Гибкое разделение устройств на группы

Аннотация

В данной работе будут рассмотрены основные понятия виртуальной локальной сетиVLAN и существующие типы их построения.

Так же рассмотрены основные типы VLAN.

И описаны этапы работы VLAN на основе стандарта IEEE 802.1Q

Содержание

Введение. 3

1. Концепция виртуальной сети. 4

2. Преимущества VLAN.. 5

3. Типы VLAN.. 6

3.1. VLAN на базе портов. 6

3.2. VLAN на базе MAC-адресов. 7

3.3. VLAN на основе стандарта IEEE 802.1Q. 8

4. Этапы работы коммутаторов IEEE 802.1Q.. 11

4.1. Получение и идентификация пакета. 11

4.2. Изучение топологии. 11

4.3. Коммутация пакета; 12

5. Безопасность VLAN.. 13

5.1. Атака VLAN Hopping (с использованием DTP) 13

5.2. Дважды тегированный трафик. 14

6. Формат кадра сетевого соединения между коммутаторами и IEEE 802.1Q.. 15

Заключение. 17

Список литературы.. 18

Введение

Любые коммерческие и некоммерческие организациине могутобойтись без создания сетевой инфраструктуры, которая должна соответствовать ряду требований таких как:

· быть гибкой;

· наращиваемой;

· достаточно производительной;

· защищенной и хорошо управляемой;

чтобы обеспечивать функционирование информационной инфраструктуры предприятия без существенных затрат.

Сети с использованием разделяемой среды (концентраторы) не обеспечивают достаточно хорошо ни одного из перечисленных свойств сети.Такие сетевые технологии как коммутация и маршрутизация также не решают многих проблем функционирования сети. При использовании коммутации плохо управляется широковещательный трафик, невелики возможности обеспечения безопасности, имеются потенциально «узкие места».

Использование перечисленных технологий не исключает ручного вмешательства администратора, когда для организации логической группы необходимо физически произвести переключение рабочей станции с одного сегмента ЛВС на другой. Ручная коммутация требует довольно много времени и усилий и может закончиться установкой некорректного соединения.

Технология виртуальных сетей, решает множество проблем функционирования сети.

Концепция виртуальной сети

Концепция технологии построения виртуальных ЛВС (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены.

Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга.

Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп.

Концепция виртуальных сетей была создана на основе технологии коммутации в ЛВС, которая появилась в 1991 и теперь активно развивается.

Коммутаторы могут пересылать пакеты Ethernet, FastEthernet, TokenRing, или FDDI между сегментами ЛВС или пользователями, непосредственно подключенными к порту коммутатора.

Большинство коммутаторов работают в пределах второго уровня модели OSI (DataLinkLayer), работают как мосты, коммутируя пакеты между источником и получателем, определяемым по MAC-адресу получателя из заголовка пакета.

Некоторые коммутаторы в настоящее время поддерживает третий уровень OSI (NetworkLayer), маршрутизируя пакеты по признаку сетевого адреса.

Это ключевое различие между двумя типами коммутации определяет разницу в гибкости и функциональности виртуальных сетей, создаваемых на основе коммутаторов второго или третьего уровня.

Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами ЛВС.

Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы.

ПреимуществаVLAN

Гибкое разделение устройств на группы

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения

Типы VLAN

Виртуальные сети могут создаваться по признакам портов коммутатора, физических (MAC) адресов устройств, включаемых в сеть (второй уровень модели OSI) и логических адресов протоколов третьего уровня модели OSI.

VLAN на базе портов

При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную (рис. 1).

VLAN на базе портов применяются в пределах одного коммутатора.

Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи.

Создание виртуальных сетей на основе портов не требует от администратора большого объема ручной работы. Достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID).

Для возможности изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN.

Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети. Каждый порт может входить только в один VLAN. Поэтому для объединения виртуальных подсетей – как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень (третий уровень модели ISO/OSI). Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки пакетов из одной подсети в другую, при этом IP адреса подсетей должны быть разными.

Рис. 1

VLAN на базе MAC-адресов.

При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора.

Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группировки портов.

Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Широковещательные домены на базе MAC-адресов, позволяют физически перемещать станцию (подключать к любому порту коммутатора), позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации.

Настройка виртуальной сети на основе MAC-адресов может отнять много времени. Кроме того, MAC-адреса «наглухо зашиты» в оборудование, и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.

Рис. 2

Изучение топологии

В процессе изучения топологии коммутатор создает или модифицирует динамические строки фильтрации в своей базе данных фильтрации в соответствии с параметрами принятого им пакета.

Динамическая строка фильтрации создается или модифицируется, если:

1. Порт, куда поступил пакет, находится в состоянии изучения (Learning);

2. В поле "Адрес источника" кадра записан конкретный (Unicast) MAC-адрес;

3. Количество строк базы данных фильтрации не превышает своего максимального объема;

4. В строке регистрации базы данных фильтрации VID пакета включает, по крайней мере, один порт.

4.3. Коммутация пакета;

Этот процесс включает в себя:

1) Проверка ограничений топологии, т. е. проверку активного состояния входного и выходного портов, проверку того, что кадр не будет передан обратно на порт, принявший этот фрейм, проверку соответствия размера фрейма параметрам среды передачи;

2) Фильтрация кадров по отсутствию MAC-адреса адресата или VID кадра в базе данных фильтрации, либо согласно установленному фильтру;

3) Постановка кадров в очередь на передачу, согласно их приоритетности;

4) Выборка кадров из очереди для передачи;

5) Вычисление контрольной суммы кадров.

Безопасность VLAN

Безопасность VLAN ­— организация VLAN, при которой невозможно не санкционированно получить доступ к трафику, передающихся во всех VLAN'ах за исключением тех, к которым доступ разрешён.

VLAN обеспечивают высокий уровень безопасности сети. В сети на базе концентраторов кто угодно может подключить к порту концентратора, анализатора протоколов или станции с соответствующими программами и перехватывать все данные, передаваемые в данном сегменте. Эти данные могут оказаться конфиденциальными, а перехватить их достаточно просто.Если каждое устройство подключено к выделенному порту коммутатора и используются VLAN, то такая ситуация становится невозможной.

Каждый порт коммутатора получает в этом случае только те пакеты, которые адресованы подключенному к порту устройству. При организации виртуальных ЛВС на базе правил адреса канального (MAC) и сетевого (IP) уровня, пакеты могут быть связаны с портом - это обеспечивает дополнительные меры безопасности, поскольку в порт будут поступать данные только для конкретного адреса (MAC или IP).

Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN'у.

В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN'а тегированный трафик множества VLAN'ов.

Это возможно только при некорректной настройке коммутатора.

Дважды тегированный трафик

Дважды тегированный трафик передаётся в другой VLAN

Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор, попадёт в тегированный канал, но уже со вторым, внутренним, тегом. В конечном счёте он попадёт в нужный VLAN.

Этот способ может обеспечить только однонаправленную передачу данных.

Гибкое разделение устройств на группы - student2.ru

Рис. 5

6. Формат кадра сетевого соединения между
коммутаторами и IEEE 802.1Q

Магистральные каналы используются для передачитрафика, принадлежащего различным сетям VLAN, по одной линии между устройствами. Устройство может определить, какой сети VLAN принадлежит трафик по специальному идентификатору сети VLAN. Идентификатор VLAN является тегом, инкапсулируемым с пакетом данных. 802.1Q является одним из типов инкапсуляции, используемыми для передачи по магистральным каналам данных из нескольких сетей VLAN.

IEEE 802.1Q использует внутренний механизм маркировки, в котором в сам исходный кадр Ethernet между полями исходного адреса и типа/длины, вставляются 4-байтовые поля тегов. Поскольку кадр изменяется, транкинговое устройство пересчитывает контрольную сумму (FCS) для измененного кадра.

DA SA TAG TYPE/LEN DATA FCS

Расширение поля tag:

Число битов
Поле кадра TPID PRIORITY CFI VID

Описания полей

DA— это 40-разрядный адрес назначения. Этот адрес используется для мультиадресной рассылки. Для него устанавливается значение "0x01-00-0C-00-00" или "0x03-00-0c-00-00". Первые 40 битов поля DA сообщают получателю, что пакет в формате ISL.

SA указывает исходный адрес пакета ISL. В нем следует установить значение "802.3" MAC-адреса порта коммутатора, передающего кадр. Это 48-разрядное значение.

TPID— это идентификатор протокола тегов. Поле идентификатора протокола тегов 16-разрядное. В нем устанавливается значение 0x8100 для идентификации кадра в качестве кадра с разметкой IEEE 802.1Q.

PRIORITY—это З-разрядное поле связано с приоритетом IEEE 802.1p, также известное как "Приоритет пользователя". В поле указывается уровень приоритетности кадра, который можно использовать для приоритизации трафика. Полем может задаваться 8 уровней (от 0 до 7).

CFI— идентификатор канонического формата с одноразрядным полем. Если значение этого поля равно 1, то MAC-адрес имеет неканонический формат. Если значение этого поля равно 0, то MAC-адрес имеет канонический формат.

VID — идентификатор VLAN. Поле идентификатора VLAN 12-разрядное. Оно уникальным образом идентифицирует VLAN, которой принадлежит кадр. В этом поле могут содержаться значения от 0 до 4095.

TYPE —тип кадра. Поле TYPE содержит четырехбитный код, отображающее тип инкапсулированного кадра и в будущем может быть использовано для отображения альтернативных инкапсуляций.

DATA—данные, включающий собственное значение циклического контроля избыточности (CRC).

FCS— последовательность проверки кадров. Поле FCS состоит из четырех байт. Эта последовательность содержит 32-разрядное значение CRC, которое создается отправляющим MAC-адресом и пересчитывается принимающим MAC-адресом для поиска поврежденных кадров. FCS создается через поля DA, SA, Длина/Тип и Данные.

Заключение

Сети VLAN обеспечивают наиболее подходящие решения организации сетевой инфраструктуры решая вопросы

· Гибкости;

· Масштабирования;

· Производительности;

· Безопасности;

Так же была представлена информация о типах организации VLAN, рассмотрены возможные атаки на VLAN.

Подробно описан Формат кадра сетевого соединения между коммутаторами и IEEE 802.1Q

Список литературы

1. Программа сетевой академии Cisco CCNA 3 и 4.-2008.-936 с

2. Учебное пособие:Коммутаторы локальных сетей D-Link– 143

3. В.А.Галкин,Ю.А.Григорьев Телекоммуникации и сети,МГТУ им.Н.Э,Баумана,2003

4. D.Passmore,J.Freeman The VLAN Technology Report

5. Статьи о VLAN

6. Компьютерные сети. 4-е изд. / Э. Таненбаум. -- СПб.: Питер, 2003. -- 992 с: ил. -- (Серия «Классика computerscience»).

7. Аппаратные средства локальных сетей. Энциклопедия. -- СПб.: Питер, 2002. -576 с.: ил.

8. Компьютерные сети. Принципы, технологии, протоколы: Учебник для 2-е изд. / В.Г. Олифер, Н.А. Олифер. -- СПб.: Питер, 2004. -- 864 с: ил.

9. Пятибратов А.П., Гудыно Л.П., Кириченко А.А. Вычислительные системы, сети и телекоммуникации, М:Финансы и статистика, 2005 г., 559 с.

10. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы, СПб: Питер, 2006 г., 672 с.

11. Столингс В. Компьютерные системы передачи данных. ИД «Вильямс», 2002 г., 920 с

12. Куроуз Д.Ф., Росс К.В. Компьютерные сети, СПб: Питер, 2004 г., 764 с.

13. Столингс В. Компьютерные сети, протоколы и технологии Интернета. СПб: БХВ Петербург, 2005 г., 817 с.

14. http://www.pcwork.ru

15. http://www.sover.pro

16. http://www.hub.ru

17. http://www.xakep.ru

18. http://ru.wikipedia.org

19. http://xgu.ru/wiki/VLAN

Аннотация

В данной работе будут рассмотрены основные понятия виртуальной локальной сетиVLAN и существующие типы их построения.

Так же рассмотрены основные типы VLAN.

И описаны этапы работы VLAN на основе стандарта IEEE 802.1Q

Содержание

Введение. 3

1. Концепция виртуальной сети. 4

2. Преимущества VLAN.. 5

3. Типы VLAN.. 6

3.1. VLAN на базе портов. 6

3.2. VLAN на базе MAC-адресов. 7

3.3. VLAN на основе стандарта IEEE 802.1Q. 8

4. Этапы работы коммутаторов IEEE 802.1Q.. 11

4.1. Получение и идентификация пакета. 11

4.2. Изучение топологии. 11

4.3. Коммутация пакета; 12

5. Безопасность VLAN.. 13

5.1. Атака VLAN Hopping (с использованием DTP) 13

5.2. Дважды тегированный трафик. 14

6. Формат кадра сетевого соединения между коммутаторами и IEEE 802.1Q.. 15

Заключение. 17

Список литературы.. 18

Введение

Любые коммерческие и некоммерческие организациине могутобойтись без создания сетевой инфраструктуры, которая должна соответствовать ряду требований таких как:

· быть гибкой;

· наращиваемой;

· достаточно производительной;

· защищенной и хорошо управляемой;

чтобы обеспечивать функционирование информационной инфраструктуры предприятия без существенных затрат.

Сети с использованием разделяемой среды (концентраторы) не обеспечивают достаточно хорошо ни одного из перечисленных свойств сети.Такие сетевые технологии как коммутация и маршрутизация также не решают многих проблем функционирования сети. При использовании коммутации плохо управляется широковещательный трафик, невелики возможности обеспечения безопасности, имеются потенциально «узкие места».

Использование перечисленных технологий не исключает ручного вмешательства администратора, когда для организации логической группы необходимо физически произвести переключение рабочей станции с одного сегмента ЛВС на другой. Ручная коммутация требует довольно много времени и усилий и может закончиться установкой некорректного соединения.

Технология виртуальных сетей, решает множество проблем функционирования сети.

Концепция виртуальной сети

Концепция технологии построения виртуальных ЛВС (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены.

Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга.

Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп.

Концепция виртуальных сетей была создана на основе технологии коммутации в ЛВС, которая появилась в 1991 и теперь активно развивается.

Коммутаторы могут пересылать пакеты Ethernet, FastEthernet, TokenRing, или FDDI между сегментами ЛВС или пользователями, непосредственно подключенными к порту коммутатора.

Большинство коммутаторов работают в пределах второго уровня модели OSI (DataLinkLayer), работают как мосты, коммутируя пакеты между источником и получателем, определяемым по MAC-адресу получателя из заголовка пакета.

Некоторые коммутаторы в настоящее время поддерживает третий уровень OSI (NetworkLayer), маршрутизируя пакеты по признаку сетевого адреса.

Это ключевое различие между двумя типами коммутации определяет разницу в гибкости и функциональности виртуальных сетей, создаваемых на основе коммутаторов второго или третьего уровня.

Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами ЛВС.

Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы.

ПреимуществаVLAN

Гибкое разделение устройств на группы

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения

Наши рекомендации