Pratiques recommandées VLAN et conseils de Sécurité pour des Routeurs d'affaires de Cisco

Objectif

L'objectif de cet article est d'expliquer les concepts et les étapes pour exécuter des pratiques recommandées et des conseils de Sécurité en configurant des VLAN sur le matériel d'affaires de Cisco.

Table des matières

• Une certaine terminologie rapide pour les internautes novice
• Pratique recommandée #1 - Affectation de port VLAN
  • Fondements d'affectation de port
  • Configurer des ports d'accès
  • Configurer des ports de joncteur réseau
  • Forum aux questions
• Pratique recommandée #2 - VLAN 1 par défaut et ports inutilisés
  • Forum aux questions
• Pratique recommandée #3 - Créez un « cul-de-sac » VLAN pour des ports inutilisés
• Pratique recommandée #4 - Téléphones IP sur un VLAN
• Pratique recommandée #5 - Routage inter-VLAN

Introduction

Voulez rendre votre réseau d'affaires plus efficace tout en le maintenant sécurisé ? Une des manières de faire ceci est d'installer correctement les réseaux locaux virtuels (VLAN).

Un VLAN est un groupe logique de postes de travail, des serveurs, et des périphériques de réseau qui semblent être sur le même réseau local (RÉSEAU LOCAL) en dépit de leur répartition géographique. En un mot, le matériel sur le même trafic d'enable VLAN entre le matériel à être distinct et plus sécurisés.

Par exemple, vous pourriez avoir une comptabilité d'ingénierie, de vente, et. Chaque service a des employés sur différents planchers du bâtiment, mais ils doivent toujours accéder et communiquer aux informations dans leur propre service. Il est essentiel pour partager des documents et des services Web.

Les VLAN doivent être d'installer avec des pratiques recommandées afin de maintenir votre réseau sécurisé. Faites les choix intelligents suivants en installant des VLAN. Vous ne le regretterez pas !

Périphériques applicables

• RV042
• RV110W
• RV130
• RV132
• RV134W
• RV160W
• RV215W
• RV260
• RV260P
• RV260W
• RV320
• RV325
• RV340
• RV340W
• RV345
• RV345P

Une certaine terminologie rapide pour les internautes novice

Port d'accès : Un port d'accès porte le trafic pour seulement un VLAN. Des ports d'accès désigné souvent sous le nom d'un port non-marqué, puisqu'il y a seulement un VLAN sur ce port et le trafic peut être passé sans balises.

Port de joncteur réseau : Un port sur un commutateur qui porte le trafic pour plus d'un VLAN. Des ports de joncteur réseau désigné souvent sous le nom des ports étiquetés puisqu'il y a plus d'un VLAN sur ces port et trafic pour tout sauf l'un besoin VLAN d'être étiqueté.

VLAN indigène : L'un VLAN dans un port de joncteur réseau qui ne reçoit pas une balise. N'importe quel trafic qui n'a pas une balise sera envoyé au VLAN indigène. C'est pourquoi les deux côtés d'un besoin de joncteur réseau de s'assurer les ont le même VLAN ou trafic indigène n'iront pas à l'endroit correct.

Pratique recommandée #1 - Affectation de port VLAN

Fondements d'affectation de port

• Chaque port LAN peut être placé pour être un port d'accès ou un port de joncteur réseau.
• Des VLAN que vous ne voulez pas sur le joncteur réseau devraient être exclus.
• Un VLAN peut être placé dans plus d'un port.

Configurer des ports d'accès

• Un VLAN assigné sur un port LAN
• Le VLAN qui est assigné ce port devrait être étiqueté non-marqué
• Tous autres VLAN devraient être étiquetés exclus pour ce port

Pour placer ces derniers correctement, naviguez vers des configurations de RÉSEAU LOCAL > VLAN. Sélectionnez les IDs de VLAN et cliquez sur éditent en fonction l'icône. Sélectionnez le menu déroulant pour les interfaces l'unes des de RÉSEAU LOCAL pour des VLAN répertoriés pour éditer l'étiquetage VLAN. Cliquez sur Apply.

Le contrôle cet exemple de chaque VLAN a assigné son propre port LAN :

Configurer des ports de joncteur réseau

• Deux ports LAN ou plus du partage un VLAN
• Un des VLAN peut être étiqueté non-marqué.
• Le reste des VLAN qui font partie du port de joncteur réseau devrait être étiqueté étiqueté.
• Les VLAN qui ne sont pas une partie du port de joncteur réseau devraient être étiquetés exclus pour ce port.

Prenez à un regarder cet exemple des divers VLAN qui sont tous sur des ports de joncteur réseau. Pour placer ces derniers correctement, sélectionnez les IDs de VLAN qui doivent être édités. Cliquez sur en fonction l'icône d'éditer. Changez-les a basé sur vos besoins, suivant les recommandations ci-dessus. Par la manière, avez-vous noté que le VLAN 1 est exclu de chaque port LAN ? Ceci sera expliqué dans la section, pratique recommandée pour le par défaut VLAN 1.

Forum aux questions

Pourquoi est-ce qu'un VLAN est laissé non-marqué quand c'est le seul VLAN sur ce port ?

Puisqu'il y a juste un VLAN assigné sur un port d'accès, le trafic sortant du port est envoyé sans n'importe quelle balise VLAN sur les trames. Quand la trame atteint le port de commutateur (le trafic entrant), le commutateur ajoutera la balise VLAN. 

Pourquoi est-ce que des VLAN sont étiquetés quand ils font partie d'un joncteur réseau ?

Ceci est fait de sorte que le trafic qui passe n'obtienne pas envoyé au VLAN incorrect sur ce port. Les VLAN partagent ce port. Semblable aux nombres d'appartement ajoutés à une adresse pour s'assurer la messagerie va à l'appartement correct dans cela le bâtiment partagé.

Pourquoi le trafic est-il laissé non-marqué quand ce fait partie du VLAN indigène ? 

Un VLAN indigène est une manière de porter le trafic non-marqué à travers un ou plusieurs Commutateurs. Le commutateur assigne n'importe quelle trame non marquée qui arrive sur un port étiqueté au VLAN indigène. Si une trame sur le VLAN indigène part d'un joncteur réseau (étiqueté) pour mettre en communication, le commutateur élimine la balise VLAN.

Pourquoi est-ce que des VLAN sont exclus quand ils ne sont pas sur ce port ?

Ceci garde le trafic sur ce joncteur réseau seulement pour les VLAN que l'utilisateur veut spécifiquement. C'est considéré une pratique recommandée.

Pratique recommandée #2 - VLAN 1 par défaut et ports inutilisés

Tous les ports doivent être assignés à un ou plusieurs qu'un VLAN, y compris le VLAN indigène. Routeurs d'affaires de Cisco été livré avec le VLAN 1 assigné à tous les ports par défaut.

Un VLAN de gestion est le VLAN qui est utilisé à distance pour gérer, contrôler, et surveiller les périphériques dans vous réseau utilisant le telnet, le SSH, le SNMP, le Syslog, ou le FindIT de Cisco. Par défaut, c'est également VLAN 1. Une bonne pratique de sécurité est de séparer la Gestion et le trafic de données utilisateur. Par conséquent, il est recommandé que quand vous configurez des VLAN, vous utilisez le VLAN 1 pour la Gestion seulement.

Pour communiquer à distance avec un commutateur de Cisco pour la Gestion, le commutateur doit avoir une adresse IP configurée sur le VLAN de gestion. Les utilisateurs dans d'autres VLAN ne pourraient pas établir des sessions d'Accès à distance au commutateur à moins qu'ils aient été conduits dans le VLAN de gestion, fournissant une couche de sécurité supplémentaire. En outre, le commutateur devrait être configuré pour recevoir seulement des sessions chiffrées de SSH pour la gestion à distance. Pour lire quelques discussions sur ce thème, cliquez sur en fonction les liens suivants sur le site Web de la Communauté de Cisco :

• Discussion #1 de VLAN de gestion
• Discussion #2 de VLAN de gestion

Forum aux questions

Pourquoi pratiquement le segment VLAN 1 non recommandé par défaut est-il votre réseau ?

La principale raison est que les acteurs hostiles savent que le VLAN 1 est le par défaut et employé souvent. Ils peuvent l'employer pour accéder à d'autres VLAN par l'intermédiaire du « houblonnage VLAN ». Pendant que le nom implique, l'acteur hostile peut envoyer le trafic charrié posant comme VLAN 1 que les enables accèdent à aux ports de joncteur réseau et de ce fait à d'autres VLAN.

Est-ce que je peux quitter un port inutilisé assigné pour transférer le VLAN 1 ?

Pour maintenir votre réseau sécurisé, vous ne devriez pas vraiment. Il est recommandé pour configurer tous ces ports à associer avec des VLAN autres que le par défaut VLAN 1.

Je ne veux pas assigner de ma production VLAN à un port inutilisé. Que puis-je faire ?

Il est recommandé que vous créez une « impasse » VLAN après les instructions dans la section suivante de cet article.

Pratique recommandée #3 - Créez un « cul-de-sac » VLAN pour des ports inutilisés

Étape 1. Naviguez vers des configurations de RÉSEAU LOCAL > VLAN.

Choisissez tout nombre aléatoire pour le VLAN. Soyez sûr que ce VLAN n'a pas le DHCP, le Routage inter-VLAN, ou la Gestion de périphériques activée. Ceci maintient les autres VLAN plus sécurisés. Mettez n'importe quel port LAN inutilisé sur ce VLAN. Dans l'exemple ci-dessous, VLAN 777 a été créé et assigné à LAN5. Ceci devrait être fait avec tous les ports LAN inutilisés.

Étape 2. Cliquez sur en fonction le bouton Apply pour sauvegarder les modifications de configuration que vous avez apportées.

Pratique recommandée #4 - Téléphones IP sur un VLAN

Le trafic vocal a des conditions requises rigoureuses de Qualité de service (QoS). Si votre société a des ordinateurs et des Téléphones IP sur le même VLAN, chaque des essais pour utiliser la bande passante disponible sans considérer l'autre périphérique. Pour éviter ce conflit, il est dans bonne pratique d'utiliser des VLAN distincts pour le trafic vocal et le trafic de données de Téléphonie sur IP. Pour se renseigner plus sur ces configuration, contrôle les articles suivants et vidéos :

• Entretien de tech de Cisco : Exprimez le VLAN installé et la configuration utilisant des produits Cisco Small Business (le vidéo)
• Configuration de la Voix automatique VLAN avec QoS sur le commutateur de gamme SG500
• Configuration de la Voix VLAN sur les commutateurs gérés de gamme 200/300
• Entretien de tech de Cisco : La configuration de l'Automatique-Voix VLAN sur des gammes SG350 et SG550 commute (le vidéo)

Pratique recommandée #5 - Routage inter-VLAN

Des VLAN sont installés de sorte que le trafic puisse être distinct, mais parfois vous avez besoin de VLAN pour pouvoir conduire entre l'un l'autre. C'est Routage inter-VLAN et n'est pas typiquement recommandé. Si c'est un besoin de votre société, établissez-la aussi sécurisé comme possible. En utilisant le Routage inter-VLAN, veillez à limiter le trafic utilisant le Listes de contrôle d'accès (ACL), aux serveurs qui contiennent les informations confidentielles.

ACLs exécutent le filtrage des paquets pour contrôler le mouvement des paquets par un réseau. Le filtrage des paquets fournit la Sécurité en limitant l'accès du trafic dans un réseau, en limitant l'utilisateur et l'accès au périphérique à un réseau, et en empêchant le trafic de partir d'un réseau. Les Listes d'accès IP réduisent la possibilité de la mystification et des attaques par déni de service, et permettent l'accès client dynamique et provisoire par un Pare-feu.

• Routage inter-VLAN sur un routeur RV34x avec des restrictions visées d'ACL
• Entretien de tech de Cisco : La configuration du Routage inter-VLAN sur la gamme SG250 commute (le vidéo)
• Entretien de tech de Cisco : Configuration d'inter-VLAN sur RV180 et RV180W (vidéo)
• Limite d'Access d'inter-VLAN RV34x (correctif de bogue CSCvo92300)

Conclusion

Là vous l'avez, maintenant vous connaissez quelques pratiques recommandées pour installer des VLAN sécurisés. Maintenez ces conseils dans l'esprit quand vous configurez des VLAN pour votre réseau. Répertoriés ci-dessous sont quelques articles qui ont des instructions pas à pas. Ceux-ci vous continueront se déplacer vers un réseau productif et efficace qui est juste juste pour votre entreprise.

• Configurer des configurations VLAN sur le RV160 et le RV260
• Configurez les configurations virtuelles du réseau local (VLAN) sur un routeur de gamme RV34x
• Configurez l'appartenance à un VLAN sur les routeurs VPN RV320 et RV325
• Configurez l'adhésion virtuelle du réseau local (VLAN) sur un routeur de la gamme rv
• Configurez l'ipv4 addres d'interface VLAN sur un Sx350 ou le commutateur SG350X par le CLI