VLAN
VLAN 是什么?
VLAN虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
虚拟局域网(VLAN)由 IEEE 802.1Q 标准化,通过在以太网帧中插入 4 字节的 VLAN 标签(含 12 位 VID,范围 1-4094),把物理交换网络划分为多个逻辑 LAN。接入口属于单一 VLAN;干道口在交换机之间承载多个带标签的 VLAN。不同 VLAN 中的设备在二层无法直接通信,必须经过路由器或三层交换机,因此 VLAN 是网络分段、主机隔离与策略分区的基本构件。常见安全威胁包括 VLAN 跳跃(双标签、Switch Spoofing)以及 CAM 表溢出。加固措施包括关闭 DTP、清理未使用的 VLAN、把专用未使用 VLAN 设为 native,并将 802.1Q 与 802.1X、ACL 配合使用。
● 示例
- 01
VoIP 电话被放入 VLAN 20,而同一接入口上的用户 PC 属于 VLAN 10。
- 02
攻击者对帧做双标签(先 10 后 99),从 VLAN 10 跳到 VLAN 99。
● 常见问题
VLAN 是什么?
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。 它属于网络安全的 网络安全 分类。
VLAN 是什么意思?
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
VLAN 是如何工作的?
虚拟局域网(VLAN)由 IEEE 802.1Q 标准化,通过在以太网帧中插入 4 字节的 VLAN 标签(含 12 位 VID,范围 1-4094),把物理交换网络划分为多个逻辑 LAN。接入口属于单一 VLAN;干道口在交换机之间承载多个带标签的 VLAN。不同 VLAN 中的设备在二层无法直接通信,必须经过路由器或三层交换机,因此 VLAN 是网络分段、主机隔离与策略分区的基本构件。常见安全威胁包括 VLAN 跳跃(双标签、Switch Spoofing)以及 CAM 表溢出。加固措施包括关闭 DTP、清理未使用的 VLAN、把专用未使用 VLAN 设为 native,并将 802.1Q 与 802.1X、ACL 配合使用。
如何防御 VLAN?
针对 VLAN 的防御通常结合技术控制与运营实践,详见上方完整定义。
VLAN 还有哪些其他名称?
常见的别称包括: 虚拟局域网, 802.1Q VLAN。
● 相关术语
- network-security№ 1113
子网
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- network-security№ 723
网络分段
将网络划分为多个区域并对区域间流量进行受控管理的实践,用以遏制入侵并落实最小权限。
- network-security№ 637
MAC 地址
IEEE 802 标准定义的 48 位硬件标识符,固化在网卡中,用于同一数据链路层段内的帧投递。
- network-security№ 061
ARP
RFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。
- network-security№ 514
IEEE 802.1X
基于端口的网络访问控制标准,在有线或无线端口允许通信之前对设备或用户进行身份认证。
- network-security№ 678
微分段
细粒度的分段方式,基于身份在工作负载或应用之间下发白名单策略,通常由主机或虚拟化层执行。