Vlan privé - cisco
EN CHANTIER
Article en cours d'écriture et/ou de test. Certains éléments peuvent être incomplets et mener à un résultat non fonctionnel.Merci de ne pas rager.
Les VLAN privés ou Private VLAN (PVLAN) permettent de cloisonner l'intérieur d'un VLAN afin de restreindre ses clients à communiquer avec certains ports seulement (généralement celui de la passerelle). L'intérêt d'une telle solution est d'empêcher la communication des clients d'un même réseau entre eux et donc de limiter considérablement les failles (propagation de virus notamment). Cette technologie se basant sur l'implémentation standard des VLAN sur IOS, le cloisonnement peut être étendu à plusieurs commutateurs au travers de troncs 802.1Q. Les spécifications des VLAN privés sont détaillées dans la RFC 5517.
Ce type d'architecture fait particulièrement sens pour des clients bureautiques n'hébergeant aucun services pour les autres machines mais ayant accès Internet et bien souvent à une messagerie représentant un formidable vecteur d'infection.
Architecture
Cette documentation utilisera deux commutateurs Cisco supportant cette fonction :
NOM | Modèle | Version IOS |
---|---|---|
COM-DOC-1 | WS-C2960CX-8PC-L | c2960cx-universalk9-mz.152-7.E2.bin |
COM-DOC-2 | WS-C3750G-24TS | c3750-ipbasek9-mz.122-55.SE12.bin |
COM-DOC-1 supportera un client et sera interconnecté à COM-DOC-2 qui servira un autre client du même réseau via un tronc 802.1Q. Il interconnectera le tout à une passerelle. Les client ne peuvent communiquer qu'avec cette dernière. Le schéma suivant retrace l'architecture de test :
<img src="https://doc.ycharbi.fr/fichiers/réseaux/vlan_privé/Schéma_doc_PVLAN.svg" alt="Schéma architecture VLAN privé" style="display: block;width:70%; height:auto; margin-left:auto; margin-right:auto;"/>
Principe
Le VLAN privé est en fait la combinaison de plusieurs VLAN en un seul. Ces VLAN communiques entre eux par les ports physiques des commutateurs en fonction du mode dans lequel ils sont configurés. Un VLAN primaire contient plusieurs VLAN secondaires qui peuvent fonctionner selon deux modes :
- communauté (community) : les ports placés dans ce type de VLAN peuvent communiquer entre eux comme s’ils se trouvaient dans un même VLAN « classique », mais ne peuvent pas communiquer avec les ports affectés à d’autres VLAN secondaires
- isolé (isolated) : les ports placées dans ce type de VLAN ne peuvent pas communiquer entre eux, mais uniquement avec les ports en mode promiscuité (promiscuous), généralement la passerelle par défaut.
Le VLAN primaire ne fonctionne qu'en mode promiscuité et a un accès non restreint à l'ensemble des VLAN secondaires (pour lui, tout fait partie du même réseau). Un port physique est donc attribué à un VLAN primaire lorsque celui est en mode promiscuité.
INFORMATION
Il ne peut y avoir qu'un seul VLAN en mode isolé par VLAN primaire.L'ANSSI propose dans son tableau n°5 (chapitre 5.6 page 33 du guide de recommandation en première source) une matrice des flux autorisés retranscrite ci-dessous :
Mode | isolated | promiscuous | community 1 | community 2 |
---|---|---|---|---|
isolated | ✗ | ✔ | ✗ | ✗ |
promiscuous | ✔ | ✔ | ✔ | ✔ |
community 1 | ✗ | ✔ | ✔ | ✗ |
community 2 | ✗ | ✔ | ✗ | ✔ |
Configuration
Tout d'abord est obligatoire de rendre le VTP inopérant sur vos équipements pour pouvoir utiliser cette fonction.
vtp mode off
Nous utiliserons 4 VLAN pour la démonstration :
- 10 : primaire
- 11 : isolé
- 12 : communauté 1
- 13 : communauté 2
COM-DOC-1
Création des VLAN
vlan 11 name Production-cloison private-vlan isolated vlan 10 name Production private-vlan primary private-vlan association 11
Interfaces de clients
Les 3 premières interfaces sont dédiées aux clients et ne leur permettrons pas de se contacter.
default interface range g0/1 - 3 interface range g0/1 - 3 description --- Production --- switchport mode access switchport private-vlan host-association 10 11 switchport mode private-vlan host
Interface de passerelle
Les clients des 3 premières interfaces pourrons joindre la machine connecté sur le quatrième port du commutateur et cette dernière pourra joindre chacun d'eux comme bon lui semble
default interface g0/3 interface g0/3 description --- Vers passerelle LAN Production --- switchport mode access switchport nonegotiate switchport private-vlan association mapping 10 11 switchport private-vlan mapping 10 11 switchport mode private-vlan promiscuous