Функції та принципи організації віртуальних локальних мереж (VLAN).

VLAN (англ. Virtual Local Area Network — віртуальна локальна комп'ютерна мережа) — є групою хостів з загальним набором вимог, що взаємодіють так, ніби вони прикріплені до одного домену, незалежно від їх фізичного розташування. VLAN має ті самі атрибути, як і фізична локальна мережа, але дозволяє кінцевим станціям бути згрупованими разом, навіть якщо вони не перебувають на одному мережевому комутаторі. Реконфігурація мережі може бути зроблена за допомогою програмного забезпечення замість фізичного переміщення пристроїв.

Щоб фізично копіювати функції VLAN, необхідно встановити окремий, паралельний збір мережевих кабелів і перемикачів, які зберігаються окремо від первинної мережі. Однак на відміну від фізичної відділеної мережі, VLAN ділить пропускну здатність; дві окремих одно- гігабітних віртуальних мережі які використовують одно-гігабітний зв'язок мають знижену пропускну здатність. Це віртуалізує поведінку VLAN (настроювання портів комутатора, позначки кадрів при вході в мережу VLAN, пошук MAC таблиці, щоб перейти до магістральних зв'язків і видалення тегів при виході з VLAN).

За традиційною технологією Ethernet робочі станції об’єднуються в локальну мережу за допомогою багатопортових комутаторів 2-го рівня.

Комутатор (switch) – пристрій канального рівня, який об’єднує кінцеві пристрої в єдину локальну мережу та здійснює одночасний прийом і передачу даних на кожному із своїх портів. Комутатор знижує перевантаженість мережі, зменшує мережний трафік та підвищує ефективну пропускну здатність мережі.

Використання різноманітних фільтрів, що враховують інформацію третього і четвертого рівнів (IP-адреси, тип протоколу, зазначений у заголовку IP-пакета, номера портів TCP/UDP) перетворюють маршрутизатори в найпростіші брандмауери, що складають основу системи захисту багатьох мереж.

Проте комутатори внесли в рішення проблеми "об'єднання-роз'єднання" новий механізм - технологію віртуальних мереж (Virtual LAN, VLAN). З появою цієї технології відпала необхідність утворювати ізольовані сегменти фізичним шляхом — його замінив програмний спосіб, більш гнучкий і зручний.

Віртуальною мережею (VLAN) називається група вузлів мережі, трафік якої в тому числі і широкомовний, на канальному рівні цілком ізольований від інших вузлів мережі.

Розрізняють статичні і динамічна VLAN. До статичної VLAN долучають порти коммутатора, незалежно від того, що до них під’єднано. Членство у динамічній VLAN досягається через МАС-адресу під’єднаного пристрою, незалежно від порта підключення

Для налаштування IP-адреси та мережної маски на управлінській VLAN комутатор, необхідно перейти в режим налаштування інтерфейса. Це єдина віртуальна локальна мережа, до якої звертаються як до інтерфейса мережного рівня.

Команди налаштування VLAN 1:

Switch(config)# interface vlan 1

Switch(config-if)# ip address < ІР-адреса > < маска >

Switch(config-if)# no shutdown

Switch(config-if)# exit

 

Приклад налаштування:

Switch(config)# interface vlan 1

Switch(config-if)# ip address 172.17.99.110 255.255.255.0

 

Магістральний протокол VTP.

Протокол VTP (англ. VLAN Trunking Protocol) — протокол ЛВС, службовець для обміну інформацією про VLAN (віртуальних мережах), наявних на обраному транковом порту. Розроблено і використовується компанією Cisco

 

Протокол VTP був створений для вирішення можливих проблем у середовищі комутації віртуальних локальних мереж VLAN. Наприклад, розглянемо домен, в якому є кілька пов'язаних один з одним комутаторів, що підтримують кілька VLAN-мереж. Для створення і підтримки з'єднань усередині VLAN-мереж кожна з них повинна бути налаштована вручну на кожному комутаторі. По мірі зростання організації збільшення кількості комутаторів в мережі, кожен новий комутатор повинен бути налаштований вручну з введенням інформації про VLAN-мережах. Всього лише одне неправильне призначення в мережі VLAN може викликати дві потенційні проблеми:

Перехресне з'єднання VLAN-мереж внаслідок неузгодженості конфігурації VLAN-мереж.
Суперечливість конфігурації в змішаному середовищі передачі, наприклад, в середовищі, що включає в себе сегменти Ethernet, Fiber Distributed Data Interface (FDDI).
У протоколі VTP узгодженість конфігурацій VLAN-мереж підтримується в загальному адміністративному домені. Крім того, протокол VTP зменшує складність управління і моніторингу VLAN-мереж.

ризначення протоколу VTP полягає у підтримці узгодженості конфігурацій в загальному адміністративному домені. Протокол VTP є протоколом обміну повідомленнями, які використовують магістральні фрейми 2-го рівня для управління додаванням, видаленням та перейменуванням VLAN-мереж в одному домені.

Крім того, протокол VTP дозволяє здійснювати централізовані зміни в мережі, про які повідомляється всім іншим комутаторів в мережі. Повідомлення протоколу VTP інкапсулюються в фірмові фрейми протоколів ISL або IEEE 802.1 Q і передаються далі по магістральних каналах іншим пристроям. До фреймах IEEE 802.1 Q в якості тега додається 4-х байтове поле. В обох форматах передаються ідентифікатор ID VLAN-мережі

 

10. Стандартні списки управління доступом.

Стандартні списки управління доступом

Інженерам при створенні будь-якого списку управління доступом, який повинен застосовуватися для фільтрації IP-пакетів, доводиться приймати рішення щодо вибору одного з двох основних варіантів: які пакети підлягають фільтрації і де в мережі слід розмістити список управління доступом. У програмному забезпеченні Cisco IOS передбачена можливість застосовувати засоби фільтрації списку управління доступом або при вході пакету в інтерфейс, або при його виході з інтерфейсу. Іншими словами, у системі IOS список управління доступом асоціюється з інтерфейсом і, зокрема, з трафіком, що входять або виходять з інтерфейсу. Після вибору маршрутизатора, в якому планується використання списків управління доступом, необхідно вибрати інтерфейс, призначений для реалізації засобів фільтрації, а також вказати, чи поширюється дія цих коштів на вхідні або вихідні пакети.

Фільтрація пакетів може здійснюватися в міру їх надходження в інтерфейс, ще до прийняття рішення про маршрутизацію.
Фільтрація пакетів може проводитися перед виходом з інтерфейсу, після прийняття рішення про маршрутизацію
У програмному забезпеченні Cisco IOS для вказівки на те, що пакет повинен бути відфільтрований, використовується термін заборона (deny)
Якщо мова йде про те, що пакет не повинен бути відфільтрований, то в програмному забезпеченні Cisco IOS застосовується термін дозвіл (permit)
Налагодження засобів фільтрації здійснюється за допомогою списків управління доступом.
У кінці кожного списку управління доступом перебувати неявна інструкція, яка забороняє весь трафік (deny all traffic). Тому, якщо пакет не відповідає ні одній з інструкцій у списку управління доступом, він відкидається.

 

11. Розширені списки управління доступом.

Розширені списки управління доступом (cisco access-list extended) мають певну схожість і відмінність порівняно зі стандартними списки управління доступом (cisco acl). Як і у випадку стандартних списків, розширені списки управління доступом вводяться в дію стосовно до інтерфейсів для пакетів, або входять до інтерфейс, або виходять з інтерфейсу. Система IOS проводить пошук у цьому списку послідовно. При виявленні першій же збігається з параметрами пакету інструкції пошук у списку припиняється і визначається дія, що підлягає виконанню. Слід пам'ятати, що всі перераховані особливості роботи відносяться також до стандартних списків управління доступом.

 

Одним з ключових відмінностей між списками двох типів є те, що в розширених списки керування доступом (cisco access-list extended) для виявлення збігу доводиться перевіряти більшу кількість полів у пакеті. Достатньо визначити одну інструкцію розширеного списку управління доступом, щоб перевірити відразу кілька фрагментів інформації в заголовку пакета, причому обов'язковим є така вимога, що всі параметри повинні збігатися з правилами, щоб пакет відповідав інструкції списку управління доступом

Розширені списки управління доступом дозволяють реалізувати потужні методи перевірки полів пакету на збіг з заданими критеріями, оскільки дозволяє досліджувати різні частини пакета. Нижче наведено список параметрів, які можна перевірити за допомогою розширених списків управління доступом:

IP адреса одержувача
Частини IP-адреси одержувача, вказані за допомогою інвертованій маски підмережі
Тип протоколу (TCP, UDP, ICMP, IGRP, IGMP та ін)
Порт відправника
Порт одержувача
TCP-потоки
Байти TOS за протоколом IP
Пріоритет пакета IP

 

12 Віртуальні приватні мережі VPN

Будь-яка організація, будь вона виробничої, торговельної, фінансової компанії або державною установою, обов'язково стикається з питанням передачі інформації між своїми філіями, а також з питанням захисту цієї інформації. Не кожна фірма може собі дозволити мати власні фізичні канали доступу, і тут допомагає технологія VPN, на основі якої і з'єднуються всі підрозділи та філії, що забезпечує достатню гнучкість і одночасно високу безпеку мережі, а також істотну економію витрат.
Віртуальна приватна мережа (VPN - Virtual Private Network) створюється на базі загальнодоступної мережі Інтернет. І якщо зв'язок через Інтернет має свої недоліки, головним з яких є те, що вона схильна потенційним порушень захисту і конфіденційності, то VPN можуть гарантувати, що направляється через Інтернет трафік так само захищений, як і передача всередині локальної мережі. У теж час віртуальні мережі забезпечують істотну економію витрат у порівнянні з вмістом власної мережі глобального масштабу.