Pourquoi segmenter son réseau en VLANs pour une PME ?

La segmentation VLAN isole les différentes zones du réseau , postes de travail, WiFi invités, stockage, caméras. Si un appareil est compromis, l'attaquant est confiné à sa zone et ne peut pas atteindre les autres équipements. C'est une mesure de sécurité fondamentale pour toute PME, quelle que soit sa taille.

Quelle est la différence entre un switch Layer 2 et Layer 3 ?

Un switch Layer 2 commute uniquement au niveau des adresses MAC , il ne peut pas router entre VLANs. Un switch Layer 3 comme le Cisco C3850 peut créer des interfaces SVI et effectuer du routage IP entre VLANs, offrant plus de flexibilité et de performances pour les réseaux segmentés.

Combien coûte un déploiement réseau comme celui-ci pour une PME ?

Le coût dépend de la taille du réseau, du matériel existant et des besoins spécifiques. Promethix propose des audits gratuits pour évaluer votre situation et chiffrer précisément un déploiement adapté à votre PME.

Retour d'expérience

Déploiement réseau complet pour une PME : Cisco C3850, 7 VLANs et OPNsense

17 mai 2026 · 8 min de lecture

Voici un retour d'expérience concret sur un déploiement réseau réalisé pour une PME suisse du secteur du commerce de détail. L'objectif était de partir de zéro , pas de réseau structuré, tout le monde sur le même segment , et d'arriver à une infrastructure professionnelle, sécurisée et évolutive en une journée d'intervention.

Équipements déployés : un Cisco Catalyst C3850-48P en Layer 3, un firewall OPNsense. Architecture : 7 VLANs distincts avec ACLs granulaires et distribution DHCP centralisée.

Contexte
PME d'une vingtaine de postes, commerce de détail, réseau plat non segmenté à l'origine. Besoin : isoler le WiFi invités, sécuriser le stockage, créer une zone de management séparée, et préparer l'infrastructure pour les caméras de sécurité.

1. Pourquoi segmenter son réseau en VLANs ?

Un réseau plat , tout le monde sur le même subnet , c'est la configuration par défaut de la plupart des PME. C'est simple à mettre en place, mais c'est un risque réel : si un poste est compromis, l'attaquant peut atteindre tous les autres équipements du réseau, y compris les NAS, les caméras et les équipements de management.

La segmentation VLAN résout ce problème en créant des zones réseau logiquement isolées. Un client WiFi invité ne peut pas accéder aux fichiers sur le NAS. Une caméra de sécurité ne peut pas communiquer avec les postes de travail. Le VLAN de management n'est accessible que physiquement. Chaque zone ne voit que ce qu'elle a besoin de voir.

2. Architecture déployée

L'ensemble du réseau s'appuie sur le bloc 10.0.20.0/24, subdivisé en sous-réseaux /27 (30 hôtes maximum par VLAN). Sept VLANs ont été créés :

VLAN	Nom	Subnet	Usage
10	DMZ	10.0.20.0/27	Firewall, VPN, serveurs exposés
20	LAN	10.0.20.32/27	Postes de travail
30	Internal WiFi	10.0.20.64/27	WiFi entreprise interne
40	Guest WiFi	10.0.20.96/27	WiFi invités , Internet uniquement
50	Storage	10.0.20.128/27	NAS Synology , stockage
60	Security	10.0.20.160/27	Caméras et contrôleur de sécurité
99	Management	10.0.20.192/27	Administration OOB , accès physique uniquement

Le choix du /27 n'est pas anodin , il offre 30 hôtes par zone, largement suffisant pour une PME de cette taille, tout en maintenant une structure d'adressage propre et cohérente dans le bloc /24.

3. Le Cisco C3850 en mode Layer 3

Le Cisco Catalyst C3850-48P est configuré en switch Layer 3 avec des interfaces SVI (Switched Virtual Interface) pour chaque VLAN. Chaque SVI prend l'adresse .2 de son subnet, le firewall OPNsense prenant le .1.

Le port Gi3/0/1 est configuré en trunk 802.1Q vers OPNsense , c'est lui qui transporte tous les VLANs vers le firewall pour le routage inter-VLAN contrôlé, la distribution DHCP et l'accès Internet. Le reste des ports est assigné à un VLAN spécifique en mode access.

Choix technique
Certains déploiements font du routing inter-VLAN directement sur le switch L3. Ici, nous avons opté pour un modèle hybride : le switch assure le switching local intra-VLAN, mais tout le trafic inter-VLAN transite par OPNsense. Cela permet d'appliquer des règles firewall granulaires sur chaque flux, et pas seulement des ACLs switch.

4. Les ACLs : la politique de sécurité en pratique

Des ACLs étendues sont appliquées en entrée sur chaque interface SVI. Voici les règles essentielles qui définissent la politique de sécurité :

Le WiFi invités (VLAN 40) est le plus restrictif : il peut uniquement accéder à Internet via le firewall. Toute communication vers le LAN, le WiFi interne, le stockage ou les caméras est bloquée et loggée.
Le LAN (VLAN 20) peut accéder au stockage et à la DMZ, mais pas au WiFi invités, aux caméras ni au management.
Le Storage (VLAN 50) accepte les connexions depuis DMZ, LAN et WiFi interne , mais n'initie aucune connexion sortante.
Le Management (VLAN 99) est accessible uniquement par connexion physique , aucune règle ne permet d'y accéder depuis le réseau.

Toutes les règles de refus sont accompagnées d'un log , ce qui permet de détecter dans Zabbix ou OPNsense toute tentative de traversée non autorisée entre zones.

5. OPNsense comme firewall et serveur DHCP

OPNsense est connecté au switch via une interface trunk 802.1Q. Il crée une sous-interface par VLAN et assure trois fonctions principales :

Distribution DHCP pour tous les VLANs (sauf le VLAN 10 DMZ qui utilise des IPs fixes). Le switch relaie les requêtes DHCP via ip helper-address sur chaque SVI.
NAT et accès Internet , le WiFi invités (VLAN 40) est le seul VLAN routé vers le WAN via NAT. Les autres VLANs n'ont pas d'accès Internet direct.
DNS resolver interne pour les VLANs privés.

6. Stockage : deux NAS en VLAN dédié

Les deux NAS Synology DS216 sont placés dans le VLAN 50 Storage, avec des adresses IP fixes. Seuls le LAN, le WiFi interne et la DMZ peuvent y accéder , les invités n'y ont évidemment aucun accès.

Ce cloisonnement est essentiel : même si un poste du LAN est compromis, l'attaquant ne peut pas atteindre le stockage autrement que par les ports explicitement autorisés dans les ACLs.

7. Ce qu'on a appris de ce déploiement

Quelques points clés issus de cette intervention :

La planification du plan d'adressage est critique. Choisir des sous-réseaux propres dès le départ évite de refaire tout le câblage et la configuration si le réseau grandit.
Le VLAN de management doit être physiquement isolé. Pas de règle réseau pour y accéder , uniquement câble. C'est une décision délibérée qui protège l'équipement même si le reste du réseau est compromis.
Logger les refus ACL. Sans log sur les règles de deny, on est aveugle sur les tentatives de traversée inter-VLAN. Ces logs alimentent directement le monitoring Zabbix.
Tester chaque VLAN indépendamment avant de connecter les utilisateurs. Un DHCP mal configuré ou une ACL trop restrictive crée des incidents difficiles à diagnostiquer une fois tout le monde connecté.

Conclusion

Une journée d'intervention, une infrastructure réseau propre et documentée, prête à évoluer. C'est exactement le type de déploiement que Promethix réalise pour les PME suisses , pas de sur-ingénierie, pas de solutions propriétaires qui vous enferment, juste ce qu'il faut pour que ça marche durablement.

Si vous voulez mettre en place une infrastructure similaire pour votre entreprise, contactez-nous pour un audit gratuit.

Muhammed Baran Demir
Fondateur de Promethix · Infrastructure IT sur site · Fribourg, Suisse