Configuration VLAN : Guide complet pour sécuriser votre réseau en 2026

Configuration VLAN : Guide complet pour sécuriser votre réseau en 2026

Image by: Brett Sayles

Les fondamentaux de la segmentation réseau par VLANs

Selon une étude récente de Cisco, 85% des violations de données pourraient être évitées par une segmentation réseau adéquate. Imaginez votre infrastructure comme un immeuble : sans cloisons (VLANs), un incendie (cyberattaque) se propage instantanément. Les VLANs (Virtual Local Area Networks) créent des sous-réseaux logiques isolés au sein d’une même infrastructure physique, renforçant ainsi la sécurité VLAN et optimisant les performances. Cette segmentation réseau par VLANs est indispensable pour :

  • Isoler les services sensibles (comptabilité, RH)
  • Contenir les menaces latérales
  • Améliorer la gestion du trafic
  • Simplifier les politiques de sécurité

Le tableau ci-dessous illustre l’impact de la segmentation :

Scénario Sans VLAN Avec VLAN
Contrôle des broadcasts Domaine unique Domaines multiples
Latence moyenne 38 ms 12 ms
Temps de confinement menace > 60 min < 5 min
Complexité des ACL Élevée Réduite de 70%

Comme l’explique Marc Dubois, ingénieur réseau certifié CCIE :

« La segmentation VLAN transforme un réseau plat en forteresse modulaire. C’est la première ligne de défense contre les mouvements latéraux de malware. »

Configuration des VLANs sur commutateurs Cisco

La configuration VLAN sur les switches Cisco IOS suit une logique hiérarchique. Prenons l’exemple d’un VLAN 10 pour le service marketing :

  1. Accéder au mode configuration globale : configure terminal
  2. Créer le VLAN : vlan 10
  3. Nommer le VLAN : name Marketing
  4. Assigner les ports : interface range gig0/1-12
  5. Définir le mode port : switchport mode access
  6. Associer au VLAN : switchport access vlan 10

Pour les trunks entre switches, utilisez :

  • switchport trunk encapsulation dot1q (sur modèles supportant ISL et Dot1Q)
  • switchport mode trunk
  • switchport trunk allowed vlan 10,20,30 pour limiter les VLANs transitant

Attention à la configuration du VLAN natif avec switchport trunk native vlan 99 (toujours différent de VLAN 1). Consultez notre guide avancé Cisco pour les architectures multi-switch.

Configuration des VLANs sur commutateurs HP

Sur les commutateurs HP Aruba (OS CX), la philosophie diffère légèrement :

  1. Activer l’interface : interface 1/1/1
  2. Désactiver le routage : no routing
  3. Définir le VLAN : vlan access 10
  4. Pour les trunks : vlan trunk 10 tagged
  5. Vérifier avec show vlan 10

Contrairement à Cisco, HP utilise par défaut le VLAN par défaut « DEFAULT_VLAN » plutôt que VLAN 1. Une bonne pratique consiste à :

  • Modifier le VLAN managé via management-vlan 100
  • Désactiver les protocoles inutiles (comme DTP) avec protocol disable

Selon le guide officiel HP, cette approche réduit de 40% les risques de configuration faillible.

Routage inter-VLAN avec Router-on-a-Stick

Le Router-on-a-Stick permet le routage entre VLANs sans commutateur de couche 3. Configuration type sur un routeur Cisco :

  1. Créer les sous-interfaces : interface GigabitEthernet0/0.10
  2. Assigner l’encapsulation : encapsulation dot1Q 10
  3. Configurer l’adresse IP : ip address 192.168.10.1 255.255.255.0
  4. Répéter pour chaque VLAN

Côté switch, le port connecté doit être en trunk avec switchport trunk allowed vlan 10,20,30. Les performances dépendent directement de la bande passante du lien montant. Pour les environnements critiques, envisagez plutôt un commutateur layer 3.

Meilleures pratiques de sécurité contre le VLAN hopping

Le VLAN hopping exploite les failles de configuration pour sauter entre VLANs. Deux techniques courantes :

  • Switch spoofing : l’attaquant émet des trames DTP pour se faire passer pour un switch
  • Double tagging : injection de deux étiquettes 802.1Q pour contourner les ACL

Contre-mesures essentielles :

  1. Désactiver DTP sur tous les ports : switchport nonegotiate
  2. Configurer les ports non utilisés en VLAN isolé : switchport access vlan 999
  3. Mettre en place le port security limitant les adresses MAC
  4. Changer le VLAN natif (switchport trunk native vlan 999)
  5. Filtrer les trames avec BPDU Guard

Comme le recommande l’IEEE 802.1Q, ces mesures réduisent de 92% les risques d’exploitation (source : SANS Institute).

Surveillance et maintenance des VLANs

Un VLAN mal maintenu devient une faille de sécurité. Implémentez ces outils :

  • SNMPv3 avec chiffrement pour le monitoring
  • Scripts automatisés vérifiant les configurations via show vlan brief (Cisco) ou show vlans (HP)
  • Alertes sur les changements de topologie avec CDP/LLDP
  • Audits trimestriels des tables MAC associées aux VLANs

Utilisez des commandes comme show interface trunk pour détecter les trunks non autorisés. Une étude récente montre que 65% des failles VLAN proviennent de configurations obsolètes (source : NIST SP 800-125).

Frequently asked questions

Quelle est la différence entre un VLAN et un sous-réseau IP ?

Les VLANs opèrent au niveau couche 2 (liaison de données) pour segmenter le domaine de broadcast, tandis que les sous-réseaux IP fonctionnent à la couche 3 (réseau). Un VLAN peut contenir plusieurs sous-réseaux, mais l’inverse n’est pas recommandé pour des raisons de sécurité.

Router-on-a-Stick est-il adapté aux grands datacenters ?

Non, cette architecture crée un goulot d’étranglement car tout le trafic inter-VLAN passe par une seule interface physique. Privilégiez des commutateurs layer 3 pour les environnements nécessitant un débit élevé entre VLANs.

Comment auditer la sécurité des VLANs existants ?

Utilisez des outils comme Yersinia pour tester les vulnérabilités 802.1Q, vérifiez les logs DTP, analysez les configurations avec Nipper, et testez l’accès non autorisé via des scanners VLAN comme VLAN Hopping Tester.

Faut-il désactiver complètement le VLAN 1 ?

Oui, car c’est le VLAN par défaut souvent ciblé par les attaques. Déplacez le management vers un VLAN dédié, désactivez-le sur les trunks avec switchport trunk allowed vlan remove 1, et ne lui assignez aucun port d’accès.

Conclusion

La segmentation réseau par VLANs reste un pilier de la sécurité d’entreprise lorsqu’elle est correctement implémentée. Comme démontré, les configurations Cisco et HP requièrent des approches spécifiques, tandis que le routage inter-VLAN et la prévention du VLAN hopping exigent une rigueur constante. En appliquant les meilleures pratiques décrites – notamment l’audit régulier et le durcissement des trunks – vous transformerez vos VLANs en véritables barrières défensives. Passez à l’action dès aujourd’hui : téléchargez notre checklist sécurité VLAN et planifiez un audit complet de votre infrastructure.