- VLANは物理ネットワークを分離された論理ネットワークに分割することで、ブロードキャストトラフィックを削減し、パフォーマンスを向上させます。
- アクセスポート、トランクポート、ネイティブVLANを正しく使用することは、VLANホッピング攻撃やスイッチスプーフィング攻撃を防ぐ上で重要です。
- VLAN間ルーティングには、誰と誰が通信できるかを正確に制御するACLまたはファイアウォールを必ず併用する必要があります。
- VACL、PVLAN、および未使用ポートの厳格な管理は、複雑な企業ネットワークにおけるセキュリティと制御を強化します。
企業ネットワークを管理しているなら、それを すべてが迅速かつ安全に動作します 同時に、それは容易な作業ではありません。チーム、サービス、アプリケーションが拡大するにつれて、ブロードキャスト、ボトルネック、セキュリティ問題が至るところで発生し始めます。
その混沌に秩序をもたらす最も強力なツールの1つは… VLAN(仮想LAN)適切に設計・設定されたネットワークセグメンテーションは、ネットワークのセグメント化、不要なトラフィックの削減、部門の分離、重要サービスの保護などを可能にしますが、計画が不十分だと、セキュリティ上の脆弱性や管理上の悪夢と化してしまう可能性があります。
VLANとは一体何なのか、そしてセキュリティにおいてなぜ重要なのか?
VLANとは基本的に 独立論理ネットワーク 同じ物理インフラストラクチャ(同じスイッチ、同じケーブル、同じWi-Fiアクセスポイント)上に設置されているデバイス。論理レベルでは、VLAN内のデバイスは、たとえ異なるフロアや建物に分散していても、あたかも別のLAN上にあるかのように動作します。
これにより、PC、サーバー、IP電話、プリンター、またはIPカメラのグループが 独自の放送ドメイン他のグループから隔離されています。ブロードキャストおよびマルチキャストパケットは、ネットワーク全体に拡散するのではなく、それぞれのVLAN内に留まるため、パフォーマンスが向上し、誰が誰を見ることができるかをより簡単に制御できます。
ビジネス環境では、VLAN を作成するのが一般的です。 部門(会計、エンジニアリング、マーケティング)管理、音声、ゲスト、IoT、さらには専用のバックアップVLANなど、トラフィックを分離します。それぞれに独自のルーティング、セキュリティ、およびサービス品質ルールを設定できます。
さらに、VLANは戦略の重要な構成要素です。 セグメンテーションとゼロトラストネットワークはもはや「完全に信頼できる」とは考えられておらず、攻撃対象領域が明確に定義されつつあります。1つのVLANにおける障害や感染が、ドミノ倒しのように組織全体を崩壊させるような事態は避けなければなりません。
基本概念:アクセスポート、トランク、ネイティブVLAN
VLANの構成とセキュリティを完全に理解するには、明確に理解しておくべき3つの重要な概念があります。 アクセスポート、トランクポート、ネイティブVLANこの3つの概念をマスターすれば、他のすべてがずっとスムーズに進むようになる。
Un アクセスポート これは、単一のVLANからエンドデバイス(PC、プリンター、IPカメラ、電話など)へトラフィックを転送するスイッチポートです。トラフィックはスイッチからそのデバイスへと流れます。 ラベルなし 802.1Q (タグなし)。スイッチは内部的にはどのVLANに属しているかを認識していますが、機器側ではタグは認識されません。
Un トランクポート これは、データが伝送されるネットワーク機器(スイッチ間、スイッチとルーター間、スイッチとアクセスポイント間)間のリンクです。 複数のVLANを同時にこの場合、フレームには、どのVLANに属しているかを示す802.1Qタグが付加されます。これにより、VLANをトポロジー全体に拡張し、複数の論理ネットワークを同じ物理リンク上でルーティングすることが可能になります。
La ネイティブVLAN これは、802.1Qリンク上のタグなしトラフィックに使用されるVLANです。タグなしでトランクポートに入ってくるすべてのフレームは、このネイティブVLANに割り当てられます。多くのデバイスではデフォルトでVLAN 1に設定されており、この設定を変更しないとセキュリティ上の問題が発生します。
VLANを用いたネットワークアーキテクチャと設計
中規模および大規模ネットワークでは、 3層トポロジーコア層、ディストリビューション層、アクセス層。各層にはそれぞれ役割があり、VLANとの組み合わせ方は実用上非常に重要です。
アクセス層は、 ユーザーを直接つなぐ そしてエンドデバイス。これらはアクセスポートが最も多く、ユーザー、音声、IoTなど、ほとんどのVLANが定義される場所です。そのため、ポートの割り当てや適切な物理セキュリティ対策(ケーブルを勝手に差し込めないようにするなど)に最も注意を払う必要があります。
ディストリビューションレイヤーにはスイッチが含まれています。 これらは複数のアクセススイッチからのトラフィックを集約します。通常、この段階では、VLAN間のルーティングが行われ、より詳細なACLが適用され、光ファイバーリンクが終端され、リンク(EtherChannel)が追加され、より高度なポリシー(QoS、ストーム制御など)が適用されます。
コア層には、インターネットまたは外部ネットワークへの配信リンクとゲートウェイが含まれます。非常に大規模なネットワークでは、 コアは高速スイッチングのみを担当する遅延と複雑さを軽減するため、追加機能は最小限に抑えられています。
VLANを使用したネットワークを設計する場合、まず定義することをお勧めします。 どの論理グループが必要か (機能、重要度、信頼度などによって)分類し、その後、適切に計画された IP スキーム(サブネット、マスク、VLSM、動的および静的範囲)と、各スイッチ上の明確なポート割り当てに配置。
VLANの種類と一般的な用途
幹線リンクのフレームにラベルを付ける最も広く普及している標準は IEEE 802.1Qこれは、VLAN IDやその他のフィールドを含む4バイトをイーサネットヘッダーに追加することで、スイッチがフレーム全体をカプセル化することなく、各フレームがどのVLANに属するかを正確に認識できるようにするものです。
VLANがスイッチ上で802.1Qで構成されていると、各ポートは次のようにマークできます。 タグ付きまたはタグなし 特定の VLAN に対して。ポートは複数の VLAN でタグ付けできます (トランクポートの場合が一般的) が、そのうちの 1 つ (アクセスポートの場合にエンドデバイスが認識する VLAN) でのみタグなしになります。
802.1Qに基づく「通常の」VLANに加えて、企業環境で広く使用されている他の方式もあります。 ポートベースVLAN、MACベースVLAN、管理VLAN、制御VLAN、カスタムネイティブVLAN、ハイブリッドVLAN、さらにはVXLAN データセンターやクラウド環境では、数百万もの論理ネットワークが必要となります。また、次のようなテクノロジーも検討する価値があります。 802.1Xと動的VLAN 割り当てと高度なセキュリティのため。
La 管理VLAN これは、スイッチ、ルーター、アクセスポイント、ファイアウォール、監視システムへの管理アクセス専用に使用されます。通常、専用のIPサブネットと、アクセス権限を厳密に制御するACLを備えています。ユーザーと同じVLANに属するデバイスを管理することは、非常に危険です。
呼び出し 制御VLAN これは、STP、ルーティングプロトコル、CDP、LLDP、VTPなどの内部ネットワークプロトコルトラフィック専用です。このトラフィックをデータトラフィックや管理トラフィックから分離することで、ノイズが低減され、安定性が向上し、特定のセキュリティ対策を適用できるようになります。
VLAN 1、ネイティブVLAN、そしてそれらがセキュリティ上の問題となる理由
ほとんどのスイッチでは、VLAN 1はあらかじめ設定されています。 デフォルトおよびネイティブVLANとして すべてのポートに適用されます。つまり、何も変更しない限り、トランクに入ってくるタグなしトラフィックはすべてVLAN 1に配置され、すべてのポートがVLAN 1の一部となります。
問題は、ある程度知識のある攻撃者なら誰でもこのことを知っているということだ。VLAN 1は攻撃の主要な標的の一つである。 VLANホッピング攻撃スイッチのなりすましや、デフォルト設定を利用して他のVLANに侵入するその他の手法。
例えば、スイッチスプーフィング攻撃では、攻撃者はデバイスをDTPが動的モードでアクティブになっているポートに接続し、 幹線リンクの交渉 スイッチを使用することで、ホストに到達すべきではない複数のVLANにアクセスできるようになります。
ダブルタギング攻撃では、ネイティブVLANがタグなしで伝送されるという事実を利用して、同じフレーム内に2つの802.1Qタグを混在させ、セキュリティの弱いトランクを介してあるVLANから別のVLANへジャンプしようとします。
したがって、現在の安全に関する推奨事項は明確です。 ユーザーにはVLAN 1を使用しないでくださいトランク上のネイティブVLANとして放置したり、管理IPアドレスを割り当てたりしないでください。可能であれば、本番トラフィックを伝送しないように分離またはフィルタリングしてください。
港湾設計と割り当てに関するベストプラクティス
VLANを構成する際の重要な決定事項の1つは スイッチポートはどのように割り当てられますか? 各VLANごとに、未使用ポートをどのように処理するか。些細なことのように思えるかもしれませんが、パフォーマンスとセキュリティの両方に大きく影響します。
アクセスポートは常に開いたままにしておくのが賢明です。 単一のVLANをタグなしとして (そのユーザーまたはデバイスの)VLANを除外対象としてマークします。これにより、たとえ誰かが誤って設定を変更した場合でも、インターフェースが自身に属さないVLANを「認識」することを防ぎます。
トランクリンクでは、明示的に設定することをお勧めします。 どのVLANが許可されますか (例:switchport trunk allowed vlan 10, 20, 99)のように、ネットワーク上のすべてのVLANを通過させるのではなく、各トランクポートは実際に必要なVLANのみを伝送するようにしてください。
使用されていない港については、最も安全な方法は 電源を切る(シャットダウンする)ゲートウェイやDHCPを設定しない「ブラックホール」VLANに割り当て、トランクとしてマークしたり、DTPを有効にしたりしないようにしてください。これにより、誰かがデバイスを接続しただけで、突然本番ネットワークに現れることを防ぐことができます。
ポート数が非常に多い環境では、しっかりと文書化しておくことをお勧めします。 各インターフェースに何が接続されるのかケーブルにラベルを付け、配線図を常に最新の状態に保ってください。VLANの接続問題の多くは、最新のドキュメントがないままケーブルを移動したことが原因です。 配線ガイド 間違いを避けるのに役立ちます。
「非出口」VLANと未使用ポート
自由港を保護するためのシンプルで非常に効果的な手法は、 「出口なし」VLANつまり、DHCPもルーティングもサービスも設定されていないVLANを作成し、使用されていないアクセスポートをすべてそこに配置します。
つまり、誰かがこれらのポートのいずれかにデバイスを接続したとしても、そのホストはIPアドレスを取得できず、ゲートウェイも持たず、他のデバイスにアクセスできず、そのトラフィックは完全に隔離されたままになるという仕組みです。いわばネットワーク上の宙ぶらりんの状態です。
多くの環境では、次のような認識可能なIDが使用されます。 VLAN 777、999、または4094このため、スイッチは他のVLANをこれらのポートから除外するように設定され、そのVLANに対してレイヤ3インターフェースは定義されず、どのルータでもアドバタイズされません。
さらに、すべてのスイッチのアクセスポートでDTPを無効にすることをお勧めします。 スイッチポートなしそのため、彼らは隣人との交渉を通じて自動的に幹線回線になろうとは決してしない。
音声、データ、および特殊機器用のVLAN
ネットワークでは IP電話と音声トラフィック音声トラフィックは、PCトラフィックとは別の特定のVLANに分離するのが標準的な方法です。これには、サービス品質要件とセキュリティという2つの理由があります。
音声トラフィックは、遅延、ジッター、パケット損失に非常に敏感です。大量のダウンロード、ビデオストリーミング、バックアップなどと混在すると、通話品質は急速に低下します。音声トラフィックをVLANに分離することで、こうした問題を解決できます。 QoSで優先順位を付ける そして、より的確な政策を実施する。
さらに、IP電話は通常、独自のVLANタギング機能(802.1Q)を備えています。PCとカスケード接続され、ネットワークへのポートはトランク(タグ付き音声、タグなしデータ)として機能し、PCへのポートはアクセスポートとして機能します。これには、 より細かいポート構成 セキュリティ上の脆弱性を残さないため。
[不明瞭]を特定のVLANに分離することも良い考えです。 IoTデバイス、ホームオートメーション、IPカメラ、テレビ、スマートプラグなど。これらのデバイスはセキュリティレベルが低く、ファームウェアのメンテナンスも不十分な場合が多いため、管理用PCや重要なサーバーと同じ論理ネットワーク上に配置しないことをお勧めします。
WiFiの世界では、ほとんどの業務用アクセスポイントは、 各VLANごとに1つのSSIDこのようにして、有線ネットワークのセグメンテーションは無線ネットワークにも拡張され、管理VLAN、企業VLAN、IoT VLAN、ゲストVLANなど、それぞれにSSIDとルールが設定されます。
VLAN、ACL、ファイアウォール間のルーティング
設計上、VLANは レベル2では彼らは互いを「認識」しない異なるVLAN上のデバイス間で通信を行うには、レイヤー3レベルのVLAN間ルーティングが必要です。これは通常、ルーター、ファイアウォール、またはレイヤー3スイッチで行われます。
主なパターンは 2 つあります。1 つ目は、 802.1Qをサポートするルーターまたはファイアウォール スイッチのトランクポートに接続されています。ルーターはサブインターフェース(VLANごとに1つ)を作成し、それらにIPアドレスを割り当て、ゲートウェイとして機能します。 ファイアウォールさらに、誰が誰と話せるかについて、細かいルールを設けている。
2番目のパターンは、 レイヤー3マネージドスイッチ ディストリビューション層またはコア層において、VLANインターフェイス(SVI)が作成され、各サブネットのゲートウェイとして機能します。スイッチ自体が内部ルーティングと対応するACLを処理し、エッジルーターの負荷を軽減します。
どちらの場合も、このルーティングには以下が不可欠です。 アクセス制御リスト(ACL)またはファイアウォールルール 厳格。VLAN間にIPパスが存在するからといって、すべてのトラフィックが許可されるわけではありません。フィルタリングは、送信元、宛先、ポート、プロトコル、および接続方向に基づいて行う必要があります。
典型的な例としては、ゲスト VLAN はインターネットにのみアクセスでき、IoT VLAN は特定のサーバー (NTP、syslog、MQTT ブローカーなど) とのみ通信でき、学生 VLAN は管理 VLAN にアクセスできず、バックアップ VLAN はバックアップ サーバーへの接続のみを開始できる、などです。
VLAN管理プロトコル:VTPと関連
スイッチが多数存在する大規模ネットワークでは、各デバイスで手動で VLAN を作成するのは非現実的でエラーが発生しやすい。そのため、次のようなプロトコルが VTP(VLANトランキングプロトコル) Ciscoの世界では、VLANリストの一元的な配布を可能にする。
VTPはスイッチにおいて3つの動作モードを定義しています。 サーバー、クライアント、および透過的サーバーはVLANの作成、名前変更、削除を行い、その情報を同一ドメイン内のクライアントに送信します。クライアントは変更内容を受信して適用しますが、変更は行いません。透過型サーバーはVLANデータベースを処理せず、情報を中継するだけです。
こうしたプロトコルは生活を非常に簡素化してくれるが、欠点もある。サーバースイッチのエラー、VTPパスワードの管理不備、あるいは古いデータベースを搭載した古いスイッチがネットワークに再導入された場合などに問題が発生する可能性がある。 VLAN構成を完全に破壊する 組織全体で。
したがって、現在の多くの設計では、VTPモードが好まれている。 透明な または単に使用しない、VLAN をツールで管理する オートメーション (Ansible、テンプレート、集中型コントローラーなど)または、より静的で制御された設計。
高度なセキュリティ:VACL、PVLAN、および攻撃対策
ネットワークの規模が拡大し、重要度が高まるにつれて、VLANだけでは不十分になります。VLAN内でトラフィックをより細かく制御するには、他の方法を用いることができます。 VACL(VLAN ACLまたはVLANマップ)これにより、特定のインターフェースだけでなく、VLANレベルでトラフィックのフィルタリングやリダイレクトが可能になります。
VACLは定義によって構成されます VLANアクセスマップ これらはIPアドレスまたはMACアドレスのアクセスリストを使用し、一致するトラフィックに対してどのような処理を行うかを指定します。例えば、通過させる、ブロックする、監視ポートに送信する、リダイレクトするなどです。そして、これらの設定はスイッチ上の1つまたは複数のVLANにグローバルに適用されます。
同じサブネット内のホストを分離したい場合は、 プライベートVLAN(PVLAN)これは、通常ゲートウェイが配置されているプライマリVLANから始まり、それに関連付けられた2種類のセカンダリVLAN(分離型とコミュニティ型)を作成します。
セカンダリ VLAN のタイプ 分離された これらは、各ホストがゲートウェイのみを認識できるようにし、たとえ同じ隔離されたセカンダリ VLAN 上であっても、他のホストは認識できないようにします。これらは次のタイプです。 コミュニティ これらは、ホストのグループ同士およびゲートウェイとの通信を許可するが、同じプライマリ上の他のグループとの通信は許可しない。
特定の攻撃に関しては、VLAN 1とDTPについて既に述べたことに加えて、 ダブルタグ付けによるVLANホッピングこれを行うには、ネイティブ VLAN をホストで使用されていない VLAN に変更し、可能であればそのネイティブ VLAN をトランクから削除し、DTP を無効にし、ポートをアクセスポートまたはトランクポートとして明示的に定義し、ネイティブ VLAN が常にタグ付きで伝送され、タグなしトラフィックが破棄されるようにコマンドを使用することをお勧めします。
VLANを使用したネットワークの診断と保守
VLAN を使用したネットワークの設定は作業の半分に過ぎず、残りの半分は それを維持管理し、発生した問題をデバッグする 頭がおかしくなりそうにならないでください。典型的な VLAN 接続の問題には、通常、かなり一般的な原因があります。ガイドと実践的な手順については、次のリソースを参照してください。 ネットワーク問題の診断.
一方、物理的なエラーも存在します。例えば、ドキュメントを更新せずにケーブルをあるポートから別のポートに移動したり、トランクポートであるべき場所にアクセスポートとして設定されていたり、あるいはその逆であったり、STPが適切に調整されていない場合にループで終わる冗長リンクの定義が不十分であったりします。
一方、論理的な障害も発生する。一部のスイッチではVLANが作成されるが、他のスイッチでは作成されない。 設定ミスのあるトランク上の許可されたVLANリストDHCPの範囲がマスクと一致しない、またはエンドデバイスでゲートウェイが正しく設定されていない。
診断のための主要なツールは、通常使用されるコマンドです。 show vlan、show interfaces trunk、show spanning-tree、show ip interface brief、ping、tracerouteなど。これらを特定のポートでのトラフィックキャプチャや優れた監視システムと組み合わせると、非常に効果的です。
定期的に見直すこともお勧めします ACL、ファイアウォールルール、PVLAN、VACL、および管理設定 プロジェクトの変更、拡張、移行後に、抜け漏れが残っていないことを確認するため。
明確なドキュメント(VLAN構成、IPアドレス範囲、ポート割り当て、VLAN間アクセスポリシーの説明など)と厳密な変更ログは、設定コマンドそのものとほぼ同じくらい重要です。
綿密に計画されたセグメンテーション、適切なラベル付けされたVLAN、慎重なネイティブVLAN管理、ACLで保護されたVLAN間ルーティング、そして一貫したメンテナンス慣行により、企業ネットワークはパフォーマンスを大幅に向上させることができます。 安全性、性能、制御 物理的なインフラ全体を再構築する必要なく。
