Configuration VLAN : Guide de sécurisation de vos switches en 2026

Configuration VLAN : Guide de sécurisation de vos switches en 2026

Image by: Brett Sayles

Table of contents

Les fondamentaux des VLANs en entreprise

Saviez-vous que 85% des violations de données dans les réseaux d’entreprise exploitent des erreurs de segmentation ? Les VLANs (Virtual LANs) sont la pierre angulaire d’une architecture réseau sécurisée. Ils permettent de découper physiquement un switch en plusieurs domaines de diffusion logiques, isolant ainsi les services critiques des zones à risque. Pour les administrateurs réseau juniors, maîtriser la configuration des VLANs sur les switches Cisco ou compatibles est essentiel pour éviter les brèches coûteuses.

Un VLAN fonctionne comme un sous-réseau indépendant. Sans segmentation, un malware dans le service marketing pourrait contaminer les serveurs financiers en quelques secondes. Les avantages clés incluent :

  • Réduction du broadcast domain : Limite la propagation des tempêtes de paquets
  • Isolation des risques : Contient les menaces dans un segment unique
  • Optimisation des performances : Réduit la congestion sur les liens trunk

Examinons les types de VLANs critiques :

Type de VLAN Usage recommandé Exemple d’adressage
Native Transport des trames non taggées VLAN 1 (à modifier)
Management Accès administratif aux switches VLAN 100 – 192.168.100.0/24
VoIP Téléphonie IP avec QoS prioritaire VLAN 200 – 10.0.20.0/24
Data Trafic utilisateur standard VLAN 300 – 172.16.30.0/24

Selon le Cisco Security Benchmark, les réseaux non segmentés présentent 5 fois plus de risques d’intrusion. Pour approfondir les bases, consultez notre guide sur l’architecture réseau.

Configuration des ports d’accès VLAN étape par étape

Les ports d’accès constituent votre première ligne de défense. Contrairement aux ports trunk qui transportent plusieurs VLANs, un port d’accès n’autorise qu’un seul VLAN vers un appareil terminal. Voici la procédure sur IOS Cisco :

  1. Accédez au mode de configuration globale : enable puis configure terminal
  2. Sélectionnez le port physique : interface GigabitEthernet0/1
  3. Définissez le mode d’accès : switchport mode access
  4. Affectez le VLAN : switchport access vlan 150
  5. Désactivez le négociation DTP : switchport nonegotiate

Cas pratique : Pour votre réseau d’imprimantes (VLAN 50), ajoutez cette sécurité supplémentaire :

switchport port-security maximum 1
switchport port-security mac-address sticky

Cela limite le port à une seule adresse MAC, empêchant les branchements non autorisés. Testez toujours avec show interfaces status pour vérifier que « Operational Mode » est bien « static access ». Une erreur courante chez les juniors est d’oublier switchport mode access, laissant le port en mode dynamique dangereux.

Sécurisation du VLAN natif : éviter les failles critiques

Par défaut, le VLAN 1 est le VLAN natif sur presque tous les switches. C’est une faille béante : les trames non taguées y transitent en clair, et ce VLAN est souvent accessible partout. Un attaquant pourrait écouter le trafic de gestion simplement en branchant un PC sur un port non configuré. Voici comment le sécuriser :

Première étape : changez le VLAN natif sur tous les liens trunk et access :

  1. Créez un VLAN dédié (ex: VLAN 999) : vlan 999
  2. Sur chaque port trunk : switchport trunk native vlan 999
  3. Sur les ports d’accès non utilisés : switchport access vlan 999

Deuxième étape : supprimez tout trafic du VLAN 1 :

no ip address sur VLAN 1
interface vlan 1
shutdown

Troisième protection : isolez le nouveau VLAN natif avec des ACLs. Bloquez tout accès SSH ou SNMP vers ce VLAN sauf depuis votre sous-réseau d’administration. Comme le recommande le NIST SP 800-125B, un VLAN natif non sécurisé est la cause n°1 des pivottings réseau.

Désactivation du DTP : pourquoi et comment

Le Dynamic Trunking Protocol (DTP) est un protocole Cisco qui négocie automatiquement les liens trunk entre switches. Pratique? Oui. Dangereux? Absolument ! Un attaquant pourrait brancher un switch pirate et former un trunk vers votre coeur de réseau. Désactivez-le systématiquement :

Sur chaque port d’accès :

switchport mode access
switchport nonegotiate

Sur chaque port trunk :

switchport mode trunk
switchport nonegotiate

Vérifiez avec show dtp interface : l’état doit être « Off ». Pourquoi cette rigueur ? Une étude de SANS Institute montre que 70% des réseaux testés étaient vulnérables au VLAN hopping via DTP activé. En désactivant DTP, vous passez en configuration manuelle – plus fastidieuse mais vitale pour la sécurité. Utilisez des outils comme notre plateforme de supervision pour alerter sur tout recâblage suspect.

Stratégies avancées de segmentation sécurisée

Allons plus loin que la configuration de base. Combinez les VLANs avec d’autres technologies pour créer des zones de confiance :

1. PVLANs (Private VLANs) : Idéal pour les environnements mutualisés (hôtels, fournisseurs cloud). Un VLAN primaire contient des VLANs secondaires :

  • Isolated : Les ports ne communiquent qu’avec le promiscuous
  • Community : Communication intra-groupe seulement

2. VLAN Mapping : Sur les liens WAN, réécrivez les tags VLAN pour harmoniser les IDs entre sites. Utilisez rewrite ingress tag translate 1-to-1 sur les interfaces.

3. Micro-segmentation avec 802.1X : Associez chaque utilisateur à un VLAN dynamique basé sur son AD credentials :

dot1x system-auth-control
interface Gi0/5
authentication port-control auto
dot1x pae authenticator

Pour les réseaux complexes, implémentez le principe du least privilege : un VLAN par rôle fonctionnel. Auditez trimestriellement avec show vlan brief et des scanners comme Nessus pour détecter les ports non autorisés. Notre checklist de conformité inclut des templates reproductibles.

Frequently asked questions

Pourquoi ne puis-je pas supprimer le VLAN 1 ?

Le VLAN 1 est indissociable sur la plupart des switches car il gère le trafic de contrôle (CDP, VTP). Plutôt que de le supprimer, isolez-le : désactivez son interface SVI, retirez toutes les adresses IP, et ne l’utilisez pour aucun trafic utilisateur ou management.

Comment vérifier si le DTP est désactivé ?

Exécutez show dtp interface [nom_interface]. Recherchez « DTP capability: OFF » et « Negotiation of Trunking: Off ». Si vous voyez « Desirable » ou « Auto », le DTP est actif – corrigez avec switchport nonegotiate.

Quel VLAN utiliser pour le management ?

Créez un VLAN dédié (ex: 100), hors du VLAN natif. Restreignez-y l’accès par ACL : autorisez seulement les sous-réseaux d’administration via SSH (port 22) ou HTTPS (443). Jamais de telnet !

Les VLANs suffisent-ils à sécuriser mon réseau ?

Non, c’est une couche de défense. Combine-les avec : pare-feu entre VLANs, authentification 802.1X, et NAC. Les VLANs empêchent la propagation latérale, mais pas les attaques applicatives.

Conclusion

Configurer et sécuriser les VLANs n’est pas optionnel – c’est la base d’un réseau d’entreprise résilient. En suivant ce guide, vous avez appris à : configurer rigoureusement les ports d’accès, neutraliser les risques du VLAN natif, et désactiver le DTP dangereux. Rappelez-vous : la segmentation VLAN efficace réduit jusqu’à 80% la surface d’attaque selon les études Cisco. Mais n’arrêtez pas là ! Auditez mensuellement vos configurations avec show running-config | section vlan, et formez-vous aux technologies complémentaires comme les PVLANs. Besoin d’outils professionnels ? Découvrez nos switches managés préconfigurés avec politiques de sécurité intégrées. Votre réseau mérite une défense en profondeur – commencez par maîtriser vos VLANs.