СТВОРЕННЯ МЕРЕЖ РОБОЧИХ ГРУП НА ОСНОВІ VLAN. Лабораторна робота з Інформаційно-аналітичне забезпечення безпеки. Робота № 527229

Перехід до торгівельного партнера Binance

СТВОРЕННЯ МЕРЕЖ РОБОЧИХ ГРУП НА ОСНОВІ VLAN

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

КН

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2015

Тип роботи:

Лабораторна робота

Предмет:

Інформаційно-аналітичне забезпечення безпеки

Група:

УІ 31

Варіант:

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА кафедра ЗІ З В І Т до лабораторної роботи №1 з курсу «ІНФОРМАЦІЙНО-АНАЛІТИЧНЕ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ» на тему: «СТВОРЕННЯ МЕРЕЖ РОБОЧИХ ГРУП НА ОСНОВІ VLAN» Мета роботи – ознайомитися зі способами організації віртуальних локальних мереж в об’єднаних мережах та набути практичні навики стосовно конфігурації параметрів відповідного мережного обладнання і вирішенні проблем щодо захисту комп’ютерного трафіку окремих робочих груп. 1.Теоретичні відомості Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі. Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі. Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня). Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q. VLAN на основі групування портів – найпростіший варіант організації віртуальної локальної мережі. VLAN на основі портів забезпечують найвищий рівень керованості і безпеки. Пристрої зв'язуються у віртуальні мережі на основі портів комутатора, до яких ці пристрої фізично підключені. VLAN на основі портів є статичними і для внесення змін необхідне фізичне перемикання пристроїв. Однак побудовані на основі портів віртуальні мережі мають певні обмеження. Вони дуже прості в установці, але дозволяють підтримувати для кожного порта тільки одну віртуальну локальну мережу. Таке рішення є малоприйнятним при використанні концентраторів або в мережах з потужними серверами, до яких звертається багато користувачів (сервер не вдасться включити в різні VLAN). Крім того, віртуальні мережі на основі портів не дозволяють вносити в мережу зміни досить простим шляхом, оскільки при кожній такій зміні необхідна фізична перекомутація пристроїв. Інший спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі [1,5]. Проте, програма управління мережею AutoTracker корпорації Xylan дозволяє зібрати адреси в масштабі всієї мережі автоматично, позбавляючи адміністратора від рутинної роботи [3]. За допомогою згаданої програми можна налаштувати віртуальні мережі, використовуючи замість MAC-адрес пов'язані з ними імена станцій. Таким чином, VLAN на основі MAC-адрес групує пристрої на основі їх апаратних адрес, а програма AutoTracker робить групу широкомовним доменом. Для отримання доступу у віртуальну мережу, пристрій повинен мати MAC-адресу, відому програмі AutoTracker. Стандарт IEEE 802.1Q передбачає використання наявних або додаткових полів кадру для збереження інформації щодо наявності кадру тій чи іншій віртуальній локальній мережі при його переміщенні між комутаторами мережі. При цьому немає необхідності запам’ятовувати у кожному комутаторі належність усіх МАС-адрес об’єднаної мережі віртуальним мережам. Додаткове поле з позначкою про номер віртуальної мережі використовується лише при передаванні кадру від комутатора до комутатора, а при передачі кадру кінцевому вузлу воно як правило відкидається. У стандарті IEEE 802.1Q для збереження номера віртуальної мережі передбачено у кадрі додатковий заголовок розміром 2 байт (лише 12 біт у ньому використовується безпосередньо для збереження номера віртуальної мережі до якої належить цей кадр) [1]. Додаткова інформація, яка називається тегом віртуальної мережі дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Кадр з такою інформацією називають “поміченим”. Підтримують техніку VLAN як виробники комутаторів, так і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати і приймати помічені кадри Ethernet, які містять поле тега віртуальної мережі. Якщо мережевий адаптер генерує помічені кадри, то тим самим він визначає їх належність до певної віртуальної локальної мережі, тому комутатор повинен приймати рішення щодо передавання або не передавання на вихідний порт таких кадрів у залежності від належності порту. Драйвер мережевого адаптера може одержати номер своєї (або своїх) віртуальної локальної мережі шляхом ручної конфігурації або від деякої прикладної програми, яка працює на цьому вузлі чи на одному зі серверів мережі. Мережі на основі MAC-адрес є одним з найбільш керованих типів VLAN. Однак, у порівнянні з попереднім варіантом реалізації VLAN, рівень безпеки VLAN на основі MAC-адрес є нижчим, оскільки тут існує потенційна можливість підміни апаратної адреси пристрою, наприклад, за допомогою програми MACChange. Програма AutoTracker корпорації Xylan є новою реалізацією VLAN, тісно пов'язаної з повнофункціональним сімейством комутаторів Xylan. Програма розроблялася паралельно з комутаторами OmniSwitch і PizzaSwitch, що дозволило забезпечити їх надійну інтеграцію. AutoTracker є найбільш функціональним з існуючих сьогодні рішень для організації VLAN. Варіанти побудови віртуальних мереж, які дозволяє підтримувати AutoTracker, описані нижче. VLAN на мережевому рівні. Такі VLAN дозволяють адміністратору зв'язати трафік для того чи іншого протоколу у відповідній віртуальній мережі. Аналогічним способом створюються широкомовні домени в мережах на основі маршрутизаторів. Протокол може бути заданий у формі IP-підмережі або мережевого номера IPX. Можна, наприклад, об'єднати у віртуальну локальну мережу всіх користувачів підмережі, яка була організована до використання комутаторів. Спектр можливостей комутатора, на основі якого будується VLAN, часто визначає гнучкість віртуальних мереж даного типу. Багато VLAN мережевого рівня підтримують системи на основі декількох комутаторів, тоді як інші можуть працювати тільки з одним пристроєм. Необхідно мати на увазі, що цей тип VLAN майже не відрізняється від мереж на основі маршрутизаторів і деякі комутатори нездатні забезпечити необхідну в даному випадку продуктивність. Комутатори OmniSwitch добре справляються з завданнями такого типу. VLAN на основі протоколів будуються на основі заданого в кожному кадрі типу протоколу. Такий підхід дозволяє адміністратору задати критерії, за якими AutoTracker буде створювати VLAN. Адміністратор може самостійно вибрати поля в заголовках кадрів, за якими буде визначатися належність до віртуальної мережі, і завантажити підготовлені правила в усі комутатори мережі. Наприклад, адміністратор може помістити в одну віртуальну мережу усіх користувачів, що працюють з протоколом NetBios або IP. Для роботи з даним типом віртуальних мереж адміністратор повинен досконально розбиратися в заголовках широкомовних кадрів. Після того, як правила завантажені в комутатори OmniSwitch або PizzaSwitch, пристрої відразу ж дозволяють розпочати роботу з віртуальними мережами на основі заданих адміністратором правил. Групові (multicast) VLAN. Груповий (multicast) трафік відрізняється від широкомовного (broadcast), який передається на всю мережу, і одноадресних (unicast), що забезпечує зв'язок "точка-точка". Груповий трафік реалізує обмін типу "один з багатьма" або типу "багато з багатьма" і останнім часом стає все більш популярним для різних мережевих додатків. Груповий режим може використовуватися для відеоконференцій, біржових систем, новин і т.д., систем, де одна і та ж інформація передається численним користувачам. Віртуальні локальні мережі з груповим трафіком створюються динамічно шляхом прослуховування IGMP (Internet Group Management Protocol). Коли користувач відкриває додаток, який використовує режим multicast, він динамічно включається у віртуальну мережу, пов'язану з цим додатком. Після закінчення роботи з програмою користувач видаляється з відповідної віртуальної мережі. VLAN на основі правил. Це найбільш функціональна реалізація VLAN, що дозволяє адміністратору використовувати будь-які комбінації критеріїв для створення віртуальних локальних мереж. Для включення пристроїв у віртуальні локальні мережі можна використовувати всі перераховані вище способи за умови їх підтримки встановленими в мережі комутаторами. Після того, як правила завантажені в усі комутатори, вони забезпечують організацію VLAN на основі заданих адміністратором критеріїв. Оскільки в таких мережах кадри постійно проглядаються на предмет відповідності заданим критеріям, належність користувачів до віртуальних мереж може змінюватися в залежності від їх поточної діяльності. Віртуальні локальні мережі на основі правил використовують широкий набір критеріїв належності до мережі, включаючи всі перераховані вище варіанти: MAC-адреси, адреси мережевого рівня, тип протоколу і т.д. Можливо також використовувати будь-які комбінації критеріїв для створення правил, які найбільш точно відповідають поставленим завданням. VLAN для уповноважених користувачів забезпечують високий рівень безпеки в мережі і пред'являють більш суворі вимоги до користувачів для надання доступу до серверів або інших мережевих ресурсів.Наприклад, мережа уповноважених користувачів може бути створена для фінансового відділу підприємства та співробітники інших підрозділів не зможуть отримати доступ до цієї мережі, не маючи відповідних повноважень. Для підтримки таких мереж в комутаторах OmniSwitch і PizzaSwitch використовуються функції вбудованих брандмауерів. Адміністратор може ефективно керувати доступом користувачів, задаючи процедуру аутентифікації. Хоча інші варіанти VLAN забезпечують деякі засоби безпеки, тільки мережі уповноважених користувачів роблять це на досить високому рівні. VLAN забезпечують високий рівень безпеки мережі. У мережі на базі концентраторів хто завгодно може підключити до порту концентратора аналізатор протоколів або станцію з відповідними програмами і перехоплювати всі дані, передані в даному сегменті. Якщо кожен пристрій підключено до виділеного порту комутатора і використовуються VLAN, описана вище ситуація стає неможливою. Кожен порт комутатора отримує в цьому випадку тільки ті пакети, які адресовані підключеному до порту пристрою. При організації віртуальних локальних мереж на основі правил адреси канального (MAC) і мережевого (IP) рівня можуть бути пов'язані з портом – це забезпечує додаткові заходи безпеки, оскільки в порт будуть надходити дані тільки для конкретної адреси (MAC або IP). Комбінація віртуальних локальних мереж і груп AutoTracker дозволяє додатково підвищити рівень безпеки. Якщо студентам виділено одну VLAN, а адміністрація використовує іншу, єдиним шляхом між цими віртуальними мережами є внутрішній або зовнішній маршрутизатор, який легко налаштувати відповідним чином. Підтримка функцій маршрутизації в комутаторах Xylan дозволяє використовувати брандмауери, що забезпечують найвищий рівень безпеки. 2.Завдання Організувати віртуальні локальні мережі для кожної з трьох робочих груп (РГ1, РГ2, РГ3) у корпоративній мережі на основі індивідуального завдання л.р., № 5б з курсу “Комп’ютерні мережі”. Розташування робочих груп: 1) в РГ1 включити 3 ПК філії 1 та 2 ПК філії 2; 2) в РГ4 включити 3 ПК філії 2 та 3 ПК головного будинку; 3) в РГ2 включити 3 ПК філії 2 та 3 ПК головного будинку; 4) Організувати доступ користувачів усіх робочих груп до сервера S, який знаходиться у філії 1. Організацію VLAN для усіх робочих груп та маршрутизацію між ними провести у середовищі Packet Tracer з використанням CLI. (Для перевірки працездатності мережі застосувати діагностичні утиліти. Організація цих VLAN не повинна перешкоджати обміну трафіком іншим користувачам об’єднаної мережі). 3.Результати роботи Cхема мережі Огляд налаштування комутатора Огляд інтерфейсів коммутатора, які знаходяться в режимі trunk Таблиця маршрутизації ГБ Таблиця маршрутизації Ф1 Таблиця маршрутизації Ф2 Демонстрація результатів виконання поставленого завдання за допомогою утиліти ping 4.Висновки Виконуючи дану лабораторну роботу, я ознайомився із принципом побудови та структуризації корпоративної комп’ютерної мережі в середовищі Packet Tracer, набув практичних навичок щодо проектування комп’ютерних мереж та конфігурації мережевих параметрів вузлів, навчилась вирішувати проблеми, що пов’язані з адресацією цих вузлів при підключенні їх до мережі. Також встановив основні переваги використання технології віртуальних мереж, які полягають у тому , що VLAN забезпечує високий рівень безпеки ,тобто ця технологія забороняє доступ комп’ютерів однієї робочої групи до ресурсів, які містяться на комп’ютерах іншої робочої групи ,а також пакети від абонентів які не виходять за межі відповідної VLAN і є повністю захищеними від небажаного втручання. За даними індивідуального завдання, моя мережа складається з 3-ох робочих груп в які входять 17 РС. Передавання трафіку РГ здійснюється лише у межах відповідної VLAN. Організація цих РГ не перешкоджає обміну трафіком іншим користувачам локальної мережі.

Лабораторна робота Інформаційно-аналітичне забезпечення безпеки

ui11

20.06.2015 09:06-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись