Nätverk och protokoll

VLAN

Lager 2-segmentering som skapar separata broadcastdomäner på samma fysiska switchinfrastruktur.

Var du ser detta: Syns i paketfångster, nätverksdiagram, brandväggsregler samt system- och nätverksloggar.

Vad det är

Ett VLAN (Virtuellt LAN) är ett sätt att dela upp ett fysiskt switchnätverk i flera logiska nätverk. Varje VLAN är sin egen broadcastdomän. Ramar är associerade med ett VLAN antingen genom porten de går in i (åtkomstport) eller av en 802.1Q-tagg i ramen (trunkport).

Nyckelpunkter
  • Accessportar tillhör ett VLAN, trunkportar har många VLANs med taggar.
  • VLANs minskar sändningsomfånget och hjälper till att organisera nätverk.
  • Trafik mellan VLANs kräver routing, vanligtvis via en lager tre switch eller router.

Hur det fungerar i stora drag

  1. En åtkomstport är tilldelad ett VLAN. Ramar som går in i den porten behandlas som tillhörande VLAN.
  2. När en switch behöver skicka ramar för flera VLANs över en länk till en annan switch, använder den en trunk.
  3. På en trunk lägger switchen till en 802.1Q-tagg som identifierar VLAN för varje ram, så att den mottagande switchen vet vilkett VLAN ramen tillhör.
  4. En VLAN kan konfigureras som den native VLAN, dit ramar kan skickas otaggade. Detta måste matcha i båda ändarna för att undvika förvirring.
  5. Switchar upprätthåller separata MAC-adresstabeller per VLAN, vilket håller inlärning och översvämning innesluten.
  6. För att kommunicera mellan VLANs byter en router eller lager tre rutter mellan VLAN-gränssnitten och tillämpar policyer som ACL:er.
  7. Operationellt avgör tillåtna VLAN-listor på trunkar vilka VLANs som kan passera vilka länkar.

Konkret exempel

En kontorsväxel har VLAN 10 för användare och VLAN 20 för servrar. Användarportar är åtkomstportar i VLAN 10. Upplänken mellan switcharna är en trunk som bär VLAN 10 och 20 med taggar. En växlingsväg mellan VLAN 10 och 20 på lager tre leder till att användare endast kan nå specifika serverportar.

Varför det är viktigt

Utan VLANs blir ett stort lager två-nätverk bullrigt och riskabelt. VLANs förbättrar skalbarheten genom att begränsa sändningar och förbättra säkerheten och driften genom att separera roller, såsom användarenheter, servrar och hanteringsgränssnitt.

Säkerhetsperspektiv

  • VLANs är användbara för segmentering men bör kombineras med lager tre kontroller som ACL och brandvägg.
  • Felkonfigurerade trunkar och inbyggt VLAN-beteende kan möjliggöra problem med VLAN hoppstil.
  • Behandla ledningens VLANs som högt värderade och begränsa vart de bärs och vem som kan nå dem.

Vanliga fallgropar

  • Inbyggda VLAN-felmatchningar på trunkarna kan orsaka trafikläckor och konstiga anslutningar.
  • Att lämna alla VLANs tillåtna på en trunk ökar risken och gör att misstagen sprids.
  • Förutsatt att VLAN separation är lika med full säkerhet. Felkonfigurationer och attacker på lager två kan kringgå det.
  • Glömmer inter VLAN routing. Två VLANs pratar inte utan en router, även om de delar en switch.
  • Blanda ihop taggningsförväntningar vid endpoints, till exempel vid anslutning till hypervisorer eller AP:er.

FÖRDJUPNING

Varför VLANs existerar: kontrollera sändningar och förtroendezoner

På Ethernet når sändningar alla enheter i samma Layer 2-domän. Det är bra för små nätverk, men det blir bullrigt och riskabelt i skala. VLANs låter dig dela en switch-infrastruktur i flera isolerade broadcastdomäner, så att enheter i ett VLAN inte ser sändningar från en annan.

Denna segmentering är både prestanda och säkerhet. Det minskar sändningstrafiken och skapar naturliga gränser. Du kan placera gäster i ett VLAN, servrar i en annan och hanteringsgränssnitt i en tredje, även om kablarna och switcharna är delade.

Det hjälper att komma ihåg att ett VLAN är en logisk partition. Växeln behåller separata vidarebefordringstabeller per VLAN-kontext, och den tvingar fram separation såvida du inte uttryckligen dirigerar mellan VLANs.

Åtkomstportar och trunkportar

En åtkomstport är avsedd för slutpunkter. Ramar som kommer in på en åtkomstport kopplas till ett VLAN, och ramar som lämnar porten är normalt otaggade. Enheten behöver inte känna till VLAN, utan kommunicerar med vanlig Ethernet-trafik.

En trunkport ansluter switchar, routrar eller hypervisorer och bär flera VLANs över en länk. Trunking använder 802.1Q-taggning: switchen infogar en liten tagg i Ethernet-ramen som inkluderar ett VLAN-identifierare. Den mottagande switchen läser taggen och vet vilkett VLAN ramen tillhör.

Många miljöer har också ett native VLAN-koncept där otaggade ramar på en trunk behandlas som tillhörande ett visst VLAN. Feljusterade inbyggda VLAN-inställningar mellan switchar är en klassisk källa till subtila läckor och loopar.

Inter VLAN kommunikation kräver routing

VLANs isolat på Layer 2. Om en värd i VLAN 10 behöver prata med en värd i VLAN 20, måste den gå genom en Layer 3-enhet som dirigerar mellan dessa subnät. Det kan vara en router på en sticka, en brandvägg eller en Layer 3-switch med växlade virtuella gränssnitt.

Varje VLAN mappar vanligtvis till ett IP-undernät, och standardgatewayen för det undernätet finns på routingenheten. ARP fungerar inom varje VLAN, så en värd ARPs för sin gateway MAC, skickar paketet dit och routern vidarebefordrar det till destinationett VLAN.

Det är därför VLAN-planering ofta går ihop med IP-planering. Rensa subnät till VLAN mappning förenklar routingpolicy, åtkomstkontroll och felsökning.

Verkliga fallgropar och attacker

Operativa misstag inkluderar saknade VLANs på trunkar, felaktig åtkomst VLAN tilldelningar och felaktiga tillåtna VLAN listor. Dessa skapar problem som ser ut som slumpmässiga anslutningar: vissa enheter fungerar, andra kan inte nå gatewayen och sändningsberoende protokoll beter sig konstigt.

Ur en säkerhetssynpunkt utnyttjar VLAN hoppattacker felkonfigurationer som dynamisk trunkförhandling eller dåligt kontrollerade inhemska VLANs. God praxis är att inaktivera onödig trunkförhandling, uttryckligen definiera tillåtna VLANs och ha en dedikerad hantering VLAN med strikta åtkomstkontroller.

Kom ihåg att VLAN inte är kryptering. Det är logisk separation i en switchinfrastruktur. Om en angripare får åtkomst till switcharnas styrplan, eller lyckas få nätet att tagga ramar felaktigt, kan VLAN-gränser kringgås.