ЗАХИСТ КОМП’ЮТЕРНОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN. Звіт до лабораторної роботи з Комп’ютерні мережі та комунікації. Робота № 529062

Перехід до торгівельного партнера Binance

ЗАХИСТ КОМП’ЮТЕРНОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

ІКТА

Факультет:

ЗІ

Кафедра:

Не вказано

Інформація про роботу

Рік:

2016

Тип роботи:

Звіт до лабораторної роботи

Предмет:

Комп’ютерні мережі та комунікації

Варіант:

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ „ЛЬВІВСЬКА ПОЛІТЕХНІКА” ІКТА Кафедра ЗІ Звіт до лабораторної роботи №3 з курсу: «Комп’ютерні мережі» на тему: «ЗАХИСТ КОМП’ЮТЕРНОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN» Варіант - 11 Львів – 2016 Мета роботи – ознайомитися зі способами фільтрації комп’ютерного трафіку засобами канального рівня, організації віртуальних локальних мереж в межах локальної мережі та набути практичні навики стосовно конфігурації параметрів відповідного мережного обладнання. ТЕОРЕТИЧНІ ВІДОМОСТІ Принцип роботи комутатора Ethernet Комутатори Ethernet здійснюють як фізичну, так і логічну структуризацію мережі Ethernet на канальному рівні. Така структуризація дозволяє поділити єдиний домен колізій на кілька менших (сегментація мережі), що підвищує у цілому продуктивність мережі. Даний поділ забезпечується тим, що комутатори передають кадри даних між портами на основі адреси одержувача, включеної в заголовок кожного кадру. Кожен порт комутатора обслуговується спеціалізований процесором ЕРР (Ethernet Packet Procossor), здатним розпізнавати колізії. Комутатор має системний модуль (рис. 1.1), який керує роботою усіма процесорами ЕРР. Системний модуль веде загальну адресну таблицю комутатора і забезпечує керування комутатором. Рис. 1.1. Типова структура комутатора Ethernet Кожен з 8 портів обслуговується одним процесором ЕРР. Крім того, комутатор має системний модуль, який координує роботу усіх ЕРР, зокрема веде спільну адресну таблицю комутатора. Для передачі кадрів між портами використовується коммутаційна матриця. Вона функціонує за принципом комутації каналів, з’єднуючи порти комутатора. Для 8 портів матриця може одночасно забезпечити 8 внутрішніх каналів при напівдуплексному режимі портів і 16 – при дуплексному, коли передавач і приймач кожного порта працюють незалежно один від одного. В комутаторах вузол обміну може будуватися на основі наступних трьох схем: комутаційна матриця, спільна шина, сумісно використовувана багатовходова пам'ять. [1 – 3]. Часто ці три схеми комбінуються на одному комутаторі. При напівнодуплексному режимі роботи порт комутатора розпізнає колізії. У мікросегменті доменом колізії буде ділянка мережі, яка включає передавач комутатора, приймач комутатора, передавач мережевого адаптера комп’ютера, приймач мережевого адаптера комп’ютера і дві виті пари, які з’єднують передавачі з приймачами. Колізія виникає, коли передавачі порта комутатора і мережевого адаптера одночасно, або майже одночасно починають передачу своїх кадрів у спільному сегменті. Така ситуація, як правило, виникає при використанні технології Ethernet із застосуванням випадкового методу доступу до середовища передавання даних. Слід врахувати, що ймовірність виникнення колізії у мікросегменті набагато менша, у порівнянні зі сегментом, який налічує 20-30 вузлів. При цьому максимальна продуктивність мікросегмента Ethernet в 14880 кадрів на секунду при мінімальній довжині кадру поділяється між передавачем порта комутатора і передавачем мережевого адаптера. Якщо врахувати, що вона поділяється навпіл, то кожному надається можливість передавати приблизно по 7440 кадрів на секунду. При дуплексному режимі роботи одночасна передача даних передавачем порта комутатора і мережевого адаптера колізією не рахується. У цьому випадку дуплексний режим повинен підтримуватись одночасно мережевим адаптером комп’ютера та портом комутатора. При дуплексному зв’язку порти Ethernet можуть передавати дані з швидкістю 20 Мбіт/с – по 10 Мбіт/с в кожному напрямку. Сучасні комутатори Ethernet можуть комплектуватися інтерфейсами для локальних мереж FastEthernet (100Base-TX, 100Base-T4, 100Base-F.), GigabitEthernet (1000Base-T, F) та 10GigabitEthernet [1-5]. Крім того, у відповідності зі специфікаціями ІЕЕЕ 802.1Н і RFC 1042 комутатори можуть виконувати трансляцію одного протоколу канального рівня в інший. Фільтрація комп’ютерного трафіку комутаторами Ethernet Деякі моделі комутаторів (Xylan, CISCO і т.д.) дозволяють адміністраторам задавати додаткові умови фільтрації кадрів поряд зі стандартними умовами їх фільтрації у відповідності з інформацією адресної таблиці. Фільтри користувачів призначені для створення додаткових перепон на шляху кадрів, які дозволяють обмежувати доступ певних груп користувачів до окремих служб мережі. Найбільш простими є фільтри на основі МАС-адрес станцій. Так як МАС-адреса – інформація з якою працює комутатор, то він дозволяє створювати фільтри у зручній для адміністратора формі, наприклад, проставляючи певні умови у додатковому полі адресної таблиці. Це може бути умова, згідно якої відкидаються кадри з певною МАС-адресою вузла призначення або відправника. Таким способом адміністратор має можливість заборонити користувачу, який працює на комп’ютері з даною МАС-адресою, доступ до ресурсів заданого сегмента мережі. Інколи адміністратору необхідно задавати більш “тонкі” умови фільтрації, наприклад, заборонити деякому користувачу друкувати свої документи на сервері друку Windows, який знаходиться у чужому сегменті, а інші ресурси цього сегменту зробити доступними. Для реалізації такого фільтра потрібно заборонити передавання кадрів, які задовольняють наступним умовам: 1) мають відповідну МАС-адресу; 2) мають в полі даних SMB-пакети; 3) у відповідному полі цих пакетів вказаний тип сервісу “друк”. Комутатори не аналізують протоколи верхніх рівнів, такі як SMB, тому адміністратору доводиться для завдання умови фільтрації “вручну” визначити поле, за значенням якого потрібно здійснити фільтрацію. Як ознаку фільтрації адміністратор вказує пару “зміщення-розмір” відносно початку поля даних кадру канального рівня. Складні умови фільтрації, як правило, записуються у вигляді булевих виразів, які формуються за допомогою логічних операторів AND і OR. Застосування віртуальних локальних мереж (VLAN) Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі. Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Віртуальні локальні мережі можуть перекриватись, якщо один або декілька комп’ютерів входять до складу двох чи більше віртуальних мереж. Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q. Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі. Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня). При створенні віртуальних мереж на основі одного комутатора переважно використовується механізм групування портів комутатора (рис. 1.4). При цьому кожен порт приписується певній віртуальній мережі. Для створення віртуальних мереж шляхом групування портів достатньо кожен порт комутатора приписати до однієї з декількох заздалегідь поіменованих віртуальних мереж. Переважно така операція виконується за допомогою спеціальної програми комутатора. Другий спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. При наявності у мережі великої кількості вузлів цей спосіб вимагає від адміністратора виконання великої кількості ручних операцій. Однак при побудові віртуальних мереж на основі декількох комутаторів він виявляється більш гнучким у порівнянні зі способом групування портів. Підтримують техніку VLAN як виробники комутаторів, так і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати і приймати помічені кадри Ethernet, які містять поле тега віртуальної мережі. Якщо мережевий адаптер генерує помічені кадри, то тим самим він визначає їх належність до певної віртуальної локальної мережі, тому комутатор повинен приймати рішення щодо передавання або не передавання на вихідний порт таких кадрів у залежності від належності порту. Драйвер мережевого адаптера може одержати номер своєї (або своїх) віртуальної локальної мережі шляхом ручної конфігурації або від деякої прикладної програми, яка працює на цьому вузлі чи на одному зі серверів мережі. Завдання: 11. Організувати віртуальні локальні мережі для кожної з трьох робочих груп (РГ1, РГ2, РГ3) у локальній мережі, логічно структурованій на основі двох комутаторів Ethernet (К1 та К2), (див. подану викладачем схему). Організувати VLAN для робочих груп наступним чином: 1) в РГ1 включити 5 РС К1 та 1 РС К2; (PC - робоча станція, комп’ютер користувача) 2) в РГ2 включити 3 РС К1 та 3 РС К2; 3) в РГ3 включити 2 РС К1 та 4 РС К2. Провести моделювання розроблених VLAN у середовищі Packet Tracer. (Для перевірки працездатності мережі застосувати діагностичні утиліти. До кожного К повинно бути підключено хоча б 3 РС не задіяних у РГ. Передавання трафіку РГ повинно здійснюватися лише у межах відповідної VLAN. Організація цих РГ не повинна перешкоджати обміну трафіком іншим користувачам локальної мережі). Результат виконання роботи: Перевірка коректності роботи локальної мережі VLAN1 - VLAN1 VLAN1 – VLAN2 VLAN1 – VLAN3 VLAN1 – окремий комп’ютер Висновок: В даній лабораторній роботі я ознайомилася зі способами фільтрації комп’ютерного трафіку засобами канального рівня, організації віртуальних локальних мереж в межах локальної мережі та набула практичні навики стосовно конфігурації параметрів відповідного мережного обладнання. Здійснила перевірку створеної локальної мережі і впевнилася, що вона працює коректно.

Звіт до лабораторної роботи Комп’ютерні мережі та комунікації

Young

05.02.2017 02:02-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись