Pratiques exemplaires relatives au VLAN et conseils de sécurité pour les routeurs Cisco Business

Options de téléchargement

PDF (1.0 MB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils

Mis à jour:27 janvier 2020

ID du document:1580148576950702

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Objectif

L’objectif de cet article est d’expliquer les concepts et les étapes de mise en œuvre des pratiques exemplaires et des conseils de sécurité lors de la configuration des réseaux VLAN sur les équipements Cisco Business.

Table des matières

Introduction rapide au vocabulaire pour les débutants
Bonne pratique n° 1 – Attribution de port VLAN
Bonne pratique n° 2 – VLAN 1 par défaut et ports inutilisés
- Forum aux questions
Bonne pratique n° 3 – Créer un réseau VLAN « sans issue » pour les ports inutilisés
Bonne pratique n° 4 – Téléphones IP sur un réseau local virtuel
Bonne pratique n° 5 – Routage inter-VLAN

Introduction

Vous souhaitez améliorer l’efficacité de votre réseau d’entreprise tout en le maintenant sécurisé? L’une des manières de le faire est de configurer correctement les réseaux locaux virtuels (VLAN).

Un réseau local virtuel est un groupe logique de postes de travail, de serveurs et d’appareils réseau qui semblent se trouver sur le même réseau local (LAN) malgré leur répartition géographique. En résumé, le matériel se trouvant sur les mêmes VLAN permet de séparer et de sécuriser le trafic entre les équipements.

Par exemple, il pourrait desservir un service d’ingénierie, de marketing et de comptabilité. Chaque service a des employés à différents étages du bâtiment, mais ils doivent toujours accéder aux informations de leur propre service et les communiquer. Cette configuration est essentielle pour le partage de documents et de services Web.

Les réseaux locaux virtuels doivent être configurés selon les bonnes pratiques afin de garantir la sécurité de votre réseau. Faites les choix intelligents suivants lors de la configuration des VLAN. Vous ne le regretterez pas!

Périphériques pertinents

RV042
RV110W
RV130
RV132
RV134W
RV160W
RV215W
RV260
RV260P
RV260W
RV320
RV325
RV340
RV340W
RV345
RV345P

Il est à noter que les routeurs de la gamme RV160 ou RV260 peuvent prendre en charge jusqu’à 16 VLAN, tandis que les routeurs de la gamme RV34x peuvent en prendre en charge jusqu’à 32. Le RV320 prend en charge jusqu’à 7 VLAN. Si vous souhaitez savoir combien de réseaux locaux virtuels votre routeur peut prendre en charge, consultez la fiche technique de votre modèle sur le site Web de Cisco. Sélectionnez Assistance et saisissez votre numéro de modèle ou faites simplement une recherche de fiche technique et de numéro de modèle.

Introduction rapide au vocabulaire pour les débutants

Port d'accès: Un port d’accès qui achemine le trafic pour un seul VLAN. Les ports d’accès sont souvent appelés ports non balisés, car il n’y a qu’un seul VLAN sur ce port et le trafic peut être transmis sans balises.

Port de liaisons : Un port d’un commutateur qui achemine le trafic de plusieurs réseaux locaux virtuels. Les ports de liaisons sont souvent appelés ports balisés, car il y a plus d’un VLAN sur ce port et le trafic pour tous les VLAN sauf un doit être balisé.

VLAN natif: Le seul VLAN dans un port de liaisons qui ne reçoit pas de balise. Tout trafic non balisé sera envoyé au VLAN natif. C’est pourquoi les deux côtés d’une liaison doivent s’assurer qu’ils ont le même VLAN natif, sinon le trafic ne sera pas acheminé au bon endroit.

Bonne pratique n° 1 – Attribution de port VLAN

Notions de base sur l’attribution de ports

Chaque port LAN peut être défini comme un port d’accès ou un port de liaisons.
Les VLAN dont vous ne voulez pas sur la liaison doivent être exclus.
Un VLAN peut être placé dans plusieurs ports.

Configuration de ports d’accès

Un VLAN attribué sur un port LAN.
Le VLAN qui est attribué à ce port doit être étiqueté comme Untagged (non balisé).
Tous les autres réseaux locaux virtuels doivent être étiquetés comme Excluded (exclus) pour ce port.

Pour les définir correctement, accédez à LAN > VLAN Settings (paramètres VLAN). Selectionnez les VLAN IDs (ID de VLAN) et cliquez sur l’icône edit (modifier). Sélectionnez le menu déroulant pour l’une des interfaces LAN pour les VLAN répertoriés pour modifier le balisage VLAN. Cliquez sur Apply.

Consultez cet exemple de chaque réseau local virtuel attribué à son propre port LAN :

Cette image d’interface utilisateur graphique (GUI) provient d’un routeur RV260W. Il est possible que vos options soient quelque peu différentes. Par exemple, sur la série RV34x, les étiquettes Untagged (non balisé), Excluded (exclus) et Tagged (balisé) sont abrégées à la première lettre. Le processus reste le même.

Configuration de ports de liaisons

Deux VLAN ou plus partagent un port LAN
L’un des VLAN peut être étiqueté Untagged (non balisé).
Les autres réseaux locaux virtuels qui font partie du port de liaisons doivent être étiquetés Tagged (balisé).
Les VLAN qui ne font pas partie du port de liaisons doivent être étiquetés Excluded (exclus) pour ce port.

Jetez un œil à cet exemple de différents réseaux locaux virtuels qui se trouvent tous sur des ports de liaisons. Pour les définir correctement, sélectionnez les VLAN IDs (ID de VLAN) qui doivent être modifiés. Cliquez sur l’icône edit (modifier). Modifiez-les en fonction de vos besoins, en suivant les recommandations ci-dessus. Au fait, avez-vous remarqué que le VLAN 1 est exclu de tous les ports LAN? Cela sera expliqué dans la section Bonne pratique pour le VLAN 1 par défaut.

Forum aux questions

Pourquoi un réseau local virtuel n’est-il pas balisé alors qu’il s’agit du seul réseau local virtuel sur ce port?

Puisqu’un seul VLAN est attribué à un port d’accès, le trafic sortant du port est acheminé sans balise VLAN sur les cadres. Lorsque le cadre atteint le port du commutateur (trafic entrant), le commutateur ajoute une balise VLAN.

Pourquoi les VLAN sont-ils balisés alors qu’ils font partie d’une liaison?

Il en est ainsi pour que le trafic qui est acheminé ne soit pas envoyé au mauvais VLAN sur ce port. Les VLAN partagent ce port. Cela est semblable aux numéros d’appartement ajoutés à une adresse pour s’assurer que le courrier est envoyé au bon appartement d’un immeuble partagé.

Pourquoi le trafic n’est-il pas balisé lorsqu’il fait partie du réseau local virtuel natif?

Un réseau local virtuel natif est un moyen d’acheminer le trafic non balisé sur un ou plusieurs commutateurs. Le commutateur attribue tout cadre non balisé qui arrive sur un port balisé au VLAN natif. Si un cadre du VLAN natif quitte un port de liaisons (balisé), le commutateur supprime la balise du VLAN.

Pourquoi les réseaux locaux virtuels sont-ils exclus alors qu’ils ne se trouvent pas sur ce port?

Cela permet de conserver le trafic sur cette liaison uniquement pour les VLAN spécifiques souhaités par l’utilisateur. Il s’agit d’une bonne pratique.

Bonne pratique n° 2 – VLAN 1 par défaut et ports inutilisés

Tous les ports doivent être attribués à un ou plusieurs VLAN, y compris le VLAN natif. Les routeurs Cisco pour entreprises sont livrés avec le VLAN 1 attribué par défaut à tous les ports.

Un réseau local virtuel de gestion est le réseau local virtuel utilisé pour gérer, contrôler et surveiller les appareils de votre réseau à distance à l’aide de Telnet, SSH, SNMP, syslog ou FindIT de Cisco. Par défaut, il s’agit également du VLAN 1. Une pratique exemplaire de sécurité consiste à séparer la gestion et le trafic de données des utilisateurs. Par conséquent, il est recommandé d’utiliser le réseau local virtuel 1 à des fins de gestion uniquement lorsque vous configurez des réseaux locaux virtuels.

Pour communiquer à distance avec un commutateur Cisco à des fins de gestion, une adresse IP de commutateur doit être configurée sur le VLAN de gestion. Les utilisateurs d’autres VLAN ne seraient pas en mesure d’établir des sessions d’accès à distance au commutateur à moins qu’ils ne soient routés dans le VLAN de gestion, fournissant ainsi une couche de sécurité supplémentaire. De plus, le commutateur doit être configuré pour accepter uniquement les sessions SSH chiffrées pour la gestion à distance. Pour lire des discussions à ce sujet, cliquez sur les liens suivants sur le site Web de la communauté Cisco :

Forum aux questions

Pourquoi le VLAN 1 par défaut n’est-il pas recommandé pour segmenter virtuellement votre réseau?

La principale raison est que les acteurs de menaces savent que le VLAN 1 est le réseau par défaut et qu’il est souvent utilisé. Ils peuvent l’utiliser pour accéder à d’autres réseaux locaux virtuels par « saut de VLAN ». Comme son nom l’indique, l’acteur de menaces peut envoyer du trafic falsifié se faisant passer pour le VLAN 1, ce qui lui permet d’accéder aux ports de liaisons et, par conséquent, à d’autres VLAN.

Puis-je laisser un port inutilisé attribué au VLAN 1 par défaut?

C’est à éviter pour assurer la sécurité de votre réseau. Il est recommandé de configurer tous ces ports pour qu’ils soient associés à des VLAN autres que le VLAN 1 par défaut.

Je ne veux pas attribuer de VLAN de production à un port inutilisé. Que puis-je faire ?

Il est recommandé de créer un réseau local virtuel « sans issue » en suivant les instructions de la section suivante de cet article.

Bonne pratique n° 3 – Créer un réseau VLAN « sans issue » pour les ports inutilisés

Étape 1. Accédez à LAN > VLAN Settings (paramètres VLAN).

Choisissez un nombre aléatoire pour le VLAN. Assurez-vous que le protocole DHCP, le routage inter-VLAN ou la gestion des appareils ne sont pas activés pour ce VLAN. Cela permet de sécuriser les autres VLAN. Placez tout port LAN inutilisé sur ce VLAN. Dans l’exemple ci-dessous, le VLAN 777 a été créé et attribué au LAN5. Cela doit être fait avec tous les ports LAN inutilisés.

Notez que les autres VLAN sont exclus de ce port LAN.

Étape 2. Cliquez sur le bouton Apply (appliquer) pour enregistrer les modifications de configuration que vous avez effectuées.

Bonne pratique n° 4 – Téléphones IP sur un réseau local virtuel

Le trafic vocal est soumis à des exigences strictes de qualité de service (QoS). Si votre entreprise dispose d’ordinateurs et de téléphones IP sur le même réseau local virtuel, chacun essaie d’utiliser la bande passante disponible sans tenir compte de l’autre appareil. Pour éviter ce conflit, il est recommandé d’utiliser des VLAN distincts pour le trafic vocal de téléphonie IP et le trafic de données. Pour en savoir plus sur cette configuration, consultez les articles et les vidéos suivants :

Bonne pratique n° 5 – Routage inter-VLAN

Les VLAN sont configurés de sorte que le trafic puisse être séparé, mais vous avez parfois besoin d’un VLAN pour pouvoir acheminer du trafic entre eux. Il s’agit d’un routage inter-VLAN, ce qui n’est généralement pas recommandé. S’il s’agit d’un besoin pour votre entreprise, configurez-la de manière aussi sécurisée que possible. Lorsque vous utilisez le routage inter-VLAN, veillez à limiter le trafic à l’aide de listes de contrôle d’accès (ACL) aux serveurs contenant des renseignements confidentiels.

Les listes de contrôle d’accès effectuent le filtrage de paquets pour contrôler le mouvement des paquets dans un réseau. Le filtrage de paquets assure la sécurité en limitant l’accès du trafic à un réseau, en restreignant l’accès des utilisateurs et des appareils à un réseau et en empêchant le trafic de quitter un réseau. Les listes d’accès IP réduisent les risques d’usurpation d’identité et d’attaques par déni de service et permettent un accès utilisateur dynamique et temporaire par l’entremise d’un pare-feu.

Conclusion

Voilà, vous connaissez maintenant les bonnes pratiques pour la configuration de réseaux locaux virtuels sécurisés. Gardez ces conseils à l’esprit lorsque vous configurez des réseaux locaux virtuels pour votre réseau. Vous trouverez ci-dessous une liste d’articles comportant des instructions détaillées. Ces derniers vous permettront d’évoluer vers un réseau productif et efficace parfaitement adapté à votre entreprise.

Historique de révision

Révision	Date de publication	Commentaires
1.0	27-Jan-2020	Première publication

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)