[Autonome] VLAN privé : Pour fournir un environnement sécurisé à chaque utilisateur dans le même VLAN, nous bloquons le trafic entre les utilisateurs du même VLAN. Cet article explique comment configurer un VLAN privé sur nos commutateurs L2+ / couche 3. Les VLAN privés sont utilisés pour bloquer le trafic entre les ports du même VLAN.
Contexte
En utilisant les VLAN basés sur le marquage 802.1Q, nous ne pouvons pas empêcher les clients du même VLAN de communiquer entre eux.
Examinons ce scénario. Il bloque le trafic des ports 3/4/5 afin d'assurer un environnement réseau sécurisé pour une petite unité commerciale.
Solution de contournement
Isolation de port (isolation L2)
- Les ports 3-5 ne peuvent pas communiquer entre eux
- Les ports 3-5 peuvent communiquer avec le port de liaison montante 24
Nous pouvons activer l'isolation de port sur les ports 3/4/5. Les ports isolés (3-5) ne peuvent pas communiquer entre eux. Mais ils peuvent communiquer avec le port de liaison montante 24 pour accéder à Internet.
Problème avec l'isolation de port : Si les ports 3-4 d'un nouveau VLAN 200 souhaitent communiquer entre eux, l'isolation de port ne le permet pas.
Solution VLAN privé :
Les avantages d'un VLAN privé sont de fournir une nouvelle méthode pour bloquer le trafic entre les ports du même VLAN. Les utilisateurs n'ont pas besoin d'activer l'isolation de port pour atteindre cet objectif, qui est de sécuriser le réseau sur le site.
Les utilisateurs peuvent spécifier quels ports du même VLAN ne doivent pas être isolés en les ajoutant à la liste des ports promiscuous.
Le commutateur ajoute automatiquement les autres ports de ce VLAN comme ports isolés et bloque le trafic entre les ports isolés.
Les ports promiscuous peuvent communiquer avec n'importe quel port du même VLAN.
Cependant, les ports isolés ne peuvent communiquer qu'avec les ports promiscuous.
Il y a donc deux règles de port :
- Port promiscuous = Peut communiquer avec tous les ports du même VLAN
- Port isolé = Peut communiquer uniquement avec les ports promiscuous du même VLAN
Comment fonctionne le VLAN privé
- Configurer le port promiscuous
Examinons un exemple : les ports 3/4/5/24 sont configurés comme membres du VLAN 100.
Le port 24 est sélectionné comme port promiscuous dans le VLAN privé ID : 100.
Le commutateur ajoute automatiquement les ports 3/4/5 du VLAN 100 comme ports isolés et bloque le trafic entre eux.
1) Configurer le VLAN privé
Accédez à :
Ancienne interface :
Advanced Application > Private VLANNouvelle interface :
SWITCHING > Private VLAN2) Modes de VLAN privé
Normal : Ce sont des ports dans un VLAN statique. Ce n'est pas un VLAN privé.
Promiscuous : Les ports dans un VLAN primaire sont promiscuous. Ils peuvent communiquer avec tous les ports du VLAN primaire ainsi que les VLANs Communautaires et Isolés associés. Ils ne peuvent pas communiquer avec les ports promiscuous dans différents VLANs primaires.
Isolé : Les ports dans un VLAN isolé peuvent communiquer uniquement avec les ports promiscuous dans un VLAN primaire associé. Ils ne peuvent pas communiquer avec d'autres ports isolés dans le même VLAN isolé, les ports promiscuous de VLANs primaires non associés ni avec aucun port communautaire.
Communautaire : Les ports dans un VLAN communautaire peuvent communiquer avec les ports promiscuous dans un VLAN primaire associé ainsi qu'avec les autres ports communautaires dans le même VLAN communautaire. Ils ne peuvent pas communiquer avec les ports dans un VLAN isolé, les ports promiscuous de VLANs primaires non associés ni avec des ports communautaires dans différents VLANs communautaires.
Les utilisateurs configurent un port promiscuous pour un VLAN spécifique. Ainsi, les autres ports du même VLAN deviennent des ports isolés.
3) Configurer le VLAN associé
Entrez ici l'ID du VLAN créé précédemment.
Note ! L'ID de VLAN et le mode sélectionné ici doivent être les mêmes que l'ID et le type de VLAN créés dans
SWITCHING > VLAN > VLAN Setup > Static VLANConfiguration de base du VLAN (Virtual Local Area Network) :
Comment configurer un VLAN sur un commutateur Zyxel [séries GS/XGS]
Si vous souhaitez en apprendre davantage sur notre conception de VLAN, veuillez consulter :
VLANs - Un regard approfondi sur leur fonctionnement

Commentaires
0 commentaireCet article n'accepte pas de commentaires.