Qu'est-ce qu'un VLAN, et quelle est sa valeur en matière de sécurité ?
Réponse courte
Un VLAN (réseau local virtuel) partitionne logiquement un commutateur physique en domaines de diffusion de couche 2 distincts, de sorte que des appareils sur des VLAN différents ne peuvent pas se joindre directement, même sur le même matériel. Il est étiqueté par un marqueur 802.1Q sur les liens de trunk. La valeur de sécurité est la segmentation : isoler le trafic des utilisateurs, des serveurs, des invités et de l'IoT limite la portée des diffusions et le mouvement latéral, le trafic inter-VLAN étant forcé de passer par un routeur ou un pare-feu où la politique est appliquée.
Un VLAN permet à un seul commutateur physique de se comporter comme plusieurs commutateurs indépendants. Au lieu d'acheter du matériel séparé pour chaque segment réseau, vous affectez des ports à des réseaux locaux virtuels qui ne voient pas le trafic des autres à la couche 2. C'est l'un des outils de segmentation les plus courants et rentables, d'où sa présence en entretien.
Comment fonctionnent les VLAN
Chaque VLAN est son propre domaine de diffusion. Une trame envoyée sur le VLAN 10 reste dans les ports du VLAN 10 ; un hôte sur le VLAN 20 ne la voit jamais. Les ports d'accès transportent le trafic non marqué d'un seul VLAN (un poste de travail branché sur l'un d'eux). Les ports trunk transportent plusieurs VLAN entre commutateurs et utilisent des marqueurs 802.1Q — un petit en-tête inséré dans chaque trame identifiant le VLAN auquel elle appartient — afin que le commutateur récepteur sache où l'acheminer. Pour déplacer du trafic entre VLAN, il doit passer par un équipement de couche 3 (un routeur ou « router-on-a-stick » / SVI), ce qui est précisément là où vous pouvez appliquer la politique de pare-feu.
La valeur de sécurité
La segmentation. Placer les serveurs, les ordinateurs portables des employés, le Wi-Fi invité et l'IoT sur des VLAN distincts signifie qu'une caméra IoT compromise ne peut pas joindre directement les serveurs financiers — elle doit franchir une frontière routée que vous contrôlez et surveillez. Des domaines de diffusion plus petits réduisent aussi l'exposition à l'écoute et le bruit.
Les mises en garde
Un marqueur VLAN n'est pas à lui seul une frontière de sécurité. Les attaques de VLAN hopping abusent des erreurs de configuration : le switch spoofing (un hôte négocie un trunk via DTP) et le double tagging (empiler deux marqueurs 802.1Q pour faire fuir une trame vers un autre VLAN). Défenses : désactiver DTP/auto-trunking, définir un VLAN natif dédié et inutilisé, élaguer les VLAN inutilisés, et placer un vrai pare-feu entre les segments sensibles.
Les recruteurs attendent l'idée d'isolation des domaines de diffusion, le bénéfice segmentation/mouvement latéral, et la conscience que les VLAN seuls ne sont pas un pare-feu.
Questions de suivi probables
- Qu'est-ce que le VLAN hopping (switch spoofing, double tagging) et comment l'éviter ?
- Comment fonctionne le marquage 802.1Q sur un port trunk par rapport à un port d'accès ?
- Pourquoi la séparation par VLAN ne remplace-t-elle pas un pare-feu entre segments ?