Cấu hình VLAN và bảo mật mạng: hướng dẫn đầy đủ

Informatec Digital » Recursos » Cấu hình VLAN và bảo mật mạng: hướng dẫn đầy đủ

Nếu bạn quản lý mạng doanh nghiệp, bạn sẽ biết rằng việc đưa nó đến... Mọi thứ hoạt động nhanh chóng và an toàn. Đồng thời, đây không phải là một nhiệm vụ dễ dàng. Khi các nhóm, dịch vụ và ứng dụng phát triển, các vấn đề về truyền tải dữ liệu, tắc nghẽn và bảo mật bắt đầu xuất hiện ở khắp mọi nơi.

Một trong những công cụ mạnh mẽ nhất để lập lại trật tự trong sự hỗn loạn đó là... VLAN (Mạng LAN ảo)Nếu được thiết kế và cấu hình tốt, chúng cho phép bạn phân đoạn mạng, giảm lưu lượng truy cập không cần thiết, cô lập các bộ phận và bảo vệ các dịch vụ quan trọng... nhưng nếu lập kế hoạch kém, chúng có thể trở thành một lỗ hổng bảo mật hoặc một cơn ác mộng quản trị.

VLAN thực chất là gì và tại sao nó lại quan trọng đối với bảo mật?

Về bản chất, VLAN là một mạng logic độc lập Các thiết bị trong VLAN cùng nằm trên một cơ sở hạ tầng vật lý: cùng một thiết bị chuyển mạch, cùng một hệ thống cáp, cùng một điểm truy cập Wi-Fi. Về mặt logic, các thiết bị trong VLAN hoạt động như thể chúng nằm trên một mạng LAN riêng biệt, ngay cả khi chúng được phân bố trên các tầng hoặc tòa nhà khác nhau.

Điều này cho phép một nhóm máy tính cá nhân, máy chủ, điện thoại IP, máy in hoặc camera IP tạo thành một mạng lưới. miền phát sóng riêngĐược cách ly khỏi các nhóm khác. Các gói tin phát sóng và đa hướng vẫn nằm trong VLAN của chúng thay vì tràn ngập toàn bộ mạng, giúp cải thiện hiệu suất và dễ dàng kiểm soát ai có thể nhìn thấy ai.

Trong môi trường doanh nghiệp, việc tạo VLAN là rất phổ biến. các phòng ban (kế toán, kỹ thuật, tiếp thị)Phân tách lưu lượng truy cập cho quản trị, thoại, khách, IoT, hoặc thậm chí là một VLAN dự phòng chuyên dụng. Mỗi VLAN có các quy tắc định tuyến, bảo mật và chất lượng dịch vụ riêng.

Hơn nữa, VLAN là một thành phần quan trọng trong các chiến lược dành cho Phân khúc khách hàng và mô hình Zero TrustNgười ta không còn cho rằng mạng lưới "hoàn toàn đáng tin cậy" nữa, và các bề mặt tấn công đang được xác định rõ hơn. Một sự cố hoặc lây nhiễm trong một VLAN không nên gây ra sự sụp đổ toàn bộ tổ chức theo hiệu ứng domino.

Các khái niệm cơ bản: cổng truy cập, đường truyền và VLAN gốc.

Để hiểu đầy đủ về cấu hình và bảo mật VLAN, có ba khái niệm quan trọng cần phải nắm rõ: cổng truy cập, cổng trung kế và VLAN gốcNếu bạn nắm vững ba khái niệm này, mọi thứ khác sẽ trở nên dễ dàng hơn nhiều.

Un cổng truy cập Đây là cổng chuyển mạch truyền tải lưu lượng từ một VLAN duy nhất đến thiết bị đầu cuối: máy tính, máy in, camera IP, điện thoại, v.v. Lưu lượng sẽ chảy từ bộ chuyển mạch đến thiết bị đó. Không có nhãn 802.1Q (không gắn thẻ). Về mặt nội bộ, thiết bị chuyển mạch biết nó thuộc VLAN nào, nhưng thiết bị khác không nhận diện được thẻ VLAN.

Un cổng chính Nó là một liên kết giữa các thiết bị mạng (switch-switch, switch-router, switch-AP) mà qua đó dữ liệu được truyền đi. nhiều VLAN cùng lúcTrong trường hợp này, các khung dữ liệu mang thẻ 802.1Q cho biết chúng thuộc về VLAN nào. Điều này cho phép mở rộng VLAN trong toàn bộ cấu trúc liên kết và định tuyến nhiều mạng logic trên cùng một liên kết vật lý.

La Vlan gốc Đây là VLAN được sử dụng cho lưu lượng truy cập không gắn thẻ trên liên kết 802.1Q. Mọi khung dữ liệu đi vào cổng trunk mà không có thẻ đều được gán cho VLAN gốc này. Theo mặc định, trên nhiều thiết bị, đó là VLAN 1, và đây là nơi bắt đầu các vấn đề bảo mật nếu cấu hình này không được thay đổi.

Kiến trúc và thiết kế mạng với VLAN

Trong các mạng lưới quy mô vừa và lớn, việc sử dụng là điều phổ biến. cấu trúc ba lớpCác lớp lõi, phân phối và truy cập. Mỗi lớp đều có vai trò riêng và cách chúng kết hợp với VLAN có ý nghĩa thực tiễn rất quan trọng.

Lớp truy cập bao gồm các thiết bị chuyển mạch mà... Họ kết nối người dùng trực tiếp. và các thiết bị đầu cuối. Đây là những thiết bị có nhiều cổng truy cập nhất và là nơi định nghĩa hầu hết các VLAN người dùng, thoại, IoT, v.v. Đây là nơi cần chú trọng nhất đến việc phân bổ cổng và các biện pháp bảo mật vật lý tốt (đảm bảo không ai có thể cắm cáp một cách tùy tiện).

Lớp phân phối chứa các thiết bị chuyển mạch mà... Chúng tổng hợp lưu lượng truy cập từ nhiều bộ chuyển mạch truy cập.Đây thường là điểm mà việc định tuyến giữa các VLAN được thực hiện, các ACL chi tiết hơn được áp dụng, các liên kết cáp quang được kết thúc, các liên kết (EtherChannel) được thêm vào và các chính sách nâng cao hơn (QoS, kiểm soát bão, v.v.) được áp dụng.

Lớp lõi chứa các liên kết phân phối và cổng kết nối đến Internet hoặc các mạng bên ngoài. Trong các mạng rất lớn, điều này thường bao gồm... Lõi xử lý chịu trách nhiệm duy nhất cho việc chuyển mạch tốc độ cao.Với rất ít tính năng bổ sung, nhằm giảm độ trễ và độ phức tạp.

Khi thiết kế mạng với VLAN, nên xác định trước các yếu tố sau: cần những nhóm logic nào (theo chức năng, mức độ quan trọng, mức độ tin cậy, v.v.) và sau đó phân bổ chúng vào một sơ đồ IP được lên kế hoạch kỹ lưỡng (mạng con, mặt nạ, VLSM, dải động và tĩnh) và phân bổ cổng rõ ràng trên mỗi switch.

Các loại VLAN và cách sử dụng phổ biến

Tiêu chuẩn phổ biến nhất để dán nhãn khung trong các liên kết đường trục là IEEE802.1QNó thêm 4 byte vào phần tiêu đề Ethernet với ID VLAN và các trường khác, để thiết bị chuyển mạch biết chính xác mỗi khung thuộc về VLAN nào mà không cần đóng gói toàn bộ khung.

Khi VLAN được cấu hình với chuẩn 802.1Q trên các switch, mỗi cổng có thể được đánh dấu là có gắn thẻ hoặc không gắn thẻ Đối với một VLAN cụ thể. Một cổng có thể được gắn thẻ trong nhiều VLAN (điển hình của đường truyền trunk) nhưng chỉ được bỏ gắn thẻ trong một trong số đó (VLAN mà thiết bị đầu cuối sẽ nhìn thấy nếu đó là cổng truy cập).

Bên cạnh các VLAN "thông thường" dựa trên chuẩn 802.1Q, còn có các phương thức khác được sử dụng rộng rãi trong môi trường doanh nghiệp: VLAN dựa trên cổng, VLAN dựa trên địa chỉ MAC, VLAN quản lý, VLAN điều khiển, VLAN gốc tùy chỉnh, VLAN lai, hoặc thậm chí cả VXLAN. trong môi trường trung tâm dữ liệu và điện toán đám mây, nơi cần đến hàng triệu mạng logic. Cũng cần xem xét các công nghệ như... 802.1X và VLAN động để phân bổ và bảo mật nâng cao.

La VLAN quản lý Nó được sử dụng độc quyền cho quyền truy cập quản trị vào các thiết bị chuyển mạch, bộ định tuyến, điểm truy cập, tường lửa và hệ thống giám sát. Thông thường, nó có mạng con IP riêng và các danh sách kiểm soát truy cập (ACL) nghiêm ngặt để kiểm soát ai có thể truy cập vào nó. Việc quản lý các thiết bị từ cùng một VLAN với người dùng là một ý tưởng rất tồi.

Cuộc gọi VLAN điều khiển Nó được dành riêng cho lưu lượng giao thức mạng nội bộ: STP, các giao thức định tuyến, CDP, LLDP, VTP, v.v. Việc tách biệt lưu lượng này khỏi lưu lượng dữ liệu hoặc quản lý giúp giảm nhiễu, cải thiện tính ổn định và cho phép áp dụng các biện pháp bảo mật cụ thể.

VLAN 1, VLAN gốc và lý do tại sao chúng lại là vấn đề bảo mật.

Trên hầu hết các thiết bị chuyển mạch, VLAN 1 được cấu hình sẵn. VLAN mặc định và gốc trên tất cả các cổng. Điều này có nghĩa là, nếu không có gì thay đổi, tất cả lưu lượng truy cập không được gắn thẻ đi vào đường truyền sẽ được đặt trong VLAN 1 và tất cả các cổng đều là một phần của nó.

Vấn đề là bất kỳ kẻ tấn công nào có chút hiểu biết đều biết điều này. VLAN 1 là một trong những mục tiêu tấn công hàng đầu. tấn công nhảy VLAN, giả mạo thiết bị chuyển mạch và các thủ đoạn khác lợi dụng cấu hình mặc định để xâm nhập vào các VLAN khác.

Ví dụ, trong một cuộc tấn công giả mạo thiết bị chuyển mạch, kẻ tấn công kết nối thiết bị của mình với một cổng nơi DTP đang hoạt động ở chế độ động và đàm phán một liên kết đường trục Với thiết bị chuyển mạch, việc truy cập vào nhiều VLAN mà lẽ ra không bao giờ đến được máy chủ là điều khả thi.

Trong một cuộc tấn công gắn thẻ kép, hai thẻ 802.1Q được trộn lẫn trong cùng một khung dữ liệu, lợi dụng việc VLAN gốc truyền đi mà không được gắn thẻ, để cố gắng nhảy từ VLAN này sang VLAN khác thông qua một đường truyền không được bảo mật tốt.

Do đó, các khuyến nghị an toàn hiện tại rất rõ ràng: Không sử dụng VLAN 1 cho người dùng.Không nên để nó là VLAN gốc trên các đường truyền, không cấp cho nó địa chỉ IP quản lý, và nếu có thể, hãy cách ly hoặc thậm chí lọc nó để nó không truyền tải lưu lượng truy cập sản xuất.

Các phương pháp tốt nhất cho thiết kế và phân bổ cảng

Một trong những quyết định quan trọng khi cấu hình VLAN là Các cổng chuyển mạch được gán như thế nào? Đối với mỗi VLAN và cần làm gì với các cổng không sử dụng. Điều này tưởng chừng đơn giản, nhưng cả hiệu năng lẫn bảo mật đều phụ thuộc vào nó.

Luôn luôn nên để các cổng truy cập mở. một VLAN duy nhất không được gắn thẻ (của người dùng hoặc thiết bị đó) và đánh dấu phần còn lại là bị loại trừ. Điều này ngăn giao diện "nhìn thấy" các VLAN không thuộc về nó, ngay cả khi ai đó vô tình thay đổi cài đặt.

Đối với các liên kết đường trục, nên cấu hình rõ ràng. những VLAN nào được cho phép (Ví dụ: switchport trunk allowed vlan 10, 20, 99) thay vì truyền tất cả các VLAN trên mạng. Mỗi đường trunk chỉ nên truyền các VLAN mà nó thực sự cần.

Đối với các cảng không được sử dụng, biện pháp an toàn nhất là tắt chúng đi (tắt máy)Hãy gán chúng vào một VLAN "lỗ đen" không có cổng mặc định hoặc DHCP, và đảm bảo chúng không được đánh dấu là trunk hoặc bật DTP. Điều này ngăn chặn việc ai đó kết nối thiết bị và đột nhiên xuất hiện trên mạng sản xuất.

Trong môi trường có số lượng cổng rất lớn, việc ghi chép tài liệu đầy đủ là rất cần thiết. những gì cắm vào từng giao diệnHãy dán nhãn cho các dây cáp và cập nhật sơ đồ thường xuyên. Nhiều sự cố kết nối VLAN chỉ đơn giản là do việc di chuyển dây cáp mà không có tài liệu cập nhật; hướng dẫn đấu dây Nó giúp tránh được sai lầm.

VLAN "không thoát" và các cổng không sử dụng

Một kỹ thuật đơn giản và rất hiệu quả để bảo vệ các cảng tự do là tạo ra một... VLAN “Không có lối thoát”Tức là, một VLAN không có DHCP, không có định tuyến và không có dịch vụ, và đưa tất cả các cổng truy cập không được sử dụng vào đó.

Ý tưởng là ngay cả khi ai đó kết nối một thiết bị với một trong những cổng đó, máy chủ đó sẽ không nhận được địa chỉ IP, không có cổng mặc định, không thể truy cập các thiết bị khác và lưu lượng truy cập của nó sẽ hoàn toàn bị cô lập. Đó là một dạng "vùng lơ lửng" trong mạng.

Trong nhiều môi trường, một mã định danh dễ nhận biết được sử dụng, chẳng hạn như VLAN 777, 999 hoặc 4094Để phục vụ mục đích này, thiết bị chuyển mạch được cấu hình để loại trừ các VLAN còn lại khỏi các cổng đó, không có giao diện Layer 3 nào được định nghĩa cho VLAN đó và nó không được quảng bá trên bất kỳ bộ định tuyến nào.

Ngoài ra, nên tắt chức năng DTP trên các cổng truy cập của tất cả các thiết bị chuyển mạch. switchport không thương lượngđể họ không bao giờ tự động trở thành đường dây chính thông qua đàm phán với hàng xóm.

VLAN dành cho thoại, dữ liệu và các thiết bị đặc biệt.

Trong các mạng có Điện thoại IP và lưu lượng thoạiThông lệ tiêu chuẩn là tách lưu lượng thoại vào một VLAN riêng biệt, khác với VLAN của máy tính cá nhân. Điều này nhằm mục đích đảm bảo chất lượng dịch vụ và bảo mật.

Lưu lượng thoại rất nhạy cảm với độ trễ, độ rung và mất gói dữ liệu. Nếu nó bị trộn lẫn một cách không kiểm soát với các tác vụ tải xuống nặng, phát trực tuyến video hoặc sao lưu dữ liệu, chất lượng cuộc gọi sẽ giảm nhanh chóng. Việc tách biệt thoại vào VLAN cho phép bạn thực hiện chính xác điều đó. ưu tiên nó với QoS và thực hiện các chính sách chính xác hơn.

Hơn nữa, điện thoại IP thường có khả năng gắn thẻ VLAN riêng (802.1Q): chúng được kết nối nối tiếp với máy tính, cổng kết nối với mạng hoạt động như một đường truyền (thoại được gắn thẻ, dữ liệu không được gắn thẻ) và cổng kết nối với máy tính hoạt động như cổng truy cập. Điều này đòi hỏi cấu hình cổng tinh chỉnh hơn một chút Để tránh tạo ra các lỗ hổng bảo mật.

Việc tách [không rõ] thành các VLAN cụ thể cũng là một ý tưởng hay. Thiết bị IoT, tự động hóa nhà cửa, camera IP, tivi, ổ cắm thông minhvân vân. Đây là những thiết bị thường có mức độ bảo mật kém và phần mềm không được bảo trì tốt, và tốt nhất là không nên đặt chúng trên cùng một mạng logic với các máy tính quản lý hoặc máy chủ quan trọng.

Trong thế giới WiFi, hầu hết các điểm truy cập chuyên nghiệp đều cho phép bạn kết nối. Một SSID cho mỗi VLANTheo cách này, việc phân vùng mạng có dây được mở rộng sang mạng không dây: VLAN quản trị, VLAN doanh nghiệp, VLAN IoT, VLAN khách, mỗi VLAN đều có SSID và các quy tắc riêng.

Định tuyến giữa các VLAN, ACL và tường lửa.

Theo thiết kế, VLAN Họ không "nhìn thấy" nhau ở cấp độ 2.Nếu bạn muốn các thiết bị trên các VLAN khác nhau có thể giao tiếp với nhau, bạn cần phải chuyển lên lớp 3: định tuyến liên VLAN. Điều này thường được thực hiện trên bộ định tuyến, tường lửa hoặc bộ chuyển mạch lớp 3.

Có hai mô hình chính. Mô hình đầu tiên là sử dụng một bộ định tuyến hoặc tường lửa hỗ trợ 802.1Q Được kết nối với đường trục của bộ chuyển mạch. Bộ định tuyến tạo ra các giao diện con (một cho mỗi VLAN), gán địa chỉ IP cho chúng và hoạt động như một cổng mặc định. tường lửaHơn nữa, nó áp dụng những quy tắc chặt chẽ về việc ai được phép nói chuyện với ai.

Mẫu thứ hai là sử dụng một Bộ chuyển mạch quản lý lớp 3 Ở lớp phân phối hoặc lớp lõi, các giao diện VLAN (SVI) được tạo ra trên đó, hoạt động như cổng cho mỗi mạng con. Bản thân switch xử lý định tuyến nội bộ và các ACL tương ứng, giảm tải công việc cho bộ định tuyến biên.

Trong cả hai trường hợp, việc kết hợp định tuyến này với... là điều vô cùng quan trọng. danh sách kiểm soát truy cập (ACL) hoặc quy tắc tường lửa Nghiêm ngặt. Sự tồn tại của đường dẫn IP giữa các VLAN không có nghĩa là tất cả lưu lượng truy cập đều được cho phép. Việc lọc phải được thực hiện dựa trên nguồn, đích, cổng, giao thức và hướng kết nối.

Một ví dụ điển hình: VLAN khách chỉ có thể truy cập Internet, VLAN IoT chỉ có thể giao tiếp với các máy chủ cụ thể (như NTP, syslog hoặc MQTT broker), VLAN sinh viên không thể truy cập VLAN quản trị, VLAN dự phòng chỉ thiết lập kết nối với máy chủ dự phòng, v.v.

Các giao thức quản lý VLAN: VTP và các giao thức liên quan

Trong các mạng lớn với nhiều thiết bị chuyển mạch, việc tạo VLAN thủ công trên từng thiết bị là không thực tế và dễ xảy ra lỗi. Đó là lý do tại sao các giao thức như... VTP (Giao thức ghép kênh VLAN) Trong môi trường Cisco, điều này cho phép phân phối danh sách VLAN tập trung.

VTP định nghĩa ba chế độ hoạt động trong một thiết bị chuyển mạch: máy chủ, máy khách và trong suốtMáy chủ có thể tạo, đổi tên hoặc xóa VLAN và gửi thông tin đó đến các máy khách trong cùng miền. Máy khách nhận và áp dụng các thay đổi, nhưng không chỉnh sửa chúng. Máy chủ trong suốt không xử lý cơ sở dữ liệu VLAN; chúng chỉ chuyển tiếp thông tin.

Các loại giao thức này giúp đơn giản hóa rất nhiều công việc, nhưng chúng cũng có những nhược điểm: lỗi ở bộ chuyển mạch máy chủ, mật khẩu VTP được quản lý kém hoặc một bộ chuyển mạch cũ được đưa trở lại mạng với cơ sở dữ liệu lỗi thời có thể gây ra sự cố. để phá hủy hoàn toàn cấu hình VLAN trong toàn bộ tổ chức.

Do đó, trong nhiều thiết kế hiện nay, chế độ VTP được ưu tiên sử dụng. minh bạch hoặc đơn giản là không sử dụng nó, quản lý VLAN bằng các công cụ của tự động hóa (Ansible, các mẫu, bộ điều khiển tập trung, v.v.) hoặc với thiết kế tĩnh và được kiểm soát chặt chẽ hơn.

Bảo mật nâng cao: VACL, PVLAN và giảm thiểu tấn công

Khi mạng lưới phát triển và mức độ quan trọng tăng lên, chỉ riêng VLAN sẽ không đáp ứng đủ nhu cầu. Để kiểm soát lưu lượng truy cập chi tiết hơn trong một VLAN, có thể sử dụng các phương pháp khác. VACL (ACL VLAN hoặc bản đồ VLAN)Điều này cho phép lọc hoặc chuyển hướng lưu lượng truy cập ở cấp độ VLAN, chứ không chỉ trên các giao diện cụ thể.

VACL được cấu hình bằng cách định nghĩa bản đồ truy cập VLAN Chúng sử dụng danh sách truy cập IP hoặc MAC và chỉ định những việc cần làm với lưu lượng truy cập phù hợp: cho phép đi qua, chặn, gửi đến cổng giám sát, chuyển hướng… Sau đó, chúng được áp dụng toàn cục cho một hoặc nhiều VLAN trên thiết bị chuyển mạch.

Trong trường hợp bạn muốn cách ly các máy chủ trong cùng một mạng con, có các phương pháp sau: Mạng VLAN riêng (PVLAN)Nó bắt đầu với một VLAN chính, thường là nơi đặt cổng mặc định, và tạo ra các VLAN phụ liên kết thuộc hai loại: VLAN biệt lập và VLAN cộng đồng.

VLAN phụ loại bị cô lập Chúng cho phép mỗi máy chủ chỉ nhìn thấy cổng mặc định, nhưng không thấy các máy chủ khác, ngay cả khi chúng nằm trên cùng một VLAN phụ biệt lập. Chúng thuộc loại này cộng đồng Chúng cho phép một nhóm máy chủ có thể nhìn thấy nhau và cổng kết nối, nhưng không cho phép các nhóm khác trên cùng một máy chủ chính truy cập.

Về các cuộc tấn công cụ thể, ngoài những điều đã nói về VLAN 1 và DTP, điều quan trọng là phải giảm thiểu... Chuyển đổi VLAN bằng cách gắn thẻ képĐể thực hiện điều này, bạn nên thay đổi VLAN gốc thành một VLAN không được sử dụng với các máy chủ, loại bỏ VLAN gốc đó khỏi các đường trunk nếu có thể, tắt DTP, xác định rõ ràng các cổng là access hoặc trunk, và sử dụng các lệnh để đảm bảo VLAN gốc luôn được truyền tải có gắn thẻ, loại bỏ lưu lượng truy cập không gắn thẻ.

Chẩn đoán và bảo trì mạng với VLAN

Thiết lập mạng với VLAN chỉ mới là một nửa công việc; nửa còn lại là... duy trì và gỡ lỗi các sự cố Không cần phải quá lo lắng. Các sự cố kết nối VLAN điển hình thường có những nguyên nhân khá phổ biến. Để biết hướng dẫn và các quy trình thực tế, hãy tham khảo các nguồn tài liệu về... chẩn đoán sự cố mạng.

Một mặt, có những lỗi vật lý: cáp được di chuyển từ cổng này sang cổng khác mà không cập nhật tài liệu, các cổng được cấu hình là cổng truy cập trong khi đáng lẽ phải là cổng trung kế, hoặc ngược lại, các liên kết dự phòng được định nghĩa kém dẫn đến vòng lặp nếu STP không được tinh chỉnh đúng cách.

Mặt khác, cũng có những lỗi logic: VLAN được tạo trên một số switch nhưng không được tạo trên các switch khác, Danh sách VLAN được cho phép trên các đường truyền bị cấu hình saiCác dải DHCP không khớp với mặt nạ mạng hoặc cổng mặc định được thiết lập không chính xác trên các thiết bị đầu cuối.

Các công cụ chính để chẩn đoán là các lệnh thông thường: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, traceroutevân vân. Việc kết hợp chúng với việc thu thập lưu lượng truy cập trên các cổng cụ thể và một hệ thống giám sát tốt sẽ giúp ích rất nhiều.

Cũng nên định kỳ xem xét lại ACL, quy tắc tường lửa, PVLAN, VACL và cấu hình quản lý Để đảm bảo không còn lỗ hổng nào bị bỏ sót sau khi dự án thay đổi, mở rộng hoặc chuyển đổi.

Tài liệu rõ ràng (sơ đồ VLAN, dải IP, gán cổng, mô tả chính sách truy cập giữa các VLAN) và việc ghi nhật ký thay đổi một cách nghiêm ngặt gần như quan trọng như chính các lệnh cấu hình.

Với việc phân vùng được lên kế hoạch kỹ lưỡng, các VLAN được đặt tên đúng cách, quản lý VLAN gốc thận trọng, định tuyến liên VLAN được bảo vệ bằng ACL và các quy trình bảo trì nhất quán, mạng doanh nghiệp có thể đạt được bước tiến đáng kể về hiệu suất. an toàn, hiệu suất và kiểm soát mà không cần phải xây dựng lại toàn bộ cơ sở hạ tầng vật chất.