CISCO порусски. Набор статей 2
Безопасность в многоуровневой модели
Безопасность в многоуровневой модели
Поддержка контрольных списков доступа (Access Control List) обеспечивается многоуровневой коммутацией без уменьшения производительности. В связи с тем, что весь трафик сети проходит через уровень распределения, то именно этот уровень и есть наиболее подходящее место для установки списков доступа и средств обеспечения разграничения прав доступа. Эти списки доступа могут также использоваться для ограничения взаимодействия коммутаторов на разных уровнях сети. В добавление необходимо отметить, что в такой сети обеспечивается поддержка протоколов централизованного управления правами доступа, таких как TACACS+ и RADIUS. Программное обеспечение Cisco IOS также обеспечивает несколько уровней авторизации и шифрование паролей пользователей. Сетевым менеджерам может быть предоставлен определенный набор команд по управлению отдельными участками сети.
Использование коммутации уровня 2 на уровне доступа и в фермах серверов привносит в общую сеть дополнительные возможности по разграничению прав доступа. На разделяемой среде передачи все пакеты видны для всех пользователей логической подсети. Это может быть использовано при взломе систем защиты данных, т.к. имеется возможность отслеживать передачу файлов и паролей пользователей. В коммутируемой же сети при взаимодействии двух узлов пакеты видны только отправителю и получателю данных. А также если коммутация уровня 2 применяется в фермах серверов, то весь межсерверный трафик не выпускается в общую сеть.
Для обеспечения функций безопасности и защиты данных в условиях глобальных сетей (Wide-Area Network, WAN) используется концепция брэндмауеров (firewall). Firewall имеет в своем составе один или несколько маршрутизаторов и выступает в качестве бастиона, защищающего внутренние узлы сети от доступа из специальной зоны, называемой DMZ (Demilitarized Zone). Специализированные устройства кэширования содержимого серверов WWW и другие устройства Firewall могут быть подключены к DMZ.
Внутренние маршрутизаторы Firewall подключаются к ядру кампусной сети, что можно назвать уровнем распределения WAN. На Рисунок 20 показан строительный блок сети, представляющий собой уровень распределения WAN с элементами Firewall.
