Securitatea și Design-ul VLAN

Cele mai Bune Practici de Proiectare pentru VLAN-uri

Switch-urile Cisco au o configurație din fabrică în care VLAN-urile implicite sunt preconfigurate pentru a suporta diverse tipuri de media și de protocoale. VLAN-ul Ethernet implicit este VLAN 1. Este o bună practică de securitate să configurați toate porturile switch-urilor să fie asociate cu alte VLAN-uri înafară de VLAN 1. Acest lucru este de regulă realizat prin configurarea tuturor porturilor nefolosite la un VLAN inexistent care nu este folosit pentru nimic în VLAN. Toate porturile nefolosite sunt asociate cu VLAN-uri diferite de VLAN-ul 1 și diferite de VLAN-ul inexistent. De asemenea, este o bună practică să dezactivați toate porturile nefolosite pentru a preveni accesul neautorizat.

O bună practică de securitate este să separați traficul de management de traficul de date ale utilizatorilor. VLAN-ul de management, care este VLAN 1 în mod implicit, ar trebui să fie schimbat la un VLAN separat, diferit. Pentru a comunica de la distanță cu un switch Cisco în scopul administrării, switch-ul trebuie să aibe o adresă IP configurată pe VLAN-ul de management. Utilizatorii din alte VLAN-uri nu vor putea stabili sesiuni de conexiune de la distanță cu switch-ul decât dacă au fost rutați în VLAN-ul de management, oferind un strat suplimentar de securitate. De asemenea, switch-ul ar trebui configurat să accepte doar sesiuni criptate de SSH pentru administrarea la distanță.

Tot traficul de control este trimis pe VLAN 1. Prin urmare, când VLAN-ul nativ este schimbat la altceva decât VLAN-ul 1, tot traficul de control este etichetat pe VLAN-urile trunk IEEE 802.1Q (etichetate cu VLAN ID 1). O practică de securitate recomandată este să schimbați VLAN-ul nativ la un alt VLAN decât VLAN 1. VLAN-ul nativ trebuie să fie, de asemenea, diferit de celelalte VLAN-uri ale utilizatorilor. Asigurați-vă că VLAN-ul nativ pentru un trunk 802.1Q este același la ambele capete ale unei legături trunk.

DTP oferă patru moduri pentru porturile switch-ului: access, trunk, dynamic auto și dynamic desirable. Un sfat general este să dezactivați autonegocierea. Ca o bună practică de securitate a portului, nu folosiți modurile dynamic auto și dynamic desirable ale porturilor switch-ului.

În final, traficul de voce are cerințe stricte de QoS. Dacă PC-urile utilizatorilor și telefoanele IP sunt în același VLAN, fiecare încearcă să folosească lățimea de bandă disponibilă fără să considere alte dispozitive. Pentru a evita acest conflict, este o practică bună să folosiți VLAN-uri separate pentru telefonia IP și traficul de date.