Segmentacja punktów końcowych sieci przewodowej i bezprzewodowej

Sieci przewodowe zwykle przypisują sieci VLAN na podstawie portu lub adresu MAC. W przypadku przypisywania sieci VLAN na podstawie portów zarządzanie w dużej mierze opiera się na prawidłowej konfiguracji przełączników warstwy dostępu, konfiguracji portów trunkingowych dla uplinków oraz eliminowaniu propagacji wrażliwych sieci VLAN w różnych lokalizacjach fizycznych. Zmiany operacyjne mogą dyktować aktualizację wielu przełączników w przypadku stosunkowo niewielkich ruchów. W przypadku przypisania sieci VLAN na podstawie przewodowego adresu MAC, należy użyć przełącznika obsługującego uwierzytelnianie MAC i serwerów RADIUS zaplecza dla mapowania MAC->VLAN. Przypisywanie sieci VLAN oparte na adresach MAC może poprawić możliwości zarządzania i nadzoru, ale stwarza poważne zagrożenie bezpieczeństwa, ponieważ są one podatne na fałszowanie adresu MAC, co może umożliwić atakującemu dostęp do wrażliwych sieci VLAN poprzez fałszowanie adresu MAC uwierzytelnionego urządzenia. W środowisku bezprzewodowym sieci VLAN można przypisywać na podstawie identyfikatora SSID lub grupy użytkowników, a działania administracyjne związane z udostępnieniem użytkownikowi sieci VLAN można znacznie ograniczyć lub całkowicie usunąć. Użytkownik nie jest już ograniczony do określonej fizycznej lokalizacji, aby uzyskać dostęp do wymaganej sieci VLAN, ponieważ niezbędny identyfikator SSID może być dostępny w dowolnym miejscu na terenie kampusu. W przypadku rozszerzenia wdrożenie nowego cienkiego punktu dostępowego w bliskiej odległości zapewni niezbędne sieci VLAN, dla których skonfigurowany jest profil suplikanta klienta. Ponieważ przypisanie sieci VLAN może być kontrolowane przez pomniejsze konfiguracje suplikantów klienta i uprawnienia RADIUS zaplecza, segmentację można określić podczas procesu udostępniania zasobów, a następnie wymagać stosunkowo niewielkiego zarządzania.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *