Использование технологии VLAN () на устройствах серии DFL

Использование технологии VLAN (802.1q) на устройствах серии DFL.

Предложенный материал подразумевает, что Вы обладаете базовыми знаниями по стандарту 802.1q, а так же Вам знакомы и понятны термины тег (tag), «tagged port» и «untagged port», VLAN ID. Если Вы не знакомы со стандартом 802.1q, рекомендуется предварительно ознакомиться с соответствующим материалом на сайте dlink.ua или посетить семинары в ближайшем представительстве D-Link.

Устройства серии DFL полностью поддерживают стандарт 802.1q и способны работать VLAN. Рассмотрим на примере создание VLAN. На нашем устройстве будет создано 2 дополнительные подсети:

· Подсеть с VLAN ID равным 3 и адресным пространством 192.168.2.1/24

· Подсеть с VLAN ID равным 4 и адресным пространством 192.168.4.1/24

Сначала создадим объекты, которые будут описывать эти адресные пространства. Для каждой из подсетей нам понадобится по 2 объекта. Первый будет описывать ip-адрес с подсети, который привязан к DFL, второй описывать сам диапазон.

Создаём эти объекты для первой подсети. Сначала адрес:

Далее объект описывающий саму подсеть:

После создания аналогичных объектов для второго сегмента получаем 4 записи:

Следующая наша задача – непосредственно создание интерфейсов, которые будут привязаны к необходимым VLAN_ID. Эти действия будут выполняться в подразделе «VLAN » раздела «Interfaces ».

При создании интерфейса задаём:

· В поле «Name » удобное для нас имя интерфейса.

· В поле «Interface » выбираем один из физических интерфейсов к которому будет привязан наш VLAN. Тут нам доступны только физические интерфейсы, которые существуют на нашем DFL.

· В поле «VLANID » мы указываем тег (ID) нашего VLAN. В нашем случае для первого VLAN это будет значение «3», для второго «4».

· В полях «IPaddress » и «Network » выбираем соответствующие объекты, которые мы создали ранее.

После создания обоих интерфейсов мы имеем следующую картину:

Далее созданные интерфейсы могут использоваться на равнее с другими интерфейсами в любых разделах управления DFL. Например, правило разрешающее прохождение пакетов со стороны VLAN 3 на DFL на ip-адрес 192.168.2.1 будет выглядеть так:

В предложенном варианте построения наша сеть подключённая к интерфейсу Lan будет работать по следующей схеме:

1. Входящие пакеты:

a. Пакеты, содержащие в себе маркеры тегов с ID равным 3 или 4, будут отнесены к интерфейсам vlan3 и vlan4 соответственно, после чего к пакетам будут переменены правила соответствующие данным интерфейсам.

b. Пакеты не содержащие тега будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

c. Пакеты содержащие в себе маркеры тегов отличные от 3 и 4 будут отброшены.

2. Исходящие пакеты:

a. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физический интерфейс как untagged, т.е. не будут содержать тега.

b. Если пакет в соответствии с маршрутизацией должен отправиться через интерфейсы vlan3 или vlan4, он будет отправлен как tagged, т.е. будет иметь тег с соответствующим VLAN ID.

Бывают случаи, когда физическую сеть необходимо поделить на физические сегменты, однако имеющееся сетевое оборудование или не поддерживает стандарт 802.1q, или, в связи с топологией сети, после маршутизатора DFL физическая сеть должна быть действительно разделена на физически независимые сегменты. На DFL-260E и DFL-860E на физическом интерфейсе LAN по сути установлен свитч (5 портов на DFL-260E и 8 портов на DFL-860E), порты которого могут быть выделены под отдельные VLAN. Этот режим называется «Port based VLAN ».

ВАЖНО! В режиме «Port based VLAN » физический интерфейс LAN перестаёт работать с тегами стандарта 802.1q и отбрасывает пакеты содержащие такие теги.

Настройка портов выполняется в подразделе «Switch Management » раздела «Interfaces ».

Например, на устройстве DFL-260E выделим порт №3 под VLAN 3, а порты №4 и №5 под VLAN 4. Настройка будет выглядеть так:

В таком случае работа DFL будет выглядеть следующим образом:

1. Исходящие пакеты:

a. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физические порты 1 и 2 как untagged пакеты, т.е. не будут содержать тега.

b. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan3 будут переданы через физический порт 3 как untagged пакеты, т.е. не будут содержать тега.

c. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan4 будут переданы через физические порты 4 и 5 как untagged пакеты, т.е. не будут содержать тега.

2. Входящие пакеты:

a. Пакеты не содержащие тега и пришедшие на порты 1 и 2 будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

b. Пакеты не содержащие тега и пришедшие на порт 3 будут отнесены к сети описанной на интерфейсе vlan3 и к ним будут применены правила соответствующие данному интерфейсу.

c. Пакеты не содержащие тега и пришедшие на порты 4 и 5 будут отнесены к сети описанной на интерфейсе vlan4 и к ним будут применены правила соответствующие данному интерфейсу.

d. Пакеты содержащие в себе маркеры тегов будут отброшены.

Если необходимо одновременно разделение на физические сегменты (режим «Port based VLAN») и при этом также необходимо работать с тегированными пакетами, то для этого необходимо задействовать дополнительно ещё 1 физический интерфейс, через который и будут работать пакеты с тегами.

Например: настройка vlan3 в режиме «Port based VLAN», а vlan4 с поддержкой 802.1q.

1. vlan3 закрепляем за физическим интерфейсом Lan. vlan4 закрепляется за физическим интерфейсом DMZ.

2. Настройка в подразделе «Switch Management » будет выглядеть так:

Соотвественно, работа устройства будет выглядеть так:

1. Исходящие пакеты:

a. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физические порты 1, 2, 4 и 5 как untagged пакеты, т.е. не будут содержать тега.

b. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса DMZ будут переданы через физические интерфейс dmz как untagged пакеты, т.е. не будут содержать тега.

c. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan3 будут переданы через физический порт 3 как untagged пакеты, т.е. не будут содержать тега.

d. Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan4 будут переданы через физический порт dmz как tagged пакеты и будут содержать тег с VLAN ID 4.

2. Входящие пакеты:

a. Пакеты, содержащие в себе маркеры тегов и входящие на любые порты интерфейса Lan будут отброшены.

b. Пакеты, содержащие в себе маркеры тегов отличные от 4 и входящие на порт интерфейса DMZ будут отброшены.

c. Пакеты, содержащие в себе маркеры тега с ID равным 4 и пришедшие на интерфейс dmz, будут отнесены к интерфейсу vlan4, после чего к пакетам будут переменены правила соответствующие данному интерфейсу.

d. Пакеты не содержащие тега и пришедшие на порт 3 интерфейса Lan будут отнесены к сети описанной на интерфейсе vlan3 и к ним будут применены правила соответствующие данному интерфейсу.

e. Пакеты не содержащие тега и пришедшие на порты 1, 2, 4 и 5 интерфейса Lan будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

f. Пакеты не содержащие тега и пришедшие на порты интерфейса DMZ будут отнесены к сети описанной на физическом интерфейсе DMZ и к ним будут применены правила соответствующие данному интерфейсу.

Межсетевой экран D-Link DFL-860E

Компания Инсотел является официальным партнером D-LINK с 2009 года
Статус официального партнера подтверждает компетенции наших менеджеров и технических специалистов, а так же гарантирует что весь поставляемый товар является оригинальным.
Наши специалисты готовы помочь Вам в составлении проектов, и предоставить вам лучшие ценовые условия.

DFL-860E NETDEFEND межсетевой экран D-Link для малого бизнеса. По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения, вложенные в решения по безопасности становятся все более значимыми. D-Link представляет ряд мощных решений для защиты сетей предприятий от разнообразных угроз. Межсетевые экраны NetDefend UTM предлагают всестороннюю защиту от вирусных атак, от несанкционированного доступа и нежелательного контента, а также расширенные возможности управления, мониторинга и обслуживания безопасной сети.

• Межсетевой экран уровня Enterprise
  Межсетевые экраны NetDefend UTM обеспечивают законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени.
• Unified Threat Management (UTM)
  Межсетевые экраны NetDefend UTM оснащены системой обнаружения и предотвращения, антивирусом и фильтрацией Web-содержимого для проверки и защиты содержимого на 7 уровне. Используемый в данных устройствах аппаратный ускоритель увеличивает производительность IPS и AV, управляющей базы поиска в Web, содержащей миллионы URL для фильтрации Web-содержимого (WCF). Сервисы обновления IPS, антивируса и базы данных URL защищают офисную сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям бизнеса по управлению доступом сотрудников к Интернет.
• Производительность VPN
  Для оптимальной настройки VPN межсетевые экраны NetDefend UTM поддерживают встроенный VPN-клиент и сервер, что позволяет работать практически с любой политикой VPN и осуществлять подключение филиалов к головному офису по безопасной сети. Пользователи, работающие на дому, также могут безопасно подключиться к сети для доступа к внутренним данным компании и получения электронной почты. Межсетевые экраны NetDefend UTM поддерживают аппаратные VPN engines для поддержки и управления широким диапазоном сетей VPN. Эти устройства поддерживают протоколы IPSec, PPTP и L2TP в режиме Клиент/Сервер и осуществляют обработку проходящего через них трафика. Расширенные опции настройки VPN включают: шифрование DES/3DES/AES/Twofish/Blowfish/CAST-128, управление ключами IKE/ISAKMP или вручную, согласование режимов Quick/Main/Aggressive и поддержка аутентификации VPN, используя внешний RADIUS-сервер или базу данных пользователей.
• Сервисы UTM
  Для обеспечения эффективной защиты от угроз из Интернет необходимо, чтобы все три базы данных, используемых межсетевых экранов NetDefend UTM, поддерживались в актуальном состоянии. В связи с этим D-Link предлагает дополнительную подписку на обновление сигнатур для каждого из сервисы NetDefend Firewall UTM: IPS, антивирус и WCF. Это позволяет обеспечить точность и актуальность баз данных NetDefend UTM.
• Мощная система предотвращения атак (IPS)
  Межсетевые экраны NetDefend UTM используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против неизвестных атак. В результате данные устройства помогают при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. База данных IPS включает информацию о глобальных атак и вторжениях, собранную на публичных сайтах (например, National Vulnerability Database и Bugtrax). Межсетевые экраны NetDefend UTM обеспечивают высокую эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры NetDefend через D-Link Auto-Signature Sensor System. Эти сигнатуры обеспечивают высокую точность обнаружения при минимальном количестве ошибочных срабатываний.
• Потоковое сканирование вирусов
  Межсетевые экраны NetDefend UTM позволяют сканировать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Эти межсетевые экраны используют сигнатуры вирусов от известных надежных антивирусных компаний, например, Kaspersky Labs, при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут настольных или мобильных устройств.
• Фильтрация Web-содержимого
  Фильтрация Web-содержимого помогает администраторам осуществлять мониторинг, управление и контроль использования сотрудниками предоставленного им доступа к Интернет. Межсетевые экраны NetDefend UTM поддерживают несколько серверов глобальных индексов с миллионами URL и информацией в реальном времени о Web-сайтах, что позволяет увеличить производительность и обеспечить максимальную доступность сервиса. В этих межсетевых экранах используются политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей. Эти устройства также позволяют обходить потенциально опасные объекты, включая Java-апплеты, Java-скрипты/VBS-скрипты, объекты ActiveX и cookies, активно обрабатывая содержимое Интернет.
• Подписка на сервисы NetDefend UTM
  Стандартная подписка NetDefend UTM (Unified Threat Management) рассчитана на 12 месяцев*, начиная со дня активации или продления сервиса. Рекомендуется регулярно продлевать подписку на сервисы NetDefend UTM. Сервисы NetDefend UTM доступны по подписке на сайте центра безопасности NetDefend D-Link:

• VPN Engine
• Аппаратное шифрование и аутентификация данных для IPSec, PPTP и L2TP в режиме Клиент/Сервер позволяет организовать быструю и безопасную обработку VPN-трафика.
• Профессиональная система предотвращения вторжений (IPS)
• Автоматическое обновление базы данных сигнатур IPS и защита сети от атак zero-day.
• Антивирусная (AV) проверка в реальном времени
• Для межсетевых экранов ZoneDefense UTM сканирование осуществляется по наиболее полной и актуальной базе данных антивирусных сигнатур, используя технологию потокового сканирования, что позволяет наиболее эффективно защищать сеть от вирусов.
• Быстрая и эффективная фильтрация web-содержимого
• Несколько серверов глобальных индексов, политики с множеством параметров, чёрные списки и активная обработка содержимого – всё это улучшает производительность и эффективность контроля доступа в Интернет.
• Аппаратный ускоритель для Unified Threat Management
• Встроенный аппаратный ускоритель позволяет межсетевому экрану осуществлять IPS и антивирусное сканирование одновременно, не ухудшая производительность межсетевого экрана.
• Резервирование канала WAN
• 2 WAN-порта поддерживают распределение нагрузки, а также функцию fail-over, обеспечивая доступность Интернет и требуемую полосу пропускания.
• Доступность дополнительного сервиса по обновлению сигнатур в течение года
• Дополнительные сервисы подписки на сигнатуры IPS, AV, фильтрации Web-содержимого приобретаются сразу для всего межсетевого экрана, и их цена не зависит от количества пользователей, что делает данные сигнатуры очень доступными по цене.
• Активная сетевая безопасность с D-Link ZoneDefense*
• Благодаря применению механизма Zone-Defense при работе с коммутаторами серии xStack D-Link, инфицированные рабочие станции автоматически блокируются и не имеют возможности распространять по внутренней сети злонамеренный трафик.

• Сертификат D-Link Green
  Сертифицированные D-Link Green DFL-1660 и DFL-2560(G) имеют встроенный источник питания 80 PLUS, который предлагает увеличенную надежность, обусловленную большей эффективностью, и обеспечивает сокращение затрат, благодаря длинному сроку службы оборудования. Кроме того, источник питания 80 PLUS уменьшает загрязнение окружающей среды благодаря уменьшенному энергопотреблению и снижению температуры во избежание затрат на вентиляцию. DFL-260E и DFL-860E автоматически сохраняют энергию посредством определения длины кабеля и статуса соединения. При определении длины кабеля, подключенного к порту, величина питания, используемая для порта может регулироваться насколько это необходимо. DFL-260E/860E также может определить используется ли порт, тогда как подключенный компьютер отключен или порт не используется, тогда питание автоматически уменьшается для этого порта вплоть до значительного снижения питания.
• Сертифицированные устройства соответствуют директивам RoHS (Ограничение содержания вредных веществ) и WEEE (Отходы электрического и электронного оборудования). Директивы RoHS ограничивают использование определенных опасных материалов во время производства, в то время как WEEE следует стандартам переработки отходов и повторному использованию. Все это делает межсетевые экраны D-Link Green продуктами, наименее загрязняющими окружающую среду.

Интерфейсы
+ Ethernet
- 2 порта 10/100/1000 Ethernet WAN
- 1 порт 10/100/1000 Ethernet DMZ (настраиваемый)
- 8 портов 10/100/1000 Ethernet LAN
+ USB: 2 USB порта (зарезервировано)
+ Консольный порт: RJ-45

Производительность системы
+ Производительность межсетевого экрана2: 200 Мбит/с
+ Производительность VPN3: 60 Мбит/с
+ Производительность IPS4: 80 Мбит/с
+ Производительность антивируса 4: 50 Мбит/с
+ Количество параллельных сессий: 40,000 5
+ Количество новых сессий (в секунду): 4,000
+ Политики: 1000

Межсетевой экран
+ Прозрачный режим
+ NAT, PAT
+ Протокол динамической маршрутизации: OSFP
+ H.323 NAT Traversal
+ Политики по расписанию
+ Application Layer Gateway
+ Активная сетевая безопасность

Сетевые функции
+ DHCP сервер/клиент
+ DHCP Relay
+ Маршрутизация на основе политик
+ IEEE 802.1q VLAN: 16
+ VLAN на основе портов
+ IP Multicast: IGMP v3

Виртуальные частные сети (VPN)
+ Шифрование (DES/3DES/AES/Twofish/ Blowfish / CAST-128)
+ Выделенные VPN-туннели: 300 5
+ Сервер PPTP/L2TP
+ Hub and Spoke
+ IPSec NAT Travesal
+ SSL VPN (Функция будет доступна в будущем)

Балансировка нагрузки
+ Балансировка исходящего трафика
+ Балансировка нагрузки сервера
+ Алгоритм балансировки нагрузки серверов: Round-robin, Weight-based Round-robin, Destination-based, Spill-over
+ Перенаправление трафика при обрыве канала (fail-over)

Управление полосой пропускания
+ Traffic Shaping на основе политик
+ Гарантированная полоса пропускания
+ Максимальная полоса пропускания
+ Полоса пропускания на основе приоритета
+ Динамическое распределение полосы пропускания

High Availability (HA)
+ Резервирование канала WAN

Intrusion Detection & Prevention System (IDP/IPS)
+ Автоматическое обновление шаблонов
+ Защита от атак DoS, DDoS
+ Предупреждение об атаках по электронной почте
+ Расширенная подписка IDP/IPS (приобретается отдельно)
+ Черный список по IP (пороговая величина или IDP/IPS)

Фильтрация содержимого
+ Тип HTTP: Белый/черный список URL
+ Тип скриптов: Java Cookie, ActiveX, VB
+ Тип e-mail: Белый / черный список e-mail
+ Внешняя база данных фильтрации содержимого

Антивирусная защита
+ Антивирусное сканирование в реальном времени
+ Неограниченный размер файла
+ Сканирование VPN-туннелей
+ Поддержка сжатых файлов
+ Поставщик сигнатур: Kaspersky
+ Автоматическое обновление шаблонов

Питание
Внутренний источник питания

Размеры
+ 330 x 180 x 44 мм
+ Установка в стойку 13''

Рабочая температура
От 0º до 40ºС

Температура хранения
От -20º до 70ºС

Рабочая влажность
От 5% до 95%, без образования конденсата

EMI
+ FCC Class A
+ CE Class A
+ C-Tick
+ VCCI

Safety
UL LVD (EN60950-1)

1 Фактическая производительность может изменяться в зависимости от сетевых условий и активности сервисов.
2 Максимальная производительность межсетевого экрана основана на RFC2544.
3 Пропускная способность VPN измерялась с использованием UDP трафика и размере пакета 1420, согласно RFC 2544
4 Тест производительности IPS и антивируса основан на протоколе HTTP с вложением файла 1 Мб, запущенным на IXIA IxLoad. Тест сделан со множеством потоков через несколько пар портов.
5 Производительность определена на основе прошивки 2.27.00 и выше
6 Доступно, если DMZ порт настроен как WAN порт
7 Совместим с модулями SFP-трансиверов D-Link: DEM-310GT, DEM-311GT, DEM-312GT2, DEM-314GT, DEM-315GT, DEM-330T, DEM-330R, DEM-331T, DEM-331R, DGS-712

Купить Межсетевые экраны D-Link DFL-860E Вы можете в компании Инсотел по безналичному расчету. По вопросам приобретения оборудования обращайтесь в отдел продаж по телефону (495) 646-12-86 или электронной почте sales@insotel.ru. В Компании Инсотел Вы можете купить Сетевое оборудование по выгодным ценам с доставкой в любую точку России.