L’objectif de cet article est d’expliquer les concepts et les étapes de mise en œuvre des pratiques exemplaires et des conseils de sécurité lors de la configuration des réseaux VLAN sur les équipements Cisco Business.
Vous souhaitez améliorer l’efficacité de votre réseau d’entreprise tout en le maintenant sécurisé? L’une des manières de le faire est de configurer correctement les réseaux locaux virtuels (VLAN).
Un réseau local virtuel est un groupe logique de postes de travail, de serveurs et d’appareils réseau qui semblent se trouver sur le même réseau local (LAN) malgré leur répartition géographique. En résumé, le matériel se trouvant sur les mêmes VLAN permet de séparer et de sécuriser le trafic entre les équipements.
Par exemple, il pourrait desservir un service d’ingénierie, de marketing et de comptabilité. Chaque service a des employés à différents étages du bâtiment, mais ils doivent toujours accéder aux informations de leur propre service et les communiquer. Cette configuration est essentielle pour le partage de documents et de services Web.
Les réseaux locaux virtuels doivent être configurés selon les bonnes pratiques afin de garantir la sécurité de votre réseau. Faites les choix intelligents suivants lors de la configuration des VLAN. Vous ne le regretterez pas!
Port d'accès: Un port d’accès qui achemine le trafic pour un seul VLAN. Les ports d’accès sont souvent appelés ports non balisés, car il n’y a qu’un seul VLAN sur ce port et le trafic peut être transmis sans balises.
Port de liaisons : Un port d’un commutateur qui achemine le trafic de plusieurs réseaux locaux virtuels. Les ports de liaisons sont souvent appelés ports balisés, car il y a plus d’un VLAN sur ce port et le trafic pour tous les VLAN sauf un doit être balisé.
VLAN natif: Le seul VLAN dans un port de liaisons qui ne reçoit pas de balise. Tout trafic non balisé sera envoyé au VLAN natif. C’est pourquoi les deux côtés d’une liaison doivent s’assurer qu’ils ont le même VLAN natif, sinon le trafic ne sera pas acheminé au bon endroit.
Pour les définir correctement, accédez à LAN > VLAN Settings (paramètres VLAN). Selectionnez les VLAN IDs (ID de VLAN) et cliquez sur l’icône edit (modifier). Sélectionnez le menu déroulant pour l’une des interfaces LAN pour les VLAN répertoriés pour modifier le balisage VLAN. Cliquez sur Apply.
Consultez cet exemple de chaque réseau local virtuel attribué à son propre port LAN :
Jetez un œil à cet exemple de différents réseaux locaux virtuels qui se trouvent tous sur des ports de liaisons. Pour les définir correctement, sélectionnez les VLAN IDs (ID de VLAN) qui doivent être modifiés. Cliquez sur l’icône edit (modifier). Modifiez-les en fonction de vos besoins, en suivant les recommandations ci-dessus. Au fait, avez-vous remarqué que le VLAN 1 est exclu de tous les ports LAN? Cela sera expliqué dans la section Bonne pratique pour le VLAN 1 par défaut.
Pourquoi un réseau local virtuel n’est-il pas balisé alors qu’il s’agit du seul réseau local virtuel sur ce port?
Puisqu’un seul VLAN est attribué à un port d’accès, le trafic sortant du port est acheminé sans balise VLAN sur les cadres. Lorsque le cadre atteint le port du commutateur (trafic entrant), le commutateur ajoute une balise VLAN.
Pourquoi les VLAN sont-ils balisés alors qu’ils font partie d’une liaison?
Il en est ainsi pour que le trafic qui est acheminé ne soit pas envoyé au mauvais VLAN sur ce port. Les VLAN partagent ce port. Cela est semblable aux numéros d’appartement ajoutés à une adresse pour s’assurer que le courrier est envoyé au bon appartement d’un immeuble partagé.
Pourquoi le trafic n’est-il pas balisé lorsqu’il fait partie du réseau local virtuel natif?
Un réseau local virtuel natif est un moyen d’acheminer le trafic non balisé sur un ou plusieurs commutateurs. Le commutateur attribue tout cadre non balisé qui arrive sur un port balisé au VLAN natif. Si un cadre du VLAN natif quitte un port de liaisons (balisé), le commutateur supprime la balise du VLAN.
Pourquoi les réseaux locaux virtuels sont-ils exclus alors qu’ils ne se trouvent pas sur ce port?
Cela permet de conserver le trafic sur cette liaison uniquement pour les VLAN spécifiques souhaités par l’utilisateur. Il s’agit d’une bonne pratique.
Tous les ports doivent être attribués à un ou plusieurs VLAN, y compris le VLAN natif. Les routeurs Cisco pour entreprises sont livrés avec le VLAN 1 attribué par défaut à tous les ports.
Un réseau local virtuel de gestion est le réseau local virtuel utilisé pour gérer, contrôler et surveiller les appareils de votre réseau à distance à l’aide de Telnet, SSH, SNMP, syslog ou FindIT de Cisco. Par défaut, il s’agit également du VLAN 1. Une pratique exemplaire de sécurité consiste à séparer la gestion et le trafic de données des utilisateurs. Par conséquent, il est recommandé d’utiliser le réseau local virtuel 1 à des fins de gestion uniquement lorsque vous configurez des réseaux locaux virtuels.
Pour communiquer à distance avec un commutateur Cisco à des fins de gestion, une adresse IP de commutateur doit être configurée sur le VLAN de gestion. Les utilisateurs d’autres VLAN ne seraient pas en mesure d’établir des sessions d’accès à distance au commutateur à moins qu’ils ne soient routés dans le VLAN de gestion, fournissant ainsi une couche de sécurité supplémentaire. De plus, le commutateur doit être configuré pour accepter uniquement les sessions SSH chiffrées pour la gestion à distance. Pour lire des discussions à ce sujet, cliquez sur les liens suivants sur le site Web de la communauté Cisco :
Pourquoi le VLAN 1 par défaut n’est-il pas recommandé pour segmenter virtuellement votre réseau?
La principale raison est que les acteurs de menaces savent que le VLAN 1 est le réseau par défaut et qu’il est souvent utilisé. Ils peuvent l’utiliser pour accéder à d’autres réseaux locaux virtuels par « saut de VLAN ». Comme son nom l’indique, l’acteur de menaces peut envoyer du trafic falsifié se faisant passer pour le VLAN 1, ce qui lui permet d’accéder aux ports de liaisons et, par conséquent, à d’autres VLAN.
Puis-je laisser un port inutilisé attribué au VLAN 1 par défaut?
C’est à éviter pour assurer la sécurité de votre réseau. Il est recommandé de configurer tous ces ports pour qu’ils soient associés à des VLAN autres que le VLAN 1 par défaut.
Je ne veux pas attribuer de VLAN de production à un port inutilisé. Que puis-je faire ?
Il est recommandé de créer un réseau local virtuel « sans issue » en suivant les instructions de la section suivante de cet article.
Étape 1. Accédez à LAN > VLAN Settings (paramètres VLAN).
Choisissez un nombre aléatoire pour le VLAN. Assurez-vous que le protocole DHCP, le routage inter-VLAN ou la gestion des appareils ne sont pas activés pour ce VLAN. Cela permet de sécuriser les autres VLAN. Placez tout port LAN inutilisé sur ce VLAN. Dans l’exemple ci-dessous, le VLAN 777 a été créé et attribué au LAN5. Cela doit être fait avec tous les ports LAN inutilisés.
Étape 2. Cliquez sur le bouton Apply (appliquer) pour enregistrer les modifications de configuration que vous avez effectuées.
Le trafic vocal est soumis à des exigences strictes de qualité de service (QoS). Si votre entreprise dispose d’ordinateurs et de téléphones IP sur le même réseau local virtuel, chacun essaie d’utiliser la bande passante disponible sans tenir compte de l’autre appareil. Pour éviter ce conflit, il est recommandé d’utiliser des VLAN distincts pour le trafic vocal de téléphonie IP et le trafic de données. Pour en savoir plus sur cette configuration, consultez les articles et les vidéos suivants :
Les VLAN sont configurés de sorte que le trafic puisse être séparé, mais vous avez parfois besoin d’un VLAN pour pouvoir acheminer du trafic entre eux. Il s’agit d’un routage inter-VLAN, ce qui n’est généralement pas recommandé. S’il s’agit d’un besoin pour votre entreprise, configurez-la de manière aussi sécurisée que possible. Lorsque vous utilisez le routage inter-VLAN, veillez à limiter le trafic à l’aide de listes de contrôle d’accès (ACL) aux serveurs contenant des renseignements confidentiels.
Les listes de contrôle d’accès effectuent le filtrage de paquets pour contrôler le mouvement des paquets dans un réseau. Le filtrage de paquets assure la sécurité en limitant l’accès du trafic à un réseau, en restreignant l’accès des utilisateurs et des appareils à un réseau et en empêchant le trafic de quitter un réseau. Les listes d’accès IP réduisent les risques d’usurpation d’identité et d’attaques par déni de service et permettent un accès utilisateur dynamique et temporaire par l’entremise d’un pare-feu.
Voilà, vous connaissez maintenant les bonnes pratiques pour la configuration de réseaux locaux virtuels sécurisés. Gardez ces conseils à l’esprit lorsque vous configurez des réseaux locaux virtuels pour votre réseau. Vous trouverez ci-dessous une liste d’articles comportant des instructions détaillées. Ces derniers vous permettront d’évoluer vers un réseau productif et efficace parfaitement adapté à votre entreprise.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
27-Jan-2020
|
Première publication |