Проектирование и обеспечение безопасности VLAN

Практические рекомендации по проектированию виртуальной локальной сети

В заводских настройках коммутаторов Cisco заданы различные сети VLAN для поддержки различных сред и типов протоколов. VLAN 1 является сетью Ethernet VLAN по умолчанию. Наилучший метод обеспечения безопасности — настроить все порты на всех коммутаторах так, чтобы они были связаны с сетями VLAN, исключая сеть VLAN 1. Для этого, как правило, нужно настроить все неиспользуемые порты в сеть VLAN «чёрной дыры», которая никогда не используется в сети. Все используемые порты связаны с сетями VLAN, кроме VLAN 1 и VLAN «чёрной дыры». Для предотвращения несанкционированного доступа рекомендуется отключать неиспользуемые порты коммутатора.

Также для обеспечения безопасности рекомендуется отделять административный трафик от пользовательского. Управляющая VLAN, установленная по умолчанию сетью VLAN 1, следует заменить на другую VLAN. Для удалённого управления коммутатором Cisco коммутатору необходим IP-адрес, настроенный на управляющую VLAN. Пользователи в других сетях VLAN не смогут устанавливать сеансы удалённого доступа с коммутатором, если они не были маршрутизированы в управляющую VLAN с обеспечением дополнительного уровня безопасности. Кроме того, коммутатор следует настроить для приёма только зашифрованных сеансов SSH удалённого управления.

Весь управляющий трафик отправляется на VLAN 1. Поэтому, когда сеть native VLAN изменена на сеть, отличную от VLAN 1, весь управляющий трафик тегируется на транковых каналах IEEE 802.1Q VLAN (тегируется идентификатором VLAN 1). Для обеспечения безопасности рекомендуется изменить сеть native VLAN на сеть, отличную от VLAN 1. Сеть native VLAN также должна отличаться от всех пользовательских сетей VLAN. Убедитесь, что native VLAN для транкового подключения 802.1Q одинакова на обеих сторонах канала.

Протокол DTP предлагает четыре режима порта коммутатора: режим доступа, транковый, динамический автоматический и динамический рекомендуемый. Согласно общей рекомендации, автосогласование следует отключить. Следуя практической рекомендации для обеспечения безопасности, не используйте динамический автоматический или динамический рекомендуемый режимы портов коммутатора.

Наконец, голосовой трафик ограничивается жёсткими требованиями QoS. Если пользовательские компьютеры и IP-телефоны находятся в одной сети VLAN, каждый пытается использовать доступную полосу пропускания, не принимая во внимание другие устройства. Чтобы избежать таких конфликтов, рекомендуется использовать отдельные VLAN для IP-телефонии и трафика данных.