VLAN biztonság és tervezés

VLAN-ok tervezésének bevált gyakorlatai

A Cisco kapcsolók olyan gyári konfigurációval rendelkeznek, amelyben az alapértelmezett VLAN-ok a különböző közeg- és protokolltípusok támogatására előre konfigurálva vannak. A VLAN 1 az alapértelmezett Ethernet VLAN. Bevált biztonsági gyakorlat a kapcsolókon az összes portot úgy konfigurálni, hogy azok VLAN 1-től eltérő VLAN-hoz legyenek társítva. Ez általában úgy történik, hogy az összes nem használt portot úgy konfiguráljuk, hogy egy a hálózaton másra nem használt, "fekete lyuk" VLAN-hoz tartozzon. Minden használatban lévő port pedig VLAN 1-től és a "fekete lyuk" VLAN-tól eltérő VLAN-hoz legyen társítva. Szintén egy bevett gyakorlat a használaton kívüli portok letiltása a jogosulatlan hozzáférés megelőzésére.

Hasznos biztonsági eljárás még a felügyeleti és a felhasználói adatforgalom szétválasztása. A felügyeleti VLAN-t, amely alapértelmezésben a VLAN 1, meg kell változtatni egy független, különálló VLAN-ra. Egy Cisco kapcsoló távoli felügyelhetőségéhez a kapcsolónak egy a felügyeleti VLAN-hoz tartozó konfigurált IP-címmel kell rendelkezni. A biztonság egy kiegészítő rétegét alkotva nem szabad, hogy más VLAN-okon lévő felhasználók távoli hozzáférési párbeszédeket tudjanak kialakítani a kapcsolóval, hacsak azok be nincsenek irányítva a felügyeleti VLAN-ba. Ezen felül a kapcsolót is úgy kell konfigurálni, hogy a távoli felügyelethez kizárólag titkosított SSH párbeszédeket fogadjon el.

Minden vezérlőforgalom a VLAN 1-en van elküldve. Ezért amikor a natív VLAN megváltozik VLAN 1-ről valami másra, akkor minden vezérlőforgalom az IEEE 802.1Q trönkökön címkézve lesz (VLAN ID 1 címkével). Ajánlott biztonsági eljárás a natív VLAN lecserélése egy VLAN 1-től eltérő VLAN-ra. A natív VLAN-nak is különböznie kell minden felhasználói VLAN-tól. Figyeljünk rá, hogy a natív VLAN egy 802.1Q trönk kapcsolat mindkét végén ugyanaz legyen!

A DTP négy kapcsolóport módon biztosít: hozzáférési (access), trönk (trunk), automata dinamikus (dynamic automatic) és kezdeményező dinamikus (dynamic desirable). Általános irányelv az automatikus egyeztetés (autonegotiation) letiltása. A portbiztonság bevett gyakorlataként, ne használjuk az automata dinamikus és a kezdeményező dinamikus kapcsolóport módokat.

Végül pedig, a hangforgalomnak szigorú QoS követelményei vannak. Ha a felhasználói PC-k és az IP-telefonok ugyanazon a VLAN-on vannak, akkor mindegyik megpróbálja kihasználni a rendelkezésre álló sávszélességet anélkül, hogy a másik eszközt figyelembe venné. Ezen konfliktus elkerülésére jól bevált módszer külön VLAN-t használni az IP-telefónia és az adatforgalom számára.