Vlans - HUN

VLAN - Virtual Local Area Network
 A VLAN-ok a fizikai kapcsolatok helyett a logikai kapcsolatokra

épülnek.
 Egy VLAN-on belül az eszközök úgy viselkednek, mintha a saját
független hálózatukon lennének, még akkor is, ha más VLAN
infrastruktúrát használják.
 Egy kapcsolón több VLAN is létrehozható
 Egy VLAN több kapcsolóra is kiterjeszthető
 Minden VLAN külön szórási tartományt alkot  csökkenthető a
szórási tartományok mérete
 Minden VLAN külön logiakai hálózat, ezért a VLAN-ok közötti
kommunikációhoz 3. rétegbeli forgalomirányítás szükséges
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Overview of VLANs
VLAN-ok előnyei
 Biztonság
 Költségcsökkentés
 Jobb teljesítmény
 Szórási tartományok méretének csökkentése
 IT személyzet hatékonyságának növekedése
 Könnyebb projekt- és alkalmazásmenedzsment
VLAN-ok előnyei
 Biztonság - Az érzékeny adatokkal dolgozó csoportok

elkülönülnek a hálózat többi részétől, így csökken a
bizalmas információkkal való visszaéléseknek az
esélye
 Költségcsökkentés - csökken a költséges hálózati
felújítások szükségessége
sokkal hatékonyabbá válik a meglévő sávszélesség és
a gerinckapcsolatok kihasználtsága.
VLAN-ok előnyei
 Jobb teljesítmény – a logikai felosztás csökkenti a

szükségtelen hálózati forgalmat és javítja a
teljesítményt
 Szórási tartományok méretének csökkentése –
csökkenti a szórási tartományokban lévő eszközök
számát
 IT személyzet hatékonyságának növekedése –
VLAN könnyebben felügyelhetővé teszi a hálózatot;
azonos igényű kliensek egy VLAN-ba kerülnek, így a
bővítés kevesebb konfigurációt igényel
VLAN-ok előnyei
 Könnyebb projekt- és alkalmazásmenedzsment -

VLAN-ok vállalati vagy földrajzi követelmények alapján
csoportosítanak felhasználókat és hálózati eszközöket.
Az elkülönített funkciók egyszerűbbé teszik egy projekt
irányítását, vagy a munkát egy speciális alkalmazással.
Overview of VLANs
VLAN-ok típusai
 AdatVLAN
 Alapértelmezett VLAN
 Natív VLAN
 Felügyeleti VLAN
Overview of VLANs
VLAN-ok típusai
Adat VLAN
 Felhasználók által generált forgalom számára

 Hangot vagy felügyeleti információkat nem továbbíthat
 A hálózat felhasználói- vagy eszközcsoportok alapján
történő szétválasztására használjuk
Alapértelmezett VLAN
 Alapértelmezett konfiguráció esetén minden port az

alapértelmezett VLAN-ban van (VLAN 1)
 Az alapértelmezett VLAN egy szórási tartományt alkot
 kezdeti konfiguráció esetén minden kapcsolóport
azonos szórási tartományban van
 VLAN 1 – nem lehet átnevezni, nem lehet törölni
 Minden második rétegbeli vezérlőforgalom a VLAN 1-
hez van társítva
Natív VLAN
 Trönk (Trunk) port – egynél több VLAN forgalmának a

továbbítására képes
 A natív VLAN egy 802.1Q trönkporthoz van
hozzárendelve
 Egy 802.1Q trönkport a klönböző VLAN-okból érkező
forgalmat (címkézett), és a nem VLAN-ból származó
forgalmat (címkézetlen) egyaránt továbbítja
 Címkézetlen forgalom a natív VLAN-ra kerül
Natív VLAN
 Alapértelmezés szerint a VLAN 1

 A natív VLAN az IEEE802.1Q-ban lettek definiálva
 Fenntartják a visszafelé kompatibilitást a hagyományos
LAN-okkal
 Ajánlás: a VLAN 1-től és a többi VLAN-tól különböző
VLAN használata natív VLAN-ként
Felügyeleti VLAN
 A kapcsoló felügyeleti funkcióinak elérésére szolgál
 Alapértelmezés szerint a VLAN 1
 A felügyeleti VLAN létrehozásához a VLAN virtuális
interfészéhez (Switch Virtual Interface, SVI) kell IP-címet és
alhálózati maszkot rendelni.
 Ajánlás: : a VLAN 1-től és a többi VLAN-tól különböző VLAN
használata felügyeleti VLAN-ként
 Egynél több felügyeleti VLAN  több helyen lehetnek
hálózati támadások
VLANs in a Multi-Switched Environment
VLAN Trunks
 A VLAN trönk port egynél több VLAN forgalmát képes
továbbítani
 A VLAN trönk kiterjeszti a VLAN-okat a hálózat egészére
 A VLAN trönkök lehetővé teszik a VLAN-ok forgalmának
kapcsolók közötti továbbítását, így ugyanabba a VLAN-ba
tartozó, de különböző kapcsolóhoz csatlakozó eszközök is
képesek forgalomirányító közvetítése nélkül kommunikálni
 A Cisco IOS támogatja IEEE802.1Q trönk protokollt
Controlling Broadcast Domains with VLANs
 VLAN-ok használatával csökkenthető a szórási
tartományok mérete
 Minden VLAN saját szórási tartományt alkot
 Egy adott VLAN-ba küldött egyedi, csoportos és szórásos
forgalom csak az adott VLAN-on belül kerül továbbításra
Ethernet keretfejléc címkézése VLAN
információval
 Ethernet keret címkézése = VLAN információ beszúrása a fejlécbe
 Több VLAN forgalma is továbbítható egy trönkporton
 Többféle protokoll létezik, legnépszerűbb: IEEE 802.1Q
 A protokoll szabványosítja, hogyan kerül beillesztésre a VLAN
információ a keretfejlécbe
 Amikor a kacsoló egy VLAN-hoz hozzárendelt hozzáférési módú
porton keretet fogad, akkor a keretfejlécbe egy VLAN-címkét szúr
be, majd újraszámítja a keretellenőrző összeget (FCS), és a
címkézett keretet egy trönkporton továbbküldi.
 Trönkporton érkező keret esetén a kapcsoló eltávolítja a VLAN
címkéjét, majd továbbküldi egy nemtrönk porton
Ethernet keret címkézése
VLAN-címke mező felépítése
 Típus (Type) - Egy 2 bites protokoll azonosító érték
(Tag Protocol ID, TPID). Ethernet esetén az értéke
hexadecimális 0x8100.
 Felhasználói prioritás (User Priority) - Egy 3 bites
érték, amely a QoS megvalósítását támogatja
 Kanonikus formátumazonosító (Canonical Format
Identifier, CFI) – Egy 1 bites VLAN aznosító, amely
Token Ring keretek továbbítást teszi lehetővé Ethernet
linkeken.
 VLAN ID (VID) - Egy 12 bites VLAN azonosító, amely
így maximum 4096 VLAN ID-t támogat
Native VLANs and 802.1Q Tagging
 A natív VLAN-on küldött vezérlési forgalmat nem kell címkézni.
  Ha egy trönk port egy a natív VLAN ID-val megcímkézett keretet
fogad, akkor eldobja azt.
 Amikor egy kapcsoló trönkportja címkézetlen kereteket fogad, akkor

azokat a natív VLAN-ba továbbítja.
 Ha nincsenek a natív VLAN-hoz társított eszközök és más trönk
portok sincsenek, akkor a keret eldobásra kerül.
 Alapértelmezés szerint VLAN 1 a natív VLAN
VLAN Assignment
VLAN Ranges on Catalyst Switches
• Normál tartományú VLAN-ok
• VLAN ID 1 - 1005
• Konfigurációjuk a vlan.dat-ban tárolódik (flash)
• 1, 1002 – 1005 automatikusan jön létre (nem törölhető, nem
átnevezhető)
• 1002 – 1005 Token Ring és FDDI számára
• VTP csak ezeket a VLAN-okat képes megtanulni
• Kiterjesztett tartományú VLAN-ok
• VLAN ID 1006 - 4096
• Nincsenek benne a vlan.dat fájlban
• Kevesebb VLAN funkciót támogatnak
• Konfigurációjuk a running config-ban tárolódik
• VTP nem tanulja meg őket
VLAN Assignment
Creating a VLAN
VLAN Assignment
Assigning Ports to VLANs
VLAN Assignment
Changing VLAN Port Membership
A port visszakerül az
alapértelmezett VLAN-ba
VLAN Assignment
Changing VLAN Port Membership (cont.)
VLAN Assignment VLAN törlése után a hozzátartozó
Deleting VLANs portok egészen addig nem lesznek
képesek más állomásokkal
kommunikálni, amíg a
hozzárendelésük egy aktív VLAN-
hoz meg nem történik.
Fa0/11 „eltűnt”
VLAN Assignment
Verifying VLAN Information (cont.)
VLAN Assignment
Configuring IEEE 802.1q Trunk Links
VLAN Assignment
Resetting the Trunk To Default State
VLAN Assignment
Resetting the Trunk To Default State (cont.)
DTP - Dynamic Trunking Protocol
 DTP a Cisco szabadalmaztatott protokollja

 Más gyártók kapcsolói nem támogatják a DTP
 Catalyst 2960 és Catalyst 3560 sorozatú
kapcsolókon automatikusan engedélyezve van.
DTP - Dynamic Trunking Protocol
 Az Ethernet trönk interfészek különböző trönkölési módokat
támogatnak.
 Egy interfész trönk (trunking) vagy nem trönk (nontrunking)
módúra konfigurálható, illetve megadható az is, hogy a
trönkölést egyeztesse a hozzá csatlakozó szomszédos
interfésszel.
 A hálózati eszközök között a trönk egyeztetését a pont-pont
alapon működő dinamikus trönkprotokoll (DynamicTrunking
Protocol, DTP) végzi.
 A DTP a trönk egyeztetését csak akkor hajtja végre, ha a
szomszédos kapcsolón lévő port is olyan trönk módra van
beállítva, amely támogatja a DTP-t.
Dynamic Trunking Protocol
Negotiated Interface Modes
 Támogatott trönk módok és parancsaik
switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode trunk
switchport nonegotiate
Access és Dynamic Auto
 switchport mode access

Az interfészt állandósult nem trönk módba helyezi, és
egyeztetésbe kezd a kapcsolat "nem trönkké"
alakítására. Az interfész "nem trönk" interfész lesz,
függetlenül attól, hogy a szomszédos interfész egy
trönk vagy egy hozzáférési port.
 Switchport mode dynamic auto
Képessé teszi az interfészt, hogy a kapcsolatot trönk
kapcsolattá alakítsa. Az interfész trönkinterfésszé
válik, ha a szomszédos interfész trönk (trunk) vagy
kezdeményező (desirable) módra van beállítva.
Minden Ez az alapértelmezett mód.
Dynamic Desirable
 switchport mode dynamic desirable

Az interfész megpróbálja a kapcsolatot aktívan trönk
kapcsolattá alakítani. Az interfész trönkinterfésszé
válik, ha a szomszédos interfész trönk (trunk),
kezdeményező (desirable) vagy automata (auto)
módra van beállítva.
Ez az alapértelmezett kapcsolóport mód olyan
régebbi kapcsolók esetében, mint például a Catalyst
2950 és 3550 sorozatú kapcsolók.
Trunk
 switchport mode trunk

Az interfészt állandósult trönk módba helyezi, és
egyeztetésbe kezd a kapcsolat trönkké alakítására.
Az interfész trönkinterfésszé válik, függetlenül attól,
hogy a szomszédos interfész esetleg nem trönk
interfész.
Nonegotiate
 switchport nonegotiate
Megakadályozza, hogy az interfész DTP-s kereteket
generáljon.
Csak akkor alkalmazható, ha a kapcsolóport access
vagy trunk módban van
Trönk kapcsolathoz a szomszédos interfészt
manuálisan kell trönk interfésznek beállítani
Troubleshooting VLANs and Trunks
Leggyakoribb trönkölési hibák
 Natív VLAN keveredés
A trönk portok különböző natív VLAN-okkal vannak konfigurálva.
Konzolon egy figyelmeztetés
A vezérlő- és felügyeleti forgalom téves irányítását eredményezi. Ez
biztonsági kockázatot jelent.
 Trönkmód keveredés
Az egyik trönkporton be van kapcsolva a trönk mód, a másikon pedig
ki van kapcsolva.
A trönk kapcsolat működésképtelenségét okozza.
 A trönkökön engedélyezett VLAN-ok
A trönkön engedélyezett VLAN-ok listája nem lett az éppen aktuális
trönkölési igényeknek megfelelően frissítve.
Nem várt forgalom, vagy éppen semmilyen forgalom nem lesz a
trönkön keresztül továbbítva.
Attacks on VLANs
VLAN ugrás - VLAN hopping attack
 Azt használják ki, hogy a kapcsolók portjainak alapértelmezett
beállítása dynamic auto
 A hálózati támadó úgy konfigurál egy rendszert, hogy az
kapcsolónak álcázza magát.
 Így az eredeti kapcsoló megkísérel vele trönk kapcsolatot
kiépíteni  a támadó hozzáférést szerez a trönkporton
engedélyezett valamennyi VLAN-hoz
 Védekezés:
• Trönkölés kikapcsolása mindenhol, ahol nem szükséges
• Trönk porton DTP letiltása, és a trunk manuális beállítása
Kettős címkézéssel végrehajtott VLAN
ugrásos támadás - Double-Tagging Attack
 Azt a módot használja ki, ahogyan a legtöbb kapcsoló
hardvere működik:
a 802.1Q beágyazásnak csak egyszintű visszafejtését
hajtja végre
 a támadó egy rejtett 802.1Q címkét ágyaz be a keret
belsejébe. Ez a címke lehetővé teszi a keretnek egy
olyan VLAN-ba történő továbbítását, amely az eredeti
802.1Q címkében nem volt megadva.
 A kettős beágyazásos VLAN ugrásos támadás egy
fontos tulajdonsága, hogy akkor is működik, ha a trönk
portok le vannak tiltva
Kettős címkézéses VLAN ugrásos
támadás 3 lépése
 1. A támadó egy duplán megcímkézett 802.1Q keretet

küld a kapcsolónak. A külső fejléc: natív vagy
hangátviteli VLAN
(hozzáférési porton címkézett Ethernet keretet nem kaphat)
 2. A keret megérkezik a kapcsolóba, a külső VLAN

címke eltávolítása után továbbítódik valamennyi natív
VLAN-ba tartozó trönk portra. (újracímkézetlenül)
 3. A második kapcsoló csak a belső címkét nézi meg,
és az alapján továbbítja a keretet
Attacks on VLANs
Double-Tagging Attack
Attacks on VLANs
PVLAN Edge
 A védett portok semmilyen forgalmat (egyedi címzésű,
csoportcímzésű vagy szórásos) nem továbbítanak más
védett portok felé, kivéve a vezérlő forgalmat. Második
rétegben a védett portok között nem lehet adatot
továbbítani.
 A védett és a nem védett portok közötti továbbítás a
szokásos módon történik.
 Védett portokat manuálisan kell beállítani:
switchport protected
no switchport protected
Design Best Practices for VLANs
VLAN-ok tervezésének bevált gyakorlatai
 Összes port a VLAN 1-től eltérő VLAN-hoz legyen társítva:
 Az összes nem használt port, egy a hálózaton másra nem
használt, "fekete lyuk" VLAN-hoz tartozzon
 Használaton kívüli portok letiltása
 Felügyeleti és a felhasználói adatforgalom szétválasztása
 A felügyeleti és a natív VLAN számának megváltoztatása
(Ne a VLAN 1 legyen)
 Csak a felügyeleti VLAN eszközei kapcsolódhassanak a
kapcsolóhoz távoli felügyelet céljából
 Kizárólag SSH kapcsolat engedélyezése
 Az automatikus egyeztetés (DTP autonegotiation) letiltása
 Ne használjuk a dynamic auto és a dynamic desirable módot
 Külön VLAN a hang- és az adatforgalom számára

Vlans - HUN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Vlans - HUN

Uploaded by

Copyright:

Available Formats

VLAN - Virtual Local Area Network

 A VLAN-ok a fizikai kapcsolatok helyett a logikai kapcsolatokra

 Biztonság - Az érzékeny adatokkal dolgozó csoportok

 Jobb teljesítmény – a logikai felosztás csökkenti a

 Könnyebb projekt- és alkalmazásmenedzsment -

 Felhasználók által generált forgalom számára

 Alapértelmezett konfiguráció esetén minden port az

 Trönk (Trunk) port – egynél több VLAN forgalmának a

 Alapértelmezés szerint a VLAN 1

 Amikor egy kapcsoló trönkportja címkézetlen kereteket fogad, akkor

 DTP a Cisco szabadalmaztatott protokollja

 switchport mode access

 switchport mode dynamic desirable

 switchport mode trunk

 1. A támadó egy duplán megcímkézett 802.1Q keretet

 2. A keret megérkezik a kapcsolóba, a külső VLAN

You might also like