Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ЛОКАЛІЗАЦІЯ МЕРЕЖЕВОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
ЗІ
Кафедра:
Захист інформації
Інформація про роботу
Рік:
2016
Тип роботи:
Лабораторна робота
Предмет:
Інформаційно-аналітичне забезпечення безпеки
Група:
уі 41
Варіант:
7
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
/
З В І Т
до лабораторної роботи №1
з курсу: «Інформаційно-аналітичне забезпечення безпеки»
на тему: «ЛОКАЛІЗАЦІЯ МЕРЕЖЕВОГО ТРАФІКУ
З ВИКОРИСТАННЯМ VLAN»
Варіант 7
Львів 2016
Мета роботи – ознайомитися зі способами організації віртуальних локальних мереж та набути практичні навики стосовно захисту мережевого трафіку робочих груп корпоративної комп’ютерної мережі засобами канального рівня, конфігурації параметрів відповідного мережного обладнання.
Теоретичні відомості
Віртуальною локальною мережею (VLAN) називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі. Це означає, що передавання кадрів даних між різними віртуальними мережами на основі адреси канального рівня неможливе незалежно від типу адреси (унікальна, групова чи широкомовна). У цей же час кадри в межах віртуальної мережі передаються за технологією комутації [1]. Таким чином, перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічної конфігурації комутаторів, без застосувань зміни фізичної структури мережі.
Основне призначення технології VLAN полягає у спрощенні процесу створення ізольованих мереж, які надалі переважно з’єднуються між собою за допомогою маршрутизаторів. Для об’єднання віртуальних мереж у загальну мережу необхідне застосування мережевого рівня, який може бути реалізований в окремому маршрутизаторі, а може працювати у складі програмного забезпечення комутатора (комутатор 3-го рівня). Така побудова об’єднаної мережі створює потужні перепони на шляху небажаного трафіку між мережами. Базові правила побудови віртуальних локальних мереж, які не залежать від протоколу канального рівня, підтримуваного комутатором, визначає стандарт IEEE 802.1Q.
VLAN на основі групування портів – найпростіший варіант організації віртуальної локальної мережі. VLAN на основі портів забезпечують найвищий рівень керованості і безпеки. Пристрої зв'язуються у віртуальні мережі на основі портів комутатора, до яких ці пристрої фізично підключені. VLAN на основі портів є статичними і для внесення змін необхідне фізичне перемикання пристроїв.
Інший спосіб утворення віртуальних мереж ґрунтується на групуванні МАС-адрес. Кожна вивчена комутатором МАС-адреса приписується до певної віртуальної мережі. Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє від необхідності зв’язувати їх за декількома портами, оскільки у цьому випадку MAC-адреса є міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількості ручних операцій щодо маркування МАС-адрес на кожному комутаторі мережі [1,5]. Проте, програма управління мережею AutoTracker корпорації Xylan дозволяє зібрати адреси в масштабі всієї мережі автоматично, позбавляючи адміністратора від рутинної роботи [3]. За допомогою згаданої програми можна налаштувати віртуальні мережі, використовуючи замість MAC-адрес пов'язані з ними імена станцій.
VLAN на мережевому рівні. Такі VLAN дозволяють адміністратору зв'язати трафік для того чи іншого протоколу у відповідній віртуальній мережі. Аналогічним способом створюються широкомовні домени в мережах на основі маршрутизаторів. Протокол може бути заданий у формі IP-підмережі або мережевого номера IPX. Можна, наприклад, об'єднати у віртуальну локальну мережу всіх користувачів підмережі, яка була організована до використання комутаторів.
VLAN на основі протоколів будуються на основі заданого в кожному кадрі типу протоколу. Такий підхід дозволяє адміністратору задати критерії, за якими AutoTracker буде створювати VLAN. Адміністратор може самостійно вибрати поля в заголовках кадрів, за якими буде визначатися належність до віртуальної мережі, і завантажити підготовлені правила в усі комутатори мережі. Наприклад, адміністратор може помістити в одну віртуальну мережу усіх користувачів, що працюють з протоколом NetBios або IP. Для роботи з даним типом віртуальних мереж адміністратор повинен досконально розбиратися в заголовках широкомовних кадрів.
Групові (multicast) VLAN. Груповий (multicast) трафік відрізняється від широкомовного (broadcast), який передається на всю мережу, і одноадресних (unicast), що забезпечує зв'язок "точка-точка". Груповий трафік реалізує обмін типу "один з багатьма" або типу "багато з багатьма" і останнім часом стає все більш популярним для різних мережевих додатків. Груповий режим може використовуватися для відеоконференцій, біржових систем, новин і т.д., систем, де одна і та ж інформація передається численним користувачам.
VLAN на основі правил. Це найбільш функціональна реалізація VLAN, що дозволяє адміністратору використовувати будь-які комбінації критеріїв для створення віртуальних локальних мереж. Для включення пристроїв у віртуальні локальні мережі можна використовувати всі перераховані вище способи за умови їх підтримки встановленими в мережі комутаторами. Після того, як правила завантажені в усі комутатори, вони забезпечують організацію VLAN на основі заданих адміністратором критеріїв. Оскільки в таких мережах кадри постійно проглядаються на предмет відповідності заданим критеріям, належність користувачів до віртуальних мереж може змінюватися в залежності від їх поточної діяльності.
VLAN для уповноважених користувачів забезпечують високий рівень безпеки в мережі і пред'являють більш суворі вимоги до користувачів для надання доступу до серверів або інших мережевих ресурсів.Наприклад, мережа уповноважених користувачів може бути створена для фінансового відділу підприємства та співробітники інших підрозділів не зможуть отримати доступ до цієї мережі, не маючи відповідних повноважень. Для підтримки таких мереж в комутаторах OmniSwitch і PizzaSwitch використовуються функції вбудованих брандмауерів. Адміністратор може ефективно керувати доступом користувачів, задаючи процедуру аутентифікації. Хоча інші варіанти VLAN забезпечують деякі засоби безпеки, тільки мережі уповноважених користувачів роблять це на досить високому рівні.
Завдання до лабораторноъ роботи
7. Організувати віртуальні локальні мережі для кожної робочої групи (РГ1, РГ2, РГ3) об’єднаної мережі. У кожну VLAN необхідно включити одну РГ. Об’єднана мережа складається з трьох мереж (див. подану викладачем схему): мережі головного будинку (ІР:192.168.1.0/24), мережі будинку 1 (ІР:192.168.2.0/24) та мережі будинку 2 (ІР:192.168.3.0/24). Робочі станції (WorkStation, WS) мають бути включені у відповідні РГ наступним чином:
1) в РГ1 (ІР:10.50.20.0/8) включити 3 WS головного будинку та 2 WS будинку 2;
2) в РГ2 (ІР:172.19.5.0/24) включити 3 WS будинку 1 та 3 WS головного будинку;
3) в РГ3 (ІР:192.168.15.0/24) включити 3 WS будинку 1 та 3 WS будинку 2;
4) Організувати маршрутизацію комп’ютерного трафіку між WS РГ1 та РГ2.
Організацію VLAN для усіх робочих груп та маршрутизацію між ними провести у середовищі Packet Tracer з використанням CLI. (Для перевірки працездатності мережі застосувати діагностичні утиліти).
Комп’ютерна модель об’єднаної мережі
/
Налаштування VLAN та trunk-портів комутаторів
/
/
/
Результати тестування між вузлами
Перша робоча група
/
Друга робоча група
/
Третя робоча група
/
Між першою робочою групою та другою
/
Між першою робочою групою та третьою
/
Між другою робочою групою та третьою
/
Висновок: під час виконання лабораторної роботи я ознайомилася зі способами організації віртуальних локальних мереж та набула практичних навичок стосовно захисту мережевого трафіку робочих груп корпоративної комп’ютерної мережі засобами канального рівня, конфігурації параметрів відповідного мережного обладнання.
21.10.2017 13:10-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора