Configurer trois VLAN sur deux commutateurs Cisco, les transporter via un trunk 802.1Q, puis activer le routage inter-VLAN avec un router-on-a-stick et un SVI sur switch L3. Toutes les commandes IOS, vérifications et erreurs classiques.
📍 À lire d’abord : Réussir le CCNA 200-301 depuis l’Afrique de l’Ouest — Guide complet 2026 · Monter un lab CCNA gratuit avec Cisco Packet Tracer 9.0.
Introduction
Un réseau plat où tout le monde voit tout le monde, c’était bon pour les bureaux de cinq personnes en 1995. Aujourd’hui, le moindre commutateur d’agence dans une banque ouest-africaine porte au minimum trois VLAN : un pour les postes de travail, un pour la téléphonie IP, un pour la gestion. Sans VLAN, tu n’as ni isolation de la voix par rapport aux données (problème de QoS), ni segmentation de sécurité (problème de conformité PCI DSS pour les banques), ni segmentation de broadcast (problème de performance dès qu’on dépasse 200 hôtes).
Ce tutoriel construit pas à pas un cas d’usage typique : trois VLAN — Data, Voice, Management — répartis sur deux commutateurs d’accès, transportés par un trunk 802.1Q vers un routeur, et inter-routés. On testera ensuite la même topologie en remplaçant le routeur par un commutateur de niveau 3 (SVI). C’est exactement ce que demande le domaine Network Access (20 % de l’examen 200-301 v1.1) et une partie d’IP Connectivity.
Prérequis
- Packet Tracer 9.0 installé et un compte Networking Academy actif. Si ce n’est pas fait, suis d’abord le tutoriel d’installation linké en haut.
- Maîtrise des commandes IOS de base :
enable,configure terminal,interface,no shutdown,show ip interface brief. - Compréhension des concepts de couche 2 : adresse MAC, table CAM, domaine de broadcast.
- Niveau attendu : intermédiaire-débutant (tu sais cabler une topologie et adresser un PC).
- Temps estimé : 90 à 120 minutes en pratique active.
Étape 1 — Construire la topologie de référence
Crée un nouveau réseau dans Packet Tracer (File > New Network) et place les équipements suivants. La topologie est volontairement minimale pour qu’on se concentre sur la configuration et pas sur le câblage.
+------------------+
| R1 (2911) |
+--------+---------+
| Gi0/0
trunk 802.1Q
|
+----------+----------+
| |
+-----+------+ +-----+------+
| SW1 (2960)|========| SW2 (2960)|
+------------+ trunk +------------+
Fa0/1 Fa0/2 Fa0/1 Fa0/2
| | | |
PC-A PC-B PC-C PC-D
VLAN10 VLAN10 VLAN20 VLAN30
Pose un routeur 2911 (R1), deux commutateurs 2960-24TT (SW1, SW2), et quatre PC (PC-A à PC-D). Câble PC-A et PC-B sur SW1 (FastEthernet 0/1 et 0/2), PC-C et PC-D sur SW2 (FastEthernet 0/1 et 0/2). Relie SW1 à SW2 par leurs ports GigabitEthernet 0/1, et relie SW1 à R1 sur GigabitEthernet 0/2 vers Gi0/0 du routeur. Rappel : entre deux switchs, Packet Tracer accepte un câble droit en 9.0 (l’auto-MDIX simule l’auto-négociation moderne) — mais si tu as des problèmes, force le câble croisé.
Étape 2 — Créer les VLAN sur SW1
Sur un commutateur Cisco, un VLAN n’existe que si on le déclare dans la base VLAN. Tant qu’aucun port n’est assigné à un VLAN, le commutateur fonctionne comme un domaine de broadcast unique sur le VLAN par défaut (VLAN 1, qu’on appelle aussi native VLAN). La configuration ci-dessous crée trois VLAN, leur donne un nom parlant, et assigne FastEthernet 0/1 au VLAN 10 (Data) et FastEthernet 0/2 au VLAN 20 (Voice).
Double-clique sur SW1, onglet CLI, puis exécute :
SW1>enable
SW1#configure terminal
SW1(config)#hostname SW1
SW1(config)#vlan 10
SW1(config-vlan)#name DATA
SW1(config-vlan)#exit
SW1(config)#vlan 20
SW1(config-vlan)#name VOICE
SW1(config-vlan)#exit
SW1(config)#vlan 99
SW1(config-vlan)#name MGMT
SW1(config-vlan)#exit
SW1(config)#interface FastEthernet0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
SW1(config-if)#exit
SW1(config)#interface FastEthernet0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20
SW1(config-if)#switchport voice vlan 20
SW1(config-if)#exit
La commande switchport mode access force le port en mode accès — sans ça, le port reste en dynamic auto, ce qui peut négocier un trunk indésirable et ouvrir une faille de sécurité (VLAN hopping). La commande switchport voice vlan 20 est intéressante : elle permet à un téléphone IP qui se branche d’envoyer ses trames sur le VLAN 20 taguées, tandis qu’un PC chaîné derrière le téléphone envoie ses trames sur le VLAN 10 non taguées. C’est la pierre angulaire de l’intégration voix-data sur un même câble.
Vérifie immédiatement avec show vlan brief :
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, ... Gi0/2
10 DATA active Fa0/1
20 VOICE active Fa0/2
99 MGMT active
Si tu ne vois pas tes VLAN, c’est que tu n’as pas tapé exit après name, ou que le commutateur est en mode VTP server avec un voisin qui a écrasé ta base — pour ce lab, restons en mode VTP transparent ou par défaut.
Étape 3 — Configurer le trunk entre SW1 et SW2
Un trunk 802.1Q est un lien entre deux équipements (typiquement entre commutateurs, ou entre un commutateur et un routeur) qui transporte plusieurs VLAN simultanément en taguant chaque trame avec son ID de VLAN. Le standard IEEE 802.1Q insère un champ de 4 octets dans l’en-tête Ethernet, dont 12 bits identifient le VLAN (donc 4094 VLAN possibles, le 0 et 4095 étant réservés).
Sur SW1, configure le port Gi0/1 vers SW2 en trunk avec un VLAN natif explicite (jamais le VLAN 1, c’est une recommandation de sécurité fondamentale pour éviter les attaques double tagging) :
SW1(config)#interface GigabitEthernet0/1
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport trunk native vlan 99
SW1(config-if)#switchport trunk allowed vlan 10,20,99
SW1(config-if)#exit
La ligne encapsulation dot1q est nécessaire sur certains commutateurs qui supportent aussi l’ancien standard ISL — sur les 2960, dot1q est le seul disponible et la commande passe sans effet, mais habitue-toi à l’écrire pour les modèles supérieurs. La ligne allowed vlan est cruciale : elle restreint le trunk à transporter strictement les VLAN listés, ce qui réduit la surface d’attaque et économise de la bande passante en évitant la propagation de broadcasts sur des VLAN inutiles.
Sur SW2, fais la configuration miroir, puis ajoute aussi les VLAN 10, 20, 99 et assigne les ports d’accès :
SW2(config)#hostname SW2
SW2(config)#vlan 10
SW2(config-vlan)#name DATA
SW2(config-vlan)#exit
SW2(config)#vlan 20
SW2(config-vlan)#name VOICE
SW2(config-vlan)#exit
SW2(config)#vlan 30
SW2(config-vlan)#name MAINTENANCE
SW2(config-vlan)#exit
SW2(config)#vlan 99
SW2(config-vlan)#name MGMT
SW2(config-vlan)#exit
SW2(config)#interface FastEthernet0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 20
SW2(config-if)#exit
SW2(config)#interface FastEthernet0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 30
SW2(config-if)#exit
SW2(config)#interface GigabitEthernet0/1
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk native vlan 99
SW2(config-if)#switchport trunk allowed vlan 10,20,30,99
SW2(config-if)#end
Vérifie l’état du trunk avec show interfaces trunk :
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 99
Port Vlans allowed on trunk
Gi0/1 10,20,99
Si la colonne Status affiche not-trunking, c’est qu’un côté est en mode auto/dynamic et que la négociation a échoué. Force switchport mode trunk des deux côtés.
Étape 4 — Router-on-a-stick : routage inter-VLAN par sous-interfaces
À ce stade, les VLAN sont étanches : un PC en VLAN 10 ne peut pas pinger un PC en VLAN 20, même s’ils sont sur le même commutateur physique. Pour les faire communiquer, il faut faire passer leurs trames par un routeur qui agira en couche 3. La technique classique pour un budget réduit s’appelle router-on-a-stick : on configure une seule interface physique du routeur en trunk, divisée en sous-interfaces, une par VLAN.
Sur SW1, configure d’abord le port vers R1 en trunk :
SW1(config)#interface GigabitEthernet0/2
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport trunk native vlan 99
SW1(config-if)#switchport trunk allowed vlan 10,20,30,99
SW1(config-if)#end
Ensuite, sur R1, crée trois sous-interfaces sur Gi0/0 — une pour chaque VLAN routable. La commande encapsulation dot1q <vlan-id> indique au routeur de tager les trames sortantes avec l’ID correspondant.
R1>enable
R1#configure terminal
R1(config)#hostname R1
R1(config)#interface GigabitEthernet0/0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface GigabitEthernet0/0.10
R1(config-subif)#description Sous-interface VLAN DATA
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 192.168.10.1 255.255.255.0
R1(config-subif)#exit
R1(config)#interface GigabitEthernet0/0.20
R1(config-subif)#description Sous-interface VLAN VOICE
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.20.1 255.255.255.0
R1(config-subif)#exit
R1(config)#interface GigabitEthernet0/0.30
R1(config-subif)#description Sous-interface VLAN MAINTENANCE
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#ip address 192.168.30.1 255.255.255.0
R1(config-subif)#exit
R1(config)#interface GigabitEthernet0/0.99
R1(config-subif)#description Sous-interface VLAN MGMT
R1(config-subif)#encapsulation dot1q 99 native
R1(config-subif)#ip address 192.168.99.1 255.255.255.0
R1(config-subif)#end
R1#copy running-config startup-config
Le mot-clé native sur la sous-interface 99 dit au routeur que les trames non taguées qui arrivent sont à associer à ce VLAN — exactement la même logique que switchport trunk native vlan 99 côté commutateur. Ces deux configurations doivent toujours être cohérentes ; un mismatch produit un message d’erreur récurrent dans le log et une perte silencieuse de paquets.
Adresse maintenant les PC : PC-A en 192.168.10.10/24 avec passerelle 192.168.10.1, PC-B en 192.168.20.10/24 avec passerelle 192.168.20.1, PC-C sur SW2 (port Fa0/1, VLAN 20) en 192.168.20.11/24 passerelle 192.168.20.1, et PC-D (Fa0/2, VLAN 30) en 192.168.30.10/24 passerelle 192.168.30.1.
Teste : depuis PC-A, lance ping 192.168.30.10. Si tout est cohérent, tu obtiens quatre réponses. La trame est partie de PC-A en couche 2 sans tag, a été taguée par SW1 en arrivant sur Fa0/1 (VLAN 10), a traversé le trunk Gi0/2 vers R1 toujours en VLAN 10, le routeur a décapsulé, consulté sa table, retagué en VLAN 30 et renvoyé sur la même Gi0/0 (sous-interface .30), SW1 a reçu en trunk, propagé vers SW2 (qui a propagé en trunk via Gi0/1), et SW2 a livré sur Fa0/2 sans tag à PC-D. Cinq sauts logiques pour un ping local — c’est ça, l’inter-VLAN routing.
Étape 5 — Variante : SVI sur switch de niveau 3
Le router-on-a-stick fonctionne mais introduit un goulot d’étranglement : tout le trafic inter-VLAN traverse une seule interface du routeur. Pour des volumes élevés, on préfère un commutateur multicouche (L3) qui route directement entre VLAN à wire speed. La technique s’appelle SVI (Switched Virtual Interface) : on crée une interface virtuelle par VLAN sur le commutateur, et le commutateur lui-même route entre ses propres VLAN.
Si tu remplaces SW1 par un Cisco 3560 dans Packet Tracer, voici comment configurer les SVI :
SW1(config)#ip routing
SW1(config)#interface vlan 10
SW1(config-if)#ip address 192.168.10.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface vlan 20
SW1(config-if)#ip address 192.168.20.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface vlan 30
SW1(config-if)#ip address 192.168.30.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface vlan 99
SW1(config-if)#ip address 192.168.99.1 255.255.255.0
SW1(config-if)#no shutdown
La commande ip routing active la fonctionnalité L3 du commutateur (désactivée par défaut sur certains modèles). À partir de là, le commutateur a une table de routage — vérifie avec show ip route. Un ping depuis PC-A vers PC-B en VLAN 20 ne passera plus par le routeur : le 3560 route lui-même le paquet en interne, à pleine vitesse de fond de panier.
Étape 6 — Sécuriser le déploiement
Trois ajustements de sécurité sont attendus à l’examen et en production : isoler le VLAN natif des VLAN de production, désactiver les ports inutilisés, restreindre les VLAN sur les trunks au strict nécessaire.
SW1(config)#interface range FastEthernet0/3 - 24
SW1(config-if-range)#shutdown
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 999
SW1(config-if-range)#exit
SW1(config)#vlan 999
SW1(config-vlan)#name PARKING
SW1(config-vlan)#exit
Le VLAN 999 PARKING sert de cul-de-sac pour les ports inutilisés : si un attaquant branche un câble physique sur un port libre, il atterrit dans un VLAN orphelin qui ne route nulle part. Combiné avec port-security (sujet de l’article connexe Sécurité L2), c’est une défense efficace contre les intrusions par accès physique.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Ping inter-VLAN qui timeout malgré config correcte | Passerelle non renseignée sur les PC | Vérifier IP Configuration sur chaque PC : passerelle = adresse SVI ou sous-interface du routeur |
% VLAN 10 was not added because port is in trunking mode |
Tu as exécuté switchport access vlan 10 sur un port en mode trunk |
Repasser le port en switchport mode access avant d’assigner le VLAN |
Trunk en not-trunking malgré mode trunk des deux côtés |
Mismatch de l’encapsulation (ISL vs dot1q) ou mismatch native VLAN | Forcer switchport trunk encapsulation dot1q et même native VLAN des deux côtés |
| Inter-VLAN routing ne fonctionne pas avec router-on-a-stick | Mismatch entre native VLAN du switch et encapsulation dot1q X native sur le routeur |
Vérifier que le numéro de VLAN natif est identique côté SW (switchport trunk native vlan 99) et côté R1 (sous-interface .99 avec encapsulation dot1q 99 native) |
SVI affiche down/down sur le 3560 |
Aucun port d’accès actif dans ce VLAN | Le SVI ne monte que si au moins un port physique est up dans le VLAN correspondant |
| Pings traversant le trunk mais pas inter-VLAN | ip routing non activé sur le 3560 |
Exécuter ip routing en mode config global sur le commutateur multicouche |
| VLAN 1 toujours actif et porteur de trafic | Ports laissés en config par défaut | Assigner explicitement chaque port à un VLAN spécifique, et désactiver les ports libres |
Adaptation au contexte ouest-africain
Pour les PME ouest-africaines équipées de Cisco SMB ou Cisco Catalyst d’occasion (très courant à Dakar et Abidjan via la revente d’équipements de seconde main par des intégrateurs régionaux), les commandes ci-dessus sont valables sur 2950, 2960, 3560, 3650, 3850. Sur un Catalyst 9200/9300 récent (qu’on commence à voir dans les agences bancaires neuves), la syntaxe est identique mais l’OS s’appelle IOS-XE, ce qui permet quelques commandes additionnelles non testées au CCNA.
Pour les centres de formation qui équipent leur lab physique avec quatre commutateurs et deux routeurs (budget typique : 600 000 à 1 000 000 FCFA en occasion), la topologie de cet article est exactement ce que tu peux reproduire pour faire travailler une promotion entière sur le routage inter-VLAN. Pour 25 étudiants en parallèle, prévoir deux promotions tournantes ou doubler le matériel.
Pour les indépendants qui font du dépannage réseau facturé à l’heure, le diagnostic VLAN mal configuré représente un quart des appels typiques (« la téléphonie ne marche plus depuis qu’on a installé le nouveau switch »). Maîtriser cet article te rend immédiatement bankable sur ce type de mission.
FAQ
Quelle différence entre VLAN natif et VLAN par défaut ?
Le VLAN par défaut est le VLAN 1, présent d’usine sur tout commutateur Cisco. Le VLAN natif est le VLAN sur lequel un trunk transporte les trames non taguées — par défaut c’est aussi le VLAN 1, mais on le redéfinit en pratique (VLAN 99 dans cet article) pour des raisons de sécurité. Cisco recommande explicitement de ne jamais utiliser le VLAN 1 comme VLAN natif en production.
Faut-il créer un VLAN sur les deux commutateurs reliés par un trunk ?
Oui. Un trunk transporte les VLAN qui existent dans la base VLAN des deux commutateurs et qui sont autorisés sur le trunk. Si SW1 connaît le VLAN 30 mais pas SW2, les trames VLAN 30 arrivant sur SW2 sont droppées silencieusement.
Quelle est la différence entre router-on-a-stick et SVI L3 ?
Le router-on-a-stick utilise un routeur externe avec une seule interface physique en trunk : économique mais limité par la bande passante de cette interface. Le SVI utilise un commutateur multicouche : plus rapide (route à wire-speed) mais plus cher à l’achat, et impose que les VLAN soient locaux au commutateur. Pour 99 % des PME ouest-africaines, router-on-a-stick suffit ; pour un siège bancaire ou un campus universitaire, SVI devient nécessaire.
Combien de VLAN par commutateur en pratique ?
Techniquement, un Catalyst supporte jusqu’à 1005 VLAN dans la plage standard (1-1005) et jusqu’à 4094 dans la plage étendue (1006-4094). En pratique sur un site PME, on dépasse rarement 8 VLAN. Sur un site corporate, 30 à 50 est courant. Au-delà de 100 VLAN, c’est qu’on aurait dû passer à du routage L3 plus fin avec VRF.
Pourquoi mon trunk négocie-t-il automatiquement et c’est dangereux ?
Cisco avait introduit le protocole DTP (Dynamic Trunking Protocol) pour faciliter la vie des admins. En 2026, c’est considéré comme une faille : un attaquant qui branche un PC sur un port en dynamic auto peut envoyer des trames DTP forgées et se faire promouvoir en trunk, accédant alors à tous les VLAN. Désactive DTP avec switchport nonegotiate sur tous tes ports d’accès et forces explicitement switchport mode access ou switchport mode trunk.
Le port voice VLAN crée-t-il vraiment deux VLAN sur un câble ?
Oui. Un téléphone IP Cisco supportant CDP/LLDP-MED reçoit la consigne d’envoyer ses trames de voix taguées avec le voice VLAN, tandis que le PC chaîné derrière envoie les siennes non taguées (qui finiront sur le data VLAN du port). Une seule prise murale, deux flux séparés et priorisables. C’est l’élégance du système VLAN.
Pour aller plus loin
- 🔝 Article cadre : Réussir le CCNA 200-301 depuis l’Afrique de l’Ouest — Guide complet 2026
- ⬅️ Prérequis : Monter un lab CCNA gratuit avec Cisco Packet Tracer 9.0
- ➡️ Suite logique : OSPFv2 single-area : configuration et troubleshooting (à venir).
- ➡️ Sécurité associée : Sécurité L2 Cisco : port-security, SSH, AAA local (à venir).
- Documentation officielle Cisco : configuration VLAN sur Catalyst 2960/2960X — cisco.com, rechercher Configuring VLANs on Catalyst 2960.
- Standard IEEE 802.1Q : RFC publique consultable sur standards.ieee.org, pour comprendre le format exact du tag.
- Suggestion d’entraînement : modifie cette topologie pour ajouter un troisième commutateur SW3 chaîné derrière SW2, et propage le VLAN 30 jusqu’à un PC-E. Reconfigure les trunks et
allowed vlansans les copier-coller. C’est le test final pour vérifier que tu maîtrises la propagation.
Mots-clés secondaires : VLAN Cisco configuration, trunk 802.1Q dot1q, inter-VLAN routing, router-on-a-stick, SVI Cisco multicouche, native VLAN sécurité, Cisco Catalyst 2960, voice VLAN téléphonie IP, CCNA Network Access.