Az OT (operatív technológia) és CPS (kiber-fizikai rendszerek) környezetek, beleértve az ipari automatizálást, az energiát és a kritikus infrastruktúrát, magas szintű biztonságot, skálázhatóságot és hatékonyságot követelnek meg a hálózati kommunikációban. Az egyik legnagyobb kihívás a különböző hálózati szegmensek közötti elszigetelt, ellenőrzött és strukturált forgalomáramlás biztosítása, miközben zökkenőmentes kommunikációt tesz lehetővé több VLAN-on keresztül. A dupla VLAN-címkézés, más néven Q-in-Q, 802.1ad vagy Q-in-Q tunneling hatékony megoldást nyújt azáltal, hogy az ügyfél VLAN-okat egy szolgáltatói VLAN-on belül kapszulázza. Ez fenntartja a szegmentációt és biztosítja a megbízható adatátvitelt.
A kettős VLAN-címkézés (Q-in-Q) megértése
A dupla VLAN egy VLAN-címkét egy másik VLAN-címke belsejébe kapszulázza, lehetővé téve a szervezetek számára, hogy a VLAN-okat a hálózati határokon túlra is kiterjesszék anélkül, hogy a belső VLAN-konfigurációkat megzavarnák. Ez a technika különösen hasznos az ipari beállításoknál, ahol a hálózat szegmentálása szükséges a vezérlőrendszerek, PLC-k, SCADA-környezetek és működési adatok elkülönítéséhez.
A kettős VLAN-címkézés legfontosabb összetevői:
- Külső VLAN (Service VLAN): Ez a szolgáltató által kezelt VLAN megkönnyíti a forgalom átvitelét a megosztott hálózati infrastruktúrán, biztosítva, hogy az ügyféladatok kapszulázva és elszigetelve maradjanak.
- Belső VLAN (Customer VLAN): A vállalat által kiosztott eredeti VLAN-címke. Érintetlen marad, és a célállomáson visszaállítják.
A Q-in-Q kihasználásával az ipari vállalatok hatékonyan méretezhetik hálózataikat, miközben megőrzik a VLAN integritását és csökkentik a működési komplexitást.
Hogyan működik a dupla VLAN címkézés az Industrial beállításokban?
Ez a strukturált forgalomáramlás lehetővé teszi az ipari hálózatok számára, hogy a VLAN-okat több helyre is kiterjesszék, miközben az egyes szegmensek kezelhetők maradnak.
A kettős VLAN (Q-in-Q) előnyei OT-hálózatokban
Forgalmi szegregáció
A kettős VLAN lehetővé teszi a forgalom elkülönítését az OT-hálózat különböző részei között. Ez biztosítja, hogy a PLC-k kritikus vezérlőforgalma elszigetelt maradjon a többi nem létfontosságú forgalomtól, javítva a megbízhatóságot és minimalizálva az interferenciát.
Skálázhatóság
Az OT-hálózatok bővülésével a Q-in-Q megoldást kínál a növekvő számú VLAN hatékony kezelésére. Megakadályozza a VLAN azonosítók kimerülését, ami különösen előnyös a több PLC-vel és vezérlőrendszerrel rendelkező nagy ipari üzemek esetében.
Biztonság
Az ipari hálózaton belüli különböző VLAN-ok elkülönítésével a Q-in-Q javíthatja és egyszerűsítheti bizonyos hálózati biztonsági ellenőrzéseket. A VLAN-ok azonban nem jelentenek teljes körű biztonsági megoldást. Viszonylag könnyen megkerülhetők olyan technikákkal, mint a VLAN-ugrás.
Egyszerűsített hálózati menedzsment
A Q-in-Q lehetővé teszi a strukturált VLAN-hierarchia létrehozását az ipari hálózatokban. Ez egyszerűsíti a hálózati konfigurációt, csökkenti az üzemeltetés összetettségét és hatékonyabbá teszi a hibaelhárítást.
Szállítói függetlenség
A széles körben elfogadott IEEE 802.1Q (2011) szabvány részeként a Q-in-Q-t több hálózati gyártó is támogatja. Ez lehetővé teszi az ipari üzemeltetők számára, hogy különböző hardvereket integráljanak, és mégis egységes forgalmi szegmentációt és kezelést tartsanak fenn.
A kettős VLAN-címkézés (Q-n-Q) felhasználási esetei OT-környezetekben
- Szolgáltatói áthidalás: A Q-in-Q lehetővé teszi a különböző ipari telephelyek közötti kommunikációt a Layer 2 VPN-ek nagyméretű OT-hálózatokra történő kiterjesztésével.
- Industrial automatizálás: A Q-in-Q segítségével a gyártóüzemek és az energiahálózatok elkülönítik az automatizálási eszközök és a vezérlőrendszerek közötti forgalmat, így biztosítva a zökkenőmentes működést.
- Intelligens hálózatok: A Q-in-Q segít az alállomások és a vezérlőközpontok közötti forgalom kezelésében, fenntartva a hatékony kommunikációt az intelligens hálózatok telepítésében.
- BMS (épületirányítási rendszerek): A Q-in-Q-t az Industrial kampuszok használják a HVAC-, világítási és biztonsági rendszerek forgalmának elkülönítésére, biztosítva a megfelelő működést.
- Közlekedési rendszerek: A Q-in-Q támogatja az adatátvitelt a különböző közlekedési hálózatokon keresztül, beleértve a vasúti ellenőrző rendszereket is, biztosítva a zavartalan működést.
Példa hálózati topológiára
Tekintsünk egy gyárat a következő beállítással:
1. Eszközök: PLC (szerver), Industrial Firewall és kliensek a B hálózaton.
2. Hálózati szegmentálás:
- A hálózat: VLAN 100 (a PLC itt található) - 192.168.10.0/24
- B hálózat: VLAN 200.100 (HMI vagy külső eszköz) - 10.10.10.10.0/24
- Industrial Firewall: Interfészek mindkét hálózatban, fordítja a forgalmat közöttük.
3. Forgalomáramlás:
- A B hálózaton lévő eszközök a 100-as VLAN-címkével ellátott forgalmat küldik.
- A tűzfal vagy a szolgáltatói kapcsoló hozzáad egy külső VLAN-címkét (VLAN 200).
- A csomag a hálózaton keresztül halad, miközben a VLAN-szétválasztás érintetlenül marad.
- Az A hálózat elérésekor a külső VLAN-címke eltávolításra kerül, és visszaáll a 100-as VLAN.
- A PLC mostantól belső VLAN-módosítások nélkül kommunikálhat külső eszközökkel.
Következtetés
A kettős VLAN-címkézés hatékony technika olyan szervezetek számára, amelyeknek szükségük van a VLAN skálázhatóságára, elszigetelésére és a megosztott infrastruktúrákon keresztüli adatátvitelre. Ipari és OT-környezetekben a Q-in-Q biztosítja a zökkenőmentes és hatékony VLAN-kezelést, lehetővé téve a rugalmas és költséghatékony hálózati megoldásokat.
Industrial Firewall™
A Q-in-Q biztonságos és szegmentált OT/ICS-kommunikációt tesz lehetővé - a teljesítmény feláldozása nélkül. Fedezze fel, hogy MetaDefender Industrial Firewall hogyan erősítheti meg ipari hálózatát.
Gyakran ismételt kérdések (GYIK)
Q:Mi az a kettős VLAN-címkézés (Q-n-Q)?
V: A dupla VLAN-címkézés, más néven Q-in-Q, egy VLAN-címkét egy másik VLAN-címke belsejébe kapszulázza, hogy a VLAN-okat a szegmentáció megőrzése mellett kiterjessze a hálózatokra. Különösen hasznos ipari környezetekben, ahol a hálózati szegmentáció kritikus fontosságú a vezérlőrendszerek, PLC-k, SCADA-környezetek és működési adatok elkülönítése szempontjából.
Q:Mennyire Secure a VLANS-ok?
V: A VLAN-ok javíthatják a hálózat biztonságát a forgalom logikai szegmentálásával és a sugárzási tartományok korlátozásával, ami segít csökkenteni a szegmensek közötti illetéktelen hozzáférés kockázatát. A VLAN-ok azonban nem eleve biztonságosak. Gondos konfigurációt igényelnek az olyan támadások hatékony megelőzéséhez, mint a VLAN-ugrálás vagy a jogosulatlan hozzáférés.
Q:Mi az a VLAN hopping?
V: A VLAN hopping egy olyan hálózati biztonsági sebezhetőség, ahol a támadó kihasználja a gyenge pontokat, és jogosulatlan hozzáférést szerez egy VLAN-hoz, majd átvált más VLAN-okhoz ugyanabban a hálózatban. A VLAN-ok célja a biztonság és a teljesítmény javítása a különböző szegmensek közötti forgalom elkülönítésével. A VLAN-ugrálás aláássa ezt a szétválasztást, lehetővé téve a támadók számára, hogy megkerüljék az ellenőrzéseket, és potenciálisan hozzáférjenek olyan érzékeny rendszerekhez és adatokhoz, amelyeknek védettnek és elszigeteltnek kellene maradniuk.
