КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Виртуальные локальные сети VLAN
|
|
|
|
Дополнительные функции коммутаторов
Так как коммутатор представляет собой довольно сложное вычислительное устройство, имеющее несколько процессорных модулей, то помимо выполнения основной функции передачи кадров с порта на порт по алгоритму моста, вполне логично включить в него дополнительные функции, полезные при построении современных, расширяемых, надежных и гибких сетей. Большинство современных коммутаторов, независимо от производителя, поддерживают несколько дополнительных возможностей, отвечающих общепринятым стандартам. Среди них самые распространенные и наиболее используемые на сегодня это
1. Технологии Виртуальных Сетей – VLAN
2. Поддержка протокола Spanning Tree
3. Объединение портов – Trunking
4. Поддержка SNMP – управления
5. Обеспечение функции Port Security, или привязка MAC-адреса к
определенному порту
6. Поддержка 802.1х
7. Протоколы группового вещания
8. Управление потоком и др.
В настоящее время одной из самых важных характеристик любой компьютерной сети помимо производительности является надежность каналов связи — в связи с развитием электронного бизнеса и повышения роли компьютерной связи при ведении практически уже любого рода коммерческой деятельности, простой сети может стать причиной колоссальных убытков компании. Поэтому следует обратить особое внимание на те функции сетевого оборудования, которые позволяют обеспечивать отказоустойчивость сети, ее надежность и защищенность от несанкционированного доступа.
Virtual Local Area Network (VLAN) или Виртуальные Локальные Сети – технология, которая коренным образом изменила и преобразила жизнь многих коммутаторов. Сейчас эта технология является одной из главных технологий коммутации в сетях Ethernet. Создание виртуальных локальных сетей позволило «виртуально» разделять пользователей, которые подсоединены к одному коммутатору на несколько групп, которые не общаются между собой по средствам коммутации. Технология позволяет на базе одного коммутатора создать несколько виртуальных логических коммутаторов, которые будут коммутировать фреймы только между пользователями определённых групп. Группы могут задаваться на основе различных методов, например по МАС адресам хостов или портам коммутатора, либо с помощью протокола 802.1q, алгоритм работы которого будет детально описан далее. Трафик клиентов внутри одной группы коммутируется без каких либо ограничений, тогда как, для передачи трафика между группами необходим маршрутизатор, на самом коммутаторе связать эти два сегмента нельзя (примечание: в этом случае коммутатор не обладает полным функционалом третьего уровня по модели OSI и не может маршрутизировать пакеты.
|
|
|
1. Виртуализация отделов компании, которая базируется на логической (бизнес) роли работника в компании и исключение привязки к конкретному физическому разделению мест работы.
Ниже приведена классическая топология сети, которая была построена на основе физического отделения отделов компании, такая схема работы характерна до внедрения технологии Виртуальных Локальных Сетей.
С точки зрения взаимодействия внутри одного отдела и использования общих ресурсов, эта топология неплохая. Но если говорить о взаимодействии между отделами, вот тут могут быть проблемы. Например, у одного из менеджеров из отдела продаж пропал доступ в сеть компании, а основой его работы является электронная почта или ICQ. Работа этого человека была остановлена и нуждается в срочном внимании отдела поддержки. Для того чтобы вызвать поддержку необходимо позвонить в отдел тех. поддержки, описать проблему и попросить одного из инженеров прийти в отдел продаж и устранить неполадку. Пока заявка об инциденте будет принята, пока будет установлена возможная причина, пока отдел решит, кому идти к менеджерам, и наконец, пока инженер дойдёт – идёт дорогостоящее время компании и она теряет деньги.
|
|
|
Понятно, что оптимальным было бы разнесение отдела тех. Поддержки по всем этажам здания, что обеспечивало бы быстрое реагирование на такого рода происшествия. Но тогда встаёт вопрос об использовании ресурсов, как сделать так, чтобы человек из отдела технической поддержки мог находясь физически в отделе продаж или управления получать доступ к всем необходимым ресурсам для его отдела (например: топология сети, база данных знаний о проблемах, база данных логов всех устройств и т.д.) и не получать доступ к ресурсам других отделов посредством коммутируемой сети. Эти задачи могут быть решены с помощью технологии VLAN.
Типичная модернизированная схема для отделов предприятия.
Топология, в которой люди физически не привязаны к месту работы основного подразделения отдела. Инженеры IT могут решать проблемы, находясь на чужой территории постоянно, тем самым обеспечивая скорость реакции, помимо этого, некоторые преимущества получают другие отделы компании. Например, человек из отдела продаж, который находится в отделе IT может на месте согласовывать возможности отдела и требования заказчика услуг, отдел управления может получать информацию от отдела продаж и IT не выходя из своего отдела и при этом оставляя конфиденциальной любую информацию по управлению.
2. Возможность быстрого создания новых отделов или рабочих групп вне зависимости от местонахождения сотрудников в рамках одного сегмента коммутации сети.
Возможность быстро менять членов разных групп местами или объединять для работы над общей задачей
VLAN крайне необходима при создании проектных групп или объединения людей, которые занимаются достижения общей цели.
Из определённого пула работников разных специальностей можно динамически создавать и расформировывать целевые группы, причём никаких изменений с точки зрения физического размещения этих работников к компании делать не надо.
|
|
|
3. Vlan были созданы для разбиения сегмента сети на несколько доменов широковещания.
До появления VLAN этими возможностями обладали только маршрутизаторы.
Любой компьютер в одном сегменте коммутируемой сети получал весь широковещательный трафик от всех остальных устройств в этом сегменте.
Стандартная схема распространения широковещательного фрейма в коммутируемой сети. Возникает логичный вопрос, зачем компьютер из отдела технической поддержки должен слышать ARP запрос, который машина в отделе управления адресовала соседней машине. Один ARP запрос будет путешествовать по всем закоулкам сети во всех отделах, это приведёт к нерациональному использованию пропускной способности этой сети. А если компьютеров в сети 100, а если 2000. А ведь ARP запрос в сети это не редкое явление, и с большим количеством компьютеров пропускная способность будет использоваться под широковещательный трафик всё интенсивнее и интенсивнее, а значит, в сети начнут возникать «узкие места», где устройства не смогут обрабатывать трафик в реальном времени и понадобится буферизация. Каждый компьютер в сети создаёт один фрейм широковещания по средней статистике каждые 7 секунд (статистика по сетям с сегментами в 100 хостов). Размер буфера имеет свои чёткие пределы, которые ограничены физически объёмом памяти устройств, при исчерпании буфера устройствам придётся отбрасывать фреймы, с которыми они не в состоянии справиться. Кроме того буферизация – это внесение дополнительных задержек при передаче, связанных с записью в буфер и промежуточным хранением в очередях на пересылку, для критичного к задержкам трафика, например, Voice over IP подобные условия вообще могут привести предоставление этого сервиса к неудовлетворительному состоянию.
Технология VLAN позволяет создать несколько доменов широковещания без помощи маршрутизирующих устройств и не меняя информацию сетевого уровня. Широковещательные фреймы будут пересылаться всем устройствам в пределах одной Виртуальной Локальной Сети, что существенно уменьшит нагрузку как на магистральные каналы, так и на всю сеть в целом.
|
|
|
Технология VLAN позволяет поддерживать в работоспособном и нормальном состоянии достаточно большие сети.
Как видно из топологии выше, даже при условии разнесения рабочих станций физически, логически они все равно остаются в одном домене, и фреймы широковещания распространяются только в пределах домена.
4. Аспект безопасности. Используя только коммутаторы в сегменте сети, которая не разбита VLANами на несколько доменов широковещания, не представляет особого труда планирование и проведение различного рода внутренних атак, которые будут связаны с получением конфиденциальной информации, которая проходит через сеть.
Скомпрометировав один из компьютеров отдела инженерии, злоумышленник может беспрепятственно атаковать:
1. Сервер, на котором будет находиться база данных бухгалтерии
2. Пытаться скомпрометировать компьютер, который находится в отделе бухгалтерии, для того чтобы получить больший доступ к ресурсам и большие права доступа и затем продолжить атаку оттуда.
3. Попытаться перехватить информацию, которой обмениваются компьютеры отдела бухгалтерии и сервер или попытаться вклиниться в сессии и заставить компьютер и сервер общаться только через скомпрометированную злоумышленником машину. (man in the middle).
Технология VLAN позволяет логически отделить отдел бухгалтерии от отдела инженерии, хотя они оба принадлежат одному сегменту сети. Теперь для злоумышленника задача намного осложнилась, так как общение между двумя отделами не происходит и для продолжения достижения цели необходимо для начала взломать коммутатор и перенастроить VLAN, но незаметно это сделать возможно, если в организации совсем «ленивые» системные администраторы, поэтому внедрение технологии Виртуальных Локальных Сетей не только улучшит производительность сети, но и добавит определённый уровень безопасности.
5. Для разграничения отделов на логическом уровне, ранее необходимо было использование маршрутизатора. Маршрутизаторы пересылают трафик, основываясь на информации об IP адресации и не пропускают (без донастройки) широковещательный трафик, а значит ограничивают домены широковещания. Поскольку маршрутизаторы, как правило, не имеют высокую плотность портов, для соединения сегментов с маршрутизаторами всё равно необходимо устанавливать промежуточные устройства, которые будут подключать к себе конечных пользователей. Таким образом, необходимо приобретение и коммутаторов и маршрутизаторов, что является экономически невыгодным.
Помимо затрат на покупку оборудования, существуют затраты, связанные с настройкой маршрутизации. Кроме того, для разграничения доступа между сегментами на маршрутизаторах необходимо настроить ACLs (Access Control Lists) – списки контроля доступа в которых и будет указано каким устройствам к каким устройствам или ресурсам обращаться можно, а к каким нельзя. Для подобной работы необходим квалифицированный специалист в области маршрутизации, что также влечёт за собой дополнительные расходы.
6. При работе маршрутизаторов в сети, каждый фрейм проходит проверку контрольной суммы, распечатывается, считывается информация сетевого уровня, принимается решение о пересылке на основе таблиц маршрутизации, политик маршрутизации, списков доступа и т.д., затем пакет опять запечатывается в фрейм с новой контрольной суммой и передаётся дальше в сеть.
При работе коммутатора с технологией VLAN, для принятия решения о пересылке необходимо просто считать информацию канального уровня и принадлежности к какому-либо VLAN, если таковая имеется, затем проверить порт назначения на принадлежность к необходимому VLAN и затем отправить фрейм. В случае обработки данных коммутатором тратится на порядок меньше времени на полный цикл коммутации, нежели на полный цикл маршрутизации в устройствах сетевого уровня. Соответственно, использование коммутаторов с технологией VLAN уменьшает задержки в сети связанные с маршрутизацией. В большинстве ситуаций это достаточно веский, а в некоторых даже критичный, аргумент в пользу коммутации с использованием Виртуальных Локальных Сетей.
|
|
|
|
Дата добавления: 2014-01-04; Просмотров: 723; Нарушение авторских прав?; Мы поможем в написании вашей работы!