Віртуальні локальні мережі (vlan)

Безпека телекомунікаційних мереж багато в чому визначається розмірами широкомовних доменів, всередині яких може відбуватися несанкціонований доступ до конфіденційної інформації. У традиційних мережах поділ на широкомовні домени реалізується маршрутизатором.

Віртуальні мережі створені, щоб реалізувати сегментацію мережі на комутаторах. Таким чином, створення віртуальних локальних мереж (Virtual Local Area Networks - VLAN), які представляють собою логічне об'єднання груп станцій мережі (рис. 8.4), є одним з основних методів захисту інформації в мережах на комутаторах.

Рис. 8.4. Виртуальные локальные сети VLAN

Зазвичай VLAN групуються по функціональним особливостям роботи, незалежно від фізичного місця розташування користувачів. Обмін даними відбувається тільки між пристроями, що знаходяться в одній VLAN. Обмін даними між різними VLAN проводиться тільки через маршрутизатори.

Робоча станція у віртуальній мережі, наприклад Host-1 в мережі VLAN1 (рис. 8.4), обмежена спілкуванням з сервером в тій же самій VLAN1. Віртуальні мережі логічно сегментують всю мережу на широкомовні домени так, щоб пакети переключалися тільки між портами, які призначені на ту ж саму VLAN (приписані до однієї VLAN). Кожна мережа VLAN складається з вузлів, об'єднаних єдиним широкомовним доменом, утвореним приписаними до віртуальної мережі портами комутатора.

Оскільки кожна віртуальна мережа являє широкомовний домен, то маршрутизатори в топології мереж VLAN (рис. 8.4) забезпечують фільтрацію широкомовних передач, безпека, управління трафіком і зв'язок між VLAN. Комутатори не забезпечують трафік між VLAN, оскільки це порушує цілісність широкомовного домену VLAN. Трафік між VLAN забезпечується маршрутизацією, тобто спілкування між вузлами різних віртуальних мереж відбувається тільки через маршрутизатор.

Для нормального функціонування віртуальних мереж необхідно на комутаторі сконфігурувати всі віртуальні локальні мережі і приписати порти комутатора до відповідної мережі VLAN. Якщо кадр повинен пройти через комутатор і МАС-адресу призначення відомий, то комутатор тільки просуває кадр до відповідного вихідного порту. Якщо МАС-адреса невідома, то відбувається широкомовна передача в усі порти широкомовного домену, тобто всередині віртуальної мережі VLAN, крім вихідного порту, звідки кадр був отриманий. Широкомовні передачі знижують безпеку інформації.

Управління віртуальними мережами VLAN реалізується через першу мережу VLAN1 і зводиться до управління портами комутатора. Мережа VLAN1 отримала назву мережу за замовчуванням (default VLAN). По крайней мере, один порт повинен бути в VLAN 1, щоб управляти комутатором. Всі інші порти на комутаторі можуть бути призначені інших мереж VLAN. Оскільки дана інформація відома всім, хакери намагаються атакувати в першу чергу саме цю мережу. Тому на практиці адміністратори змінюють номер мережі за замовчуванням, наприклад, на номер VLAN 101.

Кожній віртуальної мережі при конфігуруванні повинен бути призначений IP-адреса мережі або підмережі з відповідною маскою, для того щоб віртуальні мережі могли спілкуватися між собою. Наприклад, VLAN1 (рис. 16.1) може мати адресу 192.168.10.0/24, VLAN2 - адреса 192.168.20.0/24, VLAN3 - адреса 192.168.30.0/24. Кожному хосту необхідно задати IP-адресу з діапазону адрес відповідної віртуальної мережі, наприклад, host-1 - адреса 192.168.10.1, host-2 - адреса 192.168.20.1, host-3 - адреса 192.168.20.2, host-7 - адреса 192.168. 20.3, host-10 - адреса 192.168.30.4.

Ідентифікатори віртуальних мереж (VLAN1, VLAN2, VLAN3 і т. д.) можуть призначатися з нормального діапазону 1-1005, в якому номера 1002 - 1005 зарезервовані для віртуальних мереж технологій Token Ring і FDDI. Існує також розширений діапазон ідентифікаторів 1006-4094. Однак для полегшення управління рекомендується, щоб мереж VLAN було не більше 255 і мережі не розширювалися поза Рівня 2 комутатора.

Таким чином, мережа VLAN є широкомовним доменом, створеним одним або більше комутаторами. На рис. 8.5 три віртуальні мережі VLAN створені одним маршрутизатором і трьома комутаторами. При цьому існують три окремі широкомовних домену (мережа VLAN 1, мережа VLAN 2, мережа VLAN 3). Маршрутизатор управляє трафіком між мережами VLAN, використовуючи маршрутизацію Рівня 3.

Рис. 8.5. Три виртуальных сети VLAN

Якщо робоча станція мережі VLAN 1 захоче послати кадр робочої станції в тій же самій VLAN 1, адресою призначення кадру буде МАС-адреса робочої станції призначення. Якщо ж робоча станція мережі VLAN 1 захоче переслати кадр робочої станції мережі VLAN 2, кадри будуть передані на МАС-адреса інтерфейсу F0 / 0 маршрутизатора. Тобто маршрутизація проводиться через IP-адреса інтерфейсу F0 / 0 маршрутизатора віртуальної мережі VLAN 1.

Для виконання своїх функцій у віртуальних мережах комутатор повинен підтримувати таблиці комутації (просування) для кожної VLAN. Для просування кадрів проводиться пошук адреси в таблиці тільки даної VLAN. Якщо адреса джерела раніше не був відомий, то при отриманні кадру комутатор додає цю адресу в таблицю.

При побудові мережі на декількох комутаторах необхідно виділити додаткові порти для об'єднання портів різних комутаторів, приписаних до однойменних віртуальних мереж (рис. 8.6). Додаткових пар портів двох комутаторів має бути виділено стільки, скільки створено мереж VLAN.

Рис. 8.6. Об'єднання віртуальних мереж двох комутаторів

Оскільки кадри даних можуть бути отримані комутатором від будь-якого пристрою, приєднаного до будь-якої віртуальної мережі, при обміні даними між комутаторами в заголовок кадру додається унікальний ідентифікатор кадру - тег (tag) віртуальної мережі, який визначає VLAN кожного пакета. Стандарт IEEE 802.1Q передбачає введення поля міток в заголовок кадру, що містить два байти (табл. 8.1).

Таблиця 8.4. Формат тега віртуальной мережі

3 біта	1 біт	12 біт
Приоритет	CFI	VLAN ID

З них 12 двійкових розрядів використовуються для адресації, що дозволяє позначати до 4096 віртуальних мереж і відповідає нормальному і розширеному діапазону ідентифікаторів VLAN. Ще три розряди цього поля дозволяють задавати 8 рівнів пріоритету переданих повідомлень, тобто дозволяють забезпечувати якість (QoS) переданих даних. Найвищий пріоритет рівня 7 мають кадри управління мережею, рівень 6 - кадри передачі голосового трафіку, 5 - передача відео. Решта рівні забезпечують передачу даних з різним пріоритетом. Одиничне значення поля CFI показує, що віртуальна мережа є Token Ring.

Пакет відправляється комутатором або маршрутизатором, базуючись на ідентифікаторі VLAN і МАС-адресі. Після досягнення мережі призначення ідентифікатор VLAN (tag) віддаляється з пакета комутатором, а пакет відправляється приєднаному пристрою. Маркування пакета (Packet tagging) забезпечує механізм управління потоком даних.

<<< < Предыдущая 2 3 4 5 6 7 8 9 10 11 12 1314 / 2714 15 16 17 18 19 20 21 22 23 24 25 26 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
04.11.2018541.18 Кб14конспект лекцій ЕТ.doc
#
01.07.20255.49 Mб2Конспект лекцій з Історії України.doc
#
01.04.20252.15 Mб5Конспект лекцій з аналітичної хімії.docx
#
01.07.2025612.67 Кб0Конспект лекцій з дисципліни ЕА.docx
#
14.08.2019685.06 Кб48КОНСПЕКТ ЛЕКЦІЙ З ДИСЦИПЛІНИ ЕПІ.doc
#
01.05.202510.3 Mб0Конспект лекцій. Адміністрування інформаційних...docx
#
03.11.2018399.87 Кб96конспект лекцій.doc
#
01.05.20251.43 Mб0Конспект лекцій.doc
#
01.07.2025573.44 Кб2конспект лекцій.doc
#
01.07.20251.94 Mб0конспект лекцій.doc
#
22.08.2019569.34 Кб25КОНСПЕКТ ЛЕКЦІЯ.doc