L’un des sites que je gère a une particularité héritée : son core est sur du Cisco Catalyst 9300, mais les access switches sur les étages les plus récents ont été passés en Ubiquiti USW pour des raisons budgétaires. Sur le papier, RAS — VLAN tagging c’est du standard, ça doit marcher.

Dans la vraie vie, la cohabitation a quelques pièges qui m’ont fait perdre une nuit. Voilà ce que j’aurais aimé savoir avant.

Les défauts qui ne sont pas les mêmes

Cisco part du principe que toutes les VLAN sont autorisées sur un trunk sauf si tu les exclus. Ubiquiti l’inverse : aucune VLAN n’est autorisée sauf si tu l’ajoutes explicitement à la liste “Tagged VLANs” du port trunk. C’est dit nulle part dans la doc, et le symptôme c’est juste “ça marche pas, mais le link est up”.

Le mode VLAN-aware par défaut différent

Sur Cisco, un port d’accès est par défaut en VLAN 1. Sur Ubiquiti, il est par défaut en “All” (passe tout). Ça donne l’illusion que ça marche au début, parce que l’admin VLAN passe quand même. Mais dès qu’on tape un autre VLAN, surprise.

Le PVST+ vs RSTP

Cisco fait du PVST+ par défaut (un instance STP par VLAN), Ubiquiti fait du RSTP (une seule instance pour tout). Sur un trunk entre les deux, soit ça négocie en RSTP (ok), soit ça pète silencieusement parce que les BPDU PVST+ ne sont pas comprises côté Ubiquiti. Vérifier avec show spanning-tree summary côté Cisco que c’est bien Rapid-PVST ou MST, pas PVST+ legacy.

Les voice VLAN

Le voice VLAN, magie Cisco où le téléphone tag automatiquement, n’existe pas chez Ubiquiti. Il faut configurer le téléphone explicitement (heureusement les Polycom et Yealink le font sans broncher), ou faire deux ports physiques au mur (PC + téléphone séparés).

Le bon pattern

Ce qui marche bien dans cette config :

  • Trunks toujours explicites des deux côtés : liste des VLAN tagged à la main partout, pas de “all”
  • Native VLAN dédié et non-routé (typiquement VLAN 999 trash), comme ça si quelqu’un tape un port mal taggé, ça finit dans le néant
  • DHCP snooping activé sur tous les switches qui le supportent, en particulier vers les VLAN voice/visiteurs
  • Documentation NetBox systématique : chaque port, son VLAN access, sa liste de VLAN tagged. Sans ça, dans 6 mois personne ne sait pourquoi le port 24 du switch B-3 a 5 VLAN tagged.

Ce que j’ai cessé de faire

J’ai longtemps été tenté d’utiliser VTP côté Cisco pour propager la config VLAN entre switches. Mauvaise idée dans un environnement hétérogène : VTP ne parle pas à Ubiquiti, et un switch en mode server peut accidentellement écraser la config d’un autre. Maintenant tout est en VTP transparent, et les VLAN sont configurées par script Ansible depuis NetBox.