La segmentation réseau par VLANs, ou Virtual Local Area Networks, est définie dans la norme IEEE 802.1Q. Elle fait partie des pratiques de base recommandées par le CIS Controls v8 pour l'administration de l'infrastructure réseau, et elle s'inscrit logiquement dans les recommandations de filtrage réseau publiées par l'ANSSI. Dans beaucoup de petites et moyennes structures, la segmentation reste pourtant incomplète ou limitée à quelques usages comme le Wi Fi invité. Le résultat est souvent un réseau trop plat, plus difficile à filtrer et plus difficile à faire évoluer proprement.
Ce guide couvre les principes fondamentaux, une architecture de référence adaptée aux PME, et les commandes de configuration sur Cisco IOS et HP ProCurve.
Pourquoi un réseau à plat est un problème structurel
Sur un réseau sans segmentation, un équipement compromis dispose d'une visibilité réseau beaucoup plus large sur le parc. Serveurs, postes, imprimantes, caméras IP et équipements IoT partagent alors le même espace d'échange. C'est ce que les équipes sécurité décrivent comme une facilitation du mouvement latéral, c'est à dire la capacité à se déplacer d'une machine compromise vers d'autres ressources du réseau.
La segmentation réseau ne supprime pas les risques d'intrusion. En revanche, elle limite la propagation possible entre zones et rend les règles de filtrage plus lisibles. C'est précisément ce point qui la rend utile en PME. Elle améliore à la fois la sécurité et l'exploitation quotidienne.
Deuxième problème du réseau à plat, la lisibilité opérationnelle. Les broadcasts, les flux d'administration et les dépendances entre équipements se mélangent dans le même espace logique. Plus le parc grandit, plus le diagnostic, le filtrage et l'évolution du réseau deviennent complexes.
Principes fondamentaux des VLANs
Le VLAN comme domaine de broadcast isolé
Un VLAN est un domaine de broadcast logique. Les équipements appartenant au VLAN 10 ne voient pas les broadcasts des équipements en VLAN 20, même s'ils sont connectés au même switch physique. La communication entre VLANs nécessite un routage (couche 3), généralement assuré par un firewall ou un switch de niveau 3.
Les ports access et trunk
Deux modes de configuration s'appliquent aux ports de switch :
Port access : le port appartient à un seul VLAN. C'est le mode utilisé pour les postes utilisateurs, les imprimantes, les téléphones IP. La trame Ethernet circule sans tag VLAN sur le câble entre le switch et l'équipement final.
Port trunk : le port transporte plusieurs VLANs simultanément, identifiés par un tag 802.1Q (4 octets ajoutés dans l'en-tête Ethernet). C'est le mode utilisé pour les liaisons inter-switches et les liaisons vers les firewalls.
Le VLAN natif
Sur un port trunk Cisco, le VLAN natif est le VLAN dont les trames circulent sans tag. Par défaut, c'est le VLAN 1. Une pratique courante consiste à définir un VLAN natif dédié, sans équipements actifs, afin de réduire les erreurs de configuration et certains scénarios d'abus documentés autour des trunks.
Architecture de référence pour une PME
Une architecture de segmentation adaptée à une PME de 20 à 200 postes repose sur les zones fonctionnelles suivantes :
| VLAN | ID | Usage | Accès Internet | Accès Serveurs |
|---|---|---|---|---|
| Management | 10 | Équipements réseau (switches, APs, firewalls) | Non | Restreint |
| Serveurs | 20 | Serveurs applicatifs, NAS, contrôleurs de domaine | Non | N/A |
| Utilisateurs | 30 | Postes de travail, laptops | Oui (filtré) | Oui (filtré) |
| Voix | 40 | Téléphones IP, IPBX | Non | Non |
| Invités | 50 | Wi-Fi visiteurs, appareils personnels | Oui (non filtré) | Non |
| IoT | 60 | Caméras IP, imprimantes, équipements connectés | Restreint | Non |
Le firewall est positionné entre Internet et le réseau interne, et assure le routage inter-VLANs avec les règles de filtrage définissant ce qui est autorisé entre chaque zone. L'ANSSI recommande dans son guide pare-feu une politique de type "tout est interdit sauf ce qui est explicitement autorisé" (liste blanche).
Configuration sur Cisco IOS
Les exemples suivants s'appliquent aux switches Catalyst series (IOS 12.2 et supérieur). La documentation de référence est disponible sur le Cisco Configuration Guide officiel.
Créer les VLANs
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name MANAGEMENT
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name SERVEURS
Switch(config-vlan)# exit
Switch(config)# vlan 30
Switch(config-vlan)# name UTILISATEURS
Switch(config-vlan)# exit
Switch(config)# vlan 40
Switch(config-vlan)# name VOIX
Switch(config-vlan)# exit
Switch(config)# vlan 50
Switch(config-vlan)# name INVITES
Switch(config-vlan)# exit
Switch(config)# vlan 60
Switch(config-vlan)# name IOT
Switch(config-vlan)# exit
Configurer un port access (poste utilisateur)
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 30
Switch(config-if)# spanning-tree portfast
Switch(config-if)# exit
spanning-tree portfast accélère la mise en service du port pour les équipements terminaux. Ne jamais l'appliquer sur un port trunk.
Configurer un port trunk (liaison vers firewall ou switch amont)
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,30,40,50,60
Switch(config-if)# exit
Le VLAN 99 est ici le VLAN natif dédié, sans équipements actifs. Le paramètre allowed vlan restreint explicitement les VLANs autorisés sur ce trunk. Cette limitation réduit les échanges inutiles et simplifie la maîtrise du périmètre transporté sur chaque liaison.
Vérifier la configuration
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show interfaces GigabitEthernet0/1 switchport
Configuration sur HP ProCurve / Aruba
La syntaxe diffère de Cisco IOS. Les exemples suivants s'appliquent aux switches ProCurve series (firmware K/KA.15 et supérieur). La documentation de référence est l'Advanced Traffic Management Guide HPE.
Créer les VLANs
ProCurve# configure
ProCurve(config)# vlan 10
ProCurve(vlan-10)# name "MANAGEMENT"
ProCurve(vlan-10)# exit
ProCurve(config)# vlan 20
ProCurve(vlan-20)# name "SERVEURS"
ProCurve(vlan-20)# exit
ProCurve(config)# vlan 30
ProCurve(vlan-30)# name "UTILISATEURS"
ProCurve(vlan-30)# exit
Configurer les ports (syntaxe ProCurve)
Sur ProCurve, la configuration des ports s'effectue depuis le contexte VLAN, pas depuis le contexte interface :
ProCurve(config)# vlan 30
ProCurve(vlan-30)# untagged 1-20
ProCurve(vlan-30)# exit
ProCurve(config)# vlan 10
ProCurve(vlan-10)# tagged 24
ProCurve(vlan-10)# exit
ProCurve(config)# vlan 20
ProCurve(vlan-20)# tagged 24
ProCurve(vlan-20)# exit
untagged équivaut au mode access Cisco. tagged équivaut au mode trunk.
Vérifier la configuration
ProCurve# show vlan
ProCurve# show vlan 30
ProCurve# show interfaces brief
Wi-Fi et VLANs : le mapping SSID/VLAN
Les points d'accès Wi-Fi d'entreprise (Cisco, Aruba, Ubiquiti UniFi) permettent d'associer chaque SSID à un VLAN. Le SSID "Invités" mappe vers le VLAN 50, le SSID "Entreprise" (authentification 802.1X) mappe vers le VLAN 30.
Le câble entre le switch et le point d'accès doit être configuré en trunk avec les VLANs concernés. L'AP gère en interne le tagging 802.1Q pour chaque client Wi-Fi selon le SSID utilisé.
Erreurs classiques
Oublier de restreindre le VLAN natif : laisser le VLAN 1 comme VLAN natif augmente le risque d'erreur et brouille la lecture des trunks. Définir un VLAN natif dédié sans équipements actifs rend la configuration plus propre et plus facile à auditer.
Autoriser tous les VLANs sur tous les trunks : la commande switchport trunk allowed vlan all (valeur par défaut Cisco) fait circuler tous les VLANs sur tous les trunks, même ceux qui n'en ont pas besoin. Restreindre explicitement avec allowed vlan réduit la surface d'exposition.
Ne pas segmenter le VLAN Management : si les équipements réseau (switches, APs, firewalls) sont dans le même VLAN que les postes utilisateurs, un utilisateur peut accéder aux interfaces d'administration. Le VLAN Management doit être isolé avec un accès restreint à quelques IPs d'administration définies.
Oublier le spanning tree : en présence de plusieurs switches interconnectés, le Spanning Tree Protocol (STP) est indispensable pour éviter les boucles réseau. Sur Cisco, RSTP (Rapid STP, 802.1w) est préférable à STP classique pour la convergence.
Ce que ça change concrètement
Un réseau segmenté correctement réduit la surface d'attaque disponible en cas de compromission d'un équipement. Un poste utilisateur compromis ne doit pas pouvoir atteindre librement les serveurs si les règles inter VLANs ont été construites selon le principe du moindre accès. Sur un réseau à plat, cette séparation logique n'existe pas ou très peu.
La segmentation apporte aussi un bénéfice de lisibilité. Les flux deviennent plus faciles à comprendre, les règles de filtrage plus faciles à maintenir et les usages invités, IoT ou administration plus simples à isoler.
La mise en place d'une segmentation sur un réseau existant nécessite un inventaire précis des flux applicatifs avant de déployer les règles de filtrage inter-VLANs. Un déploiement sans cartographie préalable des dépendances applicatives provoque des interruptions de service.
Sources
- Cisco - VLAN Configuration Guide, Cisco IOS
- CIS Controls v8 - Control 12: Network Infrastructure Management
- ANSSI - Recommandations pour la définition d'une politique de filtrage réseau pare-feu
- IEEE 802.1Q - Standard for Local and Metropolitan Area Networks: Bridges and Bridged Networks
- HPE - Advanced Traffic Management Guide ProCurve
Sources
- https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst/ios/12_2/configuration/guide/swconfig/swvlan.html
- https://www.cisecurity.org/controls/v8
- https://www.ssi.gouv.fr/guide/recommandations-pour-la-definition-dune-politique-de-filtrage-reseau-pare-feu/
- https://www.ieee.org/standards/technology/networking.html
- https://support.hpe.com/hpesc/public/docDisplay?docId=a00036251en_us
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.