Un VLAN privé (private VLAN) est une configuration de réseau informatique où certains ports des commutateurs sur lesquels sont définis des VLAN sont restreints. En général, on ne leur permet de communiquer qu'avec un certain « lien ascendant » (uplink). Par conséquent, tous les ordinateurs membres d'un VLAN ne peuvent pas forcément communiquer entre eux.

Les ports restreints sont appelés « ports privés » (private ports). Chaque VLAN privé contient typiquement de nombreux ports privés, et un seul port « ascendant » (uplink port). Il s'agit en général du port qui mène au routeur, au pare-feu, au serveur au réseau du fournisseur d'accès à Internet, ou à une ressource centrale similaire.

Le commutateur laisse passer toutes les trames qu'il reçoit sur un port privé vers le port ascendant, sans prêter attention au numéro de VLAN ni à l'adresse MAC destination. Les trames reçues sur le port ascendant sont transmises de façon normale, c'est-à-dire en les envoyant sur le port associé à l'adresse MAC destination, ou à tous les ports du VLAN lorsque cette destination est inconnue ou s'il s'agit d'une trame de diffusion. Le trafic « de station à station » est bloqué.

Même si les VLAN privés isolent les postes au niveau de la couche liaison, il reste possible de communiquer de poste à poste au travers de protocoles des couches supérieures. En particulier, ce n'est pas parce qu'ils sont isolés au niveau Ethernet qu'ils ne peuvent pas être placés dans un même sous-réseau IP (adresses commençant par le même préfixe). Dans un tel cas, la communication directe entre des machines sur ports privés n'est possible qu'en utilisant un mandataire ARP ou une solution semblable.

Une application typique des VLAN privés est un réseau d'hôtel où chaque chambre a un port pour l'accès à Internet. Il en va de même dans un réseau FTTH ou câble pour les abonnés, ou au sein d'un DSLAM ADSL : permettre la communication directe en couche liaison entre les postes des clients exposeraient le réseau local à différentes attaques de sécurité, comme l'ARP spoofing, et augmenterait les conséquences d'une mauvaise configuration.

Les VLAN privés divisent un VLAN (dit « primaire ») en plusieurs sous-VLAN (« secondaires »). Un VLAN ordinaire forme un seul domaine de diffusion, alors que les VLAN privés forment des domaines de diffusion plus petits. En d'autres mots, un VLAN privé est un VLAN primaire découpé en plusieurs VLAN secondaires.

• VLAN primaire : simplement le VLAN d'origine. Ce VLAN est utilisé pour envoyer les trames « descendantes » vers tous les VLAN secondaires.
• VLAN secondaires : ils possèdent eux aussi un numéro de VLAN. Ils appartiennent à un des types suivants :
  • Isolé: les ports du VLAN isolé peuvent atteindre le VLAN primaire, mais aucun autre VLAN secondaire. De plus, les hôtes du même VLAN isolé ne peuvent pas communiquer entre eux. Il n'est possible d'avoir qu'un seul VLAN isolé au sein d'un VLAN privé.
  • Communauté : les ports d'un même VLAN communautaire peuvent communiquer entre eux et avec le VLAN primaire. Ils ne peuvent pas communiquer avec d'autres VLAN secondaires. Il peut y avoir plusieurs VLAN communautaires au sein d'un VLAN privé.

Il y a deux grands types de ports dans le VLAN privé : le port en mode de promiscuité (promiscuous port, port P) et les ports d'hôtes (host ports). Les ports d'hôtes se répartissent à leur tour en deux types : les ports isolés (isolated ports, ports I) et les ports communautaires (community ports, ports C).

• Port en mode de promiscuité : c'est le port du commutateur qui est branché au routeur, pare-feu, etc. Ce port peut communiquer avec tout ce qui fait partie du VLAN primaire ou d'un des VLAN secondaires. En d'autres termes, il peut envoyer et recevoir des données depuis n'importe quel autre port du VLAN.
• Port isolé : port qui ne peut communiquer qu'avec les ports P.
• Port communautaire : communique avec les ports P et les ports de la même communauté.

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Private VLAN » (voir la liste des auteurs).

• (en) CCNP BCMSN Official exam certification guide.By-David Hucaby, (ISBN 978-1-58720-171-4 et 1-58720-171-2)

• Ethernet
• Domaine de diffusion

• (en) RFC 5517 – Cisco Systems' Private VLANs: Scalable Security in a Multi-Client Environment
• (en) Cisco Systems, Configuring Private VLANs

• Portail de la sécurité informatique
• Portail des télécommunications