|
Виртуальные Ethernet-сети |
  
|
|
Виртуальные Ethernet-сети |
|
Суть виртуальных Ethernet-сетей VLAN (Virtual LAN) - создать в рамках одного Ethernet-сегмента несколько виртуальных с функциями ограничения доступа между ними. Это реализуется на базе стандарта IEEE 802.1Q. В этом стандарте описано расширение заголовка Ethernet-пакета, где добавляется номер сети - тег (отметка) VLAN Id. Пакет при этом удлиняется на 2 байта.
Использование таких сетей помогает решить некоторые задачи:
| • | Ограничение трафика между виртуальными Ehernet-сетями позволяет поднять уровень безопасности сети. Для сети организации можно закрыть прямой трафик между подразделениями; для домовой сети - запретить прямой трафик между клиентами. Бич домовых открытых Ethernet-сетей - это размножение вирусов и их перегрузка неконтролируемым внутренним трафиком. Применение для этого VLAN менее ресурсоемко, намного проще и дешевле, чем деление сети на IP-сегменты роутерами. |
| • | Можно жестко привязать клиента к конкретному порту (или группе портов) коммутатора. Для организации сотрудник будет привязан к своему рабочему месту, в домовой сети - к конкретному кабелю; проблема кражи паролей решается самым надежным способом. |
| • | Для большой сети существенно уменьшается нагрузка на сеть широковещательными запросами клиентов. |
Для реализации этого со стороны клиента лучше всего его подключить через управляемый коммутатор Level 2 с поддержкой Tag based VLAN (IEEE 802.1Q). В коммутаторе каждому порту назначается номер VLAN Id. Порт может быть настроен для работы в "закрытом" или "открытом" режиме. В "открытом" режиме коммутатор "метит" исходящие пакеты в соответствии с номером VLAN-порта, но разрешает входящие на порт непомеченные пакеты или пакеты "чужим" VLAN. Иными словами, связь между разными виртуальными сетями не закрывается. В "закрытом" режиме коммутатор разрешает прием на порт клиента пакетов только со своим VLAN, т.е. связь между разными виртуальными сетями закрывается.
Такие коммутаторы сравнительно недороги, стоят 10-20$ на порт.
Также возможна реализация пометки пакетов со стороны клиента программными средствами. Многие современные сетевые карты, например от Intel и 3COM, имеют поддержку VLAN, и у их драйверов есть подобные настройки. Но этот вариант мало подойдет для домовой сети, т.к. клиент сам сможет в настройках драйвера сменить номер VLAN. Кроме того, при программной реализации не получится реализовать привязку клиента к конкретному порту коммутатора.
Со стороны сервера реализация таких задач коммутатором могла бы потребовать у первого наличия намного большего функционала. Стоимость таких устройств довольно высока. А также администратору потребовалась бы дополнительная работа - отдельное ведение в коммутаторе таблиц сетевых адресов клиентов и номеров их VLAN. Но, начиная с версии 1.1.4.196, в Traffic Inspector это все реализовано в самой программе.
Для Traffic Inspector требуется лицензия на версию PRO или GOLD Unlimited. Иначе будет доступна только функция просмотра номера VLAN в отчетах по сетевой статистике.
Также на интерфейсе внутренней сети требуется сетевая карта, которая имеет поддержку IEEE 802.1Q. Следует отметить, что под поддержкой подразумевается то, что сетевая карта должна уметь корректно обрабатывать метки VLAN в принимаемых ею из сети Ehernet-пакетах. Никаких других манипуляций с данными от нее не требуется. Как правило, настройки для нее включать не надо. Этой функции не поддерживают очень старые или совсем дешевые карты. Например, популярная Realtek 8139. Все современные и не очень от Intel или 3COM, в принципе, должны работать корректно. Traffic Inspector имеет средства диагностики поддержки сетевой картой необходимого функционала, о чем будет написано далее.
Дальнейший порядок настройки сервера и сети следующий.
| 1. | Сеть, Интернет и Traffic Inspector должны быть полностью настроены. |
| 2. | Пропишите номера VLAN со стороны клиентов в коммутаторах или, если используется программное решение, в настройках драйверов сетевых карт. В зависимости от требуемых задач номера VLAN клиентам назначьте индивидуально или по группам. Включите пока "открытый" режим. |
| 3. | В Traffic Inspector запустите мастер сетевых настроек в окне внутренних сетей включите галку поддержки VLAN. |
| 4. | Сеть и Интернет у клиента должны по-прежнему продолжать работать. Запустите у клиента в цикле ping на любой внешний IP-адрес. Откройте отчет по сетевой статистике клиента, в колонке атрибутов со значком "#" должен отобразиться номер VLAN-клиента. Это означает, что сервером приняты помеченные пакеты, т.е. со стороны клиента все настроено правильно. Если отображается "#???", то это означает, что сетевая карта на сервере для данной задачи не подходит и ее надо заменить. |
| 5. | Пропишите у клиента номер VLAN. Это можно сделать для клиента индивидуально, а также назначить одинаковый номер для группы клиентов. |
| 6. | Включите, если необходимо, функцию контроля политики авторизации. Теперь, если номера VLAN у клиента не совпадают, он будет блокироваться. Проверьте это, перестроив настройки VLAN у клиента. Разблокировать клиента можно в мониторе работы. |
| 7. | Для работы клиента в "закрытом" режиме следует в его настройках прописать сетевые адреса. Это надо для того, чтобы драйвер Traffic Inspector мог правильно пометить исходящие пакеты. Прописывать для клиента можно MAC- или IP-адрес. Если это VPN-клиент, то, так как его адрес авторизации отличается от сетевого адреса компьютера, для VLAN сетевые адреса надо прописывать в отдельные поля. |
| 8. | Проверьте, загрузились ли эти адреса в таблицы VLAN-драйвера программы. Просмотр размера этих таблиц доступен через функцию "Диагностика, Драйвер" консоли. Информация о VLAN не будет загружаться, если работа клиента не разрешена или он запрещен. Если для клиента прописан MAC- и IP-адрес одновременно, то в таблицу будет загружаться только MAC-адрес. |
| 9. | Переключите клиента в "закрытый" режим и проверьте его работу. Клиенту должна быть доступна только связь с самим сервером, Интернетом, с другими клиентами его виртуальной Ethernet-сети, а также всеми другими IP-сетями, которые маршрутизируются через сервер. |
При остановке службы Traffic Inspector таблицы VLAN в его драйвере очищаются. Поэтому в случае если клиент работает в "закрытом" режиме, связь с сервером он потеряет, т.к. драйвер Traffic Inspector перастанет "метить" исходящие пакеты.
С некоторыми сетевыми картами теоретически может возникнуть еще одна проблема, связанная с ограничением на максимальный размер передаваемого пакета. Для обычного Ethernet-пакета - это 1514 байт, а поддержка VLAN добавляет еще 2 байта. Значение MTU, выдаваемое стеку TCP-/IP-драйвером карты, при этом не модифицируется. Может возникнуть ситуация, что драйвер сетевой карты при передаче начнет отбрасывать такие удлиненные пакеты. Проверить этот факт можно, сделав пинг большим пакетом. Если же все-таки попалась такая сетевая карта, то можно для нее откорректировать MTU для этого интерфейса на 2 байта меньше. Но лучше карту заменить на другую, т.к. уменьшение MTU повлечет дополнительную фрагментацию пакетов и ухудшение быстродействия сети.
IEEE 802.1Q - это протокол 2-го уровня. При трансляции пакетов через IP-роутер VLAN-теги теряются. Поэтому все описанное относится только к одному Ethernet-сегменту.
Если клиенты настроены на "закрытый" режим работы, то возникает вопрос, где размещать различные общедоступные и системные службы - DNS-сервер, веб-сервер, ftp и т.д. Для этих служб, запущенных на одном сервере с Traffic Inspector, вышеозначенный вопрос не появится. Но если в сети их надо разместить на отдельных серверах, это можно сделать в отдельной IP-подсети, настроив роутинг через сервер с Traffic Inspector. Для этой цели можно использовать отдельную сетевую карту, например, для DMZ, или можно просто прописать еще одну IP-сеть на внутреннем сетевом интерфейсе.
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?taskvlan.htm