Introduction (BTS CIEL / SIO)
En CIEL et SIO, la mise en place de VLANs permet de segmenter le réseau.
Le Router-on-a-Stick (RoAS) consiste à utiliser une seule interface physique du routeur avec des sous-interfaces 802.1Q pour assurer le routage inter-VLAN.
Objectif : isoler les flux (utilisateurs, admin, serveurs) tout en permettant une communication contrôlée.
Configuration complète (Switch + Routeur)
#############################################
# CONFIGURATION SWITCH (S1)
#############################################
enable
configure terminal
hostname S1
! ==============================
! CREATION DES VLAN
! ==============================
vlan 10
name USERS_1
vlan 20
name USERS_2
vlan 30
name USERS_3
vlan 40
name ADMIN
vlan 50
name SERVERS
! ==============================
! PORTS UTILISATEURS
! ==============================
interface range fa0/1 - 8
switchport mode access
switchport access vlan 10
interface range fa0/9 - 16
switchport mode access
switchport access vlan 20
interface range fa0/17 - 20
switchport mode access
switchport access vlan 30
interface range fa0/21 - 22
switchport mode access
switchport access vlan 40
interface range fa0/23 - 24
switchport mode access
switchport access vlan 50
! ==============================
! PORT TRUNK VERS ROUTEUR
! ==============================
interface fa0/24
description TRUNK_VERS_R1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50
no shutdown
end
write memory
#############################################
# CONFIGURATION ROUTEUR (R1)
#############################################
enable
configure terminal
hostname R1
! ==============================
! INTERFACE PHYSIQUE
! ==============================
interface gigabitEthernet 0/0
no shutdown
! ==============================
! SOUS-INTERFACES (ROAS)
! ==============================
interface gigabitEthernet 0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface gigabitEthernet 0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
interface gigabitEthernet 0/0.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
interface gigabitEthernet 0/0.40
encapsulation dot1Q 40
ip address 192.168.40.1 255.255.255.0
interface gigabitEthernet 0/0.50
encapsulation dot1Q 50
ip address 192.168.50.1 255.255.255.0
end
write memoryExplication détaillée
🔹 1. VLANs
- VLAN 10,20,30 → utilisateurs
- VLAN 40 → administration
- VLAN 50 → serveurs
>> segmentation = réduction du risque + meilleure gestion
🔹 2. Ports access (switch)
Chaque port est associé à un VLAN :
switchport mode access→ pas de trunkswitchport access vlan X→ affectation
>> isolation des postes
🔹 3. Trunk vers le routeur
switchport mode trunkswitchport trunk allowed vlan ...
>> transport de plusieurs VLAN sur un seul lien
🔹 4. Router-on-a-Stick
Chaque VLAN = une sous-interface :
g0/0.10→ VLAN 10encapsulation dot1Q 10→ tag VLANip address→ passerelle du VLAN
>> le routeur devient la passerelle de tous les VLAN
🔹 5. Fonctionnement global
- PC VLAN 10 → envoie vers gateway 192.168.10.1
- Trame taguée VLAN 10
- Routeur reçoit → traite via sous-interface .10
- Routage vers VLAN 20
- Retour via trunk
>> interconnexion propre et centralisée
Points clés sécurité
- VLAN Admin isolé (jamais avec utilisateurs)
- VLAN Serveurs séparé
- limiter VLAN autorisés sur trunk
- ajouter ACL sur le routeur (étape suivante)
- désactiver DTP si besoin (
nonegotiate)