Les environnements OT (technologie opérationnelle) et CPS (systèmes cyber-physiques), notamment l'automatisation industrielle, l'énergie et les infrastructures critiques, exigent des niveaux élevés de sécurité, d'évolutivité et d'efficacité dans leurs communications réseau. L'un des principaux défis consiste à garantir un flux de trafic isolé, contrôlé et structuré entre les différents segments du réseau, tout en permettant une communication transparente entre plusieurs VLAN. Le double marquage VLAN, également connu sous le nom de Q-in-Q, 802.1ad, ou Q-in-Q tunneling, fournit une solution efficace en encapsulant les VLAN des clients dans un VLAN du fournisseur de services. Cela permet de maintenir la segmentation et de garantir la fiabilité de la transmission des données.
Comprendre le double balisage VLAN (Q-in-Q)
Le double VLAN encapsule une balise VLAN dans une autre, ce qui permet aux entreprises d'étendre les VLAN au-delà des limites du réseau sans interférer avec les configurations VLAN internes. Cette technique est particulièrement utile dans les installations industrielles où la segmentation du réseau est nécessaire pour isoler les systèmes de contrôle, les automates, les environnements SCADA et les données opérationnelles.
Composants clés du double balisage VLAN :
- VLAN extérieur (VLAN de service) : Géré par le fournisseur de services, ce VLAN facilite le transport du trafic sur l'infrastructure du réseau partagé, en veillant à ce que les données du client restent encapsulées et isolées.
- VLAN interne (VLAN client) : L'étiquette VLAN d'origine attribuée par l'entreprise. Elle reste intacte et est restaurée à la destination.
En tirant parti de Q-in-Q, les entreprises industrielles peuvent faire évoluer leurs réseaux efficacement tout en préservant l'intégrité des VLAN et en réduisant la complexité opérationnelle.
Comment le double balisage VLAN fonctionne-t-il dans les installations Industrial ?
Ce flux de trafic structuré permet aux réseaux industriels d'étendre les VLAN à plusieurs sites tout en gardant chaque segment gérable.
Avantages du double VLAN (Q-in-Q) dans les réseaux OT
Ségrégation du trafic
Le double VLAN permet de séparer le trafic entre les différentes parties d'un réseau OT. Cela garantit que le trafic de contrôle critique des automates reste isolé des autres trafics non essentiels, ce qui améliore la fiabilité et minimise les interférences.
Évolutivité
À mesure que les réseaux OT s'étendent, Q-in-Q offre une solution pour gérer efficacement un nombre croissant de VLAN. Il empêche l'épuisement des ID VLAN, ce qui est particulièrement bénéfique pour les grandes installations industrielles dotées de plusieurs PLC et systèmes de contrôle.
Sécurité
En isolant différents VLAN au sein d'un réseau industriel, Q-in-Q peut améliorer et simplifier certains contrôles de sécurité du réseau. Toutefois, les VLAN ne constituent pas une solution de sécurité complète. Ils sont relativement faciles à contourner à l'aide de techniques telles que le saut de VLAN.
Gestion simplifiée du réseau
Q-in-Q permet de créer une hiérarchie VLAN structurée dans les réseaux industriels. Cela simplifie la configuration du réseau, réduit la complexité opérationnelle et rend le dépannage plus efficace.
Indépendance des fournisseurs
Faisant partie de la norme IEEE 802.1Q (2011) largement adoptée, Q-in-Q est pris en charge par de nombreux fournisseurs de réseaux. Cela permet aux opérateurs industriels d'intégrer différents matériels tout en maintenant une segmentation et une gestion uniformes du trafic.
Cas d'utilisation du double étiquetage VLAN (Q-n-Q) dans les environnements OT
- Pont entre fournisseurs de services : Q-in-Q permet la communication entre différents sites industriels en étendant les VPN de couche 2 aux réseaux OT à grande échelle.
- AutomatisationIndustrial : Les usines de fabrication et les réseaux d'énergie utilisent Q-in-Q pour séparer le trafic entre les dispositifs d'automatisation et les systèmes de contrôle, garantissant ainsi un fonctionnement sans faille.
- Réseaux intelligents : Q-in-Q aide à gérer le trafic entre les sous-stations et les centres de contrôle, en maintenant une communication efficace dans les déploiements de réseaux intelligents.
- Systèmes de gestion des bâtiments (BMS) : Les campus Industrial utilisent Q-in-Q pour isoler le trafic des systèmes de chauffage, de ventilation et de climatisation, d'éclairage et de sécurité, afin d'en assurer le bon fonctionnement.
- Systèmes de transport : Q-in-Q prend en charge la transmission de données à travers divers réseaux de transport, y compris les systèmes de contrôle des chemins de fer, garantissant ainsi des opérations ininterrompues.
Exemple de topologie de réseau
Prenons l'exemple d'une usine ayant la configuration suivante :
1. Dispositifs : PLC (serveur), Industrial Firewall, et clients sur le réseau B.
2. Segmentation du réseau :
- Réseau A : VLAN 100 (l'automate réside ici) - 192.168.10.0/24
- Réseau B : VLAN 200.100 (IHM ou appareil externe) - 10.10.10.0/24
- FirewallIndustrial : Interfaces dans les deux réseaux, traduisant le trafic entre eux.
3. Flux de trafic :
- Les appareils du réseau B envoient du trafic étiqueté avec le VLAN 100.
- Le pare-feu ou le commutateur du fournisseur de services ajoute une balise VLAN externe (VLAN 200).
- Le paquet voyage à travers le réseau tout en gardant la séparation VLAN intacte.
- En atteignant le réseau A, la balise VLAN extérieure est supprimée, ce qui rétablit le VLAN 100.
- L'automate peut désormais communiquer avec des appareils externes sans modification du VLAN interne.
Conclusion
Le double étiquetage VLAN est une technique puissante pour les organisations qui ont besoin d'une évolutivité VLAN, d'une isolation et d'un transfert de données sur des infrastructures partagées. Dans les environnements industriels et OT, Q-in-Q assure une gestion transparente et efficace des VLAN, ce qui permet de mettre en place des solutions de réseau flexibles et rentables.
Industrial Firewall™
Débloquez des communications OT/ICS sécurisées et segmentées avec Q-in-Q - sans sacrifier les performances. Découvrez comment MetaDefender Industrial Firewall peut renforcer votre réseau industriel.
Foire aux questions (FAQ)
Q :Qu'est-ce que le double marquage VLAN (Q-n-Q) ?
R : Le double marquage VLAN, également connu sous le nom de Q-in-Q, encapsule un marquage VLAN dans un autre afin d'étendre les VLAN à travers les réseaux tout en préservant la segmentation. Il est particulièrement utile dans les environnements industriels où la segmentation du réseau est essentielle pour isoler les systèmes de contrôle, les automates, les environnements SCADA et les données opérationnelles.
Q :Quel est le degré de Secure des VLANS ?
R : Les VLAN peuvent améliorer la sécurité du réseau en segmentant logiquement le trafic et en limitant les domaines de diffusion, ce qui permet de réduire le risque d'accès non autorisé entre les segments. Toutefois, les VLAN ne sont pas intrinsèquement sûrs. Ils nécessitent une configuration minutieuse pour prévenir efficacement les attaques telles que le saut de VLAN ou l'accès non autorisé.
Q :Qu'est-ce que le saut de VLAN ?
R : Le saut de VLAN est une vulnérabilité de la sécurité du réseau où un attaquant exploite les faiblesses pour obtenir un accès non autorisé à un VLAN et ensuite pivoter vers d'autres au sein du même réseau. Les VLAN sont censés améliorer la sécurité et les performances en isolant le trafic entre différents segments. Le saut de VLAN compromet cette séparation, permettant aux attaquants de contourner les contrôles et d'accéder potentiellement à des systèmes et des données sensibles qui devraient rester protégés et isolés.
