10.3 VLAN - רשת מקומית וירטואלית
VLAN - רֶשֶׁת תִּקְשֹׁרֶת מְקוֹמִית וִירְטוּאָלִית (Virtual Local Area Network) היא מקטע (Segment) ברשת מקומית שמוגדר מבחינה לוגית כרשת אוטונומית.
פרוטוקול VLAN מגדיר טכנולוגיה המאפשרת לחלק רשת LAN המרוכזת על ידי מתג אחד או יותר למספר תת-רשתות "וירטואליות".
הבידול לרשתות שונות נעשה פיזית בשכבה הראשונה של מודל ה-OSI, על ידי חסימת העברת אותות במתג בין הפורטים השונים שלו אשר אינם משויכים לאותו ה-VLAN. החסימה מאפשרת את חלוקת הרשת המקומית למספר רשתות שונות ונפרדות (Segments) אשר יכולות לתקשר ביניהן כרשת WAN.
השימוש ברשתות מקומיות וירטואליות החל כאשר היה צורך להקטין את מתחמי ההתנגשות (Collision domain) ברשתות מקומיות, והבעיה נפתרה על ידי הכנסתם של המתגים (Switch) שמאפשרים את חלוקת הרשת בצורה וירטואלית. השימוש העיקרי בחלוקה כזו הוא הקטנת מתחמי השידור (Broadcast domain) ברמת כתובות ה-MAC.
שימוש נוסף והנפוץ יותר לרשתות וירטואליות מקורו בקלות בה ניתן להחל באמצעותן הרשאות אבטחה ומידור.
יישום של רשתות מקומיות וירטואליות נעשה כיום בעזרת מתגים "חכמים", המאפשרים קיבוץ לוגי של מספר קצוות המחוברים אליהם. מספר מתגים המחוברים ביניהם מתפקדים לצורך העניין כמתג בודד, ומאפשרים קיבוץ קצוות מכל רחבי מתחם השידור (המוגבל בדרך-כלל על ידי נתבים) והפרדתם למתחם שידור נפרד. המתג מנהל רשימה של כל כתובות הMAC השייכות לרשת הווירטואלית, ומפריד אותם משאר הקצוות ברשת. על ידי הפרדה זו ניתן למשל לחלק לקצוות אלו כתובות IP השייכות לתת רשת מסוימת, להחיל מדיניות אבטחה (על ידי הגדרת הרשאות שונות למי ששייך לרשת הווירטואלית ולמי שלא) ועוד.
עקב הצורך בתעבורת מידע השייך לכמה רשתות וירטואליות על קו נתונים יחיד, כגון תעבורה אל יחידת שער אחת המשותפת לכמה רשתות וירטואליות או תעבורה בין שני מתגים שונים שבכל אחד מהם יש 2 רשתות וירטואליות שונות אבל משותפות לכל מתג. לכן נכתב תקן השייך לשכבה השנייה של מודל ה-OSI שנקרא 802.1Q או בצורה מילולית VLAN Tagging.
כאשר מגדירים כניסה מסוימת במתג ככניסה העובדת ב VLan Tagging ניתן לשייך לאותה כניסה יותר מרשת וירטואלית אחת וכך כניסה מסוימת יכולה להיות חברה בכמה רשתות שונות, כאשר לכל מסגרת של מידע היוצאת מכניסה זאת של המתג מצורפות סיביות שמשייכות את אותה מסגרת של מידע לרשת מסוימת, וכך ההתקן שמקבל את המסגרת הזאת יודע לאיזו רשת וירטואלית המידע הזה שייך ולנתב את המידע הזה על פי כך. ההתקן המקבל את המידע חייב לתמוך בתקן 802.1Q בשביל להיות מסוגל לפענח את המידע המתקבל.
הפרדת רשתות פיזית לעומת הפרדת רשתות לוגית (VLAN)
האם ניתן לעקוף למשל VLAN ולדלג ל VLAN אחר (מה שלא ניתן לעשות ב FIREWALL פיזי ?)
הפרדה פיזית של רשתות כרוכה בשימוש בקבוצות נפרדות של חומרה (מתגים, נתבים וכו') כדי ליצור רשתות עצמאיות לחלוטין. הפרדה לוגית של רשתות, כגון עם רשתות VLAN (Virtual Local Area Networks), כרוכה בהגדרת קבוצה אחת של חומרת רשת שתפעל כאילו היא מספר רשתות עצמאיות.
רשתות בהפרדה פיזית:
יתרונות:
- אבטחה: ההפרדה הפיזית היא מטבעה בטוחה יותר. תוקף חייב לקבל גישה פיזית לרשת כדי לסכן אותה, מה שמקשה על מעבר לרוחב בין רשתות.
- בידוד: בידוד מוחלט של תחומי שידור, מה שמפחית את הסיכון לסופות שידור ומשפר את הביצועים.
- פשטות: בדרך-כלל קל יותר להבין ולפתור בעיות ברשתות נפרדות פיזית, מכיוון שהן פועלות באופן עצמאי.
- אין תקורה של תצורה: מכיוון שרשתות נפרדות פיזית, אין צורך בתצורות תיוג VLAN מורכבות.
חסרונות:
- עלות: דורש סטים נפרדים של חומרה (מתגים, נתבים וכו'), דבר שעלול להיות יקר.
- מדרגיות: רשתות נפרדות פיזית עשויות להיות קשות יותר להרחבה, מכיוון שצמיחה דורשת חומרה נוספת.
- תקורה ניהולית: כל רשת חייבת להיות מנוהלת באופן עצמאי, מה שמגדיל את עומסי העבודה הניהוליים.
רשתות בהפרדה לוגית (VLANs):
יתרונות:
- עלות-יעילות: משתמש בסט יחיד של חומרה ליצירת רשתות מרובות, מה שמפחית עלויות.
- מדרגיות: קל יותר להרחבה, מכיוון שאתה יכול ליצור רשתות VLAN חדשות עם שינויי תצורה במקום חומרה חדשה.
- גמישות: רשתות VLAN יכולות להשתרע על מספר מתגים וניתן להגדיר אותן מחדש במהירות ובקלות כאשר הצרכים משתנים.
- תשתית פיזית מופחתת: נדרשים פחות כבלים ופחות מתגים, מה שמפשט את הפריסה הפיזית ומפחית את עלויות החשמל והקירור.
חסרונות:
- סיכוני אבטחה: מכיוון שרשתות VLAN מופרדות באופן לוגי ולא פיזית, קיים פוטנציאל לדליפה של נתונים בין רשתות VLAN באמצעות תצורה שגויה או פגיעויות.
- מורכבות: קביעת תצורה וניהול של רשתות VLAN עשויות להיות מורכבות, ודורשות מנהלי מערכת מיומנים.
- פוטנציאל לתצורה שגויה: עם המורכבות מגיע הסיכון לשגיאות תצורה, שעלולות להוביל לבעיות אבטחה וקישוריות.
קפיצות VLAN ודאגות אבטחה:
קפיצת VLAN היא התקפת רשת לפיה תוקף יכול לשלוח מנות ליציאת רשת שאינה נגישה בדרך-כלל. ישנם שני סוגים עיקריים של התקפות VLAN: זיוף מתג ותיוג כפול. למתגים מודרניים יש תכונות למניעת התקפות אלה כאשר מוגדרים כראוי.
כדי למזער את הסיכון לקפיצות VLAN:
- לא לאפשר Trunking אוטומטי: Trunking אוטומטי מאפשר ליציאה להפוך לטראנק באופן אוטומטי, אך בדרך-כלל אין צורך בכך עבור התקני קצה.
- הגדר יציאות שאינן בשימוש ל-VLAN שאיננו בשימוש והשבת אותן: זה מבטיח שגם אם תוקף מקבל גישה ליציאה, הוא לא יכול לגשת ל-VLAN הפעילים.
- השתמש ברשימות בקרת גישה ל-VLAN (VACL) וב-VLAN פרטיים (PVLANs): אלה מספקים שכבות נוספות של אבטחה בין רשתות VLAN.
לכן, בעוד שרשתות VLAN מתוכננות לפעול כרשתות נפרדות לחלוטין, הן אינן מאובטחות מטבען כמו רשתות נפרדות פיזית. תצורה נכונה ואמצעי אבטחה נחוצים כדי לשמור על בידוד חזק בין רשתות VLAN.
רשתות VLAN, כשהן מוגדרות ומאובטחות כהלכה, יכולות לספק הפרדה חזקה של רשתות, אך ישנם סיכונים אם לא מטפלים בזהירות. מצד שני, הפרדת רשת פיזית מספקת רמה גבוהה יותר של אבטחה ובידוד, אך בעלות גבוהה יותר ועם פחות גמישות.