Методы сегментирования сети
Большинство локальных сетей берут начало от Ethernet — технологии, которая появилась ещё в 1984 году. В те времена применяли шинную топологию сети: один провод, на который ответвлениями подключали устройства.
Шинная топология имела ограничения: длина провода не могла превышать 200 м, а расстояние между ответвлениями должно было быть не менее 20 см. На одной шине размещалось до 100 устройств. Эти ограничения не были проблемой, потому что устройств использовали не много, и инженерам не приходилось думать, как спроектировать сеть.
Со временем появились новые устройства, и теперь в одной сети их может быть несколько тысяч. Из-за этого стали возникать проблемы со скоростью передачи данных, безопасностью и отказоустойчивостью локальных сетей. Технология VLAN была создана, чтобы локализировать эти проблемы и решать их на небольших сегментах сети.
Сегмент сети - логически или физически обособленная часть сети, фактически это с узлы сети, подключённые к одному маршрутизирующему устройству (коммутатор, маршрутизатор) и работающие по одному физическому протоколу.
Существует два способа разделения локальной сети на сегменты:
Как правило, физический сегмент сети ограничен сетевым устройством, обеспечивающим соединение узлов сегмента с остальной сетью:
Коммутаторы (2-й уровень в модели OSI)
Маршрутизаторы (3-й уровень в модели OSI)
Физический сегмент сети является доменом коллизий. Устройства, работающие на первом уровне модели OSI (повторители или концентраторы), домен коллизий не ограничивают.
Сетевая модель OSI (The Open Systems Interconnection model) — сетевая модель стека (магазина) сетевых протоколов OSI/ISO. Посредством данной модели различные сетевые устройства могут взаимодействовать друг с другом. Модель определяет различные уровни взаимодействия систем. Каждый уровень выполняет определённые функции при таком взаимодействии.
Домен коллизий (англ. Collision domain) — часть сети Ethernet, все узлы которой конкурируют за общую разделяемую среду передачи и, следовательно, каждый узел которой может создать коллизию с любым другим узлом этой части сети.
Логический сегмент основан на протоколе IP, он разделяет сеть на логические сегменты, или логические подсети. Для этого каждому сегменту выделяется диапазон адресов, который задается адресом сети и сетевой маской. Например:
• 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 и т. д. — в каждом сегменте до 254 узлов
• 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 — в сегментах до 126, 62, 30 узлов соответственно
Логические подсети соединяются с помощью маршрутизаторов.
Способы сегментирования сети стремительно развиваются: сначала использовались мосты, потом маршрутизаторы (коммутаторы третьего уровня), дальше стандартом де-факто стало наличие в устройстве функционирующего на высоком уровне модели OSI файрволла. Однако администраторы сталкивались с проблемами перегрузки устройств, необходимостью распределения баланса нагрузки на порты, снижением скорости прохождения трафика.
На смену подходу, основанному на физическом ограничении сетей и применении маршрутизаторов для организации связи между сегментами, пришла технология построения логических подсетей Virtual Local Area Network (далее – VLAN). Сегодня VLAN поддерживается большинством современных коммутаторов. Причиной широкого применения технологии стала ее гибкость, позволяющая сегментировать сеть не по физическому расположению рабочих мест сотрудников, а на основе их функций и бизнес-ролей. Сеть, сегментированная с использованием VLAN, имеет лучшую управляемость, при этом решается часть проблем администрирования, например, появляется возможность контролировать широковещательный трафик и увеличить эффективность использования полосы пропускания сети.
При всех явных преимуществах технология имеет и ряд недостатков, среди которых стоимость решения, складывающаяся из цены на оборудование и дополнительных инструментов для обнаружения и устранения проблем связи, и поддержка высококвалифицированного специалиста. Технология VLAN использует протоколы IEEE 802.1Q и ISL, которые не всегда поддерживаются стандартным оборудованием, соответственно в некоторых случаях требуется специальное абонентское оборудование. Кроме того, для настройки конфигурации в сложных сетях потребуется трудоемкая ручная настройка.
Альтернативой привычным решениям может стать применение программных межсетевых экранов (далее - МЭ). Распределенный МЭ работает на более высоком уровне; не требует изменения IP-адреса и маршрутизации. МЭ не нуждается в реконфигурировании инфраструктуры сети и не меняет уже имеющуюся топологию. Система также легко управляема и не требует высокой квалификации от администратора. С помощью распределенного МЭ можно разграничить доступ к информационным системам по уровню допуска и выполняемой бизнес-роли, а также защитить ресурсы от большинства сетевых атак.
Выбор способа сегментирования зависит от того, какие задачи стоят на первом плане – оптимизация производительности сети или политики безопасности компании. Если сетевое оборудование поддерживает VLAN, то это самое оптимальное решение для увеличения производительности и гибкости сети. Важно учитывать, какая информация передается по сети и предъявляют ли регуляторы особые требования к ее защите. При этом соблюдение требований российского законодательства, в частности, защиты персональных данных, для многих компаний выходит на первый план. Внедрение сертифицированного ФСТЭК МЭ позволяет выделить изолированные участки в сети, разделить сегменты сети различных уровней защищенности в соответствии с требованиями законодательства. В некоторых случаях такой подход станет легитимным способом сэкономить на выполнении требований регуляторов.
Достарыңызбен бөлісу: |