!_Лекция_13_Виртуальные_телекоммуникационные_сети_2023

1.

ВНИМАНИЕ!
ИСПОЛЬЗОВАНИЕ СРЕДСТВ СВЯЗИ, ФОТО,
ВИДЕО И ЗВУКОЗАПИСИ ЗАПРЕЩЕНО!

2.

ВОЕННО-КОСМИЧЕСКАЯ АКАДЕМИЯ ИМЕНИ А.Ф. МОЖАЙСКОГО
35 кафедра сетей и систем связи космических комплексов
Сети и телекоммуникации
Лекция
Доцент 35 кафедры
кандидат технических наук доцент
подполковник Акмолов Алексей Феликсович

3.

Контроль освоения обучающимися учебного материала
предыдущего занятия
Контрольный вопрос № 1:
Дайте понятие MAC-адрес.
MAC-адрес (от англ. Media Access Control — управление доступом к среде,
также Hardware Address) — уникальный идентификатор, присваиваемый каждой единице
активного оборудования телекоммуникационных сетей (постоянный – физический адрес
устройства).
Контрольный вопрос № 2:
В чем заключается задача протокола IP
Задача протокола IP – осуществление маршрутизации дейтаграмм (определение
оптимального пути следования дейтаграмм с помощью алгоритмов маршрутизации от
узла-отправителя сети к любому другому узлу сети на основании IP адреса).
Контрольный вопрос № 3
Что такое DNS и в чем его задача
Доменная система имен (Domain Name System)
Основная задача DNS в соответствие числовому Интернет-адресу компьютера ставится
уникальное доменное имя.
3

4.

Сети и телекоммуникации
Лекция № 13. Виртуальные сети
Цель: Получить представление о принципах организации
виртуальных телекоммуникационных сетей.
Учебные вопросы:
1. Общие понятия о виртуальных сетях.
2. Виртуальная локальная сеть (VLAN).
3. Виртуальная частная сеть (VPN).
4

5.

Учебный вопрос № 1
Общие понятия о виртуальных сетях
5

6.

Общие понятия о виртуальных сетях
Виртуальная сеть обеспечивает связь между несколькими компьютерами,
виртуальными машинами, виртуальными серверами или другими устройствами в сети
и центрах обработки данных.
Физическая сеть соединяет компьютеры через кабели и другое оборудование, а
виртуальная сеть расширяет эти возможности, используя программное обеспечение
для подключения компьютеров и серверов через интернет.
В виртуальной сети используются виртуализированные версии традиционных сетевых
инструментов (серверы, коммутаторы и сетевые адаптеры), что обеспечивает более
эффективную маршрутизацию и упрощает внесение изменений в конфигурацию сети.
Преимущества виртуальных сетей
Гибкость и масштабируемость
Цифровая безопасность
Низкие инвестиции в сетевое оборудование
Меньше общего трафика
Централизованное управление сетью
Экономия затрат
Возможности удаленной работы
Продуктивность
6

7.

Компоненты виртуальных сетей
Программное обеспечение vSwitch – виртуальный коммутатор на хост-сервере,
позволяет настраивать виртуальную сеть, контролирует связь между существующей
физической сетью и виртуальными частями сети.
Виртуальный сетевой адаптер – создает шлюз между сетями, что позволяет
виртуальным машинам подключаться к сети.
Физическая сеть – требуется в качестве хоста для инфраструктуры виртуальной
сети.
Виртуальные машины и устройства – машины или устройства, которые
подключаются к сети и обеспечивают различные функциональные возможности.
Сервер – часть инфраструктуры сетевого хоста.
Брандмауэр – предназначен для мониторинга и предотвращения угроз безопасности
в виртуальной сети.
7

8.

Примеры виртуальных сетей
8

9.

Примеры виртуальных сетей
Виртуальная частная сеть
представляет собой закрытую
сеть, которая обеспечивает
безопасное подключение
удаленных узлов сети или
пользователей друг к другу
через общедоступную сеть
9

10.

Учебный вопрос № 2
Виртуальная локальная сеть (VLAN)
10

11.

Виртуальная локальная сеть
11
Виртуальная сеть (Virtual LAN, VLAN) – группа узлов сети, трафик которой,
в том числе и широковещательный, на канальном уровне полностью
изолирован от других узлов.
VLAN протокол используют для создания логической топологии сети,
которая никак не зависит от ее физической топологии.
VLAN – метка в кадре, который передается по сети, она содержит номер
VLAN.
VLAN настраивается на коммутаторе, при этом на каждом порту
коммутатора указывается в каком VLAN он находится.
По умолчанию все порты коммутатора считаются нетегированными членами
VLAN 1 VLAN1 получила название сеть по умолчанию (default VLAN).

12.

Преимущества виртуальных локальных сетей
12
Возможность построения сети, логическая структура которой не зависит от физической
(топология сети на канальном уровне строится независимо от географического
расположения составляющих компонентов сети).
Повышение производительности в каждой из виртуальных сетей, за счет уменьшения
широковещательных доменов.
Возможность обезопасить сеть от несанкционированного доступа (на канальном
уровне кадры с других VLAN будут отсекаться портом коммутатора независимо от того,
с каким исходным IP-адресом инкапсулирован пакет в данный кадр).
Изоляция сетей друг от друга для управления правами доступа пользователей и
создания защитных барьеров
Возможность использовать виртуальные интерфейсы для маршрутизации.

13.

Формат кадра Ethernet 802.3q
7
15
31
Преамбула
Тип кадра - двухбайтовое поле TPID (Tag
Protocol Identifier);
Преамбула
Поле Priotity (3 бита) задает восемь
возможных уровней приоритета кадра.
Ethernet-адрес источника
(байты 0...3)
Ethernet-адрес источника
(байты 4...5)
Ethernet-адрес приемника
(байты 0...1)
Тип кадра = 802.3q
Длина данных/тип
CFI
Ethernet-адрес приемника (байты 2...5)
Priotity
0
13
VID
Поле CFI (Canonical Format Indicator) (1 бит)
зарезервировано для обозначения кадров
сетей других типов (Token Ring, FDDI),
передаваемых по магистрали Ethernet, и
для кадров Ethernet – 0.
Поле VID (VLAN ID) длиной 12 бит является
идентификатором виртуальной сети, что
позволяет определить 4096 различных
виртуальных сетей.

14.

Принцип организации VLAN на одном коммутаторе
VLAN 1
PC 1
VLAN 2
PC 3
PC 2
PC 4
Fa 0/1
Fa 0/2
Fa 0/3
Fa 0/4
U
VID=1
U
VID=1
U
VID=2
U
VID=2
Access – порт передает
не тегированные пакеты.
Получаемые пакеты
относятся к одной
(настроенной на порту)
виртуальной сети
Коммутатор 1
U
VID=3
U
VID=3
U
VID=2
U
VID=2
Fa 0/5
Fa 0/6
Fa 0/7
Fa 0/8
VLAN 2
PC 5
PC 6
VLAN 3
PC 7
PC 8
14

15.

Принцип организации VLAN на нескольких коммутаторах
VLAN 1
VLAN 2
PC 2
PC 1
PC 3
VLAN 4
PC 1
PC 3
PC 2
Fa 0/1
Fa 0/2
Fa 0/3
Fa 0/1
Fa 0/2
Fa 0/3
U
VID=1
U
VID=1
U
VID=2
U
VID=2
U
VID=4
U
VID=4
Коммутатор 1
Коммутатор 2
U
VID=3
U
VID=3
T
VID=1, 2
T
VID=1, 2
U
VID=1
U
VID=1
Fa 0/4
Fa 0/5
Fa 0/6
Fa 0/4
Fa 0/5
Fa 0/6
Trunk port
PC 5
PC 4
VLAN 3
PC 5
PC 4
VLAN 1
Trunk – порт передает пакеты с указанием
номера VLAN к которому они относятся
(тегированные пакеты). Служит для
объединения нескольких коммутаторов.
15

16.

Пример построения VLAN из одной физической сети здания 16

17.

Dynamic Trunking Protocol
DTP (Dynamic Trunking Protocol, протокол динамических магистральных
взаимодействий) – протокол управления настройками режима передачи нескольких
виртуальных сетей (Trunk) в коммутаторах Cisco.
Настройка интерфейсов:
Access – разрешено подключение только устройств;
Trunk – ручное указание номеров передаваемых Vlan;
Dynamic Auto – автоматическая настройка trunk между коммутаторами, на основе
DTP протокола (предпочтение access).
Dynamic Desirable – автоматическая настройка trunk между коммутаторами, на
основе DTP протокола (предпочтение Trunc).
Nonegotiate – отключение протокола DTP.
17

18.

Virtual Trunking Protocol
18
VTP – Virtual Trunking Protocol протокол второго уровня, позволяет коммутаторам
обмениваться информацией о VLAN во всей сети.
VTP управляет добавлением, удалением и изменением имён VLAN на всех коммутаторах,
сводя к минимуму работу администратора и уменьшая количество ошибок.
VTP посылает объявления на весь VTP домен каждые пять минут или если произошли
изменения в конфигурации. Объявления VTP включают номер конфигурации VTP, номера
и имена VLAN и информацию о том, какие порты в каком коммутаторе в каком VLAN.
Важной частью объявлений VTP является номер конфигурационного обновления
(configuration revision number). Когда VTP сервер модифицирует информацию о VLAN, он
инкрементирует параметр configuration revision number. После этого сервер посылает
обновление с новым номером. Когда клиент получает VTP обновление с большим, чем
у него, номером, он модифицирует свою конфигурацию VLAN.

19.

Учебный вопрос № 3
Виртуальная частная сеть (VPN)
19

20.

Виртуальная частная сеть
20
VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть
(объединение отдельных машин или локальных сетей в единую виртуальную сеть),
создаваемая поверх другой сети, например Internet.
При подключении к Интернету через VPN, программное обеспечение создает безопасное
соединение между устройством пользователя и удаленным VPN-сервером, шифруя
данные просмотра веб-страниц и скрывая IP-адрес.
Между каждой парой «отправитель-получатель данных» устанавливается
своеобразный туннель - безопасное логическое соединение, позволяющее
инкапсулировать данные одного протокола в пакеты другого.

21.

Основные компоненты VPN
VPN-шлюз – сетевое устройство, подключенное к нескольким сетям, выполняет
функции
шифрования,
идентификации,
аутентификации,
авторизации
и
туннелирования (может быть решен как программно, так и аппаратно).
VPN-клиент (хост) решается программно, выполняет функции шифрования и
аутентификации (сеть может быть построена без использования VPN-клиентов).
Туннель – логическая связь между клиентом и сервером (в процессе реализации
туннеля используются методы защиты информации).
Граничный сервер – это сервер, являющийся внешним для корпоративной сети (в
качестве сервера может выступать брандмауэр или система NAT).
Обеспечение безопасности информации VPN – ряд мероприятий по защите
трафика корпоративной сети при прохождении по туннелю от внешних и внутренних
угроз.
21

22.

Принцип работы VPN-туннеля
22
Соединение VPN – так называемый, “туннель” между
компьютером пользователя и компьютером-сервером.
Каждый узел шифрует данные до их попадания в “туннель”.
Принцип работы VPN-туннеля
1.При подключении к VPN, система идентифицирует сеть пользователя и начинает
аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).
2.На сервере происходит авторизация, то есть предоставление права на выполнение
определенных действий: чтение почты, интернет-серфинг и т.д.
3.После установления соединения весь трафик передается между ПК и сервером в
зашифрованном виде.
4.ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует
доступ к некоторым сайтам. VPN сервер меняет IP ПК на свой.
5.С VPN-сервера все данные передаются к внешним ресурсам, которые запрашивает
пользователь.

23.

Поддержка VPN на различных уровнях модели OSI
23
Канальный уровень:
PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР и инкапсулирует их в IP
пакеты
L2TP (Layer to Tunneling Protocol). Инкапсулирует кадры РРР в протокол сетевого уровня,
предварительно проведя аутентификацию пользователя
Технология MPLS multiprotocol label switching – многопротокольная коммутация по меткам
(установление туннеля)
Сетевой уровень:
IPSec Internet Protocol Security (архитектура «хост-шлюз» и «шлюз-шлюз», поддержка
шифрования, авторизации и аутентификации)
Транспортный уровень:
SSL/TLS Secure Sockets Layer & TLS – Transport Layer Security (архитектура «хост-хост»
соединение из конца в конец, поддержка шифрования и аутентификации, реализован
только для поддержки TCP-трафика)

24.

Маршрутизатор: DI-824vup+
• 1 порт WAN - 10/100Base-T для подключения к DSL, кабельному модему
или Ethernet
• 4 порта LAN 10/100 Мбит/с
• Управление через Web-интерфейс
• Поддержка VPN: до 40 туннелей IPSec
• Беспроводная точка доступа
• Встроенный USB/LTP принт сервер
• Порт для подключения аналогового модема

25.

Применение DI-824vup+
Подключение к локальной сети удалённых пользователей
1
Резервирование или
предоставление доступ к
Интернет с помощью
аналогового модема или
сотового телефона
4
3
Объединение в единую сеть с использованием
IPSec несколько филиалов
2
5
7
Обеспечение доступа небольшой
локальной сети к Интернет
6
Подключение беспроводных клиентов
Использование
принт сервера
для клиентов
локальной сети

26. Характеристики DI-824vup+

WAN - порт 10/100 Мбит/с для подключения к глобальной сети
посредством кабельного, ADSL-модема или Ethernet
4-портовый коммутатор 10/100Мбит/с Fast Ethernet для подключения к
локальной сети
Беспроводная точка доступа
Встроенный межсетевой экран
Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с
провайдером иди центральным офисом
Поддержка IPSec: до 40 туннелей
Встроенный PrintServer(USB/LTP)
Встроенный DHCP-сервер
Порт RS-232 для подключения внешнего аналогового модема
Управление посредством Web-браузера

27.

Задание на самостоятельную работу
Задание 1:
Изучить принципы организации виртуальных локальных сетей
Рекомендуемая литература:
Е.Н.Косяков, А.В.Родионов, К.Ю.Цветков. Сети связи и системы
коммутации: учебник. - СПб.: ВКА имени А.Ф.Можайского, 2012. –
С. 23–31.
Задание 2:
Изучить принципы организации виртуальных частных сетей.
Рекомендуемая литература:
Е.Н.Косяков, А.В.Родионов, К.Ю.Цветков. Сети связи и системы
коммутации: учебник. - СПб.: ВКА имени А.Ф.Можайского, 2012. –
С. 17–19.
27

28.

Контроль освоения обучающимися учебного материала
Контрольный вопрос № 1:
Дайте понятие MAC-адрес.
MAC-адрес (от англ. Media Access Control — управление доступом к среде,
также Hardware Address) — уникальный идентификатор, присваиваемый каждой единице
активного оборудования телекоммуникационных сетей (постоянный – физический адрес
устройства).
Контрольный вопрос № 2:
В чем заключается задача протокола IP
Задача протокола IP – осуществление маршрутизации дейтаграмм (определение
оптимального пути следования дейтаграмм с помощью алгоритмов маршрутизации от
узла-отправителя сети к любому другому узлу сети на основании IP адреса).
Контрольный вопрос № 3
Что такое DNS и в чем его задача
Доменная система имен (Domain Name System)
Основная задача DNS в соответствие числовому Интернет-адресу компьютера ставится
уникальное доменное имя.
28

29.

Сети и телекоммуникации
Лекция закончена!
Спасибо за внимание!
29