КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Управляемые коммутаторы
|
|
|
|
Уровни модели OSI
Основным признаком при классификации МЭ является уровень эталонной модели взаимодействия открытых систем, на котором функционирует конкретный тип МЭ. Такая классификация носит достаточно условный характер, поскольку современные МЭ функционируют сразу на нескольких уровнях. Тем не менее она помогает понять основные принципы действия МЭ. Выделяют следующие типы МЭ (рис. 3.2):
• управляемые коммутаторы;
• фильтры пакетов;
• динамические фильтры пакетов;
• инспекторы состояний;
• посредники сеансового уровня;
• посредники прикладного уровня;
• МЭ экспертного уровня.
Современные локальные сети строятся на основе коммутаторов Ethernet. В отличие от концентраторов, коммутаторы позволяют строить высокопроизводительные сети за счет установки высокоскоростного соединения между двумя точками взаимодействия.
Управляемые коммутаторы попадают под определение МЭ, но действуют они на самом нижнем уровне модели взаимодействия (канальном), что не позволяет управлять на уровне протокола IP. Тем не менее появление коммутаторов 3-го уровня, стандартизация протоколов коммутации, расширение возможностей коммутаторов 2-го уровня позволяют использовать возможности коммутаторов в
целях повышения безопасности локальных сетей и на более высоких уровнях - на сетевом и транспортном. Технология виртуальных локальных сетей VLAN (Virtual Local Area Network) позволяет создавать группы узлов сети, трафик которых полностью изолирован от других узлов сети. Применение VLAN помогает решать две задачи. Во-первых, это повышение производительности сети, и во-вторых, как уже говорилось, обеспечение безопасности за счет физического разделения трафика между сегментами
сети.
Выделяют следующие способы построения виртуальных локальных сетей на базе коммутаторов [61]:
• использование номеров подсетей сетевого уровня;
• группировка портов;
• группировка МАС-адресов;
• группировка протоколов сетевого уровня;
• добавление к кадрам канального уровня меток виртуальных
сетей.
Второй и третий способы являются универсальными, их поддерживают большинство моделей коммутаторов Cisco, 3Com, Bay Networks, Cabletron. При группировке портов узлы сети объединяются в виртуальные группы по портам коммутатора. Каждой из создаваемых сетей VLAN назначаются определенные порты коммутатора (рис. 3.3). При построении сети способом группировки МАС-адресов параметром разграничения выступает МАС-адрес сетевого адаптера компьютера (IP-узла), который является уникальным. Зная МАС-адреса всех компьютеров, можно создать группы и определить правила прохождения трафика между ними. Последние модели современных коммутаторов позволяют фильтровать пакеты не только на основе МАС-адресов и портов коммутатора. Так, например, коммутаторы Bay Networks управляют прохождением (разрешить, блокировать, перенаправить) Ethernet-пакетов на основе анализа по 12-байтной маске 255 байт данных пакета. Поскольку длина заголовка протокола IP равна 24 байт, а протокола TCP - 20 байт, то коммутатор может контролировать пакеты на сетевом, транспортном и даже прикладном уровнях. На рис. 3.4 показан пример фильтра, запрещающего прохождение IP-трафика для Ethernet-пакетов Ethernet_II и SNAP. Рисунок иллюстрирует необходимость учета формата кадра Ethernet (см. Прил. П. 1) при создании правил фильтрации.
Рис. 3.3. Построение сети VLAN на основе группировки портов коммутатора
В последнее время производители коммутаторов наряду с повышением производительности все больше внимания уделяют и вопросам безопасности. Так, магистральные коммутаторы компании Cisco серии Catalyst 6000 имеют следующие возможности -аутентификация TACACS+ и RADIUS, поддержка списков доступа на основе IP-адреса, поддержка системы Syslog, рефлексивные и динамические ACL, маршрутизация на основе политики безопасности, сетевая трансляция адресов, SPAN, VLAN.
Ряс. 3.4. Фильтр коммутатора Bay Network, запрещающий IP-трафик
Рис. 3.5. Конфигурация VLAN через Web-интерфейс коммутатора
3Com Switch 1100
При реализации политики безопасности в корпоративной сети управляемые коммутаторы могут быть мощным и достаточно дешевым решением проблемы безопасности. Особенно полезны управляемые коммутаторы для разграничения доступа внутри организации с жесткой и статичной ПБ. К тому же, в большинстве компаний коммутаторы составляют основу сети, и не стоит забывать о дополнительных их возможностях.
К основным недостаткам использования управляемых коммутаторов, таких как МЭ, можно отнести:
• отсутствие или ограничение возможностей фильтрации трафика на сетевом и более высоких уровнях модели OSI;
• отсутствие механизмов аутентификации;
• сложность управления и определения правил фильтрации.
В ряде случаев сегментация с использованием технологии VLAN, поддерживаемой управляемыми коммутаторами, является достаточным решением при организации разграничения доступа внутри локальной сети.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 916; Нарушение авторских прав?; Мы поможем в написании вашей работы!