Meilleures pratiques VLAN et conseils de sécurité pour les routeurs professionnels Cisco

Options de téléchargement

PDF (697.6 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (618.0 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (424.4 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:27 janvier 2020

ID du document:1580148576950702

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Objectif

L'objectif de cet article est d'expliquer les concepts et les étapes permettant d'appliquer les meilleures pratiques et les conseils de sécurité lors de la configuration des VLAN sur l'équipement Cisco Business.

Table des matières

Vocabulaire rapide pour les nouveaux
Meilleure pratique n°1 - Affectation de ports VLAN
Meilleure pratique n° 2 : VLAN 1 par défaut et ports inutilisés
- Forum aux questions
Meilleure pratique n°3 : création d'un réseau local virtuel “ d'extrémité ” pour les ports inutilisés
Meilleure pratique n°4 - Téléphones IP sur un VLAN
Meilleure pratique n° 5 - Routage entre réseaux locaux virtuels

Introduction

Souhaitez-vous rendre votre réseau d'entreprise plus efficace tout en le protégeant ? Pour ce faire, vous pouvez configurer correctement les réseaux locaux virtuels (VLAN).

Un VLAN est un groupe logique de stations de travail, de serveurs et de périphériques réseau qui semblent se trouver sur le même réseau local (LAN) malgré leur répartition géographique. En résumé, le matériel des mêmes VLAN permet au trafic entre les équipements d'être séparé et plus sécurisé.

Par exemple, vous pouvez avoir un service Ingénierie, Marketing et Comptabilité. Chaque service a des employés à différents étages du bâtiment, mais il doit toujours accéder à l'information et la communiquer au sein de son propre service. Il est essentiel pour le partage de documents et de services Web.

Les réseaux locaux virtuels doivent être configurés avec les meilleures pratiques afin de préserver la sécurité de votre réseau. Faites les choix intelligents suivants lors de la configuration des VLAN. Vous ne le regretterez pas !

Périphériques pertinents

RV042
RV110W
RV130
RV132
RV134W
RV160W
RV215W
RV260
RV260P
RV260W
RV320
RV325
RV340
RV340W
RV345
RV345P

Il peut être intéressant de savoir que les routeurs de la gamme RV160 ou RV260 peuvent transporter jusqu'à 16 VLAN, tandis que les routeurs de la gamme RV34x peuvent transporter jusqu'à 32 VLAN. Le RV320 prend en charge jusqu'à 7 VLAN. Si vous souhaitez connaître le nombre de VLAN que votre routeur peut transporter, consultez la fiche technique de votre modèle spécifique sur le site Web de Cisco. Sélectionnez Support et saisissez votre numéro de modèle ou recherchez simplement la fiche technique et le numéro de modèle.

Vocabulaire rapide pour les nouveaux

Port d'accès: Un port d'accès transporte le trafic pour un seul VLAN. Les ports d'accès sont souvent appelés ports non balisés, car il n'y a qu'un seul VLAN sur ce port et le trafic peut être passé sans balises.

Port de liaison : Port sur un commutateur qui transporte le trafic pour plusieurs VLAN. Les ports agrégés sont souvent appelés ports balisés car il y a plusieurs VLAN sur ce port et le trafic pour tous les VLAN sauf un doit être balisé.

VLAN natif: Le VLAN d'un port agrégé qui ne reçoit pas de balise. Tout trafic qui n'a pas de balise sera envoyé au VLAN natif. C’est pourquoi les deux côtés d’une agrégation doivent s’assurer qu’ils ont le même VLAN natif ou que le trafic ne va pas au bon endroit.

Meilleure pratique n°1 - Affectation de ports VLAN

Notions de base sur l'affectation des ports

Chaque port LAN peut être défini comme un port d'accès ou un port trunk.
Les VLAN que vous ne voulez pas sur le trunk doivent être exclus.
Un VLAN peut être placé dans plusieurs ports.

Configuration des ports d'accès

Un VLAN attribué sur un port LAN
Le VLAN affecté à ce port doit être étiqueté Non balisé
Tous les autres VLAN doivent être étiquetés Excluded pour ce port

Pour les définir correctement, accédez à LAN > VLAN Settings. Sélectionnez les ID VLAN et cliquez sur l'icône Modifier. Sélectionnez le menu déroulant de l'une des interfaces LAN pour les VLAN répertoriés pour modifier l'étiquetage VLAN. Cliquez sur Apply.

Regardez cet exemple de chaque VLAN attribué à son propre port LAN :

Cette image d'interface utilisateur graphique a été prise à partir d'un routeur RV260W. Vos options peuvent sembler légèrement différentes. Par exemple, sur la série RV34x, les étiquettes Non étiquetées, Excluded et Tagged sont abrégées en une seule lettre. Le processus est toujours le même.

Configuration des ports agrégés

Au moins deux VLAN partagent un port LAN
Un des VLAN peut être étiqueté Non étiqueté.
Les autres VLAN qui font partie du port agrégé doivent être étiquetés Tagged.
Les VLAN qui ne font pas partie du port agrégé doivent être étiquetés Excluded pour ce port.

Regardez cet exemple de différents VLAN qui sont tous sur des ports agrégés. Pour les définir correctement, sélectionnez les ID de VLAN à modifier. Cliquez sur l'icône de modification. Modifiez-les en fonction de vos besoins, en suivant les recommandations ci-dessus. Au fait, avez-vous remarqué que VLAN 1 est exclu de chaque port LAN ? Ceci sera expliqué dans la section Meilleure pratique pour le VLAN 1 par défaut.

Forum aux questions

Pourquoi un VLAN reste-t-il non étiqueté alors qu’il est le seul VLAN sur ce port ?

Comme un seul VLAN est attribué sur un port d'accès, le trafic sortant du port est envoyé sans aucune étiquette VLAN sur les trames. Lorsque la trame atteint le port du commutateur (trafic entrant), le commutateur ajoute l’étiquette VLAN.

Pourquoi les VLAN sont-ils balisés lorsqu’ils font partie d’une agrégation ?

Ceci est fait pour que le trafic qui passe ne soit pas envoyé au mauvais VLAN sur ce port. Les VLAN partagent ce port. Semblable aux numéros d'appartement ajoutés à une adresse pour s'assurer que le courrier va à l'appartement correct dans ce bâtiment partagé.

Pourquoi le trafic reste-t-il non étiqueté lorsqu’il fait partie du VLAN natif ?

Un VLAN natif est un moyen de transporter le trafic non étiqueté sur un ou plusieurs commutateurs. Le commutateur attribue toute trame non étiquetée qui arrive sur un port étiqueté au VLAN natif. Si une trame sur le VLAN natif quitte un port d’agrégation (étiqueté), le commutateur supprime l’étiquette VLAN.

Pourquoi les VLAN sont-ils exclus lorsqu’ils ne se trouvent pas sur ce port ?

Cela garde le trafic sur cette agrégation uniquement pour les VLAN que l'utilisateur souhaite spécifiquement. Il s'agit d'une bonne pratique.

Meilleure pratique n° 2 : VLAN 1 par défaut et ports inutilisés

Tous les ports doivent être affectés à un ou plusieurs VLAN, y compris le VLAN natif. Les routeurs Cisco Business sont fournis avec le VLAN 1 attribué par défaut à tous les ports.

Un VLAN de gestion est le VLAN utilisé pour gérer, contrôler et surveiller à distance les périphériques de votre réseau à l'aide de Telnet, SSH, SNMP, syslog ou FindIT de Cisco. Par défaut, il s’agit également du VLAN 1. Une bonne pratique de sécurité consiste à séparer le trafic de données utilisateur et de gestion. Par conséquent, il est recommandé que lorsque vous configurez des VLAN, vous utilisiez VLAN 1 uniquement à des fins de gestion.

Pour communiquer à distance avec un commutateur Cisco à des fins de gestion, une adresse IP doit être configurée sur le VLAN de gestion. Les utilisateurs d’autres VLAN ne pourraient pas établir de sessions d’accès à distance au commutateur, à moins qu’ils ne soient routés dans le VLAN de gestion, fournissant ainsi une couche de sécurité supplémentaire. En outre, le commutateur doit être configuré pour accepter uniquement les sessions SSH chiffrées pour la gestion à distance. Pour lire certaines discussions sur ce sujet, cliquez sur les liens suivants sur le site Web de la communauté Cisco :

Forum aux questions

Pourquoi le VLAN 1 par défaut n’est-il pas recommandé de segmenter virtuellement votre réseau ?

La principale raison est que les acteurs hostiles savent que VLAN 1 est le VLAN par défaut et souvent utilisé. Ils peuvent l'utiliser pour accéder à d'autres VLAN via “ ” de saut de VLAN. Comme son nom l’indique, l’acteur hostile peut envoyer du trafic usurpé se présentant comme VLAN 1, ce qui permet d’accéder aux ports de jonction et, par conséquent, à d’autres VLAN.

Puis-je laisser un port inutilisé affecté au VLAN 1 par défaut ?

Pour préserver la sécurité de votre réseau, vous ne devriez vraiment pas. Il est recommandé de configurer tous ces ports pour qu'ils soient associés à des VLAN autres que le VLAN 1 par défaut.

Je ne veux pas affecter aucun de mes VLAN de production à un port inutilisé. Que puis-je faire ?

Il est recommandé de créer un réseau local virtuel ” sans issue “ suivant les instructions de la section suivante de cet article.

Meilleure pratique n°3 : création d'un réseau local virtuel “ d'extrémité ” pour les ports inutilisés

Étape 1. Accédez à LAN > VLAN Settings.

Sélectionnez un numéro aléatoire pour le VLAN. Assurez-vous que DHCP, le routage inter-VLAN ou la gestion des périphériques ne sont pas activés sur ce VLAN. Cela renforce la sécurité des autres VLAN. Placez tout port LAN inutilisé sur ce VLAN. Dans l'exemple ci-dessous, VLAN 777 a été créé et affecté au LAN5. Ceci doit être fait avec tous les ports LAN inutilisés.

Notez que les autres VLAN sont exclus de ce port LAN.

Étape 2. Cliquez sur le bouton Appliquer pour enregistrer les modifications de configuration que vous avez apportées.

Meilleure pratique n°4 - Téléphones IP sur un VLAN

Le trafic vocal est soumis à des exigences strictes de qualité de service (QoS). Si votre entreprise a des ordinateurs et des téléphones IP sur le même VLAN, chacun essaie d'utiliser la bande passante disponible sans tenir compte de l'autre périphérique. Pour éviter ce conflit, il est recommandé d’utiliser des VLAN distincts pour le trafic voix et le trafic de données de téléphonie IP. Pour en savoir plus sur cette configuration, consultez les articles et vidéos suivants :

Meilleure pratique n° 5 - Routage entre réseaux locaux virtuels

Les VLAN sont configurés de sorte que le trafic puisse être séparé, mais parfois vous avez besoin de VLAN pour pouvoir se router entre eux. Il s’agit d’un routage entre VLAN et n’est généralement pas recommandé. Si cela est nécessaire pour votre entreprise, configurez-la de manière aussi sécurisée que possible. Lors de l’utilisation du routage entre VLAN, assurez-vous de limiter le trafic à l’aide des listes de contrôle d’accès (ACL) aux serveurs qui contiennent des informations confidentielles.

Les listes de contrôle d’accès procèdent au filtrage des paquets pour contrôler le déplacement des paquets sur un réseau. Le filtrage des paquets assure la sécurité en limitant l'accès du trafic à un réseau, en limitant l'accès des utilisateurs et des périphériques à un réseau et en empêchant le trafic de quitter un réseau. Les listes d’accès IP réduisent les risques d’usurpation et de déni de service et permettent un accès utilisateur dynamique et temporaire via un pare-feu.

Conclusion

Vous l'avez ici, vous connaissez maintenant quelques bonnes pratiques pour configurer des VLAN sécurisés. Gardez ces conseils à l'esprit lorsque vous configurez des VLAN pour votre réseau. Vous trouverez ci-dessous la liste des articles qui contiennent des instructions détaillées. Ces solutions vous permettront d'évoluer vers un réseau productif et efficace qui convient à votre entreprise.

Historique de révision

Révision	Date de publication	Commentaires
1.0	27-Jan-2020	Première publication

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)