Ceci est un texte traduit automatiquement qui peut contenir des erreurs !
Imaginez un réseau scolaire où les élèves, les enseignants, l’administration et les appareils IoT (imprimantes, écrans intelligents, caméras) partagent tous le même réseau. En théorie, tout le monde peut se voir. Ce n’est ni sûr ni efficace. La solution est la segmentation.
Pourquoi segmenter ?
La segmentation consiste à diviser un réseau en plusieurs parties plus petites. Chaque partie est isolée des autres, de sorte que le trafic ne circule pas librement entre elles.
| Avantage | Explication |
|---|---|
| Sécurité | Une caméra IoT compromise ne peut pas atteindre les serveurs |
| Performance | Moins de trafic de diffusion par segment |
| Contrôle | Règles différentes pour différents groupes d’utilisateurs |
| Dépannage | Il est plus facile d’isoler les problèmes à un segment spécifique |
Et praktisk eksempel
Dans une école, le réseau peut ressembler à ceci :
- VLAN 10 : Administration - Salaires, RH, direction. Accès strictement limité.
- VLAN 20 : Employés - Enseignants et autres employés. Accès aux dossiers partagés et aux imprimantes.
- VLAN 30 : Élèves - Accès uniquement à Internet et aux plateformes d’apprentissage.
- VLAN 40 : IoT - Imprimantes, écrans intelligents, caméras. Pas d’accès Internet (ou très limité).
- VLAN 50 : Serveurs - Serveurs internes, inaccessible directement depuis les autres VLAN.
Qu’est-ce qu’un VLAN ?
VLAN signifie Virtual Local Area Network (Réseau Local Virtuel). C’est une manière de créer plusieurs réseaux logiques sur le même commutateur physique. Au lieu d’acheter un commutateur distinct pour chaque réseau, vous configurez le commutateur pour traiter différents ports (ou trafic) comme des réseaux séparés.
Chaque VLAN a sa propre plage d’adresses (sous-réseau) :
| VLAN | Nom | Sous-réseau | Passerelle |
|---|---|---|---|
| 10 | Administration | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Employés | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Étudiants | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serveurs | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 signifie que les 24 premiers bits sont la partie réseau de l’adresse. En pratique, cela signifie que vous avez 254 adresses disponibles (.1 à .254) dans chaque VLAN.
10.0.10.0/24donne des adresses de10.0.10.1à10.0.10.254- La passerelle est généralement la première adresse (
.1)
Tagged vs. Untagged Traffic
For VLANs to function across multiple switches (or between a switch and a router), tagging is used:
| Type | Explanation | Use |
|---|---|---|
| Untagged (access) | The port belongs to one VLAN. The device is unaware of VLANs. | PCs, printers, phones |
| Tagged (trunk) | The port carries traffic from multiple VLANs, marked with the VLAN ID. | Between switches, towards routers |
Devices such as PCs and printers do not need to know that they are on a VLAN. They are connected to an “access” port that is assigned the correct VLAN. The connection between two switches or between a switch and a router uses a “trunk” port that carries all VLANs.
Exercice 1 - Voir les VLAN en pratique
Si vous avez accès à Unifi ou à une autre plateforme d’administration réseau à l’école :
- Regardez quels VLAN sont configurés
- Quelles ports sont définis comme accès, et lesquels comme trunk ?
- Essayez de déterminer à quel VLAN votre PC est connecté (indice : vérifiez votre adresse IP et comparez-la avec le tableau des sous-réseaux)
Règles de pare-feu entre les VLAN
Créer des VLAN n’est que la moitié du travail. Sans règles de pare-feu, le trafic peut encore circuler entre eux via le routeur/la passerelle. Vous devez explicitement déterminer ce qui est autorisé :
| De (source) | À (destination) | Autorisé ? | Justification |
|---|---|---|---|
| Élèves | Internet | ✅ Oui | Nécessaire pour l’enseignement |
| Élèves | Serveurs | ❌ Non | Les élèves n’ont pas besoin d’accéder aux serveurs |
| Employés | Serveurs | ✅ Oui | Stockage de fichiers et systèmes internes |
| IoT | Internet | ❌ Non (ou limité) | Les appareils IoT n’ont que rarement besoin d’Internet |
| IoT | Élèves/Employés | ❌ Non | L’IoT doit être isolé |
| Serveurs | Tous | ✅ Oui (sortant) | Les serveurs peuvent répondre aux requêtes |
Standard: bloquer tout, autoriser ce dont vous avez besoin
Une bonne politique de pare-feu commence par bloquer tout le trafic entre les VLAN, puis en ouvrant uniquement ce qui est nécessaire. C’est beaucoup plus sûr que de commencer avec tout ouvert et d’essayer de bloquer ce que vous ne voulez pas.
Subnetting
Chaque VLAN a besoin de son propre subnet. Un subnet définit la plage d’adresses du réseau :
| Subnet | Masque de réseau | Nombre d’adresses | Utilisation typique |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | La plupart des VLAN |
/25 | 255.255.255.128 | 126 | Petits segments |
/16 | 255.255.0.0 | 65 534 | Grands réseaux |
Exercice 2 - Calculer un sous-réseau
Utilisez une calculatrice de sous-réseau en ligne, par exemple subnet-calculator.com:
- Entrez
192.168.1.0avec le masque/24. Combien d’adresses obtenez-vous ? - Que se passe-t-il si vous changez pour
/25? Ou/23? - Que choisiriez-vous pour une classe de 30 élèves ?
DHCP par VLAN
Chaque VLAN nécessite sa propre configuration DHCP afin que les appareils reçoivent la bonne adresse IP pour leur segment. Cela peut être configuré sur le routeur ou un serveur DHCP dédié.
Exemple pour le VLAN Élèves :
| Paramètre | Valeur |
|---|---|
| Sous-réseau | 10.0.30.0/24 |
| Passerelle | 10.0.30.1 |
| Plage DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Résumé
- Segmentation divise le réseau en parties isolées pour la sécurité et le contrôle
- VLAN sont des réseaux virtuels sur le même commutateur physique
- Ports d’accès connectent les appareils à un VLAN, ports trunk transportent plusieurs VLAN
- Règles de pare-feu déterminent ce qui est autorisé entre les VLAN
- Chaque VLAN a besoin de son propre sous-réseau et de sa propre configuration DHCP
- Point de départ : bloquer tout, autoriser uniquement ce qui est nécessaire