Segmentation réseau : VLANs, routage L3 inter-VLAN et ACLs Cisco

Contexte

Étape centrale du homelab : isoler les différents types de trafic (management, serveurs, IoT, postes, invités) via des VLANs dédiés, activer le routage L3 inter-VLAN directement sur le Cisco 3560-CX, et contrôler les flux avec des ACLs nommées. Le choix du routage sur switch (et non sur pfSense) réduit le point de passage unique et décharge le firewall du trafic interne.

Architecture VLANs

VLAN	Nom	Réseau	SVI (passerelle L3)
10	MGMT	`172.16.10.0/24`	`172.16.10.2`
20	SERVERS	`172.16.20.0/24`	`172.16.20.1`
30	IOT	`172.16.30.0/24`	`172.16.30.1`
40	TRUSTED	`172.16.40.0/24`	`172.16.40.1`
99	GUEST	`172.16.99.0/24`	`172.16.99.1`

Cisco Catalyst 3560-CX et D-Link DGS-1210-08P avec câbles étiquetés par VLAN — Cisco Catalyst 3560-CX Series (centre) — switch L3 cœur avec `ip routing` actif. Câbles étiquetés par interface : PVE02-MG, EN0, AP-x…

Ce que j’ai fait

Cisco 3560-CX — routage L3 inter-VLAN

Création des VLANs et configuration des SVIs (interfaces virtuelles L3 par VLAN)
Activation du routage inter-VLAN avec ip routing (Cisco IOS 15.2(7)Ex)
Configuration des ports trunk 802.1Q vers pfSense, PVE-01/02 et contrôleur UniFi
Configuration des ports d’accès par VLAN sur les postes/équipements

ACLs nommées — politique de filtrage

Trois ACLs étendues nommées, appliquées inbound sur les SVIs des VLANs concernés :

ACL-IOT-IN (VLAN 30 → autres VLANs)
  permit udp 172.16.30.0/24 any eq 53     ← DNS autorisé
  permit tcp 172.16.30.0/24 any eq 80     ← HTTP Internet
  permit tcp 172.16.30.0/24 any eq 443    ← HTTPS Internet
  deny   ip  172.16.30.0/24 172.16.0.0/16 ← bloc accès infra interne
  permit ip  any any                       ← reste OK (Internet)

ACL-GUEST-IN (VLAN 99 → autres VLANs)
  permit udp 172.16.99.0/24 any eq 53     ← DNS
  permit tcp 172.16.99.0/24 any eq 80
  permit tcp 172.16.99.0/24 any eq 443
  deny   ip  172.16.99.0/24 172.16.0.0/16 ← isolation totale du homelab

ACL-TRUSTED-IN (VLAN 40 — postes de confiance)
  permit ip any any                        ← accès complet autorisé

D-Link DGS-1210-08P

Activation des VLANs 802.1Q sur le switch d’accès PoE secondaire
Assignation des ports aux VLANs appropriés (accès / tagged)

UniFi — SSIDs taggés par VLAN

3 SSIDs distincts : TRUSTED (VLAN 40), IOT (VLAN 30), GUEST (VLAN 99)
Trunk 802.1Q entre le contrôleur UniFi et les 3 bornes WiFi

pfSense — périmètre réduit

Après activation du routage L3 sur le switch : pfSense limité à WAN/NAT et filtrage entrée/sortie Internet
Règles inter-VLAN déléguées entièrement aux ACLs Cisco 3560-CX
Meilleure séparation des rôles, moins de charge sur le firewall

Dashboard Grafana SNMP — monitoring Cisco 3560-CX, D-Link DGS et pfSense en temps réel — Grafana — supervision SNMP en temps réel du Cisco 3560-CX et du D-Link DGS-1210-08P : CPU, mémoire et trafic par interface (WAN, MGMT, SERVERS).

Résultat

Infrastructure segmentée avec :

Isolation complète des équipements IoT et invités (aucun accès aux VLANs SERVERS/MGMT)
Administration centralisée depuis le VLAN MGMT (172.16.10.0/24)
Routage performant inter-VLAN en hardware (ASICs Cisco), sans passer par pfSense
Politique de sécurité documentée et testée (ping inter-VLAN bloqués conformément aux ACLs)