Сегментирование сетей на канальном уровне
Рассмотрим использование технологии VLAN , которая позволяет сегментировать трафик на канальном уровне.
При маршрутизации на сетевом уровне пакет передается хосту, IP-адрес которого указан в качестве получателя. В сети могут передаваться также широковещательные пакеты, т.е. пакеты, у которых в части IP-адреса получателя, относящейся к номеру хоста, стоят все единицы. Такие пакеты передаются всем хостам в локальной сети. Количество хостов в локальной сети определяется маской подсети. Локальная сеть называется также широковещательным доменом. Создание локальных сетей, содержащих большое число хостов, приводят к возможности возникновения так называемых «широковещательных штормов», возникающих как естественным образом, так и в результате разного рода атак. Результатом таких широковещательных штормов является уменьшение пропускной способности сети. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика. Опишем механизм, с помощью которого сеть может быть построена на основе коммутаторов второго уровня (L2), но разделена на отдельные широковещательные домены.
Рассмотрим типичную топологию сети небольшой организации (рис. 2.1).
В нашем случае в организации есть три отдела А, В и С, в сети предполагается использовать один коммутатор , но для увеличения пропускной способности и безопасности сети желательно, чтобы широковещательный трафик между отделами отсутствовал. Проще всего в этом случае создать виртуальную локальную сеть второго (канального) уровня.
Виртуальной локальной сетью называется логическая группа хостов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от хостов из других виртуальных локальных сетей. В результате этого нет необходимости использовать маршрутизаторы третьего (L3) сетевого уровня для уменьшения широковещательного трафика.
Использование технологии VLAN позволяет на межсетевом экране создавать политики, которые управляют доступом друг к другу хостов из разных VLAN .
Технология VLAN позволяет исключить передачу кадров между разными виртуальными сетями независимо от типа IP-адреса – уникального, группового или широковещательного. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими последствий, таких как широковещательные штормы, в результате которых может существенно снизиться пропускная способность сети.
Технология VLAN обладают следующими характеристиками:
- Гибкость. VLAN являются эффективным способом группирования пользователей и компьютеров в виртуальные рабочие группы, независимо от их физического расположения в сети.
- Увеличение пропускной способности. Использование VLAN уменьшает широковещательный трафик, что увеличивает пропускную способность сети.
- Повышение безопасности. Трафик, проходящий по VLAN, может фильтроваться правилами межсетевого экрана.
2.2 Стандарт IEEE 802.1Q
Технология VLAN описана в стандарте IEEE 802.1Q. Этот стандарт определяет использование дополнительных полей кадра для хранения информации о принадлежности к VLAN при пересылке данного кадра по сети.
VLAN ID – это число от 0 до 4095, используемое для идентификации конкретной виртуальной локальной сети, которой принадлежит данный кадр . Ethernet-кадры могут принадлежать разным виртуальным локальным сетям, но проходить через один и тот же физический Ethernet- порт .
Vlan — сеть обычно представляет собой канал от коммутатора до межсетевого экрана, Ethernet-порты которых настроены для использования VLAN . Ethernet- порт может одновременно пропускать как не- vlan -трафик, так и vlan -трафик для одного или нескольких VLAN .
VLAN создается посредством создания vlan -интерфейса, который связан с определенным физическим Ethernet-портом. Vlan -интерфейсы считаются логическими интерфейсами и могут использоваться как и другие интерфейсы в правилах фильтрования и таблицах маршрутизации.
VLAN используются в нескольких целях. Первое – один физический Ethernet- порт может присутствовать в различных правилах и маршрутах как несколько интерфейсов. Это означает, что число физических Ethernet-портов на межсетевом экране или маршрутизаторе не ограничивает количество сетей, которые могут быть присоединены к нему.
Другим типичным применением VLAN является группирование отдельных пользователей таким образом, чтобы трафик, принадлежащий разным группам пользователей, был полностью изолирован друг от друга. Это возможно в результате того, что трафик, проходящий между различными vlan -сетями, в отличие от трафика канального уровня, может маршрутизироваться и/или фильтроваться правилами межсетевого экрана.
Характеристики VLAN на основе стандарта IEEE 802.1Q:
- Гибкость при настройке и изменении топологии сети. Можно создавать необходимые комбинации виртуальных сетей, используя как один коммутатор, так и несколько коммутаторов с поддержкой стандарта IEEE 802.1Q, расположенных в разных сегментах сети. На Ethernet-порте коммутатора в заголовки пакетов добавляется тег, что позволяет создавать VLAN, проходящую через 802.1Q-совместимые коммутаторы.
- Возможность не только добавлять, но и удалять метки из кадра позволяет использовать коммутаторы и сетевые устройства, которые не распознают эти метки.
Обработка Ethernet-кадров, содержащих теги VLAN , выполняется на физическом Ethernet-порту и основана на следующих принципах:
- Ethernet-кадры, полученные на физическом Ethernet-порту, проверяются на наличие VLAN ID. Если VLAN ID найден, и для этого Ethernet-порта определен соответствующий vlan-интерфейс, будет использоваться этот vlan-интерфейс в качестве интерфейса источника для дальнейшей обработки кадра набором правил фильтрования и определения маршрута.
- Если в Ethernet-кадре, полученном на Ethernet-порту, нет VLAN ID, то интерфейсом источника для данного кадра считается данный физический Ethernet-порт.
- Если на физический Ethernet-порт получен трафик, содержащий тег VLAN, и в конфигурации для этого Ethernet-порта не определен VLAN с соответствующим VLAN ID, то этот трафик отбрасывается и записывается соответствующее сообщение в лог.
2.3 Типовая топология сети с использованием VLAN
Предположим, что в организации есть два отдела А и В. Будем считать, физическую топологию сети удобнее создавать с использованием двух коммутаторов, причем часть рабочих станций отделов А и В следует подключить к Коммутатору 1, а оставшиеся рабочие станции отделов А и В подключить к Коммутатору 2. Для увеличения производительности широковещательного трафика между отделами не должно быть, также желательно иметь возможность фильтровать трафик между отделами.
При такой топологии порты коммутаторов, к которым подключены рабочие станции пользователей, должны быть настроены как немаркированные порты соответствующей VLAN .
В нашем случае рабочие станции отдела А подключены портам 02 и 03 Коммутатора 1. Эти порты входят в VLAN с VID 20 как немаркированные (untagged) порты. Рабочая станция отдела В подключена к порту 04 Коммутатора 1. Данный порт входит в VLAN с VID 30 как немаркированный (untagged) порт .
Рабочая станция отдела А подключена порту 02 Коммутатора 2. Данный порт входит в VLAN с VID 20 как немаркированный (untagged) порт . Рабочие станции отдела В подключены к портам 03 и 04 Коммутатора 2. Данные порты входят в VLAN с VID 30 как немаркированные (untagged) порты.
Uplink-порты коммутаторов, подключенных к маршрутизатору или межсетевому экрану, должны быть настроены как маркированные и являться членом всех VLAN , настроенных на коммутаторе.
увеличить изображение
Рис. 2.6. Uplink-порт Коммутатора 1, подключенный к маршрутизатору или межсетевому экрану
увеличить изображение
Рис. 2.7. Uplink-порт Коммутатора 2, подключенный к маршрутизатору или межсетевому экрану
На физических Ethernet-портах маршрутизатора или межсетевого экрана создаются соответствующие vlan -интерфейсы.
Физический Ethernet- порт маршрутизатора может соединяться либо с коммутаторами (обычно управляемыми), которые поддерживают 802.1Q VLAN , либо с неуправляемыми коммутаторами или другим оборудованием без поддержки VLAN (например, с рабочими станциями пользователей). В первом случае соединения между межсетевым экра-ном и коммутаторами представляют собой vlan -каналы (магистральные каналы), по которым передается трафик всех vlan -сетей, настроенных на коммутаторах. Для этого на маршрутизаторе создается нужное количество vlan -интерфейсов, и каждому vlan -интерфейсу, созданному на Ethernet-порту межсетевого экрана и подключенному к коммутатору, назначается один из ID vlan -сетей, которые сконфигурированы на коммутаторе.
Vlan -интерфейсы являются логическими интерфейсами и используются как и другие интерфейсы в правилах фильтрования и таблицах маршрутизации.
Например, если нет IP-правила для определенного vlan -интерфейса в качестве интерфейса источника, позволяющего проходить трафику, то пакеты, поступающие на этот интерфейс , будут отброшены.
2.4 VLAN на основе портов
увеличить изображение
Рис. 2.9. Топология сети при непосредственном подключении к маршрутизатору устройств, не поддерживающих технологию VLAN
Если к маршрутизатору или межсетевому экрану подключены коммутаторы или другие устройства (например, рабочие станции пользователей), не поддерживающие технологию VLAN , вся сегментация локальной сети на виртуальные локальные сети и разграничение доступа между ними выполняется маршрутизатором. На маршрутизаторе создаются vlan -интерфейсы с соответствующими ID vlan -сетей. После этого каждый vlan — интерфейс привязывается к со-ответствующему Ethernet-порту. В этом случае маршрутизатор работает в режиме Port-based VLAN .
Стоит отметить, что в отличие от управляемых коммутаторов с поддержкой стандарта IEEE 802.1Q, которые могут одновременно обрабатывать маркированный и немаркированный трафик, в межсетевых экранах D-Link моделей DFL-260E и DFL-860E существует ограничение, связанное невозможность одновременной работы Ethernet-портов в режиме 802.1Q и Port-based VLAN . Vlan -интерфейсы этих моделей межсетевых экранов могут обрабатывать либо только маркированный входной трафик, либо только немаркированный. При использовании VLAN на основе портов каждый Ethernet- порт коммутатора может принадлежать единственной VLAN , не зависимо от того, какой пользователь или компьютер подключен к этому Ethernet-порту. Это означает, что все пользователи, подключенные к этому Ethernet-порту, будут членами одной VLAN . Принадлежность Ethernet-портов к VLAN статическая и может быть изменена только вручную.
Преимущества VLAN на основе портов:
- Чаще всего применяются, если используется один коммутатор. Если необходимо разграничить трафик нескольких групп пользователей в пределах небольшой сети с использованием одного коммутатора, например, необходимо разделить трафик технического отдела и отдела продаж, то использование VLAN на основе портов является оптимальным решением.
- Простота настройки. Создание виртуальных сетей на основе группирования Ethernet-портов не требует большой работы, достаточно каждому Ethernet-порту, входящему в определенную VLAN, присвоить один и тот же идентификатор VLAN ID.
- Возможность изменения логической топологии сети без физического перемещения хостов. Достаточно просто изменить настройки Ethernet-порта, указав в настройках данного порта другой VLAN ID (например, VLAN ID технического отдела изменить на VLAN ID отдела продаж), и рабочая станция сразу получает возможность использовать ресурсы новой VLAN.
- Каждый Ethernet-порт может входить только в одну VLAN.