Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ЛОКАЛІЗАЦІЯ МЕРЕЖЕВОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
ЗІ
Кафедра:
Не вказано
Інформація про роботу
Рік:
2016
Тип роботи:
Лабораторна робота
Предмет:
Комп ютерні методи високорівневого проектування систем захисту
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра ЗІ
Звіт до лабораторної роботи № 1
З курсу:
«Комп`ютерні методи високорівневого
проектування систем захисту»
На тему:
“ЛОКАЛІЗАЦІЯ МЕРЕЖЕВОГО ТРАФІКУ
З ВИКОРИСТАННЯМ VLAN”
Варіант № 8
Мета роботи – ознайомитися зі способами організації віртуальних локальних мереж та набути практичні навики стосовно захисту мережевого трафіку робочих груп корпоративної комп’ютерної мережі засобами канального рівня, конфігурації параметрів відповідного мережного обладнання.
1.Теоретичні відомості
Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі. Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі.
Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня). Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q.
VLAN на основі групування портів – найпростіший варіант організації віртуальної локальної мережі. VLAN на основі портів забезпечують найвищий рівень керованості і безпеки. Пристрої зв'язуються у віртуальні мережі на основі портів комутатора, до яких ці пристрої фізично підключені. VLAN на основі портів є статичними і для внесення змін необхідне фізичне перемикання пристроїв.
Однак побудовані на основі портів віртуальні мережі мають певні обмеження. Вони дуже прості в установці, але дозволяють підтримувати для кожного порта тільки одну віртуальну локальну мережу. Таке рішення є малоприйнятним при використанні концентраторів або в мережах з потужними серверами, до яких звертається багато користувачів (сервер не вдасться включити в різні VLAN). Крім того, віртуальні мережі на основі портів не дозволяють вносити в мережу зміни досить простим шляхом, оскільки при кожній такій зміні необхідна фізична перекомутація пристроїв.
Інший спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі [1,5]. Проте, програма управління мережею AutoTracker корпорації Xylan дозволяє зібрати адреси в масштабі всієї мережі автоматично, позбавляючи адміністратора від рутинної роботи [3]. За допомогою згаданої програми можна налаштувати віртуальні мережі, використовуючи замість MAC-адрес пов'язані з ними імена станцій.
Таким чином, VLAN на основі MAC-адрес групує пристрої на основі їх апаратних адрес, а програма AutoTracker робить групу широкомовним доменом. Для отримання доступу у віртуальну мережу, пристрій повинен мати MAC-адресу, відому програмі AutoTracker.
Стандарт IEEE 802.1Q передбачає використання наявних або додаткових полів кадру для збереження інформації щодо наявності кадру тій чи іншій віртуальній локальній мережі при його переміщенні між комутаторами мережі. При цьому немає необхідності запам’ятовувати у кожному комутаторі належність усіх МАС-адрес об’єднаної мережі віртуальним мережам. Додаткове поле з позначкою про номер віртуальної мережі використовується лише при передаванні кадру від комутатора до комутатора, а при передачі кадру кінцевому вузлу воно як правило відкидається.
У стандарті IEEE 802.1Q для збереження номера віртуальної мережі передбачено у кадрі додатковий заголовок розміром 2 байт (лише 12 біт у ньому використовується безпосередньо для збереження номера віртуальної мережі до якої належить цей кадр) [1]. Додаткова інформація, яка називається тегом віртуальної мережі дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Кадр з такою інформацією називають “поміченим”.
Підтримують техніку VLAN як виробники комутаторів, так і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати і приймати помічені кадри Ethernet, які містять поле тега віртуальної мережі. Якщо мережевий адаптер генерує помічені кадри, то тим самим він визначає їх належність до певної віртуальної локальної мережі, тому комутатор повинен приймати рішення щодо передавання або не передавання на вихідний порт таких кадрів у залежності від належності порту. Драйвер мережевого адаптера може одержати номер своєї (або своїх) віртуальної локальної мережі шляхом ручної конфігурації або від деякої прикладної програми, яка працює на цьому вузлі чи на одному зі серверів мережі.
Мережі на основі MAC-адрес є одним з найбільш керованих типів VLAN. Однак, у порівнянні з попереднім варіантом реалізації VLAN, рівень безпеки VLAN на основі MAC-адрес є нижчим, оскільки тут існує потенційна можливість підміни апаратної адреси пристрою, наприклад, за допомогою програми MACChange.
Програма AutoTracker корпорації Xylan є новою реалізацією VLAN, тісно пов'язаної з повнофункціональним сімейством комутаторів Xylan. Програма розроблялася паралельно з комутаторами OmniSwitch і PizzaSwitch, що дозволило забезпечити їх надійну інтеграцію. AutoTracker є найбільш функціональним з існуючих сьогодні рішень для організації VLAN. Варіанти побудови віртуальних мереж, які дозволяє підтримувати AutoTracker, описані нижче.
VLAN на мережевому рівні. Такі VLAN дозволяють адміністратору зв'язати трафік для того чи іншого протоколу у відповідній віртуальній мережі. Аналогічним способом створюються широкомовні домени в мережах на основі маршрутизаторів. Протокол може бути заданий у формі IP-підмережі або мережевого номера IPX. Можна, наприклад, об'єднати у віртуальну локальну мережу всіх користувачів підмережі, яка була організована до використання комутаторів.
Спектр можливостей комутатора, на основі якого будується VLAN, часто визначає гнучкість віртуальних мереж даного типу. Багато VLAN мережевого рівня підтримують системи на основі декількох комутаторів, тоді як інші можуть працювати тільки з одним пристроєм. Необхідно мати на увазі, що цей тип VLAN майже не відрізняється від мереж на основі маршрутизаторів і деякі комутатори нездатні забезпечити необхідну в даному випадку продуктивність. Комутатори OmniSwitch добре справляються з завданнями такого типу.
VLAN на основі протоколів будуються на основі заданого в кожному кадрі типу протоколу. Такий підхід дозволяє адміністратору задати критерії, за якими AutoTracker буде створювати VLAN. Адміністратор може самостійно вибрати поля в заголовках кадрів, за якими буде визначатися належність до віртуальної мережі, і завантажити підготовлені правила в усі комутатори мережі. Наприклад, адміністратор може помістити в одну віртуальну мережу усіх користувачів, що працюють з протоколом NetBios або IP. Для роботи з даним типом віртуальних мереж адміністратор повинен досконально розбиратися в заголовках широкомовних кадрів.
Після того, як правила завантажені в комутатори OmniSwitch або PizzaSwitch, пристрої відразу ж дозволяють розпочати роботу з віртуальними мережами на основі заданих адміністратором правил.
Групові (multicast) VLAN. Груповий (multicast) трафік відрізняється від широкомовного (broadcast), який передається на всю мережу, і одноадресних (unicast), що забезпечує зв'язок "точка-точка". Груповий трафік реалізує обмін типу "один з багатьма" або типу "багато з багатьма" і останнім часом стає все більш популярним для різних мережевих додатків. Груповий режим може використовуватися для відеоконференцій, біржових систем, новин і т.д., систем, де одна і та ж інформація передається численним користувачам.
Віртуальні локальні мережі з груповим трафіком створюються динамічно шляхом прослуховування IGMP (Internet Group Management Protocol). Коли користувач відкриває додаток, який використовує режим multicast, він динамічно включається у віртуальну мережу, пов'язану з цим додатком. Після закінчення роботи з програмою користувач видаляється з відповідної віртуальної мережі.
VLAN на основі правил. Це найбільш функціональна реалізація VLAN, що дозволяє адміністратору використовувати будь-які комбінації критеріїв для створення віртуальних локальних мереж. Для включення пристроїв у віртуальні локальні мережі можна використовувати всі перераховані вище способи за умови їх підтримки встановленими в мережі комутаторами. Після того, як правила завантажені в усі комутатори, вони забезпечують організацію VLAN на основі заданих адміністратором критеріїв. Оскільки в таких мережах кадри постійно проглядаються на предмет відповідності заданим критеріям, належність користувачів до віртуальних мереж може змінюватися в залежності від їх поточної діяльності.
Віртуальні локальні мережі на основі правил використовують широкий набір критеріїв належності до мережі, включаючи всі перераховані вище варіанти: MAC-адреси, адреси мережевого рівня, тип протоколу і т.д. Можливо також використовувати будь-які комбінації критеріїв для створення правил, які найбільш точно відповідають поставленим завданням.
VLAN для уповноважених користувачів забезпечують високий рівень безпеки в мережі і пред'являють більш суворі вимоги до користувачів для надання доступу до серверів або інших мережевих ресурсів.Наприклад, мережа уповноважених користувачів може бути створена для фінансового відділу підприємства та співробітники інших підрозділів не зможуть отримати доступ до цієї мережі, не маючи відповідних повноважень. Для підтримки таких мереж в комутаторах OmniSwitch і PizzaSwitch використовуються функції вбудованих брандмауерів. Адміністратор може ефективно керувати доступом користувачів, задаючи процедуру аутентифікації. Хоча інші варіанти VLAN забезпечують деякі засоби безпеки, тільки мережі уповноважених користувачів роблять це на досить високому рівні.
VLAN забезпечують високий рівень безпеки мережі. У мережі на базі концентраторів хто завгодно може підключити до порту концентратора аналізатор протоколів або станцію з відповідними програмами і перехоплювати всі дані, передані в даному сегменті. Якщо кожен пристрій підключено до виділеного порту комутатора і використовуються VLAN, описана вище ситуація стає неможливою. Кожен порт комутатора отримує в цьому випадку тільки ті пакети, які адресовані підключеному до порту пристрою. При організації віртуальних локальних мереж на основі правил адреси канального (MAC) і мережевого (IP) рівня можуть бути пов'язані з портом – це забезпечує додаткові заходи безпеки, оскільки в порт будуть надходити дані тільки для конкретної адреси (MAC або IP).
Комбінація віртуальних локальних мереж і груп AutoTracker дозволяє додатково підвищити рівень безпеки. Якщо студентам виділено одну VLAN, а адміністрація використовує іншу, єдиним шляхом між цими віртуальними мережами є внутрішній або зовнішній маршрутизатор, який легко налаштувати відповідним чином. Підтримка функцій маршрутизації в комутаторах Xylan дозволяє використовувати брандмауери, що забезпечують найвищий рівень безпеки.
2.Завдання
Організувати віртуальні локальні мережі для кожної робочої групи (РГ1, РГ2, РГ3) об’єднаної мережі. У кожну VLAN необхідно включити одну РГ. Об’єднана мережа складається з трьох мереж (див. подану викладачем схему): мережі головного будинку (ІР:192.168.1.0/24), мережі будинку 1 (ІР:192.168.2.0/24) та мережі будинку 2 (ІР:192.168.3.0/24). Робочі станції (WorkStation, WS) мають бути включені у відповідні РГ наступним чином:
1) в РГ2 (ІР:10.40.0.0/16) включити 3 WS будинку2 та 2 WS будинку 1;
2) в РГ1 (ІР:192.168.16.0/24) включити 3 WS будинку 1 та 3 WS головного будинку;
3) в РГ3 (ІР:172.20.0.0/16) включити 3 WS будинку 1 та 3 WS будинку 2;
4) Організувати маршрутизацію комп’ютерного трафіку між WS РГ1 та РГ3.
5) Застосувати технологію port security для захисту портів комутатора від несанкціонованих підключень, для РГ2 - гасіння портів комутатора при першій спробі зміни MAC-адрес, для РГ1, РГ3 - з третьої невідомої MAC.
Організацію VLAN для усіх робочих груп та маршрутизацію між ними провести у середовищі Packet Tracer з використанням CLI. (Для перевірки працездатності мережі застосувати діагностичні утиліти).
3.Результати роботи
Схема комп’ютерної об’єднаної мережі наведена на рис. 1.
рис. 1. Комп’ютерна модель об’єднаної мережі
Список вузлів мережі та їх налаштувань наведено в табл. 1.
Таблиця 1. Налаштування вузлів мережі
Імена РС
Робоча група
Мережа
Діапазон адрес
Шлюз за замовчуванням
PC0, PC1
Головний будинок
192.168.1.0/24
192.168.1.2-192.168.1.3
192.168.1.1
PC20-PC21
Будинок 1
192.168.2.0/24
192.168.2.2-192.168.2.3
192.168.2.1
PC2,PC19
Будинок 2
192.168.3.0/24
192.168.3.2-192.168.3.3
192.168.3.1
PC3 – PC8
WG1
192.168.16.0/24
192.168.16.2-192.168.16.7
192.168.16.1
PC14-PC18
WG2
10.40.0.0/16
10.40.0.2-
10.40.0.6
10.40.0.1
PC9-PC13
WG3
172.20.0.0/16
172.20.0.2-
172.20.0.6
172.20.0.1
Для організації роботи VLAN необхідно в кожен комутатор в режимі інтерфейсу командного рядка (CLI) внести наступні команди:
Switch>enable
Switch#conf t
Switch(config)#vlan 2
Switch(config-vlan)#name WorkGroup1
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)# name WorkGroup2
Switch(config-vlan)#exit
Switch(config)#vlan 4
Switch(config-vlan)#name WorkGroup3
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet0/2-4
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fastEthernet0/12-14
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#interface range fastEthernet0/22-24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 4
Switch(config-if)#exit
Щоб мережевий трафік будь-якої робочої групи був видимим для вузлів своєї VLAN ОМ, необхідно налаштувати «транкові» порти 3 комутаторів:
Switch(config)#interface range GigabitEthernet0/1-2
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#switchport trunk allowed vlan 2-4
Switch(config-if-range)#exit
Комп’ютерний трафік в межах кожної VLAN буде локалізований. Для маршрутизації трафіку між різними VLAN в межах ОМ необхідно залучити мережевий рівень, який забезпечує маршрутизатор MainBuilding.
Для реалізації процедури маршрутизації необхідно налаштувати ще один trunk-порт (FastEthernet0/1) першого комутатора, який «виходить» на інтерфейс Gig0/0 MainBuilding:
Switch(config)#interface fastEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 1-4
Switch(config-if)#exit
Для організації маршрутизації комп’ютерного трафіку між WG1(VLAN2) та WG3(VLAN 4), інтерфейс Gig0/0 R1 налаштовується згідно наступного набору команд:
Router#conf t
Router(config)#interface Gig0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Gig0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.16.1 255.255.255.0
Router(config-subif)#exit
Router(config)#int Gig0/0.3
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 172.20.0.1 255.255.0.0
Router(config-subif)#exit
Для маршрутизації всередині ОМ роутери налаштовуються наступними командами:
MainBuilding:
Router#conf t
Router(config)#interface Gig0/1
Router(config-if )#ip address 192.168.0.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface Gig0/2
Router(config-if )#ip address 192.168.0.9 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.0.2
Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.0.10
Building1:
Router(config)#
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface GigabitEthernet0/1
Router(config-if)#ip address 192.168.0.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1
Building2:
Router(config)#
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface GigabitEthernet0/1
Router(config-if)#ip address 192.168.0.10 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.9
Результат моделювання віртуальних мереж в обжднаній мережі.
Тест звязку від хоста PC1(192.168.1.3):
Тест звязку від хоста PC17(10.40.0.2):
Тест звязку від хоста PC12(172.20.0.5):
Налаштування port security:
Switch#config
Switch(config)#int range fast0/12-14
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#exit
Switch(config)#int range fast0/2-4
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security maximum 2
Switch(config-if-range)#exit
Switch(config)#int range fast0/22-24
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security maximum 2
Switch(config-if-range)#exit
Switch(config)#exit
Результат:
4.Висновки
Виконуючи дану лабораторну роботу, я ознайомився із принципом побудови та структуризації корпоративної комп’ютерної мережі в середовищі Packet Tracer, набув практичних навичок щодо проектування комп’ютерних мереж та конфігурації мережевих параметрів вузлів, навчився вирішувати проблеми, що пов’язані з адресацією цих вузлів при підключенні їх до мережі. Також встановив основні переваги використання технології віртуальних мереж, які полягають у тому , що VLAN забезпечує високий рівень безпеки ,тобто ця технологія забороняє доступ комп’ютерів однієї робочої групи до ресурсів, які містяться на комп’ютерах іншої робочої групи ,а також пакети від абонентів які не виходять за межі відповідної VLAN і є повністю захищеними від небажаного втручання.
За даними індивідуального завдання, моя мережа складається з 3-ох робочих груп в які входять 16 РС. Передавання трафіку РГ здійснюється лише у межах відповідної VLAN. Організація цих РГ не перешкоджає обміну трафіком іншим користувачам локальної мережі.
28.04.2017 21:04-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора