Passer au contenu principal
Français

Dynamic VLAN Assignment with RADIUS: Segmenting Users by Role

Ce guide fournit un aperçu technique complet de la mise en œuvre de l'attribution dynamique de VLAN à l'aide d'attributs RADIUS. Il détaille comment les sites d'entreprise peuvent automatiser la segmentation du réseau pour le personnel, les invités et les appareils IoT afin de renforcer la sécurité et de réduire les coûts de configuration manuelle.

📖 5 min de lecture📝 1,035 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et aujourd'hui nous plongeons au cœur d'un sujet d'architecture critique pour les opérateurs multi-sites : l'attribution dynamique de VLAN avec RADIUS. Si vous gérez des réseaux dans des hôtels, des chaînes de magasins ou de grands espaces publics, vous connaissez la complexité de la segmentation manuelle du réseau. Vous devez gérer les appareils du personnel, les appareils des invités et une flotte toujours plus grande de capteurs IoT. Les regrouper tous sur un réseau plat est un cauchemar en matière de sécurité, mais attribuer manuellement des VLAN statiques par port ou SSID n'est pas viable à grande échelle. C'est là que RADIUS intervient. En exploitant l'authentification 802.1X et les attributs RADIUS, en particulier Tunnel-Private-Group-ID, vous pouvez attribuer automatiquement les utilisateurs et les appareils au bon VLAN au moment précis de leur authentification. Analysons les mécanismes techniques. Lorsqu'un appareil s'associe à un point d'accès, il lance un échange EAP. L'authentificateur — généralement votre point d'accès ou votre commutateur — transmet cette demande à votre serveur RADIUS. Si les identifiants sont valides, le serveur RADIUS renvoie un message Access-Accept. Mais c'est là que la magie opère : à l'intérieur de ce paquet Access-Accept, vous configurez le serveur RADIUS pour inclure trois attributs standards IETF spécifiques. Premièrement, Tunnel-Type défini sur VLAN, qui correspond à la valeur 13. Deuxièmement, Tunnel-Medium-Type défini sur IEEE-802, valeur 6. Et troisièmement, Tunnel-Private-Group-ID, qui contient la chaîne de l'ID de VLAN réel, comme "10" pour le personnel ou "20" pour les invités. Lorsque le point d'accès reçoit ces informations, il étiquette dynamiquement le trafic de l'utilisateur avec cet ID de VLAN. Le résultat ? Un seul SSID peut desservir en toute sécurité plusieurs groupes d'utilisateurs distincts, en les plaçant dans des segments de réseau isolés avec leurs propres règles de pare-feu et limites de bande passante. Parlons de la mise en œuvre. Que vous utilisiez Cisco Catalyst, Aruba ClearPass ou Ubiquiti UniFi, les principes fondamentaux restent les mêmes, bien que la syntaxe exacte varie. Dans un scénario hôtelier, par exemple, un agent de réception se connecte et est placé dans le VLAN sécurisé du personnel avec un accès au système de gestion de l'établissement. Un client se connecte via le Captive Portal et est placé sur un VLAN invité isolé avec l'isolation des clients activée. Pendant ce temps, les thermostats intelligents s'authentifient via le bypass d'authentification MAC, ou MAB, et sont attribués à un VLAN IoT verrouillé qui ne peut atteindre que des serveurs de contrôle spécifiques. Cette architecture n'est pas seulement une question de commodité ; il s'agit d'atténuation des risques et de conformité. Si vous traitez des paiements, la norme PCI DSS exige une segmentation stricte de vos terminaux de point de vente. Les VLAN dynamiques garantissent que même si un terminal de point de vente est déplacé vers un autre port, il reste segmenté de manière sécurisée. Mais quels sont les pièges ? Le mode de défaillance le plus courant est l'indisponibilité de RADIUS. Si vos points d'accès ne peuvent pas joindre le serveur RADIUS, les appareils ne peuvent pas s'authentifier. Vous devez configurer des mécanismes de secours. La plupart des AP d'entreprise prennent en charge un paramètre de « VLAN critique » ou de « VLAN de secours ». Si RADIUS expire, l'AP bascule l'appareil dans un VLAN restreint qui n'autorise peut-être que l'accès à Internet, ce qui permet de maintenir l'activité de l'entreprise sans compromettre la sécurité interne. Un autre piège est l'incohérence de la dénomination des VLAN d'un site à l'autre. Si le VLAN 10 est « Staff » sur le site A mais « Guest » sur le site B, l'attribution dynamique provoquera le chaos. Standardisez vos ID de VLAN à l'échelle mondiale avant de mettre cela en œuvre. En résumé : l'attribution dynamique de VLAN via RADIUS transforme l'accès au réseau d'une tâche manuelle en une politique de sécurité automatisée et évolutive. Elle réduit l'encombrement des SSID, applique un contrôle d'accès basé sur les rôles et simplifie la conformité. Merci d'avoir suivi ce point technique. Pour d'autres analyses approfondies de l'architecture WiFi d'entreprise, consultez la section des guides sur le site Web de Purple.

Synthèse

header_image.png

Pour les opérateurs multi-sites, la gestion manuelle de la segmentation réseau constitue un goulot d'étranglement opérationnel majeur. À mesure que le nombre d'appareils connectés augmente dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public, s'appuyer sur des configurations VLAN statiques par port ou diffuser des dizaines de SSID devient intenable. Ce guide explore comment exploiter l'attribution dynamique de VLAN avec RADIUS pour segmenter automatiquement les utilisateurs et les appareils par rôle au moment de l'authentification. En transmettant des attributs RADIUS spécifiques (tels que Tunnel-Pvt-Group-ID), les architectes réseau peuvent attribuer dynamiquement les utilisateurs au bon VLAN, appliquant ainsi des politiques de sécurité strictes, garantissant la conformité avec des normes telles que PCI DSS et réduisant considérablement la charge de travail informatique manuelle.

Analyse technique approfondie

L'attribution dynamique de VLAN repose sur la norme IEEE 802.1X pour le contrôle d'accès réseau basé sur les ports, combinée à un serveur RADIUS (Remote Authentication Dial-In User Service) pour l'authentification, l'autorisation et la traçabilité (AAA) centralisées. Lorsqu'un appareil client tente de se connecter au réseau, l'authentificateur (généralement un point d'accès sans fil ou un commutateur réseau) agit comme intermédiaire, transmettant les identifiants du client au serveur RADIUS via le protocole EAP (Extensible Authentication Protocol).

Si les identifiants sont valides, le serveur RADIUS répond par un message Access-Accept. Le mécanisme essentiel pour l'attribution dynamique de VLAN est l'inclusion d'attributs RADIUS standard de l'IETF spécifiques dans ce paquet Access-Accept. Les trois attributs indispensables sont :

  1. Tunnel-Type (Attribut 64) : Doit être défini sur VLAN (valeur 13).
  2. Tunnel-Medium-Type (Attribut 65) : Doit être défini sur IEEE-802 (valeur 6).
  3. Tunnel-Private-Group-ID (Attribut 81) : Contient la chaîne de l'ID de VLAN réel (par exemple, "10", "20", "Guest_VLAN").

Lorsque l'authentificateur reçoit ces attributs, il étiquette dynamiquement le trafic de l'utilisateur avec l'ID de VLAN spécifié, le plaçant dans le segment de réseau approprié, quel que soit le port physique ou le SSID auquel il s'est connecté.

radius_vlan_architecture.png

Cette architecture permet un contrôle d'accès réseau basé sur les rôles. Un seul SSID peut desservir en toute sécurité plusieurs groupes d'utilisateurs distincts, les plaçant dans des segments de réseau isolés dotés de leurs propres règles de pare-feu, limites de bande passante et politiques de routage. Par exemple, les solutions de Guest WiFi de Purple s'intègrent souvent à RADIUS pour garantir que les invités sont placés sur un VLAN isolé, protégeant ainsi les ressources internes.

Guide de mise en œuvre

Le déploiement de l'attribution dynamique de VLAN nécessite une configuration à la fois sur le serveur RADIUS et sur l'infrastructure réseau (points d'accès ou commutateurs). Bien que la syntaxe exacte varie selon les constructeurs (par exemple, Cisco ISE, Aruba ClearPass, FreeRADIUS), les principes fondamentaux restent les mêmes.

Étape 1 : Configuration du serveur RADIUS

Configurez votre serveur RADIUS pour renvoyer les attributs requis en fonction des groupes d'utilisateurs ou des profils d'appareils. Par exemple, vous pouvez créer des politiques qui stipulent :

  • Si Groupe d'utilisateurs = "Personnel", renvoyer Tunnel-Private-Group-ID = "10".
  • Si Groupe d'utilisateurs = "Prestataires", renvoyer Tunnel-Private-Group-ID = "20".
  • Si Type d'appareil = "Capteur IoT" (via le contournement de l'authentification MAC), renvoyer Tunnel-Private-Group-ID = "30".

Étape 2 : Configuration de l'authentificateur (points d'accès/commutateurs)

Configurez vos équipements réseau pour interroger le serveur RADIUS et traiter les attributs renvoyés. Cela implique généralement de :

  1. Définir l'adresse IP du serveur RADIUS et le secret partagé.
  2. Activer l'authentification 802.1X sur les SSID ou les ports de commutateur concernés.
  3. Activer l'attribution dynamique de VLAN (parfois appelée "AAA Override" ou "attribution de VLAN par RADIUS").

Considérations spécifiques aux constructeurs

  • Cisco : Sur les WLC, assurez-vous que l'option "AAA Override" est activée dans la configuration du WLAN. Pour les commutateurs, configurez authentication port-control auto et dot1x pae authenticator.
  • Aruba : Dans ArubaOS, assurez-vous que le profil AAA est configuré avec le "Serveur RADIUS" et que le groupe de serveurs est configuré pour traiter les règles du serveur pour la dérivation de VLAN.
  • Ubiquiti UniFi : Dans l'application UniFi Network, activez "RADIUS MAC Authentication" ou "WPA2/WPA3 Enterprise" et assurez-vous que l'option "Enable RADIUS assigned VLAN" est cochée dans les paramètres réseau.

vlan_segmentation_comparison.png

Bonnes pratiques

Pour garantir un déploiement robuste et évolutif, respectez les recommandations standard de l'industrie suivantes :

  1. Standardiser les ID de VLAN à l'échelle mondiale : Une dénomination incohérente des VLAN d'un site à l'autre est un piège majeur. Si le VLAN 10 correspond au "Personnel" sur le site A mais aux "Invités" sur le site B, l'attribution dynamique provoquera le chaos. Établissez un plan de numérotation global des VLAN avant de mettre en œuvre l'attribution dynamique.
  2. Mettre en œuvre des mécanismes de secours (Fallback) : L'indisponibilité de RADIUS est un mode de défaillance critique. Configurez un "VLAN critique" ou un "VLAN de secours" sur vos points d'accès. Si le serveur RADIUS est injoignable, le point d'accès doit basculer l'appareil dans un VLAN restreint qui n'autorise par exemple que l'accès à Internet, maintenant ainsi la connectivité sans compromettre la sécurité interne.
  3. Utiliser le contournement de l'authentification MAC (MAB) pour les appareils sans interface utilisateur : Les appareils IoT tels que les Capteurs ou les thermostats intelligents ne peuvent souvent pas effectuer d'authentification 802.1X. Utilisez le MAB pour authentifier ces appareils en fonction de leur adresse MAC, en les affectant à un VLAN IoT sécurisé et isolé.
  4. Exploiter les analyses : Utilisez des plateformes comme le WiFi Analytics de Purple pour surveiller les tendances d'authentification, identifier les anomalies et optimiser les performances du réseau en fonction des modèles d'utilisation basés sur les rôles.

Dépannage et atténuation des risques

Lors de la mise en œuvre de l'attribution dynamique de VLAN, préparez-vous à résoudre les problèmes courants :

  • Client placé dans le VLAN par défaut : Cela se produit généralement si le serveur RADIUS ne parvient pas à envoyer les attributs corrects, ou si l'authentificateur n'est pas configuré pour les traiter (par exemple, si l'option « AAA Override » est désactivée). Utilisez des captures de paquets pour vérifier le contenu du message Access-Accept.
  • Délais d'attente d'authentification dépassés : Si les appareils ne parviennent pas à s'authentifier, vérifiez la connectivité réseau entre l'authentificateur et le serveur RADIUS. Vérifiez le secret partagé et assurez-vous que le serveur RADIUS a configuré l'authentificateur comme un client valide.
  • Problèmes DHCP : Une fois qu'un appareil est attribué dynamiquement à un VLAN, il doit obtenir une adresse IP pour ce sous-réseau. Assurez-vous que le serveur DHCP est correctement configuré pour tous les VLAN dynamiques et que les adresses IP helper sont en place si nécessaire.

ROI et impact commercial

La mise en œuvre de l'attribution dynamique de VLAN offre un retour sur investissement significatif en réduisant les coûts de configuration manuelle et en atténuant les risques de sécurité.

  • Efficacité opérationnelle : Élimine le besoin de configurer manuellement des VLAN statiques par port ou de diffuser plusieurs SSID pour différents groupes d'utilisateurs, ce qui permet aux équipes informatiques d'économiser des heures de travail administratif.
  • Sécurité renforcée : Impose un contrôle d'accès strict basé sur les rôles, garantissant que les appareils compromis ou les utilisateurs non autorisés sont isolés des systèmes d'entreprise critiques. Ceci est essentiel pour la conformité avec des normes telles que PCI DSS dans les environnements de Retail .
  • Expérience utilisateur améliorée : Offre une expérience d'authentification fluide pour le personnel et les invités, car ils peuvent se connecter à un seul SSID et recevoir automatiquement les privilèges d'accès réseau appropriés.

Écoutez notre podcast de briefing technique pour en savoir plus :

Pour plus d'informations sur la sécurisation de votre réseau, consultez notre guide sur l' Authentification 802.1X : Sécuriser l'accès réseau sur les appareils modernes .

Définitions clés

Dynamic VLAN Assignment

Le processus d'attribution automatique d'un appareil à un réseau local virtuel (VLAN) spécifique en fonction de son identité ou de son rôle lors de l'authentification, plutôt que de son point de connexion physique.

Essentiel pour une segmentation réseau évolutive dans les environnements d'entreprise, éliminant le besoin de configuration manuelle des ports.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le moteur central qui évalue les identifiants et dicte la politique réseau, y compris l'attribution des VLAN.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC), fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le framework qui permet aux appareils de transmettre leurs identifiants de manière sécurisée à l'infrastructure réseau avant d'obtenir l'accès.

Tunnel-Private-Group-ID

L'attribut RADIUS 81, utilisé pour spécifier l'ID du VLAN ou le nom du VLAN que l'authentificateur doit attribuer à la session de l'utilisateur.

Le champ de données spécifique dans la réponse RADIUS qui dicte le segment de réseau.

MAC Authentication Bypass (MAB)

Une technique utilisée pour authentifier les appareils qui ne prennent pas en charge la norme 802.1X (comme les imprimantes ou les capteurs IoT) en utilisant leur adresse MAC comme identité.

Crucial pour intégrer des appareils sans écran ni interface utilisateur dans une architecture réseau segmentée dynamiquement.

Authenticator

L'appareil réseau (tel qu'un point d'accès sans fil ou un commutateur) qui facilite le processus d'authentification entre le client et le serveur RADIUS.

L'appareil chargé d'appliquer la politique d'attribution de VLAN renvoyée par le serveur RADIUS.

Access-Accept

Le message RADIUS envoyé à l'authentificateur indiquant que les identifiants de l'utilisateur sont valides et que l'accès doit être accordé.

Ce paquet transporte les attributs cruciaux d'attribution de VLAN.

AAA Override

Un paramètre de configuration sur de nombreux authentificateurs (comme les Cisco WLC) qui permet au serveur RADIUS de remplacer le VLAN par défaut ou la politique configurée sur l'appareil.

Doit être activé pour que l'attribution dynamique de VLAN fonctionne correctement.

Exemples concrets

Un hôtel de luxe de 500 chambres doit segmenter son réseau pour les clients, le personnel et les appareils IoT (thermostats intelligents et serrures de porte). Il diffuse actuellement 5 SSID différents, ce qui provoque d'importantes interférences co-canal et perturbe les clients. Comment l'attribution dynamique de VLAN peut-elle résoudre ce problème ?

L'hôtel devrait se regrouper autour de deux SSID : 'Hotel_Guest' (Portail Captif ouvert) et 'Hotel_Secure' (802.1X). Pour 'Hotel_Secure', le personnel s'authentifie à l'aide de ses identifiants d'entreprise. Le serveur RADIUS vérifie les identifiants par rapport à l'Active Directory et renvoie Tunnel-Private-Group-ID = '10' (VLAN Personnel). Pour les appareils IoT, qui ne peuvent pas utiliser le 802.1X, le réseau utilise le MAC Authentication Bypass (MAB). Le serveur RADIUS reconnaît les adresses MAC des thermostats et des serrures, renvoyant Tunnel-Private-Group-ID = '30' (VLAN IoT). Les clients se connectent à 'Hotel_Guest' et sont placés dans le VLAN 20 via des flux de travail standard de Captive Portal, potentiellement intégrés aux solutions Hospitality de Purple.

Commentaire de l'examinateur : Cette approche réduit considérablement la surcharge liée aux SSID, améliorant ainsi les performances RF. L'utilisation du MAB pour les appareils IoT est la solution de contournement standard pour les clients sans interface utilisateur. Le facteur clé de succès est de s'assurer que le serveur RADIUS dispose d'une base de données à jour des adresses MAC des appareils IoT.

Une grande chaîne de vente au détail déploie des terminaux de point de vente (POS) sur 50 sites. Pour se conformer à la norme PCI DSS, ces terminaux doivent être strictement isolés des réseaux d'entreprise et des invités. Comment l'attribution dynamique de VLAN peut-elle garantir la conformité même si un terminal est déplacé vers un autre port ?

L'équipe informatique configure les commutateurs réseau pour exiger une authentification 802.1X sur tous les ports d'accès. Les terminaux POS sont configurés avec des certificats pour l'authentification EAP-TLS. Lorsqu'un terminal se connecte à n'importe quel port, il s'authentifie auprès du serveur RADIUS. Le serveur RADIUS vérifie le certificat et renvoie Tunnel-Private-Group-ID = '40' (VLAN PCI). Le commutateur attribue dynamiquement le port au VLAN 40, en appliquant des ACL strictes qui n'autorisent que la communication avec les passerelles de traitement des paiements.

Commentaire de l'examinateur : Il s'agit d'un exemple classique d'utilisation de VLAN dynamiques pour la conformité. En liant l'attribution du VLAN à l'identité de l'appareil (via un certificat) plutôt qu'au port physique, la chaîne de vente au détail maintient sa conformité PCI DSS quels que soient les déplacements physiques, les ajouts ou les modifications.

Questions d'entraînement

Q1. Vous déployez l'attribution dynamique de VLAN sur un campus universitaire. Le serveur RADIUS envoie avec succès le message Access-Accept avec l'attribut Tunnel-Private-Group-ID défini sur '50' pour les membres du corps enseignant. Cependant, les appareils des enseignants sont toujours placés dans le VLAN par défaut (VLAN 1) configuré sur l'SSID. Quelle est la cause la plus probable ?

Conseil : Vérifiez la configuration sur le point d'accès sans fil ou le contrôleur.

Voir la réponse type

La cause la plus probable est que l'authentificateur (le contrôleur LAN sans fil ou le point d'accès) n'a pas activé l'option « AAA Override » (ou le paramètre équivalent, tel que « Activer le VLAN attribué par RADIUS ») pour cet SSID spécifique. Même si le serveur RADIUS envoie les attributs corrects, l'authentificateur les ignorera et utilisera la configuration par défaut à moins d'être explicitement configuré pour traiter les attributions dynamiques.

Q2. Un hôpital doit connecter des centaines de nouvelles pompes à perfusion intelligentes au réseau. Ces appareils ne prennent pas en charge les supplicants 802.1X. Comment l'équipe informatique peut-elle s'assurer que ces appareils sont automatiquement placés dans un VLAN IoT clinique sécurisé et isolé ?

Conseil : Réfléchissez à la manière dont les appareils dépourvus de fonctionnalités 802.1X peuvent être identifiés par le réseau.

Voir la réponse type

L'équipe informatique doit mettre en œuvre le MAC Authentication Bypass (MAB). Les adresses MAC de toutes les pompes à perfusion doivent être ajoutées à la base de données du serveur RADIUS. Lorsqu'une pompe se connecte au réseau, le commutateur ou le point d'accès utilise son adresse MAC comme identifiant pour l'authentification. Le serveur RADIUS reconnaîtra l'adresse MAC et renverra un message Access-Accept contenant le Tunnel-Private-Group-ID correspondant au VLAN IoT clinique.

Q3. Votre réseau d'entreprise repose fortement sur l'attribution dynamique de VLAN. Lors d'une fenêtre de maintenance planifiée, les serveurs RADIUS principal et secondaire deviennent temporairement inaccessibles. Quelle configuration doit être en place pour garantir que les appareils critiques pour l'entreprise conservent un certain niveau de connectivité ?

Conseil : Recherchez des fonctionnalités liées à l'échec de l'authentification ou aux scénarios de secours sur le commutateur ou le point d'accès.

Voir la réponse type

L'infrastructure réseau doit être configurée avec un « VLAN critique » ou un « VLAN de secours ». Lorsque l'authentificateur détecte que les serveurs RADIUS sont hors service (inaccessibles), il place automatiquement les appareils qui se connectent dans ce VLAN critique prédéfini. Des ACL strictes doivent être appliquées à ce VLAN, n'autorisant par exemple que l'accès à Internet ou l'accès à des services de remédiation essentiels, garantissant ainsi une connectivité de base sans exposer le réseau interne.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Lire le guide →

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

Lire le guide →