VLAN
Qu'est-ce que VLAN ?
VLANUn VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits.
Un Virtual LAN, normalise par IEEE 802.1Q, divise une infrastructure de commutation physique en plusieurs LAN logiques en inserant un tag VLAN de 4 octets contenant un VID de 12 bits (1-4094) dans les trames Ethernet. Les ports d'acces appartiennent a un seul VLAN ; les ports trunk transportent plusieurs VLAN tagues entre commutateurs. Des equipements dans des VLAN differents ne peuvent pas se joindre au niveau 2 et doivent passer par un routeur ou switch L3, ce qui fait du VLAN une brique de base de la segmentation reseau, de l'isolation des hotes et des zones de politique. Les attaques notables incluent le VLAN hopping (double tagging, switch spoofing) et le debordement de la table CAM. Le durcissement passe par la desactivation de DTP, l'elagage des VLAN inutilises, l'usage d'un VLAN natif dedie inutilise et la combinaison avec 802.1X et ACL.
● Exemples
- 01
Les telephones VoIP sont en VLAN 20 tandis que les PC utilisateurs sont en VLAN 10 sur le meme port d'acces.
- 02
Un attaquant double-tague une trame (10 puis 99) pour passer du VLAN 10 au VLAN 99.
● Questions fréquentes
Qu'est-ce que VLAN ?
Un VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie VLAN ?
Un VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits.
Comment fonctionne VLAN ?
Un Virtual LAN, normalise par IEEE 802.1Q, divise une infrastructure de commutation physique en plusieurs LAN logiques en inserant un tag VLAN de 4 octets contenant un VID de 12 bits (1-4094) dans les trames Ethernet. Les ports d'acces appartiennent a un seul VLAN ; les ports trunk transportent plusieurs VLAN tagues entre commutateurs. Des equipements dans des VLAN differents ne peuvent pas se joindre au niveau 2 et doivent passer par un routeur ou switch L3, ce qui fait du VLAN une brique de base de la segmentation reseau, de l'isolation des hotes et des zones de politique. Les attaques notables incluent le VLAN hopping (double tagging, switch spoofing) et le debordement de la table CAM. Le durcissement passe par la desactivation de DTP, l'elagage des VLAN inutilises, l'usage d'un VLAN natif dedie inutilise et la combinaison avec 802.1X et ACL.
Comment se défendre contre VLAN ?
Les défenses contre VLAN combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de VLAN ?
Noms alternatifs courants : LAN virtuel, VLAN 802.1Q.
● Termes liés
- network-security№ 1113
Sous-reseau
Plage contigue d'adresses IP partageant un prefixe commun, definissant un unique domaine de diffusion et une frontiere de routage sur le reseau.
- network-security№ 723
Segmentation réseau
Pratique consistant à découper un réseau en plusieurs zones, avec un trafic contrôlé entre elles, afin de contenir les compromissions et d'appliquer le moindre privilège.
- network-security№ 637
Adresse MAC
Identifiant materiel sur 48 bits (IEEE 802) grave dans une interface reseau et utilise pour la livraison au sein d'un meme segment de couche liaison.
- network-security№ 061
ARP
Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 a l'adresse MAC d'un hote du meme domaine de diffusion afin que les trames puissent etre livrees.
- network-security№ 514
IEEE 802.1X
Norme de contrôle d'accès réseau basée sur le port qui authentifie un appareil ou un utilisateur avant d'autoriser le trafic sur un port filaire ou sans fil.
- network-security№ 678
Microsegmentation
Forme fine de segmentation appliquant des politiques en liste blanche entre charges de travail ou applications individuelles, souvent côté hôte ou hyperviseur.
● Voir aussi
- № 311DHCP
- № 168Notation CIDR