Обеспечение безопасности сетей при помощи маршрутизаторов и коммутаторов

Обеспечение безопасности сетей при помощи маршрутизаторов и коммутаторов Занятие 5. Практикум. Обеспечение маршрутизации между VLAN. Совместное использование VLAN и VPN

Возможности коммутаторов по защите от НСД (повторение) • Поддержка VLAN с группировкой портов • Поддержка VLAN на основе 802. 1 Q • Привязка MAC-адресов к портам • Списки контроля доступа 2

Традиционные возможности маршрутизаторов (повторение) • • • Маршрутизация между VLAN Организация зонирования сети Организация VPN Использование Qo. S Защита протоколов маршрутизации 3

Область применимости VLAN и VPN • VLAN: – В составе локальной сети, в т. ч. коммутируемой – Обеспечивается раздельность потоков данных в рамках одной физической линии • VPN (наложенные): – В сетях любого уровня, в т. ч. Интернет – Обеспечивается передача защищённых данных в открытых сетях • VPN (выделенные) – Создаётся физически защищённый канал «точка» 4

Маршрутизация между VLAN • VLAN на основе группировки портов – Обычная задача маршрутизации между портами • VLAN на основе 802. 1 Q – Задача маршрутизации трафика по одному и тому же порту 5

Маршрутизация между VLAN с группировкой портов VLAN 1 Коммутатор SW 1 VLAN 2 Маршрутизатор RT 1 VLAN 2 6

Маршрутизация между VLAN на основе 802. 1 Q • Маршрутизатор «на палочке» (on the stick) (вариант: «на привязи» ) 7

Маршрутизация по 1 физическому порту • Создаются «виртуальные» интерфейсы, каждый связан со своим VLAN 8

Пример настройки виртуальных портов 9

Пример реализации • Задача: передать видеопоток по IP через интернет с мобильного устройства видеофиксации нарушений на сервер фиксации, обеспечив при этом качество «картинки» и защиту передаваемых данных. • Дано: – Сервер видеофиксации с адресом 10. 0. 11. 6 расположен в DMZ за маршрутизатором Cisco серии Catalyst – Маршрутизатор имеет реальный статический IP 93. xx. 1 – Мобильное устройство расположено на борту автомобиля, подключается через Wi. Fi и получает дианамический реальный IP 10

Задача 1 • На основе коммутатора SW 1 реализованы VLAN 1 и VLAN 2 на основе группировки портов с диапазонами IPадресов 192. 168. 1. 0/255. 0 и 192. 168. 2. 0/255. 0 • На основе коммутатора SW 2, поддерживающего 802. 1 Q, реализованы VLAN 3 и VLAN 4 с адресацией 192. 168. 30. 0/255. 0 и 192. 168. 40. 0/255. 0 соответственно. • Коммутатор SW 2 также поддерживает untagged-сеть с адресацией 10. 1. 0. 0/255. 0. 0 • Предложите правила маршрутизации и конфигурацию интерфейсов маршрутизатора, обеспечивающие: – – Полный доступ между VLAN 2 и VLAN 4 Полный доступ между VLAN 1 и VLAN 4 Полный доступ между VLAN 2 и VLAN 3 Полный доступ из untagged-сети к сети по умолчанию (порт wan 0) 11

Сочетание технологий VLAN и VPN • Зачем? В рамках коммутируемой локальной сети: – VLAN обеспечивает достаточную защиту – VLAN не увеличивает нагрузку на сеть (работа на канальном уровне) В рамках маршрутизируемой глобальной сети – Метки канального уровня не поддерживаются – VPN обеспечивает безопасность при работе на сетевом уровне • Как реализуется? – VLAN’ы поддерживаются маршрутизатором – VPN’ы создаются маршрутизаторами – Маршрутизатор отвечает за сопоставление VLAN-VPN 12

Вариант взаимодействия 802. 1 Q VLAN и IPSec VPN Офис2 Офис1 vpn 1 VLAN 1’ 13

Пример VLAN/VPN Есть (исходные данные): • Офис 1 со статическим IP маршрутизатора • Офис 2 со статическим IP маршрутизатора • Данные видеонаблюдения передаются во VLAN 2 (в каждом офисе) Задача: • Организовать основной и резервный центры видеонаблюдения, соответственно в Офисе 1 и Офисе 2, обеспечивающие мониторинг помещений обоих офисов 14

Пример VLAN/VPN: решение Офис2 Офис1 vpn 1 VLAN 2(1) VLAN 2(2) • Возможно также подключение ПК к коммутатору • Подключение к маршрутизатору позволяет обеспечить дополнительные возможности 15

Задача 2 Есть (исходные данные): • Офис 1 со статическим IP маршрутизатора • Офис 2 с динамическим IP маршрутизатора • Данные видеонаблюдения передаются во VLAN 2 (в каждом офисе) • Данные СКУД передаются во VLAN 3 (в каждом офисе) Задача: • Организовать основной и резервный центры видеонаблюдения, соответственно в Офисе 2 и Офисе 1, обеспечивающие мониторинг помещений обоих офисов • Организовать в Офисе 1 и Офисе 2 соответственно основной и резервный серверы СКУД 16

Ваши вопросы?