МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра ЗІ
Звіт до лабораторної роботи № 1 З курсу: «Комп`ютерні методи високорівневого проектування систем захисту» На тему: “ЛОКАЛІЗАЦІЯ МЕРЕЖЕВОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN” Варіант № 8 Мета роботи – ознайомитися зі способами організації віртуальних локальних мереж та набути практичні навики стосовно захисту мережевого трафіку робочих груп корпоративної комп’ютерної мережі засобами канального рівня, конфігурації параметрів відповідного мережного обладнання. 1.Теоретичні відомості Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі. Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі. Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня). Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q. VLAN на основі групування портів – найпростіший варіант організації віртуальної локальної мережі. VLAN на основі портів забезпечують найвищий рівень керованості і безпеки. Пристрої зв'язуються у віртуальні мережі на основі портів комутатора, до яких ці пристрої фізично підключені. VLAN на основі портів є статичними і для внесення змін необхідне фізичне перемикання пристроїв. Однак побудовані на основі портів віртуальні мережі мають певні обмеження. Вони дуже прості в установці, але дозволяють підтримувати для кожного порта тільки одну віртуальну локальну мережу. Таке рішення є малоприйнятним при використанні концентраторів або в мережах з потужними серверами, до яких звертається багато користувачів (сервер не вдасться включити в різні VLAN). Крім того, віртуальні мережі на основі портів не дозволяють вносити в мережу зміни досить простим шляхом, оскільки при кожній такій зміні необхідна фізична перекомутація пристроїв. Інший спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі [1,5]. Проте, програма управління мережею AutoTracker корпорації Xylan дозволяє зібрати адреси в масштабі всієї мережі автоматично, позбавляючи адміністратора від рутинної роботи [3]. За допомогою згаданої програми можна налаштувати віртуальні мережі, використовуючи замість MAC-адрес пов'язані з ними імена станцій. Таким чином, VLAN на основі MAC-адрес групує пристрої на основі їх апаратних адрес, а програма AutoTracker робить групу широкомовним доменом. Для отримання доступу у віртуальну мережу, пристрій повинен мати MAC-адресу, відому програмі AutoTracker. Стандарт IEEE 802.1Q передбачає використання наявних або додаткових полів кадру для збереження інформації щодо ...