Au départ, tous les ordinateurs d’un petit réseau partagent le même espace : chaque message diffusé est entendu par tout le monde, le service comptable voit passer le trafic du service technique, et la moindre erreur se propage partout. Les VLAN résolvent ce problème en découpant un commutateur physique unique en plusieurs réseaux logiques étanches. Dans ce tutoriel, vous segmentez notre petite entreprise en deux groupes — les postes des employés et ceux des serveurs — puis vous rétablissez la communication entre eux de façon contrôlée. C’est l’une des compétences les plus fondamentales de la commutation Huawei.
🎯 Ce que vous allez apprendre
- Créer des VLAN sur un commutateur Huawei et comprendre ce qu’ils isolent réellement.
- Affecter un port en mode accès à un VLAN, et configurer une liaison trunk entre commutateurs.
- Vérifier l’appartenance des ports avec les commandes de diagnostic adaptées.
- Rétablir la communication entre VLAN grâce au routage par interface VLANIF.
🛠️ Ce que vous allez construire
Vous allez bâtir un réseau à deux VLAN : le VLAN 10 pour les postes employés (réseau 192.168.10.0/24) et le VLAN 20 pour les serveurs (réseau 192.168.20.0/24). Un commutateur d’accès SW-Acces raccorde les postes ; un commutateur cœur SW-Core, capable de routage, relie les deux VLAN. Au terme du tutoriel, un poste du VLAN 10 pourra joindre un serveur du VLAN 20 alors que les deux vivent dans des réseaux séparés — la définition même d’un réseau segmenté mais fonctionnel.
Prérequis
- Une maquette avec deux commutateurs (un S3700 pour l’accès, un S5700 pour le cœur, ce dernier sachant router) et deux postes. Repartez de l’installation d’eNSP si nécessaire.
- Les bases de la ligne de commande VRP, vues dans le tutoriel précédent.
- Niveau : débutant à intermédiaire. ⏱️ Temps estimé : 50 minutes.
Étape 1 — Comprendre ce qu’un VLAN isole
Un VLAN, ou réseau local virtuel, est un groupe logique de ports qui se comportent comme s’ils étaient sur un commutateur séparé. Deux ports dans deux VLAN différents ne peuvent pas se parler directement, même branchés sur le même équipement physique. L’intérêt est triple : on limite la portée des messages diffusés (qui ne sortent plus de leur VLAN), on cloisonne les services pour des raisons de sécurité, et on organise le réseau selon la logique métier plutôt que selon le câblage.
Chaque VLAN porte un numéro, son identifiant, compris entre 1 et 4094. Le VLAN 1 existe par défaut et contient tous les ports au départ. Notre plan est simple : le VLAN 10 regroupera les employés, le VLAN 20 les serveurs. Garder une convention de numérotation claire — par exemple des dizaines pour chaque service — facilite énormément l’administration quand le réseau grandit.
✅ Point d’étape — Vous savez qu’un VLAN isole un groupe de ports et qu’il s’identifie par un numéro. Notre plan : VLAN 10 pour les employés, VLAN 20 pour les serveurs.
Étape 2 — Créer les VLAN sur les commutateurs
La création d’un VLAN se fait en vue système. VRP offre une commande très pratique pour en créer plusieurs d’un coup : vlan batch. On crée les mêmes VLAN sur les deux commutateurs, car un VLAN doit exister partout où son trafic circule. Commençons par le commutateur d’accès.
<Huawei> system-view
[Huawei] sysname SW-Acces
[SW-Acces] vlan batch 10 20La commande vlan batch 10 20 crée en une seule ligne les VLAN 10 et 20. Si vous vouliez créer une plage continue, par exemple de 10 à 20, vous écririez vlan batch 10 to 20. Répétez exactement la même opération sur le commutateur cœur après l’avoir nommé SW-Core. Pour confirmer la création, la commande display vlan liste tous les VLAN connus de l’équipement avec les ports qui leur sont rattachés.
✅ Point d’étape —
display vlansur chaque commutateur montre les VLAN 10 et 20 en plus du VLAN 1 par défaut. Les VLAN existent ; reste à y placer les ports.
Étape 3 — Affecter les ports d’accès
Un port qui raccorde un poste de travail est un port « d’accès » : il appartient à un seul VLAN et l’ordinateur branché ignore tout de cette notion. C’est le commutateur qui étiquette le trafic. Sur SW-Acces, un commutateur d’accès dont les ports utilisateurs sont des interfaces 10/100 nommées Ethernet, supposons que le poste employé est branché sur Ethernet0/0/1 et le serveur sur Ethernet0/0/2 ; les deux ports gigabit servent, eux, d’uplinks vers le cœur du réseau. On configure chaque port en deux temps : on déclare son type, puis son VLAN.
[SW-Acces] interface Ethernet0/0/1
[SW-Acces-Ethernet0/0/1] port link-type access
[SW-Acces-Ethernet0/0/1] port default vlan 10
[SW-Acces-Ethernet0/0/1] quit
[SW-Acces] interface Ethernet0/0/2
[SW-Acces-Ethernet0/0/2] port link-type access
[SW-Acces-Ethernet0/0/2] port default vlan 20
[SW-Acces-Ethernet0/0/2] quitLa commande port link-type access déclare le port en mode accès, et port default vlan 10 le rattache au VLAN 10. À partir de là, tout ce qui entre par Ethernet0/0/1 appartient au VLAN 10, et ne pourra jamais atteindre directement un port du VLAN 20. Le port du serveur, lui, vit dans le VLAN 20. Les deux postes sont désormais cloisonnés.
✅ Point d’étape —
display vlanmontre maintenant Ethernet0/0/1 dans le VLAN 10 et Ethernet0/0/2 dans le VLAN 20. À ce stade, les deux postes ne peuvent pas communiquer, ce qui est exactement le comportement attendu.
Étape 4 — Configurer la liaison trunk entre commutateurs
Le trafic des deux VLAN doit franchir le câble qui relie SW-Acces à SW-Core. Or un port d’accès ne transporte qu’un seul VLAN. Pour faire passer plusieurs VLAN sur un même lien, on utilise un port « trunk », qui étiquette chaque trame avec son numéro de VLAN selon la norme 802.1Q. Le commutateur d’en face lit cette étiquette et range la trame dans le bon VLAN. On configure le trunk des deux côtés du lien — ici le port d’uplink gigabit, GigabitEthernet0/0/1, de chaque commutateur.
[SW-Acces] interface GigabitEthernet0/0/1
[SW-Acces-GigabitEthernet0/0/1] port link-type trunk
[SW-Acces-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[SW-Acces-GigabitEthernet0/0/1] quitLa commande port link-type trunk déclare le port en mode trunk, et port trunk allow-pass vlan 10 20 autorise explicitement le passage des VLAN 10 et 20. Ce point piège énormément de débutants : par défaut, un trunk Huawei n’autorise que le VLAN 1. Si vous oubliez la ligne allow-pass, vos VLAN 10 et 20 ne traverseront pas le lien et rien ne fonctionnera. Reproduisez la même configuration sur le port correspondant de SW-Core.
Pour vérifier qu’un trunk laisse bien passer les bons VLAN, utilisez display port vlan : elle indique pour chaque port son type et la liste des VLAN autorisés. Sur le port trunk, vous devez voir les VLAN 10 et 20 mentionnés.
✅ Point d’étape —
display port vlanconfirme que le port GigabitEthernet0/0/1 est en mode trunk et autorise les VLAN 10 et 20 des deux côtés. Le trafic segmenté peut maintenant circuler entre les commutateurs.
Étape 5 — Routage inter-VLAN par interface VLANIF
Nous avons soigneusement isolé les deux VLAN ; il faut désormais autoriser une communication contrôlée entre eux, par exemple pour que les employés accèdent aux serveurs. Cette communication entre VLAN relève du routage, et non plus de la commutation. La méthode la plus répandue sur les commutateurs Huawei de niveau 3 est l’interface VLANIF : une interface logique qui sert de passerelle à un VLAN. Chaque VLANIF reçoit une adresse IP qui devient la passerelle des postes du VLAN correspondant. On la configure sur SW-Core, le commutateur capable de router.
[SW-Core] interface Vlanif 10
[SW-Core-Vlanif10] ip address 192.168.10.1 255.255.255.0
[SW-Core-Vlanif10] quit
[SW-Core] interface Vlanif 20
[SW-Core-Vlanif20] ip address 192.168.20.1 255.255.255.0
[SW-Core-Vlanif20] quitDès que les deux interfaces VLANIF sont actives, SW-Core sait router entre les réseaux 192.168.10.0/24 et 192.168.20.0/24 : c’est automatique, car il possède une interface dans chaque réseau. Il reste une condition côté postes : chaque ordinateur doit utiliser comme passerelle l’adresse de sa VLANIF. Le poste employé du VLAN 10 prendra 192.168.10.1 comme passerelle ; le serveur du VLAN 20 prendra 192.168.20.1. Sans cette passerelle, les postes ne sauraient pas vers qui envoyer le trafic destiné à l’autre VLAN.
✅ Point d’étape — Les interfaces Vlanif 10 et Vlanif 20 sont configurées et actives ;
display ip interface briefles montre en « up ». Les passerelles des deux réseaux existent désormais sur SW-Core.
Étape 6 — Tester la communication inter-VLAN
Le moment de vérité. Configurez sur le poste employé l’adresse 192.168.10.2, masque 255.255.255.0, passerelle 192.168.10.1. Configurez sur le serveur l’adresse 192.168.20.2, masque 255.255.255.0, passerelle 192.168.20.1. Depuis le poste employé, lancez un test de connectivité vers le serveur.
PC> ping 192.168.20.2Si tout est correct, le test réussit : les réponses arrivent. Cela prouve que la trame est partie du VLAN 10, a traversé le trunk jusqu’à SW-Core, a été routée vers le VLAN 20, et est revenue par le même chemin. Vous avez réalisé un réseau segmenté où la communication entre segments est rétablie au niveau du routage, exactement comme dans une infrastructure professionnelle. Si le test échoue, le tableau de diagnostic ci-dessous couvre les causes les plus fréquentes.
✅ Point d’étape — Le poste du VLAN 10 joint le serveur du VLAN 20. La segmentation et le routage inter-VLAN fonctionnent de bout en bout.
🐞 Pièges fréquents
| Symptôme / erreur | Cause probable | Correctif |
|---|---|---|
| Les VLAN ne traversent pas le lien entre commutateurs | Oubli de port trunk allow-pass vlan |
Autoriser explicitement les VLAN concernés sur le trunk, des deux côtés |
| Un poste ne joint pas l’autre VLAN | Passerelle absente ou erronée sur le poste | Définir comme passerelle l’adresse de la VLANIF du VLAN du poste |
| Vlanif reste « down » | Aucun port actif dans ce VLAN, ou VLAN non créé | Vérifier qu’un port up appartient au VLAN et que le VLAN existe |
| Deux postes du même VLAN ne se voient pas | Ports affectés au mauvais VLAN | Contrôler avec display vlan et corriger port default vlan |
| Routage inter-VLAN impossible | Commutateur d’accès L2 utilisé comme cœur | Le routage VLANIF exige un commutateur de niveau 3 |
Choisir entre VLANIF et routeur externe
Le routage inter-VLAN par VLANIF suppose un commutateur de niveau 3, plus coûteux qu’un simple commutateur d’accès. Quand le budget est serré et que le débit inter-VLAN reste modeste, une alternative existe : confier le routage à un routeur relié par un unique trunk, technique dite « du routeur sur un bâton ». Le routeur porte alors une sous-interface par VLAN, chacune avec sa propre adresse de passerelle. C’est moins performant, car tout le trafic inter-VLAN remonte et redescend par le même câble, mais cela évite l’achat d’un commutateur de niveau 3.
Pour un petit réseau, ce choix se résume souvent à ce que l’on possède déjà. Si vous disposez d’un commutateur de niveau 3, la solution VLANIF est plus propre et plus rapide. Si vous n’avez qu’un commutateur d’accès et un routeur, le routeur sur un bâton rend exactement le même service. Dans les deux cas, le principe reste identique : créer une passerelle par VLAN et router entre elles. Comprendre cette équivalence vous rend autonome face à n’importe quel matériel disponible.
✅ Récapitulatif
Vous avez segmenté un réseau plat en deux VLAN étanches, affecté les ports d’accès aux bons VLAN, fait transiter les deux VLAN sur une liaison trunk étiquetée en 802.1Q, puis rétabli la communication entre eux par des interfaces VLANIF. Vous savez aussi diagnostiquer les pannes classiques et choisir entre routage par commutateur de niveau 3 et routeur sur un bâton. Cette mécanique — isoler puis router de façon contrôlée — est au cœur de la conception de tout réseau d’entreprise.
🧾 Aide-mémoire
| Commande | Rôle |
|---|---|
| vlan batch 10 20 | Créer plusieurs VLAN en une commande |
| port link-type access | Déclarer un port en mode accès |
| port default vlan 10 | Rattacher le port d’accès au VLAN 10 |
| port link-type trunk | Déclarer un port en mode trunk |
| port trunk allow-pass vlan 10 20 | Autoriser des VLAN sur le trunk |
| interface Vlanif 10 | Créer la passerelle logique d’un VLAN |
| display vlan | Lister les VLAN et leurs ports |
| display port vlan | Voir le type et les VLAN autorisés par port |
💪 À vous de jouer
Ajoutez un VLAN 30 pour un réseau « invités » (192.168.30.0/24), placez-y un nouveau poste, autorisez ce VLAN sur le trunk, et créez sa passerelle. Vérifiez que l’invité joint Internet mais reste isolé des serveurs… en n’autorisant pas son trafic à atteindre le VLAN 20.
Voir une solution
[SW-Acces] vlan batch 30
[SW-Acces] interface Ethernet0/0/3
[SW-Acces-Ethernet0/0/3] port link-type access
[SW-Acces-Ethernet0/0/3] port default vlan 30
[SW-Acces] interface GigabitEthernet0/0/1
[SW-Acces-GigabitEthernet0/0/1] port trunk allow-pass vlan 30
[SW-Core] vlan batch 30
[SW-Core] interface Vlanif 30
[SW-Core-Vlanif30] ip address 192.168.30.1 255.255.255.0L’isolation fine entre le VLAN invités et les serveurs se réglera ensuite avec une liste de contrôle d’accès, sujet d’un autre tutoriel.
Tutoriels liés
- Premiers pas avec la ligne de commande VRP — les bases réutilisées ici.
- Spanning tree (STP et RSTP) sur commutateur Huawei — éviter les boucles quand on multiplie les liens entre commutateurs.
🔝 Retour au guide d’ensemble : HCIA-Datacom : le parcours de certification réseau Huawei.
Ressources et références officielles
- Huawei — Commande
port trunk allow-pass vlan: support.huawei.com - Huawei — Ajout d’un port à un VLAN (guide VRP) : support.huawei.com
FAQ
Pourquoi un trunk Huawei ne laisse-t-il passer que le VLAN 1 par défaut ?
C’est un choix de conception prudent : on n’autorise que ce qu’on déclare explicitement. Il faut donc toujours penser à la ligne port trunk allow-pass vlan pour chaque VLAN devant traverser le lien.
Quelle différence entre un port d’accès et un port trunk ?
Un port d’accès appartient à un seul VLAN et ne transmet pas d’étiquette ; il relie un équipement final. Un port trunk transporte plusieurs VLAN en étiquetant chaque trame ; il relie deux équipements réseau entre eux.
Faut-il créer les VLAN sur tous les commutateurs ?
Oui, partout où le trafic du VLAN circule. Un VLAN inconnu d’un commutateur sera ignoré, même s’il arrive par un trunk autorisé.
Mon commutateur d’accès peut-il faire le routage inter-VLAN ?
Seulement s’il s’agit d’un modèle de niveau 3. Un commutateur d’accès purement de niveau 2 commute mais ne route pas ; il faut alors un commutateur de niveau 3 ou un routeur pour relier les VLAN.