2004 р
6.2. Віртуальні локальні мережі VLAN, Інтранет
Семенов Ю.А. (ДНЦ ІТЕФ), book.itep.ru
Широке впровадження ІНТРАНЕТ, де групи розкиданих по мережі користувачів локальних мереж об'єднуються один з одним за допомогою віртуальних каналів VLAN (Virtual Local Area Network; http://www.3com.com/nsc/200374.html ), Зажадало розробки нових протоколів. Архітектура VLAN дозволяє ефективно розділяти трафік, краще використовувати смугу каналу, гарантувати успішну спільну роботу мережевого обладнання різних виробників і забезпечити високу ступінь безпеки. При цьому пакети прямують між портами в межах локальної мережі. Останнім часом для задач побудови VLAN розроблений стандартний протокол IEEE 802.10 (3-ій мережевий рівень). Цей протокол передбачає, що пакети VLAN мають свої ідентифікатори, які і використовуються для їх перемикання. Протокол може підтримувати роботу 500 користувачів і більше. Повна назва стандарту - IEEE 802.10 Interoperable LAN / MAN Security (MAN - Metropolitan Area Network - регіональна чи муніципальна мережу). Стандарт прийнятий в кінці 1992 року. Кількість VLAN в межах однієї мережі практично не обмежена. Протокол дозволяє шифрувати частина заголовка і інформаційне поле пакетів.
Мал. 6.2.1 Формат пакета IEEE 802.10
Поле чистий заголовок включає в себе три субполя. MDF (Management Defined Field) є опціонним і містить інформацію про спосіб обробки PDU. Чотирьохбайтове субполів said (Security Association Identifier) - ідентифікатор мережевого об'єкта (VLAN ID). Субполів 802.10 LSAP (Link Service Access Point) являє собою код, який вказує приналежність пакета до протоколу vlan. Передбачається режим, коли використовується тільки цей заголовок.
Захищений заголовок копіює себе адреса відправника з mac-заголовка (MAC - Media Access Control), що підвищує надійність.
Поле ICV (Integrity Check Value) - служить для захисту пакета від несанкціонованої модифікації. Для управління VLAN використовується захищена керуюча база даних SMIB (security management information base).
Наявність VLAN ID (said) в пакеті виділяє його з загального потоку і переправляє на опорну магістраль, через яку і здійснюється доставка кінцевому адресату. Розмір поля data визначається фізичної мережевим середовищем. Завдяки наявності mac-заголовка VLAN-пакети обробляються як звичайні мережеві кадри. З цієї причини VLAN може працювати в мережах TCP / IP (Appletalk або Decnet менш зручні). У середовищі типу Netbios робота практично неможлива. Мережі ATM прозорі для VLAN. Протокол VLAN підтримується корпорацією cisco, 3com та ін .. Хоча VLAN орієнтований на локальні мережі, він може працювати і в WAN, але помітно менш ефективно. В останнім часом розроблено велику кількість спеціальних програмних засобів мережної безпеки. Серед них Firewall займає лідируюче положення.
У розділі "Повторювачі, мости (бриджі), мультиплексори, перемикачі та маршрутизатори" згадувалася технологія віртуальних мереж (vlan). Створена для цілей безпеки ця техніка виявилася корисною для структуризації локальних мереж, що призводить до поліпшення їх робочих характеристик. В даний час доступні перемикачі, маршрутизатори і навіть концентратори, що підтримують віртуальні сети.
Віртуальні мережі просто необхідні, коли локальна мережа в межах одного будинку спільно використовується кількома фірмами, а несанкціонований доступ до інформації бажано обмежити. Принцип побудови віртуальної мережі показаний на мал. 6.2.2.
Мал. 6.2.2. Схема перемикача (або концентратора) з підтримкою VLAN.
Для формування VLAN необхідний пристрій, де можливо здійснювати управління тим, які порти можуть з'єднуватися. Наприклад, нехай запрограмована можливість пересилки пакетів між портами 1, 3 і 6, 2 і 5, а також між портами 4, 7 і 8. Тоді пакет з порту 1 ніколи не потрапить в порт 2, а з порту 8 в порт 6 і т . Д. Таким чином, перемикач як би розділяється на три незалежних перемикача, що належать різним віртуальним мережам. Управління матрицею перемикання можливо через підключається з поза термінал або віддаленим чином з використанням протоколу SNMP. Якщо система перемикачів, концентраторів (і можливо маршрутизаторів) запрограмована коректно, виникне три незалежні віртуальні мережі.
Дана технологія може бути реалізована не тільки в рамках локальної мережі. Можливо виділення віртуальної мережі в масштабах Інтернет. По суті, ідея створення корпоративних мереж в Інтернет (Інтранет) є узагальненням ідей віртуальних мережі на регіональні мережі.
Така корпоративна мережа повинна мати один шлюз для входу в Інтернет. Такий шлюз може виконувати функції Firewall, вирішуючи проблеми безпеки корпоративної мережі.
Назад: 6.1. Технічні засоби мережевий безпеки
Зміст: Телекомунікаційні технології
вперед: 6.3. система Firewall
