VLAN
Что такое VLAN?
VLANВиртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN.
Virtual LAN, стандартизированная в IEEE 802.1Q, делит физическую коммутационную фабрику на несколько логических LAN, добавляя в кадры Ethernet 4-байтовый VLAN-тег с 12-битным VID (1-4094). Access-порты принадлежат одной VLAN; trunk-порты переносят между коммутаторами несколько помеченных VLAN. Устройства в разных VLAN недоступны друг другу на уровне 2 и должны проходить через маршрутизатор или L3-коммутатор, поэтому VLAN — базовый строительный элемент сегментации, изоляции хостов и зон политики. Среди значимых атак — VLAN hopping (double tagging, switch spoofing) и переполнение CAM-таблицы. Усиление включает отключение DTP, обрезку неиспользуемых VLAN, выделение неиспользуемой VLAN как native и сочетание 802.1Q с 802.1X и ACL.
● Примеры
- 01
Телефоны VoIP помещены в VLAN 20, а пользовательские ПК — в VLAN 10 на том же access-порту.
- 02
Злоумышленник делает double tagging (10, затем 99) и перепрыгивает из VLAN 10 в VLAN 99.
● Частые вопросы
Что такое VLAN?
Виртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает VLAN?
Виртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN.
Как работает VLAN?
Virtual LAN, стандартизированная в IEEE 802.1Q, делит физическую коммутационную фабрику на несколько логических LAN, добавляя в кадры Ethernet 4-байтовый VLAN-тег с 12-битным VID (1-4094). Access-порты принадлежат одной VLAN; trunk-порты переносят между коммутаторами несколько помеченных VLAN. Устройства в разных VLAN недоступны друг другу на уровне 2 и должны проходить через маршрутизатор или L3-коммутатор, поэтому VLAN — базовый строительный элемент сегментации, изоляции хостов и зон политики. Среди значимых атак — VLAN hopping (double tagging, switch spoofing) и переполнение CAM-таблицы. Усиление включает отключение DTP, обрезку неиспользуемых VLAN, выделение неиспользуемой VLAN как native и сочетание 802.1Q с 802.1X и ACL.
Как защититься от VLAN?
Защита от VLAN обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия VLAN?
Распространённые альтернативные названия: Виртуальная LAN, VLAN 802.1Q.
● Связанные термины
- network-security№ 1113
Подсеть
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
- network-security№ 723
Сегментация сети
Практика разделения сети на несколько зон с контролируемым трафиком между ними для сдерживания взломов и реализации принципа наименьших привилегий.
- network-security№ 637
MAC-адрес
48-битный аппаратный идентификатор (IEEE 802), записанный в сетевой интерфейс и используемый для доставки кадров внутри одного канального сегмента.
- network-security№ 061
ARP
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
- network-security№ 514
IEEE 802.1X
Стандарт портового контроля доступа, который аутентифицирует устройство или пользователя до того, как пропустить трафик через проводной или беспроводной порт.
- network-security№ 678
Микросегментация
Тонкая форма сегментации, при которой allow-list политики применяются между отдельными нагрузками или приложениями, обычно средствами хоста или гипервизора.
● См. также
- № 311DHCP
- № 168CIDR-нотация