В связи с требованием заказчика, требуется разделить доступ во внутреннюю локальную сеть и интернет.
Для этого необходимо воспользоваться способами разделения сетей. Предлагаются следующие два способа:
Физическое разделение сетей, используя для каждой разные коммутаторы/маршрутизаторы.
В данном случае возникает необходимость использования большего количества оборудования, что повышает стоимость ЛВС, но в то же время, возрастает её надежность.
Виртуальное разделение сетей, используя такую возможность коммутаторов/маршрутизаторов как VLAN (Virtual Local Area Network – виртуальная локальная вычислительная сеть).
Для чего используется VLAN.
Гибкое разделение устройств на группы
Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения;
|
|
Уменьшение количества широковещательного трафика в сети
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
Увеличение безопасности и управляемости сети
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.
Система аутентификации.
Для организации безопасного доступа к информации на рабочих станциях и серверах применяют способ аутентификации. Аутентификация (Authentication) - проверка принадлежности субъекту доступа предъявленного идентификатора; подтверждение подлинности. Обычно в локальных сетях аутентификация происходит методом ввода пароля, выданного пользователю сети. Чтобы избежать подбора пароля, необходимо, чтобы его вид соответствовал следующим требованиям:
величина пароля должна быть от 8 до 32 символов;
пароль должен содержать заглавные, строчные буквы, цифры а также другие символы вроде “$, %, _, @” и т.д.;
пользователям должна быть запрещена самостоятельная смена пароля;