Os ambientes OT (tecnologia operacional) e CPS (sistemas ciber-físicos), incluindo automação industrial, energia e infraestrutura crítica, exigem altos níveis de segurança, escalabilidade e eficiência em suas comunicações de rede. Um grande desafio é garantir um fluxo de tráfego isolado, controlado e estruturado entre diferentes segmentos de rede e, ao mesmo tempo, permitir a comunicação contínua entre várias VLANs. A marcação dupla de VLAN, também conhecida como Q-in-Q, 802.1ad ou tunelamento Q-in-Q, fornece uma solução eficaz ao encapsular as VLANs de clientes em uma VLAN de provedor de serviços. Isso mantém a segmentação e garante uma transmissão de dados confiável.
Compreensão da marcação de VLAN dupla (Q-in-Q)
A VLAN dupla encapsula uma etiqueta de VLAN dentro de outra, permitindo que as organizações estendam as VLANs além dos limites da rede sem interferir nas configurações internas de VLAN. Esta técnica é particularmente útil em configurações industriais, onde a segmentação da rede é necessária para isolar sistemas de controlo, PLCs, ambientes SCADA e dados operacionais.
Componentes principais da marcação dupla de VLAN:
- VLAN externa (VLAN de serviço): Gerida pelo fornecedor de serviços, esta VLAN facilita o transporte de tráfego através da infraestrutura de rede partilhada, garantindo que os dados do cliente permanecem encapsulados e isolados.
- VLAN interna (VLAN do cliente): A etiqueta VLAN original atribuída pela empresa. Permanece intacta e é restaurada no destino.
Ao aproveitar o Q-in-Q, as empresas industriais podem escalar suas redes de forma eficiente, preservando a integridade da VLAN e reduzindo a complexidade operacional.
Como funciona a marcação dupla de VLAN em configurações Industrial
Este fluxo de tráfego estruturado permite que as redes industriais estendam as VLANs por vários locais, mantendo cada segmento gerenciável.
Benefícios da VLAN dupla (Q-in-Q) em redes OT
Segregação do tráfego
A VLAN dupla permite a segregação do tráfego entre diferentes partes de uma rede OT. Isto assegura que o tráfego de controlo crítico dos PLCs permanece isolado de outro tráfego não essencial, melhorando a fiabilidade e minimizando as interferências.
Escalabilidade
À medida que as redes OT se expandem, o Q-in-Q fornece uma solução para gerir um número crescente de VLANs de forma eficiente. Evita o esgotamento de VLAN ID, o que é especialmente benéfico para grandes instalações industriais com vários PLCs e sistemas de controlo.
Segurança
Ao isolar diferentes VLANs dentro de uma rede industrial, o Q-in-Q pode melhorar e simplificar determinados controlos de segurança da rede. No entanto, as VLANs não são uma solução de segurança completa. Elas são relativamente fáceis de contornar usando técnicas como o salto de VLAN.
Gestão de rede simplificada
O Q-in-Q permite a criação de uma hierarquia de VLAN estruturada em redes industriais. Isto simplifica a configuração da rede, reduz a complexidade operacional e torna a resolução de problemas mais eficiente.
Independência do fornecedor
Como parte da norma IEEE 802.1Q (2011) amplamente adoptada, o Q-in-Q é suportado por vários fornecedores de redes. Isto permite que os operadores industriais integrem hardware diferente e continuem a manter uma segmentação e gestão uniformes do tráfego.
Casos de uso para marcação dupla de VLAN (Q-n-Q) em ambientes OT
- Bridging de provedor de serviços: O Q-in-Q permite a comunicação entre diferentes locais industriais, estendendo as VPNs de camada 2 através de redes OT de grande escala.
- AutomaçãoIndustrial : As fábricas e as redes de energia utilizam o Q-in-Q para separar o tráfego entre os dispositivos de automação e os sistemas de controlo, assegurando um funcionamento sem falhas.
- Redes inteligentes: O Q-in-Q ajuda a gerir o tráfego entre subestações e centros de controlo, mantendo uma comunicação eficiente em implementações de redes inteligentes.
- BMS (Sistemas de gestão de edifícios): Os campus Industrial utilizam o Q-in-Q para isolar o tráfego dos sistemas de AVAC, iluminação e segurança, assegurando o seu correto funcionamento.
- Sistemas de transporte: O Q-in-Q suporta a transmissão de dados através de várias redes de transporte, incluindo sistemas de controlo ferroviário, assegurando operações ininterruptas.
Exemplo de topologia de rede
Considere uma fábrica com a seguinte configuração:
1. Dispositivos: PLC (servidor),Firewall Industrial , e clientes na Rede B.
2. Segmentação da rede:
- Rede A: VLAN 100 (o PLC reside aqui) - 192.168.10.0/24
- Rede B: VLAN 200.100 (HMI ou dispositivo externo) - 10.10.10.0/24
- FirewallIndustrial : Interfaces em ambas as redes, traduzindo o tráfego entre elas.
3. Fluxo de tráfego:
- Os dispositivos da rede B enviam tráfego marcado com a VLAN 100.
- O firewall ou o switch do provedor de serviços adiciona uma tag de VLAN externa (VLAN 200).
- O pacote viaja através da rede, mantendo intacta a separação de VLAN.
- Ao chegar à rede A, a etiqueta VLAN exterior é removida, restaurando a VLAN 100.
- O PLC pode agora comunicar com dispositivos externos sem modificações da VLAN interna.
Conclusão
A marcação de VLAN dupla é uma técnica poderosa para organizações que exigem escalabilidade, isolamento e transferência de dados de VLAN em infra-estruturas partilhadas. Em ambientes industriais e OT, o Q-in-Q assegura uma gestão de VLAN perfeita e eficiente, permitindo soluções de rede flexíveis e económicas.
Industrial Firewall™
Desbloqueie a comunicação OT/ICS segura e segmentada com Q-in-Q - sem sacrificar o desempenho. Descubra como MetaDefender Industrial Firewall pode fortalecer a sua rede industrial.
Perguntas frequentes (FAQs)
Q:O que é marcação dupla de VLAN (Q-n-Q)?
R: A marcação de VLAN dupla, também conhecida como Q-in-Q, encapsula uma marcação de VLAN dentro de outra para estender as VLANs pelas redes, preservando a segmentação. É particularmente útil em ambientes industriais onde a segmentação da rede é crítica para isolar sistemas de controlo, PLCs, ambientes SCADA e dados operacionais.
Q:Quão Secure são as VLANS?
R: As VLANs podem melhorar a segurança da rede segmentando logicamente o tráfego e limitando os domínios de difusão, o que ajuda a reduzir o risco de acesso não autorizado entre segmentos. No entanto, as VLANs não são inerentemente seguras. Elas exigem uma configuração cuidadosa para evitar efetivamente ataques como VLAN hopping ou acesso não autorizado.
Q:O que é VLAN hopping?
R: O salto de VLAN é uma vulnerabilidade de segurança de rede em que um invasor explora pontos fracos para obter acesso não autorizado a uma VLAN e, em seguida, passar para outras na mesma rede. As VLANs têm o objetivo de melhorar a segurança e o desempenho, isolando o tráfego entre diferentes segmentos. O salto de VLAN prejudica esta separação, permitindo que os atacantes contornem os controlos e acedam potencialmente a sistemas e dados sensíveis que devem permanecer protegidos e isolados.
