Configurer des VLAN avec des switchs Ubiquiti et Netgear
En 2022, la création de VLAN ne devrait pas poser de problèmes. Il y a malheureusement des fabricants dont l'interface de gestion manque de clarté et d'ergonomie. Dans le cas de Netgear, c'est pire que tout : l'interface n'est pas accessible aux personnes en situation de handicap.
Dans l'article qui suit, je vais partager avec vous la méthode à suivre afin de configurer des VLAN entre un switch Netgear GS116Ev2 et une Unify Dream Machine Pro d'Ubiquiti. Même si le matériel Netgear date un peu, l'interface de gestion ne diffère que sur le plan esthétique. La logique présentée ici reste d'actualité.
Si vous avez un peu de mal avec le vocabulaire qui suit, ou si la notions de VLAN ne vous parle pas trop, je vous conseille de lire mon article de vulgarisation : Back to the Basics : les VLA.
Côté Ubiquiti
Dans le cas des contrôleurs Unifi (la solution de gestion de SDN d'Ubiquiti), la solution est très simple :
- Créer les réseaux utiles (le réseau par défaut LAN correspond au VLAN 1).
- Créer des profiles (ceux-si font office de Trunk) et ajouter à chaque profil les réseaux utiles (VLAN). Unifi dispose déjà d'un profile All. Celui-ci reprend l'intégralité des réseaux (VLAN).
- Affecter les profile, ou réseaux aux ports des switchs Unifi.
L'interface est très intuitive. Il ne me semble pas utile de décrire les différents formulaires utilisés. N'hésitez pas à commenter cet article si vous avez besoin que j'ajoute quelques détails.
Côté Netgear
Les choses sont un peu plus complexes. L'interface de gestion est déroutante et les options dites "Basic" ne sont pas toujours exploitables. Je vais donc vous présenter une configuration complète.
Pour l'exemple qui suit :
- J'utilise un switch 16 ports.
- Je veux ajouter un VLAN 6.
- Les ports 1 et 16 servent de Trunck vers deux switchs Unifi. Ils doivent permettre la communication des VLAN 1 et 6.
- Le port 2 servira à un PC qui doit être connecté au nouveau VLAN 7.
- Le port 4 servira à un switch non mangé connecté au VLAN 7.
Voici la démarche à suivre :
1) Activer la gestion des VLAN
Ceci passe par le menu VLAN > 802.1Q > Advanced > VLAN Configuration. Sur cette page, il faut sélectionner l'option "Enable" pour "Advanced 802.1Q VLAN". En fonction de la version de votre switch, l'activation peut nécessiter l'utilisation du bouton "Apply" situé en haut à droite.
Un résumé des VLAN est alors affiché. Par défaut, il n'y en a qu'un (VLAN 1) et l'ensemble des ports est affecté à ce VLAN (Untagged).
2) Ajouter un VLAN
Toujours à partir du même écran. Saisir le nombre 6 dans "VLAN ID" et valider via le bouton "Add" situé en haut à droite.
L'interface affiche alors le VLAN 6. Aucun port n'est affecté.
3) Affecter les ports
Pour affecter des ports au VLAN, il faut aller dans le menu latéral "VLAN Memembership".
Par défaut, celui-ci affiche le VLAN 1. On constate que la totalité des ports est affectée au VLAN 1 avec l'état "U" pour Untagged. À ce stade, il ne faut surtout pas toucher au VLAN 1 (même si ceci est très tentant).
Il faut alors sélectionner le VLAN ID 6 via le premier menu déroulant. On peut ensuite affecter des ports à ce VLAN. Ceci passe par un click de la souris. Oubliez le clavier, il n'est pas utilisable pour effectuer cette opération (comme une grande partie de l'interface Netgear).
L'état d'un port passe par trois états : "Rien", "T" pour Tag et "U" pour Untagged. Pour répondre à mon besoin, les ports 1 et 16 doivent donc avoir la valeur "T". Les ports 2 et 4 doivent avoir la valeur "U". Comme ceci.
Il faut ensuite valider la sélection via le bouton "Apply" situé en haut à droite.
Si l'on en reste là, cela ne fonctionnera pas, car les ports 2 et 4 sont aussi Untagged sur le VLAN 1. À cet instant, il ne faut pas toucher à l'affectation des ports au VLAN 1. L'application indique que le PVID du port que l'on veut retirer du VLAN 1 n'est pas bien configuré. Avant cela, il faut modifier les PVID.
Vous vous dites surement qu'il aurait été plus simple de modifier les PVID avant. Avec Netgear, ce n'est pas possible. Si l'on tente d'éditer un PVID avant d'avoir affecté le port au VLAN, un message demande d'affecter ce port. Et si on retire un port d'un VLAN, il nous est dit que le PVID n'est pas correctement configuré. Vous voyez un peu le cercle vicieux que l'interface graphique n'a pas réussi à résoudre.
4) Affectation des PVID
L'affectation des PVID passe par le menu "Port PVID". Il faut alors cocher les cases des ports à éditer (dans mon exemple, les ports 2 et 4). On peut alors éditer le PVID. Ici, j'ai sélectionné 6 pour que ces deux ports communiquent à défaut sur le VLAN 6.
On peut ensuite valider via le bouton "Apply" situé en haut à droite. Au final, l'interface doit revenir dans l'état précédent. On constate alors que les ports 2 et 4 ont bien leur PVID affecté à 6.
5) Corriger le VLAN 1
Il est maintenant possible de revenir au menu "VLAN Memebership".
Et supprimer les ports 2 et 4 du VLAN 1. Leur état doit être vide, comme sur la capture suivante.
6) Vérification
Il est maintenant possible de revenir au menu "VLAN configuration". Le résumé des VLAN devrait être conforme à ceci :
Conclusion
Il est toujours possible de gérer des VLAN avec des matériels de marques différentes. Malheureusement, tous les fabricants de matériel ne fournissent pas des interfaces de même qualité. Dans le cas de Netgear, la logique peut être déroutante (sans parler de l’accessibilité). Il faut donc savoir s’armer de patience et prendre le temps de découvrir son matériel.
JurgenDV 11/2/2022