À une certaine époque, la mise en réseau était l’une des merveilles du monde moderne. En connectant tous les appareils d’une entreprise, les organisations pouvaient largement diffuser l’information dans ce qui ressemblait à un code secret.
Le problème est que ces réseaux ont rapidement commencé à devenir incontrôlables. Avec des centaines, voire des milliers d’ordinateurs reliés à un seul réseau, la puissance de traitement s’est effondrée, et la sécurité aussi. N’importe qui sur le réseau pouvait consulter, télécharger, voler ou vendre les données de l’entreprise 一 une recette pour un désastre.
Comment les entreprises ont-elles surmonté ces défis ? Recherchez : Les VLAN.
Les VLAN, ou réseaux locaux virtuels, divisent les réseaux locaux en groupes distincts et connectent ces groupes de périphériques à distance. Une fois qu’un appareil fait partie d’un VLAN, il ne peut communiquer qu’avec d’autres appareils se trouvant sur ce même réseau, ce qui réduit automatiquement le volume de diffusion et verrouille l’accès aux données. En coulisse, le service informatique peut également utiliser les VLAN pour gérer le trafic et mettre en œuvre des mesures de sécurité supplémentaires qui réduisent le risque de violation.
Pour profiter des avantages d’un VLAN, vous devez d’abord en comprendre les principes fondamentaux. Dans cet article, nous allons vous expliquer ce qu’est un VLAN, en quoi le balisage VLAN diffère des VLAN non balisés et pourquoi le balisage VLAN peut améliorer la sécurité de votre réseau.
Qu’est-ce qu’un VLAN ?
Un VLAN, ou réseau local virtuel, est un groupe de périphériques qui partagent un domaine de diffusion. À première vue, cela ne semble pas trop compliqué ou spécial, mais le VLAN est un grand pas en avant par rapport à son prédécesseur 一 le LAN.
Un LAN, ou réseau local, est une grappe d’ordinateurs connectés hébergés dans une zone spécifique, comme les bureaux d’une entreprise. Chaque fois qu’une diffusion est envoyée au sein d’un LAN, tous les appareils du réseau doivent la traiter et l’accepter.
Cela exerce une pression énorme sur tous les appareils, ralentit le réseau et rend les données contenues dans ces diffusions facilement accessibles à quiconque peut accéder au réseau. À mesure qu’un LAN prend de l’ampleur, la surcharge de l’unité centrale et le manque de sécurité deviennent insoutenables.
C’est pourquoi de nombreuses entreprises se sont tournées vers les VLAN, qui séparent un LAN en segments distincts. En général, les organisations créent des VLAN pour chaque département. Les appareils d’un VLAN peuvent communiquer entre eux, et uniquement entre eux.
Les VLAN étant par nature virtuels, les employés peuvent communiquer en toute sécurité avec leurs collègues, où qu’ils se trouvent. Même si tous les employés sont au bureau, les VLAN permettent d’ajouter ou de supprimer facilement des périphériques d’un réseau sans avoir à se soucier du câblage ou de l’infrastructure d’un LAN.
Comment fonctionne un VLAN ?
Les VLAN ne seraient pas conçus comme nous les connaissons aujourd’hui si nous n’avions pas tiré de leçon des lacunes d’Ethernet. Dans les années 1970, Ethernet était une nouveauté : relier plusieurs périphériques entre eux n’avait jamais été fait auparavant.
Bien qu’impressionnant à l’époque, de nombreux problèmes sont ensuite apparus. Lorsque plusieurs périphériques émettaient des diffusions en même temps, les messages se brouillaient, ce qui a donné naissance aux premiers routeurs et commutateurs.
Même ceux-ci ne résolvaient pas le problème du trafic de diffusion constant, et les professionnels des réseaux ont appris que plus le nombre de périphériques augmentait, plus l’efficacité de leurs réseaux diminuait. La restriction d’un réseau à une seule zone locale a aidé.
Cependant, lorsque les entreprises ont commencé à laisser de plus en plus d’employés travailler à distance, les réseaux locaux étaient impossibles à maintenir, ce qui a conduit au développement des réseaux virtuels.
Les VLAN fonctionnent en segmentant un grand réseau en plusieurs petits réseaux de manière logique. Chaque VLAN est un réseau autonome dont les périphériques connectés peuvent envoyer et recevoir des diffusions.
Cependant, la configuration d’un VLAN n’est pas aussi simple que le cloisonnement des différents départements d’une entreprise. Parfois, les entreprises doivent envoyer des diffusions globales ou un VLAN doit communiquer avec un autre.
Par exemple, un ordinateur faisant partie d’un VLAN doit être autorisé à se connecter à un scanner ou à une télévision intelligente dans un autre VLAN. De même, les employés de l’équipe chargée de la réussite des clients (qui se trouvent dans leur propre VLAN) ne devraient peut-être pas être autorisés à interagir avec les ordinateurs du VLAN de l’équipe chargée des finances.
Les VLAN établissent des règles sur la manière dont les sous-réseaux peuvent communiquer entre eux via les ports d’accès. Lorsqu’une diffusion ou une trame atteint un commutateur, le port d’accès décide de transmettre ou non les informations relatives au VLAN. Les ports sont classés comme « balisés » ou « non balisés », ce que nous aborderons dans la section suivante.
La différence entre les VLAN balisés et non balisés
Maintenant que vous avez compris l’histoire des VLAN et leur fonctionnement théorique, il est temps de vous plonger dans leur fonctionnement pratique.
Dans la plupart des cas, les VLAN se répartissent en deux catégories : balisés et non balisés, parfois appelés respectivement « trunk » ou « access ». Examinons les points communs et les différences de chacune d’elles.
VLAN non balisés
Les VLAN non balisés ou « access » sont connectés à des hôtes (généralement des serveurs) qui transmettent les informations VLAN vers et depuis chaque réseau et ne peuvent pas faire de différence entre les configurations VLAN. Ainsi, les VLAN non balisés ont une structure plus linéaire, allant de A à B plutôt que de A à B, C et D. En général, les VLAN non balisés sont les VLAN par défaut.
Voici comment se déroule généralement le flux :
- L’hôte A envoie du trafic à un commutateur, et le trafic n’a pas de balise VLAN.
- Le trafic est reçu sur le port d’accès 1 (également non balisé).
- Le port 1 ajoute une balise VLAN à la trame, et le commutateur indique que la trame doit être envoyée à l’hôte B par le port d’accès 2 (un port non balisé).
- Le tag VLAN est supprimé.
- Le trafic se dirige vers l’hôte B.
VLAN balisés
Les VLAN balisés ou « trunk » permettent aux ports d’accès des commutateurs de gérer plus d’un VLAN et de séparer le trafic en conséquence. Au lieu que les données aillent d’un hôte à un autre, les trames avec une étiquette VLAN peuvent être distribuées d’un hôte à plusieurs autres hôtes connectés à un port, selon leur configuration. Les balises indiquent quels paquets doivent être envoyés à des VLAN spécifiques de l’autre côté de ce flux :
- L’hôte A envoie une trame sans balise VLAN.
- Le trafic reçu sur le port 1 est configuré avec le VLAN 7, qui est ajouté à la trame.
- Le commutateur reconnaît le tag VLAN, ce qui lui indique d’envoyer la trame au commutateur 2.
- Le commutateur 2 possède un port d’accès balisé pour le VLAN 7, qui correspond à la balise d’origine.
- Si, à ce stade, les balises VLAN ne correspondent pas (par exemple, VLAN 7 contre VLAN 5), la trame est abandonnée.
- Le trafic est transmis au port balisé du commutateur 2 qui, là encore, vérifie si la balise est autorisée ailleurs et distribue la diffusion à tous les autres ports d’accès configurés pour le VLAN 7.
- Lorsque le trafic atteint un port d’accès non balisé, la balise est retirée de la trame, qui est envoyée à l’hôte final.
Balisage VLAN et sécurité du réseau
Bien que le balisage VLAN nécessite une mise en œuvre plus complexe, il permet d’accéder à une gamme beaucoup plus large d’avantages réseau, notamment :
- Sécurité renforcée – Les balises d’identification peuvent être intégrées au processus d’authentification des utilisateurs, ce qui permet d’orienter automatiquement et dynamiquement les utilisateurs vers le VLAN approprié (qui leur interdit intrinsèquement de recevoir des diffusions en provenance d’autres réseaux). Au-delà, le service informatique peut faire appel à un fournisseur de VLAN pour configurer des pare-feu distincts et d’autres logiciels de sécurité en fonction de la sensibilité des données qui transitent par chaque VLAN balisé.
- Moins de congestion – Les VLAN non balisés sont limités par leur conception linéaire. Bien qu’il en résulte une meilleure gestion du trafic que sur les LAN, les VLAN non balisés inhibent toujours les performances du réseau.
- Coûts réduits – Les VLAN non balisés nécessitent davantage de commutateurs pour acheminer les données là où elles doivent aller. Mais les VLAN balisés préconfigurent le trafic de direction, ce qui les rend plus efficaces et élimine le besoin de appareils coûteux.
- Dépannage et mises à jour simples – Le service informatique a une visibilité sur toutes les balises VLAN, ce qui lui permet de comprendre plus facilement la cause profonde de tout problème. De plus, les balises VLAN peuvent être mises à jour à tout moment, ce qui permet aux techniciens informatiques d’effectuer facilement des changements rapides qui n’ont pas d’impact drastique sur les journées de travail des employés. Et si l’entreprise se développe (physiquement ou à distance), le service informatique peut rapidement créer et ajouter d’autres VLAN balisés au réseau global.
Sécurité et segmentation des réseaux avec JumpCloud
Bien que le balisage VLAN nécessite une préparation et une configuration plus avancées, il est optimal pour les entreprises qui ont des données sensibles, un trafic élevé et plusieurs VLAN. Le balisage VLAN offre une séparation du trafic sans le coût de périphériques réseau supplémentaires tels que les commutateurs, et permet aux entreprises d’ajouter des mesures de sécurité supplémentaires par le biais de l’authentification.
Avec des contrôles de sécurité à tous les niveaux possibles, les entreprises peuvent être plus confiantes dans la protection de leurs données et de celles de leurs clients 一 surtout à l’ère du travail à distance. Et tout commence avec le protocole RADIUS, qui peut être mis en œuvre avec des solutions comme JumpCloud.
Le modèle de JumpCloud pour le Cloud RADIUS et le Cloud VLAN permet aux services informatiques de fournir et de supprimer l’accès des utilisateurs aux réseaux VPN et Wi-Fi directement à partir de leur navigateur et de sécuriser davantage ces réseaux avec la MFA, sans avoir à construire, maintenir ou surveiller des serveurs physiques.
Découvrez comment vous pouvez lancer votre approche VLAN avec Cloud RADIUS de JumpCloud.