Les VLAN privés ou Private VLAN (PVLAN) permettent de cloisonner l'intérieur d'un VLAN afin de restreindre ses clients à communiquer avec certains ports seulement (généralement celui de la passerelle). L'intérêt d'une telle solution est d'empêcher la communication des clients d'un même réseau entre eux et donc de limiter considérablement les failles (propagation de virus notamment). Cette technologie se basant sur l'implémentation standard des VLAN sur IOS, le cloisonnement peut être étendu à plusieurs commutateurs au travers de troncs 802.1Q. Les spécifications des VLAN privés sont détaillées dans la RFC 5517.

Ce type d'architecture fait particulièrement sens pour des clients bureautiques n'hébergeant aucun services pour les autres machines mais ayant accès Internet et bien souvent à une messagerie représentant un formidable vecteur d'infection.

Architecture

Cette documentation utilisera deux commutateurs Cisco supportant cette fonction :

COM-DOC-1 supportera un client et sera interconnecté à COM-DOC-2 qui servira un autre client du même réseau via un tronc 802.1Q. Il interconnectera le tout à une passerelle. Les client ne peuvent communiquer qu'avec cette dernière. Le schéma suivant retrace l'architecture de test :

Principe

Le VLAN privé est en fait la combinaison de plusieurs VLAN en un seul. Ces VLAN communiques entre eux par les ports physiques des commutateurs en fonction du mode dans lequel ils sont configurés. Un VLAN primaire contient plusieurs VLAN secondaires qui peuvent fonctionner selon deux modes :

• communauté (community) : les ports placés dans ce type de VLAN peuvent communiquer entre eux comme s’ils se trouvaient dans un même VLAN « classique », mais ne peuvent pas communiquer avec les ports affectés à d’autres VLAN secondaires
• isolé (isolated) : les ports placées dans ce type de VLAN ne peuvent pas communiquer entre eux, mais uniquement avec les ports en mode promiscuité (promiscuous), généralement la passerelle par défaut.

Le VLAN primaire ne fonctionne qu'en mode promiscuité et a un accès non restreint à l'ensemble des VLAN secondaires (pour lui, tout fait partie du même réseau). Un port physique est donc attribué à un VLAN primaire lorsque celui est en mode promiscuité.

L'ANSSI propose dans son tableau n°5 (chapitre 5.6 page 33 du guide de recommandation en première source) une matrice des flux autorisés retranscrite ci-dessous :

Configuration

Tout d'abord est obligatoire de rendre le VTP inopérant sur vos équipements pour pouvoir utiliser cette fonction.

vtp mode off

Nous utiliserons 4 VLAN pour la démonstration :

• 10 : primaire
• 11 : isolé
• 12 : communauté 1
• 13 : communauté 2

COM-DOC-1

Création des VLAN

vlan 11
 name Production-cloison
 private-vlan isolated

vlan 10
 name Production
 private-vlan primary
 private-vlan association 11

Interfaces de clients

Les 3 premières interfaces sont dédiées aux clients et ne leur permettrons pas de se contacter.

default interface range g0/1 - 3
interface range g0/1 - 3
 description --- Production ---
 switchport mode access
 switchport private-vlan host-association 10 11
 switchport mode private-vlan host

Interface de passerelle

Les clients des 3 premières interfaces pourrons joindre la machine connecté sur le quatrième port du commutateur et cette dernière pourra joindre chacun d'eux comme bon lui semble

default interface g0/3
interface g0/3
 description --- Vers passerelle LAN Production ---
 switchport mode access
 switchport nonegotiate
 switchport private-vlan association mapping 10 11
 switchport private-vlan mapping 10 11
 switchport mode private-vlan promiscuous

COM-DOC-2

Sources

• https://www.ssi.gouv.fr/guide/recommandations-pour-la-securisation-dun-commutateur-de-desserte/ (en cache ici)
• https://www.cisco.com/en/US/docs/general/Test/dwerblo/broken_guide/pvlans.html
• https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9
• https://www.geeksforgeeks.org/private-vlan/