**Code** : MO-NET-003 | **Version** : 1.0 | **Date** : 6 mai 2026 | **Auteur** : C. Legrand
:inbox_tray: [Telecharger le PDF](/_assets/custom/pdf/MO-NET-003.pdf)
MO-NET-003 -- Gestion des VLANs sur switches Aruba Instant On 1930
1. Objet
Ce mode operatoire decrit la procedure de creation, de configuration et d'affectation des VLANs sur les switches Aruba Instant On 1930 de l'infrastructure BTS SIO du lycee Jean Lurcat. Il couvre l'acces a l'interface web d'administration, la creation d'un VLAN, l'affectation des ports en mode access ou trunk, ainsi que la configuration des liaisons inter-switches et vers le pare-feu OPNsense.
L'etat initial du parc est le suivant : les six switches sont configures avec un seul VLAN (VLAN 1, Default), l'ensemble des ports etant en mode untagged sur ce VLAN. La segmentation du reseau en VLANs constitue un prealable au routage inter-VLAN documente dans le MO-NET-004.
2. Champ d'application
| Element | Detail |
|---|---|
| Public | Administrateurs infrastructure BTS SIO |
| Equipements | 6 switches Aruba Instant On 1930 (24 ports) |
| Protocole | HTTPS (serveur web GoAhead integre) |
| Authentification | Compte admin local (gestionnaire de mots de passe) |
| Duree estimee | 20-30 minutes par switch |
Inventaire des switches
| Modele | Reference | Adresse IP | Firmware |
|---|---|---|---|
| 1930 24G PoE 195W | JL683B | 10.0.112.221 |
2.8.0.0 |
| 1930 24G | JL682A | 10.0.112.222 |
2.8.0.0 |
| 1930 24G | JL682A | 10.0.112.223 |
2.6.0.0 |
| 1930 24G PoE 195W | JL683B | 10.0.112.224 |
2.8.0.0 |
| 1930 24G PoE 195W | JL683B | 10.0.112.225 |
2.8.0.0 |
| 1930 24G | JL682A | 10.0.112.226 |
2.9.0.0 |
3. Prerequis
- Acces reseau au switch cible :
https://10.0.112.22x(RJ45 sur site ou VPN WireGuard) - Identifiants du compte
adminlocal (gestionnaire de mots de passe de l'equipe) - Plan d'adressage VLAN valide : identifiant numerique, nom, ports concernes
- Savoir quel port physique est relie au pare-feu OPNsense et lesquels assurent les liaisons inter-switches
- Navigateur web recent (le certificat auto-signe devra etre accepte)
**Risque de perte d'acces :** une erreur de configuration VLAN peut entrainer la perte immediate de l'acces reseau au switch. Avant toute modification, identifier le port par lequel on est connecte et s'assurer qu'il restera sur le VLAN de gestion (VLAN 1). En cas de perte d'acces, un *reset* physique du switch sera necessaire.
4. Procedure
4.1 Connexion a l'interface d'administration
Etape 1 -- Se connecter a l'interface web du switch
Ouvrir un navigateur et acceder a l'adresse du switch cible :
https://10.0.112.221
Le navigateur affiche un avertissement de certificat (certificat auto-signe GoAhead). Accepter l'exception de securite pour poursuivre.
Sur la page de connexion, saisir :
- Username : admin
- Password : le mot de passe stocke dans le gestionnaire de mots de passe
Cliquer sur Log In. Le tableau de bord (Dashboard) s'affiche apres authentification.
Page de connexion de l'interface web Aruba Instant On 1930
Tableau de bord apres authentification
**Note :** les switches sont configures en mode local (*not cloud-managed*). Toute la gestion se fait via l'interface web integree. Il n'est pas necessaire de disposer d'un compte Aruba Central.
4.2 Acceder a la page de configuration VLAN
Etape 2 -- Naviguer vers la configuration VLAN
Dans le menu lateral gauche, deplier la section VLAN puis cliquer sur VLAN Configuration.
La page affiche : - La liste des VLANs existants (par defaut, seul le VLAN 1 Default est present) - Le tableau d'appartenance des ports (VLAN Membership) : pour chaque port, l'etat Tagged, Untagged ou Excluded
Page de configuration VLAN — etat initial avec VLAN 1 uniquement
4.3 Creer un VLAN
Etape 3 -- Ajouter un nouveau VLAN
Depuis la page VLAN Configuration :
- Cliquer sur le bouton + (Add) situe au-dessus de la liste des VLANs
- Dans la boite de dialogue qui apparait, renseigner :
- VLAN ID : l'identifiant numerique du VLAN (ex.
100) - VLAN Name : un nom descriptif (ex.Serveurs) - Cliquer sur Apply pour valider la creation
Boite de dialogue d'ajout d'un nouveau VLAN
Le nouveau VLAN apparait dans la liste. Par defaut, aucun port ne lui est affecte : tous les ports restent sur le VLAN 1.
**Note :** les identifiants VLAN valides vont de 2 a 4094. Le VLAN 1 est reserve (*Default*) et ne peut etre supprime. Privilegier un schema coherent : par exemple, 100 pour les serveurs, 200 pour les postes pedagogiques, 300 pour l'administration.
4.4 Affecter les ports au VLAN
Etape 4 -- Configurer les ports en mode access
Un port en mode access appartient a un seul VLAN et transporte le trafic sans marquage 802.1Q. C'est le mode utilise pour connecter les postes de travail, les serveurs ou tout equipement terminal.
Depuis la page VLAN Configuration, dans la section VLAN Membership :
- Selectionner le VLAN cible dans la liste (ex. VLAN 100 Serveurs)
- Pour chaque port a affecter : - Cliquer sur le port pour faire defiler les etats : Tagged -> Untagged -> Excluded - Selectionner Untagged (U) pour placer le port dans ce VLAN
- Cliquer sur Apply
Le port est automatiquement retire du VLAN 1 en tant qu'Untagged : un port ne peut etre Untagged que sur un seul VLAN a la fois.
Affectation des ports — etats Tagged (T), Untagged (U), Excluded
**Attention :** ne pas retirer du VLAN 1 le port par lequel la connexion d'administration est etablie. Si ce port est bascule sur un autre VLAN en *Untagged*, l'acces a l'interface web sera immediatement perdu.
Etape 5 -- Configurer les ports en mode trunk
Un port trunk transporte plusieurs VLANs simultanement grace au marquage 802.1Q. C'est le mode requis pour les liaisons inter-switches et pour la connexion vers le pare-feu OPNsense.
Depuis la page VLAN Configuration :
- Pour le port trunk, s'assurer que le VLAN 1 reste en Untagged (U) : c'est le VLAN natif (PVID)
- Pour chaque VLAN supplementaire (ex. VLAN 100) : - Selectionner le VLAN dans la liste - Regler le port trunk sur Tagged (T)
- Repeter pour tous les VLANs qui doivent traverser cette liaison
- Cliquer sur Apply
Port trunk : VLAN 1 Untagged, VLANs supplementaires Tagged
Le port transporte desormais le VLAN 1 en natif (trames non marquees) et les VLANs ajoutes en tagged (trames marquees 802.1Q).
4.5 Configurer le trunk vers le pare-feu OPNsense
Etape 6 -- Configurer le port uplink vers OPNsense
Le port connecte au pare-feu OPNsense doit transporter l'ensemble des VLANs pour permettre le routage inter-VLAN. La configuration de l'interface OPNsense correspondante est decrite dans le MO-NET-004.
- Identifier le numero du port physique relie au pare-feu
- Sur ce port : - VLAN 1 : Untagged (PVID, trafic de gestion) - Chaque VLAN cree (100, 200, 300, ...) : Tagged
- Cliquer sur Apply
4.6 Configurer les trunks inter-switches
Etape 7 -- Configurer les liaisons entre switches
Les ports reliant les switches entre eux doivent transporter tous les VLANs pour assurer la connectivite de bout en bout. La configuration doit etre identique a chaque extremite de la liaison.
Sur chaque port inter-switch : 1. VLAN 1 : Untagged (PVID) 2. Tous les VLANs crees : Tagged
Repeter cette operation sur les deux switches a chaque extremite du cable, puis cliquer sur Apply sur chaque switch.
**Note :** l'interface Aruba utilise le terme *Trunk* dans deux contextes distincts. Le **VLAN trunk** (802.1Q) est un port qui transporte plusieurs VLANs avec marquage, configure dans **VLAN Configuration** via les etats *Tagged*/*Untagged*. Le **Link Aggregation (LAG)** est un regroupement de ports physiques, configure dans **Trunk Configuration**. Ne pas confondre ces deux notions.
4.7 Sauvegarder la configuration
Etape 8 -- Sauvegarder la configuration en memoire persistante
Apres chaque modification, une banniere de notification apparait en haut de l'interface pour signaler que la configuration en cours d'execution (running-config) differe de la configuration sauvegardee (startup-config).
- Cliquer sur le bouton Save Configuration dans la banniere de notification
- Attendre la confirmation : le message de notification disparait une fois la sauvegarde terminee
**Sauvegarde obligatoire :** sans sauvegarde explicite, les modifications seront perdues au prochain redemarrage du switch. Verifier systematiquement que la banniere de notification a disparu avant de passer au switch suivant.
5. Verification
- [ ] Les VLANs apparaissent dans la liste VLAN Configuration avec le bon identifiant et le bon nom
- [ ] Le VLAN 1 (Default) est toujours present et non modifie
- [ ] Les ports terminaux sont Untagged sur le VLAN cible et Excluded des autres VLANs
- [ ] Un equipement connecte a un port access obtient une adresse IP dans le bon sous-reseau (si DHCP configure)
- [ ] Le port vers OPNsense est Untagged sur VLAN 1 et Tagged sur tous les autres VLANs
- [ ] Les ports inter-switches sont configures de maniere identique aux deux extremites
- [ ] Le trafic tagged arrive correctement sur le pare-feu (verifiable via
tcpdumpcote OPNsense) - [ ] L'interface web de chaque switch reste accessible apres les modifications
- [ ] Au moins un port par switch est Untagged sur le VLAN 1 (gestion)
- [ ] Les six switches ont la meme liste de VLANs crees
- [ ] La configuration a ete sauvegardee (startup-config) sur chaque switch
6. Depannage
| Probleme | Solution |
|---|---|
| Perte d'acces a l'interface web | Le port d'administration a ete retire du VLAN 1. Se reconnecter sur un port encore en VLAN 1. Si aucun port n'est accessible, maintenir Reset 5 secondes. |
| Un poste ne communique pas | Verifier que le port est Untagged (pas Tagged) sur le VLAN du poste. |
| Trafic ne traverse pas la liaison inter-switches | Verifier que le VLAN est Tagged sur le port trunk a chaque extremite. |
| OPNsense ne voit pas le trafic d'un VLAN | Verifier le VLAN Tagged sur le port uplink. Cote OPNsense : sous-interface et assignation. |
Interface differente sur le switch .223 |
Firmware 2.6.0.0 (les autres en 2.8+). Fonctionnalites identiques, menus differents. |
7. Voir aussi
- MO-NET-001 -- Verification post-hardening OPNsense
- MO-NET-002 -- Mise a jour firmware OPNsense
- MO-NET-004 -- Routage inter-VLAN sur OPNsense (configuration cote pare-feu)
- MO-PLT-017 -- Inventaire reseau Netbox (referencement des VLANs et affectation des ports)