Routage inter-VLAN : Comment configurer Cisco IOS facilement ?

Routage inter-VLAN : Comment configurer Cisco IOS facilement ?

Image by: Brett Sayles

« `html

Vlans et routage inter-vlan : les bases indispensables

Saviez-vous que plus de 85% des réseaux d’entreprise utilisent des VLANs pour segmenter leur trafic ? Pourtant, cette segmentation crée un défi majeur : comment permettre à ces îlots logiques de communiquer entre eux ? Le routage inter-VLAN est la clé, et sur les équipements Cisco, deux méthodes dominent : le « Router-on-a-Stick » (RoAS) et l’utilisation de commutateurs de niveau 3 avec des interfaces virtuelles (SVI). Ce tutoriel s’adresse aux étudiants en informatique et administrateurs réseau désireux de maîtriser ces techniques sur du matériel Cisco. Vous apprendrez ici, pas à pas, à configurer et comparer ces deux approches avec les commandes IOS exactes, et à valider leur fonctionnement.

Un VLAN (Virtual LAN) segmente un réseau physique en plusieurs domaines de diffusion logiques. Sans mécanisme de routage, les hôtes d’un VLAN ne peuvent pas communiquer avec ceux d’un autre VLAN, même s’ils sont connectés au même commutateur. C’est comme avoir plusieurs immeubles séparés sans routes les reliant. Le routage inter-VLAN agit comme le réseau routier entre ces bâtiments. Il existe deux architectures principales pour implémenter ce routage :

  • Router-on-a-Stick (RoAS) : Un routeur physique externe est connecté à un port trunk d’un commutateur de niveau 2. Le routeur utilise des sous-interfaces logiques, une par VLAN, pour router le trafic entre eux.
  • Switched Virtual Interface (SVI) : Un commutateur de niveau 3 (ou commutateur de niveau 2 avec fonctions de routage activées) possède des interfaces virtuelles (SVI) associées à chaque VLAN. Le commutateur effectue lui-même le routage entre ses propres VLANs sans besoin d’un routeur externe dédié.

Comprendre les différences fondamentales entre ces méthodes est crucial pour concevoir des réseaux scalables, performants et économiques. La documentation officielle de Cisco sur les VLANs fournit une base théorique solide.

Configuration router-on-a-stick avec sous-interfaces

La méthode Router-on-a-Stick est souvent la première approche enseignée pour le routage inter-VLAN. Elle nécessite un routeur Cisco (comme une série ISR 1900 ou 4000) et un commutateur capable de gérer des trunks (comme un Catalyst 2960 ou 3650). Le principe repose sur une connexion physique unique entre le routeur et le commutateur, configurée comme un lien trunk. Sur ce lien, le routeur crée des interfaces logiques virtuelles (les sous-interfaces), chacune appartenant à un VLAN différent et dotée d’une adresse IP qui servira de passerelle par défaut pour les hôtes de ce VLAN.

Étapes de configuration sur le commutateur

  1. Créer les VLANs : 
    Switch(config)# vlan 10
Switch(config-vlan)# name Ventes
Switch(config-vlan)# vlan 20
Switch(config-vlan)# name Support
  2. Attribuer les ports d’accès aux VLANs : 
    Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
  3. Configurer le port connecté au routeur en mode trunk : 
    Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20

Étapes de configuration sur le routeur

  1. Activer l’interface physique connectée au trunk : 
    Router(config)# interface GigabitEthernet0/0
Router(config-if)# no shutdown
  2. Créer la sous-interface pour le VLAN 10 et lui attribuer une IP : 
    Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0

    L’option encapsulation dot1Q 10 indique que cette sous-interface traite le trafic étiqueté pour le VLAN 10.

  3. Créer la sous-interface pour le VLAN 20 : 
    Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0

Les adresses IP configurées sur les sous-interfaces (192.168.10.1 et 192.168.20.1) deviennent les passerelles par défaut pour les hôtes des VLANs 10 et 20 respectivement. Le standard IEEE 802.1Q est au cœur de l’encapsulation du trunk.

Configuration svi avec commutateur de niveau 3

L’approche SVI (Switched Virtual Interface) exploite les capacités de routage intégrées des commutateurs Cisco de niveau 3 (comme les Catalyst 3560, 3850, 9300 ou les séries Nexus). Une SVI est une interface virtuelle de couche 3 associée à un VLAN spécifique. Contrairement au RoAS, aucun routeur externe n’est nécessaire ; le commutateur lui-même assume le rôle de routeur entre ses VLANs. Cette méthode est généralement plus performante pour le trafic inter-VLAN local au commutateur, car elle évite la congestion potentielle sur un seul lien trunk vers un routeur externe.

Étapes de configuration sur le commutateur de niveau 3

  1. Activer le routage IP sur le commutateur : 
    Switch(config)# ip routing

    Cette commande cruciale active la fonction de routage sur le commutateur.

  2. Créer les VLANs (comme pour le RoAS) : 
    Switch(config)# vlan 10
Switch(config-vlan)# name Ventes
Switch(config-vlan)# vlan 20
Switch(config-vlan)# name Support
  3. Attribuer les ports d’accès aux VLANs (identique au RoAS).
  4. Créer et configurer les SVI : 
    Switch(config)# interface Vlan10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# interface Vlan20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# no shutdown

    Les commandes interface Vlan10 et interface Vlan20 créent les interfaces virtuelles. L’adresse IP configurée sur chaque SVI sert de passerelle par défaut pour les hôtes de son VLAN.

La configuration des ports d’accès reste strictement identique à celle utilisée pour la méthode Router-on-a-Stick. La puissance de la méthode SVI réside dans le fait que le trafic entre un hôte du VLAN 10 et un hôte du VLAN 20 connectés au même commutateur de niveau 3 est routé directement par l’ASIC (circuit intégré spécialisé) du commutateur, offrant des débits très élevés (fréquemment au niveau du débit filaire ou « wire-speed »). Le guide de configuration Inter-VLAN de Cisco détaille les SVI.

Comparaison approfondie : router-on-a-stick vs svi

Le choix entre Router-on-a-Stick et SVI n’est pas anodin. Il impacte les performances, la complexité, le coût et la résilience de votre réseau. Voici un tableau comparatif synthétisant les caractéristiques clés :

Caractéristique Router-on-a-Stick (RoAS) Switched Virtual Interface (SVI)
Appareil Requis Routeur externe + Commutateur L2 Commutateur de Niveau 3 (L3)
Débit Inter-VLAN Limité par le débit du lien trunk (1 Gbps typique) et CPU du routeur. Tous les paquets traversent ce lien. Très élevé (débit filaire / Wire-speed), routé par l’ASIC du commutateur. Trafic local ne quitte pas le switch.
Complexité Configuration sur deux appareils (routeur et switch). Gestion des sous-interfaces et trunk. Configuration centralisée sur un seul appareil (le switch L3). Plus simple à gérer une fois le routage IP activé.
Coût Peut être économique si on dispose déjà d’un routeur et d’un switch L2 basique. Les commutateurs L3 sont généralement plus chers que les commutateurs L2 purs.
Point de défaillance unique (SPOF) Le lien trunk et le routeur sont des SPOFs critiques pour tout le trafic inter-VLAN. Aucun SPOF supplémentaire pour le trafic inter-VLAN local ; le routage est distribué.
Cas d’usage typique Petits réseaux, budgets limités, réseaux existants avec routeur sous-utilisé, connexion à des VLANs sur d’autres sites via le routeur. Réseaux campus ou d’entreprise de taille moyenne à grande, noyaux/distribution, où la performance inter-VLAN locale est critique.

En résumé, le RoAS est une solution pragmatique et souvent moins coûteuse initialement, mais qui peut devenir un goulot d’étranglement dans les réseaux avec un trafic inter-VLAN important. Les SVI sur commutateur L3 offrent des performances optimales et une administration simplifiée pour le trafic local, représentant un investissement plus conséquent justifié pour les infrastructures nécessitant débit et fiabilité. Un article approfondi sur Ciscopress explore ces compromis.

Vérification et dépannage de la connectivité

Après avoir configuré le routage inter-VLAN, il est impératif de vérifier son bon fonctionnement. Des commandes Cisco IOS spécifiques permettent de diagnostiquer chaque étape.

Vérifications pour router-on-a-stick

  • Sur le routeur :
    • Vérifier l’état des sous-interfaces et leurs adresses IP : 
      Router# show ip interface brief

      Assurez-vous que les sous-interfaces (ex: Gig0/0.10, Gig0/0.20) sont listées et « up/up ».

    • Vérifier la table de routage : 
      Router# show ip route

      Les réseaux directement connectés (192.168.10.0/24, 192.168.20.0/24) doivent apparaître.

  • Sur le commutateur :
    • Vérifier le statut du trunk : 
      Switch# show interfaces trunk

      Confirmez que le port connecté au routeur (ex: Gig0/24) est en mode trunk et que les VLANs 10 et 20 sont autorisés.

    • Vérifier l’appartenance des VLANs aux ports d’accès : 
      Switch# show vlan brief

Vérifications pour svi

  • Sur le commutateur L3 :
    • Vérifier que le routage IP est activé : 
      Switch# show running-config | include ip routing

      Doit afficher ip routing.

    • Vérifier l’état des SVI : 
      Switch# show ip interface brief

      Les interfaces Vlan10 et Vlan20 doivent être listées et « up/up ».

    • Vérifier la table de routage : 
      Switch# show ip route

      Les réseaux directement connectés associés aux SVI (192.168.10.0/24, 192.168.20.0/24) doivent être présents.

    • Vérifier les VLANs et les ports d’accès (mêmes commandes que pour RoAS sur le switch).

Tests de connectivité

Sur un hôte du VLAN 10 (adresse IP configurée, ex: 192.168.10.10, passerelle 192.168.10.1) :

  1. Ping vers la passerelle par défaut (192.168.10.1) : Doit réussir. Sinon, vérifiez la configuration IP de l’hôte, le port d’accès du switch, et l’état de la SVI ou sous-interface.
  2. Ping vers un hôte du VLAN 20 (ex: 192.168.20.20) : C’est le test ultime du routage inter-VLAN. Si ce ping échoue mais que le ping vers la passerelle fonctionne, vérifiez :
    • La configuration IP et la passerelle sur l’hôte du VLAN 20.
    • L’état de la SVI/sous-interface du VLAN 20.
    • La présence des routes dans la table de routage du routeur/commutateur L3 (show ip route).
    • Les listes de contrôle d’accès (ACLs) ou les pare-feux qui pourraient bloquer le trafic ICMP (ping).

L’utilisation de ping et traceroute (ou tracert sur Windows) est essentielle pour isoler les points de défaillance. Pour approfondir vos compétences en dépannage Cisco, consultez nos ressources sur l’administration réseau avancée.

Frequently asked questions

Quelle méthode de routage inter-vlan choisir pour mon réseau ?

Le choix dépend de plusieurs facteurs : la taille de votre réseau, le volume de trafic inter-VLAN attendu, votre budget et votre équipement existant. Router-on-a-Stick convient bien aux petits réseaux ou aux budgets serrés avec un routeur et un switch L2 existants, mais attention aux goulots d’étranglement. SVI sur commutateur L3 est la solution recommandée pour les réseaux de taille moyenne à grande où la performance inter-VLAN locale est critique, malgré un coût initial potentiellement plus élevé.

Y a-t-il une limite au nombre de sous-interfaces ou de svi que je peux configurer ?

Théoriquement, vous pouvez créer une sous-interface ou une SVI par VLAN existant sur votre réseau. La limite pratique est souvent dictée par les ressources matérielles (mémoire, CPU) de votre routeur ou commutateur L3. Les routeurs grand public ou bas de gamme peuvent gérer quelques dizaines de sous-interfaces, tandis que les commutateurs L3 d’entreprise ou les routeurs haute performance peuvent en supporter des centaines voire des milliers. Consultez toujours la documentation technique spécifique de votre modèle d’équipement.

Puis-je utiliser les deux méthodes (roas et svi) simultanément sur le même réseau ?

Oui, c’est techniquement possible et parfois nécessaire. Par exemple, vous pourriez utiliser un commutateur L3 avec SVI pour router le trafic entre les VLANs locaux principaux (Ventes, Support) pour une performance optimale. En parallèle, vous pourriez utiliser un routeur externe en RoAS pour connecter un VLAN isolé (ex: VLAN Guest pour les invités) ou pour router le trafic vers un site distant via une connexion WAN sur le routeur. L’important est de bien gérer les tables de routage et d’éviter les boucles.

Pourquoi mon ping inter-vlan échoue-t-il même après une configuration apparemment correcte ?

Les causes d’échec sont multiples. Vérifiez systématiquement : 1) Les adresses IP et passerelles par défaut sur les hôtes source et destination. 2) L’état « up/up » des SVI ou sous-interfaces (show ip interface brief). 3) La présence des réseaux dans la table de routage du routeur/commutateur L3 (show ip route). 4) La configuration correcte du trunk (mode trunk, VLANs autorisés) pour RoAS. 5) Que le routage IP est bien activé (ip routing) sur le commutateur L3 pour les SVI. 6) Les éventuels ACLs (listes de contrôle d’accès) ou règles de pare-feu bloquant le trafic ICMP (ping) ou entre les sous-réseaux. Utilisez traceroute pour identifier où le trafic s’arrête.

Conclusion

Maîtriser le routage inter-VLAN est une compétence fondamentale pour tout administrateur réseau ou étudiant en informatique travaillant avec des équipements Cisco. Ce tutoriel a détaillé les deux méthodes principales : le traditionnel Router-on-a-Stick utilisant des sous-interfaces sur un routeur externe, et la méthode plus performante des Switched Virtual Interfaces (SVI) sur un commutateur de niveau 3. Vous avez appris les commandes IOS précises pour configurer chaque méthode, les étapes de vérification essentielles (show ip interface brief, show ip route, show interfaces trunk, ping), et les critères clés (performance, coût, complexité) pour choisir la solution adaptée à votre contexte réseau.

La théorie est importante, mais rien ne remplace la pratique. Pour consolider ces connaissances, configurez ces deux méthodes dans un lab réseau réel ou sur un simulateur comme Cisco Packet Tracer. Expérimentez, faites des pings, cassez délibérément la configuration et utilisez les commandes de diagnostic pour comprendre et résoudre les problèmes. C’est en confrontant la configuration aux défis du dépannage que vous deviendrez un expert du routage inter-VLAN sur Cisco. Explorez aussi nos guides sur la sécurisation des VLANs pour protéger vos segments réseau.

« `