Виртуальные локальные сети
Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети или подсети с соответствующей маской, для того чтобы виртуальные сети могли общаться между собой. Например, VLAN1 (см. В рис. 7.7) может иметь адрес 192.168.10.0/24, VLAN2 — адрес 192.168.20.0/24,В VLAN3 — адрес 192.168.30.0/24. Каждому хосту необходимо задатьВ IP-адрес из диапазона адресов соответствующей виртуальной… Читать ещё >
Виртуальные локальные сети (реферат, курсовая, диплом, контрольная)
Общие сведения о виртуальных локальных сетях
Безопасность телекоммуникационных сетей во многом определяется размерами широковещательных доменов, внутри которых может происходить несанкционированный доступ к конфиденциальной информации. В В традиционных сетях деление на широковещательные домены реализуетВ маршрутизатор.
Виртуальные сети созданы, чтобы реализовать сегментацию сети на коммутаторах. Таким образом, создание виртуальных локальных сетейВ {VLAN), которые представляют собой логическое объединение групп станций сети (рис. 7.7), является одним из основных методов защиты информации в сетях на коммутаторах.
Обычно виртуальные локальные сети группируются по функциональным особенностям работы, независимо от физического местоположения пользователей. Обмен данными происходит только между устройствами, В находящимися в одной VLAN. Обмен данными между различными VLANВ производится только через маршрутизаторы.
Рабочая станция в виртуальной сети, например, Host-1 в сети VLAN1 (см. рис. 7.7), ограничена общением с сервером в той же самой VLAN1.
Виртуальные сети логически сегментируют всю сеть на широковещательные домены так, чтобы пакеты переключались только между портами, которые назначены на ту же самую виртуальную сеть (приписаны к однойВ VLAN). Каждая сеть VLAN состоит из узлов, объединенных единственнымВ широковещательным доменом, образованным приписанными к виртуальной сети портами коммутатора.
Рис. 7.7. Виртуальные локальные сети VLAN.
Поскольку каждая виртуальная сеть представляет широковещательный домен, то маршрутизаторы в топологии сетей VLAN (см. рис. 7.7) обеспечивают фильтрацию широковещательных передач, безопасность, управление трафиком и связь между VLAN. Коммутаторы не обеспечивают трафикВ между этими сетями, поскольку это нарушает целостность широковещательного домена VLAN. Трафик между VLAN обеспечивается маршрутизацией, т. е. общение между узлами разных виртуальных сетей происходитВ только через маршрутизатор.
Для нормального функционирования виртуальных сетей необходимо на коммутаторе сконфигурировать все виртуальные локальные сети и приписать порты коммутатора к соответствующей сети VLAN. Если кадр должен пройти через коммутатор и МАС-адрес назначения известен, то коммутатор только продвигает кадр к соответствующему выходному порту. В Если МАС-адрес неизвестен, то происходит широковещательная передачаВ во все порты широковещательного домена, т. е. внутри виртуальной сетиВ VLAN, кроме исходного порта, откуда кадр был получен. Широковещательные передачи снижают безопасность информации.
Управление виртуальными сетями по умолчанию реализуется через первую сеть VLAN1 и сводится к управлению портами коммутатора. СетьВ VLAN1 получила название сеть по умолчанию (default VLAN). По крайнейВ мере, один порт должен быть в VLAN1, чтобы управлять коммутатором. В Все другие порты на коммутаторе могут быть назначены другим сетямВ VLAN. Поскольку данная информация известна всем, то хакеры пытаются атаковать в первую очередь именно эту сеть. Поэтому на практикеВ администраторы изменяют номер сети по умолчанию, например, на номерВ VLAN101.
Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети или подсети с соответствующей маской, для того чтобы виртуальные сети могли общаться между собой. Например, VLAN1 (см. В рис. 7.7) может иметь адрес 192.168.10.0/24, VLAN2 — адрес 192.168.20.0/24,В VLAN3 — адрес 192.168.30.0/24. Каждому хосту необходимо задатьВ IP-адрес из диапазона адресов соответствующей виртуальной сети, например, host-1 — адрес 192.168.10.1, host-2 — адрес 192.168.20.1, host-З — адрес.
192.168.20.2, host-7 — адрес 192.168.20.3, host-Ю — адрес 192.168.30.4.
Идентификаторы виртуальных сетей (VLAN1, VLAN2, VLAN3 и т. д.) могут назначаться из нормального диапазона 1 — 1005, в котором номераВ 1002—1005 зарезервированы для виртуальных сетей технологий TokenВ Ring и FDDI. Существует также расширенный диапазон идентификаторовВ 1006—4094. Однако для облегчения управления рекомендуется, чтобы сетейВ VLAN было не более 255 и сети не расширялись вне Уровня 2 коммутатора.
Таким образом, сеть VLAN является широковещательным доменом, созданным одним или более коммутаторами. На рис. 7.8 три виртуальных сети VLAN созданы одним маршрутизатором и тремя коммутаторами. При этомВ существуют три отдельных широковещательных домена (сеть VLAN1, сетьВ VLAN2, сеть VLAN3). Маршрутизатор управляет трафиком между сетямиВ VLAN, используя маршрутизацию Уровня 3.
Если рабочая станция сети VLAN1 захочет послать кадр рабочей станции в той же самой VLAN1, адресом назначения кадра будет МАС-адрес рабочей станции назначения. Если же рабочая станция сети VLAN1 захочет переслать кадр рабочей станции сети VLAN2, кадры будут переданыВ на МАС-адрес интерфейса F0/0 маршрутизатора. То есть маршрутизацияВ производится через IP-адрес интерфейса F0/0 маршрутизатора виртуальной сети VLAN1.
Для выполнения своих функций в виртуальных сетях коммутатор должен поддерживать таблицы коммутации (продвижения) для каждой из них. Для продвижения кадров производится поиск адреса в таблице только данной VLAN. Если адрес источника ранее не был известен, то при полученииВ кадра коммутатор динамически добавляет этот адрес в таблицу.
При построении сети на нескольких коммутаторах необходимо выделить дополнительные порты для объединения портов разных коммутаторов, приписанных к одноименным виртуальным сетям (рис. 7.9). Дополнительных пар портов двух коммутаторов должно быть выделено столько, сколько создано сетей VLAN.
Рис. 7.8. Три виртуальных сети VLAN.
Рис. 7.9. Объединение виртуальных сетей двух коммутаторов:
Поскольку кадры данных могут быть получены коммутатором от любого устройства, присоединенного к любой виртуальной сети, то при обменеВ данными между коммутаторами в заголовок кадра добавляется уникальныйВ идентификатор кадра — тег (tag) виртуальной сети, который определяетВ VLAN каждого пакета. Стандарт IEEE 802.1 Q предусматривает введениеВ поля меток в заголовок кадра, содержащее два байта (рис. 7.10).
Рис. 7.10. Формат тега виртуальной сети.
Из них 12 двоичных разрядов используются для адресации, что позволяет помечать до 4096 виртуальных сетей и соответствует нормальному и расширенному диапазону идентификаторов VLAN. Еще три разряда этогоВ поля позволяют задавать 8 уровней приоритета передаваемых сообщений, В т. е. позволяют обеспечивать качество (QoS) передаваемых данных. Наивысший приоритет уровня 7 имеют кадры управления сетью, уровень 6 —В кадры передачи голосового трафика, 5 — передача видео. ОстальныеВ уровни обеспечивают передачу данных с разным приоритетом. ЕдиничноеВ значение поля CFI показывает, что виртуальная сеть является Token Ring.
Пакет отправляется коммутатором или маршрутизатором, базируясь на идентификаторе VLAN и МАС-адресе. После достижения сети назначения идентификатор (tag) удаляется из пакета коммутатором, а пакетВ отправляется присоединенному устройству. Маркировка пакета (PacketВ tagging) обеспечивает механизм управления потоком данных.