Автор работы: Пользователь скрыл имя, 06 Мая 2015 в 23:07, курсовая работа
В сегодняшней экономике доходность и мобильность предприятий и организаций являются важнейшими факторами их существования и развития в условиях жесткой конкуренции. Чтобы деятельность предприятий оставалась эффективной и доходной, они должны быть гибкими по отношению к изменениям в деловом климате, а их деловые операции должны проводится динамично, чтобы быстро реагировать на эти изменения. Коммерческие и некоммерческие организации, финансовые институты и предприятия должны становиться все более маневренными, чтобы уменьшить используемые ими ресурсы и увеличить эффективность их использования. Для этого выполнение работы должно производиться как можно меньшим количеством людей, а временные рабочие группы, создаваемые для решения какой-либо задачи, должны быть переформированы при ее завершении.
Внутренний трафик (Progress Traffic). Кадр с "ярлыком" коммутируется точно так же, как и без "ярлыка". Решения о его принадлежности к той или иной VLAN принимаются в пограничных элементах сети и остальные сетевые устройства индифферентно "относятся" к тому, как именно кадр попал в сеть. Так как максимальный размер кадра Ethernet остался неизменным, то пакеты всех VLAN смогут обрабатываться традиционными коммутаторами и маршрутизаторами внутренней части сети.
Трафик выходного порта (Egress Port). Чтобы попасть в межсетевой маршрутизатор или в оконечную рабочую станцию, кадр должен выйти за пределы коммутируемой сети. Ее выходное устройство "решает", какому порту (или портам) нужно передать пакет и есть ли необходимость удалять из него служебную информацию, предусмотренную стандартом 802.1Q. Дело в том, что традиционные рабочие станции не всегда воспринимают информацию о VLAN по стандарту 802.1Q, но сервер, обслуживающий несколько подсетей с помощью единственного интерфейса, должен ее активно использовать.
Условное деление трафика на внутренний, а также входного и выходного портов позволяет поставщикам нестандартных реализаций VLAN создавать шлюзы для их стыковки с ВЛВС, соответствующими стандарту 802.1Q.
1.6. Использование спецификации LANE
Существует два способа построения виртуальных сетей, которые используют уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а ячейкам технологии АТМ или пакетам сетевого уровня.
Спецификация LANE вводит такое понятие как эмулируемая локальная сеть - ELAN. Это понятие имеет много общего с понятием виртуальной сети:
ELAN строится в сети, состоящей из коммутаторов (коммутаторов АТМ);
связь между узлами одной и той же ELAN осуществляется на основе МАС-адресов без привлечения сетевого протокола;
трафик, генерируемый каким-либо узлом определенной ELAN, даже широковещательный, не выходит за пределы данной ELAN.
Кадры различных ELAN не свешиваются друг с другом внутри сети коммутаторов АТМ, так как они передаются по различным виртуальным соединениям и номер виртуального соединения VPI/VCI является тем же ярлыком, который помечает кадр определенной VLAN в стандарте 802.1Q и аналогичных фирменных решениях.
Если VLAN строятся в смешанной сети, где имеются не только коммутаторы АТМ, то "чистые" коммутаторы локальных сетей, не имеющие АТМ-интерфейсов, должны использовать для создания виртуальной сети один из выше перечисленных методов, а пограничные коммутаторы, имеющие наряду с традиционными еще и АТМ-интерфейсы, должны отображать номера VLAN на номера ELAN при передаче кадров через сеть АТМ.
1.7. Использование сетевого протокола
При использовании этого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами 3-го уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес - как правило, IP или IPX.
Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры, к тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях. Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом - с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.
При передаче кадров в пределах одной и той же виртуальной сети коммутаторы 3-го уровня работают как классические коммутаторы 2-го уровня, а при необходимости передачи кадра из одной виртуальной сети в другую - как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом - его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.
Однако, использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и это является большим недостатком. За бортом также остаются сети на основе немаршрутизируемых протоколов, в первую очередь сети NetBIOS.
По этим причинам наиболее гибким подходом является комбинирование виртуальных сетей на основе стандартов 802.1 Q/p с последующим их отображением на "традиционные сети" в коммутаторах 3-го уровня или маршрутизаторах. Для этого коммутаторы третьего уровня и маршрутизаторы должны понимать метки стандарта 802.1 Q.
1.8 Виртуальная частная сеть (VPN)
Виртуальные частные сети (VPN) представляют собой подключения типа «точка-точка» в частной или публичной сети, например в Интернете. VPN-клиент использует для виртуального обращения на виртуальный порт VPN-сервера специальные протоколы на основе TCP/IP, которые называются туннельными протоколами. При обычной реализации VPN клиент инициирует по Интернету виртуальное подключение типа «точка-точка» к серверу удаленного доступа. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации.
Для эмуляции канала типа «точка-точка» к данным добавляется заголовок (выполняется инкапсуляция). Этот заголовок содержит сведения маршрутизации, которые обеспечивают прохождение данных по общей или публичной сети до конечного пункта. Для эмуляции частного канала и сохранения конфиденциальности передаваемые данные шифруются. Пакеты, перехваченные в общей или публичной сети, невозможно расшифровать без ключей шифрования. Такой канал, по которому частные данные передаются в инкапсулированном и зашифрованном виде, и называется VPN-подключением.
Существует два типа VPN-подключений:
VPN-подключение удаленного доступа;
VPN-подключение типа «сеть-сеть».
VPN-подключение удаленного доступа
VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети с помощью инфраструктуры публичной сети, например Интернета. С точки зрения пользователя, VPN-подключение представляет собой подключение типа «точка-точка» между компьютером (VPN-клиентом) и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, поскольку данные передаются подобно тому, как если бы они передавались по выделенному частному каналу.
VPN-подключение типа «сеть-сеть»
VPN-подключения типа «сеть-сеть» (также называются VPN-подключения типа «маршрутизатор-маршрутизатор») позволяют организациям устанавливать маршрутизируемые подключения между отдельным офисами (или между другими организациями) по публичной сети, при этом обеспечивая безопасность связи. Маршрутизируемое VPN-подключение по Интернету логически подобно выделенному каналу глобальной сети (WAN). В случае, когда сети соединены по Интернету, как показано на следующем рисунке, маршрутизатор переадресует пакеты другому маршрутизатору через VPN-подключение. С точки зрения маршрутизаторов VPN-подключение работает как канал уровня передачи данных.
VPN-подключение типа «сеть-сеть» связывает два сегмента частной сети. VPN-сервер обеспечивает маршрутизируемое подключение к сети, к которой прикреплен VPN-сервер. Вызывающий маршрутизатор (VPN-клиент) проходит проверку подлинности на отвечающем маршрутизаторе (VPN-сервере) и, в целях взаимной проверки подлинности, отвечающий маршрутизатор проходит проверку подлинности на вызывающем маршрутизаторе. При VPN-подключении типа «сеть-сеть» пакеты, отсылаемые с любого из маршрутизаторов через VPN-подключение, обычно формируются не на маршрутизаторах.
Свойства VPN-подключений
VPN-подключения, использующие протоколы PPTP, L2TP/IPsec и SSTP, имеют следующие свойства.
Инкапсуляция
Проверка подлинности
Шифрование данных
Инкапсуляция
VPN-технология обеспечивает инкапсуляцию частных данных с заголовком, содержащим сведения маршрутизации для передачи этих данных по транзитной сети. Примеры инкапсуляции см. в разделе Туннельные протоколы VPN.
Проверка подлинности
Существует три различные формы проверки подлинности для VPN-подключений.
Проверка подлинности на уровне пользователя по протоколу PPP
Для установления VPN-подключения VPN-сервер выполняет проверку подлинности VPN-клиента, пытающегося установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN-клиент требуемую авторизацию. При взаимной проверке подлинности VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защиту от компьютеров, выдающих себя за VPN-серверы.
Проверка подлинности на уровне компьютера по протоколу IKE
Для установления сопоставления безопасности IPsec VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительным ключом. В обоих случая VPN-клиент и VPN-сервер выполняют взаимную проверку подлинности на уровне компьютера. Настоятельно рекомендуется выбирать проверку подлинности по сертификату компьютера из-за большей безопасности этого метода. Проверка подлинности на уровне компьютера выполняется только для подключений L2TP/IPsec.
Проверка подлинности источника данных и обеспечение целостности данных.
Чтобы убедиться в том, что источником отправленных по VPN-подключению данных является другая сторона VPN-подключения и что они переданы в неизменном виде, данные содержат контрольную сумму шифрования, основанную на ключе шифрования, который известен только отправителю и получателю. Проверка подлинности источника данных и обеспечение целостности данных доступны только для подключений L2TP/IPsec.
Шифрование данных
Для обеспечения конфиденциальности данных при передаче по общей или публичной транзитной сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.
Содержание перехваченных пакетов, отправленных по VPN-подключению в транзитной сети, понятно только владельцам общего ключа. Длина ключа шифрования - это важный параметр безопасности. Для определения ключа шифрования можно использовать вычислительную технику. Однако при возрастании размера ключей шифрования использование подобной техники требует большей вычислительной мощности и большего времени для выполнения этих вычислений. Поэтому для гарантии конфиденциальности данных рекомендуется использовать наибольший возможный ключ.
2. Технологии построения виртуальных сетей
2.1. Технология построения виртуальных сетей компании Cabletron Systems
Подход компании Cabletron Systems к технологии виртуальных сетей и стратегии построения сетей основан на следующих принципах:
• защита инвестиций клиентов (долгий срок морального старения сетевых продуктов, интеграция старых и новых технологий)
• существенное уменьшение стоимости администрирования сети (интеллектуальные средства управления)
• построение ориентированных на соединения виртуальных сетей, которые поддерживают любую топологию ЛВС
Компания проповедует стратегию построения виртуальных сетей, которая предоставляет пользователям возможность плавного перехода от традиционных локальных сетей к коммутируемым виртуальным сетям, что позволяет пользователям мигрировать к технологии виртуальных сетей в их собственном темпе. Такой подход заложен в корпоративной концепции, называемой Smart Network. Smart Network используется как название архитектуры виртуальных сетей и стратегии организации сетей, синтезирующей функции многопротокольного маршрутизатора в сети без недостатков, присущих маршрутизаторам.
Концепция Smart Network основывается как на действующих стандартах (например, 802.1d/p/Q), на дальнейшем развитии этих стандартов, так и на своих собственных фирменных разработках. В данной главе описывается концепция Smart Network в части фирменной технологии SecureFast Virtual Networking, состоящей из нескольких основных элементов:
1. Инфраструктура - физический уровень сети, которая включает концентраторы, коммутаторы LAN и ATM, средства интеграции SNA/LAN, маршрутизаторы, и технологию защищенной быстрой коммутации пакетов (SecureFast Packet Switching -SFPS).
2. Автоматизированное управление SecureFast Virtual Network Services (SFVNS) которое включает:
• службу управления доступом к сетевой среде (Policy Management Service)
• службу управления соединениями между узлами (Call Management Service)
• службу учета вызовов на установление соединений (Call Accounting Service)
Создаваемая виртуальная сеть представляет собой широковещательный домен (широковещательные пакеты не выходят за пределы виртуальной группы), формируемый по двум признакам:
1. На основе назначения
2. На основе МАС-адресов
В отличии от стандартных 802.1 Q коммутаторов, ориентируемые на соединения коммутаторы, работающие по технологии SFPS, используют систему автоматического управления соединениями (Automated Connection Management System - ACMS). Коммутаторы SFPS используют алгоритм установления соединения подобный тому, который функционирует в сетях ATM. Программные агенты SFS, работающие как часть программного обеспечения коммутаторов (firmware), перехватывают и транслируют запросы сетевого уровня в запросы, аналогичные запросам установления соединения ATM UNI. Широковещательные пакеты от любого клиента, типа ARP-запросов пользователя или сервера, перехватываются SFS-агентом коммутатора. Таким образом, в сети не возникает неконтролируемый широковещательный трафик. Любые адресные пакеты, которым не находится соответствия в базе данных подключений коммутатора, также не рассылаются по сети, а обрабатываются SFS-агентом. SFS-агенты используют адреса уровня MAC и сетевого уровня, содержащиеся в каждом пакете, чтобы в соответствии со своими таблицами адресов обнаружить, где и на каком порту находится конечный пользователь. Эта функция названа исследованием конечного адреса станции. SFS-агенты посылают информацию, полученную в процессе такого исследования другим агентам для модификации их таблиц, каждый раз, когда новая станция обнаружена на любом порту коммутатора. Это позволяет службе ACMS обучаться адресам новых конечных пользователей и следить за пользователями, которые перемещаются от одного порта на другой. SecureFast VNS - это сервис, который функционирует как часть программного обеспечения коммутатора и распределяет обычные функциональные возможности маршрутизации по всей сети, позволяет администраторам сетей легко производить переконфигурацию сети (добавление, изменение и удаление пользователей, контроль полосы пропускания, осуществлять стратегии предоставления прав доступа и безопасности).