Création d’un LAN

Introduction

 

Dans ce nouveau billet nous allons voir comment créer un Lan de petite taille, je vais pour cela faire une maquette à l’aide du logiciel cisco packet tracer. Nous allons voir par le biais de ce cas concret les notions de VLAN, interface de VLAN, DHCP, DNS, d’agrégat de liens… Cet article n’aborde pas du tout la notion de sécurité réseau qui fera l’objet d’un autre article très prochainement.

 

Schéma de notre future architecture

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Matériels et conseils

 

Nous nous arrêterons à deux commutateurs côté zone cliente mais il est bien évident que vous devez adapter cette architecture et rajouter des éléments actifs supplémentaires en fonction du microzoning donné. Côté des serveurs, nous testerons les services DHC et DNS . Le routeur servira pour l’interconnexion avec le WAN (internet par exemple), le logiciel cisco packet tracer ne permet malheureusement pas de tester le service firewall, important si vous êtes connecté au monde internet depuis votre réseau d’entreprise.

Au niveau matériel, privilégiez pour les serveurs des commutateurs fibres SFP GBIC avec des modules SFP (Small Form-Factor Pluggable). Vous pouvez trouver des modules SX pour fibre multimode (courte distance, maximum 220M) et LX pour fibre multimode ou monomode (longue distance, maximum 10KM) ou encore LX70 (très longue distance, 70KM), tout cela bien sur en fonction des cartes réseaux de vos serveurs (sinon utilisez des bons vieux commutateurs RJ45). Dans notre cas des SFPs GBIC SX sont amplement suffisants. Pour information on différencie les SFPs GBIC SX et LX par leur bout respectivement noir et bleu. En cas de panne ces modules sont changeables à chaud sans problème.

 

Photo de commutateurs RJ45 et modules SFP :

 

 

 

 

 

 

 

Photo d’un module SFP GBIC SX:

 

 

 

 

 

 

 

Au niveau connectique, vous pouvez trouver des fibres de type multimode (souvent de couleur orange, vert ou violet, pour les courtes distances) ou monomode (souvent de couleur jaune, pour les longues distances) avec des formats différents en fonction du type de module que vous utilisez et du type de carte réseau de vos serveurs, voici une image récapitulative des différents connecteurs :

 

 

 

 

 

 

 

 

 

 

 

 

 

Pour ne pas multiplier les équipements réseaux à administrer vous pouvez opter pour des commutateurs permettant le stack, vous aurez ainsi une pile de switchs qui apparaîtra logiquement comme un seul équipement avec une seule configuration, l’intérêt est aussi qu’en cas de perte d’un des équipements de la pile les autres continuent de fonctionner en effectuant une réélection d’un switch maître; Vous aurez juste à remplacer le switch défectueux et à le rebrancher au stack. Cisco utilise des cartes spéciales pour stacker les équipements entre-eux avec des câbles spécifiques, la longueur de ces câbles est assez limitée (quelques mètres généralement) ce qui est largement suffisant pour une PME; Ce constructeur propose également la technologie VSS (pour Virtual Switching System) pour le stack longue distance mais ceci impose un système de chassis pas forcément adapté dans notre cas. HP eux proposent le protocole IRF (Intelligent Redundant Framework) permettant de faire du stack courte ou longue distance puisque les liens entre les différents switchs de la pile se font par le biais de fibres optiques ou via un câble propriétaire.

 

Schéma d’une pile de stack Cisco, vue arrière :

 

 

 

 

 

 

 

 

Pour notre maquette nous utiliserons des switchs Catalyst Cisco 2950T pour les postes clients et des switchs Cisco générique (permettant l’ajout de cartes fibres) pour les serveurs ainsi que pour l’interconnexion avec le routeur. Un routeur Cisco générique fera l’affaire pour notre sortie WAN. Aucun partie pris de ma part, vous pouvez très bien mettre en place votre LAN avec du matériel HP type switch 4800G ou 5500 (permettant du niveau 2 comme du niveau 3). Les commandes pour la configuration de notre maquette seront en Cisco mais vous trouverez un tableau d’équivalence Cisco/HP (H3C,3COM c’est pareil) ici qui pourra vous servir si vous utilisez cet autre constructeur.

Nous aborderons succinctement les solutions de continuité de service, le logiciel cisco packet tracer n’implémentant pas certains protocoles comme l’HSRP, le VRRP ou encore le GLBP permettant une haute disponibilité de la passerelle (voir cet article). Pensez cependant à mettre des solutions de type « channel bonding » ou « team » si vous disposez de plus d’une carte réseau par serveur (une carte virtuelle pour deux cartes physiques potentiellement branchées sur deux commutateurs différents, stackés ou pas), j’avais d’ailleurs fais un petit article sur la configuration du channel bonding sous linux ici.

 

Etape 1 – Raccordement physique

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Petit rappel, entre deux équipements de même niveau nous mettons du câble croisé (exemple : switch-switch), entre deux équipements de niveau différent du câble droit (exemple : PC-switch), les équipements récents font automatiquement le croisement.

 

J’ai volontairement doublé le lien entre le switch reliant les serveurs et le switch central pour créer un agrégat de liens et ainsi assurer une tolérance de panne en cas de perte d’une fibre.

 

Deux serveurs ont été ajouté pour simuler le service DHCP (attribution automatique des adresses IP et informations DNS aux postes clients et autres périphériques réseau) et le service WEB (pour partager des informations) ainsi qu’un serveur ayant les services TACACS (pour l’authentification centralisée des éléments actifs), DNS (pour la résolution nom-ip et ip-nom) et NTP (pour la synchronisation au niveau temps des éléments actifs, serveurs et postes clients).

 

 

Etape 2 – Création des VLANs

 

Rappel sur la notion de VLAN :

 

Un VLAN (pour Virtual LAN) est un réseau local virtuel et intervient au niveau 2 du modèle OSI, c’est à dire la couche liaison de données; Les intérêts sont les suivants :

 

– Mieux gérer votre réseau.

– Améliorer la bande passante en limitant la diffusion des broadcasts.

– S’affranchir des problèmes de géographie (on peut avoir le même LAN dans deux bâtiments différents par exemple).

– Sécuriser votre réseau (un VLAN est isolé tant qu’il ne dispose pas d’une interface sur un routeur)

 

Nous allons donc créer un VLAN par fonction pour une meilleure gestion réseau :

 

– Un VLAN 10 SVC (pour les services communs) en 192.168.10.0/24.

– Un VLAN 11 ADMIN (pour l’administration des équipements réseaux) en 192.168.11.0/24.

– Un VLAN 2 RH en 192.168.2.0/24.

– Un VLAN 3 COMPTA en 192.168.3.0/24.

– Un VLAN 4 COMMUNICATION en 192.168.4.0/24.

– Un VLAN 5 GUEST (VLAN isolé) en 192.168.5.0/24.

 

Pour que tout ce petit monde puisse communiquer et principalement entre clients et serveurs, il va falloir créer une interface de VLAN par VLAN (niveau 3 du modèle OSI c’est à dire la couche réseau) sur notre routeur. Pour que les postes clients puissent récupérer dynamiquement une adresse IP en fonction de leur VLAN d’appartenance, il va falloir renseigner sur ces interfaces de VLAN l’adresse IP du serveur DHCP qui détiendra les pools d’adressage de chaque VLAN, ce sera pour nous l’adresse IP 192.168.10.1.

 

Sur le routeur :

 

Nous allons créer des sous-interfaces physiques pour chaque VLAN car le routeur choisi ne permet pas la création d’interfaces de VLAN mais ça revient exactement à la même chose^^. Pour chaque VLAN sauf le VLAN GUEST, procédez comme suit sur le routeur en mode configuration :

 

Ouvrir tout d’abord l’interface faisant la liaison avec le switch central, c’est à dire pour nous l’interface G6/0 :

 

router(config)#interface G6/0

router(config)#no shutdown

router(config)#exit

 

Exemple avec le VLAN 10 SVC pour les serveurs:

 

router(config)#interface G6/0.10

router(config)#description SVC

router(config)#encapsulation dot1q 10

router(config)#ip address 192.168.10.254 255.255.255.0

router(config)#exit

 

Exemple avec le VLAN client 2 RH :

 

router(config)#interface G6/0.2 (on indique le numéro de VLAN)

router(config)#description RH

router(config)#encapsulation dot1q 2

router(config)#ip address 192.168.2.254 255.255.255.0

router(config)#ip helper-address 192.168.10.1 (ici nous renseignons l’adresse IP du serveur DHCP qui aura un pool en 192.168.2.0/24 pour le VLAN RH)

router(config)#exit

 

Effectuez la même chose sur le routeur pour les VLANs client 3, 4 et 11 (sauf pour le VLAN 5 GUEST qui sera cloisonné et ne possèdera pas d’interface). Nous ne renseignerons pas le serveur DHCP pour les VLANs 10 SVC et 11 ADMIN, les adresses IP des serveurs et des EARs étant toujours fixées par sécurité.

 

Sous Cisco Packet Tracer, vous pouvez visualiser l’état des sous-interfaces créées en plaçant le curseur sur le routeur, nous pouvons voir qu’elles sont bien dans l’état UP :

 

 

 

 

 

 

 

Sur les commutateurs :

 

Créez les VLANs dont vous avez besoin sur tous les commutateurs jusqu’aux serveurs, postes ou périphériques réseaux. Le commutateur central aura obligatoirement tous les VLANs, celui rattachant les serveurs n’aura que le VLAN SVC 10 de renseigné et le VLAN ADMIN 11 pour administrer à distance le switch hébergeant les serveurs.

 

Exemple pour la création du VLAN 10 SVC :

 

switch(config)#vlan 10

switch(config-vlan)#name SVC

switch(config-vlan)#exit

 

Schéma récapitulatif des VLANs sur notre architecture :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Etape 3 – Configuration de l’agrégat de liens

 

Faîtes des agrégats sur les liens que vous trouvez très importants, ça ne sert à rien d’en mettre partout.

Pour créer notre agrégat de liens, nous allons utiliser le protocole LACP (pour Link aggregation Control Protocol). Ce protocole permet d’assurer une redondance de liens mais aussi d’augmenter la bande passante à faible coût. Je n’ai pas voulu utiliser le protocole PagP (Port Aggregation Protocol) qui est un protocole propriétaire Cisco contrairement au LACP qui lui est normalisé (IEEE 802.3ad), donc implémenté aussi chez HP (vous pourriez très bien créer un agrégat entre un équipement Cisco et HP). Suivez les liens suivants pour voir le paramétrage sous CISCO et sous HP :

 

Agrégat de liens sous CISCO

Agrégat de liens sous HP

 

Etape 4 – Ajout d’une adresse IP d’administration sur les switchs

 

Il va falloir ajouter sur chaque élément actif réseau de niveau 2 une adresse IP d’administration pour que ceux-ci soient accessibles à distance.

 

Configuration d’une adresse IP d’administration et indication de la passerelle

 

Vous pouvez retrouver les commandes de correspondance HP ici si besoin est.

 

Sur chaque switch de niveau 2, faire comme suit en mode configuration :

 

Eteindre l’interface de VLAN 1:

 

switch(config)#interface vlan 1 (le vlan 1 est le vlan d’administration par défaut, il est préférable par sécurité de le changer, ici on a pris le vlan 11)

switch(config-vlan)#shutdown

switch(config-vlan)#exit

 

Créer l’interface de VLAN 11 et ajouter une adresse IP :

 

switch(config)#vlan 11 (on créé le vlan 11 si il ne se créer pas avec l’interface de vlan associé)

switch(config)#exit

switch(config)#interface vlan 11(on créer l’interface de vlan 11)

switch(config-vlan)#ip address 192.168.11.X 255.255.255.0 (on ajoute l’adresse ip d’administration ou X est l’octet différent sur chaque élément du fait du masque en /24)

switch(config-vlan)#no shutdown (on ouvre l’interface)

switch(config-vlan)#exit (on sort de la configuration de l’interface de vlan 11)

 

Ajouter la passerelle au switch (celle que nous avons configurer sur le routeur en .254) :

 

switch(config)#ip default-gateway 192.168.11.254

 

Etape 6 – Configuration des ports des switchs

 

Nous allons d’une part configurer les ports qui laisseront passer les VLANs (ports Trunk) jusqu’à leur passerelle respective c’est à dire jusqu’au routeur et d’autre part configurer les ports (ports ACCESS) qui hébergeront des terminaux (serveurs, imprimantes réseau, PC …).

 

Vous pouvez également retrouver les commandes de correspondance pour la configuration des ports sous HP ici.

 

Entre les switchs, configuration du port en mode TRUNK (VLAN tagué) :

 

Sur les ports permettant l’interconnexion des switchs, procédez comme suit (exemple sur une interface g0/1) :

 

switch(config)#interface g0/1

switch(config)#switchport mode trunk

switch(config)#no shutdown

 

Pour les terminaux, configuration des ports en mode ACCESS (VLAN non-tagué) :

 

Cette configuration est à appliquer sur les ports reliant des PCs, imprimantes réseau ou serveurs, exemple ici avec un serveur sur le port fa0/1 d’un switch (VLAN 10 SVC) :

 

switch(config)#interface fa0/1

switch(config)#switchport mode access

switch(config)#switchport access vlan 10 (mettre l’id de vlan correspondant à l’adressage IP que vous voulez appliquer sur le terminal en question)

switch(config)#no shutdown

 

Etape 7 – Configuration du serveur DHCP et DNS

 

DHCP


Il va falloir maintenant créer les pools DHCP correspondant à chaque VLAN présent, je ne sais pas si vous vous souvenez de l’étape 2 mais nous avions ajouté dans la configuration des interfaces de VLAN la commande pour renseigner le serveur DHCP 192.168.10.1 : C’est comme cela que se fait le lien entre le terminal mis dans un VLAN X, le routeur disposant de l’interface de VLAN X et connaissant l’adresse IP DHCP et le pool correspondant.

 

On renseigne quand on créer un pool (que ce soit sous Windows ou Linux) les informations de base suivantes :

– Le nom du pool

– L’adresse IP de la passerelle (l’IP de l’interface de VLAN)

– La plage disponible à attribuer (adresse de début et de fin)

– Le masque de sous-réseau

– Les informations DNS (l’adresse IP du serveur DNS sera 192.168.10.2 dans notre cas)

 

Sous CISCO Packet Tracer, éditez votre serveur qui fera office de DHCP puis dans la partie services vérifiez que le service DHCP soit « ON ». Configurer ensuite la partie réseau du serveur de cette façon :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Procédez comme suit pour configurer les pools DHCP, exemple ici avec le pool pour le VLAN RH 2 :

 

 

 

 

 

 

 

 

 

 

 

Mettre en adressage IP automatique les terminaux qui récupéreront une adresse IP grâce au pool créé sur le serveur DHCP, exemple ici avec un PC mis dans le VLAN2 RH :

 

 

 

 

 

 

 

 

 

 

 

Ce PC récupérera automatiquement les informations réseaux de son VLAN d’appartenance avec un adressage IP en 192.168.2.0/24.

 

DNS

 

Sur un nouveau serveur Cisco Packet Tracer vérifiez que le service DNS soit à « ON » puis fixez les informations réseau de la même façon que le serveur DHCP avec l’adresse IP 192.168.10.2. Renseignez le VLAN 10 sur le port du switch ou il est relié.

 

Sur tous les EARs de niveau 2 ou 3, en mode configuration, tapez la commande suivante :

 

switch(config)#ip name-server 192.168.10.2

 

Sur votre serveur DNS ajoutez des enregistrements A et PTR à tous les équipements actifs pour simplifier l’administration. Pour ajouter un enregistrement sous Cisco Packet Tracer faire ceci :

 

 

 

 

 

 

 

 

 

 

 

 

 

Vous pouvez tester le fonctionnement de votre serveur DNS depuis un poste client Cisco Packet Tracer, éditez en un qui est déjà configuré sur le réseau, cliquez sur l’onglet Dektop puis sur « Command Prompt » et enfin testez un ping de routeur-lan.

 

Etape 8 – Authentification des switchs/routeurs, administration à distance

 

Changer le nom de l’EAR

 

switch(config)#hostname switch1

 

Ajouter un domaine à vos EARs

 

switch(config)#ip domain-name TEST

 

Ajouter un mot de passe enable

 

switch(config)#enable secret 5 password(le mot de passe)

 

Activer le SSH (pour un accès à distance sécurisé)

 

switch(config)#crypto key generate rsa modulus 1024 (génère une clé rsa de 1024 bits)

 

N’autoriser l’accès à distance que via le protocole SSH (notamment interdire le TELNET peu sécurisé)

 

switch(config)#line vty 0 4 (autorise 5 sessions simultanées)

switch(config)#transport input ssh

switch(config)#exit

 

Voilà pour cet article, j’espère qu’il servira bien pour les débutants en réseau, j’ai essayé de mêler théorie et pratique en espérant que cela soit clair. Bon courage !

4 Commentaires

  1. Bonjour ,

    je vous informe que cette topologie ne fonctionne pas car via un pc de n’importe quel vlan on peut pas pingé les adresse ip des switch 192.168.11.x.

    cdlt

  2. Bonjour dataholic, normalement si votre interface de vlan de votre pc (donc votre passerelle) est bien déclarée sur le routeur à l’instar de l’interface de vlan 11 correspondant à l’adressage des équipements (vlan d’administration) et vos vlans sont bien taggés sur toute l’arborescence de votre architecture, cette topologie doit fonctionner 🙂

  3. Bonjour,

    Je m’inspire un peu de votre topologie pour informatiser tout un nouveau bâtiment.Celui ci sera dédié à un fabrication avec un pole administratif et l’on utilise un Firewall Industriel , par contre je ne vois pas du tout où le placer sur votre topologie.Où se place habituellement ce type d’équipement.

    D’avance merci.

    Cordialement.

    • Bonjour Gregory,

      Tu places généralement cet équipement entre ton LAN Entreprise et la sortie vers le monde extérieur (internet), ce afin de gérer le trafic entrant et sortant (interdire le téléchargement, bloquer l’upload …)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *