4.2.2 Использование vlan-ов для разделения трафика и введения сегментирования

VLAN-ы (Virtual Local Area Network) по своей природе – это немаршрутизируемые сегменты трафика. В большинстве современных зданий приходится обеспечивать довольно большие объемы маршрутизации IP-трафика, чтобы связать отдельные сегменты сети, построенные на VLAN-ах. В кампусах роутингом приходится заниматься еще больше. В итоге с большим количеством VLAN-ов часто можно наблюдать возникновение проблем с управляемостью такой системой. И сложности могут только нарастать при добавлении сети WLAN (Wireless Local Area Network) в инфраструктуру. Для упрощения можно использовать методы поддержания мобильности между разными SSID, а также стремиться сохранить текущую схему IP-адресации. Важно, чтобы выбранное решение WLAN обеспечивало работу с множеством различных VLAN вокруг(позади) одного SSID. Это дает возможность реализовывать различные политики безопасности внутри инфраструктуры основываясь на результатах авторизации пользователя не нагружая пользователя, при этом, сложными правилами. Например чтобы получить доступ к сервисам в зоне-Х надо использовать SSID-X и метод аутентифкации Х, а к сервисам в зоне-Y, надо искать SSID-Y и аутентификацию Y. Все политики могут быть реализованы прозрачно и просто для пользователя. В настоящее время это уже довольно обычный функционал в современных централизованных решениях вендоров высокого уровня. На рисунке 4.2. показан пример использования VLAN.

Рисунок 4.2 – Использование VLAN

Стратегии Безопасных VLAN-ов. Ключ к успешному безопасному использованию VLAN-ов это динамическое их назначение. Динамическое назначение является критическим требованием для создания управляемых сетей. Статическое назначение будет вызывать долгосрочные проблемы с поддержкой и препятствовать возможностям мобильности конечных пользователей. Путем введения процедуры аутентификации в любой точек доступа в сеть безопасная ИТ-инфраструктура может поддерживать быстрые изменения и перемещения сотрудников поодиночке или целыми отделами с минимальными затратами.

Существует множество путей для динамического назначения VLAN-ов, например:

– основываясь на аутентификационной информации 802.1х;

– основываясь на информации из веб-аутентификации;

– в соответствии с SSID, выбранным пользователем в беспроводной сети;

– основываясь на выявлении какого-либо другого аттрибута, как, например, МАС-адрес устройства, тип устройства, статус текущего состояния безопасности устройства, местоположение пользователя и т.п..

Введение динамического назначения VLAN-ов требует наличия механизма предоставления авторизационной информации во время аутентификации. В некоторых случаях это может поддерживаться в ручном режиме или используя дополнительные возможности, как, например, списки пользователей с информацией об их возможностях. В случае использования нескольких SSID на сети пользователь запрашивает разрешения на доступ в определенную сеть (или сегмент сети) и затем проходит аутентификацию. При использовании аутентификации 802.1х у пользователя нет возможности запросить доступ в определенный VLAN, что означает, что такая информация (о VLAN-е куда пользователь должен быть направлен) должна быть сохранена на сервере, который выполняет 802.1х аутентификацию пользователей (например какой-либо RADIUS-сервер с соответствующим функционалом ). Также, как мы говорили ранее, информация по VLAN-у может быть модифицирована в ходе присоединения к сети WLAN на основании другой информации, например местоположения пользователя и т.п..