Pendant des années, dans un grand data center d’un client bancaire, le VLAN 1 régnait en maître. Il avait tout :
- Une adresse royale, 10.0.0.0/8,
- Des milliers de résidents : serveurs, VM, imprimantes, équipements OT,
- Et une philosophie simple : tout le monde dans le même sac.
À l’époque, ce choix semblait logique : pas de complexité, pas de routage, une seule grande famille réseau. Mais les années ont passé, et comme tout grand royaume unifié, le VLAN 1 a commencé à poser problème. Beaucoup de problèmes.
Le symptôme : le royaume trop bruyant
Avec plus de 3 000 hôtes dans le même domaine de broadcast, les interférences ARP et les collisions logiques devenaient monnaie courante. Impossible de comprendre qui parlait à qui. Chaque tentative de dépannage se transformait en chasse au trésor dans une mer de trames.
Pire encore : la DSI souhaitait insérer un pare-feu en cœur de réseau pour séparer les environnements Prod, Pré-prod, Sauvegarde… Mais comment filtrer quoi que ce soit quand tout vit dans le même espace IP ?
La mission : migrer sans douleur
Le plan était clair :
-
- Découper le /8 en sous-réseaux /24 par zone physique ou fonctionnelle ;
-
- Déployer progressivement des VLANs dédiés sur chaque rangée de racks ;
-
- Et surtout, ne rien casser : pas question d’interrompre les VM critiques, ni de modifier brutalement leurs configurations.
C’est là qu’intervient le sauveur discret mais efficace : Proxy ARP.
Le plan d’action : quand le routeur prend la parole pour les autres
On commence par créer les nouveaux VLANs sur les switchs de cœur :
- VLAN 101 pour la première rangée,
- VLAN 102 pour la suivante, etc.,
- chacun avec une adresse de passerelle en /24, bien propre.
Mais beaucoup de VM restaient encore configurées en /8, avec pas de passerelle ou une vieille IP en dur. Pour elles, toute adresse 10.x.y.z est supposée sur le même réseau.
Alors quand une de ces VM tente de parler à une autre machine désormais dans un VLAN /24, elle fait… ce qu’elle a toujours fait : un ARP broadcast.
Sauf que cette fois, le vrai destinataire est ailleurs, dans un VLAN isolé. Il ne verra jamais l’ARP. Fin de la communication ? Pas encore.
Le routeur, avec Proxy ARP activé, entre en scène. Il voit passer la requête et répond calmement :
« Tu cherches 10.0.102.45 ? Pas de souci, envoie-moi le trafic, je m’en occupe. »
Et hop ! La VM pense que son interlocuteur est toujours sur le même réseau, mais elle envoie ses paquets au routeur, qui les redirige vers la bonne zone.
Le résultat : un réseau en mutation, sans rupture
Chaque jour, quelques VLANs sont mis en production.
Chaque semaine, un lot de VMs est reconfiguré proprement (nouveau masque, nouvelle passerelle).
Et pendant tout ce temps, les machines restantes en /8 continuent à fonctionner, grâce à la magie du Proxy ARP.
Les administrateurs surveillent les flux, ajustent les configurations, et petit à petit, le grand VLAN 1 devient une fédération de sous-réseaux organisés.
La sortie de scène du Proxy ARP
Une fois les derniers serveurs migrés, le Proxy ARP est retiré, sans bruit. Il n’était là que pour accompagner la transition, comme un bon chef de projet technique : présent quand il le faut, discret quand tout fonctionne.
Et VLAN 1 ? Il n’est plus qu’un vestige du passé. On le laisse pour les out-of-band ou les équipements de test.
Conclusion
Proxy ARP n’est pas un héros de design moderne, ni une recommandation à long terme. Mais dans les projets de migration progressive, il est l’outil idéal pour éviter la casse, absorber les incohérences temporaires et permettre une transition fluide vers un réseau mieux segmenté et sécurisé.
Chez MHD-EXPERTs, nous ne l’utilisons que quand il le faut — mais quand on le fait, on le fait proprement, avec un plan de sortie et une documentation claire. Parce qu’un bon dépannage, c’est aussi un dépannage qu’on sait retirer.
