Ai-je besoin de VLAN à la maison ?

Pas strictement. La plupart des foyers fonctionnent bien sur un seul réseau plat. Les VLAN deviennent précieux lorsque vous avez des appareils IoT auxquels vous ne faites pas confiance sur le réseau local avec vos ordinateurs portables, des arrangements de travail à domicile où les appareils de l'employeur ont besoin d'isolement ou des projets de loisirs (homelab, tests de sécurité) qui bénéficient de la segmentation.

Quelle est la différence entre un VLAN et un sous-réseau ?

Un VLAN est un domaine de diffusion de couche 2 ; un sous-réseau est un groupement IP de couche 3. Généralement, un VLAN équivaut à un sous-réseau IP, mais ils sont conceptuellement différents. Vous pouvez avoir des VLAN sans routage IP entre eux, et vous pouvez avoir des sous-réseaux qui partagent un VLAN (rare, souvent une mauvaise configuration).

Puis-je créer des VLAN sur des routeurs bon marché ?

La plupart des routeurs grand public ne prennent pas en charge les vrais VLAN ; "Réseau invité" est la chose la plus proche. Les équipements grand public (Ubiquiti, MikroTik, OPNsense sur PC) prennent en charge la norme 802.1Q complète. Certains routeurs grand public populaires exécutant OpenWrt peuvent être reconfigurés pour la prise en charge VLAN si votre matériel le permet.

Combien de VLAN puis-je avoir ?

802.1Q autorise 4 094 VLAN actifs (1 et 4 095 sont réservés). Les déploiements pratiques à domicile ou au bureau en utilisent une poignée ; les grands centres de données exécutant des charges de travail cloud utilisent VXLAN avec 16 millions de segments potentiels pour éviter la limite de 4 094.

Les VLAN constituent-ils une frontière de sécurité ?

Ils sont partiels. Les VLAN correctement configurés empêchent les attaques sur le même segment (usurpation d'identité ARP, reniflage de diffusion). Ils n'empêchent pas les attaques au-dessus de la couche 2 : un périphérique compromis avec une accessibilité de couche 3 à un autre VLAN peut toujours l'attaquer via le routeur. La défense en profondeur combine les VLAN avec une politique de pare-feu et une sécurité par hôte.

Explication des VLAN : segmentation logique du réseau sur un seul réseau local physique

Les VLAN vous permettent de prendre un réseau physique et de le diviser en plusieurs réseaux logiquement isolés, contrôlés par logiciel. La technologie est à la base de chaque réseau d'entreprise moderne, de presque tous les déploiements cloud et de tout réseau domestique présentant une ségrégation IoT sérieuse. Une fois que vous avez travaillé avec des VLAN, s'en passer revient à gérer un réseau avec du ruban adhésif et de la prière.

Le corps complet de l’article est fourni en anglais ci-dessous.

A VLAN (réseau local virtuel) est un domaine de diffusion logique qui apparaît comme un réseau local distinct mais partage l'infrastructure physique avec d'autres VLAN. Les appareils sur différents VLAN ne peuvent pas voir le trafic de diffusion de chacun ; le routage entre les VLAN nécessite de passer par un routeur (ou un commutateur de couche 3). La technologie permet à un réseau Ethernet de transporter de nombreux « réseaux » distincts sans séparation physique.

Pourquoi les VLAN existent

Imaginez un bureau d'entreprise avec les finances, l'ingénierie et les ressources humaines sur un seul réseau plat. Problèmes :

Tout ordinateur portable compromis peut analyser et attaquer n'importe quel autre
Le trafic de diffusion d'un groupe inonde tous les groupes
Les politiques de sécurité doivent être appliquées sur chaque appareil individuellement
Les exigences réglementaires (PCI-DSS pour la finance, HIPAA pour le médical) peuvent nécessiter des examens physiques. isolation

La solution classique consistait à acheter des interrupteurs et des câbles séparés pour chaque département. Les VLAN vous permettent d'utiliser un commutateur et de configurer la segmentation logique dans le logiciel. Bon marché, flexible, facile à réorganiser.

Comment fonctionne le marquage VLAN

La norme est IEEE 802.1Q. Chaque trame Ethernet peut transporter une balise de 4 octets contenant un ID de VLAN de 12 bits (1 à 4 094, avec 0 et 4 095 réservés). Les commutateurs ajoutent la balise lorsque le trafic entre par un port d'accès et la suppriment lorsque le trafic sort - ou la transmettent sans modification sur les ports réseau.

Teux types de ports :

Port d'accès - connecté à un périphérique final (ordinateur portable, téléphone, serveur). Le port appartient à un VLAN ; le marquage est ajouté/supprimé de manière transparente.
Trunk port — connecté à un autre commutateur ou à un routeur. Achemine le trafic pour plusieurs VLAN, avec des balises préservées. Les appareils

End ne connaissent généralement pas les VLAN — le commutateur gère le balisage. Les serveurs et les hôtes de virtualisation le font souvent, en utilisant des cartes réseau et une configuration du système d'exploitation compatibles VLAN.

Routage inter-VLAN

Pour communiquer entre les VLAN, le trafic doit passer par un périphérique de couche 3. Trois options :

Routeur sur une clé : une interface de routeur connectée à un port de jonction, avec des sous-interfaces pour chaque VLAN. Simple, mais le routeur est un point unique.Commutateur
Layer-3 — un commutateur qui peut également router. Configure "SVI" (Switch Virtual Interfaces) par VLAN. Routage rapide basé sur le matériel.
Pare-feu étatique — pour le trafic inter-VLAN qui nécessite une inspection (DMZ vers interne, IoT vers LAN). Le trafic passe par le pare-feu avec une politique explicite.

Conceptions VLAN courantes

Tegmentation typique des maisons et des petits bureaux :

VLAN 10 — LAN principal (ordinateurs portables, téléphones, NAS)
VLAN 20 — Appareils IoT (caméras, haut-parleurs intelligents, ampoules)
VLAN 30 — invités
VLAN 40 — appareils de travail/VPN
VLAN 100 — gestion (routeur administrateur, administrateur du commutateur, contrôle AP)

Politique inter-VLAN : l'IoT peut atteindre Internet mais rien sur le LAN. Les clients peuvent accéder uniquement à Internet. Le LAN principal peut s'initier à l'IoT (appareils de contrôle), mais pas l'inverse. La gestion n'est accessible qu'à partir du réseau local principal par les utilisateurs administrateurs.

Native VLAN gotcha

Trunk Les ports ont un « VLAN natif » — le trafic qui arrive non balisé est attribué à ce VLAN. Le VLAN natif par défaut est 1, qui est également couramment utilisé pour la gestion. Meilleure pratique : remplacez le VLAN natif par un numéro inutilisé (par exemple, 999) et ne placez aucun périphérique sur le VLAN 1.. Sinon, un attaquant qui se connecte à un port d'accès vide pourrait atterrir dans un VLAN par défaut avec accès à des éléments qu'il ne devrait pas voir.

Attaques par sauts de VLAN

Teux classiques attaques :

Spoofing de commutateur. Un attaquant négocie le protocole Dynamic Trunking avec un port de commutateur mal configuré et devient une jonction, obtenant ainsi accès à tous les VLAN. Atténuation : désactivez DTP et configurez explicitement les ports comme accès ou trunk.
Double balisage. Un attaquant sur le VLAN natif envoie des trames avec deux balises 802.1Q. Le premier commutateur supprime la balise externe (correspondant à la balise native) et le deuxième commutateur achemine la trame en fonction de la balise interne, potentiellement vers un VLAN différent. Atténuation : n'autorisez pas les appareils utilisateur sur le VLAN natif.

VLAN dans le cloud et les réseaux modernes

Dans les environnements cloud, les VLAN 802.1Q traditionnels ne dépassent pas 4094. Les réseaux modernes utilisent VXLAN (Virtual Extensible LAN), NVGRE ou Geneve — protocoles d'encapsulation qui effectuent une segmentation de type VLAN sur des réseaux de couche 3 avec des VNI 24 bits (16 millions de segments). Les VPC AWS, les VPC GCP et similaires sont construits sur ces primitives.

Pour les utilisateurs finaux, cela est pour la plupart invisible. La couche réseau du fournisseur de cloud crée des réseaux virtuels isolés ; vous ne voyez pas le VXLAN.

sous-jacent

Questions fréquemment posées

Ai-je besoin de VLAN à la maison ?: Pas strictement. La plupart des foyers fonctionnent bien sur un seul réseau plat. Les VLAN deviennent précieux lorsque vous avez des appareils IoT auxquels vous ne faites pas confiance sur le réseau local avec vos ordinateurs portables, des arrangements de travail à domicile où les appareils de l'employeur ont besoin d'isolement ou des projets de loisirs (homelab, tests de sécurité) qui bénéficient de la segmentation.
Quelle est la différence entre un VLAN et un sous-réseau ?: Un VLAN est un domaine de diffusion de couche 2 ; un sous-réseau est un groupement IP de couche 3. Généralement, un VLAN équivaut à un sous-réseau IP, mais ils sont conceptuellement différents. Vous pouvez avoir des VLAN sans routage IP entre eux, et vous pouvez avoir des sous-réseaux qui partagent un VLAN (rare, souvent une mauvaise configuration).
Puis-je créer des VLAN sur des routeurs bon marché ?: La plupart des routeurs grand public ne prennent pas en charge les vrais VLAN ; "Réseau invité" est la chose la plus proche. Les équipements grand public (Ubiquiti, MikroTik, OPNsense sur PC) prennent en charge la norme 802.1Q complète. Certains routeurs grand public populaires exécutant OpenWrt peuvent être reconfigurés pour la prise en charge VLAN si votre matériel le permet.
Combien de VLAN puis-je avoir ?: 802.1Q autorise 4 094 VLAN actifs (1 et 4 095 sont réservés). Les déploiements pratiques à domicile ou au bureau en utilisent une poignée ; les grands centres de données exécutant des charges de travail cloud utilisent VXLAN avec 16 millions de segments potentiels pour éviter la limite de 4 094.
Les VLAN constituent-ils une frontière de sécurité ?: Ils sont partiels. Les VLAN correctement configurés empêchent les attaques sur le même segment (usurpation d'identité ARP, reniflage de diffusion). Ils n'empêchent pas les attaques au-dessus de la couche 2 : un périphérique compromis avec une accessibilité de couche 3 à un autre VLAN peut toujours l'attaquer via le routeur. La défense en profondeur combine les VLAN avec une politique de pare-feu et une sécurité par hôte.