Univérsité Cadi Ayyad.

Faculté des Sciences Semlalia.

Département d’Informatique.

Sécurité des Réseaux de communication.

Mise en place de VLANS.

Description
Situation initiale : Le réseau n’est pas segmenté, et la sécurité est inexistante, toutes
les stations ont accès à l’ensemble du réseau.

Situation finale : Après la réalisation de l’activité, le réseau est segmenté, les

domaines de collisions sont séparés et réduits et la sécurité entre les deux réseaux
virtuels est accrue.

Schéma de réalisation.
Commençons d’abord par créer la maquette suivante en utilisant « Boson Network Designer ».
Les postes PC1, PC2, PC3 et PC4 sont respectivement branchés sur les ports Fast Ethernet
0/1, Fast Ethernet 0/2, Fast Ethernet 0/3 et Fast Ethernet 0/1.

1- attribuer des adresses IP aux différents postes comme suit puis tester le ping:
c:\>ipconfig /ip 192.168.100.x 255.255.255.0
vérifier que le ping passe entre les postes.
2- Accéder au switch et passer en mode privilégié avec la commande enable (en).
Switch1> en
3- Afficher la liste des vlans par la commande :
Switch1# show vlan
4- Pour créer des vlans, entrer d’abord en mode de configuration de vlan avec la commande :
Switch1# vlan database
Switch1 (vlan)#
5- créer ensuite un VLAN comme suit :
Swith1 (vlan)# vlan 2 name direction.
6- Pour supprimer un vlan:
Switch1 (vlan) # no vlan x (x est le numéro du vlan).

Pr. M.A. ELKIRAM

7- Quitter le mode de configuration de vlan et vérifier que le vlan nommé direction est bien
crée.
8- Affectons maintenant les ports 1, 2, 3 et 4 du swith au VLAN direction. Pour cela, il faut
accéder au mode de configuration du port en question en utilisant la commande :
Switch1# configure terminal (ou conf t)
Switch1 (config)#
9- Puis sélectionner le port désiré avec la commande interface. Par exemple pour passer en
mode de configuration de l’interface Fa 0/1 :
Switch1 (config)# interface Fa 0/1.
Switch1 (config-if)#
10- l’affectation du port au VLAN se fait avec la commande switchport. Exemple, la
commande suivante déclare le port comme étant un port du vlan 2.
Switch1 (config-if)# switchport access vlan 2.
Switch1 (config-if)#
11- L’affectation de plusieurs ports au même vlan peut s’effectuer comme suit :
Switch1 (config)# interface range fastethernet 0/2 – 4
Switch1 (config-range)# switchport access vlan 2.
Switch1 (config-range)#
Retourner en mode enable et afficher les vlans. Vérifier que les postes 1,2,3 et 4 appartiennent
au vlan 2 et que la communication entre les différentes machines passe.
Sauvegarder votre configuration avec l’onglet « save multi device config »

Modifions notre maquette pour ajouter d’autres postes :

PC5, PC6 et PC7 sont respectivement sur les ports 5,6 et 7. Charger votre configuration avec
l’onglet Load Multi Devices Configs. Affecter leurs des adresses IP de la même plage qu’aux
postes 1,2,3 et 4.
11- Ajouter le vlan 3 nommé informatique et lui affecter les ports 5, 6 et 7.
12- Vérifier les pings intra-vlan et entre vlans.
13- Etendons maintenant nos vlans à un autre switch comme le montre la maquette suivante :
Ajouter un autre switch « switch2) (via la port 12) en lui connectant quelques postes :

Pr. M.A. ELKIRAM

14- Nous avons maintenant le choix entre une redéfinition statique des vlans au niveau du
deuxième switch (comme précédemment), ou bien dynamiquement en utilisant le protocole
VTP (Vlan Trunking Protocol).
Par défaut les switchs sont configurés comme état des serveurs VTP. Configurer switch1
comme serveur VTP et switch2 comme client VTP :
Sur le witch1 :
# vlan database
(vlan)# vtp server
(vlan)# vtp domain info
(vlan)# ctrl-z

Sur le switch2
# vlan database
(vlan)#vtp client
(vlan)# vtp domain info

Il est obligatoire de spécifier le même domaine.

14- Spécifier ensuite le mode du port qui relie les deux switchs (port 12), et qui va transporter
le trafic des vlans au niveau des deux switchs.
(config-if)# switchport mode trunk
15- Vérifier que le trunk est bien crée par :
# show interface Fa 0/12 switchport.
16- vérifier que les vlans sont visibles sur les deux switchs par :
#show vlan
#show vlan status
17- Vérifier que la communication passe entre les machines d’un même vlan et qu’il est
toujours impossible de joindre une machine d’un autre vlan

Pr. M.A. ELKIRAM

Attribution d’une adresse IP au switch.

Pour permettre l’accès par telnet sur le commutateur, nous allons lui attribuer une adresse ip
accessible depuis un vlan (exemple vlan informatique).

# configure terminal
Enter commands, one per line. End with CNTL /Z
(config)# interface vlan 3
(config-if)# ip adresse 192.168.100.x 255.255.255.0

Contrôle d’accès

Nous devons n’autoriser l’accès par telnet que depuis l’adresse ip du responsable
informatique. Pour cela nous allons créer une access list :

#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
(config)#access-list 1 permit 192.168.100.x
(config)#access-list 1 deny any

Cette access list aura pour effet de n’accepter que l’utilisateur de l’ip 192.168.100.x.
Appliquons maintenant cette access list sur les sessions telnet :

#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
(config)#line vty 0 4
(config-line)#access-class 1 in

Pr. M.A. ELKIRAM