PBS Wykład 7 1. Zabezpieczenie przełączników i dostępu do sieci LAN mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Procesy Bezpieczeństwa Sieciowego 1
Cele nauczania VLAN Trunking Inter-VLAN routing Potr-security
Idea VLAN
Segmentacja sieci LAN Segmentacja znacznie zmniejsza przeciążenie sieci w ramach poszczególnych segmentów. Procesy Bezpieczeństwa Sieciowego 4
Segmentacja sieci LAN za pomocą mostów Procesy Bezpieczeństwa Sieciowego 5
Segmentacja sieci LAN za pomocą routerów Procesy Bezpieczeństwa Sieciowego 6
Segmentacja sieci LAN za pomocą przełączników Procesy Bezpieczeństwa Sieciowego 7
Podstawy przełączania w sieciach LAN Procesy Bezpieczeństwa Sieciowego 8
Działanie przełącznika LAN Procesy Bezpieczeństwa Sieciowego 9
Opóźnienie przełącznika Ethernet Procesy Bezpieczeństwa Sieciowego 10
Przełączanie w warstwie 2 Procesy Bezpieczeństwa Sieciowego 11
Przełączanie w warstwie 3 Procesy Bezpieczeństwa Sieciowego 12
Przełączanie symetryczne Procesy Bezpieczeństwa Sieciowego 13
Przełączanie asymetryczne Procesy Bezpieczeństwa Sieciowego 14
Buforowanie w pamięci Buforowanie w oparciu o porty W przypadku buforowania opartego na portach ramki są przechowywane w kolejkach powiązanych z konkretnymi portami przychodzącymi. Buforowanie w pamięci współużytkowanej Powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Wymagana przez dany port ilość pamięci buforu jest przydzielana dynamicznie. Procesy Bezpieczeństwa Sieciowego 15
Dwie metody przełączania Procesy Bezpieczeństwa Sieciowego 16
Store-and-forward Procesy Bezpieczeństwa Sieciowego 17
Cut-through Procesy Bezpieczeństwa Sieciowego 18
Tryby transmisji ramek Procesy Bezpieczeństwa Sieciowego 19
Przełącznik sieciowy korzystający z pamięci CAM Procesy Bezpieczeństwa Sieciowego 20
Jak przełączniki i mosty filtrują ramki Procesy Bezpieczeństwa Sieciowego 21
Microsegmentation of the Network W celu zmniejszenia domeny kolizyjnej w sieci przełączniki stosują mikrosegmentację". Odbywa się to poprzez utworzenie dedykowanych segmentów sieci, czyli połączeń typu punkt-punkt". Przełącznik łączy w sobie te segmenty w sieć wirtualną. Procesy Bezpieczeństwa Sieciowego 22
Wstęp do technologii VLAN VLAN polega na logicznym grupowaniu za pomocą switch a sieciowego urządzeń sieciowych oraz użytkowników sieci LAN pod kątem sprawowanej funkcji, miejsca funkcjonowania czy też wykorzystywanej aplikacji Procesy Bezpieczeństwa Sieciowego 23
Wstęp do technologii VLAN Historia technologii VLAN TRENDY Ewolucja VLAN Inteligentne VLAN VLAN w sieciach kampusowych Pojedynczy switch Procesy Bezpieczeństwa Sieciowego 24
Wstęp do technologii VLAN W sieciach LAN, które wykorzystują przełączniki ( switche ), technologia VLAN jest tanim i efektywnym sposobem grupowania użytkowników danej sieci w wirtualne grupy robocze w odniesieniu do ich fizycznej lokalizacji w tej sieci. Procesy Bezpieczeństwa Sieciowego 25
Wstęp do technologii VLAN VLAN pracuje w warstwie drugiej oraz trzeciej modelu OSI. Warstwy modelu OSI 7 6 5 4 3 2 1 Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych fizyczna VLAN Procesy Bezpieczeństwa Sieciowego 26
Segmentacja VLAN a tradycyjna segmentacja Segmentacja tradycyjna Segmentacja VLAN hub 3 switch 3 Piętro 3 hub 2 switch 2 Piętro 2 ROUTER ROUTER switch 1 Piętro 1 hub 1 Procesy Bezpieczeństwa Sieciowego 27
Segmentacja VLAN a tradycyjna segmentacja typowe sieci LAN są skonfigurowane w odniesieniu do fizycznej infrastruktury sieciowej, do której są przyłączone użytkownicy w tradycyjnej segmentacji pogrupowani są w odniesieniu do ich fizycznej lokalizacji w sieci, w relacji do koncentratora do którego są przyłączeni grupowanie użytkowników uzależnione jest również od układu instalacji sieciowej w budynku urządzeniem realizującym segmentację jest router Procesy Bezpieczeństwa Sieciowego 28
Segmentacja VLAN a tradycyjna segmentacja Konfiguracja VLAN realizowana jest przez oprogramowanie switcha Technologia VLAN nie jest standardem sieciowym i wymaga wsparcia ze strony producentów sprzętu sieciowego. Komunikacja pomiędzy VLAN ami jest realizowana poprzez routing w warstwie sieci modelu OSI VLAN dostarcza mechanizmy kontroli rozgłaszania sieciowego VLAN może zwiększyć bezpieczeństwo w sieci poprzez zdefiniowanie : które elementy sieci mogą się ze sobą komunikować Procesy Bezpieczeństwa Sieciowego 29
Rola routerów w VLAN Switche VLAN przejmują realizacje pewnych mechanizmów zarządzania siecią od routerów Routery w sieciach VLAN zapewniają połączenia pomiędzy różnymi sieciami VLAN Routery zapewniają również komunikację z innymi tradycyjnie podzielonymi częściami sieci ( segmentacja tradycyjna ) Integracja routerów zewnętrznych i architektury switching u za pomoca wysokowydajnych sieci szkieletowych. Procesy Bezpieczeństwa Sieciowego 30
Switching i filtrowanie w VLAN Switche VLAN są urządzeniami wyposażonymi w inteligentne mechanizmy służące do podejmowania decyzji odnośnie filtrowania i przekazywania dalej ramek. Decyzje te bazują na metrykach VLAN zdefiniowanych przez administratorów sieci Najbardziej popularnymi z podejść dla celów logicznego grupowania w segmenty VLAN są filtrowanie ramek oraz identyfikacja ramek ( frame tagging ) Bazując na zestawie zasad zdefiniowanych przez administratora obydwie techniki określają gdzie ma być ramka wysłana, czy ma być filtrowana lub rozgłaszana w sieci Procesy Bezpieczeństwa Sieciowego 31
Switching i filtrowanie w VLAN Filtrowanie ramek sprawdza szczegółowe informację o każdej ramce. Filtrowanie odbywa się za pomocą danych z tablicy filtrowania, która jest tworzona dla każdego switcha. Switch podczas procesu filtrowania porównuje informacje o ramce z wpisami w tablicy filtrowania i podejmuje właściwą akcję. Procesy Bezpieczeństwa Sieciowego 32
Switching i filtrowanie w VLAN Filtrowanie ramek Switche dzielą między sobą tablicę adresową Sieć szkieletowa Analogia do protokołów routingu Procesy Bezpieczeństwa Sieciowego 33
Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) - w procesie tym każdej ramce nadawany jest identyfikator. Identyfikatory przypisuje administrator switcha i są one umieszczone w nagłówkach ramek. Decyzja o przyjęciu bądź odrzuceniu ramki jest podejmowana przez switch po odczytaniu identyfikatora. Po zidentyfikowaniu ramki switch usuwa identyfikator i wysyła ramkę do punktu przeznaczenia. Procesy Bezpieczeństwa Sieciowego 34
Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) Procesy Bezpieczeństwa Sieciowego 35
Różne konfiguracje VLAN VLAN jest złożony z sieci przełączanej ( switched network ), która jest podzielona na logiczne segmenty w odniesieniu do funkcji, zespołów projektowych i apikacji. Każdy port w switchu przypisany jest do VLAN Przypisywanie portów switcha opiera się na trzech różnych metodach implementacji tej procedury Procesy Bezpieczeństwa Sieciowego 36
Różne konfiguracje VLAN Port-Centric VLAN Static VLAN Dynamic VLAN Procesy Bezpieczeństwa Sieciowego 37
Różne konfiguracje VLAN Port-Centric VLAN Port-Centric VLAN - w konfiguracji Port-Centric wszystkie końcówki sieciowe podłączone do tego samego VLAN mają ten sam identyfikator VLAN ID. warstwa sieci warstwa łącza danych Produkcja VLAN Marketing VLAN Sprzedaż VLAN warstwa fizyczna podłączone końcówki sieciowe piętro 1 piętro 2 piętro 3 Procesy Bezpieczeństwa Sieciowego 38
Różne konfiguracje VLAN Port-Centric VLAN Cechy konfiguracji typu Port-Centric użytkownicy sieci przypisani sa do portów switcha łatwość administracji VLAN zwiększone bezpieczeństwo przesyłania danych pomiędzy różnymi VLAN pakiety nie wydostają się do innych domen Procesy Bezpieczeństwa Sieciowego 39
Różne konfiguracje VLAN Static VLAN Static VLAN - w konfiguracji Static VLAN wszystkie końcówki sieciowe są statycznie przypisane do VLAN stacja zarządzająca Procesy Bezpieczeństwa Sieciowego 40
Różne konfiguracje VLAN Static VLAN Cechy konfiguracji typu Static VLAN porty statycznie przypisane do VLAN zmiany konfiguracji następują poprzez stację zarządzającą łatwa do konfigurowania i monitorowania zapewnia bezpieczeństwo w sieci Procesy Bezpieczeństwa Sieciowego 41
Różne konfiguracje VLAN Dynamic VLAN Dynamic VLAN - w konfiguracji Dynamic VLAN przypisania wszystkich końcówek sieciowych są automatycznie wyznaczane na podstawie adresów MAC, IP lub typu protokołu Nowa końcówka sieciowa MAC adres sprawdzany w bazie danych Serwer konfiguracji VLAN Procesy Bezpieczeństwa Sieciowego 42
Zalety sieci VLAN Łatwo przenosić stacje robocze w sieci LAN Łatwo dodawać stacje robocze do sieci LAN Łatwo zmieniać konfigurację sieci LAN Łatwo nadzorować ruch w sieci Zwiększyć bezpieczeństwo Procesy Bezpieczeństwa Sieciowego 43
Komunikacja pomiędzy VLANami Procesy Bezpieczeństwa Sieciowego 44
Typy VLAN-ów Procesy Bezpieczeństwa Sieciowego 45
Konfiguracja Łącza pomiędzy VLAN Procesy Bezpieczeństwa Sieciowego 46
Połączenie pomiędzy przełącznikami Procesy Bezpieczeństwa Sieciowego 47
Procesy Bezpieczeństwa Sieciowego 48
Procesy Bezpieczeństwa Sieciowego 49
Równoczesne transmisje w przewodniku Procesy Bezpieczeństwa Sieciowego 50
Sieci VLAN typu end-to-end Procesy Bezpieczeństwa Sieciowego 51
Statyczny VLAN Procesy Bezpieczeństwa Sieciowego 52
Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 53
Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 54
Różne konfiguracje VLAN Dynamic VLAN Cechy konfiguracji typu Dynamic VLAN dynamiczne przypisywanie portów na podstawie kilku parametrów sieciowych ( MAC, IP, potokoły ) automatyczna konfiguracja portów na podstawie konfiguracji VLAN małe nakłady pracy administratora sieci Procesy Bezpieczeństwa Sieciowego 55
Kontrola domen rozgłoszeniowych VLAN w połączeniu z routerami potrafi kontrolować i wyznaczać domeny rozgłoszeniowe. Domena rozgłoszeniowa 1 Domena rozgłoszeniowa 2 Procesy Bezpieczeństwa Sieciowego 56
Korzyści z zastosowania VLAN Korzyści z wykorzystywania VLAN wykorzystanie istniejących już urządzeń sieciowych (koncentratory) elastyczność w tworzeniu grup logicznych oraz w podłączaniu do nich użytkowników sieci łatwość administracji zwiększają możliwości współdzielenia łącza oraz zasobów pomiędzy użytkowników sieci Procesy Bezpieczeństwa Sieciowego 57
Konfigurowanie ustawień dotyczących bezpieczeństwa portu Procesy Bezpieczeństwa Sieciowego 58
Procesy Bezpieczeństwa Sieciowego 59
Procesy Bezpieczeństwa Sieciowego Wykład 7 KONIEC Procesy Bezpieczeństwa Sieciowego 60