sieci wirtualne vlan, vpn
TRANSCRIPT
![Page 1: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/1.jpg)
Tunelowanie, VLAN, VPN
Przemysłowe Sieci Informatyczne
Opracował dr inż. Jarosław Tarnawski
![Page 2: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/2.jpg)
Plan wykładu
Definicja tunelowania
Powody tunelowania
Wirtualne sieci lokalne VLAN
Konfiguracja Przemysłowych przełączników EDS-
Moxa508 do pracy w VLAN
Tunelowanie RS232 w Ethernecie
Wirtualne sieci prywatne VPN
![Page 3: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/3.jpg)
Tunelowanie
Definicja tunelowania (ang. tunneling)
Zestawianie połączenia pomiędzy dwoma (być może, ale
niekoniecznie odległymi) hostami dające wrażenie
połączenia bezpośredniego.
![Page 4: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/4.jpg)
Tunel wykorzytuje technikę enkapsulacji jednego
protokołu w innym, umożliwia zastosowanie
mechanizmów szyfrowania lub translacji transmitowanych
danych.
Zwykle jeden protokół jest nośnikiem innego
![Page 5: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/5.jpg)
Powody tunelowania
translacja protokołów i technologii - łączenie ze sobą sieci
lokalnych pracujących w różnych technologiach (IPX,
TCP/IP, ...) za pośrednictwem publicznych sieci rozległych
(Frame Relay, ATM, X.25, IP, ...),
względy bezpieczeństwa - łączenie tunelowania z
wykorzystaniem metod kryptograficznych celem
utworzenia kanału krytpograficznego.
![Page 6: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/6.jpg)
Techniki tunelowania
Techniki datagramowe:
L2TP (Layer 2 Tunneling Protocol),
GRE (Generic Routing Encapsulation),
GTP (GPRS Tunnelling Protocol),
PPTP (Point-to-Point Tunneling Protocol),
PPPoE (Point-to-Point Protocol over Ethernet),
PPPoA (Point-to-Point Protocol over ATM),
IP-IP Tunneling,
IPsec,
IEEE 802.1Q (Ethernet VLANs),
Techniki strumieniowe:
TLS (Transport Layer Security),
SSL (Secure Socket Layer)
![Page 7: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/7.jpg)
Tunelowanie z wykorzystaniem sieci
publicznych
Fabryka1 – sieć firmowa np.
Modbus
Fabryka2 – sieć firmowa np.
Profibus
sieć ogólnodostępna
stanowiąca TUNEL
Biuro i pion ekonomiczny
firmy – sieć firmowa np.
Ethernet
![Page 8: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/8.jpg)
Tunelowanie z SSH
Tunelowanie w oparciu o SSH polega na przesyłaniu
niezabezpieczonych pakietów protokołów TCP przez
bezpieczny protokół SSH. W tunelowaniu SSH wyróżnia się
dwa rodzaje przekierowania portów:
lokalne (wychodzące) - przekierowujące ruch przychodzący na port
lokalny na odpowiedni port zdalny,
zdalne (przychodzące) - przekierowujące ruch przychodzący na port
na serwerze na odpowiedni port lokalny.
Tunelowanie w oparciu o SSH może być wykorzystane do
umożliwienia dostępu do sieci korporacyjnej, do której nie jest
on możliwy w sposób bezpośredni. Posiadając odpowiednie
konto SSH na dostępnym serwerze, możliwe jest zestawienie
tunelu SSH do usługi na własnym komputerze w korporacji.
![Page 9: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/9.jpg)
Najczęściej tunelowane protokoły POP3, SMTP, HTTP,
FTP
Rys www.ssh.com
![Page 10: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/10.jpg)
omijania blokowanych portów i
usług
mHaker.pl
Aplikacje
http-tunnel
![Page 11: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/11.jpg)
Tunelowanie w Automatyce
Tunelowanie w celach łączenia sieci różnego typu
różne sieci polowe
Profibus
Ethernet
LON
EIB
CAN
biurowe,
korporacyjne
Tunelowanie w celu zabezpieczeń
Tunelowanie w celu połączeń rozproszonych elementów firmy
Tunelowanie w celu uzyskania możliwości zdalnego nadzoru
![Page 12: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/12.jpg)
Przykład tunelowania
![Page 13: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/13.jpg)
Przykład tunelowania
![Page 14: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/14.jpg)
Przykład tunelowania
![Page 15: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/15.jpg)
VLAN (ang Virtual LAN)
VLAN to grupa urządzeń ulokowanych gdziekolwek w
sieci, ale komunikujących się tak jak gdyby były w sieci
LAN.
VLAN - sieć komputerowa wydzielona logicznie w
ramach innej, większej sieci fizycznej
VLAN służy głównie do logicznego podziału sieci fizycznie
dołączonych do tego samego urządzenia (switcha)
![Page 16: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/16.jpg)
Powody budowy VLAN
Logiczna zamiast sprzętowej organizacja (sieci
przemysłowej/korporacyjnej.
Dzielenie sieci na grupy użytkowe:
Inżynierowie
Ekonomiści
Zarządzanie
Serwis/obsługa IT
Tworzenie hierarchii
Tworzenie typów użytkowników np. streaming, e-mail,
WWW, itd.
![Page 17: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/17.jpg)
VLAN
Podstawowe założenie Ethernetu – dostęp każdy z
każdym
Gdy potrzebna jest
Separacja wymagałoby
to większej liczby
urządzeń
sieciowych
![Page 18: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/18.jpg)
VLAN
![Page 19: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/19.jpg)
Znakowanie ramek i trunk
Aby do pojedynczej sieci VLAN można było przypisać fizyczne porty kilku przełączników, konieczne jest przekazywanie między przełącznikami oprócz ramek,także informację o numerze (ID) Vlanu aby odległy przełącznik przekazał ją do właściwej sieci wirtualnej.
Tą funkcję spełnia znakowanie lub tagowanie (tagging) opisane w dokumencie IEEE 802.1Q. Dzięki temu mechanizmowi możliwe jest transmitowanie ramek należących do wielu różnych VLANów poprzez jedno fizyczne połączenie zwane trunk. Ramka znakowana jest po wejściu do portu przełącznika, przekazywana
jest między przełącznikami, następnie kierowana jest na port/ porty wyjściowe, gdzie usuwane są znaczniki przed wysłaniem ramki do hosta. W niektórych przypadkach, karty sieciowe hostów potrafią znakować ramki podczas wysyłania do przełącznika, gdzie czynność ta jest omijana.
![Page 20: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/20.jpg)
IEEE 802.1Q
Standard IEEE 802.3Q określa metodę znakowania ramek przynależnych do odpowiedniego VLAN. Pole TPID (Tag Protocol Information) jest znacznikiem protokołu. Jednobitowe pole CFI (Canonical Format Indicator) wykorzystane jest dla osiągnięcia zgodności ethernet – Token Ring. Urządzenia Ethernet zawsze ustawiają w ramce wartość pola CFI =1. Pole TCI (Tag Control Information) jest informacją kontrolną znacznika. Pierwsze 3 bity występują dla utrzymania zgodności z protokołem 802.1p (QoS) i przenoszą informację o priorytecie ramki. W polu VLAN ID przenoszony jest numer sieci wirtualnej, do której należy dana ramka. Maksymalna liczba VLANów wynosi 212-2 czyli 4096.
![Page 21: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/21.jpg)
Zalety płynące z VLAN
Prosta programowa konfiguracja ulokowania urządzeń w
sieci, prostota i szybkość rekonfiguracji
Podniesienie bezpieczeństwa – komunikować się mogą
tylko uprawnione podsieci. Np. operator jest logicznie
odseparowany od pionu zarządzania
Uporządkowanie ruchu sieciowego
![Page 22: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/22.jpg)
Przykład VLAN z MOXA 508
![Page 23: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/23.jpg)
Przykład VLAN z MOXA 508
![Page 24: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/24.jpg)
VPN (ang. Virtual Private Network)
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna), można opisać jako tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki kanał może opcjonalnie kompresować lub szyfrować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych.
Określenie "Wirtualna" oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Pomimo takiego mechanizmu działania stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne. Rozwiązania oparte na VPN powinny być stosowane np. w sieciach korporacyjnych firm, których zdalni użytkownicy dosyć często pracują ze swoich domów na niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie).
![Page 25: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/25.jpg)
VPN
VPN ma trzy rodzaje zastosowań:
sieci dostępowe - łączą zdalnych użytkowników: czyli
pracowników mobilnych, konsultantów, sprzedawców,
lokalne filie, z siedzibą firmy;
intranet - łączy odległe oddziały tej samej firmy;
ekstranet - zapewnia ograniczony dostęp do sieci
firmowej zaufanym partnerom biznesowym.
![Page 26: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/26.jpg)
Wirtualna sieć prywatna VPN korzysta z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania, szyfrowania i procedur bezpieczeństwa zachowuje poufność danych.
Rys. PC World
![Page 27: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/27.jpg)
Najczęściej spotykane protokoły VPN
Bezpieczne sieci VPN można tworzyć za
pomocą jednego z trzech protokołów: L2TP
(Layer 2 Tunneling Protocol), IPSecurity
lub SSL/TLS (Secure Sockets
Layer/Transport Layer Security).
Dominującym obecnie protokołem jest
IPSec, ale coraz większą popularnością
cieszy się SSL/TLS.
![Page 28: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/28.jpg)
Open VPN darmowa aplikacja do budowy
VPN
OpenVPN
openvpn.net
OpenVPN to jedno z najpopularniejszych rozwiązań SSL VPN. Służy do budowy
sieci VPN opartych na protokole SSL/TLS. Jest łatwy w obsłudze i ma
rozbudowane możliwości konfiguracyjne. Są wersje do kilku systemów
operacyjnych, m.in. do: Linuksa, Windows, OpenBSD, FreeBSD, NetBSD, Solarisa.
Wersja 2, potrafi obsługiwać wielu klientów w tym samym porcie. Klient różni
się od serwera odmiennym plikiem konfiguracyjnym. Załączona pomoc opisuje,
w jaki sposób wygenerować pary certyfikatów za pomocą programu OpenSSL -
najpierw trzeba zainstalować pakiet OpenSSL oraz bibliotekę LZO,
przeprowadzającą kompresję.
Konfiguracja OpenVPN jest bardzo prosta nawet dla niedoświadczonego
użytkownika systemów VPN i oprócz instalacji niezbędnych pakietów, wymaga
ustawienia kilku parametrów w pliku konfiguracyjnym .ovpn.
![Page 29: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/29.jpg)
VPN
Wdrażając bezpieczne sieci VPN, należy mieć na uwadze, że:
•przesył między użytkownikami powinien być szyfrowany i
uwierzytelniany;
•część protokołów wykorzystywanych w VPN przeprowadza
uwierzytelnienie, ale nie szyfrowanie;
•klucze kryptograficzne należy zmieniać w miarę możliwości jak
najczęściej i przechowywać bezpiecznie;
•poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch
stronach ustanawianego tunelu;
•nikt poza administratorem sieci nie może mieć dostępu do parametrów
bezpieczeństwa.
![Page 30: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/30.jpg)
Różnica pomiędzy VLAN i VPN
Obie sieci mają nazwę sieci virtualnych
Ogólnie VLAN pozwala sieć (przeważnie skupioną) dzielić
na mniejsze podsieci (wydzielać logicznie)
Ogólnie VPNP pozwala łączyć podsieci (przeważnie
rozproszone) w większą podsieć
![Page 31: Sieci wirtualne VLAN, VPN](https://reader031.vdocuments.net/reader031/viewer/2022020119/58a2c10c1a28ab7f678b5146/html5/thumbnails/31.jpg)
Bibliografia
MOXA EtherDevice™ Switch EDS-508 Series User’s
Manual
Sieci VPN. Zdalna praca i bezpieczeństwo danych, Helion
2008
VPN za darmo, Krystian Ryłko, PC World