Hopp til innhald
Fagartikkel

Virtuelt lokalnettverk (VLAN)

VLAN gjer det mogleg å setje opp fleire åtskilde virtuelle nettverk på eitt sett med fysisk utstyr. VLAN er sentralt i dei fleste bedriftsnettverk og gir auka sikkerheit og kontroll av nettverka utan å auke behovet for fysisk utstyr.
Modell av eit nettverkskart med seks maskiner, tre svitsjar, aksesspunkt og ruter. Illustrasjon.
Bilete: Mediafarm AS / CC BY-SA 4.0
Modell med fem lag, frå toppen: Lag 5: Applikasjonslaget, Lag 4: Transportlaget, Lag 3: Nettverkslaget, Lag 2: Datalinklaget, Lag 1: Det fysiske laget. Datalinklaget er uthevt. Illustrasjon.
Bilete: Tron Bårdgård / CC BY-SA 4.0

VLAN er eit samleomgrep for fleire standardar (nokre proprietære) som gjer det mogleg å setje opp fleire segmenterte, eller åtskilde, logiske nettverk på eitt og same fysiske utstyr. Dermed kan ein gi forskjellige brukargrupper kvar sine logiske nettverk som ikkje påverkar kvarandre.

Den viktigaste standarden i dag er IEEE 802.1Q, og denne er støtta av dei fleste utstyrsleverandørane.

Datapakkar blir merkte med VLAN-nummer (VLAN tag) i Ethernet-ramma (Ethernet frame) som er del av lag 2, datalinklaget, i TCP/IP-modellen.

VLAN-nummeret identifiserer kva for eit virtuelt lokalnettverk datapakken høyrer til. Nettverksutstyr som administrerbare (managed) svitsjar og ruterar blir konfigurert med reglar for kva VLAN som skal vere tilgjengeleg på kva for fysiske nettverkssportar, og det sikrar at datapakkane ikkje kan sendast feil.

Kvifor VLAN er naudsynt

Dei fleste organisasjonar og bedrifter må dekkje behov for fleire ulike brukargrupper samtidig. Kvar brukargruppe har spesielle behov for tilgangar til internett, data og tenester. Nokre brukargrupper treng sensitiv informasjon, og det er viktig at denne informasjonen er utilgjengeleg for andre i nettverket. Enkelttenester kan som oftast bli beskytta med passord og kryptering, men det er endå betre viss tenestene ikkje eingong er synlege for dei som ikkje treng dei.

Å samle alle brukarane i eit enkelt logisk nettverk gir auka fare for brukarfeil og større risiko for angrep både frå interne og eksterne trusselaktørar.

Døme på brukargrupper på ein skule
Rommen skole. Foto.
Bilete: Berit Roald / CC BY-NC-SA 4.0

Dei fleste brukarane av nettverk på ein skule er elevane. Elevane treng tilgang til internett og nokre gonger til spesifikke lokale tenester. Det er ønskjeleg å verne utstyret til elevane både frå utanforståande og andre elevar på nettverket.

Skular har administrasjon, leiing,
oppfølgingsteneste og lærarar som i større eller mindre grad treng tilgang til sensitive personopplysningar for å kunne gjere arbeidet sitt. Det er viktig at slik informasjonen ikkje blir tilgjengeleg for uvedkomande.

Nettverksinfrastruktur, lys og klimastyring, inngangskontroll og kameraovervaking er òg tilkopla nettverk og skal berre vere tilgjengeleg for enkeltpersonar ved skulen.

Oppsett utan VLAN

Dersom nettverk skal setjast opp utan VLAN, må kvar brukargruppe ha sitt eige fysiske oppsett som blir halde åtskilt. Tenk deg ei lita bedrift. Bedrifta treng eit nettverk for sitt eige utstyr og eit nettverk som gjestar (og det private utstyret til tilsette) kan kople seg til for å få internett-tilgang, men ingen andre tilgangar.

Det går fint an å setje opp ein ruter som er kopla til internett på den eine sida, og som er kopla til to separate lokale nettverk som på biletet under. Begge nettverka er kopla til den same ruteren – via ulike fysiske portar, men ruteren held nettverka åtskilde slik at direkte kommunikasjon mellom nettverka ikkje er mogleg.

Eit slikt oppsett gjer det mogleg å sikre tilsettnettverket mot eventuelle trusselaktørar som får tilgang til gjestenettverk, der passordet som oftast er fritt tilgjengeleg for alle som spør. Dersom internettkapasiteten er avgrensa, kan òg gjestenettverket ha avgrensingar fordi det ikkje skal bruke opp kapasiteten som dei tilsette treng for å arbeide effektivt. Ulempa med oppsettet er behovet for meir maskinvare og kabling. I store oppsett med mange brukargrupper vil dette vere upraktisk.

Teikning av eit hus. Huset har parallelle oppsett av svitsjar og aksesspunkt for tilsettnettverk og gjestenettverk. Illustrasjon.
Segmentert nettverk utan VLAN. Bilete: Mediafarm AS / CC BY-SA 4.0

Oppsett med VLAN

Oppsett med VLAN krev at nettverksutstyret, det vil seie ruter, svitsjar og aksesspunkt, støttar VLAN. Eit oppsett med to VLAN, eitt for tilsette og eitt for gjester, kan setjast opp med berre eitt sett av utstyr.

Fire leidningar i forskjellige fargar møtast og er fletta saman for eit kort område, og så er dei fletta frå kvarandre til seperate leidningar igjen. Foto.
VLAN-trunk er når fleire VLAN eller alle VLAN-a er tilgjengelege på den same fysiske kabelen. Trunk-kablar blir ofte brukte mellom infrastruktur (svitsjar) i bedriftsnettverk. Bilete: 683806 / Avgrensa bruksrett

Ruteren responderer på to ulike VLAN-nummer og to ulike IP-segment. Frå ruteren går ein fysisk kabel som inneheld begge VLAN (trunk) og går til svitsjen.

To aksesspunkt er òg kopla til svitsjen, og dei får begge levert VLAN. Moderne aksesspunkt kan levere fleire trådlause nettverk samtidig (fleire samtidige SSID-ar). Det trengst derfor berre eitt aksesspunkt per område, og kvart av desse leverer ut både trådlaust nettverk for tilsette og gjestenettverk.

Modell av hus. Ein ruter, svitsj og to aksesspunkt inn i huset. Illustrasjon.
Segmentert nettverk med VLAN. Bilete: Mediafarm AS / CC BY-SA 4.0

Kvar fysiske port på svitsjen kan konfigurerast med eit bestemt, fleire bestemde eller alle tilgjengelege VLAN. Dette er til dømes nyttig viss stasjonære datamaskiner eller serverar skal koplast til. Svitsjporten kan då konfigurerast slik at berre ønskte VLAN er tilgjengelege for datamaskina eller serveren.

Utvida modell av nettverk, no med datamaskiner for gjest og tilsett. Illustrasjon.
Kvar svitsjport kan konfigurerast med eit, fleire eller alle VLAN. Bilete: Mediafarm AS / CC BY-SA 4.0

VLAN utan VLAN-nummer (Native VLAN)

Kvar fysiske nettverksport på svitsj kan konfigurere separat med dei VLAN-a som skal vere tilgjengelege. Det er òg mogleg å bestemme at VLAN-nummer skal fjernast frå datapakkar frå eit bestemt VLAN. Dette kallar vi Native VLAN, og det gjer det mogleg for utstyr som ikkje støttar VLAN, eller ikkje er konfigurert for å fungere mot eit bestemt VLAN, å få tilgang. Datapakkar som kjem frå einingane og ikkje har VLAN-nummer, vil få tilført riktig VLAN-nummer når det gjeld svitsjen.

Sikkerheit med VLAN

Segmentering av eit fysisk nettverk i fleire logiske nettverk hindrar brukarfeil og gjer det vanskelegare for trusselaktørar, både interne og eksterne. VLAN er dermed sentralt for å sikre god IT-sikkerheit, men VLAN har òg avgrensingar.

Fordi alle dei logiske nettverka køyrer på eit fysisk oppsett, kan konfigurasjonsfeil opne for at brukarar eller trusselaktørar får tilgang til feil ressursar i nettverket. Det er derfor viktig å teste konfigurasjon og jamleg sjekke at fysisk oppkopling stemmer overeins med konfigurasjonen.

VLAN er i utgangspunktet berre ei nummermerking av datapakkane. Dersom nokon får tilgang til det fysiske nettverket, til dømes ved på kople seg til ein trunk-kabel eller svitsjport som er konfigurert for å levere mange VLAN eller alle VLAN-a, kan VLAN-a både overvakast og manipulerast. Det er derfor tilrådd å berre konfigurere bruk av naudsynte VLAN på svitsjportane og at trunk-kablar mellom svitsjane ligg skjerma, altså at dei er utilgjengelege.

Relatert innhald

Fagstoff
TCP/IP-modellen

TCP/IP-modellen viser korleis datapakkar blir bygde opp for å få dei fram til riktig mottakar og korleis dei blir tolka når dei kjem fram.

Oppgåver og aktivitetar
VLAN-simulator

I denne simuleringa får du setje opp fleire VLAN i eit enkelt fysisk nettverk.