Vous êtes sur la page 1sur 8

Pratiques recommandées VLAN et conseils de

Sécurité pour des Routeurs d'affaires de Cisco


Objectif
L'objectif de cet article est d'expliquer les concepts et les étapes pour exécuter des pratiques
recommandées et des conseils de Sécurité en configurant des VLAN sur le matériel d'affaires de
Cisco.

Table des matières

● Une certaine terminologie rapide pour les internautes novice


● Pratique recommandée #1 - Affectation de port VLAN Fondements d'affectation de
portConfigurer des ports d'accèsConfigurer des ports de joncteur réseauForum aux questions
● Pratique recommandée #2 - VLAN 1 par défaut et ports inutilisés Forum aux questions
● Pratique recommandée #3 - Créez un « cul-de-sac » VLAN pour des ports inutilisés
● Pratique recommandée #4 - Téléphones IP sur un VLAN
● Pratique recommandée #5 - Routage inter-VLAN

Introduction
Voulez rendre votre réseau d'affaires plus efficace tout en le maintenant sécurisé ? Une des
manières de faire ceci est d'installer correctement les réseaux locaux virtuels (VLAN).

Un VLAN est un groupe logique de postes de travail, des serveurs, et des périphériques de
réseau qui semblent être sur le même réseau local (RÉSEAU LOCAL) en dépit de leur répartition
géographique. En un mot, le matériel sur le même trafic d'enable VLAN entre le matériel à être
distinct et plus sécurisés.

Par exemple, vous pourriez avoir une comptabilité d'ingénierie, de vente, et. Chaque service a des
employés sur différents planchers du bâtiment, mais ils doivent toujours accéder et communiquer
aux informations dans leur propre service. Il est essentiel pour partager des documents et des
services Web.
Les VLAN doivent être d'installer avec des pratiques recommandées afin de maintenir votre
réseau sécurisé. Faites les choix intelligents suivants en installant des VLAN. Vous ne le
regretterez pas !

Périphériques applicables

● RV042
● RV110W
● RV130
● RV132
● RV134W
● RV160W
● RV215W
● RV260
● RV260P
● RV260W
● RV320
● RV325
● RV340
● RV340W
● RV345
● RV345P
Vous pourriez être intéressée de savoir que les Routeurs de gamme RV160 ou RV260 peuvent
porter jusqu'à 16 VLAN, alors que les Routeurs de gamme RV34x peuvent porter jusqu'à 32
VLAN. Le RV320 prend en charge jusqu'à 7 VLAN. Si vous voudriez savoir combien de VLAN
votre routeur peut porter, vérifiez la fiche technique pour votre modèle spécifique sur le site Web
Cisco. Sélectionnez le support et introduisez votre numéro de version ou faites simplement un
rechercher la fiche technique et le numéro de version.

Une certaine terminologie rapide pour les internautes novice


Port d'accès : Un port d'accès porte le trafic pour seulement un VLAN. Des ports d'accès désigné
souvent sous le nom d'un port non-marqué, puisqu'il y a seulement un VLAN sur ce port et le trafic
peut être passé sans balises.

Port de joncteur réseau : Un port sur un commutateur qui porte le trafic pour plus d'un VLAN. Des
ports de joncteur réseau désigné souvent sous le nom des ports étiquetés puisqu'il y a plus d'un
VLAN sur ces port et trafic pour tout sauf l'un besoin VLAN d'être étiqueté.

VLAN indigène : L'un VLAN dans un port de joncteur réseau qui ne reçoit pas une balise.
N'importe quel trafic qui n'a pas une balise sera envoyé au VLAN indigène. C'est pourquoi les
deux côtés d'un besoin de joncteur réseau de s'assurer les ont le même VLAN ou trafic indigène
n'iront pas à l'endroit correct.

Pratique recommandée #1 - Affectation de port VLAN


Fondements d'affectation de port

● Chaque port LAN peut être placé pour être un port d'accès ou un port de joncteur réseau.
● Des VLAN que vous ne voulez pas sur le joncteur réseau devraient être exclus.
● Un VLAN peut être placé dans plus d'un port.

Configurer des ports d'accès

● Un VLAN assigné sur un port LAN


● Le VLAN qui est assigné ce port devrait être étiqueté non-marqué
● Tous autres VLAN devraient être étiquetés exclus pour ce port
Pour placer ces derniers correctement, naviguez vers des configurations de RÉSEAU LOCAL >
VLAN. Sélectionnez les IDs de VLAN et cliquez sur éditent en fonction l'icône. Sélectionnez le
menu déroulant pour les interfaces l'unes des de RÉSEAU LOCAL pour des VLAN répertoriés
pour éditer l'étiquetage VLAN. Cliquez sur Apply.

Le contrôle cet exemple de chaque VLAN a assigné son propre port LAN :
Cette image de l'interface utilisateur graphique (GUI) a été prise d'un routeur RV260W. Vos
options peuvent sembler légèrement différentes. Par exemple, sur la gamme RV34x, les
étiquettes non-marquées, exclues, et étiquetées sont abrégées juste à la première lettre. Le
processus est toujours identique.

Configurer des ports de joncteur réseau

● Deux ports LAN ou plus du partage un VLAN


● Un des VLAN peut être étiqueté non-marqué.
● Le reste des VLAN qui font partie du port de joncteur réseau devrait être étiqueté étiqueté.
● Les VLAN qui ne sont pas une partie du port de joncteur réseau devraient être étiquetés
exclus pour ce port.
Prenez à un regarder cet exemple des divers VLAN qui sont tous sur des ports de joncteur
réseau. Pour placer ces derniers correctement, sélectionnez les IDs de VLAN qui doivent être
édités. Cliquez sur en fonction l'icône d'éditer. Changez-les a basé sur vos besoins, suivant les
recommandations ci-dessus. Par la manière, avez-vous noté que le VLAN 1 est exclu de chaque
port LAN ? Ceci sera expliqué dans la section, pratique recommandée pour le par défaut VLAN 1.

Forum aux questions

Pourquoi est-ce qu'un VLAN est laissé non-marqué quand c'est le seul VLAN sur ce port ?

Puisqu'il y a juste un VLAN assigné sur un port d'accès, le trafic sortant du port est envoyé sans
n'importe quelle balise VLAN sur les trames. Quand la trame atteint le port de commutateur (le
trafic entrant), le commutateur ajoutera la balise VLAN. 

Pourquoi est-ce que des VLAN sont étiquetés quand ils font partie d'un joncteur réseau ?

Ceci est fait de sorte que le trafic qui passe n'obtienne pas envoyé au VLAN incorrect sur ce port.
Les VLAN partagent ce port. Semblable aux nombres d'appartement ajoutés à une adresse pour
s'assurer la messagerie va à l'appartement correct dans cela le bâtiment partagé.

Pourquoi le trafic est-il laissé non-marqué quand ce fait partie du VLAN indigène ? 

Un VLAN indigène est une manière de porter le trafic non-marqué à travers un ou plusieurs
Commutateurs. Le commutateur assigne n'importe quelle trame non marquée qui arrive sur un
port étiqueté au VLAN indigène. Si une trame sur le VLAN indigène part d'un joncteur réseau
(étiqueté) pour mettre en communication, le commutateur élimine la balise VLAN.

Pourquoi est-ce que des VLAN sont exclus quand ils ne sont pas sur ce port ?

Ceci garde le trafic sur ce joncteur réseau seulement pour les VLAN que l'utilisateur veut
spécifiquement. C'est considéré une pratique recommandée.

Pratique recommandée #2 - VLAN 1 par défaut et ports inutilisés


Tous les ports doivent être assignés à un ou plusieurs qu'un VLAN, y compris le VLAN indigène.
Routeurs d'affaires de Cisco été livré avec le VLAN 1 assigné à tous les ports par défaut.
Un VLAN de gestion est le VLAN qui est utilisé à distance pour gérer, contrôler, et surveiller les
périphériques dans vous réseau utilisant le telnet, le SSH, le SNMP, le Syslog, ou le FindIT de
Cisco. Par défaut, c'est également VLAN 1. Une bonne pratique de sécurité est de séparer la
Gestion et le trafic de données utilisateur. Par conséquent, il est recommandé que quand vous
configurez des VLAN, vous utilisez le VLAN 1 pour la Gestion seulement.

Pour communiquer à distance avec un commutateur de Cisco pour la Gestion, le commutateur


doit avoir une adresse IP configurée sur le VLAN de gestion. Les utilisateurs dans d'autres VLAN
ne pourraient pas établir des sessions d'Accès à distance au commutateur à moins qu'ils aient été
conduits dans le VLAN de gestion, fournissant une couche de sécurité supplémentaire. En outre,
le commutateur devrait être configuré pour recevoir seulement des sessions chiffrées de SSH
pour la gestion à distance. Pour lire quelques discussions sur ce thème, cliquez sur en fonction les
liens suivants sur le site Web de la Communauté de Cisco :

● Discussion #1 de VLAN de gestion


● Discussion #2 de VLAN de gestion

Forum aux questions

Pourquoi pratiquement le segment VLAN 1 non recommandé par défaut est-il votre réseau ?

La principale raison est que les acteurs hostiles savent que le VLAN 1 est le par défaut et employé
souvent. Ils peuvent l'employer pour accéder à d'autres VLAN par l'intermédiaire du
« houblonnage VLAN ». Pendant que le nom implique, l'acteur hostile peut envoyer le trafic
charrié posant comme VLAN 1 que les enables accèdent à aux ports de joncteur réseau et de ce
fait à d'autres VLAN.

Est-ce que je peux quitter un port inutilisé assigné pour transférer le VLAN 1 ?

Pour maintenir votre réseau sécurisé, vous ne devriez pas vraiment. Il est recommandé pour
configurer tous ces ports à associer avec des VLAN autres que le par défaut VLAN 1.

Je ne veux pas assigner de ma production VLAN à un port inutilisé. Que puis-je faire ?

Il est recommandé que vous créez une « impasse » VLAN après les instructions dans la section
suivante de cet article.

Pratique recommandée #3 - Créez un « cul-de-sac » VLAN pour


des ports inutilisés
Étape 1. Naviguez vers des configurations de RÉSEAU LOCAL > VLAN.

Choisissez tout nombre aléatoire pour le VLAN. Soyez sûr que ce VLAN n'a pas le DHCP, le
Routage inter-VLAN, ou la Gestion de périphériques activée. Ceci maintient les autres VLAN plus
sécurisés. Mettez n'importe quel port LAN inutilisé sur ce VLAN. Dans l'exemple ci-dessous,
VLAN 777 a été créé et assigné à LAN5. Ceci devrait être fait avec tous les ports LAN inutilisés.
Notez que les autres VLAN sont exclus de ce port LAN.
Étape 2. Cliquez sur en fonction le bouton Apply pour sauvegarder les modifications de
configuration que vous avez apportées.

Pratique recommandée #4 - Téléphones IP sur un VLAN


Le trafic vocal a des conditions requises rigoureuses de Qualité de service (QoS). Si votre société
a des ordinateurs et des Téléphones IP sur le même VLAN, chaque des essais pour utiliser la
bande passante disponible sans considérer l'autre périphérique. Pour éviter ce conflit, il est dans
bonne pratique d'utiliser des VLAN distincts pour le trafic vocal et le trafic de données de
Téléphonie sur IP. Pour se renseigner plus sur ces configuration, contrôle les articles suivants et
vidéos :

● Entretien de tech de Cisco : Exprimez le VLAN installé et la configuration utilisant des produits
Cisco Small Business (le vidéo)
● Configuration de la Voix automatique VLAN avec QoS sur le commutateur de gamme SG500
● Configuration de la Voix VLAN sur les commutateurs gérés de gamme 200/300
● Entretien de tech de Cisco : La configuration de l'Automatique-Voix VLAN sur des gammes
SG350 et SG550 commute (le vidéo)

Pratique recommandée #5 - Routage inter-VLAN


Des VLAN sont installés de sorte que le trafic puisse être distinct, mais parfois vous avez besoin
de VLAN pour pouvoir conduire entre l'un l'autre. C'est Routage inter-VLAN et n'est pas
typiquement recommandé. Si c'est un besoin de votre société, établissez-la aussi sécurisé comme
possible. En utilisant le Routage inter-VLAN, veillez à limiter le trafic utilisant le Listes de contrôle
d'accès (ACL), aux serveurs qui contiennent les informations confidentielles.

ACLs exécutent le filtrage des paquets pour contrôler le mouvement des paquets par un réseau.
Le filtrage des paquets fournit la Sécurité en limitant l'accès du trafic dans un réseau, en limitant
l'utilisateur et l'accès au périphérique à un réseau, et en empêchant le trafic de partir d'un réseau.
Les Listes d'accès IP réduisent la possibilité de la mystification et des attaques par déni de
service, et permettent l'accès client dynamique et provisoire par un Pare-feu.

● Routage inter-VLAN sur un routeur RV34x avec des restrictions visées d'ACL
● Entretien de tech de Cisco : La configuration du Routage inter-VLAN sur la gamme SG250
commute (le vidéo)
● Entretien de tech de Cisco : Configuration d'inter-VLAN sur RV180 et RV180W (vidéo)
● Limite d'Access d'inter-VLAN RV34x (correctif de bogue CSCvo92300)

Conclusion
Là vous l'avez, maintenant vous connaissez quelques pratiques recommandées pour installer des
VLAN sécurisés. Maintenez ces conseils dans l'esprit quand vous configurez des VLAN pour votre
réseau. Répertoriés ci-dessous sont quelques articles qui ont des instructions pas à pas. Ceux-ci
vous continueront se déplacer vers un réseau productif et efficace qui est juste juste pour votre
entreprise.

● Configurer des configurations VLAN sur le RV160 et le RV260


● Configurez les configurations virtuelles du réseau local (VLAN) sur un routeur de gamme
RV34x
● Configurez l'appartenance à un VLAN sur les routeurs VPN RV320 et RV325
● Configurez l'adhésion virtuelle du réseau local (VLAN) sur un routeur de la gamme rv
● Configurez l'ipv4 addres d'interface VLAN sur un Sx350 ou le commutateur SG350X par le
CLI

Vous aimerez peut-être aussi