Virtuální lokální sítě s příklady. Virtuální privátní sítě. Pro telefon iphone z obchodu s aplikacemi byste si měli vybrat

Virtuální lokální sítě s příklady. Virtuální privátní sítě. Pro telefon iphone z obchodu s aplikacemi byste si měli vybrat

Ethernet je zařízení odkazová vrstva, pak v souladu s provozní logikou odešle broadcast rámce přes všechny porty. Přestože je provoz na určité adresy (spojení point-to-point) izolován na dvojici portů, rámce vysílání jsou odesílány do celé sítě (na každý port). Vysílané záběry- jedná se o rámce přenášené do všech síťových uzlů. Jsou nezbytné pro provoz mnoha síťových protokolů, jako je ARP, BOOTP nebo DHCP. S jejich pomocí pracovní stanice informuje ostatní počítače o svém výskytu v síti. Odesílání rámců vysílání může také nastat kvůli nesprávně fungujícímu síťovému adaptéru. Vysílané rámce mohou plýtvat šířkou pásma, zejména v velké sítě. Aby se tomu zabránilo, je důležité omezit oblast vysílání (tato oblast se nazývá vysílací doména) - organizovat malé vysílací domény nebo virtuální lokální sítě(Virtuální LAN, VLAN).

Virtuální lokální síť je logická skupina síťových uzlů, jejichž provoz, včetně vysílání, je na úrovni datového spoje zcela izolován od ostatních síťových uzlů. To znamená, že rámce nelze přenášet mezi různými virtuálními sítěmi na základě MAC adresy, bez ohledu na typ adresy – unikátní, multicast nebo broadcast. Zároveň jsou v rámci virtuální sítě rámce přenášeny pomocí přepínací technologie, tedy pouze na port, který je spojen s cílovou adresou rámce. S pomocí virtuálních sítí se tedy problém s distribucí vysílaných rámců a důsledky, které způsobují, které se mohou rozvinout ve vysílací bouře a výrazně snížit výkon sítí.

VLAN mají následující výhody:

  • flexibilita implementace. VLAN jsou efektivní způsob frakcí uživatelé sítě do virtuálních pracovních skupin, navzdory jejich fyzickému umístění v síti;
  • Sítě VLAN poskytují možnost řídit vysílané zprávy, což zvyšuje šířku pásma dostupnou uživateli;
  • VLAN vám umožňují zvýšit zabezpečení sítě tím, že pomocí filtrů nakonfigurovaných na přepínači nebo směrovači definujete zásady pro interakci mezi uživateli z různých virtuálních sítí.

Uvažujme příklad ukazující efektivitu využití segmentace logické sítě pomocí technologie VLAN při řešení typický úkol organizování přístupu k internetu pro zaměstnance kanceláře. Zároveň musí být izolován provoz každého oddělení.

Předpokládejme, že kancelář má několik místností, z nichž každá má malý počet zaměstnanců. Každá místnost představuje samostatnou pracovní skupinu.

Standardní přístup k řešení problému pomocí fyzické segmentace provozu každého oddělení by vyžadoval instalaci samostatného přepínače v každé místnosti, který by se připojoval k routeru, který poskytuje přístup k internetu. V tomto případě musí mít router dostatečný počet portů, aby byla zajištěna možnost připojení všech fyzické segmenty(místnosti) sítě. Toto rozhodnutíšpatně škálovatelné a drahé, protože S rostoucím počtem oddělení se zvyšuje počet požadovaných přepínačů, rozhraní směrovačů a páteřních kabelů.

Virtuální síť je přepínaná síť, která je logicky segmentována podle vykonávaných funkcí, používaných aplikací nebo příslušnosti uživatelů ke konkrétnímu oddělení, bez ohledu na fyzické umístění jejich počítačů. Každý port přepínače může být zahrnut do virtuální sítě. Všechny porty zahrnuté ve stejné virtuální síti akceptují vysílané zprávy v jeho hranicích, zatímco porty, které nejsou v něm zahrnuty, tyto zprávy nepřijímají. Existují tři způsoby, jak implementovat virtuální sítě, které lze použít k zahrnutí portů přepínače do virtuální sítě: centrální port, statické a dynamické.

Statická virtuální síť (statická VLAN) je kolekce portů přepínačů staticky spojených do virtuální sítě. Tyto porty udržují přiřazenou konfiguraci, dokud ji správce nezmění. Přestože statické virtuální sítě vyžadují zásah správce k provedení změn, mezi jejich výhody patří vysoká úroveň bezpečnost, snadnost konfigurace a možnost přímého sledování provozu sítě.

Dynamické virtuální sítě (dynamická VLAN) zastupovat logické spojení porty přepínačů, které mohou automaticky určit jejich umístění ve virtuální síti. Fungování dynamické virtuální sítě je založeno na MAC adresách, logickém adresování nebo typu protokolu datových paketů. Hlavními výhodami tohoto přístupu je snížení pracnosti při přidávání nového uživatele nebo přesouvání stávajícího a centralizované upozorňování všech uživatelů na přidání neidentifikovaného uživatele do sítě. Hlavní prací je zde nainstalovat databázi do softwaru pro správu virtuální sítě a udržovat ji v aktuálním stavu.

Virtuální sítě se seskupováním portů (VLAN založená na portech)

V tomto případě správce přiřadí každému portu přepínače příslušnost k síti VLAN. Například porty 1-3 mohou být přiřazeny k prodejní VLAN, porty 4-6 k vývojové VLAN a porty 7-9 k VLAN správa sítě. Přepínač určuje, do které VLAN každý paket patří na základě portu, na který dorazil.

Když se počítač uživatele připojí k jinému portu přepínače, správce sítě může jednoduše změnit přiřazení nový přístav pro starou VLAN, ke které uživatel patřil. V tomto případě jsou změny sítě pro uživatele zcela transparentní a správce nemusí měnit topologii sítě. Tato metoda však jednu má významná nevýhoda Pokud je rozbočovač připojen k portu přepínače, všichni uživatelé, kteří jsou k němu připojeni, musí patřit ke stejné VLAN.

V důsledku toho je takové řešení nevhodné při použití hubů nebo v sítích s výkonné servery, ke kterému přistupuje mnoho uživatelů (server nemůže být součástí různých VLAN). Kromě toho virtuální sítě založené na portech neumožňují provádět změny v síti velmi snadno, protože každá změna vyžaduje fyzické přepínání zařízení.

Ve virtuálních sítích se sdružováním portů jsou všichni hostitelé ve virtuální síti připojeni ke stejnému rozhraní směrovače. Obrázek ukazuje rodinu uživatelů virtuální sítě připojených k portu routeru. Toto připojení usnadňuje práci správce a zvyšuje efektivitu sítě, protože:

1) administrativní akce lze snadno provádět ve virtuální síti;
2) bezpečnost se zvyšuje při výměně informací mezi virtuálními sítěmi; pakety neunikají do jiných domén.

V nejjednodušším případě zařízení pouze s jedním síťové rozhraní, lze zahrnout pouze do jedné VLAN. Chcete-li zahrnout síťové zařízení do více sítí VLAN, musí mít více síťových adaptérů.

Standard IEEE 802.1Q jako součást specifikace VLAN založené na portech umožňuje interakci se zařízeními, která nepodporují zapouzdření 802.1q. Podle této specifikace je každý typ rámce přiřazen k jiné VLAN. Zpočátku patří všechny porty přepínače k ​​síti VLAN se síťovým identifikátorem portu VLAN ID (PVID).

PVID má číselnou hodnotu, výchozí je 1. Všechny rámce, které nemají značku VLAN a které jsou generovány zařízeními mimo VLAN, jsou identifikovány jako patřící do VLAN s PVID. Pokud je rámec generován zařízením, které podporuje VLAN, pak obsahuje odpovídající VLAN tag, který obsahuje VLAN ID (VID). Každý port přepínače může mít jedno nebo více VID. Když rámec dorazí na port přepínače, je identifikován svým VID. Přepínač vyhledá tabulku VLAN a předá rámec na porty, které mají stejné VID.

V příkladu na obrázku je neoznačený rámec přicházející ze zařízení na portu 0 identifikován jako patřící do VLAN s PVID=1 a předán na port 1, který má stejné PVID. Pokud ze zařízení na portu 1 přijde rámec s VID=2, bude přenesen na porty 0 a 3.

Na bázi virtuálních sítí MAC adresa a (VLAN založená na MAC adrese)

Na založené na MAC adresy (MAC address-based VLAN) - v tomto případě je to, zda paket patří do VLAN, určeno MAC adresou zdroje nebo přijímače. Každý přepínač udržuje tabulku MAC adres a jejich vztah k VLAN. Klíčová výhoda Tato metoda spočívá v tom, že přepínač nemusí být překonfigurován, když se uživatelé znovu připojí k různým portům. Přidělování MAC adres sítím VLAN však může být časově náročné a přidělování jednotlivých adres MAC více sítím VLAN může být náročné. To může být výrazné omezení pro sdílení serverových prostředků mezi více VLAN. (Ačkoli MAC adresa může být teoreticky přiřazena více sítím VLAN, může to způsobit vážné problémy se stávajícím směrováním a chybami spojenými s tabulkami předávání paketů v přepínači.)

Pro vytvoření takové sítě výrobce zařízení zpravidla zajišťuje přítomnost manažera software pro správu sítě.

Interakce mezi VLAN může být provedena dvěma způsoby. V prvním musí být do zařízení nainstalován další síťový adaptér a přidružen k jiné síti. Tato metoda je nepřijatelná, pokud je v několika sítích VLAN obsaženo velké množství zařízení. Ve druhém případě se pro připojení sítí používá router. V tomto případě však existují omezení. Router musí mít samostatný port pro každou VLAN. Není však možné kombinovat sítě v jednom segmentu, protože router pracuje na vrstvě 3 modelu OSI.

Virtuální sítě na síťové vrstvě

Při použití jiného přístupu musí přepínače některým rozumět síťový protokol. Takové přepínače se nazývají přepínače vrstvy 3, protože kombinují funkce přepínání a směrování. Každá virtuální síť obdrží specifickou síťovou adresu – obvykle IP nebo IPX.

Těsná integrace přepínání a směrování je velmi výhodná pro budování virtuálních sítí, protože v tomto případě není potřeba zavádět další pole do rámců. Správce navíc definuje sítě pouze jednou a tuto práci na úrovni datového spoje a sítě neopakuje. V tomto případě je členství koncového uzlu v konkrétní virtuální síti určeno tradičním způsobem – zadáním síťové adresy. Porty přepínačů také přijímají síťové adresy a mohou být podporovány nestandardní situace pro klasické routery, kdy jeden port může mít několik síťové adresy, pokud přes něj prochází provoz z více virtuálních sítí nebo více portů má stejnou síťovou adresu, pokud obsluhují stejnou virtuální síť.

Při přenosu rámců v rámci stejné virtuální sítě fungují přepínače na 3. vrstvě jako klasické přepínače na 2. vrstvě, a pokud je potřeba přenést rámec z jedné virtuální sítě do druhé, chovají se jako routery. Rozhodnutí o směrování se obvykle provádí tradičním způsobem – provádí ho koncový uzel, když na základě adresy zdrojové a cílové sítě vidí, že je třeba rámec poslat do jiné sítě.

Použití síťového protokolu k budování virtuálních sítí však omezuje rozsah jejich použití pouze na přepínače a uzly vrstvy 3, které podporují síťový protokol. Běžné přepínače nebudou schopny podporovat takové virtuální sítě, a to je velká nevýhoda. Pozadu zůstávají také sítě založené na nesměrovatelných protokolech, především sítě NetBIOS.

V rámci těchto VLAN se rozlišuje mezi sítěmi založenými na podsíti, protokolem a pravidly.

Virtuální sítě založené na podsíti

Příkladem takové organizace VLAN je síť, kde jedna podsíť, řekněme třída C s adresováním 198.78.55.0/24, odpovídá jedné VLAN, druhá podsíť třídy C 198.78.42.0/24 odpovídá druhé VLAN.

Chyba tato metoda spočívá v tom, že pokud přepínač nepodporuje více podsítí IP na jednom portu, přechod na jinou VLAN vyžaduje fyzické přepnutí pracovní stanice.

Virtuální sítě založené na síťovém protokolu

VLAN síťové vrstvy umožňují správci svázat provoz pro určitý protokol v odpovídající virtuální síti. Vysílací domény jsou vytvářeny v sítích založených na směrovačích úplně stejným způsobem. Protokol lze zadat ve formě podsítě IP nebo čísla sítě IPX. Můžete například spojit všechny uživatele podsítě, která byla organizována před použitím přepínačů, do virtuální sítě LAN.

Příkladem je síť, kde jsou zařízení, která podporují pouze protokol IP, umístěna v jedné VLAN, zařízení, která podporují pouze protokol IPX, jsou ve druhé VLAN a oba protokoly jsou umístěny v obou sítích.

Virtuální sítě založené na pravidlech

Chcete-li zahrnout zařízení do virtuálních sítí LAN, můžete použít všechny výše uvedené metody za předpokladu, že jsou podporovány přepínači. Jakmile jsou pravidla stažena do všech přepínačů, poskytují organizaci VLAN na základě kritérií určených správcem. Vzhledem k tomu, že v takových sítích jsou rámce neustále kontrolovány z hlediska souladu se stanovenými kritérii, členství uživatelů ve virtuálních sítích se může měnit v závislosti na aktuální aktivitě uživatelů.

VLAN založené na pravidlech používají širokou škálu kritérií členství v síti, včetně všech výše uvedených možností: MAC adresy, adresy síťové vrstvy, typ protokolu atd. Můžete také použít libovolnou kombinaci kritérií k vytvoření pravidel, která nejlépe vyhovují vašim potřebám.

Koncept privátních virtuálních sítí, zkráceně VPN (z angličtiny se objevil v počítačové technologie nedávno. Vytvoření tohoto typu připojení umožnilo kombinovat počítačové terminály a mobilní zařízení do virtuálních sítí bez obvyklých drátů, bez ohledu na umístění konkrétního terminálu. Nyní se podíváme na to, jak funguje připojení VPN, a zároveň dáme několik doporučení pro nastavení takových sítí a souvisejících klientských programů.

Co je to VPN?

Jak je již jasné, VPN je virtuální privátní síť, ke které je připojeno několik zařízení. Neměli byste si dělat iluze - připojení dvou nebo tří desítek současně pracujících počítačových terminálů (jak lze provést v místní oblasti) obvykle nefunguje. To má svá omezení v nastavení sítě nebo dokonce jen v šířku pásma router zodpovědný za přidělování IP adres a

Myšlenka původně spojená s technologií připojení však není nová. Dlouho se to snažili podložit. A mnoho moderní uživatelé počítačové sítě Ani si nepředstavují, že o tom věděli celý život, ale prostě se nepokoušeli ponořit se do podstaty problému.

Jak funguje připojení VPN: základní principy a technologie

Pro lepší pochopení uvedeme nejjednodušší příklad, který zná každý moderní člověk. Vezměte si například rádio. Vždyť v podstatě jde o vysílací zařízení (překladač), zprostředkující jednotku (opakovač) odpovědnou za přenos a distribuci signálu a přijímací zařízení (přijímač).

Další věc je, že signál je vysílán absolutně všem spotřebitelům a virtuální síť funguje selektivně a spojuje pouze určitá zařízení do jedné sítě. Vezměte prosím na vědomí, že ani v prvním, ani ve druhém případě nejsou nutné dráty pro připojení vysílacích a přijímacích zařízení, která si navzájem vyměňují data.

Ale i zde jsou některé jemnosti. Faktem je, že zpočátku byl rádiový signál nechráněný, to znamená, že jej může přijímat jakýkoli radioamatér s fungujícím zařízením na příslušné frekvenci. Jak funguje VPN? Ano, přesně to samé. Jedině v v tomto případě roli opakovače plní router (router nebo ADSL modem), roli přijímače pak stacionární počítačový terminál, notebook popř. mobilní zařízení, vybavený speciálním modulem bezdrátové připojení(Wi-Fi).

Při tom všem jsou data pocházející ze zdroje nejprve zašifrována a teprve poté jsou pomocí speciálního dekodéru reprodukována na konkrétní zařízení. Tento princip komunikace přes VPN se nazývá tunelování. A tento princip je nejvíce v souladu mobilní připojení, když dojde k přesměrování na konkrétního účastníka.

Lokální virtuální síťové tunelování

Pojďme pochopit, jak VPN funguje v režimu tunelování. Ve svém jádru zahrnuje vytvoření určité přímé linie, řekněme, z bodu „A“ do bodu „B“, kdy při přenosu dat z centrálního zdroje (router se serverovým připojením) určíme všechny síťová zařízení se provádí automaticky podle předem určené konfigurace.

Jinými slovy, tunel je vytvořen s kódováním při odesílání dat a dekódováním při příjmu. Ukazuje se, že žádný jiný uživatel, který se pokusí zachytit tento typ dat během přenosu, je nebude schopen dešifrovat.

Prostředky implementace

Jeden z nejvíce mocné nástroje Systémy Cisco taková spojení poskytují a zároveň zajišťují bezpečnost. Je pravda, že někteří nezkušení správci mají otázku, proč zařízení VPN-Cisco nefunguje.

To je způsobeno především nesprávné nastavení a nainstalované ovladače routeru Typ D-Link nebo ZyXEL, které vyžadují doladění pouze proto, že jsou vybaveny vestavěnými firewally.

Kromě toho byste měli věnovat pozornost schématům připojení. Mohou existovat dva z nich: route-to-route nebo vzdálený přístup. V prvním případě mluvíme o tom na integraci více distribučních zařízení a ve druhé na řízení připojení nebo přenosu dat pomocí vzdáleného přístupu.

Přístupové protokoly

Co se týče protokolů, konfigurační nástroje se dnes primárně používají na úrovni PCP/IP, i když interní protokoly pro VPN se mohou lišit.

VPN přestala fungovat? Měl by se na nějaké podívat skryté možnosti. Například doplňková technologie založená na TCP protokoly PPP a PPTP stále patří do zásobníků protokolů TCP/IP, ale pro připojení, řekněme, v případě použití PPTP, musíte místo požadované adresy použít dvě IP adresy. V každém případě však tunelování zahrnuje přenos dat uzavřených v interní protokoly typu IPX nebo NetBEUI a všechny jsou vybaveny speciálními hlavičkami na bázi PPP pro bezproblémový přenos dat do odpovídajícího síťového ovladače.

Hardwarová zařízení

Nyní se podívejme na situaci, kdy vyvstává otázka, proč VPN nefunguje. Že s tím problém může souviset nesprávné nastavení vybavení, samozřejmě. Může ale nastat i jiná situace.

Stojí za to věnovat pozornost samotným routerům, které sledují připojení. Jak bylo uvedeno výše, měli byste používat pouze zařízení, která splňují parametry připojení.

Například routery jako DI-808HV nebo DI-804HV jsou schopny připojit až čtyřicet zařízení současně. Pokud jde o Vybavení ZyXEL, v mnoha případech může fungovat i přes vestavěnou síť operační systém ZyNOS, ale pouze pomocí režimu příkazový řádek přes protokol Telnet. Tento přístup umožňuje konfigurovat libovolná zařízení s přenosem dat do tří sítí společně Ethernetové prostředí s přenosem IP provozu a také využití unikátní technologie Any-IP, navržený tak, aby umožňoval standardní stůl směrovače s předávaným provozem jako bránou pro systémy, které byly původně nakonfigurovány pro provoz v jiných podsítích.

Co dělat, když VPN nefunguje (Windows 10 a nižší)?

Úplně první a nejdůležitější podmínkou je shoda výstupních a vstupních klíčů (Pre-shared Keys). Musí být stejné na obou koncích tunelu. Také stojí za to věnovat pozornost algoritmům. kryptografické šifrování(IKE nebo Manual) s nebo bez funkce ověřování.

Například stejný protokol AH (v angličtině - Authentication Header) může poskytovat pouze autorizaci bez možnosti použití šifrování.

VPN klienti a jejich konfigurace

Co se týče VPN klientů, ani zde není vše jednoduché. Většina programů založených na těchto technologiích používá standardních metod nastavení. Jsou zde však úskalí.

Problém je v tom, že bez ohledu na to, jak nainstalujete klienta, pokud je služba vypnuta v samotném operačním systému, nic dobrého z toho nevzejde. Proto je potřeba tato nastavení nejprve povolit ve Windows, poté je povolit na routeru (routeru) a teprve poté začít nastavovat samotného klienta.

Budete muset vytvořit nové připojení v samotném systému, spíše než použít stávající. Nebudeme se tím zabývat, protože postup je standardní, ale na samotném routeru budete muset jít další nastavení(nejčastěji se nacházejí v nabídce Typ připojení WLAN) a aktivují vše, co souvisí s VPN serverem.

Za zmínku také stojí fakt, že jej bude nutné do systému nainstalovat jako doprovodný program. Pak se ale dá použít i bez manuální nastavení, stačí vybrat nejbližší místo.

Jedním z nejoblíbenějších a nejjednodušších použití je VPN klient-server s názvem SecurityKISS. Program se nainstaluje, ale pak ani nemusíte chodit do nastavení, abyste zajistili normální komunikaci pro všechna zařízení připojená k distributorovi.

Stává se, že poměrně známý a oblíbený balíček Kerio VPN klient nefunguje. Zde budete muset věnovat pozornost nejen samotnému „OS“, ale také parametrům klientský program. Zadání správných parametrů vám zpravidla umožňuje zbavit se problému. Jako poslední možnost budete muset zkontrolovat nastavení hlavního připojení a používaných protokolů TCP/IP (v4/v6).

jaký je výsledek?

Podívali jsme se, jak funguje VPN. Na připojování nebo vytváření sítí tohoto typu v zásadě není nic složitého. Hlavní úskalí spočívá v nastavení konkrétního zařízení a nastavení jeho parametrů, které bohužel mnoho uživatelů přehlíží, spoléhajíc na to, že se celý proces zredukuje na automatizaci.

Na druhou stranu jsme se nyní více zabývali otázkami souvisejícími s operační technologií virtuálu sítě VPN, takže budete muset nakonfigurovat zařízení, nainstalovat ovladače zařízení atd. pomocí samostatné pokyny a doporučení.

Soukromé sítě používají organizace k připojení ke vzdáleným lokalitám a jiným organizacím. Privátní sítě se skládají z komunikačních kanálů pronajatých od různých telefonní společnosti a poskytovatelé internetových služeb. Tyto komunikační kanály se vyznačují tím, že spojují pouze dvě místa, přičemž jsou odděleny od ostatního provozu, protože pronajaté kanály zajišťují obousměrnou komunikaci mezi dvěma místy. Privátní sítě mají mnoho výhod.

  • Informace jsou důvěrné.
  • Vzdálená místa si mohou okamžitě vyměňovat informace.
  • Vzdálení uživatelé se necítí izolovaní od systému, ke kterému přistupují.

Bohužel tento typ sítě má jednu velkou nevýhodu – vysokou cenu. Používání privátních sítí je velmi nákladné. Použití pomalejších komunikačních kanálů může ušetřit peníze, ale pak vzdálení uživatelé začne být patrná nevýhoda rychlosti a některé z výše uvedených výhod budou méně zřejmé.

S nárůstem počtu uživatelů internetu mnoho organizací přešlo na používání virtuálních privátních sítí (VPN). Virtuální privátní sítě poskytují mnoho výhod privátních sítí za nižší cenu. Se zavedením VPN však pro organizaci přichází řada problémů a nebezpečí. Správně vybudovaná VPN může organizaci přinést velké výhody. Pokud není VPN správně implementována, všechny informace přenášené přes VPN mohou být dostupné z internetu.

Definování virtuálních privátních sítí

Máme tedy v úmyslu přenášet citlivá data organizací přes internet bez použití pronajatých komunikačních kanálů, přičemž stále přijímáme veškerá preventivní opatření soukromí provozu. Jak můžeme oddělit náš provoz od provozu ostatních uživatelů? globální síť? Odpověď na tuto otázku je šifrování.

Na internetu se můžete setkat se všemi druhy provozu. Významná část tohoto provozu je přenášena na otevřený formulář a každý uživatel, který tento provoz sleduje, jej bude schopen rozpoznat. To platí pro většinu e-mailů a webového provozu a také pro komunikaci prostřednictvím protokoly telnet a FTP. Provoz Secure Shell (SSH) a Hypertext Transfer Protocol Secure (HTTPS) je šifrovaný provoz a uživatel jej nebude moci sledovat. Provoz typu SSH a HTTPS však nepředstavuje VPN.

Virtuální privátní sítě mají několik vlastností.

  • Provoz je šifrován, aby byla zajištěna ochrana proti odposlechu.
  • Vzdálený web je ověřen.
  • Virtuální privátní sítě poskytují podporu pro různé protokoly.
  • Spojení zajišťuje komunikaci pouze mezi dvěma konkrétními účastníky.

Protože SSH a HTTPS nejsou schopny podporovat více protokolů, platí totéž pro skutečné VPN. Pakety VPN se mísí s tokem běžného provozu na internetu a z toho důvodu existují odděleně tento provoz lze číst pouze koncovými body připojení.

Poznámka

Je možné implementovat přenos provozu prostřednictvím relace SSH pomocí tunelů. Pro účely této přednášky však nebudeme SSH považovat za VPN.

Pojďme se blíže podívat na každou z vlastností VPN. To už bylo řečeno výše Provoz VPN zašifrované pro ochranu proti odposlechu. Šifrování musí být dostatečně silné, aby bylo zaručeno důvěrnosti přenášené informace tak dlouho, dokud to bude relevantní. Hesla mají dobu platnosti 30 dní (což znamená zásadu měnit hesla každých 30 dní); nicméně tajné informace nesmí po celou dobu ztratit svou hodnotu dlouhá léta. Proto šifrovací algoritmus a VPN aplikace by mělo zabránit nelegálnímu dešifrování provozu na několik let.

Druhou vlastností je, že vzdálené místo je ověřeno. Tato funkce může vyžadovat ověření některých uživatelů centrální server nebo vzájemné ověření obou uzlů, které VPN spojuje. Použitý mechanismus ověřování je řízen zásadou. Zásada může zajistit ověření uživatele pomocí dvou parametrů nebo pomocí dynamická hesla. Na vzájemné ověřování od obou webů může být požadováno, aby prokázaly znalost určitého sdíleného tajemství (tajemství je nějaká informace známá oběma webům předem), nebo může být vyžadováno

Kromě svého hlavního účelu – zvýšení propustnosti připojení v síti – vám přepínač umožňuje lokalizovat informační toky a také tyto toky řídit a řídit pomocí vlastního filtračního mechanismu. Vlastní filtr však může zabránit přenosu rámců pouze na konkrétní adresy vysílací provoz vysílá do všech segmentů sítě. Toto je princip fungování přemosťovacího algoritmu implementovaného v přepínači, a proto se sítě vytvořené na základě mostů a přepínačů někdy nazývají ploché - kvůli absenci překážek pro přenos vysílání.

Technologie virtuálních lokálních sítí (Virtual LAN, VLAN), která se objevila před několika lety, umožňuje toto omezení překonat. Virtuální síť je skupina síťových uzlů, jejichž provoz, včetně vysílání, je zcela izolován od ostatních uzlů na úrovni datového spoje (viz obrázek 1). To znamená, že přímý přenos rámců mezi různými virtuálními sítěmi je nemožný, bez ohledu na typ adresy – unikátní, multicast nebo broadcast. Zároveň se v rámci virtuální sítě přenášejí rámce v souladu s technologií přepínání, tedy pouze na port, kterému je přidělena cílová adresa rámce.

Virtuální sítě se mohou překrývat, pokud je jeden nebo více počítačů součástí více než jedné virtuální sítě. Na obrázku 1 server E-mailem je součástí virtuálních sítí 3 a 4, a proto jsou jeho rámce přenášeny switchi na všechny počítače zahrnuté v těchto sítích. Pokud je počítač přiřazen pouze k virtuální síti 3, pak jeho rámce nedosáhnou sítě 4, ale mohou komunikovat s počítači v síti 4 prostřednictvím společného poštovního serveru. Toto schéma neizoluje od sebe virtuální sítě úplně – například vysílací bouře iniciovaná e-mailovým serverem zahltí síť 3 i síť 4.

O virtuální síti se říká, že tvoří doménu vysílání, podobnou kolizní doméně tvořené ethernetovými opakovači.

PŘIDĚLENÍ VLAN

Technologie VLAN usnadňuje vytváření izolovaných sítí, které jsou propojeny pomocí směrovačů, které podporují protokol síťové vrstvy, jako je IP. Toto řešení vytváří mnohem silnější bariéry pro chybný provoz z jedné sítě do druhé. Dnes se má za to, že každá velká síť musí obsahovat směrovače, jinak ji toky chybných rámců, zejména vysílacích, přes přepínače, které jsou pro ně transparentní, periodicky zcela „zaplaví“ a učiní ji nefunkční.

Technologie virtuálních sítí poskytuje flexibilní základ pro budování velké sítě propojené směrovači, protože přepínače umožňují vytvářet zcela izolované segmenty programově, bez nutnosti fyzického přepínání.

Než byla technologie VLAN k dispozici pro nasazení samostatná síť byly použity buď fyzicky izolované segmenty koaxiál nebo nespojené segmenty založené na opakovačích a mostech. Sítě byly poté propojeny přes routery do jediné kompozitní sítě (viz obrázek 2).

Změna složení segmentů (přechod uživatele do jiné sítě, rozdělení velkých sekcí) tímto přístupem znamenala fyzické přepojování konektorů na předních panelech opakovačů nebo v crossover panelech, což není příliš vhodné ve velkých sítích - je to velmi pracné -intenzivní práce a pravděpodobnost chyby je velmi vysoká. Pro odstranění nutnosti fyzického přepínání uzlů se proto začaly používat vícesegmentové koncentrátory, takže složení sdíleného segmentu bylo možné přeprogramovat bez fyzického přepínání.

Změna složení segmentů pomocí rozbočovačů však klade velká omezení na strukturu sítě – počet segmentů takového opakovače je obvykle malý a je nereálné přidělovat každému uzlu vlastní, jak to lze provést pomocí přepínače. Navíc s tímto přístupem veškerá práce při přenosu dat mezi segmenty spadá na routery a přepínače s jejich vlastními vysoký výkon zůstat „bez práce“. Sítě založené na opakovačích s přepínáním konfigurace tedy stále vyžadují sdílení média pro přenos dat velké množství uzly, a proto mají mnohem nižší výkon ve srovnání se sítěmi založenými na přepínačích.

Při použití technologie virtuální sítě v přepínačích jsou současně vyřešeny dva problémy:

  • zvýšený výkon v každé z virtuálních sítí, protože přepínač přenáší rámce pouze do cílového uzlu;
  • Vzájemná izolace sítí pro správu přístupových práv uživatelů a vytvoření ochranných bariér proti vysílaným bouřím.

Kombinace virtuálních sítí do sdílená síť provedeno na úroveň sítě, které lze migrovat pomocí samostatného softwaru směrovače nebo přepínače. Ten se v tomto případě stává kombinovaným zařízením - tzv. spínačem třetí úrovně.

Technologie pro tvorbu a provoz virtuálních sítí pomocí přepínačů na dlouhou dobu nebyl standardizován, i když byl implementován ve velmi široký rozsah modely spínačů různých výrobců. Situace se změnila po přijetí standardu IEEE 802.1Q v roce 1998, který definuje základní pravidla pro budování virtuálních lokálních sítí bez ohledu na to, jaký protokol linkové vrstvy přepínač podporuje.

Vzhledem k dlouhé absenci standardu VLAN každý velká společnost, která vyrábí přepínače, vyvinula vlastní technologii virtuálních sítí, která je zpravidla nekompatibilní s technologiemi jiných výrobců. Proto i přes vznik standardu není tak vzácné narazit na situaci, kdy virtuální sítě vytvořené na základě přepínačů od jednoho dodavatele nejsou rozpoznány, a tudíž nejsou podporovány přepínači jiného výrobce.

VYTVOŘTE VLAN NA ZÁKLADĚ JEDNOHO PŘEPÍNAČE

Při vytváření virtuálních sítí založených na jediném přepínači se obvykle používá mechanismus pro seskupování portů přepínače v síti (viz obrázek 3). Navíc je každý z nich přiřazen k té či oné virtuální síti. Rámec přicházející z portu patřícího například do virtuální sítě 1 nebude nikdy přenesen na port, který není její součástí. Port lze přiřadit několika virtuálním sítím, i když v praxi se to dělá jen zřídka - efekt úplné izolace sítí zmizí.

Seskupení portů jednoho přepínače je nejlogičtějším způsobem vytvoření VLAN, protože v tomto případě nemůže být více virtuálních sítí než portů. Pokud je opakovač připojen k určitému portu, pak nemá smysl zahrnout uzly odpovídajícího segmentu do různých virtuálních sítí - jejich provoz bude stále společný.

Tento přístup nevyžaduje od správce velké množství práce vlastní výroby- stačí přiřadit každý port jedné z několika předem pojmenovaných virtuálních sítí. Obvykle se tato operace provádí pomocí speciální program dodávané s vypínačem. Správce vytváří virtuální sítě přetažením grafických symbolů portu na grafické symboly sítí.

Další způsob vytváření virtuálních sítí je založen na seskupování MAC adres. Každá MAC adresa známá přepínači je přiřazena konkrétní virtuální síti. Pokud je v síti mnoho uzlů, správce bude muset provést mnoho ručních operací. Při budování virtuálních sítí založených na několika přepínačích je však tato metoda flexibilnější než seskupování portů.

VYTVOŘTE VLAN NA ZÁKLADĚ NĚKOLIKA PŘEPÍNAČŮ

Obrázek 4 znázorňuje situaci, která nastává při vytváření virtuálních sítí založených na více přepínačích prostřednictvím seskupování portů. Pokud jsou uzly virtuální sítě připojeny k různým přepínačům, pak musí být pro připojení přepínačů každé takové sítě přidělen samostatný pár portů. V opačném případě se informace o vlastnictví rámce ke konkrétní virtuální síti při přenosu z přepínače na přepínač ztratí. Metoda sdružování portů tedy vyžaduje tolik portů pro připojení přepínačů, kolik je virtuálních sítí, které podporují, což má za následek velmi nehospodárné používání portů a kabelů. Navíc pro organizaci interakce virtuálních sítí prostřednictvím routeru vyžaduje každá síť samostatný kabel a samostatný port routeru, což také vede k vysokým režijním nákladům.

Seskupení MAC adres do virtuální sítě na každém přepínači eliminuje potřebu jejich připojení přes více portů, protože štítkem virtuální sítě je pak MAC adresa. Tato metoda však vyžaduje velké množství manuální operace ručním označením MAC adres na každém síťovém přepínači.

Dva popsané přístupy jsou založeny pouze na přidávání informací do tabulek adres mostu a nezahrnují informace o členství rámce ve virtuální síti v přenášeném rámci. Jiné přístupy využívají stávající popř další pole rámec pro záznam informací o vlastnictví rámce při jeho pohybu mezi síťovými přepínači. Navíc není potřeba si na každém přepínači pamatovat, které virtuální sítě vlastní MAC adresy sítě.

Dodatečné pole označené číslem virtuální sítě se používá pouze při přenosu rámce z přepínače na přepínač a při přenosu rámce do koncového uzlu je obvykle odstraněn. V tomto případě je upraven protokol interakce „switch-to-switch“, zatímco software a Hardware koncové uzly zůstávají nezměněny. Existuje mnoho příkladů takových proprietárních protokolů, ale obecná nevýhoda Jednu mají – jiní výrobci je nepodporují. Společnost Cisco navržena jako standardní doplněk k rámcům jakýchkoli lokálních síťových protokolů hlavička protokolu 802.10, jejímž účelem je podpora bezpečnostních funkcí počítačové sítě. Sama společnost se k tomuto způsobu uchýlí v případech, kdy jsou přepínače propojeny pomocí protokolu FDDI. Tato iniciativa však nebyla podporována ostatními předními výrobci přepínačů.

Chcete-li uložit číslo virtuální sítě do standard IEEE 802.1Q má další dvoubajtové záhlaví, které se používá ve spojení s protokolem 802.1p. Kromě tří bitů pro uložení hodnoty priority rámce, jak je popsáno ve standardu 802.1p, je v této hlavičce 12 bitů pro uložení čísla virtuální sítě, do které rámec patří. Tento dodatečné informace nazývá se značka virtuální sítě (VLAN TAG) a umožňuje přepínačům od různých výrobců vytvořit až 4096 sdílených virtuálních sítí. Takový rámec se nazývá „označený“. Délka tagovaného ethernetového rámce se zvětší o 4 bajty, protože kromě dvou bajtů samotného tagu jsou přidány další dva bajty. Struktura tagovaného ethernetového rámce je znázorněna na obrázku 5. Přidáním hlavičky 802.1p/Q se datové pole zmenší o dva bajty.

Obrázek 5. Struktura označeného ethernetového rámce.

Vznik standardu 802.1Q umožnil překonat rozdíly v proprietárních implementacích VLAN a dosáhnout kompatibility při budování virtuálních lokálních sítí. Technika VLAN je podporována výrobci přepínačů i síťových adaptérů. V druhém případě může síťový adaptér generovat a přijímat označené Ethernetové rámce, obsahující pole VLAN TAG. Pokud síťový adaptér generuje označené rámce, pak určuje jejich příslušnost ke konkrétní virtuální lokální síti, takže je switch musí zpracovat podle toho, tedy vysílat nebo nevysílat na výstupní port, v závislosti na příslušnosti k portu. Ovladač síťového adaptéru obdrží číslo své (nebo své) virtuální lokální sítě od správce sítě (pomocí ruční konfigurace) nebo z nějaké aplikace běžící na tomto uzlu. Taková aplikace může fungovat centrálně na jednom ze síťových serverů a spravovat strukturu celé sítě.

Podpora VLAN síťové adaptéry Statické konfiguraci se můžete vyhnout přiřazením portu ke konkrétní virtuální síti. Statická konfigurace VLAN však zůstává populární, protože umožňuje vytvořit strukturovanou síť bez nutnosti softwaru koncového uzlu.

Natalya Olifer je komentátorkou časopisu Journal of Network Solutions/LAN. Lze ji kontaktovat na:



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní