Подключение общего ресурса с использованием протокола IEEE 802.1Q
Списки управления доступом — ACL (Access Control Lists) позволяют разделять трафик групп пользователей по атрибутам канального, сетевого и транспортного уровней эталонной модели OSI-7 (ISO 7498) и обеспечивают тем самым возможность независимого управления доступом для этих групп.
Применение асимметричных и частных виртуальных сетей (Asymmetric VLAN, Private VLAN) позволяет обеспечить взаимную изоляцию трафика нескольких групп абонентов, имеющих доступ к одному ресурсу.
Для повышения общего уровня информационной безопасности в дополнение к системам группового и индивидуального управления доступом абонентов могут быть использованы специальные решения, обеспечивающие ограничение доступа абонентов к порту многопортового моста-коммутатора (Port Security).
Асимметричные VLAN
Как было отмечено ранее, виртуальные сети используются для разделения трафика различных групп абонентов. Важно отметить, что разделение выполняется на канальном уровне уровней эталонной модели OSI-7 (ISO 7498),
и, следовательно, взаимодействие между разделенными при помощи виртуальных сетей группами абонентов может осуществляться только на сетевом или более высоких уровнях эталонной модели. Поэтому для организации доступа различных групп таких абонентов к общему ресурсу бывает необходимо обеспечить его присутствие в нескольких виртуальных сетях одновременно. Обычно это реализуется путем подключения этого ресурса (например, медиасервера) к маркирующему порту многопортового коммутатора с использованием протокола IEEE 802.1Q. При этом на сервере, разумеется, должна быть установлена соответствующая сетевая карта и сконфигурированы виртуальные интерфейсы для каждой из используемых виртуальных сетей.
В качестве примера рассмотрим представленную ранее, а сеть, в которой в качестве общего ресурса выступает почтовый сервер, а доступ трех групп абонентов, имеющих легальные IP-адреса, к этому серверу обеспечивается с использованием тегированного порта коммутатора. Такое решение нельзя, однако, считать универсальным и оптимальным.
Подключение общего ресурса с использованием протокола IEEE 802.1Q обеспечивает изоляцию трафика подключаемых к нему различных групп абонентов, но такое решение зачастую бывает слишком дорогим для реализации и неудобным в обслуживании. Так в примере, представленном ранее.
А для подключения абонентов необходимо использовать три (по числу групп подключаемых абонентов) различных IP-подсети и соответственным образом настраивать три виртуальных интерфейса на сервере.
Опубликовал katy
June 10 2015 18:43:58 ·
0 Комментариев ·
1701 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
