Konfigurimi i VLAN dhe siguria e rrjetit: një udhëzues i plotë

Informatec Digital » Burime » Konfigurimi i VLAN dhe siguria e rrjetit: një udhëzues i plotë

Nëse menaxhoni një rrjet të korporatës, do ta dini se ta çoni atë te Gjithçka funksionon shpejt dhe në mënyrë të sigurt Në të njëjtën kohë, nuk është një detyrë e lehtë. Ndërsa ekipet, shërbimet dhe aplikacionet rriten, transmetimet, pengesat dhe problemet e sigurisë fillojnë të shfaqen kudo.

Një nga mjetet më të fuqishme për të sjellë rregull në atë kaos është... VLAN (LAN Virtual)Të projektuara dhe të konfiguruara mirë, ato ju lejojnë të segmentoni rrjetin, të zvogëloni trafikun e padobishëm, të izoloni departamentet dhe të mbroni shërbimet kritike... por të planifikuara keq, ato mund të shndërrohen në një sitë sigurie ose në një makth për administrimin.

Çfarë është saktësisht një VLAN dhe pse është i rëndësishëm për sigurinë?

Një VLAN është, në thelb, një rrjet logjik i pavarur që ndodhen në të njëjtën infrastrukturë fizike: të njëjtat ndërprerës, të njëjtat kabllo, të njëjtat pika aksesi Wi-Fi. Në një nivel logjik, pajisjet në një VLAN sillen sikur të ishin në një LAN të veçantë, edhe nëse janë të shpërndara nëpër kate ose ndërtesa të ndryshme.

Kjo lejon që një grup PC-sh, serverash, telefonash IP, printerash ose kamerash IP të formojnë një domenin e transmetimit të vettë izoluar nga grupet e tjera. Paketat e transmetimit dhe multicast mbeten brenda VLAN-it të tyre në vend që të përmbytin të gjithë rrjetin, duke përmirësuar performancën dhe duke e bërë më të lehtë kontrollin se kush mund të shohë kë.

Në mjediset e biznesit, është e zakonshme të krijohen VLAN për departamente (kontabilitet, inxhinieri, marketing)për të ndarë trafikun për menaxhim, zë, mysafirë, IoT, apo edhe një VLAN rezervë të dedikuar. Secili me rregullat e veta të rrugëzimit, sigurisë dhe cilësisë së shërbimit.

Për më tepër, VLAN-et janë një komponent kyç në strategjitë për Segmentimi dhe Besimi ZeroRrjetet nuk supozohen më si "plotësisht të besueshme" dhe sipërfaqet e sulmit po përcaktohen. Një dështim ose infeksion në një VLAN nuk duhet të shkaktojë rënien e të gjithë organizatës në një efekt domino.

Konceptet bazë: portet e aksesit, trunk-et dhe VLAN-i nativ

Për të kuptuar plotësisht konfigurimin dhe sigurinë e VLAN-it, ekzistojnë tre ide kryesore që duhet të jenë të qarta si kristali: portat e aksesit, portat e trungut dhe VLAN nativeNëse i zotëroni këto tre koncepte, gjithçka tjetër bie në vendin e vet shumë më mirë.

Un porta e aksesit Është një port switch-i që mbart trafik nga një VLAN i vetëm në një pajisje fundore: një PC, printer, kamera IP, telefon, etj. Trafiku rrjedh nga switch-i në atë pajisje. Pa etiketë 802.1Q (pa etiketë). Brenda, switch-i e di se cilit VLAN i përket, por pajisja nuk e sheh etiketën.

Un porta kryesore Është një lidhje midis pajisjeve të rrjetit (switch-switch, switch-router, switch-AP) përmes së cilës udhëtojnë të dhënat. shumë VLAN në të njëjtën kohëNë këtë rast, kornizat mbajnë etiketën 802.1Q që tregon se cilit VLAN i përkasin. Kjo lejon që VLAN-et të zgjerohen në të gjithë topologjinë dhe rrjete të shumëfishta logjike të drejtohen mbi të njëjtën lidhje fizike.

La VLAN vendas Ky është VLAN-i i përdorur për trafikun e paetiketuar në një lidhje 802.1Q. Çdo kornizë që hyn në një port trunk pa një etiketë i caktohet këtij VLAN-i vendas. Si parazgjedhje, në shumë pajisje është VLAN 1, dhe këtu fillojnë problemet e sigurisë nëse ky konfigurim nuk ndryshohet.

Arkitektura dhe dizajni i rrjetit me VLAN

Në rrjetet e mesme dhe të mëdha është e zakonshme të përdoret një topologji me tre shtresaShtresat kryesore, të shpërndarjes dhe të aksesit. Çdo shtresë ka një rol, dhe mënyra se si ato kombinohen me VLAN-et ka rëndësi të madhe praktike.

Shtresa e aksesit përbëhet nga ndërprerësit që Ata i lidhin përdoruesit drejtpërdrejt dhe pajisjet fundore. Këto kanë më shumë porta aksesi dhe janë vendi ku përcaktohen shumica e VLAN-ve të përdoruesit, zërit, IoT, etj. Këtu është vendi ku ndarja e portave dhe praktikat e mira të sigurisë fizike (duke siguruar që askush nuk mund të lidhë kabllot) kërkojnë më shumë vëmendje.

Shtresa e shpërndarjes përmban çelësat që Ata grumbullojnë trafikun nga ndërprerës të shumëfishtë të aksesitZakonisht është pika ku bëhet rrugëzimi midis VLAN-ve, aplikohen ACL më të imëta, terminohen lidhjet me fibra, shtohen lidhjet (EtherChannel) dhe aplikohen politika më të avancuara (QoS, kontrolli i stuhive, etj.).

Shtresa bazë përmban lidhjet e shpërndarjes dhe portën hyrëse për në internet ose rrjete të jashtme. Në rrjete shumë të mëdha, është e zakonshme që Bërthama është përgjegjëse vetëm për ndërrimin me shpejtësi të lartëme shumë pak karakteristika shtesë, për të zvogëluar vonesën dhe kompleksitetin.

Kur hartoni një rrjet me VLAN, këshillohet që së pari të përcaktoni Cilat grupe logjike janë të nevojshme (sipas funksionit, kritikalitetit, nivelit të besimit, etj.) dhe më pas e vendos atë në një skemë IP të planifikuar mirë (nënrrjete, maska, VLSM, diapazone dinamike dhe statike) dhe në një ndarje të qartë të portave në secilin switch.

Llojet e VLAN-ve dhe përdorimet e zakonshme

Standardi më i përhapur për etiketimin e kornizave në lidhjet e trungut është IEEE 802.1QShton 4 bajt në kokën Ethernet me ID-në e VLAN-it dhe fusha të tjera, në mënyrë që switch-i të dijë saktësisht se cilit VLAN i përket secila kornizë pa e kapsuluar të gjithë kornizën.

Kur VLAN-et konfigurohen me 802.1Q në switch-e, çdo port mund të shënohet si i etiketuar ose i paetiketuar për një VLAN specifik. Një port mund të etiketohet në disa VLAN (tipike për një trunk) por vetëm i paetiketuar në njërën prej tyre (atë që pajisja fundore do ta shohë nëse është një port aksesi).

Përveç VLAN-ve "normalë" të bazuar në 802.1Q, ekzistojnë modalitete të tjera që përdoren gjerësisht në mjediset e korporatave: VLAN-e të bazuara në porta, VLAN-e të bazuara në MAC, VLAN-e menaxhimi, VLAN-e kontrolli, VLAN-e native të personalizuara, VLAN-e hibride ose edhe VXLAN-e në mjediset e qendrave të të dhënave dhe cloud ku nevojiten miliona rrjete logjike. Gjithashtu ia vlen të merren në konsideratë teknologji të tilla si 802.1X dhe VLAN dinamike për ndarje dhe siguri të përparuar.

La VLAN i Menaxhimit Përdoret ekskluzivisht për akses administrativ në switch-e, routera, pika aksesi, firewall-e dhe sisteme monitorimi. Zakonisht ka nënrrjetin e vet IP dhe ACL të rrepta që kontrollojnë se kush mund të hyjë në të. Menaxhimi i pajisjeve nga të njëjtat VLAN si përdoruesit është një ide shumë e keqe.

Thirrja kontroll VLAN Është i dedikuar për trafikun e protokollit të rrjetit të brendshëm: STP, protokollet e rrugëzimit, CDP, LLDP, VTP, etj. Ndarja e këtij trafiku nga trafiku i të dhënave ose i menaxhimit zvogëlon zhurmën, përmirëson stabilitetin dhe lejon zbatimin e masave specifike të sigurisë.

VLAN 1, VLAN native dhe pse ato përbëjnë një problem sigurie

Në shumicën e switch-ave, VLAN 1 vjen i parakonfiguruar si VLAN i parazgjedhur dhe vendas në të gjitha portat. Kjo do të thotë që, nëse nuk ndryshon asgjë, i gjithë trafiku i paetiketuar që hyn në një trunk vendoset në VLAN 1, dhe të gjitha portat janë pjesë e tij.

Problemi është se çdo sulmues me aftësi të moderuara e di këtë. VLAN 1 është një nga objektivat kryesorë për sulme. Sulme me kërcime VLAN, mashtrimi i ndërruesve dhe shpikje të tjera që shfrytëzojnë konfigurimet parazgjedhur për t'u futur tinëzisht në VLAN të tjera.

Në një sulm të rremë të switch-it, për shembull, sulmuesi lidh pajisjen e tij me një port ku DTP është aktiv në modalitetin dinamik dhe negocioni një lidhje kryesore me switch-in, duke fituar akses në VLAN të shumëfishta që nuk duhet të arrijnë kurrë në një host.

Në një sulm me etiketim të dyfishtë, dy etiketa 802.1Q përzihen në të njëjtin kuadër, duke përfituar nga fakti që VLAN-i vendas udhëton i paetiketuar, për të provuar të kalojë nga një VLAN në tjetrin përmes një trunk-u të siguruar dobët.

Prandaj, rekomandimet aktuale të sigurisë janë të qarta: Mos përdorni VLAN 1 për përdoruesitMos e lini si një VLAN nativ në trunk-e, mos i jepni një adresë IP menaxhimi dhe, nëse është e mundur, izolojeni ose edhe filtrojeni në mënyrë që të mos mbartë trafik prodhimi.

Praktikat më të mira për projektimin dhe ndarjen e porteve

Një nga vendimet kryesore gjatë konfigurimit të VLAN-ve është Si caktohen portat e ndërruesit për secilin VLAN dhe çfarë të bëhet me portat e papërdorura. Duket e parëndësishme, por si performanca ashtu edhe siguria varen prej saj.

Është gjithmonë një ide e mirë të lini portat e aksesit të hapura. një VLAN i vetëm si i paetiketuar (të atij përdoruesi ose pajisjeje) dhe shënoni pjesën tjetër si të përjashtuar. Kjo parandalon që ndërfaqja të "shohë" VLAN-et që nuk i përkasin asaj, edhe nëse dikush ndryshon aksidentalisht cilësimet.

Në lidhjet e trungut, rekomandohet të konfigurohet në mënyrë të qartë Cilat VLAN lejohen (p.sh., trunk-u i portit të ndërrimit lejoi vlan-et 10, 20, 99) në vend që të kalonte të gjitha VLAN-et në rrjet. Çdo trunk duhet të mbajë vetëm VLAN-et që i nevojiten në të vërtetë.

Për portet që nuk janë në përdorim, praktika më e sigurt është të fikini ato (mbylleni)Caktojini ato në një VLAN "të vrimës së zezë" pa një portë hyrëse ose DHCP, dhe sigurohuni që ato të mos jenë të shënuara si një trunk ose të mos kenë DTP të aktivizuar. Kjo parandalon që dikush të lidhë një pajisje dhe të shfaqet papritur në rrjetin e prodhimit.

Në mjedise ku numri i portave është shumë i lartë, këshillohet që dokumentimi të bëhet mirë. çfarë lidhet me secilën ndërfaqeEtiketoni kabllot dhe mbajini diagramet tuaja të përditësuara. Shumë probleme të lidhjes VLAN vijnë thjesht për shkak të zhvendosjes së kabllove pa dokumentacion të përditësuar; udhëzues instalimesh elektrike Ndihmon për të shmangur gabimet.

VLAN-et "jo-dalëse" dhe portat e papërdorura

Një teknikë e thjeshtë dhe shumë efektive për mbrojtjen e porteve të lira konsiston në krijimin e një VLAN "Pa dalje"Domethënë, një VLAN pa DHCP, pa rrugëzim dhe pa shërbime, dhe të vendosësh të gjitha portat e aksesit që nuk përdoren në të.

Ideja është që edhe nëse dikush lidh një pajisje me një nga ato porta, ai host nuk do të marrë një adresë IP, nuk do të ketë një portë hyrëse, nuk do të jetë në gjendje të arrijë pajisje të tjera dhe trafiku i tij do të mbetet plotësisht i izoluar. Është një lloj limbo rrjeti.

Në shumë mjedise përdoret një ID i dallueshëm, si p.sh. VLAN 777, 999 ose 4094Për këtë qëllim, switch-i është konfiguruar për të përjashtuar pjesën tjetër të VLAN-ve nga ato porta, nuk është përcaktuar asnjë ndërfaqe e Shtresës 3 për atë VLAN, dhe nuk reklamohet në asnjë ruter.

Përveç kësaj, rekomandohet që DTP të çaktivizohet në portat e aksesit të të gjithë switch-ave me port switch-i pa negociatanë mënyrë që ato të mos përpiqen kurrë të bëhen automatikisht linja kryesore përmes negociatave me fqinjin.

VLAN-e për zë, të dhëna dhe pajisje të veçanta

Në rrjetet ku ka Telefonia IP dhe trafiku zanorPraktika standarde është ndarja e trafikut zanor në një VLAN specifik, të dallueshëm nga ai i PC-ve. Kjo për dy arsye: kërkesat për cilësinë e shërbimit dhe siguria.

Trafiku zanor është shumë i ndjeshëm ndaj vonesës, luhatjes së shpejtësisë dhe humbjes së paketave. Nëse përzihet në mënyrë të pakontrollueshme me shkarkime të rënda, transmetim video ose kopje rezervë, thirrjet përkeqësohen me shpejtësi. Ndarja e zërit në VLAN-in tuaj ju lejon të bëni pikërisht këtë. prioritizojeni atë me QoS. Jepini përparësi QoS. dhe të zbatojnë politika më të sakta.

Për më tepër, telefonat IP zakonisht kanë aftësitë e tyre të etiketimit VLAN (802.1Q): ato janë të lidhura me PC-në, porta për në rrjet vepron si një trunk (zë i etiketuar, të dhëna të paetiketuara) dhe porta për në PC vepron si porta e aksesit. Kjo kërkon konfigurime portash pak më të imëta për të shmangur lënien e boshllëqeve të sigurisë.

Është gjithashtu një ide e mirë të ndash [të paqartat] në VLAN specifike. Pajisje IoT, automatizim shtëpiak, kamera IP, televizorë, priza inteligjenteetj. Këto janë pajisje që shpesh kanë një nivel të dobët sigurie dhe firmware të mirëmbajtur dobët, dhe është e këshillueshme që ato të mos jenë në të njëjtin rrjet logjik me PC-të e menaxhimit ose serverët kritikë.

Në botën e WiFi-t, shumica e pikave profesionale të aksesit ju lejojnë të lidheni një SSID për secilin VLANNë këtë mënyrë, segmentimi i rrjetit me tela shtrihet në rrjetin pa tel: VLAN i menaxhimit, VLAN i korporatës, VLAN i IoT, VLAN i mysafirëve, secili me SSID-in dhe rregullat e veta.

Rrugëzimi midis VLAN-ve, ACL-ve dhe firewall-eve

Nga dizajni, VLAN-et Ata nuk e "shohin" njëri-tjetrin në nivelin 2Nëse dëshironi që pajisjet në VLAN të ndryshme të komunikojnë, duhet të kaloni në Shtresën 3: rrugëzimin ndër-VLAN. Kjo zakonisht bëhet në një router, firewall ose switch të Shtresës 3.

Ekzistojnë dy modele kryesore. I pari është përdorimi i një ruter ose firewall me mbështetje 802.1Q i lidhur me një trunk switch-i. Routeri krijon nën-ndërfaqe (një për VLAN), u cakton atyre IP-të dhe vepron si një portë hyrëse. firewallPër më tepër, zbaton rregulla të hollësishme se kush mund të flasë me kë.

Modeli i dytë është të përdoret një Ndërprerës i menaxhuar i shtresës 3 në shtresën e shpërndarjes ose atë bazë. Ndërfaqet VLAN (SVI) krijohen në të, duke vepruar si porta hyrëse për secilin nënrrjet. Vetë switch-i trajton rrugëzimin e brendshëm dhe ACL-të përkatëse, duke shkarkuar punën nga routeri skajor.

Në të dyja rastet, është thelbësore që ky rrugëtim të shoqërohet me listat e kontrollit të aksesit (ACL) ose rregullat e firewall-it I rreptë. Ekzistenca e një rruge IP midis VLAN-ve nuk do të thotë që i gjithë trafiku duhet të lejohet. Filtrimi duhet të bëhet bazuar në burimin, destinacionin, portet, protokollet dhe drejtimin e lidhjeve.

Një shembull tipik: VLAN-i mysafir mund të hyjë vetëm në internet, VLAN-i IoT mund të komunikojë vetëm me servera specifikë (siç janë NTP, syslog ose një ndërmjetës MQTT), VLAN-i student nuk mund të hyjë në VLAN-in e menaxhimit, VLAN-i rezervë fillon vetëm lidhjet me serverin rezervë, etj.

Protokollet e menaxhimit të VLAN: VTP dhe kompania

Në rrjete të mëdha me shumë ndërprerës, krijimi manual i VLAN-ve në secilën pajisje është jopraktik dhe i prirur ndaj gabimeve. Kjo është arsyeja pse protokollet si VTP (Protokolli i Trunkimit VLAN) në botën e Cisco-s, të cilat lejojnë shpërndarjen e centralizuar të listës VLAN.

VTP përcakton tre mënyra funksionimi në një ndërprerës: server, klient dhe transparentServerët mund të krijojnë, riemërtojnë ose fshijnë VLAN-e dhe t'ua dërgojnë këtë informacion klientëve brenda të njëjtit domen. Klientët marrin dhe zbatojnë ndryshimet, por nuk i modifikojnë ato. Serverët transparentë nuk e përpunojnë bazën e të dhënave VLAN; ata vetëm e transmetojnë informacionin.

Këto lloje protokollesh e thjeshtojnë shumë jetën, por kanë edhe të metat e tyre: një gabim në një switch serveri, një fjalëkalim VTP i menaxhuar dobët ose një switch i vjetër i rikthyer në rrjet me një bazë të dhënash të vjetëruar mund të shkaktojë probleme. për të shkatërruar plotësisht konfigurimin e VLAN-it në të gjithë organizatën.

Prandaj, në shumë dizajne aktuale, preferohet modaliteti VTP. i tejdukshëm ose thjesht mos e përdorni, duke menaxhuar VLAN-et me mjete të automatizim (Ansible, shabllone, kontrollues të centralizuar, etj.) ose me një dizajn më statik dhe të kontrolluar.

Siguri e përparuar: VACL, PVLAN dhe zbutja e sulmeve

Ndërsa rrjeti rritet dhe kritikaliteti rritet, VLAN-et vetë nuk ia dalin mbanë. Për të kontrolluar trafikun në mënyrë më të detajuar brenda një VLAN-i, mund të përdoren metoda të tjera. VACL (hartat VLAN ACL ose VLAN)të cilat lejojnë filtrimin ose ridrejtimin e trafikut në nivelin VLAN, jo vetëm në ndërfaqe specifike.

VACL-të konfigurohen duke përcaktuar Hartat e aksesit VLAN Ato përdorin lista qasjeje IP ose MAC dhe specifikojnë se çfarë të bëjnë me trafikun që përputhet: ta lejojnë të kalojë, ta bllokojnë, ta dërgojnë në një port monitorimi, ta ridrejtojnë… Pastaj ato aplikohen globalisht në një ose më shumë VLAN në switch.

Për rastet kur dëshironi të izoloni hostet brenda të njëjtit nënrrjet, ekzistojnë VLAN-e private (PVLAN)Fillon me një VLAN primar, i cili zakonisht është vendi ku ndodhet porta hyrëse, dhe krijon VLAN sekondarë të shoqëruar të dy llojeve: të izoluar dhe të komunitetit.

VLAN-e dytësore të tipit i izoluar Ato lejojnë që çdo host të shohë vetëm portën hyrëse, por jo hostet e tjera, edhe nëse janë në të njëjtin VLAN sekondar të izoluar. Këto janë të tipit Komuniteti Ato lejojnë që një grup hostësh të shohin njëri-tjetrin dhe portën hyrëse, por jo grupet e tjera në të njëjtën primare.

Lidhur me sulmet specifike, përveç asaj që është thënë tashmë për VLAN 1 dhe DTP, është thelbësore të zbutet Kalimi i VLAN-it me anë të etiketimit të dyfishtëPër ta bërë këtë, rekomandohet të ndryshoni VLAN-in nativ në një VLAN që nuk përdoret me hostet, ta hiqni atë VLAN nativ nga trunk-et nëse është e mundur, të çaktivizoni DTP-në, të përcaktoni në mënyrë të qartë portet si akses ose trunk dhe të përdorni komanda në mënyrë që VLAN-i nativ të udhëtojë gjithmonë i etiketuar, duke hedhur poshtë trafikun e paetiketuar.

Diagnostikimi dhe mirëmbajtja e rrjeteve me VLAN

Ngritja e një rrjeti me VLAN është vetëm gjysma e punës; gjysma tjetër është mirëmbajeni atë dhe debugoni incidentet Pa u çmendur. Problemet tipike të lidhjes VLAN zakonisht kanë shkaqe mjaft të zakonshme. Për udhëzues dhe procedura praktike, konsultohuni me burimet në diagnostikimi i problemeve të rrjetit.

Nga njëra anë, ka gabime fizike: kabllot lëvizin nga një port në tjetrin pa përditësuar dokumentacionin, portat e konfiguruara si akses aty ku duhet të jetë një trunk, ose anasjelltas, lidhje të tepërta të përcaktuara dobët që përfundojnë në sythe nëse STP nuk është akorduar siç duhet.

Nga ana tjetër, ka dështime logjike: VLAN-et e krijuara në disa switch-a por jo në të tjerët, listat e lejuara të VLAN-it në trunket e konfiguruara gabimishtDiapazonet DHCP që nuk përputhen me maskat ose portat e kontrollit të vendosura gabimisht në pajisjet fundore.

Mjetet kryesore për diagnostikim janë komandat e zakonshme: shfaq vlan, shfaq ndërfaqet trunk, shfaq pemën-që shtrihet, shfaq shkurtimisht ndërfaqen ip, ping, tracerouteetj. Kombinimi i tyre me kapjet e trafikut në porte specifike dhe një sistem të mirë monitorimi ndihmon shumë.

Gjithashtu, këshillohet që të rishikohen periodikisht ACL-të, rregullat e firewall-it, PVLAN-të, VACL-të dhe konfigurimi i menaxhimit për t'u siguruar që nuk ka mbetur asnjë boshllëk i hapur pas ndryshimeve, zgjerimeve ose migrimeve të projektit.

Dokumentacioni i qartë (skemat VLAN, diapazoni IP, caktimi i portave, përshkrimi i politikave të aksesit ndër-VLAN) dhe regjistrimi rigoroz i ndryshimeve janë pothuajse po aq të rëndësishme sa vetë komandat e konfigurimit.

Me segmentim të menduar mirë, VLAN të etiketuar siç duhet, menaxhim të kujdesshëm të VLAN-ve vendas, rrugëzim ndër-VLAN të mbrojtur me ACL dhe praktika të qëndrueshme të mirëmbajtjes, një rrjet ndërmarrjesh mund të arrijë një hap të konsiderueshëm në performancë. siguria, performanca dhe kontrolli pa pasur nevojë të rindërtohet e gjithë infrastruktura fizike.