Configuration de VLAN : Guide complet pour segmenter votre réseau

Configuration de VLAN : Guide complet pour segmenter votre réseau

Image by: Brett Sayles

Pourquoi segmenter votre réseau ? Les bases des VLAN

Saviez-vous que 85% des violations de données dans les PME proviennent d’une segmentation réseau déficiente ? Isoler vos flux réseau n’est plus un luxe, mais une nécessité vitale. Ce tutoriel vous guide pas à pas dans la création de VLANs (Virtual LANs), une technique incontournable pour sécuriser et optimiser l’infrastructure de votre entreprise. Spécialement conçu pour les administrateurs système débutants et intermédiaires, vous maîtriserez le taggage 802.1Q, la création de VLANs sur un switch, et l’affectation stratégique des ports d’accès et de trunk.

Comprendre les VLAN : au-delà de la segmentation physique

Un VLAN crée des domaines de diffusion logiques indépendants sur un même switch physique. Contrairement aux réseaux traditionnels où tous les ports partagent le même broadcast domain, les VLANs permettent de :

  • Isoler les services critiques (comptabilité, RH) des autres départements
  • Réduire le trafic broadcast de 70% selon les études Cisco
  • Améliorer la sécurité en limitant les déplacements latéraux
  • Simplifier la gestion des politiques par groupe fonctionnel

Comme le souligne le groupe de travail IEEE 802.1, « le tagging 802.1Q révolutionne l’agilité réseau sans investissement matériel supplémentaire ».

Le tag 802.1Q décrypté : l’ADN des trames VLAN

Le tagging 802.1Q insère un en-tête de 4 octets dans les trames Ethernet :

Champ Taille Fonction
TPID 2 octets Identifie le protocole 802.1Q (valeur 0x8100)
PCP 3 bits Priorité (Quality of Service)
DEI 1 bit Indicateur d’éligibilité
VID 12 bits ID du VLAN (1-4094)

Ce marquage permet aux switches d’identifier l’appartenance VLAN sans altérer les adresses MAC source/destination. Les trames non-taggées sont traitées comme appartenant au VLAN par défaut (généralement VLAN 1).

Création et nomination des VLANs : méthodologie pas à pas

Sur un switch Cisco (syntaxe similaire pour d’autres fabricants) :

  1. Accédez au mode configuration globale : configure terminal
  2. Créez le VLAN : vlan 10
  3. Nommez-le logiquement : name Comptabilite
  4. Validez avec end et sauvegardez

Bonnes pratiques de nommage :

  • Utilisez une convention cohérente (ex : Dépt_Fonction_Emplacement)
  • Évitez les espaces : privilégiez les tirets ou underscores
  • Documentez chaque ID dans votre solution de supervision réseau

Affectation des ports d’accès : connecter les équipements finaux

Les ports d’accès relient les postes clients à un seul VLAN :

interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
 no shutdown

Scénario type : Un port affecté au VLAN « Comptabilité » refusera tout trafic provenant du VLAN « Marketing ». Pour des configurations avancées, consultez le guide VLAN sur Wikipedia.

Configurer les ports trunk : l’art de l’interconnexion

Les trunks transportent plusieurs VLANs entre switches ou vers un routeur :

interface GigabitEthernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

Attention aux erreurs courantes :

  • Oublier switchport mode trunk (cause majeure de pannes)
  • Négliger le filtrage des VLANs inutiles avec allowed vlan
  • Utiliser le VLAN natif par défaut (sécurisez-le avec switchport trunk native vlan 999)

Vérification et bonnes pratiques avancées

Commandes essentielles :

  • show vlan brief : liste des VLANs actifs
  • show interfaces trunk : état des liaisons trunk
  • show mac address-table vlan 10 : équipements connectés

Recommandations de sécurité :

  • Désactivez les ports inutilisés : shutdown
  • Changez le VLAN 1 par défaut
  • Implémentez le DHCP Snooping pour contrer les attaques

Pour une optimisation globale, explorez nos stratégies d’architecture réseau.

Frequently asked questions

Combien de VLANs puis-je créer sur un switch ?

La norme 802.1Q supporte jusqu’à 4094 VLANs par domaine réseau. Cependant, les limites pratiques dépendent de la mémoire du switch et de la complexité de gestion.

Un port trunk peut-il transporter le VLAN natif non-taggé ?

Oui, par défaut le VLAN natif (généralement VLAN 1) circule sans tag sur les trunks. Ce comportement est modifiable via switchport trunk native vlan mais nécessite une configuration identique aux deux extrémités.

Comment interconnecter des VLANs sans routeur ?

C’est impossible. Le routage inter-VLAN nécessite obligatoirement un routeur physique ou une interface SVI (Switch Virtual Interface) sur un switch layer 3. Les VLANs isolent le trafic au niveau layer 2.

Quels risques sécuritaires liés aux VLANs dois-je anticiper ?

Les attaques par VLAN Hopping (saut de VLAN) exploitent souvent une double-tagging 802.1Q ou une mauvaise configuration des ports. Contre-mesures : désactiver le DTP, configurer manuellement les trunks, et éviter d’utiliser le VLAN 1 pour le management.

Conclusion

Maîtriser le taggage 802.1Q et l’administration des VLANs transforme radicalement la sécurité et les performances de votre réseau d’entreprise. En segmentant logiquement vos flux, en configurant rigoureusement les ports d’accès et trunk, et en suivant les bonnes pratiques évoquées, vous réduisez les surfaces d’attaque tout en optimisant la bande passante. Passez à l’action dès aujourd’hui : documentez votre schéma VLAN existant, identifiez les zones à risque, et implémentez une segmentation adaptée à vos besoins métiers. Pour approfondir, téléchargez notre guide avancé de configuration réseau.