Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Управління інформацією
Кафедра:
Не вказано
Інформація про роботу
Рік:
2010
Тип роботи:
Методичні вказівки до лабораторної роботи
Предмет:
Захист інформації
Група:
МЕ
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
Національний університет
“ЛЬВІВСЬКА ПОЛІТЕХНІКА”
СТВОРЕННЯ МЕРЕЖ РОБОЧИХ ГРУП НА ОСНОВІ VLAN
МЕТОДИЧНІ ВКАЗІВКИ ДО ЛАБОРАТОРНОЇ РОБОТИ № 1
З КУРСУ “ІНФОРМАЦІЙНО-АНАЛІТИЧНЕ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ”
для студентів базових напрямів
“Управління інформаційною безпекою”
Затверджено
на засіданні кафедри
захисту інформації
Протокол № 11 від “01”лютого 2010 р.
Львів 2010
Мета роботи – ознайомитися зі способами організації віртуальних локальних мереж в об’єднаних мережах та набути практичні навики стосовно конфігурації параметрів відповідного мережного обладнання і вирішенні проблем щодо захисту комп’ютерного трафіку окремих робочих груп.
1. ТЕОРЕТИЧНІ ВІДОМОСТІ
Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі.
Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Віртуальні локальні мережі можуть перекриватись, якщо один або декілька комп’ютерів входять до складу двох чи більше віртуальних мереж. На рис. 1 сервер входить до складу VLAN 3 та VLAN 4, що означатиме передавання його кадрів комутаторами усім комп’ютерам, які входять у ці мережі. Якщо комп’ютер входить до складу лише VLAN 3, то його кадри будуть ізольованими від решти VLAN (якщо не враховувати можливість виникнення широкомовного шторму на спільному сервері VLAN 3 та VLAN 4).
Рис. 1. Віртуальні локальні мережі
Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q.
Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі.
Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня).
При створенні віртуальних мереж на основі одного комутатора переважно використовується механізм групування портів комутатора (рис. 2). При цьому кожен порт приписується певній віртуальній мережі.
Рис. 2. Віртуальні мережі, побудовані на одному комутаторі
Для створення віртуальних мереж шляхом групування портів достатньо кожен порт комутатора приписати до однієї з декількох заздалегідь поіменованих віртуальних мереж. Переважно така операція виконується за допомогою спеціальної програми комутатора.
Другий спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. При наявності у мережі великої кількості вузлів цей спосіб вимагає від адміністратора виконання великої кількості ручних операцій. Однак при побудові віртуальних мереж на основі декількох комутаторів він виявляється більш гнучким у порівнянні зі способом групування портів.
Рис. 3 демонструє проблему, що виникає при створенні віртуальних мереж на основі декількох комутаторів, які підтримують техніку групування портів. Якщо вузли будь-якої віртуальної мережі сполученні з різними комутаторами, то для організації кожної такої мережі на комутаторах повинна бути виділена спеціальна пара портів. У протилежному випадку, якщо комутатори будуть з’єднані лише однією парою портів, інформація про належність кадру певній віртуальній мережі при передачі від комутатора до комутатора буде втрачена. Таким чином, комутатори з групуванням портів вимагають для свого з’єднання стільки портів, скільки віртуальних мереж вони підтримують. Крім того, при з’єднанні віртуальних мереж через маршрутизатор для кожної віртуальної мережі виділяють окремий кабель і окремий порт маршрутизатора.
Рис. 3. Побудова віртуальних мереж на декількох комутаторах з групуванням портів
Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі.
Стандарт IEEE 802.1Q передбачає використання наявних або додаткових полів кадру для збереження інформації щодо наявності кадру тій чи іншій віртуальній локальній мережі при його переміщенні між комутаторами мережі. При цьому немає необхідності запам’ятовувати у кожному комутаторі належність усіх МАС-адрес об’єднаної мережі віртуальним мережам. Додаткове поле з міткою про номер віртуальної мережі використовується лише при передаванні кадру від комутатора до комутатора, а при передачі кадру кінцевому вузлу воно як правило відкидається.
У стандарті IEEE 802.1Q для збереження номера віртуальної мережі передбачено у кадрі додатковий заголовок розміром 2 байт (лише 12 біт у ньому використовується безпосередньо для збереження номера віртуальної мережі до якої належить цей кадр) [1]. Додаткова інформація, яка називається тегом віртуальної мережі дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Кадр з такою інформацією називають “поміченим”.
Підтримують техніку VLAN як виробники комутаторів, так і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати і приймати помічені кадри Ethernet, які містять поле тега віртуальної мережі. Якщо мережевий адаптер генерує помічені кадри, то тим самим він визначає їх належність до певної віртуальної локальної мережі, тому комутатор повинен приймати рішення щодо передавання або не передавання на вихідний порт таких кадрів у залежності від належності порту. Драйвер мережевого адаптера може одержати номер своєї (або своїх) віртуальної локальної мережі шляхом ручної конфігурації або від деякої прикладної програми, яка працює на цьому вузлі чи на одному зі серверів мережі.
2. СТВОРЕННЯ ВІРТУАЛЬНИХ МЕРЕЖ РОБОЧИХ ГРУП В
ОБ’ЄДНАНІЙ МЕРЕЖІ
Нехай об’єднана мережа (ОМ) складається з двох мереж (IP: 192.168.0.0 та 192.168.1.0), з’єднаних за допомогою маршрутизатора (рис.4). Необхідно організувати віртуальні локальні мережі VLAN1 i VLAN2 для двох робочих груп: main і second. При цьому, між користувачами ОМ, які не входять у VLAN1 i VLAN2, повинно бути забезпечений вільний обмін повідомленнями. До VLAN1 (main) необхідно під’єднати сервер (IP: 192.168.0.2) та робочу станцію (IP: 192.168.0.8), а до VLAN2 (second) – лише сервер (IP: 192.168.0.12). У межах кожної робочої групи main і second користувачі повинні вільно обмінюватися повідомленнями. Обмін повідомленнями між користувачами різних робочих груп, та між користувачами робочих груп і користувачами ОМ, які знаходяться поза межами робочих груп, повинен бути заборонений!
Проектування ОМ з віртуальними мережами та подальше моделювання рекомендується здійснювати у середовищі Packet Tracert 5.2.
Рис. 4. Приклад створення віртуальних мереж робочих груп в об’єднаній мережі
Для реалізації поставленого завдання в робочій області середовища встановлюємо маршрутизатор типу 1841, оскільки його інтерфейси HWIC-4ESW (рис. 5) дозволяють забезпечити транковий зв’язок між комутаторами Ethernet різних мереж. Для цього у меню Physikal виберіть і вставте у слот вказані апаратні модулі, які забезпечуватимуть відповідні інтерфейси (перед цим необхідно вимкнути живлення пристрою).
Рис. 5. Встановлення інтерфейсів HWIC-4ESW у корпус маршрутизатора 1841
У меню Config поряд з інтерфейсами маршрутизатора FastEthernet0/0 та FastEthernet0/1 повинні бути відображені інтерфейси комутатора Ethernet: FastEthernet0/0/1, FastEthernet0/0/2, FastEthernet0/0/3, FastEthernet0/0/4 .
Інтерфейсам FastEthernet0/0 та FastEthernet0/1 назначаємо IP Address згідно з рис. 6 та рис. 7
Рис. 6. Конфігурація порта маршрутизатора FastEthernet0/0
Рис. 7. Конфігурація порта маршрутизатора FastEthernet0/1
Сконфігуровані інтерфейси сполучаємо з інтерфейсами Switch 7 та Switch 4 відповідно (рис. 4).
За допомогою опцій меню Routing/Static відкриваємо вікно таблиці маршрутизації і заповнюємо її згідно рис. 8.
Рис. 8. Заповнення таблиці маршрутизації маршрутизатора
За допомогою опції VLAN Database відкриваємо вікно конфігурації віртуальної мережі. У полях VLAN Number та VLAN Name вводимо номер та назву віртуальної мережі відповідно (для нашого прикладу: номера 10 та 11, назви main і second. Клавішею Add заносимо інформацію у базу даних VLAN (рис. 9).
Рис. 9. Приклад введення номеру та назви віртуальної мережі у базу даних VLAN
Проведення конфігурації портів FastEthernet0/0/1 і FastEthernet0/0/2 відображено на рис. 10 та рис. 11. Для цього необхідно вибрати опцію відповідного порта з меню INTERFACE Оскільки згідно поставленого завдання необхідно забезпечити передавання трафіку 2-х VLAN, то необхідно ліворуч поля VLAN вибрати тип зв’язку Trunk, а праворуч – назви: main і second.
Рис. 10. Приклад конфігурації порта FastEthernet0/0/1
Рис. 11. Приклад конфігурації порта FastEthernet0/0/2
Сконфігуровані інтерфейси FastEthernet0/0/1 і FastEthernet0/0/2 необхідно сполучити з інтерфейсами комутаторів Ethernet: Switch 7 та Switch 4 відповідно (рис. 4), які повинні бути аналогічно сконфігуровані (рис. 12).
Рис. 12. Приклад конфігурації порта FastEthernet 7/1 Switch 4
Проводимо конфігурацію вибраних портів комутаторів (Switch 7 та Switch 4) для сполучення відповідних вузлів у відповідній віртуальній мережі. Наприклад, вузли робочої групи Workgroup main будуть включені до VLAN main, оскільки інтерфейс її концентратора сполучений з інтерфейсом GigabitEthernet0/1 Switch 4, сконфігурованого згідно рис.13 (тип зв’язку Access, номер VLAN main : 10), а вузли робочої групи Workgroup second будуть включені до VLAN second, оскільки інтерфейс її концентратора сполучений з інтерфейсом FastEthernet1/1 Switch 4, сконфігурованого згідно рис.14 (тип зв’язку Access, номер VLAN second : 11). Аналогічно сполучаються згідно конфігурації портів Switch 7 у певну VLAN сервери та робочі станції.
Рис. 13. Приклад конфігурації порта GigabitEthernet0/1 Switch 4
Рис. 14. Приклад конфігурації порта FastEthernet1/1 Switch 4
3. РЕЗУЛЬТАТ МОДЕЛЮВАННЯ СТВОРЕННИХ ВІРТУАЛЬНИХ
МЕРЕЖ РОБОЧИХ ГРУП В ОБ’ЄДНАНІЙ МЕРЕЖІ
Згідно поставленого завдання (рис. 4) усі вузли VLAN main, яким назначені наступні IP-адреси: 192.168.0.4, 192.168.0.5, 192.168.0.6, 192.168.0.8, 192.168.0.2, повинні обмінюватися між собою пакетами. Аналогічно, повинні обмінюватися пакетами усі вузли VLAN second, яким назначені IP-адреси: 192.168.0.16, 192.168.0.15, 192.168.0.12. Обмін пакетами з вузлами, які належать різним VLAN та будь-якими іншими вузлами ОМ має бути заборонений.
Для перевірки виконання поставленого завдання відкриваємо вікно Desktop РС7 (ІР: 192.168.0.4), яка належить VLAN main (рис. 14). Тут вибираємо вікно Command prompt. У командному рядку цього вікна за допомогою діагностичної утиліти ping тестуємо зв’язок наступними вузлами: РС (ІР: 192.168.0.12, 192.168.0.8, 192.168.0.6).
Відкриваємо вікно Desktop РС (ІР: 192.168.0.16), яка належить VLAN second (рис. 15). Тут вибираємо вікно Command prompt. У командному рядку цього вікна за допомогою діагностичної утиліти ping тестуємо зв’язок наступними вузлами: РС (ІР: 192.168.0.12, 192.168.0.2, 192.168.0.15)
Результати перевірки виконання поставленого завдання наведено на рис. 14 та рис. 15.
Рис. 14. Демонстрація результатів виконання поставленого завдання за допомогою утиліти ping
Рис. 15. Демонстрація результатів виконання поставленого завдання за допомогою утиліти ping
4. ЗМІСТ ЗВІТУ
Повний текст завдання.
Свій приклад підключення корпоративної мережі згідно протоколу TCP/IP із зазначенням IP-адресації вузлів у цій мережі (індивідуальне завдання на л.р., № 5 з курсу “Комп’ютерні мережі”).
Результати виконання індивідуального завдання, заданого в аудиторії викладачем.
Результати лабораторного тестування протоколу TCP/IP в об’єднаній мережі та у віртуальних мережах. Навести результати тестування, які б підтверджували правильність виконання поставленого завдання.
На основі отриманих результатів намалювати структуру протестованої мережі (топологію, хости із зазначенням їх імен та відповідних IP-адрес, та іншу інформацію, яку було отримано).
Література
Компьютерные сети. Принципы, технологии, протоколы / В.Г.Олифер, Н.А.Олифер.-СПб.: Издательство "Питер", 2002 - 672 с.
Компьютерные сети и сетевые технологии: Пер. с англ./ Марк Спортак, Френк Паппас и др. - К.: ООО "ТИД "ДС", 2002 - 736 с.
Проектування локальної комп’ютерної мережі у середовищі Packet Tracer. Методичні вказівки до лабораторної роботи з дисципліни “Комп’ютерні мережі” для студентів базових напрямів “Інформаційна безпека” / Укл.: Березюк Б.М., І.Я.Тишик, –Львів: НУЛП, 2009-19с.
Стек протоколів TCP/IP. IP-адресація: Інструкція до лабораторної роботи № 4 з курсу ”Комп’ютерні мережі” для студентів базового напряму 6.1601 "Інформаційна безпека" / Укл. А.З. Піскозуб, Б.М. Березюк, І.Я.Тишик – Львів, 2009. - 14 с.
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора