Trenger jeg VLAN hjemme?

Ikke strengt tatt. De fleste hjem fungerer fint på ett enkelt flatt nettverk. VLAN-er blir verdifulle når du har IoT-enheter du ikke stoler på på LAN med bærbare datamaskiner, arbeid hjemmefra-ordninger der arbeidsgiverenheter trenger isolasjon, eller hobbyprosjekter (hjemmelab, sikkerhetstesting) som drar nytte av segmentering.

Hva er forskjellen mellom et VLAN og et subnett?

Et VLAN er et Layer-2 kringkastingsdomene; et subnett er en Layer-3 IP-gruppering. Vanligvis tilsvarer ett VLAN ett IP-undernett, men de er konseptuelt forskjellige. Du kan ha VLAN uten IP-ruting mellom dem i det hele tatt, og du kan ha subnett som tilfeldigvis deler et VLAN (sjelden, ofte en feilkonfigurasjon).

Kan jeg bruke VLAN på billige rutere?

De fleste forbrukerrutere støtter ikke ekte VLAN; «gjestenettverk» er det nærmeste. Prosumer-utstyr (Ubiquiti, MikroTik, OPNsense på en PC) støtter full 802.1Q. Noen populære forbrukerrutere som kjører OpenWrt kan rekonfigureres for VLAN-støtte hvis maskinvaren din tillater det.

Hvor mange VLAN kan jeg ha?

802.1Q tillater 4094 aktive VLAN (1 og 4095 er reservert). Praktiske distribusjoner hjemme/kontor bruker en håndfull; store datasentre som kjører skyarbeidsbelastninger bruker VXLAN med 16 millioner potensielle segmenter for å unngå 4094-grensen.

Er VLAN en sikkerhetsgrense?

De er en delvis en. Riktig konfigurerte VLAN-er forhindrer angrep fra samme segment (ARP-spoofing, kringkastingssniffing). De forhindrer ikke angrep over Layer 2 - en kompromittert enhet med Layer-3 tilgjengelighet til et annet VLAN kan fortsatt angripe den via ruteren. Forsvar i dybden kombinerer VLAN med brannmurpolicy og sikkerhet per vert.

VLAN-er forklart: Logisk nettverkssegmentering på et enkelt fysisk LAN

VLAN lar deg ta ett fysisk nettverk og dele det opp i mange logisk isolerte nettverk, kontrollert av programvare. Teknologien ligger til grunn for ethvert moderne bedriftsnettverk, nesten hver sky-distribusjon, og ethvert hjemmenettverk med seriøs IoT-segregering. Når du har jobbet med VLAN, føles det å gjøre uten dem som å kjøre et nettverk med maskeringstape og bønn.

Hele artikkelen er gitt på engelsk nedenfor.

A VLAN (Virtual Local Area Network) er et logisk kringkastingsdomene som vises som et separat LAN, men som deler fysisk infrastruktur med andre VLAN. Enheter på forskjellige VLAN kan ikke se hverandres kringkastingstrafikk; ruting mellom VLAN krever å gå gjennom en ruter (eller en Layer-3-svitsj). Teknologien lar ett Ethernet-nettverk bære mange separate "nettverk" uten fysisk separasjon.

Hvorfor VLAN eksisterer

Se for deg et bedriftskontor med økonomi, engineering og HR på ett flatt nettverk. Problemer:

Alle kompromitterte bærbare datamaskiner kan skanne og angripe alle andre
Kringkastingstrafikk fra én gruppe oversvømmer alle grupper
Sikkerhetsretningslinjer må håndheves på hver enhet individueltXPLZ14IPPLZ15XRegulatoriske krav for medisinsk (PCI-DSSA) kan kreve fysiske krav for økonomi (PCI-DSSA) isolasjon

Den klassiske løsningen var å kjøpe separate brytere og kabler for hver avdeling. VLAN lar deg bruke én bryter og konfigurere logisk segmentering i programvare. Billig, fleksibel, enkel å omorganisere.

Hvordan VLAN-tagging fungerer

Standarden er IEEE 802.1Q. Hver Ethernet-ramme kan bære en 4-byte-tag som inneholder en 12-bits VLAN-ID (1–4094, med 0 og 4095 reservert). Brytere legger til taggen når trafikk kommer inn fra en tilgangsport og fjerner den når trafikken går ut – eller passerer den uendret gjennom trunkporter.

Tto porttyper:

Tilgangsport – koblet til en sluttenhet (bærbar datamaskin, telefon, server). Porten tilhører ett VLAN; tagging legges til/fjernes transparent.
Trunk port — koblet til en annen svitsj eller en ruter. Bærer trafikk for flere VLAN, med tagger bevart.

End-enheter vet vanligvis ikke om VLAN – svitsjen håndterer taggingen. Servere og virtualiseringsverter gjør det ofte ved å bruke VLAN-bevisste nettverkskort og OS-konfigurasjon.

Inter-VLAN-ruting

For å snakke mellom VLAN-er, må trafikk passere gjennom en Layer-3-enhet. Tre alternativer:

Router på en pinne — ett rutergrensesnitt koblet til en trunkport, med undergrensesnitt for hvert VLAN. Enkelt, men ruteren er et enkelt punkt.
Layer-3 switch — en switch som også kan rute. Konfigurerer "SVI" (Switch Virtual Interfaces) per VLAN. Rask maskinvarebasert ruting.
Stateful brannmur — for inter-VLAN-trafikk som trenger inspeksjon (DMZ til intern, IoT til LAN). Trafikken går gjennom brannmuren med eksplisitt policy.

Vanlige VLAN-design

Typisk segmentering for hjemme/små kontorer:

VLAN 10 — hovedtelefon-LAN, bærbare datamaskiner, NAS)
VLAN 20 — IoT-enheter (kameraer, smarthøyttalere, lyspærer)
VLAN 30 — gjester
VLAN7/arbeid VPN74XPLZ enheter
VLAN 100 — administrasjon (ruteradministrator, bryteradministrator, AP-kontroll)

Inter-VLAN-policy: IoT kan nå Internett, men ingenting på LAN. Gjester kan kun nå Internett. Hoved-LAN kan starte til IoT (kontrollerende enheter), men ikke omvendt. Administrasjon er kun tilgjengelig fra hoved-LAN av administratorbrukere.

Native VLAN gotcha

Trunk-porter har et "native VLAN" — trafikk som kommer umerket tilordnes dette VLAN. Standard native VLAN er 1, som også brukes ofte til administrasjon. Beste praksis: endre det opprinnelige VLAN til et ubrukt nummer (f.eks. 999) og ikke plasser noen enheter på VLAN 1.. Ellers kan en angriper som kobler til en tom tilgangsport lande i et standard VLAN med tilgang til ting de ikke bør se. angrep:

Switch spoofing. En angriper forhandler Dynamic Trunking Protocol med en feilkonfigurert svitsjport og blir en trunk som får tilgang til alle VLAN. Begrensning: deaktiver DTP og konfigurer porter eksplisitt som tilgang eller trunk.
Double tagging. En angriper på det opprinnelige VLAN sender rammer med to 802.1Q-tagger. Den første bryteren fjerner den ytre taggen (som samsvarer med den opprinnelige), og den andre bryteren ruter rammen basert på den indre taggen - potensielt inn i et annet VLAN. Begrensning: ikke tillat brukerenheter på de opprinnelige VLAN.

VLAN-ene i skyen og moderne nettverk

I skymiljøer skalerer ikke tradisjonelle 802.1Q VLAN-er utover 4094. Moderne nettverk bruker VXLANXPLZible (VXLANXPLZible) NVGRE, eller Geneve — innkapslingsprotokoller som bærer VLAN-lignende segmentering over Layer-3-nettverk med 24-bits VNI-er (16 millioner segmenter). AWS VPCer, GCP VPCer og lignende er bygget på disse primitivene.

For sluttbrukere er dette stort sett usynlig. Skyleverandørens nettverkslag skaper isolerte virtuelle nettverk; du ser ikke den underliggende VXLAN.

Ofte stilte spørsmål

Trenger jeg VLAN hjemme?: Ikke strengt tatt. De fleste hjem fungerer fint på ett enkelt flatt nettverk. VLAN-er blir verdifulle når du har IoT-enheter du ikke stoler på på LAN med bærbare datamaskiner, arbeid hjemmefra-ordninger der arbeidsgiverenheter trenger isolasjon, eller hobbyprosjekter (hjemmelab, sikkerhetstesting) som drar nytte av segmentering.
Hva er forskjellen mellom et VLAN og et subnett?: Et VLAN er et Layer-2 kringkastingsdomene; et subnett er en Layer-3 IP-gruppering. Vanligvis tilsvarer ett VLAN ett IP-undernett, men de er konseptuelt forskjellige. Du kan ha VLAN uten IP-ruting mellom dem i det hele tatt, og du kan ha subnett som tilfeldigvis deler et VLAN (sjelden, ofte en feilkonfigurasjon).
Kan jeg bruke VLAN på billige rutere?: De fleste forbrukerrutere støtter ikke ekte VLAN; «gjestenettverk» er det nærmeste. Prosumer-utstyr (Ubiquiti, MikroTik, OPNsense på en PC) støtter full 802.1Q. Noen populære forbrukerrutere som kjører OpenWrt kan rekonfigureres for VLAN-støtte hvis maskinvaren din tillater det.
Hvor mange VLAN kan jeg ha?: 802.1Q tillater 4094 aktive VLAN (1 og 4095 er reservert). Praktiske distribusjoner hjemme/kontor bruker en håndfull; store datasentre som kjører skyarbeidsbelastninger bruker VXLAN med 16 millioner potensielle segmenter for å unngå 4094-grensen.
Er VLAN en sikkerhetsgrense?: De er en delvis en. Riktig konfigurerte VLAN-er forhindrer angrep fra samme segment (ARP-spoofing, kringkastingssniffing). De forhindrer ikke angrep over Layer 2 - en kompromittert enhet med Layer-3 tilgjengelighet til et annet VLAN kan fortsatt angripe den via ruteren. Forsvar i dybden kombinerer VLAN med brannmurpolicy og sikkerhet per vert.