7.2. Доказательство необходимости применения сетей vlan
В обычных сетях сетевые администраторы подключали пользователей к сети по географическому принципу. Администратор подключал рабочую станцию пользователя с помощью ближайшего к ней сетевого кабеля. Если пользователь является сотрудником технического отдела и при этом его рабочее место находится рядом с кем-либо, кто работает в бухгалтерии, то они оба будут подключены к одной локальной сети, т.к. они подключаются с помощью одного кабеля. Такой подход создает некоторые интересные сетевые проблемы. Четкое понимание возникающих при такой структуре сети проблем и подчеркивает причины использования сетей VLAN. В следующих разделах описаны пять причин, которые приводят к необходимости реализации виртуальных локальных сетей.
7.2.1. Проблема 1: безопасность в сети
Первая причина напрямую связана с тем, что сети старого типа по своей природе рассчитаны на физическую среду общего доступа. Когда станция, находящаяся в сети устаревшего типа с совместно используемой физической средой передачи, как, например, сеть технологии l0BaseT, работающая в полудуплексном режиме, передает данные, то все станции, подключенные к сегменту, получают копию фрейма, даже если он адресован не им. Такая ситуация, конечно, не мешает функционированию сети, однако, позволяет
65
использовать множество программных пакетов для мониторинга сетевого трафика, которые широко доступны и работают на различных типах рабочих станций. Каждый, у кого есть подобное программное обеспечение, может перехватывать пароли, секретные (или обидные) сообщения электронной почты и любой другой тип сетевого трафика.
Если
пользователи,
подключенные
к
сети,
являются
сотрудниками
одного
отдела,
то
крупных катастроф, скорее
всего, не
случится, однако, если к общему сегменту имеют доступ, пользователи из различных отделов, то могут возникать нежелательные перехваты информации.
Если кто-либо из персонала начнет
отправлять секретные данные, такие, как Технический отдел
информация о зарплатах, фондах, о Рис 35. Проблема безопасности в обычных сетях состоянии здоровья по сети общего
доступа, то кто угодно, имея программное обеспечение для мониторинга сети, сможет получить указанную информацию.
Возможность выполнить описанные выше действия не ограничивается одним сегментом сети. Такие же проблемы могут возникать и в сетях, где множество сегментов объединяются с помощью маршрутизаторов. В сети, показанной на рисунке 35, бухгалтерский отдел подключен к двум изолированным сегментам. Для того, чтобы пользователи из одного сегмента могли передавать данные пользователям на другом сегменте, фреймы должны пройти через сеть технического отдела. При прохождении фреймов через сегмент сети технического отдела они могут быть перехвачены, а информация использована в корыстных целях.
Один из методов организации сети, который позволяет избежать данной проблемы, — это переместить всех пользователей бухгалтерского отдела в один сегмент. Такой подход не всегда возможен, поскольку могут существовать пространственные ограничения, которые не позволяют разместить весь бухгалтерский отдел в одном здании. Еще одна причина может быть вызвана ограничением на географическое расположение различных частей бухгалтерского отдела. Пользователи одной части сегмента сети могут находиться на значительном расстоянии от пользователей другой части сегмента. Перемещение пользователей в одно и то же место может означать переезд офиса из одного города в другой.
Еще один путь — это заменить бухгалтерию маркетинговым отделом. Действительно, кому интересно перехватывать данные маркетингового отдела, кроме ситуации, когда
66
хочется хорошо посмеяться? Бухгалтерия же не имеет права распространять информацию о платежных чеках или данных, которые касаются торговли и других попыток заработать деньги. Ясно, что такое решение не является приемлемым.
Третий подход связан с применением виртуальных локальных сетей. Сети VLAN позволяют поместить всех пользователей, объединенных по определенному роду деятельности, в один широковещательный домен, и изолировать их от пользователей других широковещательных доменов. Всех пользователей, работающих в бухгалтерии, можно объединить в одну сеть VLAN, независимо от их местонахождения в здании. При этом больше нет необходимости подключать пользователей к сетям в соответствии с их местоположением. Пользователи могут входить в сети VLAN в соответствии с их функциональными обязанностями. Таким образом, пользователей бухгалтерского отдела можно включить в одну сеть VLAN, пользователей маркетингового отдела — в другую сеть VLAN, а пользователей технического отдела — в третью.
При создании сетей VLAN с помощью коммутирующего сетевого устройства создается еще один дополнительный уровень защиты. Коммутаторы передают сетевой трафик так же, как это делают мосты, только в пределах одной сети VLAN. Когда сетевая станция передает данные, то фреймы определяются к необходимому получателю. Если фреймы являются одноадресатными фреймами, порты назначения которых известны, то коммутаторы не распространяют их всем по льзователям, подключенным к сети VLAN (см. рис. 36).
Станция
А,
показанная
на
рисунке
36,
передает
фрейм
станции
Б,
которая
подключена
к
другому
коммутатору
Catalyst. Хотя фрейм проходит через несколько
коммутаторов
только получатель
копию
Catalyst,
станция-получает
фрейма.
Коммутатор
фильтрацию
выполняет
фреймов,
которые передаются от
других станций в ис 36. аспространение известных одноадресатных фреймов в зависимости от того, коммутируемой сети
принадлежат ли они одной сети VLAN или различным сетям VLAN. Такая функция
67
коммутатора ограничивает возможность беспорядочно захватывать трафик, повышая тем самым эффективность защиты сетей. Какой трафик все еще можно будет захватывать? Любой, который распространяется в сети VLAN с помощью процесса лавинной передачи. Трафик, который передается с помощью метода лавинной передачи, включает широковещательные сообщения, многоадресатные (multicast) сообщения и неизвестные одноадресатные фреймы. Следует заметить, что такая функция, как протокол управления группами корпорации Cisco (Cisco Group Management Protocol — CGMP), при активизации позволяет ограничивать передачу многоадресатных сообщений.