Ρύθμιση παραμέτρων VLAN και ασφάλεια δικτύου: ένας πλήρης οδηγός

Informatec Digital » Πόροι » Ρύθμιση παραμέτρων VLAN και ασφάλεια δικτύου: ένας πλήρης οδηγός

Αν διαχειρίζεστε ένα εταιρικό δίκτυο, θα γνωρίζετε ότι η μετάβασή του σε Όλα λειτουργούν γρήγορα και με ασφάλεια Ταυτόχρονα, δεν είναι εύκολο έργο. Καθώς οι ομάδες, οι υπηρεσίες και οι εφαρμογές αναπτύσσονται, οι εκπομπές, τα σημεία συμφόρησης και τα προβλήματα ασφαλείας αρχίζουν να εμφανίζονται παντού.

Ένα από τα πιο ισχυρά εργαλεία για να βάλεις τάξη σε αυτό το χάος είναι... VLAN (Εικονικό τοπικό δίκτυο)Καλοσχεδιασμένα και διαμορφωμένα, σας επιτρέπουν να τμηματοποιήσετε το δίκτυο, να μειώσετε την άχρηστη κίνηση, να απομονώσετε τμήματα και να προστατεύσετε κρίσιμες υπηρεσίες... αλλά με κακό σχεδιασμό μπορούν να γίνουν ένα κόσκινο ασφαλείας ή ένας εφιάλτης για τη διοίκηση.

Τι ακριβώς είναι ένα VLAN και γιατί είναι σημαντικό για την ασφάλεια;

Ένα VLAN είναι, ουσιαστικά, ένα ανεξάρτητο λογικό δίκτυο που βρίσκονται στην ίδια φυσική υποδομή: τους ίδιους διακόπτες, την ίδια καλωδίωση, τα ίδια σημεία πρόσβασης Wi-Fi. Σε λογικό επίπεδο, οι συσκευές σε ένα VLAN συμπεριφέρονται σαν να βρίσκονταν σε ξεχωριστό LAN, ακόμα κι αν είναι κατανεμημένες σε διαφορετικούς ορόφους ή κτίρια.

Αυτό επιτρέπει σε μια ομάδα υπολογιστών, διακομιστών, τηλεφώνων IP, εκτυπωτών ή καμερών IP να σχηματίσουν ένα δικός σας τομέας μετάδοσηςαπομονωμένοι από άλλες ομάδες. Τα πακέτα broadcast και multicast παραμένουν εντός του VLAN τους αντί να κατακλύζουν ολόκληρο το δίκτυο, βελτιώνοντας την απόδοση και διευκολύνοντας τον έλεγχο του ποιος μπορεί να δει ποιον.

Σε επιχειρηματικά περιβάλλοντα, είναι σύνηθες να δημιουργούνται VLAN για τμήματα (λογιστική, μηχανική, μάρκετινγκ)για τον διαχωρισμό της κίνησης για διαχείριση, φωνή, επισκέπτες, IoT ή ακόμα και ένα ειδικό εφεδρικό VLAN. Κάθε ένα με τους δικούς του κανόνες δρομολόγησης, ασφάλειας και ποιότητας υπηρεσίας.

Επιπλέον, τα VLAN αποτελούν βασικό στοιχείο στις στρατηγικές για Τμηματοποίηση και Μηδενική ΕμπιστοσύνηΤα δίκτυα δεν θεωρούνται πλέον «απόλυτα αξιόπιστα» και ορίζονται οι επιφάνειες επίθεσης. Μια βλάβη ή μόλυνση σε ένα VLAN δεν θα πρέπει να προκαλέσει την κατάρρευση ολόκληρου του οργανισμού με αλυσιδωτό τρόπο.

Βασικές έννοιες: θύρες πρόσβασης, trunk και εγγενές VLAN

Για να κατανοήσετε πλήρως τη διαμόρφωση και την ασφάλεια του VLAN, υπάρχουν τρεις βασικές ιδέες που πρέπει να είναι ξεκάθαρες: θύρες πρόσβασης, θύρες trunk και εγγενές VLANΑν κατακτήσετε αυτές τις τρεις έννοιες, όλα τα άλλα μπαίνουν στη θέση τους πολύ καλύτερα.

Un θύρα πρόσβασης Είναι μια θύρα μεταγωγής που μεταφέρει κίνηση από ένα μόνο VLAN σε μια τελική συσκευή: έναν υπολογιστή, έναν εκτυπωτή, μια κάμερα IP, ένα τηλέφωνο κ.λπ. Η κίνηση ρέει από το μεταγωγέα σε αυτήν τη συσκευή. Χωρίς ετικέτα 802.1Q (χωρίς ετικέτα). Εσωτερικά, ο διακόπτης γνωρίζει σε ποιο VLAN ανήκει, αλλά ο εξοπλισμός δεν βλέπει την ετικέτα.

Un θύρα κορμού Είναι ένας σύνδεσμος μεταξύ συσκευών δικτύου (switch-switch, switch-router, switch-AP) μέσω του οποίου ταξιδεύουν τα δεδομένα. πολλά VLAN ταυτόχροναΣε αυτήν την περίπτωση, τα πλαίσια φέρουν την ετικέτα 802.1Q που υποδεικνύει σε ποιο VLAN ανήκουν. Αυτό επιτρέπει την επέκταση των VLAN σε όλη την τοπολογία και τη δρομολόγηση πολλαπλών λογικών δικτύων μέσω της ίδιας φυσικής σύνδεσης.

La Εγγενές VLAN Αυτό είναι το VLAN που χρησιμοποιείται για μη ετικετοποιημένη κίνηση σε μια σύνδεση 802.1Q. Κάθε πλαίσιο που εισέρχεται σε μια θύρα trunk χωρίς ετικέτα αντιστοιχίζεται σε αυτό το εγγενές VLAN. Από προεπιλογή, σε πολλές συσκευές είναι το VLAN 1 και εδώ ξεκινούν τα προβλήματα ασφαλείας εάν δεν αλλάξει αυτή η διαμόρφωση.

Αρχιτεκτονική και σχεδιασμός δικτύου με VLAN

Σε μεσαία και μεγάλα δίκτυα είναι σύνηθες να χρησιμοποιείται ένα τοπολογία τριών επιπέδωνΕπίπεδα πυρήνα, διανομής και πρόσβασης. Κάθε επίπεδο έχει έναν ρόλο και ο τρόπος με τον οποίο συνδυάζεται με τα VLAN έχει σημαντική πρακτική σημασία.

Το επίπεδο πρόσβασης αποτελείται από τους διακόπτες που Συνδέουν τους χρήστες απευθείας και τελικές συσκευές. Αυτές έχουν τις περισσότερες θύρες πρόσβασης και είναι εκεί που ορίζονται τα περισσότερα VLAN χρηστών, φωνής, IoT κ.λπ. Εδώ είναι που η κατανομή θυρών και οι καλές πρακτικές φυσικής ασφάλειας (η διασφάλιση ότι κανείς δεν μπορεί απλώς να συνδέσει καλώδια) απαιτούν την μεγαλύτερη προσοχή.

Το επίπεδο διανομής περιέχει τους διακόπτες που Συγκεντρώνουν την κίνηση από πολλαπλούς διακόπτες πρόσβασηςΣυνήθως είναι το σημείο όπου γίνεται η δρομολόγηση μεταξύ VLAN, εφαρμόζονται λεπτότερα ACL, τερματίζονται οι συνδέσεις οπτικών ινών, προστίθενται συνδέσεις (EtherChannel) και εφαρμόζονται πιο προηγμένες πολιτικές (QoS, έλεγχος καταιγίδας κ.λπ.).

Το βασικό επίπεδο περιέχει τις συνδέσεις διανομής και την πύλη προς το Διαδίκτυο ή τα εξωτερικά δίκτυα. Σε πολύ μεγάλα δίκτυα, είναι σύνηθες για το Ο πυρήνας είναι αποκλειστικά υπεύθυνος για την εναλλαγή υψηλής ταχύτηταςμε πολύ λίγα πρόσθετα χαρακτηριστικά, για μείωση της καθυστέρησης και της πολυπλοκότητας.

Κατά το σχεδιασμό ενός δικτύου με VLAN, συνιστάται πρώτα να ορίσετε ποιες λογικές ομάδες χρειάζονται (ανά λειτουργία, κρισιμότητα, επίπεδο εμπιστοσύνης, κ.λπ.) και στη συνέχεια να το τοποθετήσετε σε ένα καλά σχεδιασμένο σχήμα IP (υποδίκτυα, μάσκες, VLSM, δυναμικά και στατικά εύρη) και σε μια σαφή κατανομή θυρών σε κάθε διακόπτη.

Τύποι VLAN και συνήθεις χρήσεις

Το πιο διαδεδομένο πρότυπο για την επισήμανση πλαισίων σε συνδέσμους κορμού είναι IEEE 802.1QΠροσθέτει 4 bytes στην κεφαλίδα Ethernet με το VLAN ID και άλλα πεδία, έτσι ώστε ο διακόπτης να γνωρίζει ακριβώς σε ποιο VLAN ανήκει κάθε πλαίσιο χωρίς να ενθυλακώνει ολόκληρο το πλαίσιο.

Όταν τα VLAN έχουν διαμορφωθεί με 802.1Q σε διακόπτες, κάθε θύρα μπορεί να επισημανθεί ως με ετικέτα ή χωρίς ετικέτα για ένα συγκεκριμένο VLAN. Μια θύρα μπορεί να έχει ετικέτα σε πολλά VLAN (τυπικό ενός trunk) αλλά να μην έχει ετικέτα μόνο σε ένα από αυτά (αυτό που η τερματική συσκευή θα δει αν είναι θύρα πρόσβασης).

Εκτός από τα "κανονικά" VLAN που βασίζονται στο 802.1Q, υπάρχουν και άλλες μέθοδοι που χρησιμοποιούνται ευρέως σε εταιρικά περιβάλλοντα: VLAN που βασίζονται σε θύρες, VLAN που βασίζονται σε MAC, VLAN διαχείρισης, VLAN ελέγχου, προσαρμοσμένα εγγενή VLAN, υβριδικά VLAN ή ακόμα και VXLAN σε περιβάλλοντα κέντρων δεδομένων και cloud όπου απαιτούνται εκατομμύρια λογικά δίκτυα. Αξίζει επίσης να ληφθούν υπόψη τεχνολογίες όπως 802.1X και δυναμικά VLAN για κατανομή και προηγμένη ασφάλεια.

La Διαχείριση VLAN Χρησιμοποιείται αποκλειστικά για πρόσβαση διαχειριστή σε διακόπτες, δρομολογητές, σημεία πρόσβασης, τείχη προστασίας και συστήματα παρακολούθησης. Συνήθως έχει το δικό του υποδίκτυο IP και αυστηρά ACL που ελέγχουν ποιος μπορεί να έχει πρόσβαση σε αυτό. Η διαχείριση συσκευών από τα ίδια VLAN με τους χρήστες είναι πολύ κακή ιδέα.

La llamada έλεγχος VLAN Είναι αφιερωμένο στην εσωτερική κυκλοφορία πρωτοκόλλου δικτύου: STP, πρωτόκολλα δρομολόγησης, CDP, LLDP, VTP, κ.λπ. Ο διαχωρισμός αυτής της κυκλοφορίας από την κυκλοφορία δεδομένων ή διαχείρισης μειώνει τον θόρυβο, βελτιώνει τη σταθερότητα και επιτρέπει την εφαρμογή συγκεκριμένων μέτρων ασφαλείας.

VLAN 1, εγγενές VLAN και γιατί αποτελούν πρόβλημα ασφαλείας

Στους περισσότερους διακόπτες, το VLAN 1 διατίθεται προρυθμισμένο ως προεπιλεγμένο και εγγενές VLAN σε όλες τις θύρες. Αυτό σημαίνει ότι, εάν δεν αλλάξει τίποτα, όλη η μη ετικετασμένη κίνηση που εισέρχεται σε έναν κορμό τοποθετείται στο VLAN 1 και όλες οι θύρες αποτελούν μέρος αυτού.

Το πρόβλημα είναι ότι οποιοσδήποτε μετρίως έξυπνος εισβολέας το γνωρίζει αυτό. Το VLAN 1 είναι ένας από τους κύριους στόχους για επιθέσεις. Επιθέσεις VLAN hopping, πλαστογράφηση διακόπτη και άλλες εφευρέσεις που εκμεταλλεύονται τις προεπιλεγμένες διαμορφώσεις για να διεισδύσουν κρυφά σε άλλα VLAN.

Σε μια επίθεση πλαστογράφησης διακόπτη, για παράδειγμα, ο εισβολέας συνδέει τη συσκευή του σε μια θύρα όπου το DTP είναι ενεργό σε δυναμική λειτουργία και διαπραγμάτευση μιας ζεύξης κορμού με το switch, αποκτώντας πρόσβαση σε πολλά VLAN που δεν θα έπρεπε ποτέ να φτάσουν σε έναν κεντρικό υπολογιστή.

Σε μια επίθεση διπλής ετικέτας, δύο ετικέτες 802.1Q αναμειγνύονται στο ίδιο πλαίσιο, εκμεταλλευόμενοι το γεγονός ότι το εγγενές VLAN ταξιδεύει χωρίς ετικέτα, για να προσπαθήσουν να μεταπηδήσουν από το ένα VLAN στο άλλο μέσω ενός κακώς ασφαλισμένου trunk.

Συνεπώς, οι τρέχουσες συστάσεις ασφαλείας είναι σαφείς: Μην χρησιμοποιείτε VLAN 1 για χρήστεςΜην το αφήνετε ως εγγενές VLAN σε trunk, μην του δίνετε διεύθυνση IP διαχείρισης και, ει δυνατόν, απομονώστε το ή ακόμα και φιλτράρετε το έτσι ώστε να μην μεταφέρει κίνηση παραγωγής.

Βέλτιστες πρακτικές για τον σχεδιασμό και την κατανομή λιμένων

Μία από τις βασικές αποφάσεις κατά τη διαμόρφωση των VLAN είναι πώς αντιστοιχίζονται οι θύρες διακόπτη για κάθε VLAN και τι να κάνετε με τις αχρησιμοποίητες θύρες. Φαίνεται ασήμαντο, αλλά τόσο η απόδοση όσο και η ασφάλεια εξαρτώνται από αυτό.

Είναι πάντα καλή ιδέα να αφήνετε τις θύρες πρόσβασης ανοιχτές. ένα μόνο VLAN ως μη ετικετημένο (αυτού του χρήστη ή της συσκευής) και να επισημάνει τα υπόλοιπα ως εξαιρούμενα. Αυτό εμποδίζει τη διεπαφή να "βλέπει" VLAN που δεν ανήκουν σε αυτήν, ακόμα κι αν κάποιος αλλάξει κατά λάθος τις ρυθμίσεις.

Σε συνδέσμους κορμού, συνιστάται η ρητή διαμόρφωση ποια VLAN επιτρέπονται (π.χ., το switchport trunk επιτρέπει τα vlan 10, 20, 99) αντί να μεταβιβάζει όλα τα VLAN στο δίκτυο. Κάθε trunk θα πρέπει να μεταφέρει μόνο τα VLAN που πραγματικά χρειάζεται.

Για θύρες που δεν χρησιμοποιούνται, η ασφαλέστερη πρακτική είναι να απενεργοποιήστε τα (κλείσιμο λειτουργίας)Αντιστοιχίστε τα σε ένα VLAN "μαύρης τρύπας" χωρίς πύλη ή DHCP και βεβαιωθείτε ότι δεν έχουν επισημανθεί ως trunk ή δεν έχουν ενεργοποιημένο DTP. Αυτό εμποδίζει κάποιον να συνδέσει μια συσκευή και να εμφανιστεί ξαφνικά στο δίκτυο παραγωγής.

Σε περιβάλλοντα όπου ο αριθμός των θυρών είναι πολύ μεγάλος, συνιστάται η καλή τεκμηρίωση. τι συνδέεται σε κάθε διεπαφήΕπισημάνετε την καλωδίωση και διατηρήστε τα διαγράμματά σας ενημερωμένα. Πολλά προβλήματα συνδεσιμότητας VLAN οφείλονται απλώς στη μετακίνηση καλωδίων χωρίς ενημερωμένη τεκμηρίωση. οδηγός καλωδίωσης Βοηθά στην αποφυγή λαθών.

VLAN "μη εξόδου" και αχρησιμοποίητες θύρες

Μια απλή και πολύ αποτελεσματική τεχνική για την προστασία των ελεύθερων θυρών συνίσταται στη δημιουργία ενός VLAN «χωρίς έξοδο»Δηλαδή, ένα VLAN χωρίς DHCP, χωρίς δρομολόγηση και χωρίς υπηρεσίες, και να τοποθετηθούν σε αυτό όλες οι θύρες πρόσβασης που δεν χρησιμοποιούνται.

Η ιδέα είναι ότι ακόμα κι αν κάποιος συνδέσει μια συσκευή σε μία από αυτές τις θύρες, αυτός ο κεντρικός υπολογιστής δεν θα λάβει διεύθυνση IP, δεν θα έχει πύλη, δεν θα μπορεί να επικοινωνήσει με άλλες συσκευές και η κυκλοφορία του θα παραμείνει εντελώς απομονωμένη. Είναι ένα είδος δικτυακού κενού αορίστου χρόνου.

Σε πολλά περιβάλλοντα χρησιμοποιείται ένα αναγνωρίσιμο αναγνωριστικό, όπως π.χ. VLAN 777, 999 ή 4094Για τον σκοπό αυτό, ο διακόπτης έχει ρυθμιστεί ώστε να αποκλείει τα υπόλοιπα VLAN από αυτές τις θύρες, δεν έχει οριστεί διεπαφή Layer 3 για αυτό το VLAN και δεν διαφημίζεται σε κανέναν δρομολογητή.

Επιπλέον, συνιστάται η απενεργοποίηση του DTP στις θύρες πρόσβασης όλων των διακοπτών με θύρα εναλλαγής χωρίς διαπραγμάτευσηέτσι ώστε να μην προσπαθούν ποτέ να γίνουν αυτόματα γραμμές κορμού μέσω διαπραγμάτευσης με τον γείτονα.

VLAN για φωνή, δεδομένα και ειδικές συσκευές

Σε δίκτυα όπου υπάρχουν IP τηλεφωνία και φωνητική κίνησηΗ συνήθης πρακτική είναι ο διαχωρισμός της φωνητικής κίνησης σε ένα συγκεκριμένο VLAN, διαφορετικό από αυτό των υπολογιστών. Αυτό συμβαίνει για δύο λόγους: τις απαιτήσεις ποιότητας υπηρεσίας και την ασφάλεια.

Η φωνητική κίνηση είναι ιδιαίτερα ευαίσθητη στην καθυστέρηση, το jitter και την απώλεια πακέτων. Εάν αναμειχθεί ανεξέλεγκτα με βαριές λήψεις, ροή βίντεο ή αντίγραφα ασφαλείας, οι κλήσεις υποβαθμίζονται γρήγορα. Ο διαχωρισμός της φωνής στο VLAN σας επιτρέπει να κάνετε ακριβώς αυτό. δώστε προτεραιότητα με QoS και να εφαρμόσουν πιο συγκεκριμένες πολιτικές.

Επιπλέον, τα τηλέφωνα IP συνήθως έχουν τις δικές τους δυνατότητες VLAN tagging (802.1Q): είναι συνδεδεμένα με τον υπολογιστή, η θύρα προς το δίκτυο λειτουργεί ως κορμός (φωνή με ετικέτα, δεδομένα χωρίς ετικέτα) και η θύρα προς τον υπολογιστή λειτουργεί ως θύρα πρόσβασης. Αυτό απαιτεί ελαφρώς λεπτότερες διαμορφώσεις θυρών για να μην αφήνονται κενά ασφαλείας.

Είναι επίσης καλή ιδέα να διαχωρίσετε τα [ασαφή] σε συγκεκριμένα VLAN. Συσκευές IoT, οικιακός αυτοματισμός, κάμερες IP, τηλεοράσεις, έξυπνες πρίζεςκ.λπ. Πρόκειται για συσκευές που συχνά έχουν χαμηλό επίπεδο ασφάλειας και κακώς συντηρημένο υλικολογισμικό και συνιστάται να μην βρίσκονται στο ίδιο λογικό δίκτυο με τους υπολογιστές διαχείρισης ή τους κρίσιμους διακομιστές.

Στον κόσμο του WiFi, τα περισσότερα επαγγελματικά σημεία πρόσβασης σάς επιτρέπουν να συνδέεστε ένα SSID για κάθε VLANΜε αυτόν τον τρόπο, η τμηματοποίηση του ενσύρματου δικτύου επεκτείνεται στο ασύρματο δίκτυο: VLAN διαχείρισης, εταιρικό VLAN, VLAN IoT, VLAN επισκεπτών, το καθένα με το SSID και τους κανόνες του.

Δρομολόγηση μεταξύ VLAN, ACL και τείχους προστασίας

Από τη σχεδίαση, τα VLAN Δεν «βλέπονται» μεταξύ τους στο επίπεδο 2Αν θέλετε να επικοινωνούν συσκευές σε διαφορετικά VLAN, πρέπει να μεταβείτε στο Επίπεδο 3: δρομολόγηση μεταξύ VLAN. Αυτό γίνεται συνήθως σε δρομολογητή, τείχος προστασίας ή διακόπτη Επιπέδου 3.

Υπάρχουν δύο κύρια μοτίβα. Το πρώτο είναι η χρήση ενός δρομολογητής ή τείχος προστασίας με υποστήριξη 802.1Q συνδεδεμένο σε ένα switch trunk. Ο δρομολογητής δημιουργεί υποδιεπαφές (μία ανά VLAN), τους εκχωρεί IP και λειτουργεί ως πύλη. firewallΕπιπλέον, εφαρμόζει λεπτούς κανόνες σχετικά με το ποιος μπορεί να μιλήσει με ποιον.

Το δεύτερο μοτίβο είναι η χρήση ενός Διαχειριζόμενος διακόπτης επιπέδου 3 στο επίπεδο διανομής ή πυρήνα. Διεπαφές VLAN (SVI) δημιουργούνται σε αυτό, λειτουργώντας ως πύλες για κάθε υποδίκτυο. Ο ίδιος ο διακόπτης χειρίζεται την εσωτερική δρομολόγηση και τα αντίστοιχα ACL, εκφορτώνοντας την εργασία από τον δρομολογητή edge.

Και στις δύο περιπτώσεις, είναι ζωτικής σημασίας να συνοδεύσετε αυτή τη δρομολόγηση με λίστες ελέγχου πρόσβασης (ACL) ή κανόνες τείχους προστασίας Αυστηρό. Η ύπαρξη μιας διαδρομής IP μεταξύ των VLAN δεν σημαίνει ότι πρέπει να επιτρέπεται όλη η κίνηση. Το φιλτράρισμα πρέπει να γίνεται με βάση την πηγή, τον προορισμό, τις θύρες, τα πρωτόκολλα και την κατεύθυνση των συνδέσεων.

Ένα τυπικό παράδειγμα: το guest VLAN μπορεί να έχει πρόσβαση μόνο στο Διαδίκτυο, το IoT VLAN μπορεί να επικοινωνεί μόνο με συγκεκριμένους διακομιστές (όπως NTP, syslog ή έναν MQTT broker), το student VLAN δεν μπορεί να έχει πρόσβαση στο management VLAN, το backup VLAN εκκινεί μόνο συνδέσεις με τον backup server, κ.λπ.

Πρωτόκολλα διαχείρισης VLAN: VTP και εταιρεία

Σε μεγάλα δίκτυα με πολλούς διακόπτες, η χειροκίνητη δημιουργία VLAN σε κάθε συσκευή είναι μη πρακτική και επιρρεπής σε σφάλματα. Γι' αυτό πρωτόκολλα όπως VTP (Πρωτόκολλο VLAN Trunking) στον κόσμο της Cisco, τα οποία επιτρέπουν την κεντρική διανομή της λίστας VLAN.

Το VTP ορίζει τρεις τρόπους λειτουργίας σε έναν διακόπτη: διακομιστή, πελάτη και διαφανέςΟι διακομιστές μπορούν να δημιουργούν, να μετονομάζουν ή να διαγράφουν VLAN και να στέλνουν αυτές τις πληροφορίες σε πελάτες εντός του ίδιου τομέα. Οι πελάτες λαμβάνουν και εφαρμόζουν τις αλλαγές, αλλά δεν τις τροποποιούν. Οι διαφανείς διακομιστές δεν επεξεργάζονται τη βάση δεδομένων VLAN. Απλώς μεταδίδουν τις πληροφορίες.

Αυτού του είδους τα πρωτόκολλα απλοποιούν σημαντικά τη ζωή, αλλά έχουν και τα μειονεκτήματά τους: ένα σφάλμα σε έναν διακόπτη διακομιστή, ένας κακώς διαχειριζόμενος κωδικός πρόσβασης VTP ή ένας παλιός διακόπτης που επανεισάγεται στο δίκτυο με μια ξεπερασμένη βάση δεδομένων μπορεί να προκαλέσει προβλήματα. για να καταστραφεί εντελώς η διαμόρφωση VLAN σε όλη την οργάνωση.

Επομένως, σε πολλά τρέχοντα σχέδια, προτιμάται η λειτουργία VTP. διαφανής ή απλώς να μην το χρησιμοποιείτε, διαχειριζόμενοι τα VLAN με εργαλεία αυτοματοποίηση (Ansible, πρότυπα, κεντρικοί ελεγκτές, κ.λπ.) ή με πιο στατικό και ελεγχόμενο σχεδιασμό.

Προηγμένη ασφάλεια: VACL, PVLAN και μετριασμός επιθέσεων

Καθώς το δίκτυο αναπτύσσεται και η κρισιμότητα αυξάνεται, τα VLAN από μόνα τους δεν επαρκούν. Για τον πιο λεπτομερή έλεγχο της κυκλοφορίας εντός ενός VLAN, μπορούν να χρησιμοποιηθούν και άλλες μέθοδοι. VACL (VLAN ACL ή χάρτες VLAN)τα οποία επιτρέπουν το φιλτράρισμα ή την ανακατεύθυνση της κίνησης σε επίπεδο VLAN, όχι μόνο σε συγκεκριμένες διεπαφές.

Τα VACL διαμορφώνονται ορίζοντας Χάρτες πρόσβασης VLAN Χρησιμοποιούν λίστες πρόσβασης IP ή MAC και καθορίζουν τι πρέπει να κάνουν με την αντίστοιχη κίνηση: να την αφήσουν να περάσει, να την μπλοκάρουν, να την στείλουν σε μια θύρα παρακολούθησης, να την ανακατευθύνουν... Στη συνέχεια, εφαρμόζονται καθολικά σε ένα ή περισσότερα VLAN στο διακόπτη.

Για περιπτώσεις όπου θέλετε να απομονώσετε κεντρικούς υπολογιστές εντός του ίδιου υποδικτύου, υπάρχουν οι εξής: Ιδιωτικά VLAN (PVLAN)Ξεκινά με ένα πρωτεύον VLAN, το οποίο συνήθως βρίσκεται η πύλη, και δημιουργεί συσχετισμένα δευτερεύοντα VLAN δύο τύπων: απομονωμένα και κοινοτικά.

Δευτερεύοντα VLAN τύπου απομονωμένος Επιτρέπουν σε κάθε κεντρικό υπολογιστή να βλέπει μόνο την πύλη, αλλά όχι άλλους κεντρικούς υπολογιστές, ακόμα κι αν βρίσκονται στο ίδιο απομονωμένο δευτερεύον VLAN. Αυτά είναι του τύπου κοινότητα Επιτρέπουν σε μια ομάδα κεντρικών υπολογιστών να βλέπουν ο ένας τον άλλον και την πύλη, αλλά όχι άλλες ομάδες στην ίδια κύρια πύλη.

Όσον αφορά συγκεκριμένες επιθέσεις, εκτός από όσα έχουν ήδη ειπωθεί για το VLAN 1 και το DTP, είναι κρίσιμο να μετριαστεί η Μεταπήδηση VLAN με διπλή ετικέταΓια να το κάνετε αυτό, συνιστάται να αλλάξετε το εγγενές VLAN σε ένα VLAN που δεν χρησιμοποιείται με κεντρικούς υπολογιστές, να αφαιρέσετε αυτό το εγγενές VLAN από τους κορμούς, εάν είναι δυνατόν, να απενεργοποιήσετε το DTP, να ορίσετε ρητά τις θύρες ως πρόσβαση ή κορμό και να χρησιμοποιήσετε εντολές έτσι ώστε το εγγενές VLAN να ταξιδεύει πάντα με ετικέτα, απορρίπτοντας την κίνηση χωρίς ετικέτα.

Διάγνωση και συντήρηση δικτύων με VLAN

Η δημιουργία ενός δικτύου με VLAN είναι μόνο η μισή δουλειά. Η άλλη μισή είναι συντηρήστε το και αντιμετωπίστε προβλήματα Χωρίς να τρελαθούμε. Τα τυπικά προβλήματα συνδεσιμότητας VLAN έχουν συνήθως αρκετά κοινές αιτίες. Για οδηγούς και πρακτικές διαδικασίες, συμβουλευτείτε τους πόρους στο διάγνωση προβλημάτων δικτύου.

Από τη μία πλευρά, υπάρχουν φυσικά σφάλματα: καλώδια που μετακινούνται από τη μία θύρα στην άλλη χωρίς ενημέρωση της τεκμηρίωσης, θύρες που έχουν ρυθμιστεί ως πρόσβαση εκεί που θα έπρεπε να βρίσκεται ένας κορμός ή αντίστροφα, κακώς καθορισμένοι πλεονάζοντες σύνδεσμοι που καταλήγουν σε βρόχους εάν το STP δεν έχει συντονιστεί σωστά.

Από την άλλη πλευρά, υπάρχουν λογικές βλάβες: VLAN που δημιουργούνται σε ορισμένους διακόπτες αλλά όχι σε άλλους, επιτρεπόμενες λίστες VLAN σε λανθασμένα διαμορφωμένους κορμούςΕύρη DHCP που δεν ταιριάζουν με τις μάσκες ή τις πύλες που έχουν οριστεί εσφαλμένα στις τελικές συσκευές.

Τα βασικά εργαλεία για τη διάγνωση είναι οι συνήθεις εντολές: εμφάνιση vlan, εμφάνιση διεπαφών trunk, εμφάνιση spanning-tree, εμφάνιση σύντομης διεπαφής ip, ping, tracerouteκ.λπ. Ο συνδυασμός τους με καταγραφές κίνησης σε συγκεκριμένα λιμάνια και ένα καλό σύστημα παρακολούθησης βοηθάει πολύ.

Συνιστάται επίσης να ελέγχετε περιοδικά την ACL, κανόνες τείχους προστασίας, PVLAN, VACL και διαμόρφωση διαχείρισης για να διασφαλιστεί ότι δεν έχουν μείνει κενά μετά από αλλαγές, επεκτάσεις ή μετεγκαταστάσεις έργου.

Η σαφής τεκμηρίωση (σχήματα VLAN, εύρη IP, αντιστοιχίσεις θυρών, περιγραφή πολιτικών πρόσβασης μεταξύ VLAN) και η αυστηρή καταγραφή αλλαγών είναι σχεδόν εξίσου σημαντικές με τις ίδιες τις εντολές διαμόρφωσης.

Με καλά μελετημένη τμηματοποίηση, σωστά επισημασμένα VLAN, συνετή εγγενή διαχείριση VLAN, δρομολόγηση μεταξύ VLAN με προστασία ACL και συνεπείς πρακτικές συντήρησης, ένα εταιρικό δίκτυο μπορεί να επιτύχει σημαντικό άλμα στην απόδοση. ασφάλεια, απόδοση και έλεγχος χωρίς να χρειάζεται να ανακατασκευαστεί ολόκληρη η φυσική υποδομή.