SWITCHmainIoTguestwork802.1Q tags

VLAN-uri

11 min citireRețele

VLAN-urile vă permit să luați o rețea fizică și să o împărțiți în mai multe rețele izolate logic, controlate de software. Tehnologia stă la baza oricărei rețele corporative moderne, aproape fiecare implementare cloud și orice rețea de acasă cu o segregare serioasă a IoT. Odată ce ai lucrat cu VLAN-uri, a te descurca fără ele te simți ca și cum ai rula o rețea cu bandă de mascare și rugăciune.

Întregul articol al articolului este oferit în limba engleză mai jos.

A VLAN (Virtual Local Area Network) este un domeniu de difuzare logic care apare ca un LAN separat, dar partajează infrastructura fizică cu alte VLAN-uri. Dispozitivele de pe diferite VLAN-uri nu pot vedea reciproc traficul de difuzare; rutarea între VLAN-uri necesită trecerea printr-un router (sau un comutator Layer-3). Tehnologia permite unei rețele Ethernet să transporte mai multe „rețele” separate, fără separare fizică.

De ce există VLAN-urile

IImaginați-vă un birou corporativ cu finanțe, inginerie și resurse umane, toate într-o singură rețea plată. Probleme:

  • Orice laptop compromis poate scana și ataca orice altul
  • Traficul de difuzare dintr-un grup inundă toate grupurile
  • Politicile de securitate trebuie aplicate pe fiecare dispozitiv în mod individual
  • cerințe de reglementare pentru finanțare (PCI-ul fizic HDSAAS) izolare

Soluția clasică a fost cumpărarea de întrerupătoare și cabluri separate pentru fiecare departament. VLAN-urile vă permit să utilizați un comutator și să configurați segmentarea logică în software. Ieftin, flexibil, ușor de reorganizat.

Cum funcționează etichetarea VLAN

Standardul este IEEE 802.1Q. Fiecare cadru Ethernet poate purta o etichetă de 4 octeți care conține un ID VLAN de 12 biți (1–4094, cu 0 și 4095 rezervate). Comutatoarele adaugă eticheta atunci când traficul intră dintr-un port de acces și o elimină atunci când traficul iese — sau o trec neschimbată pe porturile trunchiului.

Dou tipuri de porturi:

  • Port de acces — conectat la un dispozitiv final (laptop, telefon, server). Portul aparține unui singur VLAN; etichetarea este adăugată/eliminată în mod transparent.
  • Trunk port — conectat la un alt comutator sau un router. Transportă trafic pentru mai multe VLAN-uri, cu etichetele păstrate. Serverele și gazdele de virtualizare o fac adesea, folosind NIC-uri și configurația sistemului de operare care știe VLAN. Trei opțiuni:

    • Router pe un stick — o interfață de router conectată la un port trunk, cu sub-interfețe pentru fiecare VLAN. Simplu, dar routerul este un singur punct.
    • Layer-3 switch — un comutator care poate, de asemenea, ruta. Configurați „SVI” (Switch Virtual Interfaces) pentru fiecare VLAN. Rutare rapidă bazată pe hardware.
    • Stateful firewall — pentru trafic inter-VLAN care necesită inspecție (DMZ la intern, IoT la LAN). Traficul trece prin firewall cu o politică explicită.

    Design VLAN obișnuit

    Segmentare tipică pentru casă/birouri mici:

    • VLAN 10 — rețea principală, telefoane, laptop-uri, NAS)
    • VLAN 20 — Dispozitive IoT (aparate foto, difuzoare inteligente, becuri)
    • VLAN 30 — invitați
    • PLZ74X — muncă devices
    • VLAN 100 — management (administrator router, administrator comutator, control AP)

    Politica inter-VLAN: IoT poate ajunge la Internet, dar nimic pe LAN. Oaspeții pot accesa doar internetul. LAN principal poate iniția la IoT (dispozitive de control), dar nu invers. Administrarea este accesibilă numai din rețeaua LAN principală de către utilizatorii administratori.

    VLAN nativ gotcha

    TPorturile trunk au un „VLAN nativ” — traficul care ajunge neetichetat este atribuit acestui VLAN. VLAN-ul nativ implicit este 1, care este, de asemenea, utilizat în mod obișnuit pentru management. Cele mai bune practici: schimbați VLAN-ul nativ la un număr nefolosit (de exemplu, 999) și nu puneți niciun dispozitiv pe VLAN 1. În caz contrar, un atacator care se conectează la un port de acces gol ar putea ajunge într-un VLAN implicit cu acces la lucruri pe care nu ar trebui să le vadă. atacuri

    Tdouă atacuri clasice:

    • Switch spoofing. Un atacator negociază Dynamic Trunking Protocol cu ​​un port switch configurat greșit și devine trunk, obținând acces la toate VLAN-urile. Atenuare: dezactivați DTP și configurați explicit porturile ca acces sau trunk.
    • Etichetare dublă. Un atacator pe VLAN nativ trimite cadre cu două etichete 802.1Q. Primul comutator elimină eticheta exterioară (care se potrivește cu cea nativă), iar al doilea comutator direcționează cadrul pe baza etichetei interioare - potențial într-un alt VLAN. Atenuare: nu permiteți dispozitivele utilizatorului pe VLAN nativ.

    VLAN-uri în cloud și rețele moderne

    In mediile cloud, VLAN-urile tradiționale 802.1Q nu se extind dincolo de 4094. Rețelele moderne folosesc VXLANXPLZ13 NVGRE sau Geneve — protocoale de încapsulare care transportă o segmentare asemănătoare VLAN-ului pe rețelele Layer-3 cu VNI-uri pe 24 de biți (16 milioane de segmente). VPC-urile AWS, VPC-urile GCP și altele similare sunt construite pe aceste primitive.

    Pentru utilizatorii finali, acest lucru este în mare parte invizibil. Stratul de rețea al furnizorului de cloud creează rețele virtuale izolate; nu vedeți VXLAN.

    de bază

Întrebări frecvente

Am nevoie de VLAN-uri acasă?
Nu strict. Majoritatea caselor funcționează bine pe o singură rețea plată. VLAN-urile devin valoroase atunci când aveți dispozitive IoT în care nu aveți încredere în LAN cu laptopurile dvs., aranjamente de lucru de la domiciliu în care dispozitivele angajatorului au nevoie de izolare sau proiecte de hobby (homelab, testare de securitate) care beneficiază de segmentare.
Care este diferența dintre un VLAN și o subrețea?
Un VLAN este un domeniu de difuzare de nivel 2; o subrețea este o grupare IP de nivel 3. De obicei, un VLAN este egal cu o subrețea IP, dar sunt diferite din punct de vedere conceptual. Puteți avea VLAN-uri fără rutare IP între ele și puteți avea subrețele care se întâmplă să partajeze un VLAN (rar, adesea o configurare greșită).
Pot face VLAN-uri pe routere ieftine?
Majoritatea routerelor de consum nu acceptă VLAN-uri reale; „rețeaua de oaspeți” este cel mai apropiat lucru. Echipamentele Prosumer (Ubiquiti, MikroTik, OPNsense pe un PC) acceptă 802.1Q complet. Unele routere de consum populare care rulează OpenWrt pot fi reconfigurate pentru suport VLAN dacă hardware-ul dvs. permite.
Câte VLAN-uri pot avea?
802.1Q permite 4094 VLAN-uri active (1 și 4095 sunt rezervate). Implementările practice la domiciliu/la birou folosesc o mână; centrele de date mari care rulează sarcini de lucru în cloud folosesc VXLAN cu 16 milioane de segmente potențiale pentru a evita limita 4094.
VLAN-urile sunt o limită de securitate?
Sunt unul parțial. VLAN-urile configurate corect previn atacurile pe același segment (spoofing ARP, sniffing de difuzare). Ele nu previn atacurile deasupra nivelului 2 - un dispozitiv compromis cu accesibilitate Layer-3 la un alt VLAN îl poate ataca în continuare prin router. Apărarea în profunzime combină VLAN-urile cu politica de firewall și securitatea pe gazdă.
VLAN-uri explicate: Segmentarea rețelei logice pe un singur LAN fizic