Mise en Place des VLANs

Phase 1 : Mise en Place des VLANs sur les Switches

---

1. Objectif de ce Document

Ce document explique comment configurer les VLANs sur les ports de nos switches Zyxel. Après avoir suivi cette procédure, chaque port physique du switch sera assigné à un réseau virtuel spécifique, isolant ainsi les différentes zones fonctionnelles les unes des autres.

Nous allons apprendre la différence fondamentale entre un port en mode “Access” et un port en mode “Trunk”.

2. Le “Pourquoi” : L’Analogie de l’Hôtel Sécurisé

Imaginez que notre switch est un hôtel. Les ports du switch sont les portes des chambres.

• Un VLAN est un étage de l’hôtel, réservé à un groupe spécifique. Le 4ème étage est pour le groupe “BTS” (VLAN 40), le 5ème pour le groupe “SAV” (VLAN 50), etc.

Il y a deux types de portes dans cet hôtel :

a) La Porte de Chambre (Mode “Access”)

C’est une porte standard. Quand un client (un poste de travail) la franchit, il se retrouve dans une seule chambre, à un seul étage. Sa carte d’accès ne fonctionne que pour cet étage. Un port en mode “Access” est un port dédié à un seul VLAN. C’est le mode utilisé pour connecter les équipements finaux (PC, imprimantes…).

b) La Porte de l’Ascenseur (Mode “Trunk”)

L’ascenseur doit pouvoir desservir tous les étages. Pour savoir où déposer chaque passager, l’ascenseur “étiquette” chaque personne avec son numéro d’étage. Un port en mode “Trunk” est une liaison spéciale qui transporte le trafic de plusieurs VLANs simultanément. Chaque paquet de données est “étiqueté” (taggé) avec son ID de VLAN pour que le switch suivant sache à quel étage le livrer. On utilise ce mode pour connecter les switches entre eux ou pour relier un switch au routeur/pare-feu.

3. Prérequis

• Avoir un accès en SSH ou via l’interface web au switch à configurer (voir procédure de configuration initiale).
• Avoir sous les yeux le tableau des VLANs pour connaître les numéros et les noms à créer.

4. Procédure Pas-à-Pas (en Ligne de Commande)

Nous allons prendre l’exemple du switch de la salle BTS (sw-bts-access-01).

Étape 1 : Déclarer tous les VLANs sur le Switch

Même si le switch ne dessert que la salle BTS, il doit connaître l’existence des autres VLANs pour pouvoir communiquer correctement avec le reste du réseau via le port Trunk.

1. Connectez-vous en SSH et entrez en mode configuration :

   configure terminal
   

2. Créez chaque VLAN défini dans notre plan (VLAN 10 a déjà été créé) :

   vlan 20
    name SERVERS
    exit
   vlan 40
    name CLIENTS_BTS
    exit
   vlan 50
    name CLIENTS_SAV
    exit
   vlan 60
    name CLIENTS_FABLAB
    exit
   vlan 70
    name CLIENTS_MELEC
    exit
   vlan 200
    name NAC_ISOLATION
    exit
   

Étape 2 : Configurer un Port en Mode “Access”

Disons que les postes des élèves sont branchés sur les ports 1 à 20. Nous allons configurer le port 1 pour le VLAN 40 (CLIENTS_BTS).

1. Sélectionnez l’interface du port :

   interface ethernet 1/1
   

   (La syntaxe peut être port-channel 1 ou ethernet e1 selon le modèle exact, adaptez si besoin).
2. Définissez le VLAN “natif” pour ce port. Le trafic entrant sur ce port sera automatiquement assigné au VLAN 40. C’est ce qu’on appelle un port “untagged”.

   switchport access vlan 40
   

3. Pour appliquer la même configuration à une plage de ports (de 1 à 20) :

   interface range ethernet 1/1-20
   switchport access vlan 40
   exit
   

Étape 3 : Configurer un Port en Mode “Trunk”

Le port 24 est utilisé pour relier ce switch au switch “Core” de la baie principale. Il doit donc transporter le trafic de plusieurs VLANs.

1. Sélectionnez l’interface du port :

   interface ethernet 1/24
   

2. Activez le mode Trunk sur ce port :

   switchport mode trunk
   

3. Spécifiez quels VLANs ont le droit de passer par cet “ascenseur”. Par sécurité, on n’autorise que ceux dont on a besoin.

   switchport trunk allowed vlan add 10,20,40,50,60,70,200
   

Étape 4 : Sauvegarder la Configuration

1. Quittez le mode configuration : exit
2. Sauvegardez durablement les changements : write memory

5. Points de Validation

• Validation du port “Access” : Branchez un poste de travail sur l’un des ports configurés en access vlan 40 (ex: port 1). Une fois que le service DHCP sera configuré sur le pare-feu, ce poste devrait automatiquement recevoir une adresse IP dans la plage 10.0.40.0/24. C’est la preuve ultime que la segmentation fonctionne.
• Validation du port “Trunk” : Depuis le switch, vous devriez être capable de ping l’adresse du switch “Core” (10.0.10.X). Depuis le switch “Core”, vous devriez pouvoir ping l’adresse de ce switch (10.0.10.Y). Cela prouve que le VLAN de management (VLAN 10) passe bien par le Trunk.

---

Étape suivante : Le réseau local est maintenant segmenté. Il nous faut un “cerveau” pour faire communiquer ces segments entre eux et avec Internet. C’est le rôle de la paire de pare-feu Zyxel.