Obiettivo di questo articolo è illustrare le nozioni fondamentali, le procedure delle best practice e i suggerimenti sulla sicurezza per configurare le VLAN sulle apparecchiature Cisco Business.
Si vuole rendere più efficiente la rete aziendale mantenendola sicura? Per ottenere questo risultato, occorre configurare correttamente le reti VLAN (Virtual Local Area Network).
Una VLAN è un gruppo logico di postazioni di lavoro, server e dispositivi di rete che si comportano come se appartenessero alla stessa LAN (Local Area Network) nonostante la loro posizione geografica distribuita. In poche parole, riunire l'hardware su una stessa VLAN permette di separare e rendere più sicuro il traffico tra le apparecchiature.
Consideriamo lo scenario di un'azienda con un reparto di ingegneria, un reparto di marketing e un reparto di contabilità. Ogni reparto ha dipendenti dislocati su piani diversi dell'edificio, che devono comunque accedere alle stesse informazioni del proprio reparto e comunicare tra loro. Le comunicazioni sono essenziali per condividere i documenti e i servizi Web.
Le VLAN devono essere configurate secondo le best practice per ottenere una rete sicura. Ecco alcune scelte intelligenti che è possibile implementare durante la configurazione delle VLAN. Non ve ne pentirete.
Porta di accesso: Una porta di accesso gestisce il traffico di una sola VLAN. Le porte di accesso sono spesso chiamate porte senza tag, in quanto ciascuna porta supporta il traffico di una sola VLAN e il traffico può essere trasmesso senza tag.
Porta trunk: Porta di uno switch che trasmette il traffico di più di una VLAN. Le porte trunk sono spesso chiamate porte con tag poiché supportano il traffico di più di una VLAN; è quindi necessario contrassegnare il traffico di tutte le VLAN tranne una.
VLAN nativa: L'unica VLAN in una porta trunk che non riceve un tag. Tutto il traffico senza tag verrà inviato alla VLAN nativa. Ecco perché è importante definire la stessa VLAN nativa su entrambi i lati del trunk al fine di indirizzare correttamente il traffico.
Per impostarle correttamente, andare a LAN > VLAN Settings (LAN > Impostazioni VLAN). Selezionare gli ID delle VLAN, quindi fare clic sull'icona di modifica. Selezionare il menu a discesa delle varie interfacce LAN per ciascuna VLAN elencata e modificare l'impostazione dei tag. Fare clic su Apply (Applica).
Nell'esempio seguente, a ciascuna VLAN è assegnata una propria porta LAN:
In questo esempio, le varie VLAN presenti sono state tutte raggruppate su porte trunk. Per impostarle correttamente, selezionare gli ID delle VLAN che richiedono una modifica. Fare clic sull'icona di modifica. Apportare le modifiche in base alle proprie esigenze, seguendo i consigli riportati sopra. Notare che la VLAN 1 risulta esclusa da ogni porta LAN. Per ulteriori informazioni a riguardo, fare riferimento alla sezione Best practice per la VLAN 1 predefinita.
Perché una VLAN rimane senza tag quando è l'unica VLAN su una porta?
Poiché alla porta di accesso viene assegnata una sola VLAN, i frame vengono inviati da tale porta (traffico in uscita) senza tag VLAN. Quando i frame raggiungono la porta dello switch (traffico in entrata), lo switch aggiunge il tag VLAN.
Perché le VLAN sono contrassegnate con un tag quando fanno parte di un trunk?
Considerato che la porta trunk supporta più VLAN, questa procedura assicura che il traffico in transito su tale porta non verrà inviato alla VLAN sbagliata. Analogamente, quando aggiungiamo all'indirizzo il numero di scala o l'interno di un appartamento, siamo certi che la posta venga consegnata all'appartamento giusto di un complesso condominiale.
Perché il traffico rimane senza tag quando appartiene alla VLAN nativa?
Una VLAN nativa permette di trasportare il traffico senza tag su uno o più switch. Lo switch assegna alla VLAN nativa qualsiasi frame senza tag in arrivo su una porta con tag. Se un frame sulla VLAN nativa lascia una porta trunk (con tag), lo switch rimuove il tag VLAN.
Perché le VLAN vengono escluse quando non appartengono alla porta trunk?
In questo modo il traffico sul trunk viene limitato alle sole VLAN desiderate dall'utente. Questa impostazione è considerata una best practice.
Tutte le porte devono essere assegnate a una o più VLAN, inclusa la VLAN nativa. Sui router Cisco Business la VLAN 1 è assegnata a tutte le porte per impostazione predefinita.
La VLAN di gestione viene usata per gestire, controllare e monitorare da remoto i dispositivi della rete tramite Telnet, SSH, SNMP, syslog o FindIT di Cisco. Per impostazione predefinita, questa è anche la VLAN 1. Una buona pratica in materia di sicurezza è separare il traffico dei dati di gestione da quello degli utenti. Pertanto, quando si configurano più VLAN, si consiglia di riservare la VLAN 1 alle finalità di gestione.
Per comunicare da remoto con uno switch Cisco a scopo di gestione, lo switch deve avere un indirizzo IP configurato sulla VLAN di gestione. Come ulteriore livello di sicurezza, gli utenti di altre VLAN non saranno in grado di stabilire sessioni di accesso remoto allo switch a meno che non vengano indirizzati alla VLAN di gestione. Inoltre, lo switch deve essere configurato in modo da accettare solo sessioni SSH criptate per la gestione remota. Per ulteriori informazioni su questo argomento, fare clic sui seguenti link sul sito Web della community Cisco:
Perché la VLAN 1 predefinita non è consigliata per segmentare virtualmente la rete?
Fondamentalmente perché è di dominio pubblico che la VLAN 1 è la VLAN predefinita e viene utilizzata di frequente. I malintenzionati potrebbero usarla per accedere ad altre VLAN tramite tecniche di "VLAN hopping" oppure per inviare traffico spoofing che, simulando di essere la VLAN 1, riuscirebbe ad accedere alle porte trunk e quindi alle altre VLAN.
Posso lasciare una porta inutilizzata assegnata alla VLAN 1 predefinita?
Se vuoi proteggere la rete, non dovresti. Consigliamo di configurare tutte le porte in modo che siano associate alle altre VLAN diverse dalla VLAN 1 predefinita.
Non voglio che le mie VLAN di produzione vengano assegnate a una porta inutilizzata. Cosa fare?
Consigliamo di creare una VLAN "dead end" seguendo le istruzioni riportate nella sezione successiva di questo articolo.
Passaggio 1. Passare a LAN > Impostazioni VLAN.
Scegliere una VLAN qualsiasi. Accertarsi che per tale VLAN non siano stati abilitati il protocollo DHCP, il routing tra VLAN o la gestione dei dispositivi. In questo modo le altre VLAN sono più sicure. Assegnare una porta LAN inutilizzata a questa VLAN. Nell'esempio seguente, la VLAN 777 è stata creata e assegnata alla LAN5. Questa operazione deve essere eseguita su tutte le porte LAN non utilizzate.
Passaggio 2. Fare clic sul pulsante Applica per salvare le modifiche apportate alla configurazione.
Il traffico voce ha severi requisiti di qualità del servizio (QoS). Se i computer e i dispositivi IP Phone aziendali si trovano sulla stessa VLAN, ciascun dispositivo cercherà di utilizzare la larghezza di banda disponibile senza considerare le esigenze degli altri dispositivi. Per evitare questo conflitto, si consiglia di utilizzare VLAN separate per il traffico voce e il traffico dati dei telefoni IP. Per ulteriori informazioni su questa configurazione, vedere i seguenti articoli e video:
Le VLAN sono configurate in modo che il traffico possa essere separato, ma a volte devono potersi scambiare i dati tra loro. In questo caso si parla di routing tra VLAN, ma questa prassi non è in genere consigliata. Nei casi in cui il routing tra VLAN sia una necessità aziendale, dovrà essere configurato nel modo più sicuro possibile. Quando si utilizza il routing tra VLAN, accertarsi di limitare il traffico utilizzando gli ACL (Access Control List) ai server che contengono informazioni riservate.
Gli ACL applicano un filtro ai pacchetti che attraversano una rete per controllarne i movimenti. Il filtro dei pacchetti fornisce sicurezza limitando l'accesso del traffico a una rete, limitando l'accesso di utenti e dispositivi a una rete e impedendo al traffico di lasciare una rete. Gli elenchi degli accessi IP riducono la possibilità di attacchi spoofing e denial-of-service e permettono agli utenti di accedere in modo dinamico e temporaneo tramite un firewall.
Ora conoscete alcune best practice per configurare VLAN sicure. Ricordate questi suggerimenti quando dovete configurare le VLAN della rete. Di seguito sono elencati alcuni articoli con istruzioni dettagliate. In questo modo potrete ottenere una rete produttiva ed efficiente, adatta alla vostra azienda.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
27-Jan-2020
|
Versione iniziale |