Image by: Brett Sayles
Comprendre les VLAN et le standard 802.1Q
Selon une étude récente de IBM Security, 95% des violations de réseau pourraient être évitées par une segmentation efficace. Dans ce tutoriel technique, nous explorerons comment segmenter votre réseau local grâce aux VLAN (Virtual Local Area Networks) et au tagging 802.1Q. Les VLAN permettent de diviser un réseau physique en plusieurs domaines de diffusion logiques, isolant ainsi les flux sensibles comme les services financiers ou les systèmes IoT. Le protocole IEEE 802.1Q ajoute un tag de 4 octets dans l’en-tête Ethernet, contenant notamment le VLAN ID (VID) qui identifie le domaine virtuel. Cette segmentation améliore :
- La sécurité en limitant la propagation des attaques
- Les performances en réduisant le broadcast traffic
- La flexibilité d’administration
Les ports trunk transmettent des frames taggués entre switches, tandis que les ports access envoient du trafic non taggué vers les terminaux. Une étude de Cisco révèle que les réseaux segmentés réduisent de 45% les incidents de sécurité.
Fonctionnement du tagging 802.1Q
Lorsqu’une frame traverse un trunk port :
- Le switch insère le tag 802.1Q entre l’adresse source et le champ EtherType
- Le VID (12 bits) détermine l’appartenance au VLAN
- Le switch destinataire retire le tag avant transmission au port d’accès
« L’implémentation correcte du 802.1Q est la fondation d’une segmentation réseau robuste » – Guide d’architecture réseau NIST SP 800-125
Création de VLAN sur switches Cisco
Configuration typique sur Cisco IOS avec un switch Catalyst 2960 :
- Entrer en mode configuration globale :
configure terminal - Créer le VLAN :
vlan 10suivi dename Finance - Configurer un port en mode accès :
interface GigabitEthernet0/1 switchport mode access switchport access vlan 10
- Définir un trunk port :
interface GigabitEthernet0/24 switchport trunk encapsulation dot1q switchport mode trunk
Vérifiez avec show vlan brief et show interfaces trunk. Pour une sécurité renforcée, désactivez le VLAN 1 natif avec switchport trunk native vlan 999 et utilisez des VLANs dédiés pour la gestion.
Bonnes pratiques Cisco
- Limiter les VLAN autorisés sur les trunks avec
switchport trunk allowed vlan 10,20,30 - Activer BPDU Guard sur les ports d’accès :
spanning-tree bpduguard enable - Désactiver les ports inutilisés :
shutdown
Création de VLAN sur switches Juniper
Avec Junos OS (EX Series), la configuration utilise une approche hiérarchique :
set vlans Finance vlan-id 10 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members Finance set interfaces ge-0/0/24 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members [Finance Marketing]
Validez avec show vlans et show interfaces ge-0/0/24. Les switches Juniper utilisent par défaut le VLAN-Based mode de traitement des frames.
Comparatif des commandes VLAN
| Fonction | Cisco IOS | Juniper Junos |
|---|---|---|
| Création VLAN | vlan 10 name Finance |
set vlans Finance vlan-id 10 |
| Assignation port | switchport access vlan 10 | vlan members Finance |
| Configuration trunk | switchport mode trunk | port-mode trunk |
| VLAN natif | switchport trunk native vlan 99 | native-vlan-id 99 |
Configuration du routage inter-VLAN
Deux approches principales permettent la communication entre VLANs :
- Router-on-a-Stick : Un routeur physique avec sous-interfaces
- Switching de couche 3 : Utilisation d’un switch L3 intégrant les fonctions de routage
Configuration Cisco pour Router-on-a-Stick :
interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0
Avec un switch L3 Cisco, activez simplement le routage IP :
ip routing interface Vlan10 ip address 192.168.10.1 255.255.255.0
Sur Juniper, utilisez les IRB interfaces :
set interfaces irb unit 10 family inet address 192.168.10.1/24 set vlans Finance l3-interface irb.10
Appliquez des ACL (Access Control Lists) pour filtrer le trafic inter-VLAN et limiter les risques.
Table comparative des méthodes de routage
| Critère | Router-on-a-Stick | Switch L3 |
|---|---|---|
| Coût | Économique | Élevé |
| Performance | < 100 Mbps | Ligne rate (Gbps) |
| Latence | Élevée | Faible |
| Scalabilité | < 10 VLANs | Illimitée |
Sécurisation des ports d’accès avec Port Security
La fonction Port Security sur les switches Cisco bloque les appareils non autorisés :
interface GigabitEthernet0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation restrict switchport port-security mac-address sticky
Options de violation : shutdown (désactive le port), restrict (bloque le trafic + log), protect (bloque silencieusement). Sur Juniper, configurez MAC Limiting :
set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 2 action drop
Complétez avec 802.1X pour une authentification basée sur certificats. Les meilleures pratiques incluent :
- Déployer DHCP Snooping pour prévenir les rogue DHCP servers
- Activer Dynamic ARP Inspection contre les empoisonnements ARP
- Implémenter NAC (Network Access Control) pour la conformité des terminaux
Frequently asked questions
Quel est le nombre maximal de VLANs supportés sur un switch?
La norme 802.1Q permet jusqu’à 4094 VLANs (VID 1 à 4094). Cependant, les limites pratiques dépendent du matériel : les switches d’entrée de gamme gèrent souvent 256 VLANs, tandis que les modèles professionnels comme Cisco Catalyst 9000 ou Juniper EX4650 supportent tous les VLANs standards.
Comment sécuriser un VLAN contre l’accès non autorisé?
Plusieurs techniques combinées sont efficaces : 1) Utilisez PVLAN (Private VLAN) pour isoler les hôtes au sein d’un même VLAN 2) Appliquez des ACL sur le routeur L3 3) Implémentez VLAN Mapping pour réécrire les tags 4) Activez MACsec sur les liens sensibles.
Le tagging 802.1Q impacte-t-il les performances du réseau?
L’ajout du tag 802.1Q augmente la taille des trames Ethernet de 4 octets, réduisant légèrement le débit utile (MTU effectif de 1492 vs 1500 octets). Cependant, cet impact est négligeable sur les équipements modernes grâce au traitement matériel (ASIC). Les tests de IEEE 802.1 Working Group montent une perte de débit inférieure à 0.1% en 1Gbps.
Peut-on utiliser plusieurs VLANs sur un seul port physique?
Oui, via la configuration de port trunk. Un seul port physique peut transporter plusieurs VLANs taggués vers un autre switch ou vers un routeur avec sous-interfaces. Pour les terminaux, des techniques comme VLAN Hopping (déconseillé) ou l’utilisation de NICs supportant le 802.1Q permettent cette fonctionnalité.
Conclusion
La segmentation réseau via les VLANs et le 802.1Q constitue une défense fondamentale contre les menches internes et les mouvements latéraux de malware. Comme démontré, l’implémentation combine : 1) La création logique de VLANs 2) Le routage inter-VLAN contrôlé 3) Le durcissement des ports d’accès. Les solutions Cisco et Juniper offrent des approches complémentaires avec des performances équivalentes en environnement professionnel. Pour aller plus loin, explorez nos guides avancés sur la micro-segmentation ou formez-vous aux dernières normes comme VXLAN pour les datacenters. Commencez dès aujourd’hui par auditer votre plan d’adressage et cartographiez vos flux sensibles – votre premier VLAN de sécurité pourrait bloquer demain une cyberattaque majeure.
