Commutateur - Configurer un VLAN privé [Aperçu]

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

VLAN privé [autonome] : Pour fournir un environnement sécurisé à chaque utilisateur du même VLAN, nous bloquons le trafic entre les utilisateurs du même VLAN. Cet article explique comment configurer un VLAN privé dans nos commutateurs L2+ / Layer 3. Les VLAN privés sont utilisés pour bloquer le trafic entre les ports d'un même VLAN.

Contexte

En utilisant le VLAN 802.1Q basé sur les balises, nous ne pouvons pas empêcher les clients du même VLAN de communiquer entre eux.

mceclip0.png

Examinez ce scénario. Il bloque le trafic en provenance du port 3/4/5 afin d'assurer la sécurité de l'environnement réseau d'une petite entreprise.

Solution de contournement

Isolation du port (isolation L2)

  • Les ports 3 à 5 ne peuvent pas communiquer entre eux
  • Le port 3-5 peut communiquer avec le port de liaison montante 24

Nous pouvons activer l'isolation des ports sur les ports 3/4/5. Les ports isolés (3-5) ne peuvent pas communiquer entre eux. Mais ils peuvent communiquer avec le port uplink 24 pour accéder à l'Internet.

mceclip1.png

Problème avec l'isolation des ports : Si les ports 3-4 d'un nouveau VLAN 200 souhaitent communiquer entre eux, l'isolation des ports ne permet pas de le faire.

Solution VLAN privé :

Les avantages d'un VLAN privé sont de fournir une nouvelle méthode pour bloquer le trafic entre les ports d'un même VLAN. Les utilisateurs n'ont pas besoin d'activer l'isolation des ports pour atteindre l'objectif, qui est de sécuriser le réseau sur le site.

Les utilisateurs peuvent spécifier quels ports du même VLAN ne doivent pas être isolés en les ajoutant à la liste des ports promiscuous.

Le commutateur ajoute automatiquement les autres ports de ce VLAN aux ports isolés et bloque le trafic entre les ports isolés.

Les ports promiscuous peuvent communiquer avec n'importe quel port du même VLAN.

En revanche, les ports isolés ne peuvent communiquer qu'avec les ports promiscuous.

Il existe donc deux règles de port pour cela :

  • Port promiscuous = peut communiquer avec tous les ports du même VLAN
  • Port isolé = ne peut communiquer qu'avec le port promiscuous du même VLAN

mceclip2.png

Comment fonctionne un VLAN privé ?

  • Configuration d'un port en mode promiscuité

mceclip3.png

Prenons un exemple : les ports 3/4/5/24 sont configurés pour être membres du VLAN 100.

Le port 24 est sélectionné comme port promiscuous dans le VLAN privé ID : 100.

Le commutateur ajoute automatiquement les ports 3/4/5 du VLAN 100 comme ports isolés et bloque le trafic entre eux.

1) Configurer le VLAN privé

Naviguer vers :

Ancienne interface graphique :

Advanced Application > Private VLAN

mceclip4.png

Nouveau GUI :

dyn_repppp_1

2) Modes VLAN privés

Normal : il s'agit de ports dans un VLAN statique. Il ne s'agit pas d'un VLAN privé

Promiscuous : les ports d'un VLAN primaire sont promiscuous. Ils peuvent communiquer avec tous les ports du VLAN primaire et des VLAN communautaires et isolés associés. Ils ne peuvent pas communiquer avec les ports promiscuous de différents VLAN primaires.

Isolés: Les ports d'un VLAN isolé ne peuvent communiquer qu'avec les ports de promiscuité d'un VLAN primaire associé. Ils ne peuvent pas communiquer avec d'autres ports isolés du même VLAN isolé, ni avec des ports de promiscuité d' un VLAN primaire non associé, ni avec des ports communautaires.

Communauté : Les ports d'un VLAN communautaire peuvent communiquer avec les ports promiscuous d'un VLAN primaire associé et avec d'autres ports communautaires du même VLAN communautaire. Ils ne peuvent pas communiquer avec les ports d'un VLAN isolé, les ports de promiscuité d' un VLAN primaire non associé ni les ports communautaires de différents VLAN communautaires.

Les utilisateurs configurent un port promiscuous pour un VLAN spécifique. Les autres ports du même VLAN deviennent alors des ports isolés.

3) Configuration du VLAN associé

Saisir ici l'ID VLAN d'un VLAN précédemment créé.

Remarque ! L'ID VLAN et le mode sélectionnés ici doivent être les mêmes que l'ID VLAN et le type de VLAN créés dans la section 

SWITCHING > VLAN > VLAN Setup > Static VLAN

Configuration de base du VLAN (réseau local virtuel) :

Comment configurer un VLAN sur un commutateur Zyxel [GS/XGS-Series].

GS1900 : Comment configurer un VLAN sur un commutateur Zyxel

Si vous souhaitez en savoir plus sur la conception de notre VLAN, veuillez consulter cette page :

VLANs - Tagged VLANs vs. PVID (Exemple de configuration Untagged/Tagged VLAN sur un switch GS22XX)

VLANs - Un regard plus profond sur leur fonctionnement

Assistance à la configuration, vous recherchez une assistance à la configuration de la part de notre équipe de services professionnels ? Cliquez ici : ZyxelConfigService Switch

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 1
Partager

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.