VLAN er eit samleomgrep for fleire standardar (nokre proprietære) som gjer det mogleg å setje opp fleire segmenterte, eller åtskilde, logiske nettverk på eitt og same fysiske utstyr. Dermed kan ein gi forskjellige brukargrupper kvar sine logiske nettverk som ikkje påverkar kvarandre.
Den viktigaste standarden i dag er IEEE 802.1Q, og denne er støtta av dei fleste utstyrsleverandørane.
Datapakkar blir merkte med VLAN-nummer (VLAN tag) i Ethernet-ramma (Ethernet frame) som er del av lag 2, datalinklaget, i TCP/IP-modellen.
VLAN-nummeret identifiserer kva for eit virtuelt lokalnettverk datapakken høyrer til. Nettverksutstyr som administrerbare (managed) svitsjar og ruterar blir konfigurert med reglar for kva VLAN som skal vere tilgjengeleg på kva for fysiske nettverkssportar, og det sikrar at datapakkane ikkje kan sendast feil.
Kvifor VLAN er naudsynt
Dei fleste organisasjonar og bedrifter må dekkje behov for fleire ulike brukargrupper samtidig. Kvar brukargruppe har spesielle behov for tilgangar til internett, data og tenester. Nokre brukargrupper treng sensitiv informasjon, og det er viktig at denne informasjonen er utilgjengeleg for andre i nettverket. Enkelttenester kan som oftast bli beskytta med passord og kryptering, men det er endå betre viss tenestene ikkje eingong er synlege for dei som ikkje treng dei.
Å samle alle brukarane i eit enkelt logisk nettverk gir auka fare for brukarfeil og større risiko for angrep både frå interne og eksterne trusselaktørar.
Døme på brukargrupper på ein skule
Dei fleste brukarane av nettverk på ein skule er elevane. Elevane treng tilgang til internett og nokre gonger til spesifikke lokale tenester. Det er ønskjeleg å verne utstyret til elevane både frå utanforståande og andre elevar på nettverket.
Skular har administrasjon, leiing,
oppfølgingsteneste og lærarar som i større eller mindre grad treng tilgang til sensitive personopplysningar for å kunne gjere arbeidet sitt. Det er viktig at slik informasjonen ikkje blir tilgjengeleg for uvedkomande.
Nettverksinfrastruktur, lys og klimastyring, inngangskontroll og kameraovervaking er òg tilkopla nettverk og skal berre vere tilgjengeleg for enkeltpersonar ved skulen.
Oppsett utan VLAN
Dersom nettverk skal setjast opp utan VLAN, må kvar brukargruppe ha sitt eige fysiske oppsett som blir halde åtskilt. Tenk deg ei lita bedrift. Bedrifta treng eit nettverk for sitt eige utstyr og eit nettverk som gjestar (og det private utstyret til tilsette) kan kople seg til for å få internett-tilgang, men ingen andre tilgangar.
Det går fint an å setje opp ein ruter som er kopla til internett på den eine sida, og som er kopla til to separate lokale nettverk som på biletet under. Begge nettverka er kopla til den same ruteren – via ulike fysiske portar, men ruteren held nettverka åtskilde slik at direkte kommunikasjon mellom nettverka ikkje er mogleg.
Eit slikt oppsett gjer det mogleg å sikre tilsettnettverket mot eventuelle trusselaktørar som får tilgang til gjestenettverk, der passordet som oftast er fritt tilgjengeleg for alle som spør. Dersom internettkapasiteten er avgrensa, kan òg gjestenettverket ha avgrensingar fordi det ikkje skal bruke opp kapasiteten som dei tilsette treng for å arbeide effektivt. Ulempa med oppsettet er behovet for meir maskinvare og kabling. I store oppsett med mange brukargrupper vil dette vere upraktisk.
Oppsett med VLAN
Oppsett med VLAN krev at nettverksutstyret, det vil seie ruter, svitsjar og aksesspunkt, støttar VLAN. Eit oppsett med to VLAN, eitt for tilsette og eitt for gjester, kan setjast opp med berre eitt sett av utstyr.
Ruteren responderer på to ulike VLAN-nummer og to ulike IP-segment. Frå ruteren går ein fysisk kabel som inneheld begge VLAN (trunk) og går til svitsjen.
To aksesspunkt er òg kopla til svitsjen, og dei får begge levert VLAN. Moderne aksesspunkt kan levere fleire trådlause nettverk samtidig (fleire samtidige SSID-ar). Det trengst derfor berre eitt aksesspunkt per område, og kvart av desse leverer ut både trådlaust nettverk for tilsette og gjestenettverk.
Kvar fysiske port på svitsjen kan konfigurerast med eit bestemt, fleire bestemde eller alle tilgjengelege VLAN. Dette er til dømes nyttig viss stasjonære datamaskiner eller serverar skal koplast til. Svitsjporten kan då konfigurerast slik at berre ønskte VLAN er tilgjengelege for datamaskina eller serveren.
VLAN utan VLAN-nummer (Native VLAN)
Kvar fysiske nettverksport på svitsj kan konfigurere separat med dei VLAN-a som skal vere tilgjengelege. Det er òg mogleg å bestemme at VLAN-nummer skal fjernast frå datapakkar frå eit bestemt VLAN. Dette kallar vi Native VLAN, og det gjer det mogleg for utstyr som ikkje støttar VLAN, eller ikkje er konfigurert for å fungere mot eit bestemt VLAN, å få tilgang. Datapakkar som kjem frå einingane og ikkje har VLAN-nummer, vil få tilført riktig VLAN-nummer når det gjeld svitsjen.
Sikkerheit med VLAN
Segmentering av eit fysisk nettverk i fleire logiske nettverk hindrar brukarfeil og gjer det vanskelegare for trusselaktørar, både interne og eksterne. VLAN er dermed sentralt for å sikre god IT-sikkerheit, men VLAN har òg avgrensingar.
Fordi alle dei logiske nettverka køyrer på eit fysisk oppsett, kan konfigurasjonsfeil opne for at brukarar eller trusselaktørar får tilgang til feil ressursar i nettverket. Det er derfor viktig å teste konfigurasjon og jamleg sjekke at fysisk oppkopling stemmer overeins med konfigurasjonen.
VLAN er i utgangspunktet berre ei nummermerking av datapakkane. Dersom nokon får tilgang til det fysiske nettverket, til dømes ved på kople seg til ein trunk-kabel eller svitsjport som er konfigurert for å levere mange VLAN eller alle VLAN-a, kan VLAN-a både overvakast og manipulerast. Det er derfor tilrådd å berre konfigurere bruk av naudsynte VLAN på svitsjportane og at trunk-kablar mellom svitsjane ligg skjerma, altså at dei er utilgjengelege.