Виртуальные Ethernet сети |
|
Суть виртуальных Ethernet сетей VLAN (Virtual LAN) - создать в рамках одного Ethernet сегмента несколько виртуальных с функциями ограничения доступа между ними. Это реализуется на базе стандарта IEEE 802.1Q. В этом стандарте описано расширение заголовка Ethernet пакета, где добавляется номер сети - VLAN Id тег (отметка). Пакет при этом удлиняется на 2 байта.
Использование таких сетей помогает решить несколько задач , вот некоторые -
• | Ограничение трафика между виртуальными Ehernet сетями позволяет поднять уровень безопасности сети. Для сети организации можно закрыть прямой трафик между подразделениями, для домовой сети запретить прямой трафик между клиентами. Бич домовых открытых Ethernet сетей - это размножение вирусов и их перегрузка неконтроллируемым внутренним трафиком. Применение VLAN для этого - менее ресурсоемко, намного проще и дешевле, чем деление сети на IP сегменты роутерами. |
• | Можно жестко привязать клиента к конкретному порту (или группе портов) коммутатора. Для организации сотрудник будет привязан к своему рабочему месту, в домовой сети - к конкретному кабелю, проблема кражи паролей решается самым надежным способом. |
• | Для большой сети существенно уменьшается нагрузка на сеть широковещательными запросами клиентов. |
Для реализации этого со стороны клиента лучше всего его подключить через управляемый коммутатор Level 2 с поддержкой Tag based VLAN (IEEE 802.1Q). В коммутаторе каждому порту назначается номер VLAN Id. Порт может быть настроен для работы в "закрытом" или "открытом" режиме. В "открытом" режиме коммутатор метит исходящие пакеты в соответствии с номером VLAN порта, но разрешает входящие на порт непомеченные пакеты или пакеты "чужим" VLAN. Т.е. связь между разными виртуальными сетями не закрывается. В "закрытом" режиме коммутатор разрешает прием на порт клиента пакетов только со своим VLAN. Т.е. связь между разными виртуальными сетями закрывается.
Такие коммутаторы сравнительно недороги, стоят 10-20$ на порт.
Также возможна реализация этого со стороны клиента программными средствами. Многие современные сетевые карты, например от Intel и 3COM, имеют поддержку VLAN и у их драйверов имеются подобные настройки. Но этот вариант мало подойдет для домовой сети, так как клиент сам сможет в настройках драйвера сменить номер VLAN. Кроме того, при программной реализации не получится реализовать привязку клиента к конкретному порту коммутатора.
Со стороны сервера реализация таких задач коммутатором могла-бы потребовать у него наличия намного большего функционала. Стоимость таких устройств довольно высока. Кроме того, администратору потребовалась-бы дополнительная работа - отдельное ведение в коммутаторе таблиц сетевых адресов клиентов и номеров их VLAN. Но, начиная с версии 1.1.4.196, в Traffic Inspector это все реализовано в самой программе.
Для Traffic Inspector требуется лицензия на версию PRO. Иначе будет доступна только функция просмотра номера VLAN в отчетах по сетевой статистике.
Также на интерфейсе внутренней сети требуется сетевая карта, которая имеет поддержку IEEE 802.1Q. Тут следует отметить, что под поддержкой подразумевается то, что сетевая карта должна уметь корректно обрабатывает метки VLAN в принимаемых ею из сети Ehernet пакетах. Никаких других манипуляций с данными от нее не требуется. Как правило, никаких настроек для нее включать не надо. Этой функции не поддерживают очень старые, или совсем дешевые карты. Например, популярная Realtek 8139. Все современные, а также и не очень от Intel или 3COM, в принципе должны работать корректно. Traffic Inspector имеет средства диагностики этого, об этом будет написано далее.
Дальнейший порядок настройки сервера и сети следующий.
1. | Сеть, Internet и Traffic Inspector должны быть полностью настроены. |
2. | Пропишите номера VLAN со стороны клиентов в коммутаторах или, если используется программное решение, в настройках драйверов сетевых карт. В зависимости от требуемых задач номера VLAN клиентам назначте индивидуально, или по группам. Включите пока "открытый" режим. |
3. | В Traffic Inspector запустите мастер сетевых настроек в окне внутренних сетей включите галку поддержки VLAN. |
4. | Сеть и Интернет у клиента должны по прежнему продолжать работать. Запустите у клиента в цикле ping на любой внешний IP адрес. Откройте отчет по сетевой статистике клиента, в колонке атрибутов со значком "#" должен отобразиться номер VLAN клиента. Это означает, что сервером приняты помеченные пакеты, т.е. со стороны клиента все настроено правильно. Если там отображается "#???", то это означает, что сетевая карта на сервере для данной задачи не подходит и ее надо заменить. |
5. | Пропишите у клиента номер VLAN. Это можно сделать для клиента индивидуально, а также назначить одинаковый номер для группы клиентов. |
6. | Включите, если надо, функцию контроля политики авторизации. Теперь, если номера VLAN у клиента не совпадают, то он будет блокироваться. Проверьте это, перестроив настройки VLAN у клиента. Разблокировать клиента можно в мониторе работы. |
7. | Для работы клиента в "закрытом" режиме надо в его настройках прописать сетевые адреса. Это надо для того, что-бы драйвер Traffic Inspector мог правильно пометить исходящие пакеты. Прописывать для клиента можно MAC или IP адрес. Если это VPN клиент, то, так как его адрес авторизации отличается от сетевого адреса компьютера, для VLAN сетевые адреса надо прописывать в отдельные поля. |
8. | Проверьте, загрузились-ли эти адреса в таблицы VLAN драйвера программы. Просмотр размер этих таблиц доступен через функцию "Диагностика, Драйвер" консоли. Информация о VLAN не будет загружаться, если работа клиента не разрешена или он запрещен. Если для клиента прописан MAC и IP адрес одновременно, то в таблицу будет загружаться только MAC адрес. |
9. | Переключите клиента в "закрытый" режим и проверьте его работу. Клиенту должна быть доступна только связь с самим сервером, Интернет, с другими клиентами его виртуальной Ethernet сети, а также всеми другими IP сетями, которые маршрутизируются через сервер. |
При остановке службы Traffic Inspector таблицы VLAN в его драйвере очищаются. Поэтому, если клиент работает в "закрытом" режиме, связь с сервером он в этом случае потеряет, так как драйвер Traffic Inspector перастанет метить исходящие пакеты.
С некоторыми сетевыми картами также теоретически может возникнуть еще одна проблема. Она связана с ограничением на максимальный размер передаваемого пакета. Для обычного Ethernet пакета это 1514 байт, а поддержка VLAN добавляет еще 2 байта. Значение MTU, выдаваемое стеку TCP/IP драйвером карты, при этом не модифицируется. В этом случае может возникнуть ситуация, что драйвер сетевой карты при передаче начнет отбрасывать такие удлиненные пакеты. Проверить этот факт можно, сделав пинг большим пакетом. Если-же все-таки попалась такая сетевая карта, то можно для нее откорректировать MTU для этого интерфейса на 2 байта меньше, но лучше всего ее заменить на другую, так как уменьшение MTU повлечет дополнительную фрагментацию пакетов и ухудшение быстродействия сети.
IEEE 802.1Q - это протокол 2-го уровня. При трансляции пакетов через IP роутер VLAN теги теряются. Поэтому все описанное относится только к одному Ethernet сегменту.
Если клиенты настроены на "закрытый" режим работы, то возникает вопрос, где размещать различные общедоступные и системные службы - DNS сервер, веб-сервер, ftp и т.д. Для этих служб, запущенных на одном сервере с Traffic Inspector, этот вопрос не встанет. Но, если в сети надо их разместить на отдельных серверах, то это можно сделать в отдельной IP подсети, настроив роутинг через сервер с Traffic Inspector. Это может быть или отдельная сетевая карта, например для DMZ, или можно просто прописать еще одну IP сеть на внутреннем сетевом интерфейсе.
Текущая страница справки: help.smart-soft.ru/index.html?taskvlan.htm