AI 驅動的網路攻擊:如何偵測、預防及抵禦智慧型威脅

立即閱讀
我們利用人工智慧進行網站翻譯,雖然我們力求準確性,但它們可能並不總是 100% 精確。感謝您的理解。
首頁/ 文章 / OT 網路中的雙重 VLAN 標籤 (Q-in-Q)
關鍵網路安全

OT 網路中的雙重 VLAN 標籤 (Q-in-Q)

by OPSWAT 發布
分享此文章

OT (作業技術) 和 CPS (網路物理系統) 環境,包括工業自動化、能源和關鍵基礎設施,對網路通訊的安全性、可擴充性和效率都有很高的要求。一個主要的挑戰是確保不同網段間的流量是隔離、受控且有系統的,同時能在多個 VLAN 間進行無縫通訊。雙 VLAN 標籤(也稱為 Q-in-Q、802.1ad 或 Q-in-Q tunneling)提供了有效的解決方案,可將客戶 VLAN 封裝在服務供應商 VLAN 內。這可維持分割並確保可靠的資料傳輸。

瞭解雙重 VLAN 標籤 (Q-in-Q)

Double VLAN 將一個 VLAN 標籤封裝在另一個 VLAN 標籤內,使組織能夠跨網路邊界延伸 VLAN,而不會干擾內部 VLAN 設定。此技術在工業設定中特別有用,因為在工業設定中,網路分割是隔離控制系統、PLC、SCADA 環境和作業資料的必要條件。 

Double VLAN Tagging 的主要元件:

  • 外層 VLAN(服務 VLAN):此 VLAN 由服務供應商管理,有助於在共用網路基礎架構中傳輸流量,確保客戶資料保持封裝和隔離。
  • Inner VLAN(客戶 VLAN):企業指定的原始 VLAN 標籤。它保持不變,並在目的地還原。

利用 Q-in-Q,工業企業可以有效地擴充網路,同時保留 VLAN 完整性並降低作業複雜度。 

雙 VLAN 標籤如何在Industrial 設定中運作

說明 OT 環境中雙 VLAN 標記 (Q-in-Q) 流量的網路圖表

這種結構化的流量可讓工業網路在多個地點延伸 VLAN,同時保持每個區段的可管理性。

OT 網路中雙 VLAN (Q-in-Q) 的優點

交通分隔

雙 VLAN 允許在 OT 網路的不同部分之間進行流量隔離。這可確保來自 PLC 的關鍵控制流量與其他非必要流量保持隔離,從而提高可靠性並將干擾降至最低。

可擴展性

隨著 OT 網路的擴充,Q-in-Q 提供了有效管理日益增加的 VLAN 的解決方案。它可以防止 VLAN ID 用盡,這對於擁有多個 PLC 和控制系統的大型工業廠房尤其有利。

安全

透過隔離工業網路內的不同 VLAN,Q-in-Q 可以強化並簡化某些網路安全控制。然而,VLAN 並非完整的安全解決方案。使用 VLAN 跳躍等技術比較容易規避它們。

簡化網路管理

Q-in-Q 可在工業網路中建立結構化的 VLAN 階層。這可簡化網路組態、降低作業複雜度,並使故障排除更有效率。

供應商獨立性

作為廣泛採用的 IEEE 標準 802.1Q (2011) 的一部分,Q-in-Q 獲得多家網路廠商的支援。這可讓工業業者整合不同的硬體,並仍能維持統一的流量分割與管理。

OT 環境中雙 VLAN 標籤 (Q-n-Q) 的使用案例

  • 服務供應商橋接:Q-in-Q 可透過在大型 OT 網路上延伸第 2 層 VPN,實現不同工業站點之間的通訊。 
  • Industrial 自動化:製造廠和能源網使用 Q-in-Q 分隔自動化裝置和控制系統之間的流量,確保無縫運作。 
  • 智慧電網:Q-in-Q 可協助管理變電站與控制中心之間的流量,維持智慧型電網部署的有效通訊。 
  • BMS (建築管理系統): Industrial 校園使用 Q-in-Q 隔離 HVAC、照明和安全系統的流量,確保正常運作。 
  • 運輸系統:Q-in-Q 支援各種運輸網路的資料傳輸,包括鐵路控制系統,確保運作不中斷。 

網路拓樸範例 

說明 PLC、防火牆和用戶端之間雙重 VLAN 標記的網路拓樸圖

考慮有以下設定的工廠:



1.裝置:PLC (伺服器)、Industrial Firewall和網路 B 上的用戶端。

2.網路分割:

  • 網路 A:VLAN 100 (PLC 位於此處) - 192.168.10.0/24 
  • 網路 B:VLAN 200.100 (HMI 或外部裝置) - 10.10.10.0/24 
  • Industrial Firewall:兩個網路的介面,在兩者之間轉換流量。 

3.交通流量:

  • 網路 B 上的裝置傳送以 VLAN 100 標記的流量。 
  • 防火牆或服務供應商交換器會新增外部 VLAN 標記 (VLAN 200)。 
  • 封包在網路中傳輸,同時保持 VLAN 分離不變。 
  • 到達網路 A 時,外部 VLAN 標籤會被移除,恢復 VLAN 100。 
  • PLC 現在可以與外部裝置通訊,無須修改內部 VLAN。 

總結:關鍵OT系統受到保護 服務不間斷

對於需要 VLAN 可擴充性、隔離性以及在共用基礎架構上進行資料傳輸的組織而言,雙 VLAN 標籤是一項強大的技術。在工業和 OT 環境中,Q-in-Q 可確保無縫且有效率的 VLAN 管理,實現彈性且具成本效益的網路解決方案。

METADEFENDER

Industrial Firewall

使用 Q-in-Q 解開安全且分割的 OT/ICS 通訊 - 不會犧牲效能。探索MetaDefender Industrial Firewall 如何強化您的工業網路。

與我們的專家交談

常見問題 (FAQ)

Q:什麼是雙重 VLAN 標記 (Q-n-Q)?

答:雙 VLAN 標籤(也稱為 Q-in-Q)將一個 VLAN 標籤封裝在另一個 VLAN 標籤內,以便在保留區段的同時,將 VLAN 延伸至整個網路。在工業環境中,網路分割對於隔離控制系統、PLC、SCADA 環境和作業資料非常重要,因此雙 VLAN 標籤尤其有用。 

Q:VLANS 有多保護 ?

答:VLAN 可以透過邏輯上分割流量和限制廣播網域來改善網路安全性,這有助於降低網段間未經授權存取的風險。但是,VLAN 本身並不安全。它們需要仔細設定,才能有效防止 VLAN 跳躍或未經授權存取等攻擊。 

Q:什麼是 VLAN 跳躍?

答:VLAN 跳躍是一種網路安全漏洞,攻擊者利用漏洞未經授權存取一個 VLAN,然後再轉移到同一網路內的其他 VLAN。VLAN 旨在透過隔離不同網段之間的流量來改善安全性和效能。VLAN 跳躍會破壞這種隔離,讓攻擊者繞過控制,並可能存取應該受到保護和隔離的敏感系統和資料。 

標籤:

最新文章

訂閱 OPSWAT 電子報

獲取最新的OPSWAT 公司更新、活動資訊和 推動產業發展的新聞。
註冊

在社群媒體上追蹤我們

在您的 LinkedIn、Facebook、Twitter 和 YouTube 上追蹤 OPSWAT以瞭解更多資訊!

隨時瞭解OPSWAT 的最新資訊!

立即註冊,即可收到公司的最新消息、 故事、活動資訊等。
訂閱