router-on-a-Stick
  • Scalabilité: 1000+ VLANs possibles

PROFONDEUR SÉCURITÉ & MÉTIER

RISQUE PRINCIPAL : VLAN Hopping par Double-Tagging

Scénario d'attaque :

  1. L'attaquant est connecté à un port d'accès VLAN 10
  2. Il envoie une trame avec DEUX étiquettes 802.1Q
  3. Première étiquette: VLAN 10 (son VLAN d'accès)
  4. Deuxième étiquette: VLAN 20 (VLAN cible)
  5. Le premier switch retire la première étiquette (VLAN 10)
  6. La trame continue avec l'étiquette VLAN 20 vers le trunk
  7. Résultat: L'attaquant a accès au VLAN 20!

Mitigation Immédiate :

! SUR TOUS LES COMMUTATEURS
conf t
! 1. Ne jamais utiliser le VLAN 1 pour le trafic utilisateur
vlan 999
name BLACKHOLE
exit
! 2. Changer le VLAN natif sur les trunks
interface range gi0/1-2
 switchport trunk native vlan 999
! 3. N'autoriser explicitement que les VLANs nécessaires
 switchport trunk allowed vlan 10,20,99
! 4. Ports non utilisés dans un VLAN de quarantaine
interface range gi0/3-24, fa0/1-24
 switchport mode access
 switchport access vlan 999
 shutdown
end

PROFONDEUR EXAMEN CCNA

QUESTION PIÈGE N°1 :

"Un administrateur configure un Router-on-a-Stick. Les hôtes peuvent ping leur propre passerelle mais pas les hôtes d'autres VLANs. La commande show interfaces trunk montre que le trunk est actif. Quelle est la cause probable ?"

Sélectionnez la bonne réponse :

A) Les VLANs ne sont pas créés sur le switch
B) Les sous-interfaces ont le mauvais VLAN dans encapsulation dot1Q
C) La commande ip routing est manquante
D) Le câble est défectueux

DÉTAIL TECHNIQUE OUBLIÉ :

Un SVI (Switched Virtual Interface) sur un commutateur couche 3 ne passera à l'état up/up que si :

  1. Le VLAN existe dans la VLAN database (show vlan brief)
  2. ET au moins un port de commutation couche 2 est activé et membre de ce VLAN

Un SVI pour un VLAN sans port actif reste down/down !

LAB COMPLET : CONFIGURATION PAS À PAS

ÉTAPE 1: CRÉER LES VLANS SUR LE SWITCH

SW1> enable
SW1# configure terminal
SW1(config)# vlan 10
SW1(config-vlan)# name SALES
SW1(config-vlan)# exit
SW1(config)# vlan 20
SW1(config-vlan)# name MARKETING
SW1(config-vlan)# exit

ÉTAPE 2: CONFIGURER LE PORT TRUNK

SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# switchport mode trunk           ! CRITIQUE: Mode trunk
SW1(config-if)# switchport trunk allowed vlan 10,20,99  ! Autorise ONLY ces VLANs
SW1(config-if)# switchport trunk native vlan 99 ! VLAN natif = MANAGEMENT
SW1(config-if)# no shutdown
SW1(config-if)# exit

ÉTAPE 3: CONFIGURER LE ROUTER (ROUTER-ON-A-STICK)

R1(config)# interface GigabitEthernet0/0.10
R1(config-subif)# description Gateway for SALES VLAN
R1(config-subif)# encapsulation dot1Q 10        ! CRITIQUE: Doit matcher VLAN ID
R1(config-subif)# ip address 192.168.10.1 255.255.255.0
R1(config-subif)# exit

R1(config)# interface GigabitEthernet0/0.20
R1(config-subif)# description Gateway for MARKETING VLAN
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip address 192.168.20.1 255.255.255.0
R1(config-subif)# exit

R1(config)# interface GigabitEthernet0/0
R1(config-if)# no shutdown                      ! OBLIGATOIRE: Active physique
R1(config-if)# exit
# Configuration Ansible pour Router-on-a-Stick
- hosts: router_r1
  vars:
    subinterfaces:
      - { parent: GigabitEthernet0/0/1, id: 10, vlan: 10, ip: 192.168.10.1/24 }
      - { parent: GigabitEthernet0/0/1, id: 20, vlan: 20, ip: 192.168.20.1/24 }
      - { parent: GigabitEthernet0/0/1, id: 99, vlan: 99, ip: 192.168.99.1/24 }
  tasks:
    - name: Configure Subinterfaces
      cisco.ios.ios_l3_interfaces:
        config:
          - name: "{{ item.parent }}.{{ item.id }}"
            ipv4:
              - address: "{{ item.ip }}"
            encapsulation:
              dot1Q: "{{ item.vlan }}"
        state: merged
      loop: "{{ subinterfaces }}"

    - name: Enable Physical Interface
      cisco.ios.ios_interfaces:
        config:
          - name: "{{ subinterfaces.0.parent }}"
            enabled: true
        state: merged

SCÉNARIO DE DÉPANNAGE AVANCÉ

Symptôme Complexe : Les utilisateurs du VLAN 10 (172.17.10.0/24) peuvent pinger leur passerelle mais ne peuvent PAS atteindre les serveurs dans le VLAN 20 (172.17.20.0/24), ni Internet.

Processus de Diagnostic (Arbre Décisionnel) :

flowchart TD A[Symptôme: VLAN 10 isolé] --> B[Étape 1: Ping passerelle depuis hôte] B --> C{Succès?} C -->|Non| D[Problème couche 2
VLAN/port/câble] C -->|Oui| E[Étape 2: show ip route sur L3] E --> F{Les deux VLANs en connected?} F -->|Non| G[Interface SVI/sub-if down
Vérifier show ip int brief] F -->|Oui| H[Étape 3: Vérifier ACLs] H --> I{ACL bloquante?} I -->|Oui| J[Corriger ACL sur interface] I -->|Non| K[Étape 4: Traceroute] K --> L[Identifier point de blocage] L --> M[Solution trouvée]

Fix et Rollback :

! SUR LE COMMUTATEUR COUCHE 3
enable
conf t

! 1. DIAGNOSTIC : Vérifier la configuration
show running-config interface Vlan10

! 2. Si ACL problématique trouvée
interface Vlan10
 no ip access-group ACL_IN in  

! 3. VÉRIFICATION
do ping 172.17.20.50 source 172.17.10.1

! 4. ROLLBACK COMPLET si nécessaire
interface Vlan10
 no ip access-group ACL_IN in
end
write memory

VALIDATION INTERACTIVE

Question de Concept : En utilisant l'analogie de l'immeuble, que se passerait-il si le concierge (routeur) n'avait pas de bureau pour l'étage 5 (pas de SVI pour le VLAN 5) ?

Cliquez pour voir la réponse

Question de Crise (Simulation) : "Il est 3h du matin, tout le VLAN Finance (VLAN 10) perd soudainement l'accès à Internet et aux serveurs centraux, mais la communication interne au VLAN fonctionne."

  1. Première commande : show interface vlan 10 sur le commutateur couche 3 de distribution
  2. Première hypothèse : L'interface SVI VLAN 10 est down (dernier port actif désactivé?)
  3. Plan d'action :
    • Si SVI down: vérifier show vlan id 10 pour ports actifs
    • Vérifier show ip route pour la route par défaut
    • traceroute depuis un hôte pour localiser le blocage

MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)

5 Lois Immuables

  1. 1 VLAN = 1 domaine broadcast
  2. Inter-VLAN = Périphérique L3 obligatoire
  3. 1 Passerelle par VLAN
  4. Trunk = Autoroute étiquetée
  5. 3 méthodes historiques

6 Commandes CLI

  1. show interfaces trunk
  2. show ip int brief
  3. show vlan brief
  4. show ip route connected
  5. ping source
  6. show run interface

3 Pièges CCNA

  1. Oubli de no shutdown sur interface mère
  2. Mauvais VLAN dans encapsulation dot1Q
  3. SVI down sans port actif

1 Risque + Mitigation

VLAN Hopping :

switchport trunk native vlan 999 switchport nonegotiate

Module-Kit de Maîtrise - Inter-VLAN

© 2025