But recherché

Cloisonner le réseau local pour améliorer la sécurité et mettre en place un accès wifi invité totalement indépendant du réseau local. Pour cela, mise en place de 2 VLANs :

• Un VLAN intermédiaire pour le trafic internet, et le réseau wifi invité (box internet, AP WIFI) - VLAN 200.
• Un VLAN pour le LAN (serveurs, laptops, imprimante, AP WIFI) - VLAN 100.

Ainsi dans le VLAN 200, seront placés la box internet et le wifi guest. De cette manière les invités sur le wifi n’auront accès qu’à internet sans aucun accès au LAN. Et, dans le cas hypotétique d’un piratage de box, le pirate n’aura pas non plus accès au LAN.

Dans le VLAN 100, tout le trafic sortant sera redirigé vers le firewall qui servira également de passerelle au LAN.

Schéma de principe

VLAN côté switch

Pour mettre en place des VLANs sur un switch, il faut que ce dernier soit administrable. On peut assigner une conf VLAN sur chaque port du switch et il y a 3 états différents :

• Port tagué (tagged port).
• Port non tagué (untagged port).
• Port non membre.

On configure un port tagué sur un switch quand l’équipement à l’autre bout est capable de configurer un tag VLAN sur son interface réseau (ex: AP wifi, hyperviseur).



On configure un port non tagué sur un switch quand l’équipement à l’autre bout n’est pas en mesure de configurer un tag VLAN sur son interface réseau (ex: box internet, imprimante).

Dans cette configuration, il faut aussi configurer le PVID (port vlan id). Le PVID va servir à rajouter le TAG VLAN sur les trames ethernet qui entrent dans le switch pour pouvoir les router vers les ports adressés sur le même VLAN.

Voici un exemple de configuration pour un switch 8 ports :

U Untagged
T Tagged
NM Not member

VLAN côté Proxmox

Pour utiliser les VLANs sur un hyperviseur proxmox, il faut installer Open vSwitch

Ensuite sur les interfaces réseaux, il suffit de renseigner l’ID du VLAN :