Rubriques Connexes
À propos des réseaux locaux virtuels (VLAN)
Un VLAN 802.1Q est un ensemble d'ordinateurs appartenant à un ou plusieurs LAN regroupés au sein du même domaine de diffusion, indépendamment de leur emplacement géographique. Il permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité physique. Les membres d'un VLAN peuvent partager des ressources comme s'ils étaient connectés au même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN. Si vous souhaitez restreindre les employés en CDD à un sous-ensemble des ressources utilisées par les employés en CDI et appliquer une stratégie de sécurité plus stricte aux premiers, vous pouvez diviser l'interface en deux VLAN.
Les VLAN permettent de diviser votre réseau en groupes sous la forme d'une structure hiérarchique et logique et non pas physique. Vous pouvez ainsi dégager le personnel informatique des restrictions associées au modèle de réseau et à l'infrastructure de câblage. Les VLAN facilitent la conception, la mise en œuvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel.
Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure où elles ne sont transmises qu'aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés. Par conséquent, le trafic transmis sur vos routeurs s'en trouve réduit, ce qui implique une latence de routage moins importante. Vous pouvez configurer le Firebox pour qu'il fasse office de serveur DHCP pour les périphériques du réseau VLAN ou utiliser le relais DHCP avec un serveur DHCP distinct.
Vous attribuer un VLAN à la zone de sécurité approuvée, facultative ou externe. Les zones de sécurité VLAN correspondent aux alias des zones de sécurité des interfaces. Par exemple, les VLAN de type approuvé sont gérés par des stratégies qui utilisent l'alias Tout-Approuvé comme source ou destination. Les VLAN de type externe apparaissent dans la liste des interfaces externes quand vous configurez le routage basé sur stratégie.
Configuration logicielle requise pour les VLAN et restrictions associées
- Fireware v11.12.2 et les versions ultérieures prennent en charge le protocole STP pour certaines configurations VLAN.
Pour de plus amples informations concernant la prise en charge du protocole STP pour les VLAN, consultez la rubrique À Propos du Protocole STP. - Si votre Firebox est configurée en mode d'insertion, il est impossible d'utiliser des VLAN.
- Une interface VLAN peut envoyer et recevoir du trafic non marqué pour un seul VLAN approuvé ou facultatif.
À titre d'exemple, si une interface VLAN est configurée pour envoyer et recevoir du trafic non marqué pour un VLAN-10, elle ne peut pas envoyer et recevoir de trafic VLAN pour tout autre VLAN non-marqué en même temps. - Une interface VLAN ne peut envoyer et recevoir du trafic non marqué pour un VLAN externe.
- Une interface VLAN configurée pour envoyer et recevoir du trafic marqué pour un VLAN externe ne peut pas non plus envoyer et recevoir de trafic pour un VLAN approuvé, optionnel ou personnalisé.
- Les paramètres de configuration multi-WAN sont appliqués au trafic VLAN. Toutefois, il peut être plus facile de gérer une bande passante lorsque vous n'utilisez que des interfaces physiques dans une configuration multi-WAN.
- Le nombre maximal de VLAN que vous créez figure dans la valeur Nombre total d'interfaces VLAN de la clé de fonctionnalité Firebox.
- Il est recommandé de ne pas créer plus de 10 VLAN qui fonctionnent sur des interfaces externes. Un nombre trop important de VLAN sur les interfaces externes nuit à la performance.
- Tous les segments du réseau que vous souhaitez ajouter au VLAN doivent posséder des adresses IP appartenant au réseau VLAN.
- Afin d'utiliser plusieurs VLAN sur une seule interface d'un périphérique FireboxV ou XTMv au sein d'un environnement ESXi, configurez le vSwitch de manière à autoriser l'interface VLAN à utiliser l'identifiant VLAN 4095 (Tout).
Si vous configurez des VLAN dans Fireware v11.12.1 ou une version antérieure, vous pouvez ignorer les messages relatifs à une version 802.1d inconnue. Ces messages surviennent, car la mise en œuvre des VLAN WatchGuard de Fireware v11.12.1 et les versions antérieures ne prend pas en charge le protocole STP. En outre, ce message s'affiche parfois si vous activez le protocole STP dans une configuration VLAN non prise en charge dans Fireware v11.12.2 et les versions ultérieures.
À propos du Marquage
Pour activer des VLAN, vous devez déployer des commutateurs VLAN sur chaque site. Les interfaces des commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données qui identifie un paquet réseau en tant que partie d'un VLAN spécifié. Ces indicateurs ajoutent quatre octets à l'en-tête Ethernet de manière à identifier la trame en tant que membre d'un VLAN donné. Les indicateurs sont spécifiés par la norme IEEE 802.1Q.
La définition d'un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune des interfaces activées. Votre Firebox peut insérer des indicateurs pour les paquets envoyés à un commutateur prenant en charge les VLAN. Votre périphérique peut également supprimer les indicateurs des paquets envoyés à un segment réseau appartenant à un VLAN sans commutateur.
Une interface Firebox peut gérer le trafic de plusieurs VLAN marqués. Cela permet à l'interface de fonctionner comme une jonction VLAN. Le Firebox prend en charge le standard 802.1Q.
À propos des Numéros d'Identification d'un VLAN
Par défaut, sur la plupart des nouveaux commutateurs non configurés, chaque interface appartient au VLAN 1. De par la présence de ce VLAN sur chaque interface de la plupart des commutateurs par défaut, il se peut que ce VLAN puisse s'étendre par mégarde sur tout le réseau, ou tout du moins sur une très grande partie.
Nous vous recommandons d'utiliser un numéro d'identification VLAN autre que 1 pour tous les VLAN qui acheminent du trafic vers le Firebox.