MForum.ru
Школы и университеты ставят перед проектировщиками сетевых решений все новые и более сложные задачи. Ведь помимо обычных требований, предъявляемым пользователями к современным компьютерным сетям (высокая пропускная способность, надежность и масштабируемость), здесь остро встает вопрос, что предпочесть – безопасность, или гибкость.
Обычно в течение дня студенты и профессорско-преподавательский состав работают в различных аудиториях на всей территории университетского городка. Ограничение физического доступа к сети несколькими точками подключения является не самым лучшим решением в подобном окружении – сеть должна быть мобильной. Многие годы основная задача сетевой безопасности на территории школ и университетов заключалась в том, чтобы защитить сеть от внешних угроз, например, от атак хакеров. Однако в действительности же, в результате роста числа мобильных компьютеров и повышения популярности устройств с поддержкой Ethernet, количество серьезных сетевых атак, порождаемых внутри сети, уже превышает число внешних угроз. Студенты, преподаватели и просто посетители могут свободно перемещаться по территории университета, и отследить действия всех этих пользователей не представляется возможным. Преподаватели должны иметь доступ к определенным сетевым ресурсам, например, доступ к некоторым сетевым дискам, на которых могут храниться оценки учащихся или какая-либо конфиденциальная информация. В то же время, студенты представляют постоянную угрозу для сетевой безопасности, в силу того, что они обладают достаточными знаниями, временем для подобных экспериментов, а, зачастую, и склонностью испытать на прочность локальные системы сетевой безопасности.
Как защитить сеть, обеспечив при этом высокую гибкость?
При подключении к сети в учебных аудиториях профессорско-преподавательский состав и административные работники должны получать доступ к учебным материалам и расписанию, и иметь возможность не только просматривать информацию, но и изменять ее. При этом доступ к части тех же учебных материалов необходимо обеспечить и студентам.
Один из способов добиться этого – это создать отдельные виртуальные локальные сети (VLAN) для "администрации" и для "учеников". Вкладка: Виртуальная локальная сеть обладает теми же атрибутами, что и физическая локальная сеть, но при этом она позволяет группировать компьютеры пользователей, даже если они подключены к разным сетевым коммутаторам (и находятся в разных подсетях). Вместо физического перемещения устройств реконфигурация сети происходит на программном уровне.
Ко всем этим компьютерам предъявляются одинаковые требования с точки зрения безопасности, и при этом они могут взаимодействовать друг с другом, как если бы были подключены в один сегмент сети (broadcast domain), вне зависимости от точки их физического подключения. Виртуальная сеть для преподавателей и административных работников может быть защищена с помощью механизмов Stateful Packet Inspection, что позволит предотвратить несанкционированный доступ к конфиденциальным данным, например, к экзаменационным документам. Доступ к этим материалам должен осуществляться исключительно по имени пользователя и паролю, поэтому ученики не смогут свободно обращаться к административным ресурсам. Однако такой подход подразумевает необходимость в приложении, которое бы разграничивало локальную сеть на публичную и защищенную зоны, и предоставляло некоторым пользователям доступ к некоторым ресурсам в защищенной зоне.
На рисунке выше представлена структура идеальной сети для учебных заведений, обеспечивающая оптимальный уровень безопасности. В этой сети коммутатор объединяет две виртуальных локальных сети – ученическую и административную; кроме того, к нему подключен сервер аутентификации. Этот сервер, в зависимости от прав доступа пользователя, обеспечивает подключенным хостам доступ либо к учебной, либо к административной виртуальной локальной сети. Кроме того, коммутатор выступает в роли DHCP сервера (Dynamic Host Configuration Protocol) и присваивает подключающимся хостам IP адреса из соответствующего диапазона административной или учебной виртуальной локальной сети.
Компания Allied Telesis уже имеет опыт успешной реализации подобного проекта для обеспечения высокого уровня безопасности и гибкости в наиболее типичных учебных сетях.
Физически решение состоит из периферийных коммутаторов второго уровня, подключенных по оптоволокну к модульному коммутатору третьего уровня опорной сети. Основное преимущество подобного решения заключается в функциях, выполняемых этими коммутаторами. В частности, выполнение ключевых требований по одновременному обеспечению гибкости и безопасности достигаются за счет возможности аутентификации по протоколу 802.1x.
Аутентификация по протоколу 802.1x и динамическое создание виртуальных локальных сетей VLAN поможет предотвратить несанкционированный доступ в сеть, но при этом по-прежнему будут обеспечивать пользователям гибкий мобильный доступ к ресурсам сети, вне зависимости от того, где они физически к ней подключились. Благодаря аутентификации по протоколу 802.1x пользователи не смогут отправить даже пакет данных в сеть без предоставления корректных реквизитов для аутентификации. В то же время, благодаря динамическому созданию локальных сетей пользователи, успешно прошедшие аутентификацию, попадают в надлежащую виртуальную сеть, в зависимости от настройки своей учетной записи. Таким образом, пользователи попадают в "родное" сетевое окружение вне зависимости от точки физического подключения.
Еще одним немаловажным элементом решения является аппаратная фильтрация трафика, что позволяет гарантировать отсутствие утечки трафика между различными IP подсетями, без снижения пропускной способности сети.
Подводим итог
В последнее время школы и университеты все чаще используют в своих учебных процессах компьютерные сети. При этом для них жизненно необходимо обеспечить высокую пропускную способность сети, надежность, масштабируемость, а также гибкость и безопасность. Специфика защиты компьютерной сети в учебном окружении значительно отличается от специфики защиты корпоративной сети, поскольку обычно студенты не сидят на одном месте, а пользуются различными компьютерами, и вместе с тем и различными USB устройствами. Если при изначальном проектировании сети учитывать подобную специфику, и принимать соответствующие меры предосторожности, то, как правило, сеть будет оставаться защищенной как от внутренних, так и от внешних угроз.
О Allied Telesis
Основанная в 1987 году, компания Allied Telesis входит в холдинг Allied Telesis Group и является глобальным поставщиком защищенных сетевых решений на базе технологий IP/Ethernet. Компания занимает ведущее положение на рынке систем для развертывания сетей с услугами Triple Play поверх инфраструктур кабельного и оптоволоконного доступа. Интегрированные платформы мультисервисного доступа iMAP POTS-to-10G, интеллектуальные мультисервисные шлюзы iMG, а также передовые решения для коммутации, маршрутизации и совместимые с протоколом IPv6 сетевые транспортные решения, построенные на базе технологии WDM, позволяют операторам частных и общедоступных сетей, а также различным сервис-провайдерам развертывать масштабируемые сети операторского класса для оказания экономически выгодных услуг пакетной передачи данных, голоса и видео. Дополнительная информация представлена на .
Статья предоставлена компанией Allied Telesis
20.02. [Новинки] Анонсы: Vivo V70 Elite — флагманский чип Snapdragon 8s Gen 3, телефото-камера и 6500 мАч в премиальном среднеценовом сегменте / MForum.ru
20.02. [Новинки] Анонсы: Vivo V70 — плоский дисплей, алюминиевая рамка, батарея 6500 мАч и ультразвуковой сканер / MForum.ru
20.02. [Новинки] Анонс: Infinix Xpad 30E — бюджетный планшет с 4G и встроенным ИИ-репетитором для образования / MForum.ru
19.02. [Новинки] Анонсы: Google Pixel 10a — Tensor G4, быстрая зарядка и семь лет обновлений по той же цене / MForum.ru
19.02. [Новинки] Анонсы: Infinix Note Edge 5G выходит в Индии с изогнутым AMOLED-экраном яркостью 4500 нит и батареей 6500 мАч / MForum.ru
18.02. [Новинки] Анонсы: Tecno Camon 50 и 50 Pro представлены официально – экран 144 Гц, 3-кратный зум, батарея 6150 мАч и защитой IP69K / MForum.ru
18.02. [Новинки] Анонсы: Lava Bold N2 4G — обновлённый дизайн, улучшенная защита и Android 15 Go за $82 / MForum.ru
18.02. [Новинки] Слухи: Infinix GT 50 Pro засветился на рендерах — карбон, 144 Гц и батарея до 6500 мАч / MForum.ru
17.02. [Новинки] Анонсы: Realme P4 Lite 4G выходит в Индии 20 февраля с батареей 6300 мАч / MForum.ru
17.02. [Новинки] Анонсы: Vivo V60 Lite первым в мире получил Snapdragon 6s 4G Gen 2 и сохраненил батарею 6500 мАч / MForum.ru
17.02. [Новинки] Слухи: Apple тестирует раскладушку iPhone Flip вдобавок к книжному iPhone Fold / MForum.ru
16.02. [Новинки] Слухи: Poco C81 Pro готовится к выходу — 4G, экран 120 Гц и батарея 6000 мАч / MForum.ru
16.02. [Новинки] Анонсы: Honor Pad X8b — неожиданное возвращение через три с половиной года и батареей на 10 100 мАч / MForum.ru
16.02. [Новинки] Анонсы: TECNO POVA Curve 2 5G — 8000 мАч в ультратонком корпусе / MForum.ru
13.02. [Новинки] Анонсы: Honor X6d — глобальная версия Play 60A с улучшенной камерой / MForum.ru
13.02. [Новинки] Анонсы: Lava Yuva Star 3 — сверхбюджетный Android 15 Go с защитой IP64 и чистым ПО / MForum.ru
12.02. [Новинки] Слухи: Samsung подтвердила анонс Galaxy S26 25 февраля, но полные спецификации и цены раскрыты до премьеры / MForum.ru
12.02. [Новинки] Анонсы: Infinix Note 60 Pro — вдохновлен iPhone и Nothing, чип от Qualcomm и батарея 6500 мАч / MForum.ru
12.02. [Новинки] Слухи: Honor 600 Lite засветился в Geekbench с чипом Dimensity 7100 и Android 16 «из коробки» / MForum.ru
11.02. [Новинки] Анонсы: Oppo K14x — эволюция бюджетника с батареей 6500 мАч и зарядкой 45 Вт / MForum.ru
