MForum.ru
Школы и университеты ставят перед проектировщиками сетевых решений все новые и более сложные задачи. Ведь помимо обычных требований, предъявляемым пользователями к современным компьютерным сетям (высокая пропускная способность, надежность и масштабируемость), здесь остро встает вопрос, что предпочесть – безопасность, или гибкость.
Обычно в течение дня студенты и профессорско-преподавательский состав работают в различных аудиториях на всей территории университетского городка. Ограничение физического доступа к сети несколькими точками подключения является не самым лучшим решением в подобном окружении – сеть должна быть мобильной. Многие годы основная задача сетевой безопасности на территории школ и университетов заключалась в том, чтобы защитить сеть от внешних угроз, например, от атак хакеров. Однако в действительности же, в результате роста числа мобильных компьютеров и повышения популярности устройств с поддержкой Ethernet, количество серьезных сетевых атак, порождаемых внутри сети, уже превышает число внешних угроз. Студенты, преподаватели и просто посетители могут свободно перемещаться по территории университета, и отследить действия всех этих пользователей не представляется возможным. Преподаватели должны иметь доступ к определенным сетевым ресурсам, например, доступ к некоторым сетевым дискам, на которых могут храниться оценки учащихся или какая-либо конфиденциальная информация. В то же время, студенты представляют постоянную угрозу для сетевой безопасности, в силу того, что они обладают достаточными знаниями, временем для подобных экспериментов, а, зачастую, и склонностью испытать на прочность локальные системы сетевой безопасности.
Как защитить сеть, обеспечив при этом высокую гибкость?
При подключении к сети в учебных аудиториях профессорско-преподавательский состав и административные работники должны получать доступ к учебным материалам и расписанию, и иметь возможность не только просматривать информацию, но и изменять ее. При этом доступ к части тех же учебных материалов необходимо обеспечить и студентам.
Один из способов добиться этого – это создать отдельные виртуальные локальные сети (VLAN) для "администрации" и для "учеников". Вкладка: Виртуальная локальная сеть обладает теми же атрибутами, что и физическая локальная сеть, но при этом она позволяет группировать компьютеры пользователей, даже если они подключены к разным сетевым коммутаторам (и находятся в разных подсетях). Вместо физического перемещения устройств реконфигурация сети происходит на программном уровне.
Ко всем этим компьютерам предъявляются одинаковые требования с точки зрения безопасности, и при этом они могут взаимодействовать друг с другом, как если бы были подключены в один сегмент сети (broadcast domain), вне зависимости от точки их физического подключения. Виртуальная сеть для преподавателей и административных работников может быть защищена с помощью механизмов Stateful Packet Inspection, что позволит предотвратить несанкционированный доступ к конфиденциальным данным, например, к экзаменационным документам. Доступ к этим материалам должен осуществляться исключительно по имени пользователя и паролю, поэтому ученики не смогут свободно обращаться к административным ресурсам. Однако такой подход подразумевает необходимость в приложении, которое бы разграничивало локальную сеть на публичную и защищенную зоны, и предоставляло некоторым пользователям доступ к некоторым ресурсам в защищенной зоне.
На рисунке выше представлена структура идеальной сети для учебных заведений, обеспечивающая оптимальный уровень безопасности. В этой сети коммутатор объединяет две виртуальных локальных сети – ученическую и административную; кроме того, к нему подключен сервер аутентификации. Этот сервер, в зависимости от прав доступа пользователя, обеспечивает подключенным хостам доступ либо к учебной, либо к административной виртуальной локальной сети. Кроме того, коммутатор выступает в роли DHCP сервера (Dynamic Host Configuration Protocol) и присваивает подключающимся хостам IP адреса из соответствующего диапазона административной или учебной виртуальной локальной сети.
Компания Allied Telesis уже имеет опыт успешной реализации подобного проекта для обеспечения высокого уровня безопасности и гибкости в наиболее типичных учебных сетях.
Физически решение состоит из периферийных коммутаторов второго уровня, подключенных по оптоволокну к модульному коммутатору третьего уровня опорной сети. Основное преимущество подобного решения заключается в функциях, выполняемых этими коммутаторами. В частности, выполнение ключевых требований по одновременному обеспечению гибкости и безопасности достигаются за счет возможности аутентификации по протоколу 802.1x.
Аутентификация по протоколу 802.1x и динамическое создание виртуальных локальных сетей VLAN поможет предотвратить несанкционированный доступ в сеть, но при этом по-прежнему будут обеспечивать пользователям гибкий мобильный доступ к ресурсам сети, вне зависимости от того, где они физически к ней подключились. Благодаря аутентификации по протоколу 802.1x пользователи не смогут отправить даже пакет данных в сеть без предоставления корректных реквизитов для аутентификации. В то же время, благодаря динамическому созданию локальных сетей пользователи, успешно прошедшие аутентификацию, попадают в надлежащую виртуальную сеть, в зависимости от настройки своей учетной записи. Таким образом, пользователи попадают в "родное" сетевое окружение вне зависимости от точки физического подключения.
Еще одним немаловажным элементом решения является аппаратная фильтрация трафика, что позволяет гарантировать отсутствие утечки трафика между различными IP подсетями, без снижения пропускной способности сети.
Подводим итог
В последнее время школы и университеты все чаще используют в своих учебных процессах компьютерные сети. При этом для них жизненно необходимо обеспечить высокую пропускную способность сети, надежность, масштабируемость, а также гибкость и безопасность. Специфика защиты компьютерной сети в учебном окружении значительно отличается от специфики защиты корпоративной сети, поскольку обычно студенты не сидят на одном месте, а пользуются различными компьютерами, и вместе с тем и различными USB устройствами. Если при изначальном проектировании сети учитывать подобную специфику, и принимать соответствующие меры предосторожности, то, как правило, сеть будет оставаться защищенной как от внутренних, так и от внешних угроз.
О Allied Telesis
Основанная в 1987 году, компания Allied Telesis входит в холдинг Allied Telesis Group и является глобальным поставщиком защищенных сетевых решений на базе технологий IP/Ethernet. Компания занимает ведущее положение на рынке систем для развертывания сетей с услугами Triple Play поверх инфраструктур кабельного и оптоволоконного доступа. Интегрированные платформы мультисервисного доступа iMAP POTS-to-10G, интеллектуальные мультисервисные шлюзы iMG, а также передовые решения для коммутации, маршрутизации и совместимые с протоколом IPv6 сетевые транспортные решения, построенные на базе технологии WDM, позволяют операторам частных и общедоступных сетей, а также различным сервис-провайдерам развертывать масштабируемые сети операторского класса для оказания экономически выгодных услуг пакетной передачи данных, голоса и видео. Дополнительная информация представлена на .
Статья предоставлена компанией Allied Telesis
10.07. Realme Narzo 100x 5G с батареей 8000 мАч и 144 Гц-дисплей представят 15 июля
10.07. HMD Arc 2 - бюджетник с улучшенным процессором и минимальными изменениями
10.07. Redmi Note 17 Pro – 9000 мАч, 5-летняя защита аккумулятора и бесплатная замена батареи
09.07. Появились первые слухи о Vivo V80 – дисплей 144 Гц, батарея 7200 мАч и перископная камера
09.07. Характеристики iQOO Z11 для Индии будут отличаться от глобальной версии
08.07. Nothing Ear (3a) – бюджетные наушники с записью разговоров и 42 часами автономност
08.07. Nothing Phone (4b) – доступный смартфон с большой батареей и фирменным дизайном
08.07. Honor Robot Phone может выйти в августе 2026 года
07.07. Vivo Y500 дебютировал на глобальном рынке с батареей 8100 мАч
07.07. Moto G77 Power официально представлен перед релизом 8 июля
07.07. Раскрыты ключевые характеристики Vivo X300e – АКБ 7100 мАч, перископный зум и плоский экран
06.07. Samsung Galaxy Jump 5 – операторский аппарат на базе Galaxy A27 5G
06.07. Vivo Pad 5c – доступный планшет с 144 Гц, Snapdragon 8s Gen 3 и батареей 10 000 мАч
03.07. Huawei Band 11, Band 11 Metal и Band 11 Pro – доступные фитнес-браслеты с AMOLED-экранами и GNS
03.07. Данные о Samsung Galaxy A18 показали обновление стратегии и отказ от Exynos
02.07. Redmi K90 Ultra получил Snapdragon 8 Elite, активное охлаждение и батарею 8550 мАч
02.07. Nothing Phone (4b) – дата анонса, ключевые характеристики и дизайн
01.07. Ключевые характеристики Samsung Galaxy Z Fold8 раскрыты до анонса
01.07. OnePlus N6 дебютировал в Индии: 8000 мАч, Dimensity 6360 Max и цена от $243
01.07. В iPhone 2027 экраны останутся прежними — 60 Гц у iPhone 18e и 120 Гц у остальных