VLAN
Was ist VLAN?
VLANEin virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden.
Ein Virtual LAN nach IEEE 802.1Q teilt eine physische Switching-Fabric in mehrere logische LANs, indem ein 4-Byte-VLAN-Tag mit 12-Bit-VID (1-4094) in Ethernet-Frames eingefugt wird. Access-Ports gehoren zu genau einem VLAN, Trunk-Ports transportieren mehrere getaggte VLANs zwischen Switches. Gerate in unterschiedlichen VLANs erreichen sich auf Layer 2 nicht und mussen einen Router oder L3-Switch passieren - VLANs sind damit Baustein fur Netzsegmentierung, Host-Isolation und Policy-Zonen. Sicherheitsrelevante Angriffe sind VLAN-Hopping (Double Tagging, Switch-Spoofing) und CAM-Table-Overflow. Hartung umfasst das Deaktivieren von DTP, das Beschneiden ungenutzter VLANs, ein dediziertes ungenutztes natives VLAN sowie die Kombination mit 802.1X und ACLs.
● Beispiele
- 01
VoIP-Telefone liegen in VLAN 20, Anwender-PCs am selben Access-Port in VLAN 10.
- 02
Ein Angreifer setzt einen Frame doppelt (10 dann 99) und springt von VLAN 10 nach VLAN 99.
● Häufige Fragen
Was ist VLAN?
Ein virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet VLAN?
Ein virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden.
Wie funktioniert VLAN?
Ein Virtual LAN nach IEEE 802.1Q teilt eine physische Switching-Fabric in mehrere logische LANs, indem ein 4-Byte-VLAN-Tag mit 12-Bit-VID (1-4094) in Ethernet-Frames eingefugt wird. Access-Ports gehoren zu genau einem VLAN, Trunk-Ports transportieren mehrere getaggte VLANs zwischen Switches. Gerate in unterschiedlichen VLANs erreichen sich auf Layer 2 nicht und mussen einen Router oder L3-Switch passieren - VLANs sind damit Baustein fur Netzsegmentierung, Host-Isolation und Policy-Zonen. Sicherheitsrelevante Angriffe sind VLAN-Hopping (Double Tagging, Switch-Spoofing) und CAM-Table-Overflow. Hartung umfasst das Deaktivieren von DTP, das Beschneiden ungenutzter VLANs, ein dediziertes ungenutztes natives VLAN sowie die Kombination mit 802.1X und ACLs.
Wie schützt man sich gegen VLAN?
Schutzmaßnahmen gegen VLAN kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für VLAN?
Übliche alternative Bezeichnungen: Virtuelles LAN, 802.1Q-VLAN.
● Verwandte Begriffe
- network-security№ 1113
Subnetz
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
- network-security№ 723
Netzwerksegmentierung
Die Praxis, ein Netzwerk in mehrere Zonen aufzuteilen und den Verkehr zwischen ihnen zu kontrollieren, um Einbrüche einzudämmen und Least-Privilege umzusetzen.
- network-security№ 637
MAC-Adresse
48-Bit-Hardwarekennung (IEEE 802), die in eine Netzwerkschnittstelle gebrannt ist und der Zustellung innerhalb eines Sicherungsschicht-Segments dient.
- network-security№ 061
ARP
Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden konnen.
- network-security№ 514
IEEE 802.1X
Portbasierter NAC-Standard, der ein Gerät oder einen Nutzer authentifiziert, bevor Datenverkehr auf einem verkabelten oder drahtlosen Port zugelassen wird.
- network-security№ 678
Microsegmentation
Feingranulare Segmentierung, die Allowlist-Policies zwischen einzelnen Workloads oder Anwendungen anwendet, meist durchgesetzt auf Host- oder Hypervisor-Ebene.
● Siehe auch
- № 311DHCP
- № 168CIDR-Notation