Pourquoi utiliser les VLAN pour sécuriser les réseaux ?

Pourquoi utiliser les VLAN ?

A quoi peuvent servir les VLAN ? Pour ce #Cybermois, attardons-nous un peu sur le sujet avec quelques informations sur leur utilité pour sécuriser votre réseau.

Vous avez dit VLAN ?

VLAN qui signifie Virtual Local Aera Network (Réseau Virtuel Local) est un système qui permet de scinder un réseau physique en plusieurs sous-réseaux virtuels logiques. Il existe plusieurs types de VLAN. Nous allons nous attarder sur le plus intéressant, c’est-à-dire celui défini par la norme IEEE 802.1Q.

Norme IEEE 802.1Q, le principe

Lorsque vous connectez un ordinateur à un équipement de bordure gérant les VLAN IEEE 802.1Q, en fonction de la configuration demandée, l’équipement va ajouter à l’intérieur de chaque paquet Ethernet entrant sur le réseau un tag (étiquette) VLAN. Cette étiquette est composée de plusieurs champs dont le champ VID (Vlan IDentifier) qui indique le numéro du VLAN et le champ PCP (Priority Code Point) qui indique le niveau de priorité. Lorsque le paquet ressort sur un autre équipement de bordure du réseau, l’étiquette est supprimée afin qu’un autre ordinateur puisse lire les données car par défaut, un ordinateur n’est pas capable d’interpréter un paquet Ethernet avec une étiquette VLAN.

Insertion tag VLAN dans trame Ethernet (les VLAN)

Ces étiquettes sont utilisées par tous les équipements du réseau pour déterminer sur quels ports les paquets sont autorisés à circuler. Les ordinateurs intégrés dans un VLAN ne peuvent pas communiquer directement avec des ordinateurs d’un autre VLAN.

IFOTEC séparation d'un réseau physique avec les VLANs

Mais à quoi donc peut servir un VLAN ?

Les VLAN permettent d’augmenter la robustesse d’un réseau contre les cyberattaques en cloisonnant les différents services : un service ayant été compromis ne viendra donc pas perturber les autres. De plus, il est possible de configurer un niveau de priorité élevé pour garantir un taux de service élevé pour les services les plus critiques.

Soyons fous : des VLAN dans un VLAN

Grâce à la fonction QinQ, qui est aussi appelée VLAN Stacking, il est possible d’encapsuler des VLAN dans un VLAN : les paquets ont alors deux étiquettes VLAN et seule la dernière étiquette ajoutée sera utilisée pour déterminer le domaine de diffusion dans le réseau. L’utilité de l’encapsulation des VLAN est de pouvoir les transporter d’un réseau à travers un autre réseau.

La plupart des équipements IFOTEC gérant les VLAN IEEE 802.1Q gèrent la fonction QinQ (IEEE 802.1ad) et ont des fonctionnalités de gestion de qualité de service (QoS) permettant de garantir une haute disponibilité pour les services critiques.

Par Cédric Marmonier, ingénieur R&D IFOTEC  I 21 octobre 2021 I Cybermois 

En lire plus

Gestion des secrets Précédent
Zoom sur le HTTPS Suivant