VLAN Natif
Course Contents
1. Qu’est-ce que le Vlan Natif ?
Si vous êtes ici, c’est que vous voulez comprendre ce qu’est le VLAN natif et comment le configurer.
Bonne nouvelle : si vous savez déjà ce qu’est un port trunk, vous avez fait la moitié du chemin !
N’oubliez pas qu’un port trunk permet le transport simultané de plusieurs trames VLAN à l’aide des balises 802.1Q.
Comme le montre le schéma ci-dessus, les trames appartenant aux VLAN 1 et 2 sont transmises à leurs destinations respectives sur une liaison principale avec leur 802.1Q.
Mais… que se passe-t-il si une trame non marquée arrive sur un port trunk ?
Prenons l’exemple suivant :
Un PC est connecté par erreur à un port trunk et commence à envoyer des trames non marquées.
Comment l’interrupteur réagit-il ? Il ne peut pas simplement les ignorer. Le commutateur placera les trames non marquées dans le VLAN natif.
C’est exactement le rôle du VLAN natif !
Un VLAN natif permet aux trames non marquées arrivant sur un port trunk d’être placées dans un VLAN spécifique : le VLAN natif.
2. Pourquoi le VLAN natif existe-t-il ?
Vous savez maintenant que le VLAN natif existe dans ce cas, mais pourquoi ?
Le VLAN natif existe pour gérer les situations où le trafic non marqué arrive sur une interface trunk.
Cela peut sembler rare… mais en réalité, c’est plus courant qu’on ne le pense.
Imaginez qu’un utilisateur se branche accidentellement sur le port trunk reliant deux commutateurs…
…et commence à envoyer des trames non marquées.
Le trafic atteint le port trunk du commutateur. Comme la trame n’est pas marquée, le commutateur la place automatiquement dans le VLAN natif, qui est par défaut le VLAN 1.
Par conséquent, le commutateur enverra les trames non marquées reçues sur le port trunk à tous les ports configurés dans le VLAN 1.
Regardez l’image ci-dessus 🙂
Cela signifie qu’un PC connecté accidentellement à un trunk pourrait communiquer avec tous les appareils du VLAN 1 sans que vous vous en rendiez compte.
Et c’est là qu’il faut vraiment faire attention !
La bonne approche consiste à configurer un VLAN natif isolé qui n’est utilisé par aucun port de commutateur.
Par exemple, si nous créons un VLAN 99 et que personne ne l’utilise sur notre réseau.
De cette façon, les trames non marquées sont rejetées dans un « VLAN poubelle » et ne sont transmises à aucun hôte.
Voyons maintenant comment le configurer correctement.
3. Comment configurer le VLAN natif
Comment configurer correctement le VLAN natif du tronc ?
Tout d’abord, vous devez savoir que le VLAN natif de la liaison est configuré manuellement sur chaque port de liaison de votre commutateur. Il ne s’agit pas d’un paramètre global, de sorte que chaque interface de liaison doit être configurée individuellement.
Dans notre exemple, nous configurerons le VLAN 99 comme VLAN natif afin de garantir que toute trame non marquée reçue sur une liaison interurbaine soit placée dans ce VLAN isolé, inutilisé dans notre topologie.
Commençons par vérifier le VLAN natif actuel configuré sur les interfaces trunk de nos deux commutateurs.
Vérifier le VLAN natif actuel
Sur SW1, vous pouvez utiliser la commande suivante :
SW1# show interface Gi0/0 switchport
Name: Gig0/0
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Et sur SW2 :
SW2# show interface Gi0/0 switchport
Name: Gig0/0
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Comme vous pouvez le voir, le VLAN natif est actuellement le VLAN 1, qui est le VLAN natif par défaut.
Modifier le VLAN natif
Nous voulons maintenant remplacer le VLAN 1 par le VLAN 99, un VLAN isolé qui n’est utilisé nulle part ailleurs dans notre réseau.
Voici la configuration sur SW1 :
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# interface GigabitEthernet0/0
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk ?
allowed Set allowed VLAN characteristics when interface is in trunking mode
native Set trunking native characteristics when interface is in trunking mode
SW1(config-if)# switchport trunk native vlan ?
<1-4094> VLAN ID of the native VLAN when this port is in trunking mode
SW1(config-if)# switchport trunk native vlan 99
Et la même configuration sur SW2 :
SW2(config)# interface GigabitEthernet0/0 SW2(config-if)# switchport mode trunk SW2(config-if)# switchport trunk native vlan 99
⚠️ Attention ! le VLAN natif doit être le même des deux côtés du lien trunk, sinon vous obtiendrez un avertissement de non concordance du VLAN natif !
Vérification finale
Une fois la configuration appliquée, vous pouvez tout revérifier avec :
SW1# show interface trunk
Port Mode Encapsulation Status Native vlan
Gi0/0 on 802.1q trunking 99
Vlans allowed on trunk:
Gi0/0 1-1005
Vlans allowed and active in management domain:
Gi0/0 1,2
Vlans in spanning tree forwarding state and not pruned:
Gi0/0 1,2
SW2# show interface trunk
Port Mode Encapsulation Status Native vlan
Gi0/0 on 802.1q trunking 99
Vlans allowed on trunk:
Gi0/0 1-1005
Vlans allowed and active in management domain:
Gi0/0 1,2
Vlans in spanning tree forwarding state and not pruned:
Gi0/0 1,2
Parfait ! Comme vous pouvez le voir dans la sortie cli, toute trame non marquée reçue sur ce trunk sera placée dans le VLAN 99 qui est configuré comme le VLAN natif du trunk.
Rappelez-vous ! Comme aucun port n’appartient à ce VLAN, le trafic ne sera délivré à personne 🙂
Mission accomplie !
4. Ce qu’il faut retenir
Vous comprenez maintenant ce qu’est le VLAN natif et comment le configurer correctement,
Voici un résumé visuel de tout ce que vous avez appris :
| 🧠 Ce qu’il faut retenir | ✅ Meilleure pratique à adopter |
|---|---|
| VLAN 1 est le VLAN natif par défaut | Remplacez-le par un VLAN isolé (exemple : VLAN 99). |
| Un port trunk accepte les trames non marquées et les place dans le VLAN natif. | Assurez-vous que vos ports trunk sont correctement configurés avec un VLAN natif. |
| Le VLAN natif doit être le même des deux côtés de la liaison. | Vérifier que le VLAN natif est correctement défini aux deux extrémités. |