1.2. Фільтрація комп’ютерного трафіку комутаторами Ethernet

Деякі моделі комутаторів (Xylan, CISCO і т.д.) дозволяють адміністраторам задавати додаткові умови фільтрації кадрів поряд зі стандартними умовами їх фільтрації у відповідності з інформацією адресної таблиці. Фільтри користувачів призначені для створення додаткових перепон на шляху кадрів, які дозволяють обмежувати доступ певних груп користувачів до окремих служб мережі.

Найбільш простими є фільтри на основі МАС-адрес станцій. Так як МАС-адреса – інформація з якою працює комутатор, то він дозволяє створювати фільтри у зручній для адміністратора формі, наприклад, проставляючи певні умови у додатковому полі адресної таблиці. Це може бути умова, згідно якої відкидаються кадри з певною МАС-адресою вузла призначення або відправника. Таким способом адміністратор має можливість заборонити користувачу, який працює на комп’ютері з даною МАС-адресою, доступ до ресурсів заданого сегмента мережі. Інколи адміністратору необхідно задавати більш “тонкі” умови фільтрації, наприклад, заборонити деякому користувачу друкувати свої документи на сервері друку Windows, який знаходиться у чужому сегменті, а інші ресурси цього сегменту зробити доступними. Для реалізації такого фільтра потрібно заборонити передавання кадрів, які задовольняють наступним умовам: 1) мають відповідну МАС-адресу; 2) мають в полі даних SMB-пакети; 3) у відповідному полі цих пакетів вказаний тип сервісу “друк”. Комутатори не аналізують протоколи верхніх рівнів, такі як SMB, тому адміністратору доводиться для завдання умови фільтрації “вручну” визначити поле, за значенням якого потрібно здійснити фільтрацію. Як ознаку фільтрації адміністратор вказує пару “зміщення-розмір” відносно початку поля даних кадру канального рівня.

Складні умови фільтрації, як правило, записуються у вигляді булевих виразів, які формуються за допомогою логічних операторів AND і OR.

1.3. Застосування віртуальних локальних мереж (vlan)

Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі.

Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Віртуальні локальні мережі можуть перекриватись, якщо один або декілька комп’ютерів входять до складу двох чи більше віртуальних мереж. На рис. 1.3 сервер входить до складу VLAN 3 та VLAN 4, що означатиме передавання його кадрів комутаторами усім комп’ютерам, які входять у ці мережі. Якщо комп’ютер входить до складу лише VLAN 3, то його кадри будуть ізольованими від решти VLAN (якщо не враховувати можливість виникнення широкомовного шторму на спільному сервері VLAN 3 та VLAN 4).

Рис. 1.3. Організація віртуальних локальних мереж

Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q.

Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі.

Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня).

При створенні віртуальних мереж на основі одного комутатора переважно використовується механізм групування портів комутатора (рис. 1.4). При цьому кожен порт приписується певній віртуальній мережі.

Для створення віртуальних мереж шляхом групування портів достатньо кожен порт комутатора приписати до однієї з декількох заздалегідь поіменованих віртуальних мереж. Переважно така операція виконується за допомогою спеціальної програми комутатора.

Другий спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. При наявності у мережі великої кількості вузлів цей спосіб вимагає від адміністратора виконання великої кількості ручних операцій. Однак при побудові віртуальних мереж на основі декількох комутаторів він виявляється більш гнучким у порівнянні зі способом групування портів.

Рис. 1.4. Віртуальні мережі, побудовані на одному комутаторі

Рис. 1.5 демонструє проблему, що виникає при створенні віртуальних мереж на основі декількох комутаторів, які підтримують техніку групування портів. Якщо вузли будь-якої віртуальної мережі сполученні з різними комутаторами, то для організації кожної такої мережі на комутаторах повинна бути виділена спеціальна пара портів. У протилежному випадку, якщо комутатори будуть з’єднані лише однією парою портів, інформація про належність кадру певній віртуальній мережі при передачі від комутатора до комутатора буде втрачена. Таким чином, комутатори з групуванням портів вимагають для свого з’єднання стільки портів, скільки віртуальних мереж вони підтримують. Крім того, при з’єднанні віртуальних мереж через маршрутизатор для кожної віртуальної мережі виділяють окремий кабель і окремий порт маршрутизатора.

Рис. 1.5. Побудова віртуальних мереж на декількох комутаторах

з використанням техніки групуванням портів

Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі.

Стандарт IEEE 802.1Q передбачає використання наявних або додаткових полів кадру для збереження інформації щодо наявності кадру тій чи іншій віртуальній локальній мережі при його переміщенні між комутаторами мережі. При цьому немає необхідності запам’ятовувати у кожному комутаторі належність усіх МАС-адрес об’єднаної мережі віртуальним мережам. Додаткове поле з міткою про номер віртуальної мережі використовується лише при передаванні кадру від комутатора до комутатора, а при передачі кадру кінцевому вузлу воно як правило відкидається.

У стандарті IEEE 802.1Q для збереження номера віртуальної мережі передбачено у кадрі додатковий заголовок розміром 2 байт (лише 12 біт у ньому використовується безпосередньо для збереження номера віртуальної мережі до якої належить цей кадр) [1]. Додаткова інформація, яка називається тегом віртуальної мережі дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Кадр з такою інформацією називають “поміченим”.

Підтримують техніку VLAN як виробники комутаторів, так і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати і приймати помічені кадри Ethernet, які містять поле тега віртуальної мережі. Якщо мережевий адаптер генерує помічені кадри, то тим самим він визначає їх належність до певної віртуальної локальної мережі, тому комутатор повинен приймати рішення щодо передавання або не передавання на вихідний порт таких кадрів у залежності від належності порту. Драйвер мережевого адаптера може одержати номер своєї (або своїх) віртуальної локальної мережі шляхом ручної конфігурації або від деякої прикладної програми, яка працює на цьому вузлі чи на одному зі серверів мережі.