1. Introduction
Dans une infrastructure virtualisée, tu dois souvent séparer les flux réseau entre les machines virtuelles, les services d’administration, le stockage ou encore les réseaux utilisateurs. Les VLAN permettent justement de segmenter ces communications tout en conservant une seule interface physique sur l’hyperviseur.
Proxmox VE intègre directement la gestion des VLAN grâce aux bridges Linux et au support 802.1Q du noyau Linux. Cette approche reste très utilisée dans les environnements professionnels, notamment pour :
- héberger plusieurs réseaux sur un même serveur ;
- isoler des VM ;
- séparer le trafic d’administration ;
- connecter des équipements à différents VLAN ;
- gérer des infrastructures multi-services.
Dans cette fiche, tu vas apprendre :
- comment fonctionnent les VLAN dans Proxmox VE ;
- comment configurer un bridge VLAN-aware ;
- comment associer des VLAN aux machines virtuelles ;
- comment sécuriser et dépanner la configuration ;
- comment utiliser les commandes réseau Linux dans Proxmox.
Cette compétence apparaît régulièrement dans les projets BTS CIEL et BTS SIO lors des travaux sur la virtualisation, la segmentation réseau et les infrastructures Linux.
2. Sommaire
- Introduction
- Sommaire
- Comprendre le fonctionnement VLAN dans Proxmox
- Architecture réseau Proxmox VE
- Préparer l’infrastructure réseau
- Comprendre les bridges Linux dans Proxmox
- Configurer un bridge VLAN-aware
- Exemple complet de configuration
- Fichiers importants
- Ajouter un VLAN à une machine virtuelle
- Cas concrets d’utilisation
- Sécurité et pare-feu
- Commandes utiles et dépannage
- Logs réseau et analyse
- Erreurs fréquentes
- Bonnes pratiques
- Pour aller plus loin
- Liens utiles
- Propositions de TP
3. Comprendre le fonctionnement VLAN dans Proxmox
Proxmox VE repose sur Linux. Il utilise donc les capacités réseau natives du noyau Linux.
Le principe reste simple :
- la carte réseau physique reçoit les trames VLAN ;
- le bridge Linux transmet ces VLAN aux VM ;
- chaque VM utilise le VLAN correspondant.
Le switch connecté au serveur doit fonctionner en mode trunk.
Exemple :
| VLAN | Usage |
|---|---|
| 10 | Administration |
| 20 | Serveurs |
| 30 | Utilisateurs |
| 40 | DMZ |
Une seule interface physique peut transporter plusieurs VLAN simultanément grâce au protocole IEEE 802.1Q.
4. Architecture réseau Proxmox VE
Une architecture classique ressemble à ceci :
SWITCH
|
Port trunk VLAN
|
eno1 (Proxmox)
|
vmbr0
VLAN aware bridge
/ | \
VM101 VM102 VM103
VLAN10 VLAN20 VLAN30Dans cette architecture :
eno1= interface physique ;vmbr0= bridge Linux ;- les VLAN passent directement jusqu’aux VM.
5. Préparer l’infrastructure réseau
Avant de configurer Proxmox :
- le switch doit autoriser les VLAN ;
- le port relié à Proxmox doit être configuré en trunk ;
- les VLAN doivent exister sur le switch.
Exemple Cisco :
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40Exemple HP Aruba :
vlan 10
tagged 1
vlan 20
tagged 1Sans configuration correcte du switch, les VLAN ne fonctionneront pas même si Proxmox est correctement configuré.
6. Comprendre les bridges Linux dans Proxmox
Proxmox utilise des bridges Linux.
Le bridge agit comme un switch virtuel.
Configuration classique :
VM <-> vmbr0 <-> eno1 <-> switchLe bridge peut :
- transporter des VLAN ;
- faire du routage ;
- connecter des conteneurs ;
- connecter des VM.
Le fichier principal réseau est :
/etc/network/interfacesContrairement à Ubuntu Server récent, Proxmox n’utilise pas Netplan.
7. Configurer un bridge VLAN-aware
Pour utiliser les VLAN dans Proxmox, il faut activer :
bridge-vlan-aware yesCette option autorise le bridge à transmettre les tags VLAN.
8. Exemple complet de configuration
Synthèse Markdown pour ta fiche bristol
# VLAN Proxmox VE
## Fichier réseau
/etc/network/interfaces
## Vérifier interfaces
ip link show
## Vérifier bridge
bridge vlan show
## Activer VLAN aware
bridge-vlan-aware yes
## Redémarrer réseau
ifreload -a
## Vérifier bridge
brctl show
## Vérifier VLAN
bridge vlan show
## Vérifier IP
ip addr
## Firewall UFW
ufw allow from 192.168.10.0/24
## Capture VLAN
tcpdump -i eno1 vlan
## Logs réseau
journalctl -u networkingConfiguration complète Proxmox VE
auto lo
iface lo inet loopback
iface eno1 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.10.2/24
gateway 192.168.10.254
bridge-ports eno1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094Explications :
bridge-ports eno1: associe la carte réseau physique ;bridge-stp off: désactive STP ;bridge-fd 0: temps forwarding ;bridge-vlan-aware yes: active le support VLAN ;bridge-vids 2-4094: VLAN autorisés.
Recharge la configuration :
ifreload -aCette commande recharge proprement la configuration réseau sans redémarrer le serveur.
9. Fichiers importants
Configuration réseau principale
/etc/network/interfacesInterfaces réseau détectées
/sys/class/net/Configuration réseau active
/run/network/Logs système
/var/log/syslogConfiguration firewall Proxmox
/etc/pve/firewall/10. Ajouter un VLAN à une machine virtuelle
Dans l’interface web Proxmox :
VM -> Hardware -> Network DevicePuis :
- Bridge :
vmbr0 - VLAN Tag :
20
La VM recevra alors le VLAN 20.
Configuration équivalente dans le fichier VM :
net0: virtio=AA:BB:CC:DD:EE:FF,bridge=vmbr0,tag=2011. Cas concrets d’utilisation
Infrastructure multi-services
| VLAN | Usage |
|---|---|
| 10 | Administration |
| 20 | Serveurs Linux |
| 30 | Utilisateurs |
| 40 | Sauvegarde |
Hébergement WordPress
- VLAN 10 → administration Proxmox ;
- VLAN 20 → reverse proxy ;
- VLAN 30 → base MariaDB.
Cluster Proxmox
Séparation :
- trafic cluster ;
- migration ;
- stockage ;
- administration.
12. Sécurité et pare-feu
Les VLAN améliorent l’isolation mais ne remplacent pas un firewall.
Ports importants
| Service | Port |
|---|---|
| SSH | 22 |
| HTTPS Proxmox | 8006 |
| Corosync | 5405 |
| Ceph | 6789 |
| DNS | 53 |
Autoriser uniquement un VLAN d’administration
ufw allow from 192.168.10.0/24 to any port 8006 proto tcpAutoriser SSH uniquement depuis le VLAN admin
ufw allow from 192.168.10.0/24 to any port 22 proto tcpRefuser tous les autres accès
ufw deny 8006/tcpVérifier les règles
ufw status verbose13. Commandes utiles et dépannage
Vérifier les bridges
brctl showVoir les VLAN actifs
bridge vlan showVoir les interfaces réseau
ip link showVoir les adresses IP
ip addr showTester la connectivité
ping 192.168.20.254Vérifier la table ARP
ip neighCapturer les VLAN
tcpdump -i eno1 -e vlanExplications :
-i: interface ;-e: affiche les entêtes Ethernet ;vlan: filtre VLAN.
Redémarrer le service réseau
systemctl restart networkingRecharger sans coupure
ifreload -a14. Logs réseau et analyse
Logs réseau
journalctl -u networkingSuivre les logs en temps réel
journalctl -fu networkingLogs Proxmox
journalctl -u pveproxyVoir les erreurs réseau
dmesg | grep -i vlanTu peux y voir :
- erreurs VLAN ;
- problèmes drivers ;
- erreurs bridge ;
- perte de lien réseau ;
- interfaces absentes.
15. Erreurs fréquentes
Oubli du mode trunk sur le switch
Les VLAN ne traversent pas le port switch.
VLAN tag incorrect
Exemple :
- VM configurée en VLAN 20 ;
- switch autorise seulement VLAN 10.
Mauvais bridge
La VM utilise un bridge différent.
Oubli de VLAN aware
Sans :
bridge-vlan-aware yesles VLAN ne passent pas.
Erreur gateway
La passerelle doit correspondre au bon VLAN.
16. Bonnes pratiques
- Sépare administration et production.
- Utilise un VLAN dédié pour Proxmox.
- Restreins l’accès web Proxmox.
- Documente les VLAN utilisés.
- Sauvegarde
/etc/network/interfaces. - Utilise des noms cohérents.
- Teste les VLAN avec
tcpdump. - Évite les VLAN inutilisés sur les trunks.
- Limite les VLAN autorisés sur les switches.
17. Pour aller plus loin
Tu peux approfondir :
- Open vSwitch ;
- VXLAN ;
- SDN Proxmox ;
- bonds réseau ;
- LACP ;
- Ceph ;
- clusters Proxmox ;
- nftables ;
- routage inter-VLAN.
Tu peux également étudier :
- les ACL réseau ;
- le firewall Proxmox ;
- les bridges Linux avancés ;
- EVPN/VXLAN.
18. Liens vers : les sites officiels, les mooc ou autres contenus pédagogiques qui font références, etc
Documentation officielle Proxmox réseau
Documentation officielle Proxmox sur la configuration réseau.
Documentation VLAN Proxmox
Guide officiel avec exemples VLAN et bridges.
Documentation Debian VLAN
Explications Debian sur les VLAN Linux.
Documentation bridge Linux
Documentation officielle de la commande bridge.
Documentation Linux bridge
Fonctionnement détaillé des bridges Linux.
OpenClassrooms — Découvrez les réseaux informatiques
Très bon cours pour revoir les fondamentaux réseau.
OpenClassrooms — Virtualisation et cloud
Bon support Linux pour comprendre le fonctionnement réseau bas niveau.
RFC IEEE 802.1Q
Norme officielle VLAN Ethernet.
19. Propositions de TP
TP 1 — Création d’un bridge VLAN-aware
Objectifs :
- créer
vmbr0; - activer VLAN-aware ;
- vérifier le bridge.
TP 2 — Machine virtuelle multi-VLAN
Objectifs :
- créer plusieurs VLAN ;
- associer des VM ;
- tester les communications.
TP 3 — Sécurisation accès Proxmox
Objectifs :
- limiter accès port 8006 ;
- configurer UFW ;
- tester les restrictions.
TP 4 — Analyse réseau VLAN
Objectifs :
- utiliser
tcpdump; - observer les trames 802.1Q ;
- identifier les VLAN.
TP 5 — Dépannage VLAN
Objectifs :
- corriger un trunk ;
- réparer un bridge ;
- analyser les logs ;
- restaurer la connectivité.