Tarvitsenko VLANeja kotiin?

Ei tiukasti. Useimmat kodit toimivat hyvin yhdessä tasaisessa verkossa. VLAN-verkoista tulee arvokkaita, kun kannettavien tietokoneiden lähiverkossa on IoT-laitteita, joihin et luota, kotityöjärjestelyt, joissa työnantajan laitteet tarvitsevat eristystä, tai harrastusprojektit (kotilaboratorio, tietoturvatestaus), jotka hyötyvät segmentoinnista.

Mitä eroa on VLAN:lla ja aliverkolla?

VLAN on kerroksen 2 lähetysalue; aliverkko on Layer-3 IP-ryhmittely. Tyypillisesti yksi VLAN vastaa yhtä IP-aliverkkoa, mutta ne ovat käsitteellisesti erilaisia. Sinulla voi olla VLAN-verkkoja ilman IP-reititystä niiden välillä, ja sinulla voi olla aliverkkoja, jotka jakavat VLANin (harvinainen, usein virheellinen määritys).

Voinko tehdä VLAN-verkkoja halvoilla reitittimillä?

Useimmat kuluttajareitittimet eivät tue oikeita VLAN-verkkoja; "vierasverkosto" on lähin asia. Prosumer-laitteet (Ubiquiti, MikroTik, OPNsense PC:llä) tukevat täyttä 802.1Q:ta. Jotkin OpenWrt:tä käyttävät suositut kuluttajareitittimet voidaan määrittää uudelleen VLAN-tukea varten, jos laitteistosi sen sallii.

Kuinka monta VLAN:ia minulla voi olla?

802.1Q sallii 4094 aktiivista VLANia (1 ja 4095 on varattu). Käytännön koti-/toimistokäyttöönotto vaatii kourallisen; suuret pilvityökuormia käyttävät datakeskukset käyttävät VXLAN-verkkoa 16 miljoonalla mahdollisella segmentillä 4094-rajan välttämiseksi.

Ovatko VLANit turvallisuusraja?

Ne ovat osittaisia. Oikein määritetyt VLAN-verkot estävät saman segmentin hyökkäykset (ARP-huijaus, lähetyshaiskaus). Ne eivät estä hyökkäyksiä Layer 2:n yläpuolella – vaarantunut laite, jonka Layer-3 on tavoitettavissa toiseen VLANiin, voi silti hyökätä siihen reitittimen kautta. Syväpuolustus yhdistää VLANit palomuurikäytäntöihin ja isäntäkohtaiseen tietoturvaan.

VLAN-verkkojen selitys: Looginen verkon segmentointi yhdessä fyysisessä lähiverkossa

VLAN-verkkojen avulla voit ottaa yhden fyysisen verkon ja jakaa sen useisiin loogisesti eristettyihin verkkoihin, joita ohjataan ohjelmistolla. Teknologia on jokaisen nykyaikaisen yritysverkon, lähes jokaisen pilvikäyttöönoton ja minkä tahansa kotiverkon, jossa on vakava IoT-segregaatio, taustalla. Kun olet työskennellyt VLAN-verkkojen kanssa, ilman niitä tekeminen tuntuu kuin käyttäisit verkkoa maalarinteipillä ja rukouksella.

Artikkelin koko runko on englanniksi alla.

A VLAN (Virtual Local Area Network) on looginen lähetystoimialue, joka näkyy erillisenä lähiverkkona, mutta jakaa fyysisen infrastruktuurin muiden VLAN-verkkojen kanssa. Eri VLAN-verkoissa olevat laitteet eivät näe toistensa lähetysliikennettä. reititys VLAN-verkkojen välillä edellyttää reitittimen (tai Layer-3-kytkimen) läpikulkua. Teknologian ansiosta yksi Ethernet-verkko voi kuljettaa useita erillisiä "verkkoja" ilman fyysistä eroa.

Miksi VLAN-verkkoja on olemassa

IKuvittele yrityksen toimisto, jossa on talous-, suunnittelu- ja henkilöstöhallinto yhdessä tasaisessa verkossa. Ongelmat:

Mikä tahansa vaarantunut kannettava tietokone voi skannata ja hyökätä mihin tahansa muuhun
Lähetysliikenne yhdestä ryhmästä tulvii kaikki ryhmät
Suojauskäytännöt on pantava täytäntöön jokaisessa laitteessa erikseen
Lääketieteen vaatimukset voivat vaatia fyysisiä vaatimuksia. isolation

Perinteinen ratkaisu oli ostaa erilliset kytkimet ja kaapelit jokaiselle osastolle. VLAN-verkkojen avulla voit käyttää yhtä kytkimiä ja määrittää loogisen segmentoinnin ohjelmistossa. Edullinen, joustava, helppo järjestää uudelleen.

Kuinka VLAN-koodaus toimii

Vakio on IEEE 802.1Q. Jokainen Ethernet-kehys voi sisältää 4-tavuisen tunnisteen, joka sisältää 12-bittisen VLAN-tunnuksen (1–4094, 0 ja 4095 varattuna). Kytkimet lisäävät tunnisteen, kun liikennettä saapuu pääsyportista, ja poistavat sen, kun liikenne poistuu – tai kuljettaa sen muuttumattomana runkoporttien kautta.

Kaksi porttityyppiä:

Pääsyportti – yhdistetty päätelaitteeseen (kannettava tietokone, puhelin, palvelin). Portti kuuluu yhteen VLAN:iin; merkinnät lisätään/poistetaan läpinäkyvästi.
Trunkoportti — kytketty toiseen kytkimeen tai reitittimeen. Kuljettaa useiden VLAN-verkkojen liikennettä, ja tunnisteet säilytetään.

Loppulaitteet eivät yleensä tiedä VLAN-verkoista – kytkin hoitaa merkinnät. Palvelimet ja virtualisointiisännät käyttävät usein VLAN-tietoisia verkkokortteja ja käyttöjärjestelmän kokoonpanoa.

IVLAN-reititys

VLAN-verkkojen välistä keskustelua varten liikenteen on kuljettava Layer-3-laitteen kautta. Kolme vaihtoehtoa:

Reititin tikussa — yksi reitittimen liitäntä, joka on kytketty runkoporttiin, jossa on aliliitännät jokaiselle VLANille. Yksinkertainen, mutta reititin on yksipiste.
Layer-3-kytkin – kytkin, joka voi myös reitittää. Konfiguroi "SVI" (Switch Virtual Interfaces) VLAN-kohtaisesti. Nopea laitteistopohjainen reititys.
Stateful Firewall — VLAN-liikenteelle, joka vaatii tarkastuksen (DMZ:stä sisäiseen, IoT:stä LAN:iin). Liikenne kulkee palomuurin läpi nimenomaisella käytännöllä.

Yleiset VLAN-mallit

Tyypillinen kodin/pienen toimiston segmentointi:

VLAN 10 - pääpuhelimet, läppä NAS)
VLAN 20 — IoT-laitteet (kamerat, älykaiuttimet, hehkulamput)
VLAN 30 — vieraat
V LAN7406XV laitteet
VLAN 100 — hallinta (reitittimen järjestelmänvalvoja, kytkimen järjestelmänvalvoja, tukiaseman ohjaus)

IVLAN-käytäntö: IoT voi saavuttaa Internetiä, mutta ei mitään lähiverkossa. Vieraat voivat käyttää vain Internetiä. Pääverkko voi aloittaa IoT:n (ohjauslaitteet), mutta ei päinvastoin. Järjestelmänvalvojat voivat tavoittaa hallintaa vain päälähiverkosta.

Native VLAN gotcha

Runkporteilla on "natiivi VLAN" — liikenne, joka saapuu ilman merkintää, on määritetty tälle VLAN:lle. Oletusnatiivi VLAN on 1, jota käytetään myös yleisesti hallintaan. Paras käytäntö: vaihda natiivi VLAN käyttämättömään numeroon (esim. 999) äläkä laita laitteita VLAN 1:ään. Muussa tapauksessa tyhjään pääsyporttiin kytkeytynyt hyökkääjä saattaa päätyä oletusarvoiseen VLAN-verkkoon, jolla on pääsy asioihin, joita hänen ei pitäisi nähdä.

VLAN hyökkäykset:
Switch spoofing. Hyökkääjä neuvottelee Dynamic Trunking Protocol -protokollasta väärin määritetyn kytkinportin kanssa, ja siitä tulee runkoverkko, joka saa pääsyn kaikkiin VLAN-verkkoihin. Lieventäminen: poista DTP käytöstä ja määritä portit nimenomaisesti pääsy- tai runkoverkkoon.
Kaksoiskoodaus. Natiivin VLANin hyökkääjä lähettää kehyksiä kahdella 802.1Q-tunnisteella. Ensimmäinen kytkin poistaa ulomman tunnisteen (vastaa alkuperäistä), ja toinen kytkin reitittää kehyksen sisäisen tunnisteen perusteella - mahdollisesti eri VLAN-verkkoon. Lievennys: älä salli käyttäjän laitteita alkuperäisessä VLAN.
VLANissa pilvessä ja nykyaikaisissa verkoissa
IPilviympäristöissä perinteiset 802.1Q VLANit eivät skaalaudu yli 4094:n. Nykyaikaiset verkot käyttävät VXLANXPLZrt, LAN3XLANXPLZrt NVGRE tai Geneve — kapselointiprotokollat, jotka kuljettavat VLAN-tyyppistä segmentointia Layer-3-verkoissa, joissa on 24-bittiset VNI:t (16 miljoonaa segmenttiä). AWS VPC:t, GCP VPC:t ja vastaavat on rakennettu näiden primitiivien varaan.
Loppukäyttäjille tämä on useimmiten näkymätöntä. Pilvipalveluntarjoajan verkkokerros luo eristettyjä virtuaalisia verkkoja; et näe taustalla olevaa tiedostoa VXLAN.

Usein kysytyt kysymykset

Tarvitsenko VLANeja kotiin?: Ei tiukasti. Useimmat kodit toimivat hyvin yhdessä tasaisessa verkossa. VLAN-verkoista tulee arvokkaita, kun kannettavien tietokoneiden lähiverkossa on IoT-laitteita, joihin et luota, kotityöjärjestelyt, joissa työnantajan laitteet tarvitsevat eristystä, tai harrastusprojektit (kotilaboratorio, tietoturvatestaus), jotka hyötyvät segmentoinnista.
Mitä eroa on VLAN:lla ja aliverkolla?: VLAN on kerroksen 2 lähetysalue; aliverkko on Layer-3 IP-ryhmittely. Tyypillisesti yksi VLAN vastaa yhtä IP-aliverkkoa, mutta ne ovat käsitteellisesti erilaisia. Sinulla voi olla VLAN-verkkoja ilman IP-reititystä niiden välillä, ja sinulla voi olla aliverkkoja, jotka jakavat VLANin (harvinainen, usein virheellinen määritys).
Voinko tehdä VLAN-verkkoja halvoilla reitittimillä?: Useimmat kuluttajareitittimet eivät tue oikeita VLAN-verkkoja; "vierasverkosto" on lähin asia. Prosumer-laitteet (Ubiquiti, MikroTik, OPNsense PC:llä) tukevat täyttä 802.1Q:ta. Jotkin OpenWrt:tä käyttävät suositut kuluttajareitittimet voidaan määrittää uudelleen VLAN-tukea varten, jos laitteistosi sen sallii.
Kuinka monta VLAN:ia minulla voi olla?: 802.1Q sallii 4094 aktiivista VLANia (1 ja 4095 on varattu). Käytännön koti-/toimistokäyttöönotto vaatii kourallisen; suuret pilvityökuormia käyttävät datakeskukset käyttävät VXLAN-verkkoa 16 miljoonalla mahdollisella segmentillä 4094-rajan välttämiseksi.
Ovatko VLANit turvallisuusraja?: Ne ovat osittaisia. Oikein määritetyt VLAN-verkot estävät saman segmentin hyökkäykset (ARP-huijaus, lähetyshaiskaus). Ne eivät estä hyökkäyksiä Layer 2:n yläpuolella – vaarantunut laite, jonka Layer-3 on tavoitettavissa toiseen VLANiin, voi silti hyökätä siihen reitittimen kautta. Syväpuolustus yhdistää VLANit palomuurikäytäntöihin ja isäntäkohtaiseen tietoturvaan.