2.5.1. Tính linh hoạt
Chúng ta có thể điều khiển các thiết bị trên một máy chủ trung tâm thay vì cấu hình từng cổng riêng lẻ của tất cả các thiết bị chuyển mạch.
Đối với một tổ chức lớn, Vlan động có thể đơn giản hóa việc quản lý mạng.
2.5.2. Bảo mật
Với Dynamic Vlan, mỗi thiết bị được kết nối với một bộ chuyển mạch sẽ được kiểm tra dựa trên cơ sở dữ liệu của máy chủ về tư cách thành viên của nó.
Do đó, không có thiết bị ngẫu nhiên nào có thể cắm vào công tắc và truy cập vào mạng.
Dynamic Vlan dựa trên một số đặc điểm của thiết bị, thường là địa chỉ MAC. Đối với Static Vlan, một cổng chỉ thuộc về một VLAN, nhưng đối với Dynamic Vlan, một cổng có thể là thành viên của nhiều VLAN.
Dynamic Vlan linh hoạt nhưng phức tạp hơn và nhiều quản trị viên vẫn thích Static Vlan
Hình 22 2.6. VLAN Trunking Protocol (VTP)
2.6.1. Giới thiệu về VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng.
Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một đường kết nối point - to- point để hổ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu hình Trunk sẽ gộp nhiều đường lien kết ảo trên một đường liên kết vật lý để chuyể tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý.
Hoạt động của VTP:
Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các Frame từ VLAN khác nhau trên một đường truyền vật lý. Giao thức Trunking thiết lập các thỏa thuận cho việc sắp xếp các frame vào các cổng được liện kết với nhau ở hai đầu đường trunk.
Hiện nay có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging. Trong khuôn khổ đồ án này chỉ đề cập đến kỹ thuật Frame Tagging.
Giao thức Trunking Frame Tagging để phân biệt các Frame và để dàng quản lý và phân phát Frame nhanh hơn. Các tag được thêm vào trên đường gói tin đi ra vào đường trunk. Các gói tin có gắn tag không phải là gói tin quảng bá.
Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN. Để lưu trữ, mỗi Frame được gắn tag để nhận dạng trước khi gửi đi, Frame của VLAN nào thì thì đi về VLAN đó.
2.6.2. Cấu hình một cổng là Trunk trên switch.
Switch_A(config)#interface faseethenet 0/1 Switch_A(config-if)#switchport mode trunk
Switch_A(config-if)#switchport trunk encapsulation dot 1q
Hoặc
Switch_A(config-if)#switchport trunk encapsulation isl Switch_A(config-if)#end
2.7. VLAN Trunking Protocol – Giao thức mạch nối VLAN – VTP2.7.1. Nguồn gốc VTP 2.7.1. Nguồn gốc VTP
VTP được thiếp lập để giải quyến các vấn đề nằm bên trong hoạt động của môi trường chuyển mạch VLAN.
Ví dụ như: Một domain mà có kết nối switch hỗ trợ VLAN. Để thiết lập và duy trì kết nối bên trong VLAN, mỗi VLAN phải được cấu hình trên cổng của switch.
Khi phát triển mạng và các switch được thêm vào, mỗi switch mới phải được cấu hình với các thông tin trước đó. Một kết nối đơn không đúng VLAN ẩn chứa 2 vấn đề:
Các nối chồng chéo lên nhau do cấu hình VLAN không đúng.
Các cấu hình không đúng giữa các môi truyền khác nhau như là Enthernet và FDDI.
Với VTP, cấu hình VLAN được duy trì dễ dàng bằng Admin domain. Thêm nữa, VTP làm giảm phức tạp của việc quản lý VLAN.
2.7.2. Khái miệnVTP
Vai trò của VTP là duy trì cấu hình VLAN thông qua admin domain của mạng. VTP Lớp 2 một giao thức Lớp 2 sử dụng các Trunk Frame để quản lý việc thêm bớt, xóa và đổi tên các VLAN trên một domain. Thêm nữa, VTP cho phép tập trung các thay đổi tới tất cả các switch trong mạng. (adsbygoogle = window.adsbygoogle || []).push({});
Thông điệp VTP được đóng gói trong một chuẩn CISCO là giao thức ISL hoặc IEEE 802.1q và sau đó đi qua các liên kết Trunk tới các thiết bị khác.
2.7.3. Lợi ích của VTP
VTP có thể cấu hình không đúng, khi sự thay đổi tạo ra. Các cấu hình không đúng có thể tổng hợp trong trường hợp thống kê các vi phạm nguyên tắc bảo mật. bởi vì các kế nối VLAN bị chồng chéo khi các VLAN bị đặt trùng tên. Các cấu hình không đúng này có thể bị cắt kết nối khi chúng được ánh xạ từ một kiểu LAN tới một kiểu LAN khác. VTP cung cấp các lợi ích sau:
Hệ thống ánh xạ cho phép 1 VLAN được trunk qua các môi trường truyền hỗn hợp. Giống như ánh xạ các VLAN Enthernet tới các đường truyền tốc độ cao như ATM, LANE, hoặc FDDI.
Theo dõi chính xác kiểm tra VLAN Báo động về việc thêm vào các VLAN. Dễ dàng thêm mới VLAN
Trước khi thiết lập các VLAN, ta phải thiết lập một miền quản lý (management domain) trong phạm vi những thứ mà ta kiểm tra các VLAN trong mạng. Các switch trong cùng một miền quản lý chia sẽ thông tin VLAN với các VLAN khác và một số switch có thể tham gia vào chỉ một miền quản lý VTP. Các switch ở khác miền không chia sẻ thông tin VTP.
Các switch sử dụng giao thức VTP thì trên mỗi cổng trunk của nó có: Miền quản lý(managment domain)
Số cấu hình
Biết được VLAN và các thông số cụ thể.
2.7.4. Miền VTP (VTP domain)
Một miền VTP (VTP domain) được tạo ra một hay nhiều các thiết bị đa kết nối để chia sẻ trên cùng một tên miền VTP. Mỗi switch chỉ có thể có một miền VTP. Khi một thông điệp VTP truyền tới các switch trong mạng, thì tên miền phải chính xác để thông tin truyền qua.
Đóng gói VTP với ISL Frame:
VTP header có nhiều kiểu trên một thông điệp VTP, có 4 kiểu thường được tìm thấy trên tất cả các thông điệp VTP:
Phiên bản giao thức VTP – 1 hoặc 2 Kiểu thông điệp VTP – 1 trong 4 kiểu Độ dài tên của miền quản lý
Tên miền quản lý
VTP flood thông điệp quảng bá (advertisement) qua VTP domain 5 phút một lần, hoặc có sự thay đổi xảy ra trong cấu hình VLAN. Một VTP advertisement bao gồm có revision – number, tên VLAN (vlan name), số hiệu VLAN (vlan number), và thông tin về các switch có port gắn với mỗi VLAN. Bằng sự cấu hình VTP Server và việc truyền bá thông tin thông qua advertisement , tất cả các switch đều biết về tên VLAN và số hiệu của VLAN của tất cả các VLAN.
Một trong những thành phần quan trọng của VTP advertisement là tham số revision number. Mỗi lần VTP Server điều chỉnh thông số VLAN, nó tăng revision – number lên 1, rồi sau đó VTP Server mới gửi VTP advertisement đi. Khi một switch
nhận một VTP advertisement với revision – number lớn hơn, nó sẽ cập nhật cấu hình VLAN.
Hình 23 : VTP thông điệp quảng bá 2.8. Các chế độ VTP
VTP hoạt động ở một trong 3 chế độ
o Server
o Client
Hình 24: Chế độ VTP
Nếu một Switch ở chế độ VTP server có thể tạo, chỉnh sửa, xóa VLAN. VTP server lưu cấu hình VLAN trong NVRAM của nó. VTP server gửi thông điệp ra tất cả các port trunk của nó.
Switch ở chế độ VTP Client không tạo, chỉnh sửa và xóa thông tin. VTP Client có chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất cả các port trunk của nó.
VTP Client không lưu cấu hình trong VNRAM mà chỉ đặt trên RAM vì nó thể có học cấu hình VLAN từ server. Do đó chế độ client rất hữu dụng khi switch không đủ bộ nhớ để lưu một lượng lớn thông tin VLAN.
Switch ở chế độ transparent sẽ nhận và chuyển tiếp (forward) các VTP update do các switch do các switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này. Nếu transparent switch nhận thông tin cập nhật VTP nó cũng không cập nhật vào cơ sở của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng không gửi thông tin cập nhật cho các switch khác. Trên transparent switch chỉ có một việc duy
Server
Client Transparnte
Tạo vlans Sửa vlans Xóa vlans (adsbygoogle = window.adsbygoogle || []).push({});
Gửi/ chuyển tiếp thông điệp quảng bá
Đồng bộ
Lưu giữ trong NVRAM
Chuyển tiếp thông điệp quảng bá
Đồng bộ
Không lưu trong NVRAM
Tạo vlans Sửa vlans Xóa vlans
Gửi/ chuyển tiếp thông điệp quảng bá
nhất là chuyển tiếp thông điệp VTP. Switch hoạt động ở chế độ transprarent - mode chỉ có thể tạo ra VLAN cục bộ. Các vlan này sẽ không quảng bá đến các switch khác.
Cấu hình VTP
- Cấu hình VTP domain: Switch(config) #vtp domain_name
- Cấu hình VTP mode: Switch(config) #vtp [client│trasparent│ server] - Lệnh xem cấu hình VTP: Switch # show vtp status - Tag
CHƯƠNG 3: ỨNG DỤNG CỦA DYNAMIC TRONG AN TOÀN MẠNG
3.1. Sự cần thiết của an toàn mạng
Mạng chưa được phân loại được kết nối với Internet và cung cấp các dịch vụ tiêu chuẩn được yêu cầu đối với một mạng doanh nghiệp hiện đại: tự động hóa văn phòng, e- mail, truy cập Internet và nhóm làm việc, chia sẻ file.
Những khách truy cập đi cùng với máy tính xách tay của họ sẽ gặp phải một số vấn đề về quản lý cấu hình: địa chỉ IP và định tuyến cần phải được cấu hình lại và điều tương tự cũng phải được thực hiện với card mạng và máy in. Ngoài ra, khi khách truy cập yêu cầu tham gia vào một nhóm làm việc với các nhân viên của Trung tâm, chia sẻ tệp và lẫn nhau xác thực cần được điều chỉnh. Việc có các máy tính bên ngoài kết nối với
mạng dẫn đến các mối đe dọa quan trọng: vi rút hoặc Trojan có thể đã hoạt động trên vật chủ; cấu hình sai hoặc phần mềm đã cài đặt trước đó có thể tương tác không thể đoán trước với mạng; ngoài ra, hành vi độc hại của người dùng không thể bị loại trừ (tải xuống các ứng dụng độc hại từ Internet, cố gắng truy cập trái phép các tài nguyên của Trung tâm, DoS, nghe trộm vv).
Các chính sách của trung tâm dành cho khách truy cập kết nối mạng có thể giảm thiểu một phần rủi ro liên quan đến vi rút hoặc mã độc hại. Tuy nhiên, một loạt các mối đe dọa đến và lây lan bằng cách sử dụng mạng cơ sở hạ tầng như một phương tiện. Ngoài ra, việc xác định và loại bỏ nguồn gốc của một cuộc tấn công nội bộ thường liên quan đến một thời gian trôi đi có thể được sử dụng bởi tác nhân độc hại (vi-rút hoặc kẻ tấn công) để giành quyền kiểm soát hoặc lây lan trên mạng.
Theo quan điểm này, điều quan trọng là phải có một cơ sở hạ tầng có thể tự cấu hình lại và cô lập các phần của mạng, khi chúng được công nhận là nguồn của một cuộc tấn công: do đó mạng phải được được triển khai để tác động của một cuộc tấn công có thể nhanh chóng được hạn chế với tác động tối thiểu đến sự sẵn có của các cơ sở mạng đối với những người dùng khác.
3.2. Phương pháp kỹ thuật
Mạng đã được chia thành các mạng con hợp lý, tương ứng với các nhóm làm việc khác nhau. Mỗi mạng con là được chỉ định một không gian địa chỉ dành riêng. Thông thường, không gian địa chỉ được gán cho một nhóm làm việc bao gồm bốn lớp Mạng C, do đó cho phép thêm mạng con cho các ô đặc biệt liên quan đến dự án bên trong một nhóm làm việc.
Việc sử dụng các mạng con làm tăng tính bảo mật, cho phép phân biệt lưu lượng truy cập tại các cổng hoặc giới hạn quyền truy cập vào tài nguyên hoặc máy chủ trên cơ sở cần biết. Việc sử dụng một lược đồ mạng con thuần túy không nhất thiết phải phù hợp với vị trí vật lý của nơi làm việc trong tòa nhà (đây cũng là vấn đề của một số lượng lớn các doanh nghiệp). Các phòng ban là thường lan rộng khắp một tòa nhà, do đó tạo ra các mạng con không liền kề về mặt vật lý. Ngoài ra, người dùng và máy tính thường được di chuyển khi được chỉ định lại từ dự án này sang dự án khác. Tình huống này gây ra một chi phí tái cấu hình trong mạng tiêu chuẩn.
Việc sử dụng VLAN (Mạng cục bộ ảo) cung cấp giải pháp cho các vấn đề liên quan đến tính di động và định vị vật lý của máy tính, bằng cách chỉ định động các máy chủ cho mạng con của chúng bất kể vị trí vật lý của họ.
Dynamic Vlan (Động) và Static Vlan (Tĩnh)
Hai cách tiếp cận khác nhau có thể được sử dụng khi gán máy tính cho VLAN: tĩnh và động. Thông thường, cả hai phương pháp đều được sử dụng, tuân theo lược đồ triển khai do Cisco Systems đề xuất. Gán VLAN tĩnh có nghĩa là mỗi cổng của switch được liên kết (tĩnh) với một VLAN nhất định: một máy tính tham gia vào VLAN tùy theo cổng được kết nối. Cách tiếp cận này hữu ích khi mạng tương đối ổn định và máy tính hiếm khi được di chuyển từ ổ cắm này sang ổ cắm khác: một khi các thiết bị chuyển mạch được định cấu hình đúng, chi phí cấu hình sẽ thấp. Trong môi trường như vậy, bảo mật có thể được cải thiện hơn nữa bằng cách bảo mật địa chỉ MAC trên các cổng chuyển
mạch, do đó hạn chế số lượng địa chỉ MAC được phép trên một cổng chuyển mạch cụ thể. Ngoài ra, để có được tính chọn lọc và bảo mật cao hơn, có thể gán địa chỉ MAC theo cách thủ công cho một cổng chuyển mạch.
Việc cấu hình các VLAN tĩnh đòi hỏi phải có kiến thức hoàn hảo về cấu trúc liên kết vật lý mạng, vì người quản trị mạng cần chỉ định số VLAN cho mọi cổng của thiết bị chuyển mạch truy cập. Trên mạng hiện có, điều này có thể tạo ra chi phí cấu hình ban đầu có liên quan. Trong mọi trường hợp, các cổng chuyển mạch phải được cấu hình lại bất cứ khi nào máy tính thay đổi vị trí hoặc VLAN.
Mặt khác, cách tiếp cận VLAN động phức tạp hơn, nhưng nó không yêu cầu bất kỳ cấu hình lại nào khi máy tính thay đổi vị trí vật lý của chúng trong mạng (ví dụ: khi chúng được chuyển từ văn phòng này sang văn phòng khác). Việc gán VLAN được thực hiện trên cơ sở địa chỉ vật lý (MAC) của máy tính kết nối.
Cơ sở dữ liệu được duy trì tập trung trên Máy chủ Chính sách Quản lý VLAN (VMPS); cơ sở dữ liệu này bao gồm các địa chỉ MAC và liên kết của chúng với VLAN tương ứng. Khi một máy tính được chuyển đến một cổng chuyển mạch được định cấu hình là “cổng động”, bộ chuyển mạch sẽ quan sát địa chỉ MAC của máy tính đang kết nối. Sau đó, một truy vấn được gửi đến máy chủ VMPS, sử dụng địa chỉ MAC được truy vấn làm từ khóa, lấy đổi lại việc gán VLAN. Cổng sau đó được chèn vào VLAN được chỉ định trong tệp cấu hình.
Tất cả các hoạt động này được thực hiện trong vài giây, theo cách minh bạch đối với người dùng. (adsbygoogle = window.adsbygoogle || []).push({});
3.3. VLAN Management Policy Server Tổng quan về máy chủ VMPS:
Máy chủ chính sách thành viên VLAN (VMPS) cung cấp một máy chủ tập trung để chọn VLAN cho một cổng động dựa trên địa chỉ MAC của thiết bị được kết nối với cổng. Khi máy chủ di chuyển từ một cổng trên một công tắc trong mạng sang một cổng trên một công tắc khác trong mạng, công tắc đó tự động gán cổng mới cho VLAN thích hợp cho máy chủ đó.
Bộ chuyển mạch Catalyst 4500 chạy phần mềm Cisco IOS không hỗ trợ chức năng của VMPS. Nó chỉ có thể hoạt động như một máy khách Giao thức truy vấn VLAN (VQP), giao tiếp với VMPS thông qua VQP. Đối với chức năng VMPS, bạn cần sử dụng bộ chuyển mạch Catalyst 4500 (hoặc Catalyst Switch 6500 series) chạy phần mềm hệ điều hành (OS) Catalyst.
VMPS sử dụng một cổng UDP để lắng nghe các yêu cầu VQP từ các máy khách,