Pourquoi faut-il systématiser la création des VLANs quelle que soit la taille du réseau ?

Dans un monde où plus personne ne peut se passer de l’Internet, chez soi, en voyage, dans l’entreprise…,  où la connexion Wi-Fi n’est plus un besoin mais un usage commun, où l’essor du BYOD, de l’Internet des Objets et du tout connecté va encore plus généraliser l’extension de la toile,  il est encore plus important de garantir et de sécuriser les communications.

Pour les services, les applicatifs, les serveurs du Cloud des opérateurs et autres fournisseurs, nous n’avons pas besoin d’intervenir puisqu’ils gèrent. Pour se protéger des attaques Internet dans l’entreprise, il ne suffit pas d’avoir un robuste firewall (bien paramétré) et un anti-virus. Le réseau local doit également participer à la politique de sécurité de l’entreprise, des collectivités, etc…  et ainsi garantir intégrité des données et son bon fonctionnement pour servir au mieux chacun des utilisateurs. Dans les architectures importantes, l’ingénieur réseau va mettre en place les règles nécessaires sur les équipements du réseau en fonction des besoins spécifiques. Il va avoir recours à la création de VLANs différents pour créer des réseaux virtuels spécifiques pour les différentes typologies d’utilisateurs qui auront l’accès uniquement à leurs ressources particulières. Quelques exemples :

  • Dans un établissement scolaire, garantir aux professeurs la réalisation de leurs cours interactifs via les tablettes de la classe connectés en Wi-Fi, mais interdire aux élèves l’accès aux ressources administratives présentes sur le même réseau.
  • Dans un hôtel, garantir à tous les clients l’accès à Internet, mais empêcher toute communication entre chacun d’eux et vers les autres services internes.
  • Dans un hôpital, fournir l’IPTV dans toutes les chambres, mais empêcher les patients d’avoir accès aux services du personnel soignant.
  • Dans un magasin, garantir la vidéo surveillance sans perturber l’utilisation des caisses enregistreuses.
  • Dans une entreprise, s’assurer de la qualité du service de voix sur IP et empêcher les stations de travail de communiquer avec les téléphones.

Lorsqu’il s’agit de mettre en place un réseau de taille plus modeste, l’équipement (le switch) est encore trop souvent considéré comme une « multiprise » informatique. On branche, ça marche, et on s’en va !!

Cependant, la qualité et la stabilité du réseau mis en place n’est nullement garantit et il est parfois nécessaire de retourner sur site à cause de dysfonctionnement. Quelques exemples :

  • La qualité des images des caméras IP d’un magasin est très instable en enregistrement comme en visualisation.
  • Il y a trop souvent dans une entreprise des coupures de conversations téléphoniques avec l’utilisation d’un système de Voix sur IP.
  • Des lenteurs surviennent régulièrement sur le réseau lorsque tous les collaborateurs sont présents dans l’entreprise.

Quelle que soit la taille des réseaux, les problématiques essentielles de dysfonctionnement du réseau sont identiques, avec notamment les lenteurs du réseau (ça « Lag » dirait un « Gamer »). Les solutions à mettre en œuvre vont être identiques à celles utilisées pour un plus gros réseau et la fonction VLAN devra être alors mise en place.

On pourra dès lors segmenter le trafic, filaire comme Wi-Fi, pour séparer les flux transitant sur un même réseau et ainsi en augmenter la performance globale tout en garantissant l’étanchéité et la confidentialité des différents services.

Le VLAN,  va permettre de réaliser cette segmentation. Son nom standardisé est IEEE 802.1q. Sa mise en œuvre n’est pas compliquée. Pour schématiser, il faut rentrer dans la configuration du switch pour lui préciser à quel groupe virtuel appartient chaque port Ethernet. Par exemple tous les ports des caméras dans un groupe, tous ceux des téléphones dans un autre, et le reste du réseau dans un troisième.

Créer des VLANs dans un réseau permet également de limiter les dégâts en cas d’incidents de sécurité causés par un collaborateur en interne, ce qui est le cas dans 1 cas sur 3. Imaginons l’ouverture malencontreuse d’une pièce jointe dans un email contenant un ransomware, si l’utilisateur appartient à un VLAN spécifique, le ransomware ne pourra pas se propager sur la totalité du réseau. Du temps et de l’argent gagnés pour l’entreprise.

Ainsi fait, les utilisateurs ne se rendront pas forcément compte de l’optimisation réalisée, mais le risque d’insatisfaction devrait être écarté et le niveau de sécurité renforcé. Aujourd’hui ces fonctions sont disponibles dans des gammes de switches dit web-managés accessibles à la fois en termes de prix et en termes de configuration. Elles ne sont plus réservées aux grandes entreprises. Ne pas implémenter ses fonctionnalités de base aujourd’hui serait une erreur.

 

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :