PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Podobne dokumenty
ZiMSK. VLAN, trunk, intervlan-routing 1

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Laboratorium LAN Switching & VLAN

Konfigurowanie sieci VLAN

PBS. Wykład Podstawy routingu. 2. Uwierzytelnianie routingu. 3. Routing statyczny. 4. Routing dynamiczny (RIPv2).

Wykład 5. Projektowanie i Realizacja Sieci Komputerowych. 1. Technologie sieci LAN (warstwa 2) urządzenia 2. Sposoby przełączania

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Mosty przełączniki. zasady pracy pętle mostowe STP. Domeny kolizyjne, a rozgłoszeniowe

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Sieci komputerowe Zasada działania i konfigurowanie przełączników

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Sieci komputerowe. Zadania warstwy łącza danych. Ramka Ethernet. Adresacja Ethernet

Urządzenia sieciowe. Część 1: Repeater, Hub, Switch. mgr inż. Krzysztof Szałajko

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Wirtualne sieci LAN. Opracowanio na podstawie materiałów kursu CCNA

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Urządzenia sieciowe. Tutorial 1 Topologie sieci. Definicja sieci i rodzaje topologii

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA semestr 3

Na powyższym obrazku widać, że wszystkie 24 porty przełącznika znajdują się w tej samej sieci VLAN, a mianowicie VLAN 1.

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

PBS. Wykład Routing dynamiczny OSPF EIGRP 2. Rozwiązywanie problemów z obsługą routingu.

STRUKTURA OGÓLNA SIECI LAN

ZiMSK NAT, PAT, ACL 1

Sieci komputerowe. Dr inż. Robert Banasiak. Sieci Komputerowe 2010/2011 Studia niestacjonarne

Sieci komputerowe - Urządzenia w sieciach

Rodzaje, budowa i funkcje urządzeń sieciowych

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet

Plan realizacji kursu

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Tytuł pracy : Sieci VLAN. Autor: Andrzej Piwowar IVFDS

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Model OSI. mgr inż. Krzysztof Szałajko

Warstwa fizyczna, łącza danych

Projektowanie sieci lokalnej (wg. Cisco)

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

LOKALNE SIECI WIRTUALNE VLAN

Urządzenia fizyczne sieci. Pudełko Urządzenia Techniki Komputerowej

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

ARP Address Resolution Protocol (RFC 826)

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

Urządzenia sieciowe. host urządzenie końcowe umożliwiające połączenie z siecią może istnieć bez sieci

Urządzenia sieci Ethernet

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

router wielu sieci pakietów

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Warstwy i funkcje modelu ISO/OSI

ZiMSK. Routing dynamiczny 1

Adresy w sieciach komputerowych

Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN. Routing między sieciami VLAN.

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

BRINET Sp. z o. o.

Posiadacze routera ADSL+2 Pirelli DRG A125G mogą bez żadnych kosztów przekształcić go w pełnosprawny router WAN Ethernet.

Podstawy sieci komputerowych

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Przełączanie. istota przełączania (L2)

MASKI SIECIOWE W IPv4

SDN Narmox Spear Architektura referencyjna do zastosowania kilku połączeń WAN oraz zasada podłączania sieci NIE-SDN do sieci SDN

SIECI KOMPUTEROWE Adresowanie IP

1PSI: TEST do wykonania (protokoły sieciowe jedna prawidłowa odp.): Tematy prac semestralnych G. Romotowski. Sieci Komputerowe:

Sieci wirtualne VLAN cz. I

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

SZCZEGÓŁOWE OKREŚLENIE System zarządzania urządzeniami sieciowymi

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Sieci komputerowe - administracja

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

ORGANIZACJA ZAJĘĆ WSTĘP DO SIECI

Mateusz Rzeszutek. 19 kwiecie«2012. Sie VLAN nie zmienia nic w kwestii domen kolizyjnych. przynale»no± w oparciu o numer portu

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Wzmacniaki (repeaters), koncentratory (hubs), mosty (bridges), przełączniki (switches)

Sieci Cisco w miesiąc : podręcznik administratora / Ben Piper. Gliwice, copyright Spis treści

Protokoły sieciowe - TCP/IP

SIECI KOMPUTEROWE. Podstawowe wiadomości

1. Podstawy routingu IP

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

Przesyłania danych przez protokół TCP/IP

MODEM. Wewnętrzny modem PCI, 56Kbps DATA/FAX/VOICE, V.92

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Politechnika Krakowska im. Tadeusza Kościuszki. Karta przedmiotu. obowiązuje studentów rozpoczynających studia w roku akademickim 2013/2014

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

VLANy tagowane. VLAN (ang. Virtual LAN) oznacza wirtualną sieć lokalną, która jest wydzielona logicznie z innej większej sieci.

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Sterowanie ruchem w sieciach szkieletowych

W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych portów Ethernet:

Sieci komputerowe Wykład 3

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

5R]G]LDï %LEOLRJUDğD Skorowidz

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA Exploration. Semestr 3

Podstawowe pojęcia dotyczące sieci komputerowych

Protokół BGP Podstawy i najlepsze praktyki Wersja 1.0

Routing średniozaawansowany i podstawy przełączania

Transkrypt:

PBS Wykład 7 1. Zabezpieczenie przełączników i dostępu do sieci LAN mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Procesy Bezpieczeństwa Sieciowego 1

Cele nauczania VLAN Trunking Inter-VLAN routing Potr-security

Idea VLAN

Segmentacja sieci LAN Segmentacja znacznie zmniejsza przeciążenie sieci w ramach poszczególnych segmentów. Procesy Bezpieczeństwa Sieciowego 4

Segmentacja sieci LAN za pomocą mostów Procesy Bezpieczeństwa Sieciowego 5

Segmentacja sieci LAN za pomocą routerów Procesy Bezpieczeństwa Sieciowego 6

Segmentacja sieci LAN za pomocą przełączników Procesy Bezpieczeństwa Sieciowego 7

Podstawy przełączania w sieciach LAN Procesy Bezpieczeństwa Sieciowego 8

Działanie przełącznika LAN Procesy Bezpieczeństwa Sieciowego 9

Opóźnienie przełącznika Ethernet Procesy Bezpieczeństwa Sieciowego 10

Przełączanie w warstwie 2 Procesy Bezpieczeństwa Sieciowego 11

Przełączanie w warstwie 3 Procesy Bezpieczeństwa Sieciowego 12

Przełączanie symetryczne Procesy Bezpieczeństwa Sieciowego 13

Przełączanie asymetryczne Procesy Bezpieczeństwa Sieciowego 14

Buforowanie w pamięci Buforowanie w oparciu o porty W przypadku buforowania opartego na portach ramki są przechowywane w kolejkach powiązanych z konkretnymi portami przychodzącymi. Buforowanie w pamięci współużytkowanej Powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Wymagana przez dany port ilość pamięci buforu jest przydzielana dynamicznie. Procesy Bezpieczeństwa Sieciowego 15

Dwie metody przełączania Procesy Bezpieczeństwa Sieciowego 16

Store-and-forward Procesy Bezpieczeństwa Sieciowego 17

Cut-through Procesy Bezpieczeństwa Sieciowego 18

Tryby transmisji ramek Procesy Bezpieczeństwa Sieciowego 19

Przełącznik sieciowy korzystający z pamięci CAM Procesy Bezpieczeństwa Sieciowego 20

Jak przełączniki i mosty filtrują ramki Procesy Bezpieczeństwa Sieciowego 21

Microsegmentation of the Network W celu zmniejszenia domeny kolizyjnej w sieci przełączniki stosują mikrosegmentację". Odbywa się to poprzez utworzenie dedykowanych segmentów sieci, czyli połączeń typu punkt-punkt". Przełącznik łączy w sobie te segmenty w sieć wirtualną. Procesy Bezpieczeństwa Sieciowego 22

Wstęp do technologii VLAN VLAN polega na logicznym grupowaniu za pomocą switch a sieciowego urządzeń sieciowych oraz użytkowników sieci LAN pod kątem sprawowanej funkcji, miejsca funkcjonowania czy też wykorzystywanej aplikacji Procesy Bezpieczeństwa Sieciowego 23

Wstęp do technologii VLAN Historia technologii VLAN TRENDY Ewolucja VLAN Inteligentne VLAN VLAN w sieciach kampusowych Pojedynczy switch Procesy Bezpieczeństwa Sieciowego 24

Wstęp do technologii VLAN W sieciach LAN, które wykorzystują przełączniki ( switche ), technologia VLAN jest tanim i efektywnym sposobem grupowania użytkowników danej sieci w wirtualne grupy robocze w odniesieniu do ich fizycznej lokalizacji w tej sieci. Procesy Bezpieczeństwa Sieciowego 25

Wstęp do technologii VLAN VLAN pracuje w warstwie drugiej oraz trzeciej modelu OSI. Warstwy modelu OSI 7 6 5 4 3 2 1 Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych fizyczna VLAN Procesy Bezpieczeństwa Sieciowego 26

Segmentacja VLAN a tradycyjna segmentacja Segmentacja tradycyjna Segmentacja VLAN hub 3 switch 3 Piętro 3 hub 2 switch 2 Piętro 2 ROUTER ROUTER switch 1 Piętro 1 hub 1 Procesy Bezpieczeństwa Sieciowego 27

Segmentacja VLAN a tradycyjna segmentacja typowe sieci LAN są skonfigurowane w odniesieniu do fizycznej infrastruktury sieciowej, do której są przyłączone użytkownicy w tradycyjnej segmentacji pogrupowani są w odniesieniu do ich fizycznej lokalizacji w sieci, w relacji do koncentratora do którego są przyłączeni grupowanie użytkowników uzależnione jest również od układu instalacji sieciowej w budynku urządzeniem realizującym segmentację jest router Procesy Bezpieczeństwa Sieciowego 28

Segmentacja VLAN a tradycyjna segmentacja Konfiguracja VLAN realizowana jest przez oprogramowanie switcha Technologia VLAN nie jest standardem sieciowym i wymaga wsparcia ze strony producentów sprzętu sieciowego. Komunikacja pomiędzy VLAN ami jest realizowana poprzez routing w warstwie sieci modelu OSI VLAN dostarcza mechanizmy kontroli rozgłaszania sieciowego VLAN może zwiększyć bezpieczeństwo w sieci poprzez zdefiniowanie : które elementy sieci mogą się ze sobą komunikować Procesy Bezpieczeństwa Sieciowego 29

Rola routerów w VLAN Switche VLAN przejmują realizacje pewnych mechanizmów zarządzania siecią od routerów Routery w sieciach VLAN zapewniają połączenia pomiędzy różnymi sieciami VLAN Routery zapewniają również komunikację z innymi tradycyjnie podzielonymi częściami sieci ( segmentacja tradycyjna ) Integracja routerów zewnętrznych i architektury switching u za pomoca wysokowydajnych sieci szkieletowych. Procesy Bezpieczeństwa Sieciowego 30

Switching i filtrowanie w VLAN Switche VLAN są urządzeniami wyposażonymi w inteligentne mechanizmy służące do podejmowania decyzji odnośnie filtrowania i przekazywania dalej ramek. Decyzje te bazują na metrykach VLAN zdefiniowanych przez administratorów sieci Najbardziej popularnymi z podejść dla celów logicznego grupowania w segmenty VLAN są filtrowanie ramek oraz identyfikacja ramek ( frame tagging ) Bazując na zestawie zasad zdefiniowanych przez administratora obydwie techniki określają gdzie ma być ramka wysłana, czy ma być filtrowana lub rozgłaszana w sieci Procesy Bezpieczeństwa Sieciowego 31

Switching i filtrowanie w VLAN Filtrowanie ramek sprawdza szczegółowe informację o każdej ramce. Filtrowanie odbywa się za pomocą danych z tablicy filtrowania, która jest tworzona dla każdego switcha. Switch podczas procesu filtrowania porównuje informacje o ramce z wpisami w tablicy filtrowania i podejmuje właściwą akcję. Procesy Bezpieczeństwa Sieciowego 32

Switching i filtrowanie w VLAN Filtrowanie ramek Switche dzielą między sobą tablicę adresową Sieć szkieletowa Analogia do protokołów routingu Procesy Bezpieczeństwa Sieciowego 33

Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) - w procesie tym każdej ramce nadawany jest identyfikator. Identyfikatory przypisuje administrator switcha i są one umieszczone w nagłówkach ramek. Decyzja o przyjęciu bądź odrzuceniu ramki jest podejmowana przez switch po odczytaniu identyfikatora. Po zidentyfikowaniu ramki switch usuwa identyfikator i wysyła ramkę do punktu przeznaczenia. Procesy Bezpieczeństwa Sieciowego 34

Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) Procesy Bezpieczeństwa Sieciowego 35

Różne konfiguracje VLAN VLAN jest złożony z sieci przełączanej ( switched network ), która jest podzielona na logiczne segmenty w odniesieniu do funkcji, zespołów projektowych i apikacji. Każdy port w switchu przypisany jest do VLAN Przypisywanie portów switcha opiera się na trzech różnych metodach implementacji tej procedury Procesy Bezpieczeństwa Sieciowego 36

Różne konfiguracje VLAN Port-Centric VLAN Static VLAN Dynamic VLAN Procesy Bezpieczeństwa Sieciowego 37

Różne konfiguracje VLAN Port-Centric VLAN Port-Centric VLAN - w konfiguracji Port-Centric wszystkie końcówki sieciowe podłączone do tego samego VLAN mają ten sam identyfikator VLAN ID. warstwa sieci warstwa łącza danych Produkcja VLAN Marketing VLAN Sprzedaż VLAN warstwa fizyczna podłączone końcówki sieciowe piętro 1 piętro 2 piętro 3 Procesy Bezpieczeństwa Sieciowego 38

Różne konfiguracje VLAN Port-Centric VLAN Cechy konfiguracji typu Port-Centric użytkownicy sieci przypisani sa do portów switcha łatwość administracji VLAN zwiększone bezpieczeństwo przesyłania danych pomiędzy różnymi VLAN pakiety nie wydostają się do innych domen Procesy Bezpieczeństwa Sieciowego 39

Różne konfiguracje VLAN Static VLAN Static VLAN - w konfiguracji Static VLAN wszystkie końcówki sieciowe są statycznie przypisane do VLAN stacja zarządzająca Procesy Bezpieczeństwa Sieciowego 40

Różne konfiguracje VLAN Static VLAN Cechy konfiguracji typu Static VLAN porty statycznie przypisane do VLAN zmiany konfiguracji następują poprzez stację zarządzającą łatwa do konfigurowania i monitorowania zapewnia bezpieczeństwo w sieci Procesy Bezpieczeństwa Sieciowego 41

Różne konfiguracje VLAN Dynamic VLAN Dynamic VLAN - w konfiguracji Dynamic VLAN przypisania wszystkich końcówek sieciowych są automatycznie wyznaczane na podstawie adresów MAC, IP lub typu protokołu Nowa końcówka sieciowa MAC adres sprawdzany w bazie danych Serwer konfiguracji VLAN Procesy Bezpieczeństwa Sieciowego 42

Zalety sieci VLAN Łatwo przenosić stacje robocze w sieci LAN Łatwo dodawać stacje robocze do sieci LAN Łatwo zmieniać konfigurację sieci LAN Łatwo nadzorować ruch w sieci Zwiększyć bezpieczeństwo Procesy Bezpieczeństwa Sieciowego 43

Komunikacja pomiędzy VLANami Procesy Bezpieczeństwa Sieciowego 44

Typy VLAN-ów Procesy Bezpieczeństwa Sieciowego 45

Konfiguracja Łącza pomiędzy VLAN Procesy Bezpieczeństwa Sieciowego 46

Połączenie pomiędzy przełącznikami Procesy Bezpieczeństwa Sieciowego 47

Procesy Bezpieczeństwa Sieciowego 48

Procesy Bezpieczeństwa Sieciowego 49

Równoczesne transmisje w przewodniku Procesy Bezpieczeństwa Sieciowego 50

Sieci VLAN typu end-to-end Procesy Bezpieczeństwa Sieciowego 51

Statyczny VLAN Procesy Bezpieczeństwa Sieciowego 52

Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 53

Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 54

Różne konfiguracje VLAN Dynamic VLAN Cechy konfiguracji typu Dynamic VLAN dynamiczne przypisywanie portów na podstawie kilku parametrów sieciowych ( MAC, IP, potokoły ) automatyczna konfiguracja portów na podstawie konfiguracji VLAN małe nakłady pracy administratora sieci Procesy Bezpieczeństwa Sieciowego 55

Kontrola domen rozgłoszeniowych VLAN w połączeniu z routerami potrafi kontrolować i wyznaczać domeny rozgłoszeniowe. Domena rozgłoszeniowa 1 Domena rozgłoszeniowa 2 Procesy Bezpieczeństwa Sieciowego 56

Korzyści z zastosowania VLAN Korzyści z wykorzystywania VLAN wykorzystanie istniejących już urządzeń sieciowych (koncentratory) elastyczność w tworzeniu grup logicznych oraz w podłączaniu do nich użytkowników sieci łatwość administracji zwiększają możliwości współdzielenia łącza oraz zasobów pomiędzy użytkowników sieci Procesy Bezpieczeństwa Sieciowego 57

Konfigurowanie ustawień dotyczących bezpieczeństwa portu Procesy Bezpieczeństwa Sieciowego 58

Procesy Bezpieczeństwa Sieciowego 59

Procesy Bezpieczeństwa Sieciowego Wykład 7 KONIEC Procesy Bezpieczeństwa Sieciowego 60