Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le Private VLAN, approfondissements

Le Private VLAN, approfondissements
2012-06-262013-02-11sécurité des réseauxfr
Le Private VLAN est par principe composé d'un VLAN Primaire ("Promiscuous", qui contient les "Promiscuous Ports") et d'un ou plusieurs VLAN Secondaires (« Isolated » ou « Community » qui contiennent les "Host Ports").
Publié le 26 Juin 2012 par Guillaume Bazire dans sécurité des réseaux
working guy

Après le succès de la présentation du Private Vlan, je me suis dit qu'il pourrait être intéressant d'en savoir un peu plus. Cela principalement dans l'objectif de faire comprendre à ceux qui sont encore réticents qu'il n'y a rien de très complexe lorsque l'on soulève le capot.

fonctionnement

Le Private VLAN est par principe composé d'un VLAN primaire ("Promiscuous", qui contient les "Promiscuous Ports") et d'un ou plusieurs VLAN secondaires (« Isolated » ou « Community » qui contiennent les "Host Ports").

Ces différents VLAN seront dans le même sous-réseau IP (car seul le VLAN Primaire possédera une interface de niveau 3, ou la passerelle par défaut).

pour résumer...

Il existe 3 types de VLAN pour construire une infrastructure de Private Vlan :

  • "Primary" (ou "Promiscuous") : une machine en configuration VLAN « Primary » peut communiquer avec tous les autres VLAN au sein du Private VLAN. Cela est notamment utilisé pour les routeurs ou autres services mutualisés
  • "Isolated" : complètement séparé au niveau 2 des autres machines du même VLAN (cela inclut les broadcasts). La seule exception est la communication vers les machines du VLAN « Primary »
  • "Community" : les machines au sein de la même communauté peuvent communiquer entre elles, et vers les machines du VLAN « Primaire ». Cependant, les machines d'une communauté ne pourront pas communiquer avec les machines des autres communautés ou avec des VLAN « Isolated »

Dans la pratique, les VLAN secondaires sont associés à un VLAN primaire, qui contient au minimum le Routeur ou Pare-feu de sortie.

cas concrets avec des exemples

cas de la zone "invités"

Dans le cas des zones invitées, nous avons vu lors du précédent article que l'isolation des clients est primordiale (surtout que de plus en plus d'employés de l'entreprise sont adeptes du BYOD).
Pour réaliser cette isolation, nous allons mettre les clients dans un VLAN « Isolated », et mettre le Pare-Feu dans un VLAN « Primary ».

Voici un schéma explicatif :

private vlan (pvlan) guest zone explanation

Nous avons donc ici une isolation correcte des clients, et une communication vers le reste du réseau contrôlée par le Pare-Feu.

cas de la zone "DMZ"

Dans le cas des zones DMZ, l'objectif est d'éviter d'avoir une multitude de zones avec à chaque fois des interfaces (ou sous-interfaces) supplémentaires sur les Pare-Feu.

Pour cela, nous allons avoir pour l'exemple des serveurs Proxy et des Passerelles SSL dans des VLAN « Community » séparés, et nous allons retrouver notre Pare-Feu dans un VLAN « Primary ».

Voici un schéma explicatif :

private vlan (pvlan) DMZ zone explanation

Nous avons ici nos serveurs qui peuvent communiquer directement au sein de leur communauté, mais pas directement avec les autres communautés. Ils ont cependant une ressource commune, le Pare-Feu qui contrôle les accès vers le reste du réseau : LAN, WAN et même les autres communautés de cette DMZ (dans le cas où l'on autorise sur le Pare-Feu une communication contrôlée intra-interface).

le Private VLAN est-il maintenant plus clair pour vous ?

J’espère que ces deux petits articles ont pu éclaircir ce qui se cache derrière cette technologie « Private VLAN » et que vous pourrez maintenant ajouter cela dans vos réflexions sur les designs afin d’ajouter un petit maillon sécurité supplémentaire sur vos infrastructures. ;-)

Guillaume.

pour plus d'info sur les Private Vlans => RFC 5517 : http://tools.ietf.org/html/rfc5517

crédit photo : © reji - Fotolia.com

4 Commentaires

  • 26 Juin 2013
    2013-06-26
    par
    Bonjour Abdallah,

    Cette fonctionnalité existe dans certains contrôleurs wifi et cela est à mettre en place sur les contrôleurs.
    Exemple pour Cisco, option "p2p blocking action" à "Forward-UpStream" ou "Drop" dans l'onglet "Advanced" de "WLANs"
    http://www.cisco.com/en/US/docs/wireless/controller/5.2/configuration/guide/c52wlan.html#wp1209597

    Bonne continuation.
    Cordialement, Guillaume.

     

  • 25 Juin 2013
    2013-06-26
    par
    Abdallah dhaou
    Bonjour, je voulais savoir si c'est possible d'appliquer le PVLAN pour un point d'accés ou tous les clients sont connecté wifi ? Merci
  • 26 Septembre 2012
    2013-06-26
    par
    Bonjour Marc,
    Cela prend effet sur le port du switch, il faut donc que les utilisateurs soient sur des ports différents pour être isolés.
    Dans le cas des 3 "sous switches" reliés sur un switch faisant du private vlan en mode isolated, cela revient à faire 3 community. C'est à dire que les personnes qui seront connectés sur les "sous switches" pourront discuter entre eux, mais pas d'un "sous switch" à un autre.
    Il n'y a en aucun cas une propagation de private vlan, c'est une configuration au niveau du switch. Si le switch ne prend pas en compte le private vlan, il n'y aura pas d'isolation sur celui-ci.
    J'espère avoir répondu à vos questions ;-)
    Guillaume.
  • 26 Septembre 2012
    2013-06-26
    par
    Marc
    Bonjour,

    Dans le cas du VLAN isolé, on considère que les utilisateurs sont reliés à des ports différents du switch ?
    Comment cela fonctionnerait t'il si j'ai 3 sous switch (10 utilisateurs chacuns) relié à un switch principal sur un seul port et que je décide que ce port sera isolé ?
    Il n'y aurait pas de propagation de vlan isolé ? les sous switchs pourraient parler entre eux ?

    Cordialement

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage