VLAN - Kontrollere kablet og trådløst traffic

Wired VLAN
VLAN bryte en fysisk LAN i flere logiske kringkasting domener. Hver LAN stasjonen hører trafikk sendt av sin egen VLAN, men får ingenting fra stasjoner i andre VLAN -. Ikke engang fra de fysisk koblet til samme Ethernet-svitsj

VLAN også gruppestasjoner sammen, uavhengig av nettverkstopologi. Når stasjoner i et VLAN er kablet til forskjellige Ethernet-svitsjer, er trafikken videresendt i løpet av inter-switch badebukser for å nå alle stasjoner som deltar i VLAN.

VLAN medlemskap kan statisk konfigurert til Ethernet-verter og brytere, basert på MAC-adressen eller portnummer, eller medlemskap kan bestemmes dynamisk ved å inspisere hvert Ethernet rammens VLAN Identifier (VID). Disse IEEE 802.1Q " tags " la oppstrøms nettverksenheter gjelder særskilte regler for hvert VLAN, fra IP-adressetildeling og kvaliteten på tjenesten til å kringkaste videresending og nettverk adgangskontroll.

For eksempel Figur 1 viser et nettverk bestående av fire distribuerte Ethernet kantsvitsjer og to logiske VLAN: Engineering (VID # 3) eller Sales (VID # 6). Hver VLAN har sin egen IP-subnett, og kan nå knyttet arbeidsgruppeservere. Selv om de dele infrastruktur og arbeid fra forskjellige steder, driver hver VLAN som om medlemmene var koblet til sin egen uavhengige LAN.

Figur 1. Wired VLAN

Trådløst VLAN Anmeldelser Nå antar at ett kontor bestemmer seg for å oppgradere til Wi-Fi. Hvordan kan vi utvide disse eksisterende VLAN å innlemme trådløse stasjoner, noe som gir disse arbeiderne nøyaktig de samme nettverkstilgangsrettigheter og begrensninger tidligere opplevd over Ethernet?

I et lite nettverk, kan vi konfigurere hver trådløst aksesspunkt (AP) med Extended Service Set identifikatorer (SSID-er) som kart til hver VLAN. Ved hjelp av forretnings APs stand til å støtte flere SSID, vil vi sette to SSID, innbinding hver til en eksisterende Ethernet VID, som vist i Figur 2. Nå, når Jack forbinder med " EngNet " SSID, tags AP alle sine rammer med VID # 3. Andre som deltar i Engineering VLAN kan nå snakke med Jack, og han vil være i stand til å nå de Engineering servere.

Figur 2. Kartlegging SSID til VLAN

Kartlegging noen SSID kan være enkelt, men denne metoden ikke skalerer godt. Ettersom antallet APs og VLAN vokser, øker også administrative ork å opprettholde statiske kartlegginger. Sannsynligheten for at en bruker vil ende opp på feil VLAN vokser - og ikke bare som et resultat av administrator feil. Snarere har vi ikke gjort noe her å hindre Jack fra å knytte til " SalesNet " . SSID, og dermed plasserer seg inn i salgs VLAN, der han vil ha tilgang til salgs servere

Vi kan bekjempe dette " VLAN hopping " problemet ved å bruke 802.1X Port Access Control å kontrollere SSID-bruk. En bekymret trådløs sikkerhet kontor bør bruke WPA (eller WPA2) Enterprise å kryptere over-the-air trafikk. Bruke WPA-Enterprise, når Jack prøver å assosiere med " SalesNet " SSID, sender AP en RADIUS Tilgang-Request til et 802.1X Authentication Server. Det Server bekrefter Jack identitet og legitimasjon før man beslutter å tillate LAN-tilgang. For å forhindre Jack fra hopping på Sales VLAN, kan vi konfigurere serveren til å returnere dennes SSID (" EngNet ") som en RADIUS-attributtet (se figur 3). Hvis de forespurte og tillatte SSID ikke stemmer overens, vil AP angre Jack, nekte tilgang til uautoriserte VLAN

Figur 3. Bruke 802.1X å kontrollere SSID-bruk

Så langt så bra.; men hva om vi hadde flere titalls eller hundrevis av VLAN? Det ville være fryktelig ineffektiv - kanskje umulig - å kartlegge hver VID på sin egen unike SSID. I et stort nettverk, trenger vi en helt annen tilnærming. I stedet for statiske SSID /VLAN kartlegginger, vi kunne bruke 802.1X RADIUS attributter å levere dynamiske VLAN-bindinger når trådløse brukere godkjennes. Nå, når Jack forbinder med " CorpNet " SSID, returnerer Server dennes VID (# 3), som AP bruker til å merke all sin trafikk. Når Jill forbinder med det samme " CorpNet " SSID, returnerer Server hennes autorisert VID (# 6), som AP bruker til å tagge sin trafikk. Med denne metoden blir godkjente brukere kartlagt på VLAN, uavhengig av tilgang medium.

Figur 4. Bruk 802.1X å levere VLAN tags

Poenget
Bruke 802.1X å levere VLAN tags er fleksibel, skalerbar og sikker. Fordi det trådløse nettverket ikke trenger å være segmentert å matche VLAN topologi, kan SSID brukes til andre formål, for eksempel å skille trådløs tale- og datatrafikk, isolere trådløse gjester eller karantene verter, eller migrering fra eldre enheter til neste-generasjons Wi- Fi. De andre SSID kan tilordnes til sine egne vids å holde trafikken segregerte som den beveger seg gjennom nettverket -. For stasjoner som ikke snakker 802.1X, for eksempel

Faktisk samme 802.1X Authentication Server kan brukes til å dynamisk levere VLAN-koder til kablet Ethernet-stasjoner, hvis alle Ethernet-svitsjer og vertene er 802.1X-stand. Administratorer vil ikke lenger trenger å konfigurere hver AP og kant Ethernet-svitsj med VLAN kartlegginger. I stedet ville VLAN tags konfigureres til individuelle eller gruppeautorisasjonsregler, lagret på bare ett sted:. Brukerdatabasen konsultert av 802.1X Authentication Server

Hvis du vil vite mer om trådløs VLAN konfigurasjon og beste praksis, se disse tips:
Bruke VLAN å fordeler WLAN trafikk
Kombinere 802.1X og VLAN for WLAN autorisasjon

Om bidragsyter Bilde: Lisa A. Phifer er visepresident for Kjerne Kompetanse Inc. Hun har vært involvert i utforming, gjennomføring og evaluering av datakommunikasjon, Internett, sikkerhet og nettverksadministrasjon produkter for over 20 år og har rådet små og store bedrifter om sikkerhetsbehov, produktvurdering, og bruk av nye teknologier og beste praksis

NETWORK SECURITY SCHOOL MENU
Network Security School:. Hjem Leksjon: Hjem Leksjon webcast Leksjon podcast

Previous:Hvordan er IP-adresser og nettverksmasker beregnet?

Next Page:Vistas nettverksdiagnostikk Work: God idé, mindre enn fantastisk results