VLAN
O que é VLAN?
VLANUma LAN virtual (IEEE 802.1Q) agrupa portas de switch em dominios de broadcast distintos marcando os quadros Ethernet com um VLAN ID de 12 bits.
Uma Virtual LAN, padronizada pelo IEEE 802.1Q, divide uma malha fisica de comutacao em varias LANs logicas inserindo um tag VLAN de 4 bytes com VID de 12 bits (1-4094) nos quadros Ethernet. Portas de acesso pertencem a uma unica VLAN; portas tronco transportam varias VLANs marcadas entre switches. Dispositivos em VLANs diferentes nao se alcancam na camada 2 e precisam passar por um roteador ou switch L3, o que torna a VLAN um bloco fundamental de segmentacao, isolamento de hosts e zonas de politica. Ataques relevantes incluem VLAN hopping (double tagging, switch spoofing) e overflow da tabela CAM. O endurecimento envolve desativar DTP, podar VLANs nao usadas, definir uma VLAN nativa dedicada nao utilizada e combinar 802.1Q com 802.1X e ACLs.
● Exemplos
- 01
Telefones VoIP ficam na VLAN 20, enquanto PCs de usuario ficam na VLAN 10 no mesmo porto de acesso.
- 02
Um atacante faz double tagging (10 e depois 99) para saltar da VLAN 10 para a VLAN 99.
● Perguntas frequentes
O que é VLAN?
Uma LAN virtual (IEEE 802.1Q) agrupa portas de switch em dominios de broadcast distintos marcando os quadros Ethernet com um VLAN ID de 12 bits. Pertence à categoria Segurança de rede da cibersegurança.
O que significa VLAN?
Uma LAN virtual (IEEE 802.1Q) agrupa portas de switch em dominios de broadcast distintos marcando os quadros Ethernet com um VLAN ID de 12 bits.
Como funciona VLAN?
Uma Virtual LAN, padronizada pelo IEEE 802.1Q, divide uma malha fisica de comutacao em varias LANs logicas inserindo um tag VLAN de 4 bytes com VID de 12 bits (1-4094) nos quadros Ethernet. Portas de acesso pertencem a uma unica VLAN; portas tronco transportam varias VLANs marcadas entre switches. Dispositivos em VLANs diferentes nao se alcancam na camada 2 e precisam passar por um roteador ou switch L3, o que torna a VLAN um bloco fundamental de segmentacao, isolamento de hosts e zonas de politica. Ataques relevantes incluem VLAN hopping (double tagging, switch spoofing) e overflow da tabela CAM. O endurecimento envolve desativar DTP, podar VLANs nao usadas, definir uma VLAN nativa dedicada nao utilizada e combinar 802.1Q com 802.1X e ACLs.
Como se defender contra VLAN?
As defesas contra VLAN costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para VLAN?
Nomes alternativos comuns: LAN virtual, VLAN 802.1Q.
● Termos relacionados
- network-security№ 1113
Sub-rede
Intervalo contiguo de enderecos IP que compartilham um prefixo comum, definindo um unico dominio de broadcast e uma fronteira de roteamento na rede.
- network-security№ 723
Segmentação de rede
Prática de dividir a rede em várias zonas com tráfego controlado entre elas, para conter violações e aplicar o menor privilégio.
- network-security№ 637
Endereco MAC
Identificador de hardware de 48 bits (IEEE 802) gravado em uma interface de rede e usado para entrega dentro de um mesmo segmento de camada de enlace.
- network-security№ 061
ARP
Protocolo da camada de enlace (RFC 826) que mapeia um endereco IPv4 ao endereco MAC de um host no mesmo dominio de broadcast para permitir a entrega de quadros.
- network-security№ 514
IEEE 802.1X
Norma de controlo de acesso à rede baseada em porta que autentica um dispositivo ou utilizador antes de permitir tráfego num porto com fios ou sem fios.
- network-security№ 678
Microssegmentação
Forma granular de segmentação que aplica políticas de lista de permissões entre cargas de trabalho ou aplicações individuais, normalmente ao nível do host ou hipervisor.
● Veja também
- № 311DHCP
- № 168Notacao CIDR