Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Управляемые коммутаторы




Уровни модели OSI

Основным признаком при классификации МЭ является уровень эталонной модели взаимодействия открытых систем, на котором функционирует конкретный тип МЭ. Такая классификация носит достаточно условный характер, поскольку современные МЭ функ­ционируют сразу на нескольких уровнях. Тем не менее она помога­ет понять основные принципы действия МЭ. Выделяют следую­щие типы МЭ (рис. 3.2):

• управляемые коммутаторы;

• фильтры пакетов;

• динамические фильтры пакетов;

• инспекторы состояний;

• посредники сеансового уровня;

• посредники прикладного уровня;

• МЭ экспертного уровня.

Современные локальные сети строятся на основе коммутато­ров Ethernet. В отличие от концентраторов, коммутаторы позво­ляют строить высокопроизводительные сети за счет установки высокоскоростного соединения между двумя точками взаимодей­ствия.

Управляемые коммутаторы попадают под определение МЭ, но действуют они на самом нижнем уровне модели взаимодействия (канальном), что не позволяет управлять на уровне протокола IP. Тем не менее появление коммутаторов 3-го уровня, стандартизация протоколов коммутации, расширение возможностей коммутаторов 2-го уровня позволяют использовать возможности коммутаторов в

целях повышения безопасности локальных сетей и на более высо­ких уровнях - на сетевом и транспортном. Технология виртуаль­ных локальных сетей VLAN (Virtual Local Area Network) позволя­ет создавать группы узлов сети, трафик которых полностью изолирован от других узлов сети. Применение VLAN помогает решать две задачи. Во-первых, это повышение производительнос­ти сети, и во-вторых, как уже говорилось, обеспечение безопасно­сти за счет физического разделения трафика между сегментами

сети.

Выделяют следующие способы построения виртуальных ло­кальных сетей на базе коммутаторов [61]:

• использование номеров подсетей сетевого уровня;

• группировка портов;

• группировка МАС-адресов;

• группировка протоколов сетевого уровня;

• добавление к кадрам канального уровня меток виртуальных

сетей.

Второй и третий способы являются универсальными, их под­держивают большинство моделей коммутаторов Cisco, 3Com, Bay Networks, Cabletron. При группировке портов узлы сети объединя­ются в виртуальные группы по портам коммутатора. Каждой из создаваемых сетей VLAN назначаются определенные порты ком­мутатора (рис. 3.3). При построении сети способом группировки МАС-адресов параметром разграничения выступает МАС-адрес сетевого адаптера компьютера (IP-узла), который является уни­кальным. Зная МАС-адреса всех компьютеров, можно создать группы и определить правила прохождения трафика между ними. Последние модели современных коммутаторов позволяют филь­тровать пакеты не только на основе МАС-адресов и портов ком­мутатора. Так, например, коммутаторы Bay Networks управляют прохождением (разрешить, блокировать, перенаправить) Ethernet-пакетов на основе анализа по 12-байтной маске 255 байт данных пакета. Поскольку длина заголовка протокола IP равна 24 байт, а протокола TCP - 20 байт, то коммутатор может контролировать пакеты на сетевом, транспортном и даже прикладном уровнях. На рис. 3.4 показан пример фильтра, запрещающего прохождение IP-трафика для Ethernet-пакетов Ethernet_II и SNAP. Рисунок иллюс­трирует необходимость учета формата кадра Ethernet (см. Прил. П. 1) при создании правил фильтрации.

Рис. 3.3. Построение сети VLAN на основе группировки портов коммутатора

В последнее время производители коммутаторов наряду с по­вышением производительности все больше внимания уделяют и вопросам безопасности. Так, магистральные коммутаторы компа­нии Cisco серии Catalyst 6000 имеют следующие возможности -аутентификация TACACS+ и RADIUS, поддержка списков досту­па на основе IP-адреса, поддержка системы Syslog, рефлексивные и динамические ACL, маршрутизация на основе политики безопас­ности, сетевая трансляция адресов, SPAN, VLAN.

Ряс. 3.4. Фильтр коммутатора Bay Network, запрещающий IP-трафик

Рис. 3.5. Конфигурация VLAN через Web-интерфейс коммутатора

3Com Switch 1100

При реализации политики безопасности в корпоративной сети управляемые коммутаторы могут быть мощным и достаточно дешевым решением проблемы безопасности. Особенно полезны управляемые коммутаторы для разграничения доступа внутри орга­низации с жесткой и статичной ПБ. К тому же, в большинстве ком­паний коммутаторы составляют основу сети, и не стоит забывать о дополнительных их возможностях.

К основным недостаткам использования управляемых комму­таторов, таких как МЭ, можно отнести:

• отсутствие или ограничение возможностей фильтрации тра­фика на сетевом и более высоких уровнях модели OSI;

• отсутствие механизмов аутентификации;

• сложность управления и определения правил фильтрации.

В ряде случаев сегментация с использованием технологии VLAN, поддерживаемой управляемыми коммутаторами, являет­ся достаточным решением при организации разграничения досту­па внутри локальной сети.




Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 886; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.