...

Qu’est-ce qu’un VLAN Private Cisco : Configuration

Contenus masquer
1. Qu’est-ce qu’un Private VLAN (PVLAN) ?
2. Différences entre un VLAN classique et un Private VLAN (PVLAN)
3. Comment configurer un Private VLAN sur un switch ?
4. Conclusion sur le PVLAN

Qu’est-ce qu’un Private VLAN (PVLAN) ?

Un Private VLAN (PVLAN) représente une évolution du VLAN classique, offrant des restrictions plus avancées. Cette technologie de segmentation fonctionne au niveau de la couche 2 du modèle OSI.

Elle permet d’isoler les ports d’un switch tout en maintenant les adresses IP dans le même réseau. Le principal avantage d’un PVLAN est d’optimiser l’utilisation des adresses IP, offrant ainsi une solution plus économique.

Exemple d’utilisation

Avec un VLAN basique, si l’on souhaite empêcher deux ordinateurs de communiquer entre eux, il faut les placer dans deux VLAN distincts, ce qui crée deux réseaux séparés. Cependant, imaginons que dans une entreprise, on veuille isoler 1 000 ordinateurs afin qu’ils ne puissent pas communiquer entre eux. Cela nécessiterait la création de 1 000 VLAN distincts, une tâche ingérable et complexe.

vlan shema

La solution est d’utiliser un Private VLAN. Grâce à cette technologie, chaque ordinateur peut être isolé des autres sans avoir à créer plusieurs VLAN. Ils restent dans le même réseau mais ne peuvent pas échanger de données entre eux.

Différences entre un VLAN classique et un Private VLAN (PVLAN)

CaractéristiquesVLAN classiquePrivate VLAN (PVLAN)
SegmentationSegmente les réseaux en plusieurs VLAN séparés.Segmente un VLAN en sous-VLAN plus petits (Primary et Secondary).
Communication interneLes appareils dans le même VLAN peuvent communiquer librement.Les appareils peuvent être isolés dans des sous-VLAN pour limiter la communication.
Types de communicationCommunication autorisée entre tous les appareils du VLAN.Communication restreinte entre les appareils en fonction du type de PVLAN (Promiscuous, Isolated, Community).
Types de VLANUn seul type de VLAN standard.Deux niveaux : Primary VLAN et Secondary VLAN (Promiscuous, Isolated, Community).
Isolation des appareilsPas d’isolation interne sans ACL ou autres techniques.Offre une isolation interne (notamment avec le type Isolated PVLAN).
UtilisationPrincipalement utilisé pour séparer les sous-réseaux.Utilisé pour fournir une isolation fine entre des appareils dans le même réseau.
SécuritéMoins granulaire en termes de sécurité interne.Sécurité accrue avec des sous-VLAN spécifiques pour chaque type d’appareil ou fonction.
Complexité de configurationConfiguration relativement simple.Plus complexe à configurer en raison des sous-VLAN et des règles de communication.
ScalabilitéLimité à la segmentation basique des réseaux.Permet une meilleure scalabilité en segmentant plus finement les VLAN.
shema private vlan fonctionnement

Explication des termes

Il existe trois types de ports dans un PVLAN :

  • Port promiscuous : Ce port peut envoyer et recevoir des trames de tous les autres ports du VLAN. Il est généralement connecté à un switch de niveau 3 ou à un routeur. On peut le comparer à une interface en mode trunk dans un VLAN classique.

  • Port isolé : Ce type de port est un port secondaire situé dans un sous-VLAN (isolated VLAN) auquel sont reliés des ordinateurs. Un port isolé ne peut communiquer qu’avec les ports promiscuous, et non avec d’autres ports isolés ou communautaires.

  • Port communautaire : Semblable au port isolé, mais avec davantage de permissions. Les ports communautaires, situés dans un sous-VLAN, peuvent communiquer entre eux ainsi qu’avec les ports promiscuous, mais pas avec des ports isolés ni avec des ports communautaires appartenant à d’autres sous-VLAN.

Types de VLAN dans un PVLAN

  • VLAN primaire : Il s’agit du VLAN principal qui regroupe tous les sous-VLAN associés (isolés et communautaires) dans le même réseau.

  • VLAN isolé : Ce sous-VLAN est utilisé pour connecter des ordinateurs qui doivent être totalement isolés les uns des autres, bien qu’ils puissent toujours accéder à la passerelle, à Internet ou au WAN.

  • VLAN communautaire : Les équipements dans un VLAN communautaire peuvent communiquer entre eux ainsi qu’avec leur passerelle, mais ils ne peuvent pas échanger de données avec des ports isolés ni avec des ports communautaires d’autres sous-VLAN.

Comment configurer un Private VLAN sur un switch ?

Pour configurer un Private VLAN (PVLAN), il est nécessaire de créer les VLAN isolés et communautaires avant de configurer le VLAN primaire, car ce dernier devra être associé à ces sous-VLAN. Voici les étapes à suivre :

1)Création des sous-VLAN : On commence par créer les sous-VLAN. Par exemple, le VLAN 20 sera un VLAN isolé et le VLAN 30 sera un VLAN communautaire.

conf t
vlan 20
private-vlan isolated

vlan 30
private-vlan community

2)Création du VLAN primaire : Maintenant, nous créons le VLAN primaire (VLAN 10), auquel nous associons les sous-VLAN précédemment créés (VLAN 20 et VLAN 30).

vlan 10
private-vlan primary
private-vlan association 20,30

3)Configuration des ports du switch : Chaque port du switch doit être associé à un sous-VLAN spécifique. Voici comment procéder.

Assignation d’un port au VLAN isolé : Le port GigabitEthernet0/0 est assigné au sous-VLAN 20 (VLAN isolé) appartenant au VLAN 10. La commande switchport mode private-vlan host indique que le port est une interface de terminaison.

int g0/0
switchport mode private-vlan host
switchport private-vlan host-association 10,20

On répète cette étape pour un autre port isolé :

int g0/1
switchport mode private-vlan host
switchport private-vlan host-association 10,20

Assignation d’un port au VLAN communautaire : Le port GigabitEthernet1/0 est assigné au sous-VLAN 30 (VLAN communautaire) appartenant au VLAN 10.

int g1/0
switchport mode private-vlan host
switchport private-vlan host-association 10,30

De la même manière, on configure un second port communautaire :

int g1/1
switchport mode private-vlan host
switchport private-vlan host-association 10,30

4)Configuration du port promiscuous : Enfin, on configure le port promiscuous (GigabitEthernet2/0), qui permettra de transmettre des trames pour tous les VLAN associés au VLAN primaire. Ce port doit être configuré pour accepter le VLAN primaire ainsi que les sous-VLAN.

int g2/0
switchport mode private-vlan promiscuous
switchport private-vlan mapping 10 20,30

Cela permet de spécifier que le VLAN primaire est le VLAN 10, et qu’il gère les sous-VLAN 20 (isolé) et 30 (communautaire).

Conclusion sur le PVLAN

Le Private VLAN (PVLAN) représente une amélioration par rapport au VLAN standard en offrant un meilleur contrôle de la communication interne entre les machines. Il permet d’ajouter plusieurs sous-VLAN dans un même réseau tout en conservant le même adressage IP, ce qui améliore la gestion des adresses tout en renforçant la sécurité. Grâce à cette segmentation avancée, le PVLAN constitue une solution idéale pour les environnements nécessitant un contrôle d’accès et une maintenance réseau renforcée.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Souscrire à notre Newletter

Ne manquez jamais une mise à jour ! Inscrivez-vous dès maintenant à notre newsletter pour recevoir nos articles quotidiens directement dans votre boîte de réception. 

Restez informé des dernières tendances, astuces et conseils pour sécuriser vos données, optimiser vos appareils et perfectionner vos compétences en programmation. Abonnez-vous et faites partie de notre réseau d’experts et d’enthousiastes en technologie.

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Prénom Nom
Swtich
Routage
Surveillance Réseau
S'inscrire
Se connecter
Déconnection​
  • contact@cyberopti.com
Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.