virtualni_site

Virtuální sítě

středa 11. října 2017

7:38

• každá VLAN je jedna podsíť

• výhody:

  • nemusíme tahat kabel zvlášť

  • VLAN vystupuje jako jedna lokální síť

• virtuální = sítě jsou realizovány sdílenou architekturou a mají velmi omezené vlastní fyzické spoje

• při používání nedůvěryhodných spojovacích sítí může vzniknout nebezpečí, tzn. že musíme zabezpečit síť

• pro jednotlivé podsítě nemusíme oddělovat jedno vedení od druhého vedení, ale komunikace z jedné sítě nezasahují do sítě druhé

• zařízení od jiných výrobců musí být se sebou kompatibilní

• Síť bez VLAN:

• Síť s VLAN:

• když stanici přemístím, tak se nic nestane (nemusím dělat novou kabeláž)

• členství ve VLAN může být podle portu, podle fyzické adresy, 3. vrstvy nebo podle multicastu

• každá VLAN je jedna podsíť

• router musí podporovat na jeden výstup více podsítí (ale ne jednu podsíť na více portů)

• v routeru má každá síť svoje vedení nebo se nakonfigurují subinterface (více virtuálních rozhraní na jednom fyzickém portu)

Popis sítě VLAN

Komunikace mezi jednotlivými VLAN

• při komunikaci z jedné podsítě do druhé musí jít rámec přes router

• při příchodu paketu z určitého portu do switche přidá switch TAG (třeba 1), odesílá dalšímu switchi, ten se podívá, kde se nachází router, odešle rámec na router a router posílá rámec cílovému uzlu

• komunikace s TAGy probíhá pouze v TRUNK vedeních

• při komunikaci s jinou podsítí se signál opět pošle na router a ten se posílá na určitý port

• každá VLAN musí být konfigurovatelná (dálkově) - kdybych neměl nakonfigurovaný VLAN, tak se nedostanu do konfigurace switche - počítač se vždy po připojení připojí do VLAN 1

• VLAN 99 se většinou používá pro administrátora

• jakýkoliv JEDEN VLAN můžeme označit jako NATIVE (VLAN 2 označená native při komunikaci nedostává TAG - rámce bez tagu jsou automaticky VLAN 2) - díky tomu se můžu připojit jako host (automaticky se připojím do VLAN 2)

• při vyslání broadcastu se žádost pošle do všech PC v dané síti

VLAN se switchi 3. vrstvy

• switche rozpoznávají hlavičky (tzn. že tento switch je uzel a umí víceméně to, co router)

• tyto zařízení se nehodí do sítě WAN

• L3 switche se používají, protože jsou rychlejší než router (pracují hardwarově)

• rozpoznávají TAGy místo IP adres

• ve VLAN s těmito switchi nepotřebujeme router

• jednodušší pro hackery

VPN (Virtual Private Network)

• ve firmě v různých geografických polohách (když chci mít všechno jako jednu LAN)

• když chci bezpečnost takovou, jako by 2 koncové stanice seděly vedle sebe

• propojení obchodníkovy sítě s dealerem

• při komunikaci data šifrujeme (celý paket včetně hlaviček - info o šifře je v nezašifrovaných hlavičkách)

• na výstupu paket zapouzdřím a přidám veřejnou IP adresu

• řeší přímý přístup přes internet k dané síti

• vytváří tunel (dvoubodové spojení)

• splňuje bezpečnostní prvky

  • zapouzdření (do nového IP paketu, zapouzdřuje i hlavičku a přidá novou hlavičku (typ šifrování a adresy, ke kterým se tato síť hlásí do internetu))

  • šifrovaná autentizace (ověření uživatelů)

    • ověření, zda komunikace probíhá mezi dvěmi částmi sítě

    • nejlepší šifra = nesymetrická (= nedomlouvají se na klíči) šifra + veřejný klíč

    • pro posílání tajných klíčů se používá veřejný klíč