VLAN сети нуждаются в маршрутизаторе, который будет перенаправлять трафик между виртуальными сетями, тем самым определять границы.
Маршрутизация может быть достигнута при помощи традиционных средств контроля трафика (маршрутизатор и списк контроля доступа ACL (Access Control List)).
Поставщики высокотехнологичных коммутаторов (Cisco) предлагают в составе своих продуктов аппаратные модули, реализующие высокоскоростную маршрутизацию внутренних VLAN-пакетов средствами самого коммутатора. Например, поддерживают функцию многоуровневой коммутации MLS (Multilayer Switching), которая реализуется при помощи специальных карт расширения, обладающих возможностями виртуальных маршрутизаторов и способных маршрутизировать трафик между виртуальными сетями. MLS также поддерживает списки контроля доступа, которые можно использовать для управления трафиком, пересекающем границы виртуальных сетей.
Для реализации зон безопасности в представленном ранее примере можно использовать виртуальные сети, основанные на одном единственном коммутаторе. Пересечение границ виртуальных локальных сетей.
Стандарт IEEE 802.1q: проходящие через VLAN-коммутаторы Ethernet-кадры относятся к той виртуальной сети, чей заголовок тега (инф. о породившей его вирт. сети) указан в кадре сразу же за полем аппаратного МАС-адреса (в случае наличия в сети логически между собой коммутаторов, кот. как одно целое устройство, управляют множеством виртуальных сетей.
Атака: возможность подделать пользовательские кадры стандарта 802.1q, которые коммутатор перенаправляет ука-занному адресату (VLAN), минуя 3-ий уровень сетевой модели OSI, хотя обычно механизм маршрутизации этого уровня все же принимает участие в организации внутри сетевых соединений. (уязвимы Cisco Catalyst 2900). Но взломщик должен обладать доступом к активному логическому порту – т.е. способен взломать Ethernet-кадры, предназначенные для произвольной виртуальной сети, за счет подключения к виртуальной сети, содержащей логически связанные порты.
Но всё-таки виртуальные сети для оптимизации сетевого быстродействия, но не для обеспечения безопасности. Если необходимо создать сетевое окружение с высокой степенью безопасности, нужно пользоваться не виртуальными коммутаторами для реализации каждого сетевого сегмента (= неспособность взломщика устанавливать межсетевые соединения в обход маршрутизатора).
Если все же решиться на использование виртуальных сетей, в случае наличия в сети высокотехнологичных коммутаторов, которые позволяют создавать новые виртуальные подсети при помощи незначительных изменений своей конфигурации, то необходимо в обязательном порядке учитывать вероятность взлома такой инфраструктуры на 1-ом и/или 2-ом уровнях сетевой модели OSI.
Зато не приходится волноваться на счет сложности или запутанности сетевых настроек, но коммутатор будет игнорировать заданные ограничения межсетевого доступа.
