MForum.ru
Школы и университеты ставят перед проектировщиками сетевых решений все новые и более сложные задачи. Ведь помимо обычных требований, предъявляемым пользователями к современным компьютерным сетям (высокая пропускная способность, надежность и масштабируемость), здесь остро встает вопрос, что предпочесть – безопасность, или гибкость.
Обычно в течение дня студенты и профессорско-преподавательский состав работают в различных аудиториях на всей территории университетского городка. Ограничение физического доступа к сети несколькими точками подключения является не самым лучшим решением в подобном окружении – сеть должна быть мобильной. Многие годы основная задача сетевой безопасности на территории школ и университетов заключалась в том, чтобы защитить сеть от внешних угроз, например, от атак хакеров. Однако в действительности же, в результате роста числа мобильных компьютеров и повышения популярности устройств с поддержкой Ethernet, количество серьезных сетевых атак, порождаемых внутри сети, уже превышает число внешних угроз. Студенты, преподаватели и просто посетители могут свободно перемещаться по территории университета, и отследить действия всех этих пользователей не представляется возможным. Преподаватели должны иметь доступ к определенным сетевым ресурсам, например, доступ к некоторым сетевым дискам, на которых могут храниться оценки учащихся или какая-либо конфиденциальная информация. В то же время, студенты представляют постоянную угрозу для сетевой безопасности, в силу того, что они обладают достаточными знаниями, временем для подобных экспериментов, а, зачастую, и склонностью испытать на прочность локальные системы сетевой безопасности.
Как защитить сеть, обеспечив при этом высокую гибкость?
При подключении к сети в учебных аудиториях профессорско-преподавательский состав и административные работники должны получать доступ к учебным материалам и расписанию, и иметь возможность не только просматривать информацию, но и изменять ее. При этом доступ к части тех же учебных материалов необходимо обеспечить и студентам.
Один из способов добиться этого – это создать отдельные виртуальные локальные сети (VLAN) для "администрации" и для "учеников". Вкладка: Виртуальная локальная сеть обладает теми же атрибутами, что и физическая локальная сеть, но при этом она позволяет группировать компьютеры пользователей, даже если они подключены к разным сетевым коммутаторам (и находятся в разных подсетях). Вместо физического перемещения устройств реконфигурация сети происходит на программном уровне.
Ко всем этим компьютерам предъявляются одинаковые требования с точки зрения безопасности, и при этом они могут взаимодействовать друг с другом, как если бы были подключены в один сегмент сети (broadcast domain), вне зависимости от точки их физического подключения. Виртуальная сеть для преподавателей и административных работников может быть защищена с помощью механизмов Stateful Packet Inspection, что позволит предотвратить несанкционированный доступ к конфиденциальным данным, например, к экзаменационным документам. Доступ к этим материалам должен осуществляться исключительно по имени пользователя и паролю, поэтому ученики не смогут свободно обращаться к административным ресурсам. Однако такой подход подразумевает необходимость в приложении, которое бы разграничивало локальную сеть на публичную и защищенную зоны, и предоставляло некоторым пользователям доступ к некоторым ресурсам в защищенной зоне.
На рисунке выше представлена структура идеальной сети для учебных заведений, обеспечивающая оптимальный уровень безопасности. В этой сети коммутатор объединяет две виртуальных локальных сети – ученическую и административную; кроме того, к нему подключен сервер аутентификации. Этот сервер, в зависимости от прав доступа пользователя, обеспечивает подключенным хостам доступ либо к учебной, либо к административной виртуальной локальной сети. Кроме того, коммутатор выступает в роли DHCP сервера (Dynamic Host Configuration Protocol) и присваивает подключающимся хостам IP адреса из соответствующего диапазона административной или учебной виртуальной локальной сети.
Компания Allied Telesis уже имеет опыт успешной реализации подобного проекта для обеспечения высокого уровня безопасности и гибкости в наиболее типичных учебных сетях.
Физически решение состоит из периферийных коммутаторов второго уровня, подключенных по оптоволокну к модульному коммутатору третьего уровня опорной сети. Основное преимущество подобного решения заключается в функциях, выполняемых этими коммутаторами. В частности, выполнение ключевых требований по одновременному обеспечению гибкости и безопасности достигаются за счет возможности аутентификации по протоколу 802.1x.
Аутентификация по протоколу 802.1x и динамическое создание виртуальных локальных сетей VLAN поможет предотвратить несанкционированный доступ в сеть, но при этом по-прежнему будут обеспечивать пользователям гибкий мобильный доступ к ресурсам сети, вне зависимости от того, где они физически к ней подключились. Благодаря аутентификации по протоколу 802.1x пользователи не смогут отправить даже пакет данных в сеть без предоставления корректных реквизитов для аутентификации. В то же время, благодаря динамическому созданию локальных сетей пользователи, успешно прошедшие аутентификацию, попадают в надлежащую виртуальную сеть, в зависимости от настройки своей учетной записи. Таким образом, пользователи попадают в "родное" сетевое окружение вне зависимости от точки физического подключения.
Еще одним немаловажным элементом решения является аппаратная фильтрация трафика, что позволяет гарантировать отсутствие утечки трафика между различными IP подсетями, без снижения пропускной способности сети.
Подводим итог
В последнее время школы и университеты все чаще используют в своих учебных процессах компьютерные сети. При этом для них жизненно необходимо обеспечить высокую пропускную способность сети, надежность, масштабируемость, а также гибкость и безопасность. Специфика защиты компьютерной сети в учебном окружении значительно отличается от специфики защиты корпоративной сети, поскольку обычно студенты не сидят на одном месте, а пользуются различными компьютерами, и вместе с тем и различными USB устройствами. Если при изначальном проектировании сети учитывать подобную специфику, и принимать соответствующие меры предосторожности, то, как правило, сеть будет оставаться защищенной как от внутренних, так и от внешних угроз.
О Allied Telesis
Основанная в 1987 году, компания Allied Telesis входит в холдинг Allied Telesis Group и является глобальным поставщиком защищенных сетевых решений на базе технологий IP/Ethernet. Компания занимает ведущее положение на рынке систем для развертывания сетей с услугами Triple Play поверх инфраструктур кабельного и оптоволоконного доступа. Интегрированные платформы мультисервисного доступа iMAP POTS-to-10G, интеллектуальные мультисервисные шлюзы iMG, а также передовые решения для коммутации, маршрутизации и совместимые с протоколом IPv6 сетевые транспортные решения, построенные на базе технологии WDM, позволяют операторам частных и общедоступных сетей, а также различным сервис-провайдерам развертывать масштабируемые сети операторского класса для оказания экономически выгодных услуг пакетной передачи данных, голоса и видео. Дополнительная информация представлена на
Статья предоставлена компанией Allied Telesis
26.09. [Новинки] Анонсы: Xiaomi 17 со Snapdragon 8 Elite Gen 5 представлен официально / MForum.ru
25.09. [Новинки] Анонсы: Vivo V60 Lite 5G представлен официально / MForum.ru
25.09. [Новинки] Анонсы: Qualcomm официально представила Snapdragon 8 Elite Gen 5 / MForum.ru
24.09. [Новинки] Слухи: Использование инновационного экрана в iQOO 15 подтверждено официально / MForum.ru
23.09. [Новинки] Анонсы: MediaTek официально представила флагманский чипсет Dimensity 9500 / MForum.ru
23.09. [Новинки] Анонсы: Realme GT 8 и GT 8 Pro представят в следующем месяце / MForum.ru
22.09. [Новинки] Анонсы: Vivo Y50i представлен официально
19.09. [Новинки] Анонсы: Redmi 15C 5G появился в некоторых странах ЕС / MForum.ru
19.09. [Новинки] Слухи: Xiaomi Pad 8 может получить чипсет Snapdragon 8 Elite / MForum.ru
19.09. [Новинки] Слухи: Vivo V60 Lite 4G готовится к анонсу / MForum.ru
18.09. [Новинки] Слухи: Смартфон Xiaomi 17 Pro замечен в Geekbench / MForum.ru
17.09. [Новинки] Анонсы: Компания BOE представила дисплей ADS Pro / MForum.ru
16.09. [Новинки] Анонсы: Vivo Y31 5G и Y31 Pro 5G официально представлены в Индии / MForum.ru
16.09. [Новинки] Слухи:Huawei Watch GT 6 и Watch GT 6 Pro готовятся к анонсу / MForum.ru
15.09. [Новинки] Слухи: В сеть просочились изображения Moto G 2026 и G Play 2026 / MForum.ru
15.09. [Новинки] Анонсы: Sony Xperia 10 VII представлен официально / MForum.ru
12.09. [Новинки] Анонсы: HMD Vibe 5G, HMD 101 и HMD 102 представлены официально / MForum.ru
11.09. [Новинки] Слухи: Раскрыты спецификации Xiaomi 16 / MForum.ru
10.09. [Новинки] Анонсы: Apple iPhone 17 Pro и 17 Pro Max представлены официально / MForum.ru
10.09. [Новинки] Анонсы: Apple AirPods Pro 3 представлены официально / MForum.ru