CC BY
43
ей VLAN, которая расположена на всех трех этажах. Сейчас сетевой трафик, создаваемый Финансовым департаментом, будет доступен только сотрудникам этого департамента, а группы Инженерного и отдела Маркетинга не смогут получить доступ к конфиденциальным данным Финансового департамента. Очевидно, есть другие требования для обеспечения полной безопасности, но VLAN может быть частью общей стратегии сетевой безопасности.
5. Уменьшение затрат при перемещения персонала.
Положим есть потребность перемещения рабочих мест персонала из различных отделов в пределах компании, или изменения физического местоположения конкретного отдела. При применении тегового VLAN (IEEE 802.1Q) с прямым подключением к коммутируемым портам, стоимость перемещения включает только физическое перемещение рабочих мест персонала, потому что индентификоторы ID членства VLAN будут перенесены вместе с рабочими станциями сети. Нет никакой потребности в реконструкции соединений на существующих коммутаторах Ethernet [3].
Таким образом, для организации VLAN существуют утвержденные стандарты, тем не менее способы их построения и способы назначения их членства зависит от характеристик оборудования предоставляемого различными вендорами. Например, VLAN могут создаваться путем группирования членства по номерам портов коммутаторов. А при обработке содержимого кадров Ethernet возможно группировать членство на основе таблицы MAC адресов или по содержимому специального тега ID кадра Ethernet.
Список литературы:
1. pfSense: The Definitive Guide - The Definitive Guide to the pfSense Open Source Firewall and Router Distribution - Christopher M. Buechler and Jim Pin-gle. - 2009. - ISBN: 978-0-9790342-8-2.
2. Cisco CCENT/CCNA ICND1 100-101 Official Cert Guide WENDELL ODOM, CCIE No. 1624. - 2013 - ISBN-13: 978-1-58714-385-4.
3. http://www.tekoc.ru/text/vlan/vlans.html.
СПОСОБЫ ПРИНАДЛЕЖНОСТИ К ВИРТУАЛЬНЫМ ЛОКАЛЬНЫМ СЕТЯМ
© Кузьмуков С.П.*
Уральский государственный университет путей сообщения, г. Екатеринбург
В статье рассмотрены технические особенности статического и динамического задания VLAN в IP-сетях.
* Аспирант кафедры Автоматики, телемеханики и связи на железнодорожном транспорте.
До эпохи коммутируемого Ethernet, VLAN использовались для уменьшения количества коллизий, но теперь эта задача уже не актуальна. Тем не менее, возможность сконфигурировать виртуальную сеть, в которую включена только часть пользовательских и сетевых устройств, полезна и во многих других случаях. В частности, она позволяет разделить разные виды трафика по разным VLAN, имеющим разный приоритет или же класс обслуживания.
Кроме того, VLAN является определенной мерой защиты трафика от перехвата. В частности, использование VLAN защищает трафик от атак MAC flooding. Поэтому ценный трафик отправляется клиентам через их индивидуальные VLAN или через несколько VLAN, которым присваиваются разные приоритеты в зависимости от передаваемых услуг. Они также позволяют ограничивать доступ к сетевым ресурсам и услугам, то есть управлять этим доступом. Таким образом, VLAN представляют собой удобный механизм администрирования сети, не требующий ее физической модификации [1].
Способы определения принадлежности к VLAN
Для начала, следует отметить, что тэги, указывающие на принадлежность к VLAN, вводятся в коммутаторах, а не в абонентских устройствах. Существует два принципа назначения VLAN - статический и динамический.
В первом случае VLAN закрепляется за определенным физическим портом коммутатора, и весь трафик, попадающий на порт, автоматически тэги-руется как принадлежащий данной VLAN. Этот способ очень прост и может быть реализован либо вручную, оператором, либо жестко, на аппаратном уровне, с помощью ASIC. Но очевидным минусом такого подхода является недостаток гибкости и, в частности, невозможность поддерживать несколько VLAN на одном порту.
Динамический способ предусматривает присвоение принадлежности к VLAN по информации, содержащейся в поступившем пакете. Один из вариантов присвоения - по MAC-адресу. Возможно также присвоение с использованием информации, передаваемой во фрейме протоколами 3-4 уровня. И, наконец, размещение данных в VLAN может производиться на основании данных аутентификации пользователя или абонентского устройства.
Рассмотрим каждый способ определения принадлежности к VLAN в отдельности.
- Виртуальные сети c группировкой портов (port-based VLAN).
В этом случае администратор назначает каждый порт коммутатора принадлежащим VLAN. Коммутатор определяет, к какому VLAN принадлежит каждый пакет, учитывая порт, в который он прибыл.
Когда компьютер пользователя подключается к другому порту коммутатора, администратор сети может просто переназначать новый порт для старого VLAN, к которому принадлежал пользователь. В этом случае сетевые изменения полностью прозрачны для пользователя и администратору не
нужно изменять топологию сети. Однако, этот метод имеет один существенный недостаток, если концентратор подключен к порту коммутатора, все пользователи, подключенные к нему должны принадлежать тому же VLAN.
Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях c мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, виртуальные сети на основе портов не позволяют вносить в сеть изменения достаточно простым путем, поскольку при каждом изменении требуется физическое переключение устройств.
В простейшем случае устройство, имеющее только один сетевой интерфейс, может быть включено только в один VLAN. Для включения сетевого устройства в несколько VLAN оно должно иметь несколько сетевых адаптеров.
IEEE 802.1Q стандарт в рамках спецификации port-based VLAN предусматривает взаимодействие с устройствами, не поддерживающими инкапсуляцию 802.1q. Согласно этой спецификации, каждый тип фрэймов назначается разным VLAN. Первоначально все порты коммутатора принадлежат VLAN c идентификатором сети port VLAN ID (PVID).
PVID имеет численное значение, по умолчанию 1. Все фреймы, не имеющие метки VLAN, которые генерируются не поддерживающими VLAN устройствами, идентифицируются как принадлежащие VLAN c PVID. Если фрейм генерируется устройством с поддержкой VLAN, то он содержит соответствующий тег VLAN, в котором прописан VLAN ID (VID). Каждый порт коммутатора может иметь один или несколько VID. Когда фрейм поступает на порт коммутатора, он идентифицируется по его VID. Коммутатор просматривает таблицу VLAN и пересылает фрейм на порты, имеющие тот же VID.
- Виртуальные сети на основе MAC адреса (MAC address-based VLAN).
На основе MAC адреса (MAC address-based VLAN) - в этом случае принадлежность пакета к VLAN определяется MAC адресом источника или приемника. Каждый коммутатор поддерживает таблицу MAC адресов и их соотношение с VLAN. Ключевое преимущество этого метода состоит в том, что не требуется переконфигурация коммутатора при переподключении пользователей к различным портам. Однако, присвоение MAC адресов VLAN может потребовать значительных временных затрат, а также присвоение отдельных MAC адресов нескольким VLAN может быть непростой задачей. Это может быть существенным ограничением для совместного использования ресурсов сервера между несколькими VLAN (хотя MAC адрес теоретически может быть присвоен множеству VLAN, это может вызывать серьезные проблемы с существующей маршрутизацией и ошибки, связанные с таблицами пересылки пакетов в коммутаторе).
Как правило, для создания таковой сети, производитель оборудования предусматривает наличие управляющего программного обеспечения для управления сетью.
- Виртуальные сети сетевого уровня.
При использовании другого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами 3-го уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес - как правило, IP или IPX.
Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры. К тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях. Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом - с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.
При передаче кадров в пределах одной и той же виртуальной сети коммутаторы 3-го уровня работают как классические коммутаторы 2-го уровня, а при необходимости передачи кадра из одной виртуальной сети в другую - как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом - его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.
Однако, использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и это является большим недостатком.
В рамках данных VLAN различают сети на базе подсетей, на базе протоколов, и на базе правил.
- Виртуальные сети на базе подсетей.
В качестве примера такой организации VLAN можно привести сеть, где одна подсеть, скажем класса C с адресацией 198.78.55.0/24 соответствует одной VLAN, вторая подсеть класса C 198.78.42.0/24 соответствует второй VLAN.
Недостаток данного способа состоит в том, что если коммутатор не поддерживает несколько IP подсетей на одном порту, для перемещения в другую VLAN требуется физическое переключение рабочей станции.
- Виртуальные сети на базе сетевого протокола.
Виртуальные ЛВС сетевого уровня позволяют администратору связать трафик для того или иного протокола в соответствующей виртуальной сети. Точно таким же способом создаются широковещательные домены в сетях на
основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.
В качестве примера можно привести сеть, где устройства, поддерживающие только IP протокол, находятся в одной VLAN, поддерживающие только IPX протокол - во второй VLAN, и тот и другой протокол - находятся в обеих сетях.
- Виртуальные сети на базе правил.
Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.
Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.
Список литературы:
1. Cisco CCENT/CCNA ICND1 100-101 Official Cert Guide WENDELL ODOM, CCIE No. 1624. - 2013. - ISBN-13: 978-1-58714-385-4.
2. Сети Ethernet. 3 часть. Metro Ethernet // Теле-Спутник. - 2008. - № 10.
3. pfSense: The Definitive Guide - The Definitive Guide to the pfSense Open Source Firewall and Router Distribution - Christopher M. Buechler and Jim Pingle. - 2009. - ISBN: 978-0-9790342-8-2.
НЕКОТОРЫЕ АСПЕКТЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМ ОБМЕНОМ В СЕТИ КОРПОРАТИВНЫХ ПОРТАЛОВ
© Лазарев С.А.*
Белгородский государственный национальный исследовательский университет, г. Белгород
В данной статье рассматривается прикладные аспекты создания механизма управления информационным обменом в приватной сети кор-
* Ведущий научный сотрудник учебно-научной лаборатории Информационно-измерительных и управляющих комплексов и систем, кандидат экономических наук.
