การกำหนดค่า VLAN และความปลอดภัยของเครือข่าย: คู่มือฉบับสมบูรณ์

อินฟอร์เมเทค ดิจิตอล » Recursos » การกำหนดค่า VLAN และความปลอดภัยของเครือข่าย: คู่มือฉบับสมบูรณ์

หากคุณดูแลเครือข่ายขององค์กร คุณจะรู้ว่าการทำให้เครือข่ายทำงานได้อย่างมีประสิทธิภาพนั้นยากแค่ไหน ทุกอย่างทำงานได้อย่างรวดเร็วและปลอดภัย ในขณะเดียวกัน มันก็ไม่ใช่เรื่องง่ายเลย เมื่อทีม บริการ และแอปพลิเคชันเติบโตขึ้น การกระจายสัญญาณ ปัญหาคอขวด และปัญหาด้านความปลอดภัยก็จะเริ่มปรากฏขึ้นทุกที่

หนึ่งในเครื่องมือที่มีประสิทธิภาพที่สุดในการจัดระเบียบความวุ่นวายนั้นคือ... VLAN (แลนเสมือน)หากได้รับการออกแบบและกำหนดค่าอย่างดี ระบบเหล่านี้จะช่วยให้คุณแบ่งส่วนเครือข่าย ลดปริมาณการรับส่งข้อมูลที่ไม่จำเป็น แยกแผนกต่างๆ และปกป้องบริการที่สำคัญ... แต่หากวางแผนไม่ดี ระบบเหล่านี้อาจกลายเป็นช่องโหว่ด้านความปลอดภัยหรือฝันร้ายด้านการบริหารจัดการได้

VLAN คืออะไรกันแน่ และทำไมจึงมีความสำคัญต่อความปลอดภัย?

โดยพื้นฐานแล้ว VLAN คือ... เครือข่ายตรรกะอิสระ อุปกรณ์เหล่านั้นอยู่บนโครงสร้างพื้นฐานทางกายภาพเดียวกัน เช่น สวิตช์เดียวกัน สายเคเบิลเดียวกัน และจุดเชื่อมต่อ Wi-Fi เดียวกัน ในระดับตรรกะ อุปกรณ์ใน VLAN จะทำงานราวกับว่าอยู่บน LAN ที่แยกต่างหาก แม้ว่าจะกระจายอยู่ตามชั้นหรืออาคารต่างๆ ก็ตาม

สิ่งนี้ช่วยให้กลุ่มของพีซี เซิร์ฟเวอร์ โทรศัพท์ IP เครื่องพิมพ์ หรือกล้อง IP สามารถรวมตัวกันได้ โดเมนการออกอากาศของตนเองแยกออกจากกลุ่มอื่นๆ แพ็กเก็ตบรอดแคสต์และมัลติแคสต์จะยังคงอยู่ใน VLAN ของตนเองแทนที่จะกระจายไปทั่วทั้งเครือข่าย ซึ่งจะช่วยเพิ่มประสิทธิภาพและทำให้ควบคุมได้ง่ายขึ้นว่าใครสามารถเห็นใครได้บ้าง

ในสภาพแวดล้อมทางธุรกิจ การสร้าง VLAN สำหรับ... เป็นเรื่องปกติ แผนกต่างๆ (บัญชี วิศวกรรม การตลาด)เพื่อแยกการรับส่งข้อมูลสำหรับการจัดการ เสียง แขก อุปกรณ์ IoT หรือแม้แต่ VLAN สำรองโดยเฉพาะ แต่ละส่วนมีกฎการกำหนดเส้นทาง ความปลอดภัย และคุณภาพการบริการเป็นของตนเอง

นอกจากนี้ VLAN ยังเป็นองค์ประกอบสำคัญในกลยุทธ์ต่างๆ สำหรับ การแบ่งส่วนและการไว้วางใจเป็นศูนย์ปัจจุบันเครือข่ายไม่ได้ถูกมองว่า "เชื่อถือได้อย่างสมบูรณ์" อีกต่อไปแล้ว และช่องโหว่ด้านความปลอดภัยกำลังถูกกำหนดขึ้น ความล้มเหลวหรือการติดไวรัสใน VLAN หนึ่งไม่ควรทำให้ทั้งองค์กรล่มสลายในลักษณะลูกโซ่

แนวคิดพื้นฐาน: พอร์ตเข้าถึง, ทรังก์ และ VLAN ดั้งเดิม

เพื่อให้เข้าใจการกำหนดค่าและการรักษาความปลอดภัยของ VLAN อย่างถ่องแท้ มีแนวคิดหลักสามประการที่ต้องเข้าใจอย่างชัดเจน: พอร์ตเข้าถึง, พอร์ตทรังก์ และ VLAN ดั้งเดิมหากคุณเข้าใจแนวคิดทั้งสามนี้อย่างถ่องแท้ ทุกอย่างก็จะเข้าที่เข้าทางได้ดียิ่งขึ้น

Un พอร์ตการเข้าถึง พอร์ตสวิตช์นี้ทำหน้าที่ส่งต่อข้อมูลจาก VLAN เดียวไปยังอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์ เครื่องพิมพ์ กล้อง IP โทรศัพท์ เป็นต้น ข้อมูลจะไหลจากสวิตช์ไปยังอุปกรณ์นั้น ไม่มีฉลาก 802.1Q (ไม่มีแท็ก) ภายในตัวสวิตช์เองนั้น สวิตช์รู้ว่าตัวเองอยู่ใน VLAN ใด แต่ตัวอุปกรณ์มองไม่เห็นแท็ก

Un พอร์ตหลัก เป็นตัวเชื่อมต่อระหว่างอุปกรณ์เครือข่าย (สวิตช์กับสวิตช์, สวิตช์กับเราเตอร์, สวิตช์กับ AP) ซึ่งเป็นเส้นทางที่ข้อมูลเดินทางผ่าน หลาย VLAN พร้อมกันในกรณีนี้ เฟรมจะมีแท็ก 802.1Q ที่ระบุว่าเฟรมนั้นเป็นของ VLAN ใด ซึ่งทำให้สามารถขยาย VLAN ไปทั่วทั้งโทโพโลยี และสามารถกำหนดเส้นทางเครือข่ายเชิงตรรกะหลายเครือข่ายผ่านลิงก์ทางกายภาพเดียวกันได้

La VLAN ดั้งเดิม นี่คือ VLAN ที่ใช้สำหรับทราฟฟิกที่ไม่มีแท็กบนลิงก์ 802.1Q ทุกเฟรมที่เข้าสู่พอร์ต Trunk โดยไม่มีแท็กจะถูกกำหนดให้กับ VLAN ดั้งเดิมนี้ โดยค่าเริ่มต้น ในอุปกรณ์หลายๆ เครื่องจะเป็น VLAN 1 และนี่คือจุดเริ่มต้นของปัญหาด้านความปลอดภัยหากไม่ได้เปลี่ยนการกำหนดค่านี้

สถาปัตยกรรมและการออกแบบเครือข่ายด้วย VLAN

ในเครือข่ายขนาดกลางและขนาดใหญ่ มักใช้ เป็นเรื่องปกติ โครงสร้างสามชั้นชั้นแกนหลัก ชั้นกระจาย และชั้นเข้าถึง แต่ละชั้นมีบทบาท และวิธีการที่ชั้นเหล่านี้ทำงานร่วมกับ VLAN นั้นมีความสำคัญในทางปฏิบัติอย่างมาก

ชั้นการเข้าถึงประกอบด้วยสวิตช์ที่ พวกเขาเชื่อมต่อผู้ใช้โดยตรง และอุปกรณ์ปลายทาง อุปกรณ์เหล่านี้มีพอร์ตเชื่อมต่อมากที่สุด และเป็นที่ที่กำหนด VLAN สำหรับผู้ใช้ เสียง IoT และอื่นๆ ส่วนใหญ่ นี่คือจุดที่การจัดสรรพอร์ตและการรักษาความปลอดภัยทางกายภาพที่ดี (เพื่อให้แน่ใจว่าไม่มีใครสามารถเสียบสายเคเบิลได้โดยพลการ) จำเป็นต้องได้รับความสนใจมากที่สุด

ชั้นการกระจายประกอบด้วยสวิตช์ที่ อุปกรณ์เหล่านี้รวบรวมปริมาณการรับส่งข้อมูลจากสวิตช์เข้าถึงหลายตัวโดยปกติแล้ว จุดนี้จะเป็นจุดที่มีการกำหนดเส้นทางระหว่าง VLAN ต่างๆ มีการใช้งาน ACL ที่ละเอียดขึ้น มีการยุติการเชื่อมต่อไฟเบอร์ มีการเพิ่มการเชื่อมต่อ (EtherChannel) และมีการใช้งานนโยบายขั้นสูงเพิ่มเติม (QoS, การควบคุมพายุ ฯลฯ)

ชั้นแกนกลางประกอบด้วยลิงก์กระจายสัญญาณและเกตเวย์ไปยังอินเทอร์เน็ตหรือเครือข่ายภายนอก ในเครือข่ายขนาดใหญ่มาก มักจะมีลักษณะดังนี้ แกนประมวลผลหลักมีหน้าที่รับผิดชอบในการสลับสัญญาณความเร็วสูงแต่เพียงผู้เดียวโดยมีฟังก์ชันเพิ่มเติมเพียงเล็กน้อย เพื่อลดความล่าช้าและความซับซ้อน

ในการออกแบบเครือข่ายที่มี VLAN ควรเริ่มต้นด้วยการกำหนด VLAN ก่อน กลุ่มตรรกะใดบ้างที่จำเป็น (โดยพิจารณาจากฟังก์ชัน ความสำคัญ ระดับความน่าเชื่อถือ ฯลฯ) แล้วนำไปใส่ในโครงสร้าง IP ที่วางแผนไว้อย่างดี (ซับเน็ต มาสก์ VLSM ช่วง IP แบบไดนามิกและแบบคงที่) และจัดสรรพอร์ตบนสวิตช์แต่ละตัวอย่างชัดเจน

ประเภทของ VLAN และการใช้งานทั่วไป

มาตรฐานที่แพร่หลายที่สุดสำหรับการติดฉลากเฟรมในข้อต่อท่อหลักคือ อีอีอี 802.1Qฟังก์ชันนี้จะเพิ่มข้อมูล 4 ไบต์ลงในส่วนหัวของอีเธอร์เน็ต โดยระบุรหัส VLAN และฟิลด์อื่นๆ เพื่อให้สวิตช์ทราบได้อย่างแน่ชัดว่าแต่ละเฟรมเป็นของ VLAN ใด โดยไม่ต้องห่อหุ้มเฟรมทั้งหมด

เมื่อกำหนดค่า VLAN ด้วยมาตรฐาน 802.1Q บนสวิตช์ แต่ละพอร์ตสามารถทำเครื่องหมายได้ดังนี้ ติดแท็กหรือไม่ติดแท็ก สำหรับ VLAN เฉพาะเจาะจง พอร์ตหนึ่งสามารถถูกติดแท็กในหลาย VLAN (โดยทั่วไปจะเป็นพอร์ต Trunk) แต่จะไม่ติดแท็กได้เพียง VLAN เดียวเท่านั้น (ซึ่งเป็น VLAN ที่อุปกรณ์ปลายทางจะมองเห็นหากเป็นพอร์ต Access)

นอกเหนือจาก VLAN "ปกติ" ที่อิงตามมาตรฐาน 802.1Q แล้ว ยังมีรูปแบบอื่นๆ ที่ใช้กันอย่างแพร่หลายในสภาพแวดล้อมขององค์กร: VLAN แบบพอร์ต, VLAN แบบ MAC, VLAN สำหรับการจัดการ, VLAN สำหรับการควบคุม, VLAN ดั้งเดิมแบบกำหนดเอง, VLAN แบบไฮบริด หรือแม้แต่ VXLAN ในศูนย์ข้อมูลและสภาพแวดล้อมคลาวด์ที่ต้องการเครือข่ายเชิงตรรกะหลายล้านเครือข่าย จึงควรพิจารณาเทคโนโลยีต่างๆ เช่น 802.1X และ VLAN แบบไดนามิก เพื่อการจัดสรรและการรักษาความปลอดภัยขั้นสูง

La การจัดการ VLAN VLAN นี้ใช้สำหรับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบไปยังสวิตช์ เราเตอร์ จุดเชื่อมต่อ ไฟร์วอลล์ และระบบตรวจสอบเท่านั้น โดยทั่วไปจะมีซับเน็ต IP ของตัวเองและ ACL ที่เข้มงวดเพื่อควบคุมว่าใครสามารถเข้าถึงได้ การจัดการอุปกรณ์จาก VLAN เดียวกันกับผู้ใช้เป็นความคิดที่ไม่ดีอย่างยิ่ง

การโทร VLAN ควบคุม ส่วนนี้ใช้สำหรับจัดการทราฟฟิกโปรโตคอลเครือข่ายภายในโดยเฉพาะ เช่น STP, โปรโตคอลการกำหนดเส้นทาง, CDP, LLDP, VTP เป็นต้น การแยกทราฟฟิกนี้ออกจากทราฟฟิกข้อมูลหรือทราฟฟิกการจัดการจะช่วยลดสัญญาณรบกวน ปรับปรุงเสถียรภาพ และช่วยให้สามารถใช้มาตรการรักษาความปลอดภัยเฉพาะได้

VLAN 1, Native VLAN และเหตุใดจึงเป็นปัญหาด้านความปลอดภัย

โดยทั่วไปแล้ว VLAN 1 จะถูกตั้งค่าไว้ล่วงหน้าในสวิตช์ส่วนใหญ่ เป็น VLAN พื้นฐานและดั้งเดิม บนพอร์ตทั้งหมด ซึ่งหมายความว่า หากไม่มีการเปลี่ยนแปลงใดๆ ทราฟฟิกที่ไม่มีแท็กทั้งหมดที่เข้ามาใน Trunk จะถูกจัดไว้ใน VLAN 1 และพอร์ตทั้งหมดจะเป็นส่วนหนึ่งของ VLAN 1 นั้น

ปัญหาคือแฮกเกอร์ที่มีความรู้ความชำนาญระดับปานกลางก็รู้เรื่องนี้ดี VLAN 1 เป็นหนึ่งในเป้าหมายหลักของการโจมตี การโจมตีแบบ VLAN hoppingรวมถึงการปลอมแปลงสวิตช์และสิ่งประดิษฐ์อื่นๆ ที่ใช้ประโยชน์จากการกำหนดค่าเริ่มต้นเพื่อแทรกซึมเข้าไปใน VLAN อื่นๆ

ตัวอย่างเช่น ในการโจมตีแบบปลอมแปลงสวิตช์ ผู้โจมตีจะเชื่อมต่ออุปกรณ์ของตนเข้ากับพอร์ตที่ DTP ทำงานในโหมดไดนามิก และ เจรจาการเชื่อมต่อสายส่ง ด้วยสวิตช์ดังกล่าว ทำให้สามารถเข้าถึง VLAN หลายตัวที่ไม่ควรเข้าถึงโฮสต์ได้เลย

ในการโจมตีแบบติดแท็กสองชั้น จะมีการผสมแท็ก 802.1Q สองแท็กไว้ในเฟรมเดียวกัน โดยใช้ประโยชน์จากข้อเท็จจริงที่ว่า VLAN ดั้งเดิมเดินทางโดยไม่มีแท็ก เพื่อพยายามกระโดดจาก VLAN หนึ่งไปยังอีก VLAN หนึ่งผ่านทางพอร์ตเชื่อมต่อที่ไม่ปลอดภัย

ดังนั้น ข้อแนะนำด้านความปลอดภัยในปัจจุบันจึงชัดเจน: ห้ามใช้ VLAN 1 สำหรับผู้ใช้อย่าปล่อยให้มันเป็น VLAN ดั้งเดิมบนพอร์ต Trunk อย่ากำหนดที่อยู่ IP สำหรับการจัดการให้ และถ้าเป็นไปได้ ให้แยกหรือกรองข้อมูลเพื่อให้มันไม่รับส่งข้อมูลสำหรับการใช้งานจริง

แนวปฏิบัติที่ดีที่สุดสำหรับการออกแบบและการจัดสรรท่าเรือ

หนึ่งในข้อตัดสินใจที่สำคัญเมื่อกำหนดค่า VLAN คือ พอร์ตสวิตช์ถูกกำหนดอย่างไร สำหรับแต่ละ VLAN และสิ่งที่ควรทำกับพอร์ตที่ไม่ได้ใช้งาน ดูเหมือนจะเป็นเรื่องเล็กน้อย แต่ทั้งประสิทธิภาพและความปลอดภัยขึ้นอยู่กับเรื่องนี้

การเปิดพอร์ตเชื่อมต่อไว้เสมอถือเป็นความคิดที่ดี VLAN เดียวที่ไม่มีแท็ก (ของผู้ใช้หรืออุปกรณ์นั้น) และทำเครื่องหมายส่วนที่เหลือเป็นยกเว้น การทำเช่นนี้จะป้องกันไม่ให้อินเทอร์เฟซ "มองเห็น" VLAN ที่ไม่ใช่ของตนเอง แม้ว่าจะมีคนเปลี่ยนการตั้งค่าโดยไม่ได้ตั้งใจก็ตาม

ในการเชื่อมต่อแบบ Trunk แนะนำให้กำหนดค่าอย่างชัดเจน อนุญาตให้ใช้ VLAN ใดบ้าง (เช่น switchport trunk allowed vlan 10, 20, 99) แทนที่จะส่งผ่าน VLAN ทั้งหมดในเครือข่าย แต่ละ trunk ควรส่งผ่านเฉพาะ VLAN ที่จำเป็นจริงๆ เท่านั้น

สำหรับพอร์ตที่ไม่ได้ใช้งาน วิธีปฏิบัติที่ปลอดภัยที่สุดคือ ปิดเครื่อง (หยุดการทำงาน)กำหนดให้เครื่องเหล่านั้นอยู่ใน VLAN "หลุมดำ" ที่ไม่มีเกตเวย์หรือ DHCP และตรวจสอบให้แน่ใจว่าไม่ได้ทำเครื่องหมายว่าเป็น Trunk หรือเปิดใช้งาน DTP ไว้ วิธีนี้จะช่วยป้องกันไม่ให้ใครบางคนเชื่อมต่ออุปกรณ์แล้วปรากฏบนเครือข่ายใช้งานจริงได้โดยไม่คาดคิด

ในสภาพแวดล้อมที่มีพอร์ตจำนวนมาก ควรจัดทำเอกสารอย่างละเอียด สิ่งที่เสียบเข้ากับอินเทอร์เฟซแต่ละตัวติดป้ายกำกับสายเคเบิลและอัปเดตแผนภาพของคุณให้เป็นปัจจุบันอยู่เสมอ ปัญหาการเชื่อมต่อ VLAN หลายอย่างเกิดจากการเคลื่อนย้ายสายเคเบิลโดยไม่มีเอกสารประกอบที่อัปเดตแล้ว คู่มือการเดินสายไฟ มันช่วยให้หลีกเลี่ยงข้อผิดพลาดได้

VLAN "ที่ไม่ใช่ทางออก" และพอร์ตที่ไม่ได้ใช้งาน

เทคนิคที่เรียบง่ายและมีประสิทธิภาพมากในการปกป้องท่าเรือเสรี คือการสร้าง VLAN “ไม่มีทางออก”กล่าวคือ VLAN ที่ไม่มี DHCP ไม่มีระบบกำหนดเส้นทาง และไม่มีบริการใดๆ โดยจะนำพอร์ตเชื่อมต่อทั้งหมดที่ไม่ได้ใช้งานไปไว้ใน VLAN นั้น

แนวคิดก็คือ แม้ว่าจะมีคนเชื่อมต่ออุปกรณ์เข้ากับพอร์ตเหล่านั้น อุปกรณ์นั้นก็จะไม่ได้รับที่อยู่ IP จะไม่มีเกตเวย์ จะไม่สามารถเข้าถึงอุปกรณ์อื่นได้ และการรับส่งข้อมูลของมันจะยังคงถูกแยกออกจากกันโดยสิ้นเชิง มันเป็นเหมือนภาวะที่เครือข่ายหยุดนิ่ง

ในหลายสภาพแวดล้อมจะใช้รหัสประจำตัวที่สามารถจดจำได้ เช่น VLAN 777, 999 หรือ 4094เพื่อจุดประสงค์นี้ สวิตช์จึงถูกกำหนดค่าให้ยกเว้น VLAN อื่นๆ ออกจากพอร์ตเหล่านั้น ไม่มีการกำหนดอินเทอร์เฟซเลเยอร์ 3 สำหรับ VLAN นั้น และไม่ได้ประกาศ VLAN นั้นบนเราเตอร์ใดๆ

นอกจากนี้ ขอแนะนำให้ปิดใช้งาน DTP บนพอร์ตเข้าถึงของสวิตช์ทั้งหมดที่มี สวิตช์พอร์ตไม่เจรจาต่อรองเพื่อป้องกันไม่ให้พวกเขาพยายามเปลี่ยนสถานะเป็นสายส่งหลักโดยอัตโนมัติผ่านการเจรจากับเพื่อนบ้าน

VLAN สำหรับอุปกรณ์เสียง ข้อมูล และอุปกรณ์พิเศษ

ในเครือข่ายที่มีอยู่ โทรศัพท์ผ่านอินเทอร์เน็ตและการรับส่งข้อมูลเสียงตามหลักปฏิบัติมาตรฐานแล้ว การรับส่งข้อมูลเสียงจะถูกแยกไว้ใน VLAN เฉพาะ ซึ่งต่างจาก VLAN ของเครื่องพีซี เหตุผลมีสองประการคือ ข้อกำหนดด้านคุณภาพการบริการและความปลอดภัย

การรับส่งข้อมูลเสียงมีความอ่อนไหวต่อความหน่วงแฝง ความผันผวนของเวลา และการสูญหายของแพ็กเก็ตเป็นอย่างมาก หากมีการผสมผสานกับการดาวน์โหลดขนาดใหญ่ การสตรีมวิดีโอ หรือการสำรองข้อมูลโดยไม่สามารถควบคุมได้ คุณภาพการโทรจะลดลงอย่างรวดเร็ว การแยกเสียงไว้ใน VLAN จะช่วยให้คุณทำเช่นนั้นได้ จัดลำดับความสำคัญด้วย QoS และนำนโยบายที่ชัดเจนยิ่งขึ้นมาใช้

นอกจากนี้ โทรศัพท์ IP โดยทั่วไปจะมีคุณสมบัติการติดแท็ก VLAN ของตัวเอง (802.1Q): โดยจะเชื่อมต่อแบบเรียงลำดับกับพีซี พอร์ตที่เชื่อมต่อกับเครือข่ายจะทำหน้าที่เป็นพอร์ตหลัก (เสียงติดแท็ก ข้อมูลไม่ติดแท็ก) และพอร์ตที่เชื่อมต่อกับพีซีจะทำหน้าที่เป็นพอร์ตเข้าถึง ซึ่งจำเป็นต้องมี การกำหนดค่าพอร์ตที่ละเอียดขึ้นเล็กน้อย เพื่อหลีกเลี่ยงการปล่อยให้มีช่องโหว่ด้านความปลอดภัย

นอกจากนี้ การแยก [ไม่ชัดเจน] ออกเป็น VLAN เฉพาะก็เป็นความคิดที่ดีเช่นกัน อุปกรณ์ IoT, ระบบบ้านอัจฉริยะ, กล้อง IP, โทรทัศน์, ปลั๊กไฟอัจฉริยะเป็นต้น อุปกรณ์เหล่านี้มักมีระดับความปลอดภัยต่ำและเฟิร์มแวร์ที่ดูแลรักษาไม่ดี และขอแนะนำว่าไม่ควรวางไว้ในเครือข่ายเดียวกันกับพีซีสำหรับบริหารจัดการหรือเซิร์ฟเวอร์ที่สำคัญ

ในโลกของ WiFi จุดเชื่อมต่อระดับมืออาชีพส่วนใหญ่จะอนุญาตให้คุณเชื่อมต่อได้ หนึ่ง SSID สำหรับแต่ละ VLANด้วยวิธีนี้ การแบ่งส่วนของเครือข่ายแบบใช้สายจึงขยายไปถึงเครือข่ายไร้สายด้วย ได้แก่ VLAN สำหรับการจัดการ, VLAN สำหรับองค์กร, VLAN สำหรับ IoT, VLAN สำหรับแขก โดยแต่ละ VLAN จะมี SSID และกฎเกณฑ์ของตนเอง

การกำหนดเส้นทางระหว่าง VLAN, ACL และไฟร์วอลล์

ตามการออกแบบแล้ว VLAN พวกเขาไม่ "มองเห็น" กันที่ชั้น 2หากคุณต้องการให้อุปกรณ์ใน VLAN ที่แตกต่างกันสามารถสื่อสารกันได้ คุณต้องใช้เลเยอร์ 3: การกำหนดเส้นทางระหว่าง VLAN ซึ่งโดยทั่วไปจะทำได้บนเราเตอร์ ไฟร์วอลล์ หรือสวิตช์เลเยอร์ 3

มีรูปแบบหลักสองแบบ แบบแรกคือการใช้ เราเตอร์หรือไฟร์วอลล์ที่รองรับ 802.1Q เชื่อมต่อกับสวิตช์ Trunk เราเตอร์จะสร้างซับอินเทอร์เฟซ (หนึ่งซับอินเทอร์เฟซต่อ VLAN) กำหนด IP ให้กับซับอินเทอร์เฟซเหล่านั้น และทำหน้าที่เป็นเกตเวย์ ไฟร์วอลล์นอกจากนี้ ยังมีกฎเกณฑ์ที่ละเอียดถี่ถ้วนเกี่ยวกับว่าใครสามารถพูดคุยกับใครได้บ้าง

รูปแบบที่สองคือการใช้ สวิตช์จัดการเลเยอร์ 3 ในระดับการกระจายหรือระดับแกนหลัก อินเทอร์เฟซ VLAN (SVI) จะถูกสร้างขึ้นบนสวิตช์นี้ โดยทำหน้าที่เป็นเกตเวย์สำหรับแต่ละซับเน็ต สวิตช์จะจัดการการกำหนดเส้นทางภายในและ ACL ที่เกี่ยวข้องเอง ซึ่งช่วยลดภาระงานจากเราเตอร์ขอบเครือข่าย

ในทั้งสองกรณี จำเป็นอย่างยิ่งที่จะต้องแนบเส้นทางการกำหนดเส้นทางนี้ไปด้วย รายการควบคุมการเข้าถึง (ACL) หรือกฎไฟร์วอลล์ เข้มงวด. การมีเส้นทาง IP ระหว่าง VLAN ไม่ได้หมายความว่าต้องอนุญาตให้มีการรับส่งข้อมูลทั้งหมด การกรองจะต้องทำโดยพิจารณาจากแหล่งที่มา ปลายทาง พอร์ต โปรโตคอล และทิศทางการเชื่อมต่อ

ตัวอย่างทั่วไป: VLAN สำหรับแขกสามารถเข้าถึงได้เฉพาะอินเทอร์เน็ตเท่านั้น, VLAN สำหรับอุปกรณ์ IoT สามารถสื่อสารกับเซิร์ฟเวอร์เฉพาะ (เช่น NTP, syslog หรือ MQTT broker) เท่านั้น, VLAN สำหรับนักเรียนไม่สามารถเข้าถึง VLAN สำหรับการจัดการได้, VLAN สำหรับสำรองข้อมูลสามารถเริ่มต้นการเชื่อมต่อกับเซิร์ฟเวอร์สำรองข้อมูลเท่านั้น เป็นต้น

โปรโตคอลการจัดการ VLAN: VTP และโปรโตคอลของบริษัท

ในเครือข่ายขนาดใหญ่ที่มีสวิตช์จำนวนมาก การสร้าง VLAN ด้วยตนเองบนแต่ละอุปกรณ์นั้นไม่สะดวกและมีโอกาสเกิดข้อผิดพลาดสูง นั่นคือเหตุผลที่ต้องใช้โปรโตคอลต่างๆ เช่น VTP (โปรโตคอลการเชื่อมต่อ VLAN) ในโลกของซิสโก้ ซึ่งช่วยให้สามารถกระจายรายการ VLAN จากส่วนกลางได้

VTP กำหนดโหมดการทำงานสามโหมดในสวิตช์: เซิร์ฟเวอร์ ไคลเอ็นต์ และโปร่งใสเซิร์ฟเวอร์สามารถสร้าง เปลี่ยนชื่อ หรือลบ VLAN และส่งข้อมูลนั้นไปยังไคลเอนต์ภายในโดเมนเดียวกัน ไคลเอนต์จะได้รับและนำการเปลี่ยนแปลงไปใช้ แต่จะไม่แก้ไขการเปลี่ยนแปลงนั้น เซิร์ฟเวอร์แบบโปร่งใสจะไม่ประมวลผลฐานข้อมูล VLAN แต่จะส่งต่อข้อมูลเท่านั้น

โปรโตคอลประเภทนี้ช่วยให้ชีวิตง่ายขึ้นมาก แต่ก็มีข้อเสียอยู่บ้าง เช่น ข้อผิดพลาดในสวิตช์เซิร์ฟเวอร์ รหัสผ่าน VTP ที่จัดการไม่ดี หรือสวิตช์เก่าที่นำกลับเข้าสู่เครือข่ายพร้อมฐานข้อมูลที่ล้าสมัย อาจทำให้เกิดปัญหาได้ เพื่อทำลายการกำหนดค่า VLAN อย่างสมบูรณ์ ทั่วทั้งองค์กร

ดังนั้น ในการออกแบบปัจจุบันหลายๆ แบบ จึงนิยมใช้โหมด VTP มากกว่า โปร่งใส หรืออาจจะไม่ใช้เลยก็ได้ โดยจัดการ VLAN ด้วยเครื่องมือต่างๆ ระบบอัตโนมัติ (เช่น Ansible, เทมเพลต, ตัวควบคุมส่วนกลาง ฯลฯ) หรือด้วยการออกแบบที่คงที่และควบคุมได้มากกว่า

ระบบรักษาความปลอดภัยขั้นสูง: VACL, PVLAN และการลดผลกระทบจากการโจมตี

เมื่อเครือข่ายขยายใหญ่ขึ้นและความสำคัญเพิ่มมากขึ้น VLAN เพียงอย่างเดียวจะไม่เพียงพอ ในการควบคุมปริมาณการรับส่งข้อมูลภายใน VLAN อย่างละเอียดมากขึ้น สามารถใช้วิธีการอื่นๆ ได้ VACL (VLAN ACL หรือ VLAN maps)ซึ่งช่วยให้สามารถกรองหรือเปลี่ยนเส้นทางการรับส่งข้อมูลในระดับ VLAN ได้ ไม่ใช่แค่เฉพาะบนอินเทอร์เฟซที่กำหนดเท่านั้น

VACL จะถูกกำหนดค่าโดยการระบุ แผนผังการเข้าถึง VLAN พวกเขาใช้รายการควบคุมการเข้าถึง IP หรือ MAC และระบุว่าควรทำอย่างไรกับทราฟฟิกที่ตรงกัน เช่น อนุญาตให้ผ่าน บล็อก ส่งไปยังพอร์ตตรวจสอบ หรือเปลี่ยนเส้นทาง... จากนั้นจึงนำไปใช้กับ VLAN หนึ่งรายการหรือมากกว่าบนสวิตช์โดยรวม

สำหรับกรณีที่คุณต้องการแยกโฮสต์ภายในซับเน็ตเดียวกัน มีตัวเลือกดังนี้ เครือข่ายเสมือนส่วนตัว (PVLAN)เริ่มต้นด้วย VLAN หลัก ซึ่งโดยปกติจะเป็นที่ตั้งของเกตเวย์ และสร้าง VLAN รองที่เกี่ยวข้องสองประเภท ได้แก่ VLAN แยก และ VLAN ชุมชน

VLAN รองประเภท เปลี่ยว การตั้งค่าเหล่านี้อนุญาตให้แต่ละโฮสต์มองเห็นเฉพาะเกตเวย์เท่านั้น แต่ไม่สามารถมองเห็นโฮสต์อื่นได้ แม้ว่าโฮสต์เหล่านั้นจะอยู่ใน VLAN รองที่แยกต่างหากเดียวกันก็ตาม การตั้งค่าเหล่านี้เป็นประเภทดังกล่าว ชุมชน การตั้งค่านี้อนุญาตให้กลุ่มโฮสต์มองเห็นกันและกัน รวมถึงเกตเวย์ด้วย แต่จะไม่สามารถมองเห็นกลุ่มอื่น ๆ ที่อยู่ในเซิร์ฟเวอร์หลักเดียวกันได้

ในส่วนของการโจมตีเฉพาะเจาะจง นอกเหนือจากสิ่งที่ได้กล่าวไปแล้วเกี่ยวกับ VLAN 1 และ DTP สิ่งสำคัญคือต้องลดผลกระทบจาก... การกระโดดข้าม VLAN โดยใช้การติดแท็กสองชั้นในการดำเนินการนี้ ขอแนะนำให้เปลี่ยน VLAN ดั้งเดิมเป็น VLAN ที่ไม่ได้ใช้กับโฮสต์ ลบ VLAN ดั้งเดิมนั้นออกจากพอร์ต Trunk หากเป็นไปได้ ปิดใช้งาน DTP กำหนดพอร์ตเป็น Access หรือ Trunk อย่างชัดเจน และใช้คำสั่งเพื่อให้ VLAN ดั้งเดิมส่งข้อมูลแบบ Tagged เสมอ โดยทิ้งข้อมูลที่ไม่ติดแท็ก

การวินิจฉัยและการบำรุงรักษาเครือข่ายที่มี VLAN

การตั้งค่าเครือข่ายด้วย VLAN เป็นเพียงครึ่งหนึ่งของงาน อีกครึ่งหนึ่งคือ... ดูแลรักษาและแก้ไขข้อผิดพลาด โดยไม่ต้องเครียดจนเกินไป ปัญหาการเชื่อมต่อ VLAN ทั่วไปมักมีสาเหตุที่ค่อนข้างเหมือนกัน สำหรับคำแนะนำและขั้นตอนปฏิบัติ โปรดศึกษาจากแหล่งข้อมูลต่างๆ การวินิจฉัยปัญหาเครือข่าย.

ในอีกด้านหนึ่ง มีข้อผิดพลาดทางกายภาพ เช่น สายเคเบิลถูกย้ายจากพอร์ตหนึ่งไปยังอีกพอร์ตหนึ่งโดยไม่ได้อัปเดตเอกสาร พอร์ตถูกกำหนดค่าเป็น Access ในตำแหน่งที่ควรเป็น Trunk หรือในทางกลับกัน ลิงก์สำรองที่กำหนดไว้ไม่ดีซึ่งจะทำให้เกิดลูปหากไม่ได้ปรับแต่ง STP อย่างเหมาะสม

ในทางกลับกัน ก็มีข้อผิดพลาดเชิงตรรกะเกิดขึ้น เช่น VLAN ถูกสร้างขึ้นบนสวิตช์บางตัว แต่ไม่ได้สร้างบนสวิตช์ตัวอื่น อนุญาตให้ใช้รายการ VLAN บน Trunk ที่กำหนดค่าไม่ถูกต้องช่วง IP ของ DHCP ที่ไม่ตรงกับมาสก์ หรือเกตเวย์ที่ตั้งค่าไม่ถูกต้องบนอุปกรณ์ปลายทาง

เครื่องมือหลักในการวินิจฉัยโรคคือคำสั่งพื้นฐานทั่วไปดังนี้: แสดง VLAN, แสดงอินเทอร์เฟซ Trunk, แสดง Spanning-Tree, แสดงข้อมูลอินเทอร์เฟซ IP โดยย่อ, Ping, Tracerouteเป็นต้น การนำข้อมูลเหล่านี้มาผสานรวมกับการดักจับปริมาณการรับส่งข้อมูลบนพอร์ตเฉพาะ และระบบตรวจสอบที่ดี จะช่วยได้มาก

นอกจากนี้ ควรตรวจสอบเป็นระยะๆ ด้วย ACLs, กฎไฟร์วอลล์, PVLAN, VACLs และการกำหนดค่าการจัดการ เพื่อให้แน่ใจว่าไม่มีช่องว่างใด ๆ เหลืออยู่หลังจากมีการเปลี่ยนแปลง ขยาย หรือโยกย้ายโครงการ

เอกสารที่ชัดเจน (เช่น แผนผัง VLAN ช่วง IP การกำหนดพอร์ต คำอธิบายเกี่ยวกับนโยบายการเข้าถึงระหว่าง VLAN) และการบันทึกการเปลี่ยนแปลงอย่างละเอียดถี่ถ้วนมีความสำคัญเกือบเท่ากับคำสั่งการกำหนดค่าเอง

ด้วยการแบ่งส่วนเครือข่ายที่คิดมาอย่างรอบคอบ การกำหนดชื่อ VLAN อย่างถูกต้อง การจัดการ VLAN ดั้งเดิมอย่างชาญฉลาด การกำหนดเส้นทางระหว่าง VLAN ที่ได้รับการป้องกันด้วย ACL และแนวทางการบำรุงรักษาที่สม่ำเสมอ เครือข่ายระดับองค์กรจะสามารถเพิ่มประสิทธิภาพได้อย่างมาก ความปลอดภัย ประสิทธิภาพ และการควบคุม โดยไม่ต้องสร้างโครงสร้างพื้นฐานทางกายภาพใหม่ทั้งหมด