Les VLANs : Côté Switch

Comme vu dans le chapitre précédent, nous avons créé les VLANs au niveau du routeur OPNSense.
Afin de les mettre à disposition du réseau, il va falloir utiliser un switch, je vais prendre deux exemples :

1. Le switch TP-Link
2. Le switch Mikrotik

Le premier est un switch intelligent offrant la possibilité d'effectuer quelques réglages via une interface Web. Je parle en autre de la configuration des Vlans.
Le second switch est administrable. Il est doté d'un puissant système de gestion nommé "RouterOs" de Mikrotik. Il est capable de gérer une multitude d'options avec une très grande flexibilité.

1.Le switch TP-link TL-SG 116P

Les deux onglets qui nous intéressent sont 802.1Q VLAN et 802.1Q PVID Setting.
Pour le premier, on active la configuration et on applique.
Ci-dessus, vous pouvez voir que tous les ports appartiennent au VLAN 1 et sont tous en "untagged"Aucun VLAN n'est actif à ce stade.
Le port 1 sera le port d'entrée, et il sera "tagged". C'est sur celui-ci que vous connectez votre câble en provenance du routeur.

On déclare ensuite chaque VLAN que nous avons créé sur OPNsense.
Pour chacun d'eux, vous devez procéder comme suit :

1. On inscrit l'identifiant de celui-ci (identique au routeur).
2. On lui donne un nom ci-possible, le même initié sur le routeur, j'ai dû abréger en ce qui me concerne, car le nombre de caractères est limité sur l'interface Tp-Link.
3. On associe à chaque VLAN le port 1 "tagged" qui est la "source" Ensuite, on désigne un port ou plusieurs "untagged". En effet, nous affectons qu'un seul VLAN par port.^[1]

Maintenant, nous allons sur l'onglet 802.1Q PVID Setting. Ici, on va activer les ports pour chaque VLAN.

La répartition sera la suivante:
VLAN 10: port 2 et 3
VLAN 20: port 4 et 5
VLAN 30: port 6 et 7

Points d'attention

• N'oubliez pas de valider chaque opération (bouton"apply")

Il nous reste plus qu'à contrôler si tout fonctionne. On branche et on examine si la machine obtient le bon adressage en rapport avec le serveur DHCP de chaque interface. On exécute un "ping" sur le réseau et sur internet.

Si cela ne fonctionne pas, vérifier si tout est ok dans la configuration de chaque étape.

2.Le switch Mikrotik CRS 310-8G-2S

Ce switch CRS-310 8G est en réalité est un commutateur routeur-switch.
Il utilise pour son fonctionnement le système de gestion "RouterOS"
Pour information, il est uniquement en langue anglaise.
Ici, il sera paramétré en tant que switch. La méthode de configuration sera très différente de Tp-Link puisque nous allons, en quelque sorte, router les interfaces VLANs. Vous pouvez en avoir un aperçu sur le schéma ci-dessus.
Nous allons reprendre les trois Vlans que nous avons créé sur l'instance OpnSense et utilisé sur Tp-Link.

• Le VLANn 10 serveur
• Le VLAN 20 pc
• Le VLAN 30 wifi

Vous avez accès à celui-ci, soit par son IP sur un navigateur Web, soit par une application appelée "Winbox" disponible sur Windows, Linux et MacOs. Winbox est très flexible et facile à utiliser. On peut par exemple : ouvrir plusieurs onglets en même temps et les disposer sur le bureau de l'application.

Pour démarrer, on a la vue d'ensemble sur tous les onglets généraux et en premier lieu, la page des interfaces.

C'est la configuration par défaut du switch. Le bridge indiqué "br1" est pourvu de la totalité des 8 ports Ethernet que comprend le Mikrotick.

Pour démarrer la configuration de nos VLANs, nous allons créer des interfaces :
Onglet gauche--->Interfaces puis onglet de tête-->VLAN

• Pour créer la première interface, on clique sur "New"

Vous accédez à la fenêtre de configuration

Sur ce système, vous avez la possibilité d'insérer des commentaires, c'est très intéressant pour le suivi.

• Le nom du VLAN (le nombre de caractères n'est pas limité comme sur Tp-Link.)
• On indique bien le numéro d'identification comme sur la figure ci-dessus.

Les points importants

• L'interface ETH1 sera l'interface connectée à l'interface "VLAN_source" de votre routeur OPNsense par où transite tous les VLANs
• Attention, RouterOs valide instantanément vos changements, je vous conseille de conserver par exemple le port 8 qui restera attribué au Bridge par défaut connecté au Lan du routeur.

On créé le deux autres interfaces de la même façon :

Maintenant que nos trois interfaces VLANs sont actives. Nous allons créer les bridges correspondants:

1. Bridge br10
2. Bridge br20
3. Bridge br30

Menu-->Onglet gauche --> Bridge puis onglet haut -->Bridge
Sur cette page, on a le bridge "br1" qui le bridge par défaut.
On clique sur "New" pour en créer nos propres bridges.

Inscrivez un commentaire à votre guise du moment que cela vous aide à vous repérer par la suite.
On fixe le nom du bridge en rapport avec l'identifiant du VLAN.
On valide.
On répète cette opération sur les deux autres.

Nous aurons donc les bridges suivants :

• Bridge br10 correspondant au VLAN 10
• Bridge br20 correspondant au VLAN 20
• Bridge br30 correspondant au VLAN 30

Nous allons déterminer les ports qui seront attribués à chaque Bridge:
Menu-->Onglet gauche --> Bridge puis onglet haut -->Ports
Tous les ports Ethernet sont actifs sur le bridge par défaut br1.

Point important :
Comme évoqué précédemment, vous allez laisser le port 8 actif dans le bridge par défaut. Celui-ci doit être connecté au LAN de votre routeur. Lors des manipulations qui vont suivre, vous conservez votre accès à votre switch.
On supprime l'affectation de l'ether 1 et ne sera affecté à aucun bridge puisqu'il s'agit du port connecté au routeur OpnSense sur l'interface VLAN_source.
Les autres ports doivent être affectés aux bridges créés précédemment :

On supprime l'affectation de l'ether1:

La configuration du reste des ports sera la suivante :

• ETHER2 sera attribuée au bridge br10

• ETHER3 sera attribuée au bridge br10

• ETHER4 sera attribuée au bridge br20

• ETHER5 sera attribuée au bridge br20

• ETHER6 sera attribuée au bridge br30

• ETHER7 sera attribuée au bridge br30

On démarre avec l'interface Ether2:

On commente comme d'habitude pour donner de la clarté.
On a sélectionné l'ether2
On choisit le bridge br10 qui est associé à l'interface du Vlan 10.
On valide

On reproduit cette opération pour l'ensemble. On prend soin d'affecter le bon bridge à chaque port Ethernet.
Une fois terminé. Vous aurez l'assignation définitive de vos interfaces Ethernet:

À ce stade, rien ne va fonctionner, car il manque le plus important, la liaison avec les interfaces Vlan que nous avons créé au départ.
Nous allons donc ajouter trois ports supplémentaires attachés aux bridges concernés, comme ceci :

• vlan10_serveur sur le bridge br10
• vlan20_pc sur le bridge br20
• vlan30_wifi sur le bridge br30

Toujours sur l'onglet port, on clique sur "new" :

Pour le Vlan 10

Pour le Vlan 20

Pour le Vlan 30

Une fois terminé, On contrôle sur le tableau principal des ports :

Vous pouvez réorganiser simplement votre tableau des ports, il suffit de maintenir le clic gauche de la souris et de déplacer la ligne souhaitée.

Il nous reste plus qu'à vérifier si tout fonctionne. On connecte une machine, si on obtient le bon adressage, c'est tout bon. On exécute un ping sur le réseau et sur internet pour vérifier la connexion.

Nous avons terminé ce chapitre. Si on devait écrire une conclusion, on remarque les éléments suivants :
Le switch Tp-Link utilise un marquage des Vlans via des ports "tagged" et "untagged" . Dans l'exemple de Mikrotik, on a créé directement des interfaces Vlan dans le switch correspondant à ceux du routeur OpnSense. Chaque interface est associée à un brigde. Chaque bridge comprend le port source (interface Vlan) et les ports de sorties (les connections Ethernet avec les machines).