https://doc.ycharbi.fr/index.php?action=history&feed=atom&title=Vlan_priv%C3%A9_-_ciscoVlan privé - cisco - Historique des versions2026-04-17T05:21:04ZHistorique des versions pour cette page sur le wikiMediaWiki 1.40.0https://doc.ycharbi.fr/index.php?title=Vlan_priv%C3%A9_-_cisco&diff=1366&oldid=prevYcharbi : Finalisation de la documentation entamée hier2022-04-02T16:39:17Z<p>Finalisation de la documentation entamée hier</p>
<a href="https://doc.ycharbi.fr/index.php?title=Vlan_priv%C3%A9_-_cisco&diff=1366&oldid=1365">Voir les modifications</a>Ycharbihttps://doc.ycharbi.fr/index.php?title=Vlan_priv%C3%A9_-_cisco&diff=1365&oldid=prevYcharbi : Page créée avec « Category:Cisco {{chantier}} Les ''VLAN'' privés ou ''Private VLAN'' (''PVLAN'') permettent de cloisonner l'intérieur d'un ''VLAN'' afin de restreindre ses clients à communiquer avec certains ports seulement (généralement celui de la passerelle). L'intérêt d'une telle solution est d'empêcher la communication des clients d'un même réseau entre eux et donc de limiter considérablement les failles (propagation de virus notamment). Cette technologie se bas... »2022-04-01T23:22:33Z<p>Page créée avec « <a href="/index.php/Cat%C3%A9gorie:Cisco" title="Catégorie:Cisco">Category:Cisco</a> {{chantier}} Les ''VLAN'' privés ou ''Private VLAN'' (''PVLAN'') permettent de cloisonner l'intérieur d'un ''VLAN'' afin de restreindre ses clients à communiquer avec certains ports seulement (généralement celui de la passerelle). L'intérêt d'une telle solution est d'empêcher la communication des clients d'un même réseau entre eux et donc de limiter considérablement les failles (propagation de virus notamment). Cette technologie se bas... »</p>
<p><b>Nouvelle page</b></p><div>[[Category:Cisco]]<br />
<br />
{{chantier}}<br />
<br />
Les ''VLAN'' privés ou ''Private VLAN'' (''PVLAN'') permettent de cloisonner l'intérieur d'un ''VLAN'' afin de restreindre ses clients à communiquer avec certains ports seulement (généralement celui de la passerelle). L'intérêt d'une telle solution est d'empêcher la communication des clients d'un même réseau entre eux et donc de limiter considérablement les failles (propagation de virus notamment). Cette technologie se basant sur l'implémentation standard des ''VLAN'' sur ''IOS'', le cloisonnement peut être étendu à plusieurs commutateurs au travers de troncs ''802.1Q''. Les spécifications des ''VLAN'' privés sont détaillées dans la [https://datatracker.ietf.org/doc/html/rfc5517 RFC 5517].<br />
<br />
Ce type d'architecture fait particulièrement sens pour des clients bureautiques n'hébergeant aucun services pour les autres machines mais ayant accès Internet et bien souvent à une [[Serveur de courriels|messagerie]] représentant un formidable [https://fr.wikipedia.org/wiki/WannaCry#Caract%C3%A9ristiques vecteur d'infection].<br />
<br />
=Architecture=<br />
Cette documentation utilisera deux commutateurs ''Cisco'' supportant cette fonction :<br />
<br />
{| class="wikitable"<br />
|-<br />
! NOM !! Modèle !! Version IOS<br />
|-<br />
| COM-DOC-1 || WS-C2960CX-8PC-L || [https://logiciels.ycharbi.fr/Logiciels/Cisco/IOS/COMMUTATEURS/2960CX/c2960cx-universalk9-mz.152-7.E2.bin c2960cx-universalk9-mz.152-7.E2.bin]<br />
|-<br />
| COM-DOC-2 || WS-C3750G-24TS || [https://logiciels.ycharbi.fr/Logiciels/Cisco/IOS/COMMUTATEURS/3750/c3750-ipbasek9-mz.122-55.SE12.bin c3750-ipbasek9-mz.122-55.SE12.bin]<br />
|}<br />
<br />
''COM-DOC-1'' supportera un client et sera interconnecté à ''COM-DOC-2'' qui servira un autre client du même réseau via un tronc ''802.1Q''. Il interconnectera le tout à une passerelle. Les client ne peuvent communiquer qu'avec cette dernière. Le schéma suivant retrace l'architecture de test :<br />
<br />
<img src="https://doc.ycharbi.fr/fichiers/réseaux/vlan_privé/Schéma_doc_PVLAN.svg" alt="Schéma architecture VLAN privé" style="display: block;width:70%; height:auto; margin-left:auto; margin-right:auto;"/><br />
<br />
=Principe=<br />
Le ''VLAN'' privé est en fait la combinaison de plusieurs ''VLAN'' en un seul. Ces ''VLAN'' communiques entre eux par les ports physiques des commutateurs en fonction du mode dans lequel ils sont configurés. Un ''VLAN'' primaire contient plusieurs ''VLAN'' secondaires qui peuvent fonctionner selon deux modes :<br />
<br />
* communauté (''community'') : les ports placés dans ce type de ''VLAN'' peuvent communiquer entre eux comme s’ils se trouvaient dans un même ''VLAN'' « classique », mais ne peuvent pas communiquer avec les ports affectés à d’autres ''VLAN'' secondaires<br />
* isolé (''isolated'') : les ports placées dans ce type de ''VLAN'' ne peuvent pas communiquer entre eux, mais uniquement avec les ports en mode promiscuité (''promiscuous''), généralement la passerelle par défaut.<br />
<br />
Le ''VLAN'' primaire ne fonctionne qu'en mode promiscuité et a un accès non restreint à l'ensemble des ''VLAN'' secondaires (pour lui, tout fait partie du même réseau). Un port physique est donc attribué à un ''VLAN'' primaire lorsque celui est en mode promiscuité.<br />
<br />
{{info|Il ne peut y avoir qu'un seul ''VLAN'' en mode isolé par ''VLAN'' primaire.}}<br />
<br />
L{{'}}''ANSSI'' propose dans son tableau n°5 (chapitre 5.6 page 33 du guide de recommandation en [[#Sources|première source]]) une matrice des flux autorisés retranscrite ci-dessous :<br />
<br />
{| class="wikitable"<br />
|-<br />
! scope="col"| Mode<br />
! scope="col"| isolated<br />
! scope="col"| promiscuous<br />
! scope="col"| community 1<br />
! scope="col"| community 2<br />
|-<br />
! scope="row"| isolated<br />
| ✗<br />
| ✔<br />
| ✗<br />
| ✗<br />
|-<br />
! scope="row"| promiscuous<br />
| ✔<br />
| ✔<br />
| ✔<br />
| ✔<br />
|-<br />
! scope="row"| community 1<br />
| ✗<br />
| ✔<br />
| ✔<br />
| ✗<br />
|-<br />
! scope="row"| community 2<br />
| ✗<br />
| ✔<br />
| ✗<br />
| ✔<br />
|}<br />
<br />
=Configuration=<br />
Tout d'abord est obligatoire de rendre le ''VTP'' inopérant sur vos équipements pour pouvoir utiliser cette fonction.<br />
vtp mode off<br />
<br />
Nous utiliserons 4 ''VLAN'' pour la démonstration :<br />
* 10 : primaire<br />
* 11 : isolé<br />
* 12 : communauté 1<br />
* 13 : communauté 2<br />
<br />
==COM-DOC-1==<br />
===Création des VLAN===<br />
vlan 11<br />
name Production-cloison<br />
private-vlan isolated<br />
<br />
vlan 10<br />
name Production<br />
private-vlan primary<br />
private-vlan association 11<br />
<br />
===Interfaces de clients===<br />
Les 3 premières interfaces sont dédiées aux clients et ne leur permettrons pas de se contacter.<br />
default interface range g0/1 - 3<br />
interface range g0/1 - 3<br />
description --- Production ---<br />
switchport mode access<br />
switchport private-vlan host-association 10 11<br />
switchport mode private-vlan host<br />
<br />
===Interface de passerelle===<br />
Les clients des 3 premières interfaces pourrons joindre la machine connecté sur le quatrième port du commutateur et cette dernière pourra joindre chacun d'eux comme bon lui semble<br />
default interface g0/3<br />
interface g0/3<br />
description --- Vers passerelle LAN Production ---<br />
switchport mode access<br />
switchport nonegotiate<br />
switchport private-vlan association mapping 10 11<br />
switchport private-vlan mapping 10 11<br />
switchport mode private-vlan promiscuous<br />
<br />
==COM-DOC-2==<br />
<br />
=Sources=<br />
* https://www.ssi.gouv.fr/guide/recommandations-pour-la-securisation-dun-commutateur-de-desserte/ (en cache [https://gitea.ycharbi.fr/ycharbi/Guides/src/branch/master/Guides_s%c3%a9curit%c3%a9/ANSSI/R%c3%a9seau/nt_commutateurs.pdf ici])<br />
* https://www.cisco.com/en/US/docs/general/Test/dwerblo/broken_guide/pvlans.html<br />
* https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9<br />
* https://www.geeksforgeeks.org/private-vlan/</div>Ycharbi