人工智能黑客--黑客如何在网络攻击中使用人工智能

立即阅读
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
首页/ 博客 / OT 网络中的双 VLAN 标记(Q-in-Q)
关键网络安全

OT 网络中的双 VLAN 标记(Q-in-Q)

OPSWAT
分享此贴

包括工业自动化、能源和关键基础设施在内的 OT(操作技术)和 CPS(网络物理系统)环境对网络通信的安全性、可扩展性和效率提出了很高的要求。一个主要挑战是确保不同网段之间的流量是隔离、受控和结构化的,同时实现多个 VLAN 之间的无缝通信。双 VLAN 标记(也称为 Q-in-Q、802.1ad 或 Q-in-Q 隧道)通过将客户 VLAN 封装在服务提供商 VLAN 内,提供了一种有效的解决方案。这样既能保持分段,又能确保可靠的数据传输。

了解双 VLAN 标记(Q-in-Q)

双 VLAN 将一个 VLAN 标签封装在另一个 VLAN 标签内,使企业能够跨网络边界扩展 VLAN,而不会干扰内部 VLAN 配置。这种技术在工业设置中特别有用,因为在工业设置中,网络分段是隔离控制系统、PLC、SCADA 环境和操作数据的必要条件。 

双 VLAN 标记的关键组成部分:

  • 外层 VLAN(服务 VLAN):该 VLAN 由服务提供商管理,可促进共享网络基础设施上的流量传输,确保客户数据保持封装和隔离。
  • 内部 VLAN(客户 VLAN):企业分配的原始 VLAN 标记。它保持不变,并在目的地恢复。

通过利用 Q-in-Q,工业企业可以高效地扩展网络,同时保持 VLAN 的完整性并降低运营复杂性。 

双 VLAN 标记如何在Industrial 设置中使用

说明 OT 环境中双 VLAN 标记(Q-in-Q)流量的网络图

这种结构化流量流允许工业网络在多个地点扩展 VLAN,同时保持每个网段的可管理性。

OT 网络中双 VLAN(Q-in-Q)的优势

交通隔离

双 VLAN 允许在 OT 网络的不同部分之间隔离流量。这可确保来自 PLC 的关键控制流量与其他非必要流量保持隔离,从而提高可靠性并最大限度地减少干扰。

可扩展性

随着 OT 网络的扩展,Q-in-Q 为有效管理日益增多的 VLAN 提供了解决方案。它能防止 VLAN ID 耗尽,这对拥有多个 PLC 和控制系统的大型工业工厂尤为有利。

安全

通过在工业网络中隔离不同的 VLAN,Q-in-Q 可以加强和简化某些网络安全控制。然而,VLAN 并不是一个完整的安全解决方案。使用 VLAN 跳转等技术相对容易规避它们。

简化网络管理

Q-in-Q 能够在工业网络中创建结构化的 VLAN 层次结构。这简化了网络配置,降低了操作复杂性,并提高了故障排除效率。

供应商独立性

作为广泛采用的 IEEE 802.1Q 标准(2011 年)的一部分,Q-in-Q 得到了多家网络供应商的支持。这使得工业运营商可以集成不同的硬件,并保持统一的流量分割和管理。

OT 环境中的双 VLAN 标记(Q-n-Q)用例

  • 服务提供商桥接:Q-in-Q 通过在大规模 OT 网络中扩展第 2 层 VPN,实现了不同工业站点之间的通信。 
  • Industrial 自动化:制造工厂和能源网使用 Q-in-Q 隔离自动化设备和控制系统之间的流量,确保无缝运行。 
  • 智能电网:Q-in-Q 可帮助管理变电站和控制中心之间的流量,保持智能电网部署中的高效通信。 
  • BMS(楼宇管理系统): Industrial 使用 Q-in-Q 隔离暖通空调、照明和安全系统的流量,确保其正常运行。 
  • 运输系统:Q-in-Q 支持包括铁路控制系统在内的各种运输网络的数据传输,确保不间断运行。 

网络拓扑示例 

说明 PLC、防火墙和客户端之间双 VLAN 标记的网络拓扑图

考虑一家工厂,其设置如下



1.设备:网络 B 上的 PLC(服务器)、Industrial Firewall和客户端。

2.网络分割:

  • 网络 A:VLAN 100(PLC 位于此处)- 192.168.10.0/24 
  • 网络 B:VLAN 200.100(人机界面或外部设备)- 10.10.10.0/24 
  • Industrial Firewall:两个网络的接口,在两个网络之间转换流量。 

3.交通流量:

  • 网络 B 上的设备发送标记为 VLAN 100 的流量。 
  • 防火墙或服务提供商交换机添加外部 VLAN 标记(VLAN 200)。 
  • 数据包在网络中传输时,VLAN 分离保持不变。 
  • 到达网络 A 后,外层 VLAN 标签被移除,恢复 VLAN 100。 
  • 现在,PLC 无需修改内部 VLAN 即可与外部设备通信。 

结论

对于需要在共享基础设施上实现 VLAN 可扩展性、隔离和数据传输的企业来说,双 VLAN 标记是一项强大的技术。在工业和 OT 环境中,Q-in-Q 可确保无缝、高效的 VLAN 管理,实现灵活、经济高效的网络解决方案。

METADEFENDER

Industrial Firewall

利用 Q-in-Q 实现安全、分段的 OT/ICS 通信,同时不牺牲性能。了解MetaDefender Industrial Firewall 如何加强您的工业网络。

与我们的专家交流

常见问题 (FAQ)

Q:什么是双 VLAN 标记(Q-n-Q)?

答:双 VLAN 标记(也称为 Q-in-Q)将一个 VLAN 标记封装在另一个 VLAN 标记内,以便在保持分段的同时在网络中扩展 VLAN。在工业环境中,网络分段对隔离控制系统、PLC、SCADA 环境和操作数据至关重要,因此双 VLAN 标签尤其有用。 

Q:VLANS 有多Secure ?

答:VLAN 可以通过逻辑上分割流量和限制广播域来提高网络安全性,这有助于降低网段之间未经授权访问的风险。不过,VLAN 本身并不安全。它们需要仔细配置,才能有效防止 VLAN 跳转或未经授权访问等攻击。 

Q:什么是 VLAN 跳转?

答:VLAN 跳转是一种网络安全漏洞,攻击者利用这一漏洞未经授权访问一个 VLAN,然后再转到同一网络内的其他 VLAN。VLAN 旨在通过隔离不同网段之间的流量来提高安全性和性能。VLAN 跳转破坏了这种隔离,允许攻击者绕过控制,并有可能访问本应受到保护和隔离的敏感系统和数据。 

标签

最新文章

订阅OPSWAT 简讯

获取最新的OPSWAT 公司更新、活动信息和 推动行业发展的新闻。
注册

关注我们的社交网站Media

请在您的 LinkedIn、Facebook、Twitter 和 YouTube 上关注OPSWAT ,了解更多信息!

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。
订阅