В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны Защита с помощью RAID. Шифрование данных и управление ключом. Стратегии создания копий и восстановления. Каким образом шифрование обеспечивает отказоустойчивость? |
Сегментирование сетей на канальном уровне
2.1 Использование технологии VLAN для создания подсетей
Рассмотрим использование технологии VLAN, которая позволяет сегментировать трафик на канальном уровне.
При маршрутизации на сетевом уровне пакет передается хосту, IP-адрес которого указан в качестве получателя. В сети могут передаваться также широковещательные пакеты, т.е. пакеты, у которых в части IP-адреса получателя, относящейся к номеру хоста, стоят все единицы. Такие пакеты передаются всем хостам в локальной сети. Количество хостов в локальной сети определяется маской подсети. Локальная сеть называется также широковещательным доменом. Создание локальных сетей, содержащих большое число хостов, приводят к возможности возникновения так называемых "широковещательных штормов", возникающих как естественным образом, так и в результате разного рода атак. Результатом таких широковещательных штормов является уменьшение пропускной способности сети. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика. Опишем механизм, с помощью которого сеть может быть построена на основе коммутаторов второго уровня (L2), но разделена на отдельные широковещательные домены.
Рассмотрим типичную топологию сети небольшой организации (рис. 2.1).
В нашем случае в организации есть три отдела А, В и С, в сети предполагается использовать один коммутатор, но для увеличения пропускной способности и безопасности сети желательно, чтобы широковещательный трафик между отделами отсутствовал. Проще всего в этом случае создать виртуальную локальную сеть второго (канального) уровня.
Виртуальной локальной сетью называется логическая группа хостов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от хостов из других виртуальных локальных сетей. В результате этого нет необходимости использовать маршрутизаторы третьего (L3) сетевого уровня для уменьшения широковещательного трафика.
Использование технологии VLAN позволяет на межсетевом экране создавать политики, которые управляют доступом друг к другу хостов из разных VLAN.
Технология VLAN позволяет исключить передачу кадров между разными виртуальными сетями независимо от типа IP-адреса – уникального, группового или широковещательного. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими последствий, таких как широковещательные штормы, в результате которых может существенно снизиться пропускная способность сети.
Технология VLAN обладают следующими характеристиками:
- Гибкость. VLAN являются эффективным способом группирования пользователей и компьютеров в виртуальные рабочие группы, независимо от их физического расположения в сети.
- Увеличение пропускной способности. Использование VLAN уменьшает широковещательный трафик, что увеличивает пропускную способность сети.
- Повышение безопасности. Трафик, проходящий по VLAN, может фильтроваться правилами межсетевого экрана.
2.2 Стандарт IEEE 802.1Q
Технология VLAN описана в стандарте IEEE 802.1Q. Этот стандарт определяет использование дополнительных полей кадра для хранения информации о принадлежности к VLAN при пересылке данного кадра по сети.
VLAN ID – это число от 0 до 4095, используемое для идентификации конкретной виртуальной локальной сети, которой принадлежит данный кадр. Ethernet-кадры могут принадлежать разным виртуальным локальным сетям, но проходить через один и тот же физический Ethernet-порт.
Vlan-сеть обычно представляет собой канал от коммутатора до межсетевого экрана, Ethernet-порты которых настроены для использования VLAN. Ethernet-порт может одновременно пропускать как не-vlan-трафик, так и vlan-трафик для одного или нескольких VLAN.
VLAN создается посредством создания vlan-интерфейса, который связан с определенным физическим Ethernet-портом. Vlan-интерфейсы считаются логическими интерфейсами и могут использоваться как и другие интерфейсы в правилах фильтрования и таблицах маршрутизации.
VLAN используются в нескольких целях. Первое – один физический Ethernet-порт может присутствовать в различных правилах и маршрутах как несколько интерфейсов. Это означает, что число физических Ethernet-портов на межсетевом экране или маршрутизаторе не ограничивает количество сетей, которые могут быть присоединены к нему.
Другим типичным применением VLAN является группирование отдельных пользователей таким образом, чтобы трафик, принадлежащий разным группам пользователей, был полностью изолирован друг от друга. Это возможно в результате того, что трафик, проходящий между различными vlan-сетями, в отличие от трафика канального уровня, может маршрутизироваться и/или фильтроваться правилами межсетевого экрана.
Характеристики VLAN на основе стандарта IEEE 802.1Q:
- Гибкость при настройке и изменении топологии сети. Можно создавать необходимые комбинации виртуальных сетей, используя как один коммутатор, так и несколько коммутаторов с поддержкой стандарта IEEE 802.1Q, расположенных в разных сегментах сети. На Ethernet-порте коммутатора в заголовки пакетов добавляется тег, что позволяет создавать VLAN, проходящую через 802.1Q-совместимые коммутаторы.
- Возможность не только добавлять, но и удалять метки из кадра позволяет использовать коммутаторы и сетевые устройства, которые не распознают эти метки.
Обработка Ethernet-кадров, содержащих теги VLAN, выполняется на физическом Ethernet-порту и основана на следующих принципах:
- Ethernet-кадры, полученные на физическом Ethernet-порту, проверяются на наличие VLAN ID. Если VLAN ID найден, и для этого Ethernet-порта определен соответствующий vlan-интерфейс, будет использоваться этот vlan-интерфейс в качестве интерфейса источника для дальнейшей обработки кадра набором правил фильтрования и определения маршрута.
- Если в Ethernet-кадре, полученном на Ethernet-порту, нет VLAN ID, то интерфейсом источника для данного кадра считается данный физический Ethernet-порт.
- Если на физический Ethernet-порт получен трафик, содержащий тег VLAN, и в конфигурации для этого Ethernet-порта не определен VLAN с соответствующим VLAN ID, то этот трафик отбрасывается и записывается соответствующее сообщение в лог.
2.3 Типовая топология сети с использованием VLAN
Предположим, что в организации есть два отдела А и В. Будем считать, физическую топологию сети удобнее создавать с использованием двух коммутаторов, причем часть рабочих станций отделов А и В следует подключить к Коммутатору 1, а оставшиеся рабочие станции отделов А и В подключить к Коммутатору 2. Для увеличения производительности широковещательного трафика между отделами не должно быть, также желательно иметь возможность фильтровать трафик между отделами.
При такой топологии порты коммутаторов, к которым подключены рабочие станции пользователей, должны быть настроены как немаркированные порты соответствующей VLAN.
В нашем случае рабочие станции отдела А подключены портам 02 и 03 Коммутатора 1. Эти порты входят в VLAN с VID 20 как немаркированные (untagged) порты. Рабочая станция отдела В подключена к порту 04 Коммутатора 1. Данный порт входит в VLAN с VID 30 как немаркированный (untagged) порт.
Рабочая станция отдела А подключена порту 02 Коммутатора 2. Данный порт входит в VLAN с VID 20 как немаркированный (untagged) порт. Рабочие станции отдела В подключены к портам 03 и 04 Коммутатора 2. Данные порты входят в VLAN с VID 30 как немаркированные (untagged) порты.
Uplink-порты коммутаторов, подключенных к маршрутизатору или межсетевому экрану, должны быть настроены как маркированные и являться членом всех VLAN, настроенных на коммутаторе.
увеличить изображение
Рис. 2.6. Uplink-порт Коммутатора 1, подключенный к маршрутизатору или межсетевому экрану
увеличить изображение
Рис. 2.7. Uplink-порт Коммутатора 2, подключенный к маршрутизатору или межсетевому экрану
На физических Ethernet-портах маршрутизатора или межсетевого экрана создаются соответствующие vlan-интерфейсы.
Физический Ethernet-порт маршрутизатора может соединяться либо с коммутаторами (обычно управляемыми), которые поддерживают 802.1Q VLAN, либо с неуправляемыми коммутаторами или другим оборудованием без поддержки VLAN (например, с рабочими станциями пользователей). В первом случае соединения между межсетевым экра-ном и коммутаторами представляют собой vlan-каналы (магистральные каналы), по которым передается трафик всех vlan-сетей, настроенных на коммутаторах. Для этого на маршрутизаторе создается нужное количество vlan-интерфейсов, и каждому vlan-интерфейсу, созданному на Ethernet-порту межсетевого экрана и подключенному к коммутатору, назначается один из ID vlan-сетей, которые сконфигурированы на коммутаторе.
Vlan-интерфейсы являются логическими интерфейсами и используются как и другие интерфейсы в правилах фильтрования и таблицах маршрутизации.
Например, если нет IP-правила для определенного vlan-интерфейса в качестве интерфейса источника, позволяющего проходить трафику, то пакеты, поступающие на этот интерфейс, будут отброшены.
2.4 VLAN на основе портов
увеличить изображение
Рис. 2.9. Топология сети при непосредственном подключении к маршрутизатору устройств, не поддерживающих технологию VLAN
Если к маршрутизатору или межсетевому экрану подключены коммутаторы или другие устройства (например, рабочие станции пользователей), не поддерживающие технологию VLAN, вся сегментация локальной сети на виртуальные локальные сети и разграничение доступа между ними выполняется маршрутизатором. На маршрутизаторе создаются vlan-интерфейсы с соответствующими ID vlan-сетей. После этого каждый vlan-интерфейс привязывается к со-ответствующему Ethernet-порту. В этом случае маршрутизатор работает в режиме Port-based VLAN.
Стоит отметить, что в отличие от управляемых коммутаторов с поддержкой стандарта IEEE 802.1Q, которые могут одновременно обрабатывать маркированный и немаркированный трафик, в межсетевых экранах D-Link моделей DFL-260E и DFL-860E существует ограничение, связанное невозможность одновременной работы Ethernet-портов в режиме 802.1Q и Port-based VLAN. Vlan-интерфейсы этих моделей межсетевых экранов могут обрабатывать либо только маркированный входной трафик, либо только немаркированный. При использовании VLAN на основе портов каждый Ethernet-порт коммутатора может принадлежать единственной VLAN, не зависимо от того, какой пользователь или компьютер подключен к этому Ethernet-порту. Это означает, что все пользователи, подключенные к этому Ethernet-порту, будут членами одной VLAN. Принадлежность Ethernet-портов к VLAN статическая и может быть изменена только вручную.
Преимущества VLAN на основе портов:
- Чаще всего применяются, если используется один коммутатор. Если необходимо разграничить трафик нескольких групп пользователей в пределах небольшой сети с использованием одного коммутатора, например, необходимо разделить трафик технического отдела и отдела продаж, то использование VLAN на основе портов является оптимальным решением.
- Простота настройки. Создание виртуальных сетей на основе группирования Ethernet-портов не требует большой работы, достаточно каждому Ethernet-порту, входящему в определенную VLAN, присвоить один и тот же идентификатор VLAN ID.
- Возможность изменения логической топологии сети без физического перемещения хостов. Достаточно просто изменить настройки Ethernet-порта, указав в настройках данного порта другой VLAN ID (например, VLAN ID технического отдела изменить на VLAN ID отдела продаж), и рабочая станция сразу получает возможность использовать ресурсы новой VLAN.
- Каждый Ethernet-порт может входить только в одну VLAN.