|
В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны Защита с помощью RAID. Шифрование данных и управление ключом. Стратегии создания копий и восстановления. Каким образом шифрование обеспечивает отказоустойчивость? |
Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 2715 / 474 | Длительность: 18:46:00
ISBN: 978-5-9556-0162-5
Лабораторная работа 4:
Сегментирование подсетей на основе port-based VLAN
< Лабораторная работа 3 || Лабораторная работа 4 || Лекция 4 >
Цель
Создать для разных отделов отдельные виртуальные сети без использования управляемых коммутаторов.
Топология
Предположим, что в организации есть два отдела А и В. Будем считать, физическую топологию сети требуется создать без использования управляемых коммутаторов, т.е. рабочие станции отделов подключаются непосредственно к lan-портам маршрутизатора. Для увеличения производительности широковещательного трафика между отделами не должно быть, также желательно иметь возможность фильтровать трафик между отделами.
Межсетевой Экран
Объекты Адресной Книги
Создать объекты с IP-адресами vlan-интерфейса и vlan-сети.
Веб-интерфейс:
Object -> Address Book -> Add -> Address Folder
Name vlan
Object -> Address Book -> vlan -> Add
Командная строка:
add Address AddressFolder vlan
cc Address AddressFolder vlan
add IP4Address vlan_30_ip Address=192.168.30.10
add IP4Address vlan_30_net Address=192.168.30.0/24
add IP4Address vlan_40_ip Address=192.168.40.10
add IP4Address vlan_40_net Address=192.168.40.0/24
VLAN-Интерфейс
Создать интерфейс vlan, связав его с lan-интерфейсом и указав VLAN ID.
Веб-интерфейс:
Interfaces -> VLAN -> Add
Командная строка:
add Interface VLANvlan_30 Ethernet=lan IP=vlan/vlan_30_ip Network=vlan/vlan_30_net VLANID=30
add Interface VLAN vlan_40 Ethernet=lan IP=vlan/vlan_40_ip Network=vlan/vlan_40_net VLANID=40
Далее следует указать номер порта коммутатора, на котором сконфигурирован данный vlan.
Веб-интерфейс:
Interfaces -> Switch Management
Поставить флаг Enable Port based VLAN.
В строке, соответствующей номеру порта, к которому подключен Ehternet-кабель, выбрать созданный vlan-интерфейс.
Командная строка:
set SwitchManagement Port1=vlan_30 Port2=vlan_30 Port3=vlan_40
Статическая маршрутизация
При необходимости следует добавить правило маршрутизации, если были изменены настройки по умолчанию.
Следует также проверить созданные маршруты.
Правила фильтрования
Добавить необходимые правила фильтрования, указав в качестве интерфейса и сети источника созданные интерфейсы и сети vlan, либо добавив созданные интерфейсы и сети vlan в необходимые группы интерфейсов и сетей. Для разрешения доступа в интернет достаточно добавить созданные интерфейсы и сети в уже существующие группы.
Веб-интерфейс:
Interfaces -> Interface Groups
Командная строка:
set Interface InterfaceGroup dns_relay_int Members=vlan_30,vlan_40
Веб-интерфейс:
Objects -> Address Book -> dns_relay -> dns_net
Командная строка:
set IP4Group dns_net Members=vlan/vlan_30_net, vlan/vlan_40_net
Веб-интерфейс:
Objects -> Address Book -> dns_relay -> dns_ip
Командная строка:
set IP4Groupdns_netMembers=vlan/vlan_30_ip, vlan/vlan_40_ip
Проверка конфигурации
< Лабораторная работа 3 || Лабораторная работа 4 || Лекция 4 >
Александр Косенков
Евгений Шахов
|
Страница http://www.intuit.ru/studies/courses/14250/1286/lecture/24237 содержит "Интерфейс wan1 имеет IP-адрес 10.6.10.62 и соединен с подсетью 10.6.10.0/28 со шлюзом провайдера, который обеспечиваетвыход в интернет и имеет IP-адрес 10.6.10.3." - что не верно, так как подсеть 10.6.10.0/28 имеет диапазон IP-адресов 10.6.10.1-14, интерфейс wan1 с IP-адресом 10.6.10.62 не "попадает" в указанные пределы. |