1 / 21

VLAN

VLAN. Kimmo Tukiainen 0275656. Sisältö. Yleistä Standardit Staattinen / Dynaaminen VLAN VLANin käyttö Tietoturva Yhteenveto. Yleistä. Virtuaali lähiverkko-tekniikka mahdollistaa toisistaan loogisesti riippumattomien segmenttien luomisen samaan verkkoon.

rusk
Download Presentation

VLAN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VLAN Kimmo Tukiainen 0275656

  2. Sisältö • Yleistä • Standardit • Staattinen / Dynaaminen VLAN • VLANin käyttö • Tietoturva • Yhteenveto

  3. Yleistä • Virtuaali lähiverkko-tekniikka mahdollistaa toisistaan loogisesti riippumattomien segmenttien luomisen samaan verkkoon. • VLANien luominen on mahdollista neljällä eri tavalla: MAC-osoitteen-, kytkimen portin-, verkko-osoitteen- tai protokollan perusteella.

  4. Yleistä • VLAN toimii OSI-mallin siirtoyhteyskerroksella, mutta koska virtuaaliverkkoja voidaan myös muodostaa IP- tai aliverkkokohtaisesti niin se voi toimia myös verkkokerroksella.

  5. http://www.cisco.com/warp/public/cc/pd/wr2k/cpbn/tech/vlan_wp.pdfhttp://www.cisco.com/warp/public/cc/pd/wr2k/cpbn/tech/vlan_wp.pdf

  6. Yleistä • Virtuaaliverkkojen luomisessa voidaan käyttää kahta erinlaista tekniikkaa: kehysten suodattamista tai kehysten merkitsemistä • Kummissakin tekniikoissa kytkimelle tuleva paketti tutkitaan ja se joko lähetetään eteenpäin tai hylätään riippuen kytkimelle asetetuista säännöistä.

  7. Kehysten suodattaminen • VLAN-jäsenyystiedot pidetään suodatustietokannoissa, joiden perusteella tiedetään ohjata liikenne oikeaan kytkimen porttiin. • Jokaisen portin on kuuluttava ainakin yhteen virtuaaliverkkoon, oletus virtuaaliverkosta käytetään nimitystä portti tai natiivi VLAN

  8. Kehysten merkitseminen • Kehysten merkitseminen käyttää yksilöllistä ID:tä jokaisessa kehyksessä. Kytkin tutkii kehyksen ID:n ennen edelleen lähettämistä ja poistaa tunnisteen ennen kuin paketti lähetetään kohteelle. • Määritelty 802.1Q-standardissa.

  9. Standardit • IEEE 802.1Q-standardi määrittelee Ethernet-kehykseen neljän tavun VLAN-tunnistekentän -> Ethernet-kehyksen maksimikoko kasvaa 1522 tavuun. • 802.1Q:ssa määritellään myös 3 bitin prioriteettikenttä -> 802.1P

  10. IEEE 802.1Q

  11. IEEE 802.1P Jaakohuhta, Hannu 2000. Lähiverkot Ethernet. IT Press

  12. Staattinen (porttikohtainen) VLAN • Määritellään kytkimeltä porttikohtaisesti mihin VLANiin portti kuuluu • Turvallinen • Työläs

  13. Dynaaminen VLAN • Dynaamisessa virtuaaliverkossa käytetään keskitettyä hallintaohjelmaa. VLANit voivat perustua joko MAC-osoitteisiin, verkko-osoitteisiin tai protokollaan.

  14. MAC-osoitekohtainen VLAN • Tietyt MAC-osoitteet kuuluvat tiettyyn virtuaaliverkkoon • Sama osoite voi kuulua moneen VLANiin • Työläs, jokainen MAC-osoite pitää erikseen määritellä käsin tiettyyn VLANiin

  15. Verkko-osoitekohtainen VLAN • Protokollasidonnaisia -> kukin protokolla muodostaa oman virtuaaliverkkonsa • Aliverkoilla ja verkko-osoitteilla määritellyt laitteet kuuluvat samaan VLANiin.

  16. Prokolla kohtainen VLAN • Kukin protokolla esimerkiksi IP tai IPX muodostavat oman verkkonsa • Käytetyimmästä protokollasta tulee suurin VLAN ja se onkin tämän menetelmän heikkous. • Helppo hallita

  17. VLANin käyttö • VLANia voidaa käyttää myös ATM, Token Ring ja WLAN-verkoissa • ATM:ssa LANEn avulla • Token Ringissä kahden tason VLANeja: Concentrator Relay Function ja Bridge Relay Function. • WLAN: nykyisissä tukiasemissa on VLAN tuki

  18. Tietoturva • OSI-malli on suunniteltu siten, että kaikki kerrokset pystyvät toimimaan yksinään. • Jos yksi kerros on kräkkeröity muut kerrokset eivät välttämättä tiedä tästä. • Siirtoyhteyskerroksella suurin osa hyökkäyksistä tapahtuu käyttämällä laitteiden kyvyttömyyttä jäljittää hyökkääjä

  19. Muutama hyökkäystapa • MAC Flooding hyökkäys -> rajalliset osoitetaulut. Taulun täyttäminen aiheuttaa ylivuodon. • ARP Hyökkäys -> ei varmista identiteettiä. Voidaan väittää että tietty MAC-osoite on on assosioitu johonkin IP:seen.

  20. Virtuaaliverkkojen hyödyt • Helppo konfiguroitavuus ja muutettavuus • Broadcast-kehyksien leviäminen rajoittuu VLANin sisälle • Verkon käyttäjien luokittelu ryhmiin -> käyttäjä voi olla fyysisesti missä tahansa verkon alueella • Loppukäyttäjälle ja mahdollisille verkkosovelluksille näkymätön.

  21. Yhteenveto • IEEE 802.1Q-standardin avulla kytkimiin pystytään luomaan VLANeja • IEEE 802.1P-standardi eli liikenteen priorisointi liittyy läheisesti VLANeihin • Nykyiset kytkimet ymmärtävät myös verkkokerroksen liikennettä -> poistaa erillisen reitittimen tarve useissa tapauksissa

More Related