Le VLAN 1 occupe une place centrale dans l'histoire des commutateurs Cisco, notamment dans les premières versions des commutateurs et avec des protocoles tels que ISL (Inter-Switch Link).
Lors des premiers déploiements de commutateurs Cisco, le VLAN 1 était configuré comme le VLAN par défaut. Cela signifie que tous les ports du commutateur appartenaient initialement au VLAN 1. Ce VLAN servait à transporter non seulement le trafic de gestion, mais aussi le trafic des utilisateurs.
Le VLAN 1 ne pouvait pas être supprimé, et plusieurs protocoles de contrôle, comme STP (Spanning Tree Protocol), CDP (Cisco Discovery Protocol), et VTP (VLAN Trunking Protocol), utilisaient ce VLAN pour échanger des informations de gestion entre les commutateurs.
Avec le temps, l'utilisation omniprésente du VLAN 1 dans les réseaux a suscité des inquiétudes en matière de sécurité. Étant donné que le VLAN 1 est activé sur tous les ports par défaut, il était vulnérable aux attaques telles que le VLAN hopping où un attaquant pouvait accéder à des données sensibles ou compromettre le réseau de gestion.
Pour réduire ces risques, il est désormais recommandé de :
- éviter d'utiliser le VLAN 1 pour le trafic de gestion ou des utilisateurs,
- créer un VLAN de gestion dédié distinct du VLAN 1 pour isoler le trafic de gestion des administrateurs réseau,
- changer le VLAN natif des liens de trunk en un VLAN inutilisé pour renforcer la sécurité et éviter des fuites de données accidentelles.
Pour rappel, ISL est un protocole propriétaire Cisco de marquage de VLAN qui a été utilisé avant l'adoption généralisée de 802.1Q, le standard ouvert pour la gestion des VLANs sur des trunks entre commutateurs.
Dans les configurations utilisant ISL, le VLAN 1 était également le VLAN par défaut. Cela signifiait que tout trafic non balisé (c’est-à-dire les trames qui n'étaient pas encapsulées avec un en-tête ISL) était automatiquement associé au VLAN 1. ISL encapsule entièrement les trames Ethernet, y compris celles appartenant au VLAN 1, avec un en-tête ISL contenant l'ID de VLAN. Malgré cette encapsulation, VLAN 1 restait le VLAN de base pour les trames non marquées sur les trunks ISL.
https://www.cisco.com/c/en/us/support/docs/lan-switching/8021q/17056-741-4.html
Au fur et à mesure que le protocole 802.1Q est devenu le standard industriel, l'utilisation d'ISL a décliné, même s'il est encore supporté sur certains équipements Cisco. Contrairement à ISL, où toutes les trames sont encapsulées, 802.1Q ne balise pas le trafic du VLAN natif (qui est VLAN 1 par défaut). Cela a conduit à des recommandations similaires pour changer le VLAN natif sur les trunks 802.1Q, afin d'éviter l'exposition du VLAN 1.