VLAN

Что это?

Функция устройств связи, например, коммутаторов или маршрутизаторов, которая позволяет объединять устройства в одну или несколько виртуальных локальных подсетей в рамках одного физического сетевого интерфейса

Достоинства VLAN

• Меньшее количество используемых для создания внутренней сети организации проводов (и меньше головной боли для сетевого администратора);
• Более безопасную и контролируемую связь между устройствами – рабочие станции в рамках одной подсети не будут «видеть» устройства из других подсетей;
• Более эффективное использование трафика в различных подсетях общей сети, за счет возможности управления трафиком в различных подгруппах;
• Повышение эффективности работы отделов через создание новых подгрупп устройств, для чего VLAN предоставляет широчайшие возможности;

Зачем нужен?

1. Один отдел не должен иметь доступа к другому
2. Большое количество broadcast кадров, что нагружает сеть

Функции

1. Логическая сегментации
2. Обеспечение безопасности
3. Ограничение размера броадкаст домена

IP адрес шлюза (Gateway) должен находится в той же подсети что и хост

Транкинг

Нужно убирать автосогласования портов (защита от злоумышленника)

Субинтерфейс

Это виртуальный интерфейс, созданный путём разделения одного физического интерфейса на несколько логических интерфейсов.

InterVLAN Routing - пинг из одного vlan в другую

Router in a stick - роутер, с субинтерфейсами на одном проводе

Почему с одного vlan можем попасть в другой?
Роутер умеет перебивать транк пакет

Multilayer switch

Работает на 3ем модели OSI, что позволяет работать с IP и на разных канальных уровнях. По умолчанию порты свичовые, надо перевести в роутерные

Существует L2+ свичи, которые базово умеют работать с IP пакетами, но они не могут маршрутизировать

NativeVLAN

Это понятие в стандарте 802.1Q, которое обозначает VLAN на коммутаторе, где все кадры идут без тэга, т. е. трафик передается нетегированным.

По умолчанию это VLAN 1

Атака VLAN Hopping (VLAN double-tagging)

Злоумышленник через специальное ПО создает двойной VLAN (первый тот который ему нужен, второй VLAN 1 Native), при прохождении свича, Native отбрасывается и остается тот, который ему нужен

Как предотвратить?

1. На транках надо установить неиспользуемый Native VLAN (не привязанный к портам, например VLAN 50)
2. На транках надо прописывать те VLAN с которыми ему разрешено работать
3. Неиспользуемые порты перевести в другой VLAN и выключить их
4. Тегировать Native VLAN

VOICE VLAN

Делается для экономии портов и розеток

VLAN в Wireless сетях

На основании того, к какому WIFI подключился юзер (она протегируется определенным VLAN) Destribution Switch будет принимать решение к какому ресурсу дать доступ

Существует также схема, где первое не TRUNK. В таком случае не может быть SSID, соответственно разделение на VLAN

SSID (Service Set Identifier) – это идентификатор для беспроводной сети. По сути SSID - это имя, которое присваивается сети Wi-Fi при настройке роутера.SSID выступает в качестве точки доступа, которую видят находящиеся поблизости устройства, такие как ноутбуки и смартфоны, и могут к ней подключиться.

VTP (VLAN Trunking Protocol)

Позволяет синхронизировать базу VLAN на всех свичах. Добавили новый VLAN, и протоколом VTP рассылается всем свичам

Не рекомендуется использовать, так как целый класс атак

Режимы работы VTP:

1. Server

Диапазоны VLAN

VTP 1 и 2 2-1001

VTP 3 2-1001 и 1006-4094