Szükségem van VLAN-okra otthon?

Nem szigorúan. A legtöbb otthon jól működik egyetlen lapos hálózaton. A VLAN-ok akkor válnak értékessé, ha olyan IoT-eszközöket használ, amelyekben nem bízik a LAN-on a laptopokkal, otthoni munkavégzés esetén, ahol a munkáltatói eszközöket el kell különíteni, vagy hobbiprojekteket (otthoni labor, biztonsági tesztelés) használnak, amelyek hasznot húznak a szegmentálásból.

Mi a különbség a VLAN és az alhálózat között?

A VLAN egy Layer-2 broadcast domain; az alhálózat egy Layer-3 IP csoportosítás. Általában egy VLAN egy IP-alhálózatnak felel meg, de fogalmilag különböznek egymástól. Lehetnek VLAN-ok IP-útválasztás nélkül is, és lehetnek olyan alhálózatok, amelyek véletlenül megosztanak VLAN-t (ritka, gyakran hibás konfiguráció).

Csinálhatok VLAN-t olcsó útválasztókon?

A legtöbb fogyasztói útválasztó nem támogatja a valódi VLAN-okat; "vendég hálózat" a legközelebbi dolog. A Prosumer felszerelés (Ubiquiti, MikroTik, OPNsense PC-n) a teljes 802.1Q-t támogatja. Néhány népszerű, OpenWrt-t futtató fogyasztói útválasztó újrakonfigurálható VLAN-támogatásra, ha a hardver lehetővé teszi.

A 802.1Q 4094 aktív VLAN-t tesz lehetővé (1 és 4095 le van foglalva). A gyakorlati otthoni/irodai telepítések egy maroknyit igényelnek; a felhőalapú munkaterhelést futtató nagy adatközpontok VXLAN-t használnak 16 millió potenciális szegmenssel, hogy elkerüljék a 4094-es korlátot.

A VLAN-ok biztonsági határt jelentenek?

Részlegesek. A megfelelően konfigurált VLAN-ok megakadályozzák az azonos szegmensű támadásokat (ARP-hamisítás, sugárzott szaglás). Nem akadályozzák meg a 2. réteg feletti támadásokat – egy kompromittált eszköz, amely egy másik VLAN-hoz 3. rétegben elérhető, továbbra is megtámadhatja azt az útválasztón keresztül. A mélyreható védelem egyesíti a VLAN-okat a tűzfalszabályzattal és a gazdagépenkénti biztonsággal.

A VLAN-ok magyarázata: Logikai hálózati szegmentáció egyetlen fizikai LAN-on

A VLAN-ok lehetővé teszik, hogy egyetlen fizikai hálózatot vegyen fel, és azt több logikailag elkülönített, szoftver által vezérelt hálózatra bontsa fel. Ez a technológia minden modern vállalati hálózat, szinte minden felhőalapú telepítés és minden komoly IoT szegregációval rendelkező otthoni hálózat alapja. Ha már dolgozott VLAN-okkal, akkor azok nélkül olyan, mintha egy hálózatot működtetne maszkolószalaggal és imával.

A cikk teljes szövege alább olvasható angol nyelven.

A VLAN (virtuális helyi hálózat) Az egy logikai szórási tartomány, amely külön LAN-ként jelenik meg, de megosztja a fizikai infrastruktúrát más VLAN-okkal. A különböző VLAN-okon lévő eszközök nem látják egymás sugárzott forgalmát; A VLAN-ok közötti útválasztáshoz egy útválasztón (vagy egy Layer-3 kapcsolón) kell átmenni. A technológia lehetővé teszi, hogy egyetlen Ethernet hálózat sok különálló „hálózatot” hordozzon fizikai szétválasztás nélkül.

Miért léteznek VLAN-ok?

IKépzeljen el egy vállalati irodát pénzügyekkel, tervezéssel és HR-rel egyetlen lapos hálózaton. Problémák:

Bármilyen kompromittált laptop képes átvizsgálni és megtámadni bármely másikat.
Az egyik csoportból érkező sugárzott forgalom elárasztja az összes csoportot
A biztonsági szabályzatokat minden eszközön külön kell érvényesíteni
, az orvosi finanszírozáshoz CI-DSSSS szükséges lehet. isolation

A klasszikus megoldás az volt, hogy minden részleghez külön kapcsolókat és kábeleket vásároltak. A VLAN-ok segítségével egyetlen kapcsolót használhat, és szoftverben konfigurálhatja a logikai szegmentálást. Olcsó, rugalmas, könnyen átszervezhető.

A VLAN-címkézés működése

A szabvány az IEEE 802.1Q. Minden Ethernet keret tartalmazhat egy 4 bájtos címkét, amely 12 bites VLAN azonosítót tartalmaz (1–4094, 0 és 4095 lefoglalva). A kapcsolók hozzáadják a címkét, amikor a forgalom belép egy hozzáférési porton, és eltávolítja, amikor a forgalom kilép – vagy változatlanul továbbítja a fővonali portokon.

Két porttípus:

Hozzáférési port – egy végeszközhöz (laptop, telefon, szerver) csatlakoztatva. A port egy VLAN-hoz tartozik; a címkézés átlátszóan kerül hozzáadásra/eltávolításra.
Trunk port — másik switch-hez vagy útválasztóhoz csatlakozik. Több VLAN forgalmat bonyolít le, a címkéket megőrizve.

A végberendezések általában nem ismerik a VLAN-okat – a kapcsoló kezeli a címkézést. A kiszolgálók és a virtualizációs gazdagépek gyakran megteszik a VLAN-tudatos hálózati kártyákat és az operációs rendszer konfigurációját.

IVLAN-ok közötti útválasztás

A VLAN-ok közötti kommunikációhoz a forgalomnak egy 3. rétegbeli eszközön kell áthaladnia. Három lehetőség:

Ruter egy stick-en – egy útválasztó interfész egy fővonali porthoz csatlakozik, minden VLAN-hoz alinterfészekkel. Egyszerű, de az útválasztó egyetlen pontból áll.
Layer-3 switch – egy kapcsoló, amely útválasztásra is képes. Konfigurálja az "SVI" (Switch Virtual Interfaces) VLAN-onként. Gyors, hardver alapú útválasztás.
Általános tűzfal – az ellenőrzést igénylő VLAN-közi forgalomhoz (DMZ belső, IoT a LAN). A forgalom kifejezetten a tűzfalon halad keresztül.

Gyakori VLAN-tervek

Tipikus otthoni/kisirodai szegmentáció:

VLAN 10 — fő telefonok, lap NAS)
VLAN 20 — IoT-eszközök (kamerák, intelligens hangszórók, izzók)
VLAN 30 — vendégek
V — VPN740PLZ75XV eszközök
VLAN 100 — felügyelet (router adminisztrátor, kapcsoló adminisztrátor, AP vezérlés)

IVLAN-házirend: Az IoT elérheti az internetet, de semmi a LAN-on. A vendégek csak az internetet érhetik el. A fő LAN kezdeményezhet IoT-t (vezérlőeszközöket), de fordítva nem. A felügyelet csak a fő LAN-ról érhető el az adminisztrátor felhasználók számára.

Natív VLAN gotcha

Trunk portoknak van "natív VLAN-ja" – a címkézetlenül érkező forgalom ehhez a VLAN-hoz van hozzárendelve. Az alapértelmezett natív VLAN az 1, amelyet szintén gyakran használnak a felügyelethez. Legjobb gyakorlat: módosítsa a natív VLAN-t egy használaton kívüli számra (pl. 999), és ne helyezzen eszközöket a VLAN 1-re. Ellenkező esetben egy üres hozzáférési porthoz csatlakozó támadó egy alapértelmezett VLAN-ban landolhat, és olyan dolgokhoz férhet hozzá, amelyeket nem kellene látnia.

VX támadások:
Switch spoofing. A támadó egy rosszul konfigurált kapcsolóporttal tárgyal a Dynamic Trunking Protocolról, és trönkké válik, így hozzáfér minden VLAN-hoz. Enyhítés: tiltsa le a DTP-t, és kifejezetten konfigurálja a portokat hozzáférésként vagy trönkként.
Kettős címkézés. A natív VLAN támadója két 802.1Q címkével küld kereteket. Az első kapcsoló leválasztja a külső címkét (amely megfelel a natívnak), a második kapcsoló pedig a belső címke alapján irányítja a keretet – esetleg egy másik VLAN-ba. Mérséklés: ne engedélyezze a felhasználói eszközöket a natív VLAN-on.
VLAN-okon a felhőben és a modern hálózatokban
Ifelhőkörnyezetben a hagyományos 802.1Q VLAN-ok mérete nem haladja meg a 4094-et. A modern hálózatok VXLANXPLZrt), LAN-t használnak. NVGRE vagy Geneve – olyan beágyazási protokollok, amelyek VLAN-szerű szegmentációt folytatnak Layer-3 hálózatokon 24 bites VNI-vel (16 millió szegmens). Az AWS VPC-k, GCP VPC-k és hasonlók ezekre a primitívekre épülnek.
A végfelhasználók számára ez többnyire láthatatlan. A felhőszolgáltató hálózati rétege izolált virtuális hálózatokat hoz létre; nem látja a mögöttes VXLAN.
fájlt

Gyakran ismételt kérdések

Szükségem van VLAN-okra otthon?: Nem szigorúan. A legtöbb otthon jól működik egyetlen lapos hálózaton. A VLAN-ok akkor válnak értékessé, ha olyan IoT-eszközöket használ, amelyekben nem bízik a LAN-on a laptopokkal, otthoni munkavégzés esetén, ahol a munkáltatói eszközöket el kell különíteni, vagy hobbiprojekteket (otthoni labor, biztonsági tesztelés) használnak, amelyek hasznot húznak a szegmentálásból.
Mi a különbség a VLAN és az alhálózat között?: A VLAN egy Layer-2 broadcast domain; az alhálózat egy Layer-3 IP csoportosítás. Általában egy VLAN egy IP-alhálózatnak felel meg, de fogalmilag különböznek egymástól. Lehetnek VLAN-ok IP-útválasztás nélkül is, és lehetnek olyan alhálózatok, amelyek véletlenül megosztanak VLAN-t (ritka, gyakran hibás konfiguráció).
Csinálhatok VLAN-t olcsó útválasztókon?: A legtöbb fogyasztói útválasztó nem támogatja a valódi VLAN-okat; "vendég hálózat" a legközelebbi dolog. A Prosumer felszerelés (Ubiquiti, MikroTik, OPNsense PC-n) a teljes 802.1Q-t támogatja. Néhány népszerű, OpenWrt-t futtató fogyasztói útválasztó újrakonfigurálható VLAN-támogatásra, ha a hardver lehetővé teszi.
Hány VLAN-om lehet?: A 802.1Q 4094 aktív VLAN-t tesz lehetővé (1 és 4095 le van foglalva). A gyakorlati otthoni/irodai telepítések egy maroknyit igényelnek; a felhőalapú munkaterhelést futtató nagy adatközpontok VXLAN-t használnak 16 millió potenciális szegmenssel, hogy elkerüljék a 4094-es korlátot.
A VLAN-ok biztonsági határt jelentenek?: Részlegesek. A megfelelően konfigurált VLAN-ok megakadályozzák az azonos szegmensű támadásokat (ARP-hamisítás, sugárzott szaglás). Nem akadályozzák meg a 2. réteg feletti támadásokat – egy kompromittált eszköz, amely egy másik VLAN-hoz 3. rétegben elérhető, továbbra is megtámadhatja azt az útválasztón keresztül. A mélyreható védelem egyesíti a VLAN-okat a tűzfalszabályzattal és a gazdagépenkénti biztonsággal.