Вы находитесь на странице: 1из 12

Введение.

На сегодняшний день в глобальной сети можно насчитать более 2


миллиардов персональных компьютеров, которые имеют возможность
выхода в сеть, и более 90% из них объединены и успешно внедрены в сети
различного масштба от малых локальных сетей на предприятиях до
глобальной сети Internet.

Актуальность объединения компьютеров в сети объясняется многими факто


рами, например, такими, как: передача больших по объему данных,
получение и отправление электронных писем, сообщений, документов
печати, факсов, медиа-файлов различных форматов, возможность проводить
видео- трансляции, которые требуют стабильного и быстрого подключения,
способность получить любую информацию из любой точки мира не покидая
своего рабочего места, а также, обмен информацией между устройствами
разных фирм, разных производителей, которые работают под разным
программным обеспечением и операционными системами.

Сейчас сложно вообразить, что существуют компании или предприятия,


которые не оснащены доступом в Internet вне зависимости от масштабов и
количества сотрудников. Казалось бы, нужно систематизировать и
организовать сам доступ, чтобы сеть использовалась для своих
непосредственных действий и использования сотрудниками, простая задача,
но когда владельцу компании приходят счета, превышающие расчетные, а
один из отделов начинает жаловаться на непривычно долгие задержки во
время отправки документации, встает вопрос о грамотности использования
трафика. Неконтролируемый доступ к выделенному каналу может приносить
также и косвенные убытки, в связи с перегрузкой локальной сети, её
компонентов и связанными с сетью Internet, злоупотреблениями.

В данной курсовой работе я хочу подтвердить важность и актуальность


необходимости разграничения трафика в локальных сетях.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
4
1. Необходимость разграничения трафика в локальных сетях.

Использование сетей для работы и оптимизации процесса несет в себе


огромные потенциальные возможности, а вместе с ними и довольно
обширные требования к оборудованию и качеству поставляемых услуг. В
связи с этим, проблемы с корректной настройкой конфигурации, политиками
и регламентами использования, нерациональное использование полосы
пропускания (особенно в масштабных сетях) могут повлечь за собой
неисправности и снижение качества рабочего процесса. Чтобы избежать
всего этого, необходимо уделять внимание грамотной настройке
оборудования и правильному ограничению области распространения
широковещательного трафика (так же можно назвать данную область
широковещательным доменом) – организации небольших
широковещательных доменов, или виртуальных локальных сетей (Virtual
LAN, VLAN).

Виртуальной локальной сетью (Virtual Local Area Network, VLAN)


называется логическая группа узлов сети, трафик которой, в том числе и
широковещательный, на канальном уровне полностью изолирован от других
узлов сети. Это означает, что передача кадров между различными
виртуальными сетями на основании МАС-адреса невозможна независимо от
типа адреса: уникального, группового или широковещательного. В то же
время, внутри виртуальной локальной сети кадры передаются по технологии
коммутации: только на тот порт, который связан с адресом назначения кадра.

Таким образом, с помощью VLAN разрешается проблема


распространения широковещательных кадров и вызываемых ими следствий,
которые могут развиться в широковещательные штормы, коллизии и
существенно снизить производительность сети.

Если задаться вопросом, зачем нужны в данном сегменте виртуальные


локальные сети, то можно выделить несколько пунктов:

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
5
 Проектирование и построение сети, у которой логическая
структура не отличается от физической.

 Возможность разбиения одного широковещательного домена,


которым, собственно, VLAN и является, на несколько: трафик
одного домена не проходит в другой, и, наоборот, при этом
происходит снижение нагрузки на сетевые устройства.

 Использование логических интерфейсов для маршрутизации.

 Применение различных политик, ограничений и конфигураций на


устройствах внутри одной VLAN.

 Гибкость и удобство внедрения.

 Повышение безопасности сети, определив с помощью фильтров,


настроенных на коммутаторе или маршрутизаторе, политику
взаимодействия пользователей и ограничения из разных
виртуальных сетей.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
6
2. OSI Network layer: кадры Ethernet VLAN IEEE 802.1Q.

2.1. Международный стандарт OSI.

Все сетевые устройства работают, основываясь на международном


стандарте OSI - Open System Interconnection, который определяет различные
уровни взаимодействия систем для единой налаженной и стабильной работы.
Основная идея этой модели заключается в том, что каждому уровню
передачи данных соответствует свой способ передачи и обработки, а любой
протокол модели OSI взаимодействует либо с протоколами своего уровня,
либо с протоколами на единицу выше и/или ниже своего уровня.

На таблице №1 отображены все 7 уровней модели.

Среди всех перечиленных нас будет интересовать второй уровень:


канальный, на котором происходит передача кадров. В процессе
формирования кадров данные снабжаются служебной информацией
(заголовком), необходимой для корректной доставки получателю. К
протоколам канального уровня относятся DSL, Ethernet, PPP, PPPoE, среди
которых подробнее будет рассматриваться Ethernet.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
7
Таблица №1. Уровни модели OSI.

Уровень Тип данных Функция, примеры Примеры


использования использования.

Физический Биты Работа со средой USB, RJ-45.


передачи, сигналами и
двоичными данными.
Канальный Кадры Физическая адресация. PPP, IEEE 802,
Ethernet, DSL,
ARP.
Сетевой Пакеты Определение маршрута и IPv4, IPv6.
логическая адресация.
Транспортный Сегменты и Прямая связь между TCP, UDP.
дейтаграммы пунктами и надежность.
Сеансовый Данные Управление сеансами RPC, PAP.
связи.
Представления Данные Представление и ASCII, EBCDIC.
шифрование данных.
Прикладной Данные Доступ к сетевым HTTP, POP3,
службам. FTP.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
8
2.2 Стандарт IEEE 802.1Q.

Достоинством технологии виртуальных сетей является то, что она


позволяет создавать полностью изолированные сегменты сети путем
логического конфигурирования коммутаторов, не прибегая к изменению
физической структуры. Для использования VLAN используется IEEE 802.1Q
— открытый стандарт, который описывает процедуру тегирования трафика
для передачи информации о принадлежности к VLAN. До принятия этого
стандарта существовало много фирменных протоколов этого типа, но все они
имели один недостаток — оборудование различных производителей при
образовании VLAN оказывалось несовместимым. Стандарт IEEE 802.1Q
вводит в кадре Ethernet дополнительный заголовок, который называется
тегом виртуальной локальной сети.

2.3 Структура тегированного VLAN кадра Etherner.

Тег виртуальной локальной сети состоит из поля TCI (Tag Control


Information — управляющая информация тега) размером в 2 байта и
предшествующего ему поля EtherType, которое является стандартным для
кадров Ethernet и также состоит из 2 байт, что можно увидеть на рис. №1.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
9
Рис. №1.

Тег VLAN не является обязательным для кадров Ethernet. Кадр, у


которого имеется такой заголовок, называют помеченным (tagged frame).
Коммутаторы могут одновременно работать как с помеченными, так и с
непомеченными кадрами. Из-за добавления тега VLAN максимальная длина
поля данных уменьшилась на 4 байта. Для того чтобы оборудование
локальных сетей могло отличать и понимать помеченные кадры, для них
введено специальное значение поля EtherType, равное 0x8100. Это значение
говорит о том, что за ним следует поле TCI, а не стандартное поле данных.

Обратите внимание, что в помеченном кадре за полями тега VLAN


следует другое поле EtherType, указывающее тип протокола, данные
которого переносятся полем данных кадра. В поле TCI находится 12-битное
поле номера (идентификатора) VLAN, называемого VID. Разрядность поля
VID позволяет коммутаторам создавать до 4096 виртуальных сетей.

Помимо этого, в поле TCI помещено 3-битное поле приоритета кадра.


Однобитное поле CFI было введено с целью поддержания специального
формата кадра Token Ring, для сетей Ethernet оно должно содержать
значение 0. Пользуясь значением VID в помеченных кадрах, коммутаторы
сети выполняют групповую фильтрацию трафика, разбивая сеть на
виртуальные сегменты, то есть на VLAN. Для поддержки этого режима
каждый порт коммутатора приписывается к одной или нескольким
виртуальным локальным сетям, то есть выполняется группировка портов.
Поле приоритета предназначено для согласованного обеспечения качества
обслуживания (QoS) различных классов трафика.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
10
3. Безопасность VLAN: виды сетевых угроз.

Безопасность VLAN — это организованное использование VLAN, в


случае которого невозможно или сильно затруднена возможность
несанкционированно получить доступ к трафику, передающемся во всех
VLAN за исключением тех, к которым доступ разрешён. Распространено то,
что достаточно изолировать трафик внутри отдельной виртуальной сети и
становится полностью не возможным ни просмотреть, ни модифицировать
его другим пользователям и участникам сети, которые не имеют прямого
доступа к этому VLAN. Несмотря на это, из-за некорректной настройки
оборудования могут открыться уязвимости, которые проявят себя при атаках
путем хоппинга или двойной метки, являющимся самыми
распространенными атаками, нацеленными на проникновение в VLAN.

3.1 VLAN-hopping (прыжки).

Атака VLAN-hopping может происходить одним из двух способов.


Первый из них: сетевой коммутатор настроен на автоматические загрузку и
запуск, то злоумышленник превращает его в коммутатор, который начинает
выглядеть так, как будто бы ему постоянно требуется транкинг (доступ ко
всем VLAN, разрешенным для магистрального порта). В протоколе Cisco
DTP восприимчивость системы к такой форме прыжков VLAN может быть
сведена к минимуму с помощью выключения функции автоматического
транкинга (DTP в режиме «off») на всех коммутаторах, которым не требуется
доступ ко всем VLAN. Во второй форме перескоков VLAN-взломщик
передает данные через один коммутатор другому, отправляя кадры с двумя
тегами 802.1Q, где один предназначен для атакующего коммутатора, а
другой для коммутатора-жертвы. Это заставляет жертву переключаться на
мысль, что для нее предназначена определенная рамка. Затем, целевой
коммутатор отправляет кадр вдоль порта жертвы.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
11
3.2 Двойное тегирование кадра.

В этой атаке злоумышленник, который подключен к собственному


порту VLAN коммутатора, добавляет в кадровый заголовок сразу два тега
VLAN. Первый тег относится к собственной VLAN, а второй – к целевой.
Когда первый коммутатор получает кадры атакующего, он удаляет первый
тег, поскольку кадры собственной VLAN пересылаются без тега на
магистральный порт.

Так как второй тег никогда не удалялся первым коммутатором,


получающий коммутатор опознает оставшийся тег как пункт назначения
VLAN и перенаправляет кадры целевому хосту. Атака двойного тегирования
использует концепт собственной VLAN. Поскольку VLAN 1 является
виртуальной сетью по умолчанию для портов доступа, и собственной
виртуальной сетью по умолчанию на линиях, это довольно простая цель.

Первой мерой предотвращения является удаление всех портов доступа


из VLAN 1 по умолчанию, поскольку порт злоумышленника должен
совпадать с портом собственной VLAN коммутатора. Вторая мера это
назначение собственной VLAN на всех магистралях коммутатора
неиспользуемой на данный момент VLAN, скажем, VLAN 320. И, в итоге,
все коммутаторы должны быть настроены для выполнения тегирования
собственных кадров VLAN на магистральном порту.

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
12
ЧАСТЬ ВТОРАЯ: ПРАКТИКА. ВВЕДЕНИЕ ПО DTP\VTP.

В сети, состоящей из большого количества коммутаторов и не


разделенной на подсети маршрутизаторами, полностью ручное
конфигурирование VLAN может приводить к ошибкам из-за
несогласованности информации об активных сетях VLAN на различных
коммутаторах, особенно если их конфигурируют разные администраторы.
Существует несколько протоколов, позволяющих частично автоматизировать
конфигурирование VLAN в сети.

VTP.

Cisco VLAN Trunking Protocol. Этот протокол является фирменным


протоколом компании Cisco и работает только на коммутаторах этой
компании. Коммутаторы Cisco поддерживают модель «транк — линии
доступа», а протокол VTP позволяет по транковым связям передавать
информацию о сетях VLAN, активизированных на одном из коммутаторов,
другим коммутаторам сети. Поэтому администратору достаточно добавить
(или удалить) VLAN на одном из коммутаторов сети, после чего все
остальные коммутаторы сети получат информацию о добавлении (удалении)
VLAN с данным номером и произведут соответствующие изменения в своих
конфигурационных записях. Для удобства администрирования больших
сетей в протоколе VTP существует понятие домена — все сообщения
протокола VTP воспринимаются коммутаторами только одного и того же
домена (имя домена и его пароль конфигурируются на каждом коммутаторе
вручную). Приписывание VLAN порту доступа при работе протокола VTP
по-прежнему выполняется вручную. Порты, работающие в режиме транка,
приписывают номера VLAN к транку (работающему в избирательном
режиме) динамически. При этом протокол VTP автоматически выполняет
отсечение номера VLAN для транков некоторого домена, если в данном
домене этот номер не приписан ни одному из его портов доступа (это

Изм. Лист № докум. Подпись Дата Лист


МПТ 09.02.02 ПЗ XX КР
13
свойство называется VTP pruning). Свои VTP-объявления коммутаторы
рассылают с использованием группового адреса.

DTP.

DTP (Динамический протокол транкинга) – проприетарный протокол


компании Cisco для автоматического согласования каналов связи между
коммутаторами. Протокол DTP может использоваться для установления
транкового соединения между коммутаторами динамически.

Режим Описание
Порт коммутатора, сконфигурированный в режиме dynamic
desirable, будет активно пытаться преобразовать соединение в
транковое соединение средствами протокола DTP. Если этот
порт, подключенный к другому порту, умеет формировать транк,
будет установлено транковое соединение.
dynamic
desirable Интерфейс, сконфигурированный в этом режиме, будет
генерировать DTP-сообщения. Если коммутатор получает DTP-
сообщения от другого коммутатора, предполагается, что другая
сторона в состоянии обрабатывать фреймы с метками, и между
двумя коммутаторами будет образовано транковое соединение.
Порт коммутатора, сконфигурированный в режиме dynamic auto,
может образовывать транковое соединение, если интерфейс
другого коммутатора настроен на тот же режим и может
взаимодействовать с каналом связи по протоколу DTP.
dynamic
auto Интерфейс коммутатора, настроенный в этом режиме, не будет
генерировать DTP-сообщения, а будет работать в пассивном
режиме на прием DTP-сообщений от другого коммутатора. Если
поступили DTP-сообщения с другого интерфейса, будет
образовано транковое соединение.
Интерфейс коммутатора, сконфигурированный в режиме trunk,
работает исключительно в режиме транка. Интерфейс в этом
trunk
режиме может взаимодействовать с интерфейсом другого
коммутатора для формирования транковой связи.
В этом режиме отключена рассылка DTP-пакетов с интерфейса.
nonegotiate Режим nonegotiate возможен только когда switchport интерфейса
находится в режиме access или trunk. Протокол DTP отключен.
Интерфейс коммутатора, сконфигурированный в режиме access,
не будет работать в режиме транкинга, и порт будет работать в
access
режиме access. Во фреймах метки использоваться не будут. Порт
в режиме access принадлежит VLAN.
Изм. Лист № докум. Подпись Дата Лист
МПТ 09.02.02 ПЗ XX КР
14
Изм. Лист № докум. Подпись Дата Лист
МПТ 09.02.02 ПЗ XX КР
15