La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Catalyst Configuration de VLANs privés

Publié parLucille Mélançon Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Catalyst Configuration de VLANs privés"— Transcription de la présentation:

1 Catalyst 3560 - Configuration de VLANs privés
ccnp-cch

2 Sommaire - Système d'adressage IP avec les VLANs privés
• Introduction • Comprendre les VLANs privés - Système d'adressage IP avec les VLANs privés - VLANs privés à travers plusieurs commutateurs Interaction des VLANs privés avec d'autres fonctionnalités • Configurer les VLANs privés - Tâches pour la configuration des VLANs privés Configuration par défaut des VLANs privés Conseils pour la configuration des VLANs privés Configurer et associer les VLANs à un VLAN privé Configurer une interface de couche 2 comme port host VLAN privé Configurer une interface de couche 2 comme port host VLAN privé promiscuous - Mapper les VLANs secondaires à l'interface VLAN primaire de couche 3 • Superviser les VLANs privés ccnp-cch

3 Introduction ccnp-cch
Ce document décrit comment configurer des VLANs privés sur le commutateur Cata- lyst Pour utiliser cette fonctionnalité, le commutateur doit opérer avec une ima- ge logicielle avancée (EMI). Ce document comprend trois sections : • Comprendre les VLANs privés • Configurer les VLANs privés • Superviser les VLANs privés Note: Quand vous configurez les VLANs privés, le commutateur doit être en mode VTP transparent. Comprendre les VLANs privés La fonctionnalité VLAN privé résoud deux problèmes auxquels les opérateurs sont confrontés quand ils utilisent des VLANs.  Evolutivité: le commutateur supporte jusqu'à 1005 VLANs actifs. Si un opérateur affecte un VLAN par client, cela limite le nombre de clients que l'opérateur peut supporter.  Pour valider le routage IP, à chaque VLAN est affectée une adresse de réseau ce qui peut entraîner la perte d'adresses IP et causer des problèmes de gestion d'adresses IP. L'utilisation de VLANs privés résoud le problème d'évolutivité, fournit des avantages pour la gestion des adresses IP et la sécurité de couche 2 pour les utilisateurs. Les VLANs privés partitionnent un domaine VLAN classique en sous-domaines. Un sous- domaine est représenté par une paire VLAN primaire/VLAN secondaire. Un VLAN pri- vé peut avoir de multiples paires, une paire pour chaque sous-domaine. Toutes les paires VLANs dans un VLAN privé partagent le même VLAN primaire. Le VLAN ID se- condaire différencie un sous-domaine d'un autre. ccnp-cch

4 VLAN primaire Domaine VLAN privé Sous-Domaine Sous-Domaine VLAN secondaire isolé VLAN secondaire de communauté Il y a deux types de VLANs secondaires:  VLAN isolé - Les ports dans un VLAN isolé ne peuvent pas communiquer entre eux à la couche  VLAN de communauté - Les ports dans un VLAN de communauté peuvent commu- niquer entre eux mais ne peuvent pas communiquer à la couche 2 avec d'autres ports d'autres communautés. Les PVLANs permettent un isolement couche 2 entre ports dans le même VLAN privé. Les ports VLAN privé sont des ports d'accès qui ont un de ces types:  Promiscuous - Un port promiscuous appartient au VLAN primaire et peut commu niquer avec toutes les interfaces y compris les ports hosts isolés et de communauté qui appartiennent aux VLANs secondaires associés au VLAN primaire.  Isolé - Un port isolé est un port host qui appartient aux VLANs secondaires associés au VLAN primaire. Il y a une séparation complète de couche 2 avec les autres ports du même VLAN privé sauf pour les ports promiscuous. Les VLANs privés bloquent tout le trafic vers les ports isolés sauf le trafic venant des ports promiscuous. Le trafic issu d'un port isolé est acheminé uniquement vers le port promiscuous. ccnp-cch

5  Communauté - Un port de communauté est un port host qui appartient à un VLAN secondaire de communauté. Les ports de communautés communiquent avec d'au tres ports du même VLAN de communauté et avec les ports promiscuous. Ces in terfaces sont isolées à la couche 2 des autres interfaces des autres communautés et des ports isolés dans leur VLAN privé. Note: Les ports trunk transportent le trafic des VLANs classiques, isolés et de com- munauté. Les VLANs primaire et secondaire ont les caractéristiques suivantes:  VLAN primaire - Un VLAN privé a un seul VLAN primaire. Chaque port dans un VLAN privé est membre d'un VLAN primaire. Le VLAN primaire transporte le trafic unidirectionnel vers l'aval à partir des ports promiscuous vers les ports hosts (isolé et de communauté) et les autres ports promiscuous.  VLAN isolé - Un VLAN privé a un seul VLAN isolé. Un VLAN isolé est un VLAN se condaire qui transporte du trafic unidirectionnel amont vers les ports promiscuous et la passerelle.  VLAN de communauté - Un VLAN de communauté est un VLAN secondaire qui transporte du trafic amont des ports communautés vers les ports promiscuous, passerelle et les autres ports hosts dans la même communauté. Vous pouvez con figurer plusieurs VLANs de communauté dabs un VLAN privé. Un port promiscuous peut servir un seul VLAN primaire, un seul VLAN isolé et plu- sieurs VLANs de communauté. Les passerelles de couche 3 sont typiquement connec- tées au commutateur par un port promiscuous. Avec un port promiscuous vous pou- vez connecter une large gamme d'équipements comme points d'accès à un VLAN pri- vé. Par exemple vous pouvez utiliser un port promiscuous pour superviser ou sauve- garder les serveurs VLANs privés à partir d'une station d'administration. Dans un environnement commuté, vous pouvez affecter un VLAN privé individuel et un réseau IP associé à chaque groupe station commun ou individuel. Les stations ont seulement besoin de communiquer avec la passerelle par défaut pour communi- quer avec le VLAN privé. Vous pouvez utiliser des VLANs privés pour l'accès à des stations de ces façons:  Configurer les interfaces choisies connectées aux stations comme des ports isolés pour éviter toute communication à la couche 2. Par exemple si les stations sont des serveurs, cette configuration évite la communication entre serveurs à la cou- che  Configurer les interfaces connectées à la passerelle par défaut et les stations choi- sies (par exemple serveurs de sauvegarde) comme ports promiscuous pour permet tre à toutes les stations d'atteindre la passerelle par défaut. Vous pouvez étende les VLANs privés à travers plusieurs équipements ave trunk pour les VLANs primaire, isolé ou de communauté vers d'autres équipements qui suppor- tent les VLANs privés. Pour maintenir la sécurité de la configuration et éviter une ccnp-cch

6 autre utilisation des VLANs configurés comme VLANs privés, configurez les VLANs pri- vés sur tous les équipements intermédiaires y compris sur les équipements qui n'ont pas de ports VLAN privé. Système d'adressage IP avec les VLANs privés Affecter un VLAN séparé à chaque client crée un système d'adressage inefficace:  Affecter un bloc d'adresses à un VLAN client peut entrainer une perte d'adresses.  Si le nombre d'équipements croît dans le VLAN, le nombre d'adresses affectées peut ne pas être assez grand pour les satisfaire. Ces problèmes sont réduits en utilisant des VLANs privés dans lesquels tous les mem- bres du VLAN privé partagent un espace d'adressage commun alloué au VLAN primai- re. Les hosts sont connectés aux VLANs secondaires et le serveur DHCP leur affecte des adresses IP à partir du bloc d'adresses affecté au VLAN primaire. Les adresses IP suivantes peuvent être affectées à des équipements du client dans différents VLANs secondaires mais dans le même VLAN primaire. Quand de nouveaux équipements sont ajoutés, le serveur DHCP leur affecte la prochaine adresse disponible prise dans un pool d'adresses de sous-réseau. VLANs privés à travers plusieurs commutateurs Comme avec les VLANs classiques, les VLANs privés peuvent recouvrir plusieurs com- mutateurs. Un port trunk transporte les VLANs primaire et secondaires vers le com- mutateur voisin. Le port trunk traite le VLAN privé comme n'importe quel autre VLAN. Une des caractéristiques des VLANs privés à travers plusieurs commutateurs est que le trafic issu d'un port isolé du commutateur A n'atteindra pas un port isolé du com- mutateur B. ccnp-cch

7 VLAN 202 VLAN 201 VLAN 100 Switch A Switch B Ports trunk Transporte le trafic de VLAN 100, 201 et 202 VLAN 100 = VLAN primaire VLAN 201 = VLAN secondaire isolé VLAN 202 = VLAN secondaire de communauté Comme VTP ne supporte pas les VLANs privés, vous devez configurer manuellement les VLANs privés sur tous les commutateurs du réseau couche 2. Si vous ne configu- rez pas l'association VLAN primaire-VLAN secondaire sur certains commutateurs du réseau, les bases de données de couche 2 de ces commutateurs ne seront pas fusion- nées. Ceci peut entrainer une diffusion non nécessaire du trafic du VLAN privé sur ces commutateurs. Note: Lors de la configuration des VLANs privés sur le commutateur, utilisez toujours le modèle Switch Database Management (SDM) pour équilibrer les ressources système entre les routes unicast et les entrées de couche 2. Si un autre modèle SDM est con- figuré, utilisez la commande sdm prefer default en mode de configuration global pour reprendre le modèle par défaut. Interaction des PVLANs avec d'autres fonctionnalités Les VLANs privés ont des interactions particulières avec d'autres fonctionnalités qui sont décrites dans ces sections:  Les VLANs privés et le trafic unicast, broadcast et multicast  Les VLANs privés et les SVIs ccnp-cch

8 ccnp-cch Les VLANs privés et le trafic unicast, broadcast et multicast
Dans les VLANs classiques, les équipements dans le même VLAN peuvent communi- quer entre eux à la couche 2 mais les équipements connectés aux interfaces dans différents VLANs doivent communiquer à la couche 3. Dans les VLANs privés, les ports promiscuous sont membres du VLAN primaire tandis que les ports host appar- tiennent au VLAN secondaire. Comme le VLAN secondaire est associé au VLAN pri- maire, les membres de ces VLANs peuvent communiquer entre eux à la couche Dans un VLAN classique, les broadcasts sont acheminés vers tous les ports du VLAN. L'acheminement des broadcasts dans les VLANs privés dépend du port qui transmet les broadcasts:  Un port isolé transmet un broadcast uniquement sur les ports promiscuous ou les ports trunk  Un port de communauté transmet un broadcast vers tous les autres ports promis cuous, les ports trunk et les ports dans le même VLAN de communauté.  Un port promiscuous transmet un broadcast vers tous les ports du VLAN privé (autres ports promiscuous, trunks, ports isolés et ports de communauté) Le trafic multicast est routé ou ponté à travers les VLANs privés et dans une seule communauté VLAN. Le trafic multicast n'est pas acheminé entre ports dans le même VLAN isolé ou entre ports dans des VLANs secondaires. Les VLANs privés et les SVIs Dans un commutateur de couche 3, une SVI (Switch Virtual Interface) représente l'in- terface de couche 3 d'un VLAN. Les équipements de couche 3 communiquent avec un VLAN privé uniquement à travers le VLAN primaire et non à travers le VLAN secon- daire. Configurez des interfaces VLAN de couche 3 (SVI) uniquement pour les VLANs primaire. Vous ne pouvez pas configurer des interfaces VLAN de couche 3 pour des VLANs secondaires. Les SVIs pour les VLANs secondaires sont inactivés pendant que le VLAN est configuré comme VLAN secondaire.  Si vous tentez de configurer un VLAN avec une SVI active comme VLAN secondaire la configuration n'est pas autorisée jusqu'à ce que vous dévalidiez la SVI.  Si vous essayez de créer une SVI sur un VLAN secondaire déjà mappé à la couche , la SVI n'est pas créée et une erreur est retournée. Si la SVI n'est pas mappée à la couche 3, la SVI est créée mais automatiquement bloquée. Quand le VLAN primaire est associé avec et mappé au VLAN secondaire toute configu- ration sur le VLAN primaire est propagée vers les SVIs VLAN secondaires. Par exem- ple vous affectez un réseau IP à la SVI VLAN primaire, ce réseau est l'adresse IP du VLAN privé dans sa totalité. ccnp-cch

9 Configurer les VLANs privés
Cette section contient les lignes directrices et les procédures pour la configuration des VLANs privés. Voici ces sections:  Tâches pour la configuration des VLANs privés  Configuration par défaut des VLANs privés  Conseils pour la configuration des VLANs privés  Configurer et associer les VLANs à un VLAN privé  Configurer une interface de couche 2 comme port host VLAN privé  Configurer une interface de couche 2 comme port host VLAN privé promiscuous  Mapper les VLANs secondaires à l'interface VLAN primaire de couche 3 Tâches pour la configuration des VLANs privés Pour configurer un VLAN privé, exécutez ces étapes: Etape 1 - Passez le mode VTP à transparent Etape 2 - Créez les VLANs primaire et secondaire et associez-les. Note: Si le VLAN n'est pas déjà crée, le processus de configuration de VLAN privé le crée. Etape 3 - Configurez les interfaces qui doivent être isolées, de communauté, ports host et affectez l'appartenance VLAN au port host. Etape 4 - Configurez les interfaces comme des ports promiscuous et mappez les ports promiscuous à la paire primaire-secondaire. Etape 5 - Si le routage inter-vlan doit être utilisé, configurez la SVI primaire et map- pez le VLAN secondaire au primaire. Configuration par défaut des VLANs privés Aucun VLAN privé n'est configuré par défaut. ccnp-cch

10 Lignes directrices pour la configuration des VLANs privés Les lignes directrices pour la configuration des VLANs privés tombent dans les caté- gories suivantes:  Configuration du VLAN primaire et du VLAN secondaire  Configuration de port VLAN privé  Limitations avec les autres fonctionnalités Configuration du VLAN primaire et du VLAN secondaire Suivez ces conseils quand vous configurez des VLANs privés.  Fixez le mode VTP à transparent. Après avoir configuré un VLAN privé, vous ne devez pas changer le mode VTP en client ou serveur.  Vous devez utiliser le mode de configuration VLAN (config-vlan) pour configurer les VLANs privés. Vous ne pouvez pas configurer les VLANs privés en mode de configu- ration VLAN database.  Après avoir configuré les VLANs privés, utilisez la commande copy running- config startup-config en mode EXEC privilégié pour sauvegarder le mode VTP transparent et la configuration des VLANs privés dans la configuration de démarrage du com- mutateur  VTP ne propage pas la configuration des VLANs privés. Vous devez configurer les VLANs privés sur chaque équipement sur lesquels vous voulez des ports VLANs privés.  Vous ne pouvez pas configurer les VLAN 1 ou les VLAN 1001 à 1005 comme VLANs primaire ou secondaire. Les VLANs étendus (VLAN IDs 1006 à 4096) peuvent ap- partenir à des VLANs privés.  Un VLAN primaire peut avoir un VLAN isolé et plusieurs VLANs de communauté associés à celui-ci. Un VLAN isolé ou de communauté peut avoir un seul VLAN pri- maire associé.  Bien qu'un VLAN privé contienne plusieurs VLANs, une seule instance Spanning- Tree (STP) opère pour le VLAN privé dans sa totalité. Quand un VLAN secondaire est associé au VLAN primaire, les paramètres STP du VLAN primaire sont propagés vers le VLAN secondaire.  Vous pouvez valider la surveillance DHCP sur les VLANs privés. Quand vous vali- dez la surveillance DHCP sur le VLAN primaire, elle est propagée vers les VLANs secondaires. Si vous configurez la surveillance DHCP sur un VLAN secondaire, la configuration ne sera pas effectuée si le VLAN primaire est déjà configuré.  Il est recommandé d'éliminer les VLANs privés des trunks sur les équipements qui ne transportent pas de trafic pour ces VLANs privés. ccnp-cch

11  Vous pouvez appliquer différentes configurations de QoS aux VLANs primaire, secondaire et isolés.  Quand vous configurez des VLANs privés, la résolution d'adresse ARP (Address Resolution Protocol) figée est validée par défaut et les entrées ARP apprises par les interfaces VLAN privé de couche 3 sont des entrées figées. Pour des raisons de sécurité, les entrées ARP de port VLAN privé n'expirent pas Note: Il recommandé d'afficher et de vérifier les entrées ARP des interfaces VLAN privé. Connecter un équipement avec une adresse MAC différente mais avec la même adresse IP génère un message et l'entrée ARP n'est pas créée. Comme les entrées ARP port VLAN privé n'expirent pas, vous devez retirer une entrée ARP VLAN pri vé manuellement si l'adresse MAC change Vous pouvez retirer une entrée ARP VLAN privé en utilisant la commande no arp ip address en mode de configuration global Vous pouvez ajouter une entrée ARP VLAN privé en utilisant la commande arp ip-address hardware-address type en mode de configuration global.  Vous pouvez configurer les associations VLAN sur les VLAN primaire et secondaire Cependant, il est recommandé que vous configuriez les mêmes associations VLANs sur les VLANs primaire et secondaire  Quand une trame est acheminée à la couche 2 dans un VLAN privé, la même asso ciation VLAN est appliquée du côté entrant et du côté sortant. Quand une trame est acheminée depuis l'intérieur d'un VLAN privé vers un port externe, l'association VLAN privé est appliquée du côté entrant Pour les trames allant vers l'amont depuis un port host vers un port promiscu- ous, l'association VLAN configurée sur le VLAN secondaire est appliquée Pour les trames allant vers l'aval depuis un port promiscuous vers un port host l'association VLAN configurée sur le VLAN primaire est appliquée. Pour filtrer en sortie du trafic IP spécifique pour un VLAN privé, vous devez appli quer l'association VLAN aux VLANs secondaires et primaire.  Vous pouvez appliquer les ACLs de routeur uniquement sur les SVIs du VLAN pri maire. L'ACL est appliquée au trafic de couche 3 des VLANs secondaires et primai- re.  Bien que les VLANs privés offrent l'isolement de host à la couche 2, les hosts peu vent communiquer entre eux à la couche  Les VLANs privés supportent ces fonctionnalités SPAN (Switch Port Analyzer): Vous pouvez configurer un port VLAN privé comme port SPAN source. - Vous pouvez utiliser SPAN basé VLAN (VSPAN) sur des VLAN primaire, isolé et de communauté ou utiliser SPAN sur un seul VLAN pour du trafic supervisé entrant ou sortant. ccnp-cch

12 Configuration port VLAN privé Suivez ces lignes directrices quand vous configurez des ports VLAN privé:  Utilisez uniquement les commandes de configuration VLAN privé pour affecter des ports à des VLANs primaire, isolé ou de communauté. Les ports d'accès de couche affectés aux VLANs que vous configurez comme primaire, isolé ou de commu- nauté sont inactifs tant que le VLAN fait partie d'une configuration VLAN privé Les interfaces trunk couche 2 restent dans l'état STP acheminement.  Ne configurez pas les ports qui appartiennent à un EtherChannel PAgP ou LACP comme des ports VLAN privé. Tant qu'un port fait partie d'une configuration VLAN privé, toute configuration EtherChannel pour celui-ci est inactive.  Validez Portfast et "BPDU guard" sur les ports host de VLAN de communauté et isolé pour éviter les boucles STP dues à une mauvaise configuration et pour accé lérer la convergence STP. Quand il est validé, le STP applique la fonctionnalité BPDU guard à tous les ports LAN de couche 2 configurés avec Portfast. Ne pas va- lider Portfast et BPDU guard sur les ports promiscuous.  Si vous effacez un VLAN utilisé dans une configuration VLAN privé, les ports asso- ciés à ce VLAN privé deviennent inactifs.  Les ports VLAN privé peuvent être sur des équipements réseau différents si les équipements sont connectés par un trunk et que les VLANs primaire et secondaire n'ont pas été retirés du trunk. Limitations avec d'autres fonctionnalités Quand on configure des VLANs privés, rappelez-vous ces limitations avec d'autres fonctionnalités. Dans certains cas, la configuration est acceptée sans message d'er- reur mais les commandes sont sans effet.  Ne pas configurer "Fallback Bridging" avec les VLANs privés.  Quand "IGMP Snooping" est validé sur le commutateur (par défaut), le commuta- teur supporte au plus 20 domaines VLANs privés.  IP source guard n'est pas supporté par les VLANs privés.  Ne pas configurer un VLAN SPAN distant (RSPAN) comme VLAN privé primaire ou secondaire.  Ne pas configurer les ports VLAN privé sur des interfaces configurées pour ces fonctionnalités: Appartenance à un port VLAN dynamique DTP (Dynamic Trunking Protocol) - PAgP (Port Aggregation Protocol) - LACP (Link Aggregation Control Protocol) MVR (Multicast VLAN Registration) VLAN voix - Inspection ARP dynamique ccnp-cch

13  Un port VLAN privé ne peut pas être un port sécurisé et ne doit pas être configuré
comme port protégé.  Vous pouvez configurer l'authentification 802.1X basée sur le port sur un port VLAN privé mais ne configurez pas 802.1X avec la sécurité de port, un VLAN voix ou une ACL par utilisateur sur des ports VLAN privés.  Un port host VLAN privé ou promiscuous ne peut pas être un port SPAN destina- tion. Si vous configurez un port SPAN destination comme port VLAN privé, le port devient inactif.  Si vous configurez une adresse MAC statique sur un port promiscuous dans le VLAN primaire, vous devez ajouter la même adresse statique à tous les VLANs secondaires associés. Si vous configurez une adresse MAC statique sur un port host dans un VLAN secondaire, vous devez ajouter la même adresse statique au VLAN primaire associé. Quand vous retirez une adresse MAC statique d'un port VLAN privé, vous devez retirer toutes les instances de l'adresse MAC configurées du VLAN privé Note: Les adresses MAC dynamiques apprises dans un VLAN privé sont répliquées dans les VLANs associés. Par exemple, une adresse MAC apprise dans un VLAN secondaire est répliquée dans le VLAN primaire. Quand l'adresse MAC dynamique originale est effacée ou a expiré, les adresses répliquées sont retirées de la table des adresse MAC.  Configurez des interfaces VLAN de couche 3 (SVI) uniquement pour les VLANs primaire Configurer et associer les VLANs à un VLAN privé En débutant en mode EXEC privilégié, suivez ces étapes pour configurer les VLANs privés. Note: Les commandes private-vlan prennent effet lorsque vous sortez du mode de configuration VLAN. Commande But configure terminal Entre en mode de configuration global. vtp mode transparent Fixe le mode VTP à transparent (dévalide VTP). vlan vlan-id Entre en mode de configuration VLAN et désigne ou crée un VLAN qui sera le VLAN primaire. L'intervalle de VLAN ID est de 2 à 1001 et 1006 à 4094. private-vlan primary Désigne le VLAN comme VLAN primaire. exit Retour en mode de configuration global. ccnp-cch

14 Commande But vlan vlan-id (Optionnel) Entre en mode de configuration VLAN et désigne ou crée un VLAN qui sera le VLAN isolé. L'intervalle de VLAN ID est de 2 à 1001 et 1006 à 4094. private-vlan isolated Désigne le VLAN comme VLAN isolé. exit Retour en mode de configuration global. et désigne ou crée un VLAN qui sera le VLAN de communauté. L'intervalle de VLAN ID est de 2 à 1001 et 1006 à private-vlan community Désigne le VLAN comme VLAN de communauté. Return to global configuration mode. Entre en mode de configuration VLAN pour le VLAN primaire crée au début. private-vlan association [add | remove] secondary_vlan_list Associe les VLANs secondaires au VLAN primaire. end Retour en mode EXEC privilégié. show vlan private-vlan [type] ou show interfaces status Affichage de la configuration. copy running-config startup config Sauvegarde de vos entrées dans le fichier de confi- guration de démarrage du commutateur. Quand vous associez des VLANs secondaires au VLAN primaire notez ces informations sur la syntaxe:  Le paramètre secondary-vlan-list ne peut pas contenir d'espaces. Il peut contenir plusieurs items séparés par des virgules. Chaque item peut être un ID de VLAN privé unique ou un intervalle d'IDs de VLANs privés.  Le paramètre secondary-vlan-list peut contenir plusieurs IDs de VLANs de commu- nauté mais un seul ID de VLAN isolé.  Entrez le paramètre secondary-vlan-list ou utilisez le mot-clé add avec un paramè- tre secondary-vlan-list pour associer les VLANs secondaires à un VLAN primaire.  Utilisez le mot-clé remove avec un paramètre secondary-vlan-list pour effacer les associations entre VLANs secondaire et VLAN primaire.  La commande prendra effet lorsque vous sortirez du mode de configuration VLAN. ccnp-cch

15 Cet exemple montre comment configurer le VLAN 20 comme VLAN primaire, le VLAN 501 comme VLAN isolé et les VLANs 502 et 503 comme VLANs de communauté pour les associer dans un VLAN privé et vérifier la configuration. Switch# configure terminal Switch(config)# vlan 20 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# exit Switch(config)# vlan 501 Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 502 Switch(config-vlan)# private-vlan community Switch(config)# vlan 503 Switch(config-vlan)# private-vlan association Switch(config-vlan)# end Switch(config)# show vlan private vlan Primary Secondary Type Ports isolated community community non-operational Configurer une interface de couche 2 comme port host VLAN privé En débutant en mode EXEC privilégié, suivez ces étapes pour configurer une interface de couche 2 comme port host VLAN privé et l'associer avec les VLANs primaire et secondaire. Note: les VLANs isolés et de communauté sont tous les deux des VLANs secondaires. Commande But configure terminal Entre en mode de configuration global. interface interface-id Entre en mode de configuration interface pour configurer l'interface de couche 2. switchport mode private-vlan host Configure le port de couche 2 comme port host VLAN privé. switchport private-vlan host- association primary_vlan_id secondary_vlan_id Associe le port de couche 2 au VLAN privé. end Retour en mode EXEC privilégié. show interfaces [interface-id] switchport Affichage de la configuration. copy running-config startup config (Optionnel) Sauvegarde de vos entrées dans le fichier de configuration de démarrage du commutateur. ccnp-cch

16 Configurer une interface de couche 2 comme port host VLAN privé
Cet exemple montre comment configurer une interface comme port host VLAN privé, l'associer avec une paire VLAN primaire-VLAN secondaire et vérifier la configuration. Switch# configure terminal Switch(config)# interface fastethernet0/22 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 20 25 Switch(config-if)# end Switch# show interfaces fastethernet0/22 switchport Name: Fa0/22 Switchport: Enabled Administrative Mode: private-vlan host Operational Mode: private-vlan host Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: 20 (VLAN0020) 25 (VLAN0025) Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: 20 (VLAN0020) 25 (VLAN0025) <partie supprimée> Configurer une interface de couche 2 comme port host VLAN privé promiscuous En débutant en mode EXEC privilégié, suivez ces étapes pour configurer une interface de couche 2 comme port host VLAN privé promiscuous et le mapper avec les VLANs primaire et secondaire. Note: les VLANs isolés et de communauté sont tous les deux des VLANs secondaires. Commande But configure terminal Entre en mode de configuration global. interface interface-id Entre en mode de configuration interface pour configurer l'interface de couche 2. switchport mode private-vlan promiscuous Configure le port de couche 2 comme port host VLAN privé promiscuous. switchport private-vlan mapping primary_vlan_id [add|remove] secondary_vlan_list Mappe le port VLAN privé promiscuous au VLAN primaire et aux VLANs secondaires choisis. end Retour en mode EXEC privilégié. show interfaces [interface-id] switchport Affichage de la configuration. copy running-config startup config (Optionnel) Sauvegarde de vos entrées dans le fichier de configuration de démarrage du commutateur. ccnp-cch

17 Mapper les VLANs secondaires à l'interface VLAN primaire de couche 3
Quand vous configurez une interface de couche 2 comme port VLAN privé promiscu- ous, notez ces informations sur la syntaxe:  Le paramètre secondary-vlan-list ne peut pas contenir d'espaces. Il peut contenir plusieurs items séparés par des virgules. Chaque item peut être un ID de VLAN privé unique ou un intervalle d'IDs de VLANs privés.  Entrez le paramètre secondary-vlan-list ou utilisez le mot-clé add avec un paramè- tre secondary-vlan-list pour mapper les VLANs secondaires au port VLAN privé promiscuous.  Utilisez le mot-clé remove avec un paramètre secondary-vlan-list pour effacer le mapping entre les VLANs secondaire et le port VLAN privé promiscuous. Cet exemple montre comment configurer une interface comme port VLAN privé pro- miscuous et la mapper à un VLAN privé. L'interface est membre du VLAN primaire 20 et les VLANs secondaire 501 et 503 sont mappés avec elle. Switch# configure terminal Switch(config)# interface fastethernet0/2 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 20 add Switch(config-if)# end Utilisez la commande show vlan private-vlan ou show interface status en mode EXEC privilégié pour afficher les VLANs primaire et secondaire et les ports VLAN privé sur le commutateur. Mapper les VLANs secondaires à l'interface VLAN primaire de couche 3 Si un VLAN privé doit être utilisé pour du routage inter-vlan, vous configurez une SVI pour le VLAN primaire et vous mappez les VLANs secondaire à la SVI. Note: les VLANs isolés et de communauté sont tous les deux des VLANs secondaires. En débutant en mode EXEC privilégié, suivez ces étapes pour mapper les VLANs se- condaire à la SVI du VLAN primaire pour autoriser la commutation couche 3 du tra- fic du VLAN privé. Commande But configure terminal Entre en mode de configuration global. interface vlan primary_vlan_id Entre en mode dec configuration interface pour le VLAN primaire et configure le VLAN comme une SVI. L'intervalle de VLAN ID est 2 à 1001 et 1006 à 4094. private-vlan mapping [add | remove] secondary_vlan_list Mappe les VLANs secondaire à l'interface VLAN de couche 3 d'un VLAN primaire pour permettre la la commutation de couche 3 du trafic entrant du VLAN privé. ccnp-cch

18 Commande But end Retour en mode EXEC privilégié. show interface private-vlan mapping Affichage de la configuration. copy running-config startup config (Optionnel) Sauvegarde vos entrées dans le fichier de configuration de démarrage du commutateur. Note: la commande dec configuration interface private-vlan mapping affecte uni- quement le trafic VLAN privé qui est commuté à la couche 3. Quand vous mappez les VLANs secondaires à l'interface VLAN de couche 3 du VLAN primaire, notez ces informations de syntaxe:  Le paramètre secondary-vlan-list ne peut pas contenir d'espaces. Il peut contenir plusieurs items séparés par des virgules. Chaque item peut être un ID de VLAN privé unique ou un intervalle d'IDs de VLANs privés.  Entrez le paramètre secondary-vlan-list ou utilisez le mot-clé add avec un paramè- tre secondary-vlan-list pour mapper les VLANs secondaires au VLAN primaire.  Utilisez le mot-clé remove avec un paramètre secondary-vlan-list pour effacer le mapping entre les VLANs secondaire et le VLAN primaire. Cet exemple montre comment mapper les interfaces des VLANs 501 et 502 au VLAN primaire 10 lequel permet le routage du trafic entrant des VLANs secondaires issus des VLANs privés 501 et 502. Switch# configure terminal Switch(config)# interface vlan 10 Switch(config-if)# private-vlan mapping Switch(config-if)# end Switch# show interfaces private-vlan mapping Interface Secondary VLAN Type vlan isolated vlan community ccnp-cch

19 Superviser le VLANs privés
Le tableau suivant montre les commandes pour la supervision de l'activité des VLANs privés. Commande But show interfaces status Affiche l'état des interfaces incluant les VLANs auxquels elles appartiennent. show vlan private-vlan [type] Affiche l'information VLAN privé pour le commuta- teur. show interface switchport Affiche la configuration VLAN privé des interfaces. show interface private-vlan mapping Affiche les informations de mapping des VLANs privés pour les SVIs VLAN. Ceci est un exemple de sortie de la commande show vlan private-vlan: Switch(config)# show vlan private-vlan Primary Secondary Type Ports isolated Fa0/1, Gi0/1, Gi0/2 community Fa0/11, Gi0/3, Gi0/4 non-operational ccnp-cch

Télécharger ppt "Catalyst Configuration de VLANs privés"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
ARCHITECTURE RESEAUX.

ARCHITECTURE RESEAUX.
Multicast Routing Monitor

Multicast Routing Monitor
MENUS PRINCIPAL RESEAU.

MENUS PRINCIPAL RESEAU.
Catalyst Configurer les macros Smartports

Catalyst Configurer les macros Smartports
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
CCNP Routage Chapitre 4 - Questionnaire N°1

CCNP Routage Chapitre 4 - Questionnaire N°1
Catalyst Configurer les macros Smartports

Catalyst Configurer les macros Smartports
basé sur le port - Catalyst 3550

basé sur le port - Catalyst 3550
Sécurité - Cisco ASA Supervision du contenu

Sécurité - Cisco ASA Supervision du contenu
Configuration BGP - avec deux FAI différents (Multihoming)

Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
EtherChannel de couche 3 sur Routeur Cisco ISR

EtherChannel de couche 3 sur Routeur Cisco ISR
PIX/ASA - Configuration Serveur et Client DHCP

PIX/ASA - Configuration Serveur et Client DHCP

Présentations similaires

Annonces Google