Native, management, black hole VLAN

Damian Stelmach

VLAN natywny (ang. native VLAN), zwany czasem VLANem pierwotnym jest to rodzaj sieci wirtualnej, która obsługuje tak zwany ruch nieoznakowany, czyli przesyła ramki, które nie mają identyfikatora VLAN. Łącza trunkowe, czasami nazywane magistralami 802.1Q, potrafią obsługiwać ruch pochodzący właśnie z różnych sieci VLAN, ruch oznakowany, otagowany, ale również ruch z poza sieci VLAN.

Native VLAN

Jeśli do łącza trunk trafi taka nieoznakowana ramka to zostaje przekazana właśnie do pierwotnej, czyli natywnej sieci VLAN. Ten Native VLAN został zdefiniowany w standardzie 802.1Q po to, aby zapewnić kompatybilność wsteczną w sieciach, gdzie czasem stosuje się jeszcze koncentratory, ale może być czasem wykorzystywany do transportu danych sterujących różnych protokołów sieciowych. Domyślnym natywnym VLANem w przełącznikach CISCO jest VLAN 1, ten do którego należą wszystkie porty przełącznika przed implementacją sieci wirtualnych.

Dobrą praktyką związaną z bezpieczeństwem sieci jest przeniesienie natywnego VLANu do innej sieci niż domyślna, najlepiej do takiej, która odseparowana jest od innych sieci VLAN, oczywiście tylko wtedy kiedy ten natywny vlan nie przenosi jakiegoś faktycznego ruchu, który w sieci jest pożądany. W większości opracowań dotyczących bezpieczeństwa sieci CISCO znajdziemy informacje, że jako VLAN natywny ustawić powinniśmy VLAN o numerze 99, ale to tak naprawdę nie ma znaczenia jaki numer zostanie wybrany. Aby zmienić ustawienie dotyczące natywnej sieci VLAN, należy w trybie konfiguracji portu, który jest TRUNKiem ( w przypadku naszej sieci to port GigabitEthernet 0/1) wydać następujące polecenie:

  • Switch(config-if)# switchport trunk native vlan 99

Wykonanie tego polecenia spowoduje, że ruch nieoznakowany trafiać będzie do sieci VLAN o numerze 99. Warto zaznaczyć, że tej sieci nie znajdziecie w pliku VLAN.DAT, gdyż tak naprawdę nie została ona stworzona. Takie polecenie kieruje tylko ruch nieoznakowany, ale nie tworzy nam sieci VLAN o numerze 99. Jeśli w realnej sieci VLAN natywny będzie potrzebny, no to zanim wykonane zostanie takie polecenie, to należy utworzyć ręcznie sieć o odpowiednim identyfikatorze. Pamiętać należy o tym, że taką modyfikację, czyli zmianę natywnej sieci VLAN na inną niż domyślna, wykonać należy na wszystkich przełącznikach w sieci. Aby sprawdzić czy VLAN natywny został zmieniony, należy wykonać polecenie, w trybie uprzywilejowanym show interface trunk:

TRUNK interface

VLAN zarządzający (ang. management VLAN), to rodzaj sieci wirtualnej, która utworzona jest na przełącznikach sieciowych po to aby odseparować ruch, tak zwany zarządzający (ang. management traffic), od faktycznego ruchu sieciowego, który generują komputery użytkowników. W pierwszym odcinku pokazałem jak konfigurować urządzenia za pomocą fizycznego połączenia z wykorzystaniem kabla konsolowego. To oczywiście jest dobra, skuteczna i zarazem bezpieczna metoda konfiguracji urządzeń sieciowych, ale oczywiście nie jedyna.

Urządzenia sieciowe można również konfigurować za pomocą protokół zdalnego dostępu takich jak Telnet czy też SSH. Jeśli chcemy konfigurować nasze urządzania z poziomu właśnie protokołu zdalnego dostępu no to jasne jest, że komputer administratora musi być podłączony do jednego a portów takiego przełącznika. W takiej sytuacji dobrą praktyką jest utworzenie osobnego VLANu, do którego podłączone są tylko urządzenia administratorów.

Management VLAN

Ostatnim typem "specjalnych" rodzajów sieci VLAN jest VLAN typu czarna dziura (ang. black hole VLAN). Biorąc pod uwagę fakt, że w sieciach komputerowych jako cel nadrzędny powinniśmy obierać siebie bezpieczeństwo, coś musimy teraz zrobić z naszymi nieużywanymi portami. Te nieaktywne, nieużywane porty możemy dodać do jakiegoś fałszywego VLANu, w którym nie pracują żadne maszyny. Dzięki temu nawet jeśli jakiś intruz się do niego dostał, nie będzie mógł za wiele namieszać.