Виртуальные локальные вычислительные сети
Методы защиты информации и управления трафиком в процессе распределения узлов по подсетям. Требования к администратору сети, предъявляемые при смене расположения виртуальных ЛВС. Назначение компьютерной сети VLAN. Общая характеристика коммутаторов.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | реферат |
Язык | русский |
Дата добавления | 01.03.2015 |
Размер файла | 128,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Виртуальные локальные вычислительные сети
Обычно распределение узлов по подсетям выполняется по территориальному признаку. Однако при этом возможно объединение в одной подсети узлов, слабо связанных друг с другом в функциональном отношении. Возникают проблемы с защитой информации и с управлением трафиком. Поэтому предпочтительнее распределять узлы по функциональному признаку, причем администратор сети должен иметь возможность перекоммутации узлов при изменениях в их функциях или расположении. Такие возможности имеются в виртуальных ЛВС (ВЛВС).
ВЛВС - это локальная сеть, в которой узлы группируются не по территориальному, а по функциональному признаку. Для этого каждая подсеть в ВЛВС получает свой идентификатор, каждому идентификатору соответствуют определенные порты коммутаторов сети. Идентификатор указывается в заголовке кадра (структура кадра в ВЛВС задается стандартом IEEE 802.1Q) и поэтому коммутатор направляет кадр в нужную подсеть. Администратор сети может управлять структурой сети (перекоммутацией портов) с помощью специального программного обеспечения.
Групповые адреса в ВЛВС действуют только в пределах своей подсети. Такая изоляция подсетей друг от друга, осуществляемая в ВЛВС, во многом вызвана необходимостью борьбы с широковещательным штормом.
Если в обычных ЛВС отнесение компьютера к той или иной подсети связано с физической перекоммутацией портов в коммутаторах или кроссовых панелях, то в ВЛВС это делается программным путем. Для этого нужно указать сгруппированные порты или сгруппированные MAC-адреса узлов. Первое проще, но при этом требуется, чтобы все узлы одной подсети были подключены к портам одного коммутатора, так как иначе для каждой подсети нужно выделять свои порты связи коммутаторов друг с другом.
VLAN (от англ. Virtual Local Area Network) - логическая («виртуальная») локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
Зачем нужен VLAN?
Гибкое разделение устройств на группы…
Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.
Уменьшение количества широковещательного трафика в сети…
Каждый VLAN - это отдельный широковещательный домен. Например, коммутатор - это устройство 2 уровня модели OSI. Все порты на коммутаторе с лишь одним VLAN находятся в одном широковещательном домене. Создание дополнительных VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN настроен на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
Увеличение безопасности и управляемости сети…
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN.
Главная функция виртуальных сетей - это создание виртуальных рабочих групп, основанных на общих функциях пользователей и общих ресурсах, в доступе к которым они нуждаются.
Например, предприятие состоит из множества департаментов - учета, снабжения, маркетинга, продаж и т. д.
Пользователям каждого департамента необходим доступ к определенным своим ресурсам. При помощи реализации VLAN пользователи каждого департамента могут быть логически описаны и сгруппированы в различные рабочие группы с различными доступными ресурсами сети.
Тегирование трафика VLAN.
Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN'е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN'e. Трафик, приходящий на порт определённого VLAN'а, ничем особенным не отличается от трафика другого VLAN'а. Другими словами, никакой информации о принадлежности трафика определённому VLAN'у в нём нет.
Однако, если через порт может прийти трафик разных VLAN'ов, коммутатор должен его как-то различать. Для этого каждый кадр трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN'у трафик принадлежит. Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q. Существуют проприетарные протоколы, решающие похожие задачи, например, протокол ISL от Cisco Systems, но их популярность значительно ниже (и снижается).
IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN.
Так как 802.1Q не изменяет заголовки кадра (фрейма), то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.
802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN.
Размер тега - 4 байта. Он состоит из таких полей:
- Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля - 16 бит. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100;
- Priority (приоритет). Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика;
- Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический, 1 - не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring;
- VLAN Identifier (VID, идентификатор VLAN). Размер поля - 12 бит. Указывает какому VLAN принадлежит фрейм. Диапазон возможных значений от 0 до 4095.
Коммутаторы и VLAN.
VLAN'ы могут быть настроены на коммутаторах, маршрутизаторах, других сетевых устройствах и на хостах. Однако, для объяснения VLAN лучше всего подойдет коммутатор.
Коммутатор - устройство 2го уровня и изначально все порты коммутатора находятся, как правило, в VLAN 1 и, следовательно, в одном широковещательном сегменте.
Это значит, что если одно из устройств, которое подключено к порту коммутатора, отправит широковещательный фрейм, то коммутатор перенаправит этот фрейм на все остальные порты, к которым подключены устройства, и они получат этот фрейм.
Изначально коммутаторы не обеспечивали возможности создания Виртуальных Локальных сетей, так как они использовались для простой пересылки фреймов между устройствами. Рынок коммутаторов начал быстро расти, когда концентраторы коллективного доступа к среде передачи данных начали не справляться с растущими запросами на расширение полосы пропускания сети в связи с использованием приложений клиент-сервер, обеспечивающих Графический Интерфейс Пользователя.
ВЛС по MAC-адресу.
VLAN, базирующиеся на MAC адресах, имеют целый ряд преимуществ и недостатков. Во-первых, при смене пользователем физического расположения, она автоматически переключается, т. е., позволяет пользователям находиться в той же VLAN, даже если пользователь перемещается с одного места на другое. Этот метод требует, чтобы администратор определил MAC адрес каждой рабочей станции и затем внес эту информацию в коммутатор. Этот метод может вызвать большие трудности при поиске неисправностей, если пользователь изменил MAC адрес, а также при большом количестве пользователей Любые изменения в конфигурации должны быть согласованы с сетевым администратором, что может вызывать административные задержки.
ВЛС по сетевому адресу.
Виртуальные сети, базирующиеся на сетевых адресах, позволяют пользователям находиться в той же VLAN, даже когда пользователь перемещается с одного места на другое. Этот метод перемещает VLAN, связывая ее с сетевым адресом Уровня 3 рабочей станции для каждого коммутатора, к которому пользователь подключен. Этот метод может быть очень полезным в ситуации, когда важна безопасность и когда доступ контролируется списками доступа в маршрутизаторах. Поэтому пользователь "безопасной" VLAN может переехать в другое здание, но остаться подключенным к тем же устройствам потому, что у него остался тот же сетевой адрес. Сеть, построенная на сетевых адресах, может потребовать комплексного подхода при поиске неисправностей.
ВЛС по IP адресу.
Виртуальные сети, базирующиеся на IP-адресах, представляют собой необычный подход к определения VLAN, хотя фундаментальная концепция широковещательных доменов все же сохраняется. При посылке IP-пакета через много вещатель, он автоматически пересылается на адрес, который является прокси-сервером для четко определенной группы IP-адресов, назначающихся динамически. Каждой рабочей станции дается возможность соединиться с определенной IP-группой путем утвердительного ответа на широковещательные уведомления (сигналы которого инициализируют группу). Все рабочие станции, объединенные в одну IP-группу, могут быть рассмотрены как члены одной и той же VLAN. Однако, они являются членами определенной мультивещательной IP-группы только на данный момент времени. Поэтому, динамическая природа VLANs, определенная широковещательными IP-группами, разрешает высокую степень гибкости и чувствительность в применении.
Обмен информацией. информация виртуальный компьютерный
Для обмена информацией о VLAN между коммутаторами вы должны создать транковые порты. Транковый порт - это порт или группа портов, используемые для передачи информации о VLAN в другие сетевые устройства, присоединенные к этому порту и использующие транковый протокол. Транковый протокол - это "язык", который коммутаторы используют для обмена информацией о VLAN. Примеры транковых протоколов - ISL и IEEE 802.1Q. Обратите внимание, что обычные порты не рекламируют информацию о VLAN, но любой порт может быть настроен для приема/передачи информации о VLAN. Вы должны активизировать транковый протокол на нужных портах, так как он выключен по умолчанию. Транковый порт - это порт, предназначенный исключительно для пересылки VLAN информации используя транковый протокол. Cisco коммутаторы в основном используют протокол Inter-Switch Link (ISL) для обеспечения совместимости информации.
Для автоматического обмена информацией о VLAN через транковые порты, вам нужно настроить Cisco VLAN Trunk Protocol (VTP), который позволяет коммутаторам посылать информацию о VLAN в форме "рекламы" соседним устройствам. Передаваемая информация включает домен, номер версии, активные VLAN и другую информацию. Вы настроите сервер и, по выбору, клиентов. Преимуществом использования VTP является то, что вы можете контролировать добавление, удаление или изменение сетей VLAN в дизайне вашего коммутатора. Недостатком является ненужный трафик, создаваемый на транковых портах для устройств, которым возможно не нужна эта информация. Коммутаторы Cisco возможность ограничения VLAN информации, пересылаемой через транковый порт, используя возможность "отсечения" (pruning option). Используя VTP, вы можете гарантировать, что ваш VLAN дизайн будет распространен во все коммутаторы, использующие протокол VTP в том же домене. VTP посылает VLAN информацию через транковые порты на групповой адрес (multicast address), но не пересылает ее на обычные (не транковые) порты коммутатора.
Другая возможность - настройка коммутатора для режима прозрачной передачи, и настройка каждой VLAN в каждом коммутаторе вручную. Это очень важное решение в разработке вашей сети. Если ваша сеть будет содержать много коммутаторов, содержащих много виртуальных сетей, расположенных в разных коммутаторах, возможно, имеет смысл использовать VTP. Если ваша сеть останется достаточно статической, VLAN не будут добавляться или изменяться по отношению к начальной конфигурации, прозрачное соединение может работать лучше. VTP требует использования программы сетевого управления Cisco VLAN Director для управления вашими коммутаторами. Если вы беспокоитесь об административном управлении, VTP может обеспечить решение проблемы. Вы имеете возможность установить пароль на VTP домен для контроля изменения VLAN информации вашей сети.
Дополнительно, оставив активными опции по умолчанию в ваших основных коммутаторах, вы можете контролировать процесс обновления информации. После настройки ваших коммутаторов как VTP серверов, остальные коммутаторы вашей сети могут быть настроены как клиенты, которые только получают VLAN информацию.
В современных сетях VLAN - главный механизм для создания логической топологии сети, не зависящей от её физической топологии. VLAN'ы используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности, как средство борьбы с ARP-spoofing'ом.
ARP-spoofing (ARP-poisoning) - техника сетевой атаки, применяемая преимущественно в Ethernet.
Размещено на Allbest.ru
...Подобные документы
Серверная инфраструктура ФГУП "Почта России". Автоматизированные сортировочные центры. Коммутация и виртуальные локальные сети VLAN. Контроль за широковещательным трафиком. Функциональные рабочие группы. Виртуальные сети по MAC-адресу и IP адресу.
отчет по практике [183,2 K], добавлен 12.02.2014Применение сетевых технологий в управленческой деятельности. Понятие компьютерной сети. Концепция открытых информационных систем. Преимущества объединения компьютерных сетей. Локальные вычислительные сети. Глобальные сети. Международная сеть INTERNET.
курсовая работа [38,1 K], добавлен 16.04.2012Принцип построения компьютерных сетей: локальные вычислительные сети и глобальные компьютерные сети Internet, FidoNet, FREEnet и другие в деле ускорения передачи информационных сообщений. LAN и WAN сети, права доступа к данным и коммутация компьютеров.
курсовая работа [316,0 K], добавлен 18.12.2009Организация, устройство, принцип функционирования вычислительных сетей. Топологии "шина", "кольцо", "звезда". Назначение узлов сети. Параметры электрического сигнала. Функции сетевых адаптеров. Кабельные линии связи. Кодирование цифровой информации.
презентация [3,4 M], добавлен 11.12.2014Обеспечение отказоустойчивости компьютерной сети при эксплуатации. Требования к проектируемой сети в плане ее назначения и типа настраиваемых серверов. Алгоритм установки требуемого программного обеспечения и настройка конфигурации компьютерной сети.
курсовая работа [1,9 M], добавлен 11.04.2019Общие сведения о вычислительных сетях, история их появления. Локальные и глобальные сети. Пакет как основная единица информации вычислительной сети. Главные способы переключения соединений. Методы организации передачи данных между компьютерами.
презентация [611,9 K], добавлен 25.11.2012Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.
курсовая работа [36,0 K], добавлен 18.10.2008Понятие сети ЭВМ и программного обеспечения компьютерных сетей. Локальные, корпоративные и глобальные вычислительные сети. Технологии сетевых многопользовательских приложений. Сетевые ОС NetWare фирмы Novell. Назначение службы доменных имен DNS.
учебное пособие [292,6 K], добавлен 20.01.2012Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.
дипломная работа [1,2 M], добавлен 20.10.2011Общая характеристика локальных вычислительных сетей, их основные функции и назначение. Разработка проекта модернизации локальной компьютерной сети предприятия. Выбор сетевого оборудования, расчет длины кабеля. Методы и средства защиты информации.
дипломная работа [1,5 M], добавлен 01.10.2013Аналитический обзор корпоративной сети. Анализ существующей сети, информационных потоков. Требования к системе администрирования и маркировке элементов ЛВС. Разработка системной защиты от несанкционированного доступа. Инструкция системному администратору.
дипломная работа [765,0 K], добавлен 19.01.2017Локальные вычислительные сети. Пропускная способность сети. Определение загруженности сети. Выбор физической среды передачи данных. Распределение адресного пространства. Проверочный расчет времени двойного оборота. Пассивное сетевое оборудование.
курсовая работа [2,9 M], добавлен 17.02.2012Глобальная компьютерная сеть. Стандарт протоколов TCP/IP. Основные типы подключения к Интернет. Подключение через локальные сети. Выделенная линия или канал. Направления развития Internet. Локальные вычислительные сети. Адресация в сети Интернет.
презентация [1,4 M], добавлен 28.10.2011Назначение и классификация компьютерных сетей. Обобщенная структура компьютерной сети и характеристика процесса передачи данных. Управление взаимодействием устройств в сети. Типовые топологии и методы доступа локальных сетей. Работа в локальной сети.
реферат [1,8 M], добавлен 03.02.2009Разработка структурной схемы компьютерной сети. Планирование топологии сети, настройка серверов. Принципы распределения IP-адресов. Расчет удвоенной задержки распространения сигнала. Моделирование потоков трафика в сети. Сетевые протоколы, их особенности.
курсовая работа [1,2 M], добавлен 23.12.2015Организация частной сети. Структура незащищенной сети и виды угроз информации. Типовые удаленные и локальные атаки, механизмы их реализации. Выбор средств защиты для сети. Схема защищенной сети с Proxy-сервером и координатором внутри локальных сетей.
курсовая работа [2,6 M], добавлен 23.06.2011Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа [2,3 M], добавлен 18.04.2014Интернет как глобальная компьютерная сеть, в которой локальные, региональные и корпоративные сети соединены между собой многочисленными каналами передачи информации. Знакомство с основными особенностями и этапами появления глобальной компьютерной сети.
презентация [3,0 M], добавлен 13.02.2015Исследование методов и средств передачи информации на расстояния. Описания компьютерной сети, узлы которой осуществляют функции генерации, преобразования, хранения и потребления информации. Классификация вычислительных сетей по территориальному признаку.
презентация [277,4 K], добавлен 13.08.2013Схема соединения компьютеров в локальной сети: линейная шина, звезда, кольцо. Аппаратное обеспечение: адаптер для передачи и према информации. Создание всемирной компьютерной сети Интернет. Базовые и прикладные протоколы. Способы подключения к интернету.
презентация [153,4 K], добавлен 27.04.2015