- •Лекція 1 osi модель. Принципи структурованого підходу до вирішення проблем.
- •1. Функції рівнів osi моделі
- •Лекція 2 Інкапсуляція та деінкапсуляція даних
- •2. Інкапсуляція
- •Virtual private network (vpn)
- •Лекція 4 Локальні комп’ютерні мережі
- •6.3. Методи випадкового доступу
- •6.4. Множинний доступ із прослуховуванням несучої і виявленням зіткнень (мдпн/вз)
- •Розрахунок характеристик методу csma/cd
- •Лекція 6 Мережеві архітектурні рішення
- •Переваги передачі голосу та даних однією мережею
- •Контролюйте витрати
- •Забезпечте кращу продуктивність
- •Покращіть обслуговування клієнтів
- •Єдина мережа
- •Можливість управління викликами
- •Багатофункціональна голосова пошта
- •Відеозв’язок
- •Лекція 6 Основні мережеві пристрої
- •Ширина каналу і пропускна спроможність
- •Лекція 7 Основні мережеві топології
- •Лекція 8 Загальні питання проектування мереж
- •2. Обмеження топології мережі, побудованої на мостах
- •3. Обгрунтування розміру (діаметра) мережі Ethernet
- •Лекція 9 Протоколи нижнього рівня великих мереж
- •Підтримання якості обслуговування
- •Використання мереж Frame Relay
- •Лекція 10 Фізичні адреси Двійкова і шістнадцяткова системи числення, двійкова логіка.
- •Конвертування восьми бітних двійкових чисел в десяткові.
- •Мас адреси.
- •Лекція 11 Логічні адреси ір адреси.
- •Лекція 12 Розрахунок ір-адресної схеми
- •Лекція 13 Оптимізація роботи комп’ютерних мереж. Технологія масок змінної довжини. Variable-length subnet mask (vlsm)
- •Лекція 14 Маршрутизація в мережах.
- •Лекція 15 Вибір найкращого шляху маршрутизатором. Таблиця маршрутизації
- •Лекція 16 Технології віртуальних мереж vlan
- •Лекція 17 Протокол запобігання петель комутації stp Підтримка алгоритму Spanning Tree
- •Лекція 18 Протоколи середнього та висого рівнів мереж.
- •Формат заголовка
- •Блок керування передачею
- •Встановлення та закриття з’єднання
- •7.5.2. Концепція квитування
- •7.5.3. Механізм ковзного вікна
- •Основні організації, що займаються стандартизацією комп’ютерних мереж
- •Лекція 19 Безпровідні мережі
- •Лекція 20 Засоби керування мережами
- •Архітектура
- •Компоненти
- •З'єднувачі
- •Відповідність архітектурному стилю rest
- •Структура стандартів
- •Інформаційна безпека
- •Вимоги та загрози безпеці
- •Структура моделей безпеки
- •Моделі безпеки
- •Версії snmp
- •SnmPv2c
- •SnmPv2u
- •Існуючі реалізації
- •Недоліки snmp
- •Лекція 21 Система доменних імен.
- •Лекція 22 Мережеві загрози
Лекція 16 Технології віртуальних мереж vlan
VLAN
Віртуальні локальні мережі були створені для вирішення питання розподілу повноважень та впровадження політик безпеки без використання дорогих рішень та приладів. VLAN дозволяє розділяти користувачів не за їх територіальною приналежністю, а за логічним розподілом функцій та призначення. Наприклад, в одній кімнаті можуть знаходитись люди, що є менеджерами з різних напрямків. Для того, щоб розділити їх доступ до ресурсів їх можна під єднати до різних пристроїв, але що робити якщо вони знаходяться в різних будинках? Відповідь є створення VLAN. На сьогоднішній день основним методом створення VLAN є призначення порта комутатора до цього VLAN. Таким чином користувачі, які логічно під’єднані до одного VLAN мають однакову політику безпеки і допусків. Також вони будуть мати одну підмережу, оскільки для з’єднання VLAN використовуються тільки маршрутизатори або маршрутизуючі комутатори.
Основні переваги VLAN:
Безпека – групи користувачів, що мають важливі дані є відокремлені від решти мережі, що зменшує шанс маніпуляцій інформацією;
Зменшення вартості – непотрібно використовувати дороге обладнання та відбувається економія портів на комутаторах;
Краща продуктивність – розділяючи комутовану мережу на більшу кількість менших доменів бродкастів зменшується кількість непотрібного трафіку в мережі;
Обмеження розповсюдження бродкаст штормів – бродкаст шторм буде розповсюджуватись тільки в межах VLAN і не буде впливати на інші VLAN;
Спрощення керування мережею – VLAN робить керування мережею простішим, оскільки користувачі з подібними вимогами до мережі будуть в одному VLAN. Коли додається новий комутатор в мережу, то вся політика безпеки, що застосована до конкретного VLAN буде скопійована на нового користувача, що додається у VLAN. Наприклад VLAN 10 може бути названа «Менеджери», а VLAN 30 «Керівники».
Полегшення розподілу ресурсів – VLAN об’єднують користувачів , що мають подібні вимоги до мережі. Наприклад, є нелогічним об’єднати користувачів, що працюють з потоковим відео і користувачів, що працюють з великими файлами.
Нормальний діапазон VLAN
Використовується в маленьких і середніх компаніях. Номера VLAN з 1-1005. Номера 1002 до 1005 зарезервовані Token Ring and FDDI VLANs. Номера 1 and 1002 to 1005 на більшості обладнання створюються автоматично і не можуть бути видалені. VLAN trunking protocol (VTP) може працювати тільки з нормальним діапазоном VLAN.
Розширений діапазон VLAN
Дозволяє сервіс провайдерам розширити інфраструктуру якщо не вистачає нормального діапазону. Номера 1006 до 4094 розширений діапазон. Мають менше можливостей ніж нормальний діапазон.
Типи VLAN:
VLAN для даних (Data VLAN)– ця VLAN призначена для передачі трафіку згенерованого користувачами. Голосовий трафік та дані для керування обладнанням можуть передаватись але не будуть частиною цієї VLAN. Інколи цю VLAN називають користувацькою. Загальною є практика розділення голосового трафіку та даних для керування обладнанням від цієї VLAN;
VLAN по замовчуванню або дефаулт VLAN (default VLAN) – всі порти свіча при початковій роботі з ним належать ції VLAN. Для більшості обладнання це є VLAN 1. Основною особливістю цієї VLAN є те, що ви неможете перейменувати чи видалити цю VLAN. За замовчуванням весь трафік є асоційований з цією VLAN. З питань безпеки хорошою практикою є змінити дефаулт VLAN, оскільки всі знають, що вона є VLAN 1. Всі порти, що не використовуються повинні бути виключені та переведені у VLAN іншу ніж 1.
Native VLAN – ця VLAN призначена на 802.1Q транк порту. Транк порт – це порт, що підтримує трафік від багатьох VLAN разом з нетегованим трафіком. 802.1Q транк порт приймає весь нелегований трафік у Native VLAN. Хорошою практикою є використання VLAN іншої ніж 1 як Native VLAN. Така конфігурація використовувалась раніше для під’єднанян ІР телефонів до свіча.
Management VLAN- по замовчуванню це є VLAN 1. Проте весь трафік для конфігурування пристроїв в цілях безепеки повинен знаходитись в окремій VLAN. Всі пристрої навіть комутатори мають ІР адресу для керування. Це не означає, що комутатори будуть використовувати її для прийняття рішень по комутації, але ця адреса буде використовуватись для віддаленого керування, наприклад, через Telnet або SSH.
Voice VLAN – окрема VLAN потрібна для передачі голосу через ІР. Для ефективної передачі голосу потрібно:
Гарантований бендвіз для забезпечення якості;
Пріоритет передачі над іншими типами трафіку;
Можливість гарантованої передачі при перевантаженій мережі;
Затримки менші ніж 150 мілісекунд через мережу.
Для задоволення таких вимог вся мережа повинна бути розроблена для підтримки голосу через ІР.
ПРИКЛАД ПРО СВІЧ, ІР ТЕЛФОН, КОМП’ЮТЕР.
Типи мережевого трафіку:
Менеджмент трафік (команди, різноманітні апдейти протоколів, віддалене керування і т.д.);
ІР телефонія (сигнальні повідомлення для дозвону, підтримки і завершення дзвінка разом з голосом);
ІР малтикаст (птокове відео і т.д.) все, що відсилається до малтикаст груп;
Нормальні дані (трафік, що відноситься до створення і збереження файлів, друк, е-мейл і т.д.);
Scavenger – все що непотрібне в мережі (ігри, розважальні програми і тд.);
Режими порта на комутаторі:
Статичні VLAN – порт вручну призначається до VLAN.
Динамічні VLAN – цей режим не використовується на сьогоднішній день. Динамічне призначення VLAN конфігурується на спеціальному сервері «Сервер керування членством у VLAN». Влани прив’язуються до МАС адреси хоста, що буде у цій VLAN. Коли хост підключається до комутатора той автоматично призначає порт до VLAN у якій повинен бути хост;
Голосова VLAN – порт який знаходиться у голосовому режимі підтримує ІР телефони, що під’єднані до нього.
Приклад без транку передачі даних
Прикад з транком передачі даних.