Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
L'objectif de cet article est d'expliquer les concepts et les étapes permettant d'appliquer les meilleures pratiques et les conseils de sécurité lors de la configuration des VLAN sur l'équipement Cisco Business.
Souhaitez-vous rendre votre réseau d'entreprise plus efficace tout en le protégeant ? Pour ce faire, vous pouvez configurer correctement les réseaux locaux virtuels (VLAN).
Un VLAN est un groupe logique de stations de travail, de serveurs et de périphériques réseau qui semblent se trouver sur le même réseau local (LAN) malgré leur répartition géographique. En résumé, le matériel des mêmes VLAN permet au trafic entre les équipements d'être séparé et plus sécurisé.
Par exemple, vous pouvez avoir un service Ingénierie, Marketing et Comptabilité. Chaque service a des employés à différents étages du bâtiment, mais il doit toujours accéder à l'information et la communiquer au sein de son propre service. Il est essentiel pour le partage de documents et de services Web.
Les réseaux locaux virtuels doivent être configurés avec les meilleures pratiques afin de préserver la sécurité de votre réseau. Faites les choix intelligents suivants lors de la configuration des VLAN. Vous ne le regretterez pas !
Port d'accès: Un port d'accès transporte le trafic pour un seul VLAN. Les ports d'accès sont souvent appelés ports non balisés, car il n'y a qu'un seul VLAN sur ce port et le trafic peut être passé sans balises.
Port de liaison : Port sur un commutateur qui transporte le trafic pour plusieurs VLAN. Les ports agrégés sont souvent appelés ports balisés car il y a plusieurs VLAN sur ce port et le trafic pour tous les VLAN sauf un doit être balisé.
VLAN natif: Le VLAN d'un port agrégé qui ne reçoit pas de balise. Tout trafic qui n'a pas de balise sera envoyé au VLAN natif. C’est pourquoi les deux côtés d’une agrégation doivent s’assurer qu’ils ont le même VLAN natif ou que le trafic ne va pas au bon endroit.
Pour les définir correctement, accédez à LAN > VLAN Settings. Sélectionnez les ID VLAN et cliquez sur l'icône Modifier. Sélectionnez le menu déroulant de l'une des interfaces LAN pour les VLAN répertoriés pour modifier l'étiquetage VLAN. Cliquez sur Apply.
Regardez cet exemple de chaque VLAN attribué à son propre port LAN :
Regardez cet exemple de différents VLAN qui sont tous sur des ports agrégés. Pour les définir correctement, sélectionnez les ID de VLAN à modifier. Cliquez sur l'icône de modification. Modifiez-les en fonction de vos besoins, en suivant les recommandations ci-dessus. Au fait, avez-vous remarqué que VLAN 1 est exclu de chaque port LAN ? Ceci sera expliqué dans la section Meilleure pratique pour le VLAN 1 par défaut.
Pourquoi un VLAN reste-t-il non étiqueté alors qu’il est le seul VLAN sur ce port ?
Comme un seul VLAN est attribué sur un port d'accès, le trafic sortant du port est envoyé sans aucune étiquette VLAN sur les trames. Lorsque la trame atteint le port du commutateur (trafic entrant), le commutateur ajoute l’étiquette VLAN.
Pourquoi les VLAN sont-ils balisés lorsqu’ils font partie d’une agrégation ?
Ceci est fait pour que le trafic qui passe ne soit pas envoyé au mauvais VLAN sur ce port. Les VLAN partagent ce port. Semblable aux numéros d'appartement ajoutés à une adresse pour s'assurer que le courrier va à l'appartement correct dans ce bâtiment partagé.
Pourquoi le trafic reste-t-il non étiqueté lorsqu’il fait partie du VLAN natif ?
Un VLAN natif est un moyen de transporter le trafic non étiqueté sur un ou plusieurs commutateurs. Le commutateur attribue toute trame non étiquetée qui arrive sur un port étiqueté au VLAN natif. Si une trame sur le VLAN natif quitte un port d’agrégation (étiqueté), le commutateur supprime l’étiquette VLAN.
Pourquoi les VLAN sont-ils exclus lorsqu’ils ne se trouvent pas sur ce port ?
Cela garde le trafic sur cette agrégation uniquement pour les VLAN que l'utilisateur souhaite spécifiquement. Il s'agit d'une bonne pratique.
Tous les ports doivent être affectés à un ou plusieurs VLAN, y compris le VLAN natif. Les routeurs Cisco Business sont fournis avec le VLAN 1 attribué par défaut à tous les ports.
Un VLAN de gestion est le VLAN utilisé pour gérer, contrôler et surveiller à distance les périphériques de votre réseau à l'aide de Telnet, SSH, SNMP, syslog ou FindIT de Cisco. Par défaut, il s’agit également du VLAN 1. Une bonne pratique de sécurité consiste à séparer le trafic de données utilisateur et de gestion. Par conséquent, il est recommandé que lorsque vous configurez des VLAN, vous utilisiez VLAN 1 uniquement à des fins de gestion.
Pour communiquer à distance avec un commutateur Cisco à des fins de gestion, une adresse IP doit être configurée sur le VLAN de gestion. Les utilisateurs d’autres VLAN ne pourraient pas établir de sessions d’accès à distance au commutateur, à moins qu’ils ne soient routés dans le VLAN de gestion, fournissant ainsi une couche de sécurité supplémentaire. En outre, le commutateur doit être configuré pour accepter uniquement les sessions SSH chiffrées pour la gestion à distance. Pour lire certaines discussions sur ce sujet, cliquez sur les liens suivants sur le site Web de la communauté Cisco :
Pourquoi le VLAN 1 par défaut n’est-il pas recommandé de segmenter virtuellement votre réseau ?
La principale raison est que les acteurs hostiles savent que VLAN 1 est le VLAN par défaut et souvent utilisé. Ils peuvent l'utiliser pour accéder à d'autres VLAN via “ ” de saut de VLAN. Comme son nom l’indique, l’acteur hostile peut envoyer du trafic usurpé se présentant comme VLAN 1, ce qui permet d’accéder aux ports de jonction et, par conséquent, à d’autres VLAN.
Puis-je laisser un port inutilisé affecté au VLAN 1 par défaut ?
Pour préserver la sécurité de votre réseau, vous ne devriez vraiment pas. Il est recommandé de configurer tous ces ports pour qu'ils soient associés à des VLAN autres que le VLAN 1 par défaut.
Je ne veux pas affecter aucun de mes VLAN de production à un port inutilisé. Que puis-je faire ?
Il est recommandé de créer un réseau local virtuel ” sans issue “ suivant les instructions de la section suivante de cet article.
Étape 1. Accédez à LAN > VLAN Settings.
Sélectionnez un numéro aléatoire pour le VLAN. Assurez-vous que DHCP, le routage inter-VLAN ou la gestion des périphériques ne sont pas activés sur ce VLAN. Cela renforce la sécurité des autres VLAN. Placez tout port LAN inutilisé sur ce VLAN. Dans l'exemple ci-dessous, VLAN 777 a été créé et affecté au LAN5. Ceci doit être fait avec tous les ports LAN inutilisés.
Étape 2. Cliquez sur le bouton Appliquer pour enregistrer les modifications de configuration que vous avez apportées.
Le trafic vocal est soumis à des exigences strictes de qualité de service (QoS). Si votre entreprise a des ordinateurs et des téléphones IP sur le même VLAN, chacun essaie d'utiliser la bande passante disponible sans tenir compte de l'autre périphérique. Pour éviter ce conflit, il est recommandé d’utiliser des VLAN distincts pour le trafic voix et le trafic de données de téléphonie IP. Pour en savoir plus sur cette configuration, consultez les articles et vidéos suivants :
Les VLAN sont configurés de sorte que le trafic puisse être séparé, mais parfois vous avez besoin de VLAN pour pouvoir se router entre eux. Il s’agit d’un routage entre VLAN et n’est généralement pas recommandé. Si cela est nécessaire pour votre entreprise, configurez-la de manière aussi sécurisée que possible. Lors de l’utilisation du routage entre VLAN, assurez-vous de limiter le trafic à l’aide des listes de contrôle d’accès (ACL) aux serveurs qui contiennent des informations confidentielles.
Les listes de contrôle d’accès procèdent au filtrage des paquets pour contrôler le déplacement des paquets sur un réseau. Le filtrage des paquets assure la sécurité en limitant l'accès du trafic à un réseau, en limitant l'accès des utilisateurs et des périphériques à un réseau et en empêchant le trafic de quitter un réseau. Les listes d’accès IP réduisent les risques d’usurpation et de déni de service et permettent un accès utilisateur dynamique et temporaire via un pare-feu.
Vous l'avez ici, vous connaissez maintenant quelques bonnes pratiques pour configurer des VLAN sécurisés. Gardez ces conseils à l'esprit lorsque vous configurez des VLAN pour votre réseau. Vous trouverez ci-dessous la liste des articles qui contiennent des instructions détaillées. Ces solutions vous permettront d'évoluer vers un réseau productif et efficace qui convient à votre entreprise.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
27-Jan-2020 |
Première publication |