Ауани желінің тұжырымдамасы
Мазмұны
КІРІСПЕ 8
1 Ауани желілер 10
1.1 Ауани жекеше желілер VPN 10
1.2 Ауани жергілікті желілер VLAN 13
1.3 VLAN негізгі артықшылықтары және кемшіліктері 16
2 VLAN түрлері мен хаттамалары 21
2.1 Порт негізіндегі ауани жергілікті желілер (Port-based VLAN) 23
2.2 МАС мекен-жайлар негізіндегі VLAN (MAC address-based VLAN) 32
2.3 Тамғалар (тегтер, стандарт 802.1q) негізіндегі VLAN 33
2.4 Хаттама негізіндегі VLAN (Protocol-based VLAN). 41
2.5 Пайдаланушыға арналған VLAN 43
2.6 IEEE 802.1Q және IEEE 802.1p хаттамалары 50
2.6.1 IEEE 802.1q стандарты 50
2.6.2 IEEE 802.1P стандарты 53
3 Ауани жекеше желіні жобалау 56
3.1 Желінің құрылымдық сұлбасы және сипаттамасы 56
3.2 Желі жабдықтары 59
3.3 D-Link коммутаторларында VLAN баптау 61
4 Экономикалық бөлім 64
4.1 Жобаның техникалық-экономикалық әзірленімі 64
4.2 Экономикалық есептеулер 65
5 Еңбек қорғау 73
5.1 Қауіпті және зиянды факторларды талдау 73
5.2 Жұмыс зонасының ауасына қойылатын жалпы санитарлық-гигиеналық талаптар
74
5.2.1 Шу және жұмыс орнында шудың шекті деңгейі 74
5.2.2 Діріл және оған қарсы күрес шаралары 75
5.2.3 Радиожиіліктердің электромагниттік аймағы және электромагниттік
өрістерден қорғану 76
5.3 Қауіпсіздік техникасы 77
5.4 Электрлік қауіпсіздігі 77
5.5 Өрт қауіпсіздігі 78
5.6 Есептеулер 83
5.6.1 Магнит өрістен экранның тиімділігн есептеу 83
Қорытынды 84
Қолданылған әдебиеттер 87
Қосымшалар 88
КІРІСПЕ
Бүгінгі ұйымдар, қаржы институттары және кәсіпорындар өздерінің
пайдаланатын ресурстарын азайтып, оларды пайдаланудың тиімділігін арттыру
үшін, икемді бола білулері керек. Бұл үшін белгілі бір жұмысты орындауға
неғұрлым аз адамдар жұмылдырылып, ал қандай да бір міндетті атқару үшін
құрылған уақытша жұмысшы топтары сол жұмыс аяқталысымен қайта жасақталуы
тиіс. Осындай өзгермелі орта жылдам өзгеріп тұратын жағдайларды және
кәсіпорынның қызмет атқаруы мен дамуы барысындағы қажеттіліктерін қолдайтын
желіні икемді ұйымдастыруды қажет етеді. Бұндай жағдайларда кәсіпорынның
компьютерлік желілері кәсіпорынның сәтті жұмыс істеуін қамтамасыз
ететіндей, ақпараттық инфрақұрылымның маңызды бөлігі болып табылады.
Желілік инфрақұрылым кәсіпорынның ақпараттық инфрақұрылымның
айтарлықтай шығынсыз қызмет етуін қамтамасыз етерліктей, икемді, өсуге
бейім, жеткілікті түрдегі өнімділігі бар, қорғалған және жақсы
басқарылатындай болуы тиісті. Бөлінетін ортаны (шоғырлауыштарды) қолданатын
желілер аталған қасиеттердің бірде бірін жақсы қамтамасыз ете алмайды.
Коммутациялау мен бағдарғылауыш сияқты жлілік технологиялар да желінің
қызмет атқаруының көптеген мәселелерін шешпейді. Коммутациялауды қолданған
кезде кеңтаралымды трафик нашар басқарылады, қауіпсіздікті қамтамасыз ету
мүмкіндіктері де жоғары емес. Бағдарғылау үстеме шығындарды арттырады және
желіні әкімшілеуді күрделіндіріп жібереді. Логикалық топтарды ұйымдастыру
үшін жұмыс стансасын жергілікті желінің бір сегментінен екіншісіне
физикалық түрде ауыстыру қажет болған кезде аталған технологияларды
пайдалану әкімшінің осы үдеріске араласуына тиым сала алмайды. Қолмен
коммутациялау көп уақытты және көп күш жұмсауды қажет етеді және тиімсіз
байласу орнатуға әкеп соғуы мүмкін. Қазіргі таңдағы желілік
технологиялардың ең жақсы деген қасиеттерін өзіне сіңірген ауани желілердің
технологиясы желінің қызмет атқаруының көптеген мәселелерін шешеді.
Көп портты көпірлер пайда болғанда, үлкен желіні кішірек қақтығыстар
домендеріне сегменттеуге мүмкіндік пайда болды. Осылайша желінің өнімділігі
арта түсті. Дегенмен, тұтқиыл (кенет) кеңтаралымды дауыл салдарынан болатын
желінің асыра жүктемесін азайта қоймады. Кеңтаралымды трафик Ethernet-
көпірлер арқылы еркін өте берді.
Ethernet-бағдарғылауыштарының пайда болуына байланысты желінің
пайдаланушыларын ортақ қақтығыстар домендері бар жұмыс топтарына топтастыра
бастады. Желінің ішіндегі әрбір топтың тиімділігін жақсартып қоймай,
кенеттен пайда болған кеңтаралымды дауыл шақырылған ортақ желінің асыра
жүктемесін азайтты. Дегенмен, ортақ желіні бағдарғылауыштардың көмегімен
жұмыс топтарына бөлу көптеген қиыншылықтар тудыра бастады. Жұмыс топтарының
арасындағы байланыс тек 3-ші деңгейлік бағдарғылауыштар арқылы жүзеге
асырылатын болды. Бұл өз кезегінде компаниялардың ауқымдык серверлеріне
қатынас құруды баяулатты.
Коммутацияланатын VLAN Ethernet технологиясының пайда болуына
байланысты кеңтаралымды домендер жиынтығы негізінде логикалық сегменттеу
мүмкін бола бастады. Бұл компаниялардың серверлеріне қатынас құруды
баяулатпай-ақ желінің өнімділігін жақсартуға, кеңтаралымды трафикті
азайтуға жол берді.
Жылдан-жылға коммутацияланатын порттардың саны корпоративтік желіде
үнемі артып отыруда. Сонымен қатар, коммутацияланатын әрбір портты бөліп
қолданатын желі пайдаланушыларының саны да азая бастады, тіпті
коммутацияланатын порттың әрқайсысымен жеке пайдаланушы байласу құра
алатындай мүмкіндік пайда болды. Желілік инфрақұрылымның бұл түрі ауани
жергілікті желіні VLAN (Virtual Local Area Network) қолдануға қолайлы болып
шықты.
Коммутатордың әрбір портына өзінің қызметтері мен мақсаттарына сәйкес
логикалық сегнементтерге бөлінген нақты VLAN тағайындауға болады.
Ауани жергілікті желінің көмегімен мыналарды істеуге болады:
• физикалық жергілікті желіні бірнеше логикалық ішжелілерге бөлу;
• қауіпсіздікті арттыру мақсатында әрбір портты оқшаулау;
• кеңтаралымды трафикті оқшаулау.
Сонымен қатар, VLAN-ның өлшемі мен құрылымын реттеу арқылы доменнің
құрылымы мен өлшемін өзгертуге болады.
Ауани жергілікті желі деректер ағыны тек осы топтың мүшелерімен
шектелетіндей етіп коммутатордың порттарын топтастыруға мүмкіндік береді.
VLAN немесе Virtual LAN (ауани жергілікті желі) – бұл физикалық
желіні OSI үлгісінң 2-ші деңгейінде логикалық сегменттерге бөлуге
мүмкіндік беретін технология. Желіні VLAN-ға бөлудің көптеген себептер
және ескеруге қажетті болатын көптеген параметрлер бар.
VLAN шағын және ірі желілерде де қолдануға пайдалы болып табылады.
Орташа және ірі көлемді компьютерлік желілерде VLAN кейде қашықтағы
физикалық сегменттерді бір логикалық сегментке біріктіру үшін де
қолданылады.
Бұл жұмыста VLAN ұйымдастырудың негізгі қағидалары, сондай-ақ кіші
желілерде пайдалану себептері қарастырылады. Сонымен қатар, нақты мысал
келтіре отырып, желіні сегменттеу үшін VLAN технологиясын қолдайтын нақты
коммутаторды пішінүйлесімдіру келтіріледі.
1 Ауани желілер
Қазіргі уақытта ауани желілердің екі түрі қолданылады: ауани жекеше
желілер VPN (Virtual Private Network) және ауани жергілікті желілер VLAN
(Virtual Local Area Network).
1.1 Ауани жекеше желілер VPN
VPN (Virtual Private Network – ауани жекеше желі) – өзге желінің
(мысалы, Интернет) үстінен бір немесе бірнеше желілік байласуды (логикалық
желіні) қамтамасыз ететін технологиялардың жалпыланған аты. Коммуникацияның
желіде белгісіз сенім деңгейінің аздығына қарамастан, сенім деңгейі
орнатылған логикалық желісіне байланысты емес, сенім деңгейінен базалық
желіге криптография заттарын пайдалануға байланысты шифрленген,
аутентификация, ашық кілттердің инфраструктурасы [6].
Қабылданатын хаттамалар мен тағайындамаларға байланысты, VPN
байланыстың үш түрін біріктіре алады: түйін-түйін, түйін-желі және желі-
желі.
Әдетте VPN желі деңгейінде ашылады, өйткені осы деңгейде
криптографияны өзгермеген түрінде транспортты хаттаманы қолдануға мүмкіндік
береді (мысалы TCP, UDP).
Ауани желіні құруда жиірек PPP хаттаманың инкапсулизациясы
қолданылады ал басқа хаттамасы – IP(мүндай тәсілдер қолданылады PPTP –
Point-to-Point Tunneling Protocol) немесе Ethernet (PPPoE). VPN
технологиясы кейінгі кезде жеке желінің құрылуында ғана қолданбайды,
сонымен қатар кейбір сонғы милия провайдерлермен интернет кезеңінде
ұсыныла бастады.
VPN желісінде арнайы қолднылатын бағдарламаны қолдану немесе керекті
деңгейде жалға беру өз кезегінде берілетін мағлұматтардың жоғары деңгейде
шифрлануын қамтамасыз етеді.
VPN құрылымы
VPN 2 бөлімнен тұрады: ішкі (бақыланған) желі, ол бірнешеу болуы да
мүмкін, және сыртқы желі, ол өз кезегінде капсуламен қапталған байланыс
арқылы өтеді (әдетте ғаламтор қолданылады). Кейде ауани желінің жеке
компьютерге қосылу мүмкішілігі де бар.
Өшірілген пайдаланушының VPN – ге қосылуы серверге қол жеткізу арқылы
жүзеге асады, ол өз кезегінде ішкі және сыртқы желімен байланысқан.
Өшірілген пайдаланушының қосылуы кезінде серверге қол жеткізу кезінде желі
идентификациядан өтуін талап етеді, одан кейін желі яға ұшырайды. Осы екі
желі сәтті өткен жағдайда пайдаланушының өшірілуі желінің іс ерекшелігі,
яғни авторизация желісі жүреді.
VPN жіктемесі
1.1-сурет. VPN жіктемесі
VPN-ді бірнеше негізгі белгілерге қарап жіктеуге болады:
Қолданылатын ортаның қорғалу деңгейіне байланысты
Қорғалған
Ауани жеке желідегі ең жиі таралған түрі. Оның көмегімен сенімді
желіде, яғни ғаламтор негізінде сенімділік пен қорғанышты құру мүмкіндігі
бар. VPN – ның қорғалған мысалы ретінде: IPSec, OpenVPN және PPTP болып
табылады.
Сенімді
Алдынғы ортаны сенімді деп есептеген жағдайда және үлкен желідегі
ауани желісі деңгейінде құрылған тапсырмаларды орындау мақсатында
қолданылады. Қауіпсіздік мәселесі актуальды болмай отыр. VPN-ның шешімінің
мысалы ретінде: MPLS (Multi-protocol label switching) және L2TP (Layer 2
Tunnelling Protocol) болып табылады. (дәлірек айтқанда бұл хаттамалар
өзгелерге қауіпсіздікті қамтамасыз ету тапсырмалары жүктелген, мысалы L2TP,
олар әдетте IPSec-пен бірге қосарланып жүреді).
Жүзеге асыру тәсілі бойынша
Арнайы бағдарламалық-ақпараттық қамтама түрінде
Арнайы бағдарламалық-ақпараттық кешенінің көмегімен VPN желісінің
реализациясы жүзеге асады. Мұндай реализация жоғары өндірушілікті
қамтамасыз етеді және ол өз кезегінде жоғары деңгейлі қауіпсіздікті
қамтамасыз етеді.
Бағдарламалық шешім түрінде
Арнайы бағдарлмамен қамтамасыз етілген бағдарламасы бар дербес
компьюте қолданылады, ол өз кезегінде VPN-нің қызметін қамтамасыз етеді.
Біріктірілген шешім
VPN қызметін кешен қамтамасыз етеді, ол сонымен қатар желі
трафигіндегі фильтрация тапсырмаларын, желі экранындағы ұжым және қызмет
сапасын қамтамасыз етеді.
Тағайындау бойынша
Intranet VPN
Ашық байланыс каналымен алмасатын бір ұжымның бірнеше таралған
филиалдарын бірінғай қорғалған желіге біріктіру үшін қолданылады.
Remote Access VPN
Бұл корпоративтік желі сегменті мен жекеше пайдаланушының, (ол өз
кезегінде үйде жұмыс жасай отырып, үй компьютерімен корпоративті
ресурстарға қосылады, корпоративтіден ноутбугке сматрфондарға немесе
ғаламтор-дөңгершігіне) арасындағы қорғанысты қамтамасыз ету үшін
қолданылады.
Extranet VPN
Бұл ішкі пайдаланушыға қосылуға арналған желі үшін қолданылады.
(мысалы, тапсырыс берушілер немесе клиенттер). Оларға сенімділік компания
қызметкерлеріне қарағанда төмендеу, сол себептен арнайы шегтік қорғанысты
орнату үшін арнайы қорғанысты қамтамассыз ету керек.
VPN Internet
Провайдерлердің интернетке қол жеткізуін қамтамасыз ету үшін
қолданады, әдетте бір физикалық каналмен бірнеше пайдаланушылар қосыла
алады.
ClientServer VPN
Корпаративті желінің екі желі түйінін арқылы берілетін мәліметтерді
қорғауға қабілетті. Бұл нұсқаның ерекшелігі VPN түйін арасында орналасады,
ол өз кезегінде желінің бір сегментінде орналасқан, яғни жұмыс беті мен
сервер арасында орналасқан. Мұндай қажеттілік көбінде физикалық желіде
бірнеше логикалық желі орнату үшін дамиды. Мысалы, қаржы департаменті мен
кадрлар бөлімінің арасындағы трафикті ажырату үшін қажет, ол өз кезегінде
серверге қарасты, бір физикалық сегментте орналасқан. Бұл нұсқа VLAN
технологиясына ұқсас, дегенмен трафиктің бөлінуінде оның шифрованиясы
қолданылады.
1.2 Ауани жергілікті желілер VLAN
Ауани желі орындалатын функциялары, қолданылатын қосымшалары немесе
пайдаланушылардың компьютерлерінің физикалық қай жерде орналасқанына
қарамастан, олардың нақты бір бөлімге тиесілігі бойынша логикалық
сегменттелген, коммутацияланатын желі болып табылады. Коммутатордың әрбір
порты ауани желіге қосыла алады. Бір ғана ауани желіге қосылған порттардың
барлығы соның аясындағы кеңтаралымды хабарларды қабылдайды, ал оған
қосылмаған порттар бұл хабарларды қабылдамайды. Коммутатор порттарын ауани
желіге қосу үшін қолданылатындай ауани желілерді жүзеге асырудың үш тәсілі
болады: орталық порты бар, статикалық және динамикалық
[5,10,11,12,14,15,16].
Статикалық ауани желі (static VLAN) статикалық түрде ауани желіге
біріктірілген коммутатор порттарының жиынтығы болып табылады. Өзгерістер
енгізу үшін статикалық ауани желілер әкімшінің араласуын талап етеді.
Олардың артықшылығына қауіпсіздіктің жоғары деңгейін, пішінүйлесімінің
жеңілдігін және желінің жұмысына тікелей бақылау жасаудың мүмкіндігін
жатқызуға болады.
Динамикалық ауани желі (dynamic VLAN) өздерінің ауани желідегі орнын
автоматты түрде анықтай алатын коммутатор порттарының логикалық бірігуі
болып табылады. Динамикалық ауани желінің жұмыс істеуі МАС мекен-жайға,
логикалық мекен-жайға немесе деректер дестесінің хаттама типіне
негізделеді. Бұндай тәсілдің негізгі артықшылығы жаңа пайдаланушыны қосқан
кезде немесе орын ауыстырғанда бұрынғыларының жұмыс көлемін азайту және
желіге танылмаған пайдаланушы қосылғанда барлық пайдаланушыны орталықтан
хабардар ету болып табылады. Бұл кездегі негізгі жұмыс ауани желіні
басқаруды программалық қамтамасыз етудегі деректер базасын орнату және оның
өзектілігін қолдап отыру болып табылады.
VLAN (Virtual Local Area Network) - бұл арналық деңгейде бір-бірімен
өзара әрекеттестікте бола алатындай мүмкіндіктері бар құрылғылар тобы, олар
физикалық түрде түрлі желілік коммутаторларға қосылуы да мүмкін. Түрлі VLAN
болатын құрылғылар тіпті бір коммутаторға қосылса да, және осы құрылғылар
арасындағы байланыс желілік және одан да жоғары деңгейлерде болса да,
арналық деңгейде бір-біріне көрінбейді.
VLAN ауани желілері топтарды бір-бірінен оқшаулап, оған қосылған ауани
машиналарды VLAN қосуға мүмкіндік беріп, коммутатор порттарын топ-топқа
бөлуді қамтамасыз етеді. VLAN ауани желілерін қолдана отырып желіні
ұйымдастырушылық (логикалық) немесе физикалық принциптер бойынша бөлуге
болады. Ұйымдастырушылық принципін қолданудың өз артықшылығы бар, өйткені
компьютерді басқа физикалық орынға ауыстырғанда, желіні қайта
пішінүйлесімдендірудің қажеті болмайды.
VLAN ауани желісін беру үшін ауани коммутаторда порттар жасағанда
VLAN ID идентификаторын беру қажет. Сонымен қатар физикалық коммутатордың
тегаларын немесе қонақтық жүйе деңгейінде кадрларды маркерлеуді де
қолдануға болады. Ауани коммутатор порттары деңгейінде трафикті оқшаулау
процессордың ресурсын үнемдеуге және қонақтық жүйелердегі желілік
бейімдеуіштерді өткізу жолақтарын үнемдеуге мүмкіндік береді.
1.2-сурет. Ауани жергілікті желі
VLAN келесі мақсаттарда пайдалануға болады.
Құрылғыларды топтарға икемді етіп бөлу
Әдетте, бір VLAN-ға бір ішжелі сәйкес келеді. Әр түрлі VLAN болатын
құрылғылар әр түрлі ішжелілерде орналасады. Алайда, соған қарамастан, VLAN
құрылғылардың орналасқан жеріне тәуелді емес, сондықтан бір-бірінен қашықта
орналасқан құрылғылар, орналасқан жеріне қарамастан бір VLAN бола алады.
Желідегі кеңтаралымды трафиктер санын азайту
Әрбір VLAN – бұл кеңтаралымды дербес домен. Мысалы, коммутатор – бұл
OSI үлгісінің 2 деңгейлі құрылғысы. VLAN болмайтын коммутатордағы барлық
порттар кеңтаралымды бір ғана портта болады. Коммутаторда VLAN жасау
коммутаторды кеңтаралымды бірнеше домендерге бөлуді білдіреді. Егер бір
ғана VLAN түрлі коммутаторларда бар болса, онда түрлі коммутаторлардың
порттары кеңтаралымды бір домен түзеді.
Желінің қауіпсіздігін және басқарылуын арттыру
Желі VLAN бөлінгенде, қауіпсіздік ережелері мен саясатын қолданудың
міндеті жеңілдей түседі. VLAN саясатын жекелеген құрылғыларға емес,
тұтастай ішжелілерге қолдануға болады. Сонымен қатар, бір VLAN екіншісіне
өткенде құрылғының 3 деңгей арқылы өтуін талап етеді, әдетте онда бір VLAN
екінші VLAN қатынауға тиым салатын немесе рұқсат беретін саясат
қолданылады.
Ауани VLAN желі деп кеңтаралымды трафик домендерін түзетін желі
түйіндерінің топтарын айтады.
Коммутатор негізінде жергілікті желіні құрғанда, трафикті шектеу
бойынша пайдаланушы сүзгілерін пайдаланудың мүмкіндігіне қарамастан,
желінің барлық түйіндері кеңтаралымды бірегей домен болып табылады, яғни
кеңтаралымды трафик желінің барлық түйіндеріне жіберіледі. Сонымен,
коммутатор әу-бастан кеңтаралымды трафикті шектемейді, ал аталған принцип
бойынша құрылған желілер жалпақ деп аталады.
Ауани желілер, кеңтаралымды трафикті қоса алғандағы трафиктердің
барлығы желінің басқа түйіндерінен арналық деңгейде толығымен
оқшауланатындай, желі түйіндерінің топтарын құрайды. Бұл, желі түйіндерінің
арасында түрлі ауани желілерге тиесілі кадрларды арналық деңгейдің мекен-
жайы негізінде берудің мүмкін еместігін білдіреді (ауани желілер
бағдарғылауыштарды қолдана отырып, желілік деңгейде бір-бірімен өзара
әрекеттесе алатынына қарамастан).
Желінің жекелеген түйіндерін ауани желілер технологиясын пайдалана
отырып, арналық деңгейде оқшаулау бір мезетте бірнеше міндетті орындауға
мүмкіндік береді. Біріншіден, ауани желілер кеңтаралымды трафикті ауани
желі аясында шоғырландыра отырып және кеңтаралымды дауыл жолында бөгеттер
құрып, желінің өнімділігін арттыруға ықпал етеді. Коммутаторлар
кеңтаралымды дестелерді (сондай-ақ топтық және белгісіз мекен-жайы бар
дестелерді) ауани желінің ішінде жібере алады, бірақ, ауани желінің
арасында емес. Екіншіден, ауани желілерді арналық деңгейде бір-бірінен
оқшаулау, пайдаланушылардың белгілі бір санаты үшін ресурстардың бір
бөлігін қол жетпестей етіп, желінің қауіпсіздігін арттыруға мүмкіндік
береді.
Ауани желінің тұжырымдамасы
Ауани жергілікті желі (VLAN) құру технологиясының тұжырымдамасы
мынада: желінің әкімшісі желінің қандай учаскеге қосылғанына қарамастан,
пайдаланушылардың логикалық тобын құра алады. Пайдаланушыларды логикалық
жұмысшы тобына атқарылатын жұмыстың белгілеріне қарай немесе бірлесіп
орындайтын міндеттері бойынша, біріктіруге болады. Және пайдаланушылар тобы
бір-бірімен өзара әрекеттесе алады немесе бірін-бірі көрмеуі де мүмкін.
Топқа мүшелікті өзгертуге болады және пайдаланушы бірнеше логикалық топқа
мүше бола алады.
Ауани желілер тұжырымдамасы 1991 жылы пайда болған жергілікті желіні
коммутациялау технологиясы негізінде құрылған, және қазіргі кезде қарқынды
даму үстінде. Коммутаторлар Ethernet, Fast Ethernet, Token Ring, немесе
FDDI дестелерін жергілікті желі сегменттері арасында немесе коммутатор
портына тікелей қосылған пайдаланушылар арасында жібере алады.
Коммутаторлардың көбі OSI үлгісінің екінші (Data Link Layer) деңгейі
аясында жұмыс істейді. Басқаша айтсақ, олар дестенің тақырыбындағы
алушының МАС мекен-жайы бойынша анықталатын, дереккөз бен пайдаланушы
арасында дестелерді коммутациялап, жалғаушы көпір қызметін атқарады. Кейбір
коммутаторлар қазіргі кезде желілік мекен-жай белгісі бойынша дестелерді
бағдарғылап, OSI үлгісінің үшінші (Network Layer) деңгейін қолдайды.
Коммутацияның екі түрінің арасындағы айтарлықтай айырмашылық екінші және
үшінші деңгейлі коммутаторлар негізінде жасалатын ауани желілердің
функционалдығы мен икемділігіндегі айырмашылықты анықтайды.
Ауани желілер жергілікті желі сегменттері арасындағы кеңтаралымды
трафиктерді оқшаулайтын бағдарғылауыштар сияқты, желі бойынша кеңтаралымды
дестелердің өтуін шектеп, логикалық кеңтаралымды домендерді қалыптастырады.
Сөйтіп, ауани желі кеңтаралымды дауылдың болуының алдын алады, өйткені
кеңтаралымды хабарлар ауани желі мүшелерімен шектеліп, басқа ауани желі
мүшелері оларды ала алмайды. Ауани желілер серверлердің файлдары немесе
қосымшалардың серверлері сияқты ортақ ресурсқа қатынау қажет болғанда
немесе банктік клиенттермен жұмыс істеу сияқты ортақ міндет, түрлі
қызметтердің, мысалы, несиелік және есеп айырысу бөлімшелерінің өзара
әрекеттесуін қажет ететін жағдайларда, басқа ауани желі мүшелерінің
қатынауына рұқсат бере алады.
Ауани желілер коммутатордың порттарының белгілері бойынша, желіге
қосылатын құрылғылардың физикалық (МАС) мекен-жайы (OSI үлгісінің екінші
деңгейі) және OSI үлгісінің үшінші деңгейінің логикалық мекен-жайы бойынша
жасалады.
Коммутатордың порттары бойынша жасалатын ауани желілер басқаруда
икемді емес, ауани желілердің өзара байланысын ұйымдастыру үшін
бағдарғылауыштың қажет болуы мүмкін, бұл үстеме шығындарды және материал
шығынын қажет етеді. Екінші деңгейлі ауани желілер басқаруда біршама икемді
болып келеді, ауани желілердің өзара байланысын ұйымдастыру үшін
бағдарғылауыштың қажет болуы мүмкін. Ауани желілердің осы екі түрін
орнатудың қиындығы басқару жүйесімен анықталады, оны белсенді жабдықтың
өндірушісі ұсынады, және командалық жол интерфейсінде және пайдаланушылар
саны көп болғанда ғана көп еңбек шығыны жұмсалады. Артықшылығы мынада:
коммутаторлар жоғары жылдамдықта жұмыс істейді, өйткені заманға сай
коммутаторларда, OSI үлгісінің екінші деңгейіндегі коммутацияның
міндеттері үшін арнайы жасалған интегралды сұлбалардың арнайыландырылған
(ASIC) жинағы қамтылған.
Үшінші деңгейдегі ауани желілердің қондырғылары қарапайым, егер желі
клиенттерін қайта пішінүйлесімдендіру қажет болмаса, басқаруда біршама
күрделі болып келеді, өйткені желі клиенттерімен кез келген әрекет
клиенттің өзін немесе бағдарғылауышты қайта пішінүйлесімдендіруді қажет
етеді және икемділігі төмен, өйткені ауани желілердің байланысы үшін
бағдарғылау қажет болады, бұл жүйенің бағасын арттырып, оның өнімділігін
төмендетеді.
1.3 VLAN негізгі артықшылықтары және кемшіліктері
Ауани желілердің (VLAN) келесідей артықшылықтары бар.
Кеңтаралымды трафикті бақылау.
Бағдарғылауышкөпірлер арқылы құрылған дәстүрлі LAN қарағанда, VLAN
логикалық бапталған шекаралары бар кеңтаралымды домен түрінде қарастырылуы
мүмкін. Дәстүрлі желіге қарағанда VLAN еркін әрекет етуіне болады.
Ертеректе қолданылғандары шоғырлауыштар негізінде құрылған желіні
физикалық шектеуге негізделетін; LAN-сегменттің негізгі физикалық
шекаралары электр сигналдары шоғырлауыш портынан өте алатындай, тиімді
қашықтықпен шектелетін. LAN сегменттерін осы шекаралар аясынан шығару
сигналды күшейітп, қайта жіберетін құрылғы - қайталауыштарды (repeaters),
қолдануды қажет ететін. VLAN физикалық орналасуына, желілік қатынау
ортасына, тасығыштың түріне және берудің жылдамдығына қарамастан,
кеңтаралымды доменнің болуына мүмкіндік береді. Мүшелері нақты сегментпен
арнайы қосылысы бар жерде емес, қажет болған жерінде орналаса алады. VLAN
кеңтаралымды трафикті шағын және жеңіл басқарылатын логикалық домендердің
ішінде орналастырып, желінің өнімділігін арттырады. VLAN қолдамайтын,
коммутаторлы дәстүрлі желілерде кеңтаралымды трафиктің барлығы порттардың
бәріне бірдей түседі. Егер VLAN қолданылса, кеңтаралымды трафиктің барлығы
жекелеген кеңтаралымды трафикпен шектеледі [8,9].
Функционалдық жұмыс топтары
VLAN технологиясының ең үлкен артықшылығы физикалық орналасуына немесе
тасығыштың түріне емес, функционалдығына негізделіп, жұмысшы топтарын
құрудың мүмкіндігі болып табылады. Дәстүрлі түрде, әкімшілер функционалды
бөлімшелердің пайдаланушыларын, олардың столдарын және серверлерін жалпыға
бірдей жұмысшы кеңістігіне, мысалы бір сегментке физикалық орын ауыстыру
арқылы топтайтын. Сервермен жоғары жылдамдықты қосылуының артықшылығы
болуы үшін, жұмысшы тобының барлық пайдаланушылары бірдей физикалық
қосылыста болатын. VLAN әкімшіге желілік сегменттерді физикалық
инфрақұрылымын өзгертусіз және пайдаланушылар мен серверлерді ажыратусыз,
құруға, логикалық және бірден топ-топқа бөлуге және қайта топтауға
мүмкіндік береді. Желі пайдаланушыларын тез қосу, орнын ауыстыру және
өзгертудің мүмкіндігі – VLAN басты артықшылығы болып табылады.
Ауани жұмыс топтары
VLAN басты функциясы – бұл қатынас пайдаланушылардың ортақ
функцияларына және қатынас құруды қажет ететін жалпыға бірдей ресурстарға
негізделген ауани жұмысшы топтарын құру . Мысалы, кәсіпорын – есептеу,
жабдықтау, маркетинг, сату сияқты көптеген департаменттерден тұрады. Әрбір
департаменттің пайдаланушыларына өздерінің нақты ресурстарына қатынас құру
қажет делік. VLAN жүзеге асырудың арқасында әрбір департаменттің
пайдаланушылары логикалық сипатталып, желінің түрлі қатынас ресурстары бар
түрлі жұмысшы топтарына топтастырыла алады.
Желінің өнімділігін арттыру
VLAN кеңтаралымды домен тәрізді, және ауани жергілікті желілер бірнеше
VLAN бар желілердегі кеңтаралымды нақты домендерге сәйкес келеді.
1.3-сурет. Көптеген ауани желілер (VLAN) жиынтығына сегменттелген
үлкен желі
Мысалы, кеңтаралымды бір доменде орналасқан автоматтандырылған 500
жұмыс орны қарастырылған желі бар делік. Осы желідегі әрбір жұмысшы
станциясы басқадай жұмысшы станцияларының әріреуі генерациялаған
кеңтаралымды трафикті қабылдайды. VLAN технологиясын пайдаланғанда үлкен
кеңтаралымды трафигі бар үлкен желі бірнеше жұмысшы станциялары бар
кеңтаралымды көптеген домендерге сегменттеледі. Яғни, кеңтаралымның жиілігі
(тығыздығы) азаяды. Әрбір ішжелінің өнімділігі арта түседі, өйткені
желінің барлық желілік құрылғылары кеңтаралымды трафикті қабылдағанда нақты
деректерді беруден жалтарады.
Желі шекараларының дәстүрлі тұжырымдамаларының бұзылуы
VLAN технологиясын пайдаланғанда, бір жұмысшы топтың немесе бөлімшенің
желісін пайдаланушылар олардың физикалық орналасуы бойынша аз шектелген.
Бұл еркіндік қолданыстағы Ethernet коммутаторларының мүмкіндіктеріне
байланысты. VLAN технологиясын пайдаланғанда, бір жұмысшы топтың немесе
бөлімшенің желісін пайдаланушылар түрлі қабаттарда орналасуы, тіпті түрлі
ғимараттарда орналасып, бір ғана ауани желіге қатынауы да мүмкін.
1.4-суретте ғимараттың екі қабатында орналасқан желі көрсетілген.
Екінші қабатта 5 жұмысшы тобының бәрі Ethernet коммутаторға тікелей
қосылған. Байқап қарасақ, 1 қабаттағы 3 жұмысшы орны DX2216 екі жақты
шоғырлауышқа қосылған, ал екі жұмысшы орны 2 қабаттағы сияқты, коммутатор
порттарына тікелей қосылған. DX2216 шоғырлауышы каскадталып
коммутацияланатын порт VLAN2 телінген, яғни, DX2216 қосылған компьютердің
үшеуі де VLAN2 жатады. Ал, түрлі коммутаторларға қосылған, бірақ физикалық
орналасуымен байланысты болмайтын жұмысшы станциялары бір жұмысшы тобына
немесе бір департаментке тиесілі болып, кеңтаралымды бір доменге қатыса
алады.
1.4-сурет. Еркін шекаралар тұжырымдамасы
Жоғары деңгейлік қауіпсіздік
VLAN сондай-ақ қауіпсіздіктің қосымша артықшылықтарын да ұсынады. Бір
жұмысшы тобының пайдаланушылары басқа топтың деректеріне қатынай алмайды,
өйткені әрбір VLAN – бұл жабық, логикалық жарияланған топ. Құпия ақпаратпен
жұмыс істейтін Қаржы департаменті ғимараттың үш қабатында орналасқан.
Инженерлік департамент пен Маркетинг бөлімі де үш қабатта орналасқан. VLAN
пайдалана отырып, Инженерлік бөлім мен Маркетинг бөлімінің мүшелері VLAN
басқа екі мүшелері сияқты, үш қабатта орналаса алады, ал Қаржы департаменті
үш қабаттың бәрінде орналасқан үшінші VLAN мүшесі бола алады. Қазір, Қаржы
департаменті жасап шығарған желілік трафикке осы департаменттің мүшелері
ғана қатынай алады, ал Инженерлік бөлім мен Маркетинг бөлімінің топтары
Қаржы департаментінің құпия ақпаратына қатынай алмайды. Толықтай
қауіпсіздікті қамтамасыз етуге қойылатын басқа да талаптардың болатыны
анық, алайда VLAN желілік қауіпсіздіктің жалпы стратегиясының бір бөлігі
бола алады.
Қауіпсіздік және желілік ресурстарға қатынас құруды бөлу
Басқарылатын көптеген коммутаторлар коммутацияланатын бір портқа
бірнеше VLAN мүше болуға рұқсат етеді. Мысалы, коммутатордың 5 порты бір
мезетте VLAN1, VLAN2 және VLAN3 тиесілі болып, ауани кеңтаралымды
желінің үшеуіне де қатыса алады. Осы мүмкіндіктердің арқасында 5 портқа
қосылған сервер жұмысшы станцияларына желінің үшеуіне де қатынауға
мүмкіндік береді. Екінші жағынан, бір ғана VLAN мүше болатын порттарға
қосылған бір ғана бөлімнің серверлеріне қатынау сәйкес келетін VLAN аясында
ғана мүмкін болмақ.
1.5-сурет. Кәсіпорынның ортақ (ауқымды) серверіне қатынас құру үшін
VLAN қолдану
Қызметкерлер құрамының орнын ауыстырған кездегі шығынды азайту
Мысалы, түрлі бөлімдердегі қысметкерлер құрамының жұмыс орнын
компания аясында ауыстырудың немесе нақты бөлімнің физикалық орналасуын
өзгертудің қажеттілігі пайда болды делік. Коммутацияланатын порттарға
тікелей қосылған тегілік VLAN қолданғанда (ІЕЕЕ 802.І Q), орын ауыстырудың
құнына қысметкерлер құрамының жұмыс орнын физикалық ауыстыру ғана кіреді ,
өйткені VLAN мүшелігінің ID индентификоторлары желінің жұмыс стансаларымен
бірге апарылады. Қолданыстағы Ethernet коммутаторларындағы қосылысты қайта
конструкциялаудың ешқандай қажеттілігі жоқ.
2 VLAN түрлері мен хаттамалары
Ауани жергілікті желілердегі құрылғылар қажет жағдайда
пайдаланушылдарды қосу үшін, орнын ауыстыру немесе өзгерту үшін тез әрі
оңай өзгертіле алады [8].
VLAN желілері келесі көрсеткіштер бойынша анықталады:
• порт (ең жиі қолданылатыны);
• МАС мекен-жайы (өте сирек);
• пайдаланушынң идентификаторы User ID (өте сирек);
• желілік мекен-жайы (DHCP пайдаланудың артуына байланысты өте сирек).
2.1-сурет. Физикалық шекаралар арқылы VLAN құру
Порт нөмірі негізінде құрылған VLAN, VLAN нақты портты анықтауға
мүмкіндік береді. Порттар жеке-дара, топтары бойынша, тұтас қатарымен және
транктік хаттама арқылы түрлі коммутаторлар бойынша анықталуы мүмкін. Бұл
VLAN анықтаудың ең қарапайым және жиі қолданылатын әдісі. Бұл жұмыс
стансалары динамикалық баптау TCPIP (DHCP) хаттамасын қолданатын порттарға
құрылған VLAN енгізудің жиі қолданылатын түрі.
МАС мекен-жайлар базасына құрылған VLAN, пайдаланушылар бір орыннан
екінші орынға ауысқан кезде де оларға сол VLAN болуға мүмкіндік береді.
Бұл әдіс, әкімшінің әрбір жұмысшы станциясының МАС мекен-жайын анықтауын
және осы ақпаратты коммутаторға енгізуін қажет етеді. Егер пайдаланушы МАС
мекен-жайын өзгертсе, бұл әдіс ақауларды іздестіруде үлкен қиындықтар
тудыруы мүмкін. Пішінүйлесіміндегі кез келген өзгертпелер желілік әкімшімен
келісілуі керек, бұл әкімшілік кідірісті туындатуы мүмкін.
Желілік мекен-жайлар негізінде құрылған ауани желілер
пайдаланушыларға, тіпті пайдаланушы бір орыннан екінші орынға ауысса да,
сол VLAN қалуына мүмкіндік береді. Бұл әдіс пайдаланушы қосылған әрбір
коммутатордың жұмысшы станциясының 3 Деңгейінің желілік мекен-жайымен
байланыстырып, VLAN орнын ауыстырады. Бұл әдіс қауіпсіздіктің маңызы зор
болатындай және қатынау бағдарғылауыштардағы қатынау тізімімен
бақыланатындай жағдайларда өте пайдалы бола алады. Сондықтан қауіпсіз
VLAN пайдаланушы басқа ғимаратқа көшсе де бұрынғы құрылғыларына қосылған
күйінде қала алады, өйткені, оның желілік мекен-жайы өзгермейді. Желілік
мекен-жайларға құрылған желі ақауларды іздестіруде кешенді амал-тәсілдерді
қолдануды қажет етуі мүмкін.
Ішжелілер негізінде құрылған ауани желілер
VLAN бұндай ұйымдарының мысалы ретінде С класты 198.78.55.024 мекен-
жайы бір ішжелінің бір VLAN сәйкес келетіндей, ал 198.78.42.024 С класты
екінші ішжелінің екінші VLAN сәйкес келетіндей желіні айтуға болады.
Бұл тәсілдің жетіспейтін тұсы келесідей: егер коммутатор бір порттағы
ішжелінің бірнеше ІР қолдамаса, басқа VLAN ауыстыру үшін жұмысшы станциясын
физикалық түрде қосуды қажет етеді.
Желілік хаттама негізіндегі ауани желілер
Желілік деңгейдегі ауани ЖЕЖ әкімшіге ауани желіге сәйкес келетіндей
қандай да бір хаттама үшін трафикті байланыстыруға мүмкіндік береді. Дәл
осындай тәсілмен бағдарғылауыштар негізіндегі желілерде кеңтаралымды
домендер құрылады. Хаттама ІР-ішжелі түрінде немесе желілік нөмір ІРХ
түрінде берілуі мүмкін. Коммутаторларды пайдаланғанға дейін ұйымдастырылған
ішжелінің барлық пайдаланушыларын ауани ЖЕЖ біріктіруге де болады.
Тек қана ІР-хаттаманы қолдайтын құрылғылар бір ғана VLAN болатын, ал
тек қана ІРХ- хаттамасын қолдайтын құрылғылардың екінші VLAN, және
хаттаманың екеуі де желінің екеуінде болатын мысалын келтіруге болады.
Ережелер негізіндегі ауани желілер
Құрылғыларды ауани жергілікті желіге қосу үшін, оларды коммутаторлар
қолдайтындай жағдайда, жоғарыда аталған тәсілдердің бәрін қолдануға болады.
Ережелер барлық коммутаторларға жүктемеленгеннен кейін олар, әкімші берген
критерийлер негізіндегі VLAN ұйымдастыруын қамтамасыз етеді. Бұндай
желілерде кадрлардың берілген критерийлерге сәйкестігі ұдайы тексеріліп
тұратындықтан, пайдаланушылардың ауани желілерге тиесілі пайдаланушылардың
ағымдағы әрекетіне қарай, өзгеріп отыруы мүмкін.
Ережелер негізіндегі ауани жергілікті желілерге желіге тиесілігінің
кең ауқымды критерийлерін қолданады, соның ішінде жоғарыда аталған нұсқалар
да бар: МАС мекен-жайлар, желілік деңгей мекен-жайы, хаттама түрі және т.б.
Сондай-ақ берілген міндеттемелерге нақты сәйкес келетіндей ережелерді
құрастырудың кез-келген үйлесіміндегі критерийлерін де пайдалануға да
болады.
2.1 Порт негізіндегі ауани жергілікті желілер (Port-based VLAN)
Порт базасына құрылған VLAN, әрбір кіріс портына қол жетерлік шығыс
порттарының анықталуын қажет етеді. Ethernet кадрлары мына ережелерге
сәйкес жіберіледі [9, 10, 14, 16].
• шықпа порты кіріс үшін рұқсат етіледі;
• порт негізіндегі VLAN тек қана шықпа трафигін басқарады;
• екі портқа арнап VLAN жасау үшін, әрбір портқа сәйкес келетін шықпа
портын анықтап алу керек.
Бұл жағдайда әкімші VLAN тиесілі коммутатордың әрбір портын
тағайындайды. Мысалы, 1-3 порттар сату бөлімінің VLAN тағайындалуы мүмкін,
ал 4-6 порттар VLAN жасаушылар үшін және 7-9 порттар желілік әкімшілік
ететін VLAN үшін тағайындалуы мүмкін. Коммутатор әрбір дестенің қандай VLAN
тиесілігін, қай порттан келгенін ескере отырып, анықтайды. Пайдаланушының
компьютері коммутатордың басқа портына қосылған болса, желі әкімшісі
пайдаланушы бұрын тиесілі болған бұрынғы VLAN үшін жаңа портты қайта
тағайындай алады. Бұл жағдайда пайдаланушы желілік өзгерістерді толығымен
көре алады және әкімшінің желі топологиясын өзгертпеуіне де болады. Алайда,
бұл әдістің айта кетерлік бір олқы тұсы бар, егер шоғырлауыш коммутатордың
портына қосылса, оған қосылған барлық пайдаланушылар сол VLAN тиесілі болуы
тиіс.
2.2-сурет.
Ауани жергілікті желілердің (VLAN) бұл түрі қосылған порттың нөмірі
негізіндегі әрбір VLAN мүшелігін анықтайды.
Мәселен, 2.1-кестеде 3, 6, 8 және 9 порттар VLAN 1 құрамына, ал 1, 2,
4, 5 және 7 порттар VLAN 2 құрамына кіреді.
2.1-кесте. Әрбір VLAN мүшелігі порттың нөмірімен анықталады
PORT # 1 2
Жергілікті трафикті бақылау Шектелген Толық
Бақылау трафигінің нүктесінің Көптеген Аз
саны
жергілікті трафиктің жолы Оңтайлы Оңтайлы емес
Паразитті кең көлемді трафик Бар Жоқ
Үрлі шабуылдан қорғау Қатынас құру Сәулетпен
коммутаторының қамтамассыз етіледі
қызметімен
қамтамасыз етіледі
Жүзеге асырудың қиындықтары Төмен Жоғары
VLAN пайдаланушыға сәулеті, атында айтылғандай, әрбір абонентке
өзінің жеке VLAN бөлінуін білдіреді.
Өндірушілер ұсынған орталық модельдің осындай архитектурасының
реализация нұсқасын қарастырамыз.онда онда барлық абоненттік трафиктің
консолидация нүктесі болып BRAS – Broadband Remote Access Server табылады
(2.21-сурет).
2.21-сурет. VLAN пайдаланушыға орталықтандырылған үлгісі
Дегенмен мұндай үлгіні қарастырғанда мынадай сұрақ туындайды, барлық
абоненттердегі бір құрылғысын қалай терминдейді, IEEE 802.1q стандартына
сай VLAN нөмерімен барлығы 12 бит бөлінген (максимум 4096 мағына). Бұл
жағдайда көптеген абоненттердің шешімі болып екі еселенген тегирленген
пакеттің технологиясын (Q-in-Q) және олардың терминизациясы BRAS
қолданылады.
Орталықтандырылған үлгінің артықшылықтырына жеке-дара ғаламтор мен
жергілікті трафиктің бақылау нүктесін жатқызуға болады. Қызмет көрсету мен
әрбір абонентті жолақты өткізуді икемді түрде бақылау. Сонымен қатар осы
сәулетті екінінші деңгейде абонентті шектеуді қамтамасыз етеді, ол өз
кезегінде жоғарыда аталған көптеген қауіпсіздік мәселесін шешеді. Негізгі
кемшілігі өндірушіге мұхтаждық және ол BRAS жолының нәтижесі болады.
Компрессивті орталықтандырылған моделдің нұсқасы болып келесі BRAS
ғаламтор трафигін қата өңдеуді қамтамсыз етеді, ал жергілікті трафиті
ауыстыру Layer3 - коммутаторымен жүзеге асады. соның нәтижесінде жүктемені
төмендетуге және BRAS өңдірісінің талабын төмендете алады. (2.22-сурет).
2.22-сурет. VLAN пайдаланушыға бейорталықтандырылған үлгісі
Бейорталықтандырылған үлгінің негізгі жағымды жақтары мынадай.
Біріншіден, орталықтандырылған үлгідегі сияқты абоненттік шектеу екінші
деңгейде сақталған, соның нәтжесінде қауіпсізік мәселесі шешіледі.
Екіншіден, жергілікті трафиктің бақылау нүктесі болыпагрегация
коммутаторы болып табылады, өзге қол жеткізерлік коммутаторлармен
салыстырғанда желіде саны жағынан аырақ және олар құрал-жабдық моделдер
тұрғысында біріздендірілген.
Үшіншіден, ергілікті трафик ендігі кезекте BRAS қайта өңдемейді.
Бейорталықтандырылған үлгінің кемшіліктері:
• Әрбір 4096 VLAN комутаторының агрегациясын шектеу; мекен-жайлы
кеңістіктің нәтижесіздігі (Cisco коммутаторындағы IP Unnumbered on SVI
проприентті қызметі қолдану мәселесі шешілуі мүмкін);
• Қолмен жұмыс істеу пішінүйлесімі VLAN-интерфейс коммутаторының
агрегациясында қажет;
• Әрбір коммутаторға жеке – дара пішінүйлесім.
Кемшіліктеріне қарамастан Ethernet-операторлардың ішінде, осы модел
кең тараған, сонымен қатар агрегация коммутатарлары арқылы жергілікті
трафиктің тарифтенбеген ауысуының нәтижесінде BRAS-қа жүктемені
төмендетеді.
Осылайша біз Private VLAN қызметінің көмегімен кең көлемді доменнің
жеке коммутаторлы қол жеткізуде жалпы VLAN-ың сегменттелуін бөліп алдық, ал
бағытталу трафигі домендер арасында Local Proxy ARP көмегімен коммутатор
агрегациясымен реализациялайды. Бұл кесте 4- суретте сипатталған.
2.23-сурет. Private VLAN және Local Proxy ARP қолдану сәулеті
Жергілікті трафикті бақылау агрегация коммутаторлары қазіргі тұрғыда
VLAN ACL қол жеткізу тізімінің көмегімен жүзеге асады.
DHCP Snooping, Port Security, IP Source Guard және Dynamic ARP
Inspection қызметімен қатынас құру коммутаторларының қосылуымен жалпы VLAN
кестеде қауіпсіздікпен қамтамасыз ету тапсырмасы жасырын түрде шешіледі.
2.2-кесте. PrivateVLAN + Local Proxy ARP және VLAN пайдаланушыға
сәулеттерін салыстыру
PrivateVLAN + VLAN пайдаланушыға
Local Proxy ARP
Жергілікті трафикті бақылау Толық Толық
Бақылау трафигінің нүктесінің Аз Аз
саны
Кең көлемді Паразитті трафикЖоқ Жоқ
Типтік шабуылдан қорғану Қызмет құру Сәулетпен
коммутаторлырының қамтамасыз етіледі
қызметімен қамтамасыз
етіледі
Реализацияның қиындықтары Төмен Жоғары
Қызмет көрсету Біріздендірілген Жеке-дара
коммутаторларының
пішінүйлесімі
Мекен-жайлы кеңістікті қолдануНәтижелі Нәтижесіз
VLAN және коммутаторлар
Егер сіздің компьютерлік желіңізде бірнеше компьютерлік құрылғыңыз бар
болса, онда сіз оларды біріктіру үшін коммутаторды пайдаланасыз. Коммутатор
бұл OSI үлгінің 2 деңгейіндегі деректермен жұмыс істейтін құрылғы, Ethernet-
хаттамасының фреймдерін бір құрылғыдан екіншісіне олардың аппараттық мекен-
жайы негізінде былайша атағандағы МАС мекен-жайлар бойынша, жібереді. 2
деңгейлі қарапайым коммутаторлар ІР мекен-жайлар туралы ештеңе білмейді
(OSI үлгінің 3 деңгейлі мекен-жайы) және фреймдермен операция жасағанда
оларды ескермейді.
Сіздің коммутаторыңыз 4 портқа арналған бағдарғылауышқа енгізілген
миниатюралы құрылғы болуы мүмкін, немесе 2.24-суреттегі D-Link DGS-2205
сияқты шағын, басқарылмайтын коммутатор (пішінүйлесімденбейтін) болуы
мүмкін. Немесе бұл VLAN технологиясын қолдайтын, жетік коммутатор болуы
мүмкін, кейде оны басқарылатын, ақылды немесе көп деңгейлі коммутатор деп
атайды. Әдетте үлкен желілер әр жерде орналасқан, көптеген коммутаторлардан
тұрады.
2.24-сурет. VLAN қолдамайтын D-Link коммутаторы
Коммутатор деректерді бір құрылғыдан екіншісіне МАС мекен-жайы
негізінде жібереді. Маңызды сұрақ – коммутатор нақты МАС мекен-жайдың
қандай портта орналасқанын қайдан біледі?
Қарапайым деген коммутаторлардың өздері де оқи алады – олар
құрылғының МАС мекен-жайларын фреймнің тақырыптарынан оқиды және жадта
орналасқан, оны МАС мекен-жайлардың кестесінде сақтайды. Егер таратушы
өрісінде белгісіз МАС мекен-жай табылса, ол белгілі бір портқа телініп, осы
кестеге қосылады.
2.25-сурет. МАС мекен-жайлар кестесі
Кеңтаралымды хабарлар
VLAN маңыздылығы мәселесі кеңтаралымды хабарларға қатысты болғанда,
қатты байқалады. Кеңтаралымды хабарлар немесе броадкастар, бұл
коммутаторлар барлық құрылғыға жіберілетін фреймдер (кадрлар). Кеңтаралымды
домен – бұл бірдей кеңтаралымды хабарлар алатын құрылғылардың жиынтығы.
Шағын желілер әдетте бір ғана кеңтаралымды доменнен тұрады.
Желідегі әрбір құрылғы кеңтаралымды трафиктің ауқымды бөлігін
генерациялайды. Кеңтаралымды хабарлар, құрылғы бағытталатын МАС мекен-жайын
білмей тұрып, деректерді басқа құрылғыға жібергісі келгенде,
генерацияланады. Басқа компьютердің ІР мекен-жайын білетін, бірақ, сонымен
ассоцияланған МАС мекен-жайды білмейтін компьютер де кеңтаралымды
хабарларды жібереді. Броадкастың бұндай типтері ARP (Address Resolution
Protocol – мекен-жайларды тарату хаттамасы) броадкасталар деп аталады.
Компьютер сияқты құрылғылар МАС мекен-жайылармен ассоцияланған ІР
мекен-жайлардың тізімін жинақтап, былайша атағандағы ARP-кеште қолдайды.
ARP-кеш уақытша болуы мүмкін, компьютер қосылған сайын қайта жазылып,
қайта құрыла алады. Оған қосымша, жазбалар операциялық жүйелерге Windows
XP және 2000 қосымша енгізгеннің екі минутынан кейін, ескіре бастайды.
ОС бар Windows компьютерде ARP-кештің құрамын командалық жолақта
орындалған arp –a командасы арқылы көре аламыз. 3 суретте желілік
интерфейстен алынған біздің компьютеріміздегі ARP-кештің құрамын көре
аламыз.
2.26-сурет. arp –a ARP-кештің құрамын көрсетеді
Компьютерлер генерациялайтын броадкастардың тағы бір мысалы - DHCP
сұратулар. DHCP (Dynamic Host Configuration Protocol) – желілік мекен-
жайлардың динамикалық мақсаттағы хаттамасы. Компьютерлер кеңтаралымды
хабарларды DHCP сервисіне іске қосылған сайын немесе олдардың желілік мекен-
жайы қолмен берілмесе, ІР мекен-жайды алу үшін желіге қосылған сайын
жіберіп тұрады.
Броадкастардың тағы бір таратушысы – коммутаторлардың өздері.
Коммутаторға белгісіз, яғни МАС мекен-жайлар кестесінде бағытталған мекен-
жайы көрсетілмеген фреймдер келсе, коммутатор броадкастарды фрейм келген
порттардан жауап келуін күтіп, басқа порттардың бәріне жібереді.
Сәйкес келетін мекен-жайы бар құрылғы броадкасқа жауап береді.
Коммутатор келген жауапты талдап, сәйкес келетін порттың МАС мекен-жайлар
кестесіне жаңа жазбаны қосады. Компьютерлердегі сияқты, МАС-мекен-жайлар
кестесі де әдетте уақытша жадта сақталып, коммутатор қосылған сайын қайта
құрылады.
Броадкастардың тағы бір дереккөзі - IP мультикаст. Оның мысалы
ретінде өткізудің қол жетерлік жолағының көп бөлігін алып жататындай
технологияны пайдалану арқылы берілетін, ағындық бейнені айтуға болады.
Осыған байланысты ІР мультикастар көбінде үлкен желілерде сөніп тұрады,
сондай-ақ тұтынушылық бағдарғылауыштарда бастапқыда көрсетілгендей,
сөндірілуі мүмкін.
Броадкаст өткізу жолағының көп бөлігін алып жатуы мүмкін, сонымен
қатар процессорлық алтын уақытты да кетіреді. Желідегі әрбір құрылғы
броадкастарды қабылдайды және осындай фреймге жауап беру керек пе, жоқ па,
соны талдап, анықтайды. Желінің ұлғаюына қарай кеңтаралымды трафик те
автоматты түрде ұлғайып отырады.
Осы кезде алдыңғы орынға VLAN – броадкаст-домендерді бөлудің құралы
шығады. Броадкастар VLAN ішінде таралады және солардың арасында таралады.
Желіні VLAN сегменттеп, желінің қол жетерлік өткізу қабілетін арттыруға
және ресурстарды босатып, кеңтаралымды трафиктің мөлшерін азайта отырып,
жылдам әрекеттілікті жақсартуға болады.
2.6 IEEE 802.1Q және IEEE 802.1p хаттамалары
2.6.1 IEEE 802.1q стандарты
IEEE 802.1p стандарты маркерленген кадрлард, артықшылықтарын пайдалана
отырып өңдегенде, коммутаторлардың жұмысын анықтайды. Артықшылықтауды
қолдайтын коммутаторда әрбір портқа арналған бірнеше шығыс кезегі болуы
тиіс, онда кадрлар артықшылықтарына қарай орналасады. Осы кезектерге қызмет
көрсету тәртібі коммутаторды пішінүйлесімдендіруде анықталады. Трафикті
артықшылықтау қажеттілігі кідіріске сезімтал мультимедиялық қосымшаларды
енгізумен бірге пайда болады. ІР хаттамасы 3-ші деңгейлі құрылғылармен
(бағдарғылауыштармен) дестелерді өңдеудің артықшылықтарын басқарады [1, 8].
Кадрларды маркерлеу артықшылықты басқаруды осы құралдары (Token Ring
және FDDI қарағанда) әу-бастан болмаған Ethernet технологиясының
коммутаторлар деңгейіне де таратады. Сервистің кепілдендірілген сапасын
қамтамасыз ету үшін (регламенттелген жылдамдығы және кідірісі), бірнеше
құрамдастың өзара әрекеттестігі қажет. Кадрларды маркерлеу артықшылықты
дабыл беру жүйесін қамтамасыз етеді, 802.1p өңдеудің артықшылығын
қамтамасыз етеді. Сонымен қатар, соңғы түйіндерге трафиктің рұқсат етілген
параметрлерін хабарлайтын, желі ресурстарын тарататын құралдар да қажет
болады. Сондай-ақ, түйіндердің трафиктерін қадағалайтын және келісілген
лимиттен артық генерациялау әрекеттеріне жол бермейтін, полицейлік
құралдар да қажет.
VLAN арналған коммутаторлар алдын ала пішінүйлесімдендіруді қажет
етеді (әдетте олар өздерін, әдеттегі коммутаторлар сияқты ұстайды).
Пішінүйлесімдендіру үшін консолді порт арқылы жолақтан тысқары (out of
band) басқаруды қолдану тиімді, өйткені жолақ ішілікте (in band) абайсызда
немесе тәжірибесіздіктен қақпанға түсіп қалуға болады -
пішінүйлесімдендіру қателіктерінен қандай да бір сәтте консоль
коммутатормен байланысын үзіп алуы мүмкін.
802.1Q, қолдайтын және VLAN қалыптастыруға қатысатын коммутатор
порттарына спецификалық атрибуттар тағайындалады. Әрбір портқа PVID (Port
VLAN Identifier) - оған келетін маркерленбеген кадрларға және порт
артықшылығына (Р Prt) арналған VLAN идентификаторы тағайындалады.
Коммутатор оған келетін маркерленбеген әрбір кадрды маркерлейді (VLAN
нөмірін және артықшылықты белгілейді, FCS қайта санайды), ал
маркерленгендерін еш өзгеріссіз қалдырады. Нәтижесінде коммутатордың
ішіндегі барлық кадрлар маркерленіп шығады.
Порттар VLAN маркерленген және маркерленбеген мүшелері түрінде
конфигурациялана алады. Маркерленбеген VLAN мүшелері одан шығатын кадрларды
тегісіз шығарады ( қашықтатып, FCS қайта санап шығады). VLAN маркерленген
мүшелері кадрлардың бәрін маркерлеп шығарады. Тегілер бастапқыдан алынады
(коммутаторға кадр маркерленіп кірген кезде), немесе PVID және кадрдың
коммутаторға келген портының артықшылығына сәйкес орнатылады. Әрбір VLAN
үшін оның мүшелері болып табылатын порттардың тізімі анықталады. Порт бір
немесе бірнеше VLAN мүшесі бола алады. Өзіне бөтен VLAN идентификаторымен
портқа келген, маркерленген кадр, тіркелмеген деп аталады және оны
коммутатор ескермейді. 802.1Q коммутатордың жұмысы 1. суретте көрсетілген.
Әрбір VLAN үшін конфигурациялағанда әрбір порт маркерленбеген (U),
маркерленген (Т) немесе сол VLAN мүшесі болып табылмайды (-) деп
жарияланады. Егер порттарды параллелдеу қолданылса немесе жолақтар
резервтелсе, онда VLAN тұрғысынан параллелденген порттар біртұтастықты
құрайды.
Өнеркәсіптік IEEE 802.1Q стандарты жүйелердің өзара әрекеттесіп жұмыс
істеуі үшін ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
КІРІСПЕ 8
1 Ауани желілер 10
1.1 Ауани жекеше желілер VPN 10
1.2 Ауани жергілікті желілер VLAN 13
1.3 VLAN негізгі артықшылықтары және кемшіліктері 16
2 VLAN түрлері мен хаттамалары 21
2.1 Порт негізіндегі ауани жергілікті желілер (Port-based VLAN) 23
2.2 МАС мекен-жайлар негізіндегі VLAN (MAC address-based VLAN) 32
2.3 Тамғалар (тегтер, стандарт 802.1q) негізіндегі VLAN 33
2.4 Хаттама негізіндегі VLAN (Protocol-based VLAN). 41
2.5 Пайдаланушыға арналған VLAN 43
2.6 IEEE 802.1Q және IEEE 802.1p хаттамалары 50
2.6.1 IEEE 802.1q стандарты 50
2.6.2 IEEE 802.1P стандарты 53
3 Ауани жекеше желіні жобалау 56
3.1 Желінің құрылымдық сұлбасы және сипаттамасы 56
3.2 Желі жабдықтары 59
3.3 D-Link коммутаторларында VLAN баптау 61
4 Экономикалық бөлім 64
4.1 Жобаның техникалық-экономикалық әзірленімі 64
4.2 Экономикалық есептеулер 65
5 Еңбек қорғау 73
5.1 Қауіпті және зиянды факторларды талдау 73
5.2 Жұмыс зонасының ауасына қойылатын жалпы санитарлық-гигиеналық талаптар
74
5.2.1 Шу және жұмыс орнында шудың шекті деңгейі 74
5.2.2 Діріл және оған қарсы күрес шаралары 75
5.2.3 Радиожиіліктердің электромагниттік аймағы және электромагниттік
өрістерден қорғану 76
5.3 Қауіпсіздік техникасы 77
5.4 Электрлік қауіпсіздігі 77
5.5 Өрт қауіпсіздігі 78
5.6 Есептеулер 83
5.6.1 Магнит өрістен экранның тиімділігн есептеу 83
Қорытынды 84
Қолданылған әдебиеттер 87
Қосымшалар 88
КІРІСПЕ
Бүгінгі ұйымдар, қаржы институттары және кәсіпорындар өздерінің
пайдаланатын ресурстарын азайтып, оларды пайдаланудың тиімділігін арттыру
үшін, икемді бола білулері керек. Бұл үшін белгілі бір жұмысты орындауға
неғұрлым аз адамдар жұмылдырылып, ал қандай да бір міндетті атқару үшін
құрылған уақытша жұмысшы топтары сол жұмыс аяқталысымен қайта жасақталуы
тиіс. Осындай өзгермелі орта жылдам өзгеріп тұратын жағдайларды және
кәсіпорынның қызмет атқаруы мен дамуы барысындағы қажеттіліктерін қолдайтын
желіні икемді ұйымдастыруды қажет етеді. Бұндай жағдайларда кәсіпорынның
компьютерлік желілері кәсіпорынның сәтті жұмыс істеуін қамтамасыз
ететіндей, ақпараттық инфрақұрылымның маңызды бөлігі болып табылады.
Желілік инфрақұрылым кәсіпорынның ақпараттық инфрақұрылымның
айтарлықтай шығынсыз қызмет етуін қамтамасыз етерліктей, икемді, өсуге
бейім, жеткілікті түрдегі өнімділігі бар, қорғалған және жақсы
басқарылатындай болуы тиісті. Бөлінетін ортаны (шоғырлауыштарды) қолданатын
желілер аталған қасиеттердің бірде бірін жақсы қамтамасыз ете алмайды.
Коммутациялау мен бағдарғылауыш сияқты жлілік технологиялар да желінің
қызмет атқаруының көптеген мәселелерін шешпейді. Коммутациялауды қолданған
кезде кеңтаралымды трафик нашар басқарылады, қауіпсіздікті қамтамасыз ету
мүмкіндіктері де жоғары емес. Бағдарғылау үстеме шығындарды арттырады және
желіні әкімшілеуді күрделіндіріп жібереді. Логикалық топтарды ұйымдастыру
үшін жұмыс стансасын жергілікті желінің бір сегментінен екіншісіне
физикалық түрде ауыстыру қажет болған кезде аталған технологияларды
пайдалану әкімшінің осы үдеріске араласуына тиым сала алмайды. Қолмен
коммутациялау көп уақытты және көп күш жұмсауды қажет етеді және тиімсіз
байласу орнатуға әкеп соғуы мүмкін. Қазіргі таңдағы желілік
технологиялардың ең жақсы деген қасиеттерін өзіне сіңірген ауани желілердің
технологиясы желінің қызмет атқаруының көптеген мәселелерін шешеді.
Көп портты көпірлер пайда болғанда, үлкен желіні кішірек қақтығыстар
домендеріне сегменттеуге мүмкіндік пайда болды. Осылайша желінің өнімділігі
арта түсті. Дегенмен, тұтқиыл (кенет) кеңтаралымды дауыл салдарынан болатын
желінің асыра жүктемесін азайта қоймады. Кеңтаралымды трафик Ethernet-
көпірлер арқылы еркін өте берді.
Ethernet-бағдарғылауыштарының пайда болуына байланысты желінің
пайдаланушыларын ортақ қақтығыстар домендері бар жұмыс топтарына топтастыра
бастады. Желінің ішіндегі әрбір топтың тиімділігін жақсартып қоймай,
кенеттен пайда болған кеңтаралымды дауыл шақырылған ортақ желінің асыра
жүктемесін азайтты. Дегенмен, ортақ желіні бағдарғылауыштардың көмегімен
жұмыс топтарына бөлу көптеген қиыншылықтар тудыра бастады. Жұмыс топтарының
арасындағы байланыс тек 3-ші деңгейлік бағдарғылауыштар арқылы жүзеге
асырылатын болды. Бұл өз кезегінде компаниялардың ауқымдык серверлеріне
қатынас құруды баяулатты.
Коммутацияланатын VLAN Ethernet технологиясының пайда болуына
байланысты кеңтаралымды домендер жиынтығы негізінде логикалық сегменттеу
мүмкін бола бастады. Бұл компаниялардың серверлеріне қатынас құруды
баяулатпай-ақ желінің өнімділігін жақсартуға, кеңтаралымды трафикті
азайтуға жол берді.
Жылдан-жылға коммутацияланатын порттардың саны корпоративтік желіде
үнемі артып отыруда. Сонымен қатар, коммутацияланатын әрбір портты бөліп
қолданатын желі пайдаланушыларының саны да азая бастады, тіпті
коммутацияланатын порттың әрқайсысымен жеке пайдаланушы байласу құра
алатындай мүмкіндік пайда болды. Желілік инфрақұрылымның бұл түрі ауани
жергілікті желіні VLAN (Virtual Local Area Network) қолдануға қолайлы болып
шықты.
Коммутатордың әрбір портына өзінің қызметтері мен мақсаттарына сәйкес
логикалық сегнементтерге бөлінген нақты VLAN тағайындауға болады.
Ауани жергілікті желінің көмегімен мыналарды істеуге болады:
• физикалық жергілікті желіні бірнеше логикалық ішжелілерге бөлу;
• қауіпсіздікті арттыру мақсатында әрбір портты оқшаулау;
• кеңтаралымды трафикті оқшаулау.
Сонымен қатар, VLAN-ның өлшемі мен құрылымын реттеу арқылы доменнің
құрылымы мен өлшемін өзгертуге болады.
Ауани жергілікті желі деректер ағыны тек осы топтың мүшелерімен
шектелетіндей етіп коммутатордың порттарын топтастыруға мүмкіндік береді.
VLAN немесе Virtual LAN (ауани жергілікті желі) – бұл физикалық
желіні OSI үлгісінң 2-ші деңгейінде логикалық сегменттерге бөлуге
мүмкіндік беретін технология. Желіні VLAN-ға бөлудің көптеген себептер
және ескеруге қажетті болатын көптеген параметрлер бар.
VLAN шағын және ірі желілерде де қолдануға пайдалы болып табылады.
Орташа және ірі көлемді компьютерлік желілерде VLAN кейде қашықтағы
физикалық сегменттерді бір логикалық сегментке біріктіру үшін де
қолданылады.
Бұл жұмыста VLAN ұйымдастырудың негізгі қағидалары, сондай-ақ кіші
желілерде пайдалану себептері қарастырылады. Сонымен қатар, нақты мысал
келтіре отырып, желіні сегменттеу үшін VLAN технологиясын қолдайтын нақты
коммутаторды пішінүйлесімдіру келтіріледі.
1 Ауани желілер
Қазіргі уақытта ауани желілердің екі түрі қолданылады: ауани жекеше
желілер VPN (Virtual Private Network) және ауани жергілікті желілер VLAN
(Virtual Local Area Network).
1.1 Ауани жекеше желілер VPN
VPN (Virtual Private Network – ауани жекеше желі) – өзге желінің
(мысалы, Интернет) үстінен бір немесе бірнеше желілік байласуды (логикалық
желіні) қамтамасыз ететін технологиялардың жалпыланған аты. Коммуникацияның
желіде белгісіз сенім деңгейінің аздығына қарамастан, сенім деңгейі
орнатылған логикалық желісіне байланысты емес, сенім деңгейінен базалық
желіге криптография заттарын пайдалануға байланысты шифрленген,
аутентификация, ашық кілттердің инфраструктурасы [6].
Қабылданатын хаттамалар мен тағайындамаларға байланысты, VPN
байланыстың үш түрін біріктіре алады: түйін-түйін, түйін-желі және желі-
желі.
Әдетте VPN желі деңгейінде ашылады, өйткені осы деңгейде
криптографияны өзгермеген түрінде транспортты хаттаманы қолдануға мүмкіндік
береді (мысалы TCP, UDP).
Ауани желіні құруда жиірек PPP хаттаманың инкапсулизациясы
қолданылады ал басқа хаттамасы – IP(мүндай тәсілдер қолданылады PPTP –
Point-to-Point Tunneling Protocol) немесе Ethernet (PPPoE). VPN
технологиясы кейінгі кезде жеке желінің құрылуында ғана қолданбайды,
сонымен қатар кейбір сонғы милия провайдерлермен интернет кезеңінде
ұсыныла бастады.
VPN желісінде арнайы қолднылатын бағдарламаны қолдану немесе керекті
деңгейде жалға беру өз кезегінде берілетін мағлұматтардың жоғары деңгейде
шифрлануын қамтамасыз етеді.
VPN құрылымы
VPN 2 бөлімнен тұрады: ішкі (бақыланған) желі, ол бірнешеу болуы да
мүмкін, және сыртқы желі, ол өз кезегінде капсуламен қапталған байланыс
арқылы өтеді (әдетте ғаламтор қолданылады). Кейде ауани желінің жеке
компьютерге қосылу мүмкішілігі де бар.
Өшірілген пайдаланушының VPN – ге қосылуы серверге қол жеткізу арқылы
жүзеге асады, ол өз кезегінде ішкі және сыртқы желімен байланысқан.
Өшірілген пайдаланушының қосылуы кезінде серверге қол жеткізу кезінде желі
идентификациядан өтуін талап етеді, одан кейін желі яға ұшырайды. Осы екі
желі сәтті өткен жағдайда пайдаланушының өшірілуі желінің іс ерекшелігі,
яғни авторизация желісі жүреді.
VPN жіктемесі
1.1-сурет. VPN жіктемесі
VPN-ді бірнеше негізгі белгілерге қарап жіктеуге болады:
Қолданылатын ортаның қорғалу деңгейіне байланысты
Қорғалған
Ауани жеке желідегі ең жиі таралған түрі. Оның көмегімен сенімді
желіде, яғни ғаламтор негізінде сенімділік пен қорғанышты құру мүмкіндігі
бар. VPN – ның қорғалған мысалы ретінде: IPSec, OpenVPN және PPTP болып
табылады.
Сенімді
Алдынғы ортаны сенімді деп есептеген жағдайда және үлкен желідегі
ауани желісі деңгейінде құрылған тапсырмаларды орындау мақсатында
қолданылады. Қауіпсіздік мәселесі актуальды болмай отыр. VPN-ның шешімінің
мысалы ретінде: MPLS (Multi-protocol label switching) және L2TP (Layer 2
Tunnelling Protocol) болып табылады. (дәлірек айтқанда бұл хаттамалар
өзгелерге қауіпсіздікті қамтамасыз ету тапсырмалары жүктелген, мысалы L2TP,
олар әдетте IPSec-пен бірге қосарланып жүреді).
Жүзеге асыру тәсілі бойынша
Арнайы бағдарламалық-ақпараттық қамтама түрінде
Арнайы бағдарламалық-ақпараттық кешенінің көмегімен VPN желісінің
реализациясы жүзеге асады. Мұндай реализация жоғары өндірушілікті
қамтамасыз етеді және ол өз кезегінде жоғары деңгейлі қауіпсіздікті
қамтамасыз етеді.
Бағдарламалық шешім түрінде
Арнайы бағдарлмамен қамтамасыз етілген бағдарламасы бар дербес
компьюте қолданылады, ол өз кезегінде VPN-нің қызметін қамтамасыз етеді.
Біріктірілген шешім
VPN қызметін кешен қамтамасыз етеді, ол сонымен қатар желі
трафигіндегі фильтрация тапсырмаларын, желі экранындағы ұжым және қызмет
сапасын қамтамасыз етеді.
Тағайындау бойынша
Intranet VPN
Ашық байланыс каналымен алмасатын бір ұжымның бірнеше таралған
филиалдарын бірінғай қорғалған желіге біріктіру үшін қолданылады.
Remote Access VPN
Бұл корпоративтік желі сегменті мен жекеше пайдаланушының, (ол өз
кезегінде үйде жұмыс жасай отырып, үй компьютерімен корпоративті
ресурстарға қосылады, корпоративтіден ноутбугке сматрфондарға немесе
ғаламтор-дөңгершігіне) арасындағы қорғанысты қамтамасыз ету үшін
қолданылады.
Extranet VPN
Бұл ішкі пайдаланушыға қосылуға арналған желі үшін қолданылады.
(мысалы, тапсырыс берушілер немесе клиенттер). Оларға сенімділік компания
қызметкерлеріне қарағанда төмендеу, сол себептен арнайы шегтік қорғанысты
орнату үшін арнайы қорғанысты қамтамассыз ету керек.
VPN Internet
Провайдерлердің интернетке қол жеткізуін қамтамасыз ету үшін
қолданады, әдетте бір физикалық каналмен бірнеше пайдаланушылар қосыла
алады.
ClientServer VPN
Корпаративті желінің екі желі түйінін арқылы берілетін мәліметтерді
қорғауға қабілетті. Бұл нұсқаның ерекшелігі VPN түйін арасында орналасады,
ол өз кезегінде желінің бір сегментінде орналасқан, яғни жұмыс беті мен
сервер арасында орналасқан. Мұндай қажеттілік көбінде физикалық желіде
бірнеше логикалық желі орнату үшін дамиды. Мысалы, қаржы департаменті мен
кадрлар бөлімінің арасындағы трафикті ажырату үшін қажет, ол өз кезегінде
серверге қарасты, бір физикалық сегментте орналасқан. Бұл нұсқа VLAN
технологиясына ұқсас, дегенмен трафиктің бөлінуінде оның шифрованиясы
қолданылады.
1.2 Ауани жергілікті желілер VLAN
Ауани желі орындалатын функциялары, қолданылатын қосымшалары немесе
пайдаланушылардың компьютерлерінің физикалық қай жерде орналасқанына
қарамастан, олардың нақты бір бөлімге тиесілігі бойынша логикалық
сегменттелген, коммутацияланатын желі болып табылады. Коммутатордың әрбір
порты ауани желіге қосыла алады. Бір ғана ауани желіге қосылған порттардың
барлығы соның аясындағы кеңтаралымды хабарларды қабылдайды, ал оған
қосылмаған порттар бұл хабарларды қабылдамайды. Коммутатор порттарын ауани
желіге қосу үшін қолданылатындай ауани желілерді жүзеге асырудың үш тәсілі
болады: орталық порты бар, статикалық және динамикалық
[5,10,11,12,14,15,16].
Статикалық ауани желі (static VLAN) статикалық түрде ауани желіге
біріктірілген коммутатор порттарының жиынтығы болып табылады. Өзгерістер
енгізу үшін статикалық ауани желілер әкімшінің араласуын талап етеді.
Олардың артықшылығына қауіпсіздіктің жоғары деңгейін, пішінүйлесімінің
жеңілдігін және желінің жұмысына тікелей бақылау жасаудың мүмкіндігін
жатқызуға болады.
Динамикалық ауани желі (dynamic VLAN) өздерінің ауани желідегі орнын
автоматты түрде анықтай алатын коммутатор порттарының логикалық бірігуі
болып табылады. Динамикалық ауани желінің жұмыс істеуі МАС мекен-жайға,
логикалық мекен-жайға немесе деректер дестесінің хаттама типіне
негізделеді. Бұндай тәсілдің негізгі артықшылығы жаңа пайдаланушыны қосқан
кезде немесе орын ауыстырғанда бұрынғыларының жұмыс көлемін азайту және
желіге танылмаған пайдаланушы қосылғанда барлық пайдаланушыны орталықтан
хабардар ету болып табылады. Бұл кездегі негізгі жұмыс ауани желіні
басқаруды программалық қамтамасыз етудегі деректер базасын орнату және оның
өзектілігін қолдап отыру болып табылады.
VLAN (Virtual Local Area Network) - бұл арналық деңгейде бір-бірімен
өзара әрекеттестікте бола алатындай мүмкіндіктері бар құрылғылар тобы, олар
физикалық түрде түрлі желілік коммутаторларға қосылуы да мүмкін. Түрлі VLAN
болатын құрылғылар тіпті бір коммутаторға қосылса да, және осы құрылғылар
арасындағы байланыс желілік және одан да жоғары деңгейлерде болса да,
арналық деңгейде бір-біріне көрінбейді.
VLAN ауани желілері топтарды бір-бірінен оқшаулап, оған қосылған ауани
машиналарды VLAN қосуға мүмкіндік беріп, коммутатор порттарын топ-топқа
бөлуді қамтамасыз етеді. VLAN ауани желілерін қолдана отырып желіні
ұйымдастырушылық (логикалық) немесе физикалық принциптер бойынша бөлуге
болады. Ұйымдастырушылық принципін қолданудың өз артықшылығы бар, өйткені
компьютерді басқа физикалық орынға ауыстырғанда, желіні қайта
пішінүйлесімдендірудің қажеті болмайды.
VLAN ауани желісін беру үшін ауани коммутаторда порттар жасағанда
VLAN ID идентификаторын беру қажет. Сонымен қатар физикалық коммутатордың
тегаларын немесе қонақтық жүйе деңгейінде кадрларды маркерлеуді де
қолдануға болады. Ауани коммутатор порттары деңгейінде трафикті оқшаулау
процессордың ресурсын үнемдеуге және қонақтық жүйелердегі желілік
бейімдеуіштерді өткізу жолақтарын үнемдеуге мүмкіндік береді.
1.2-сурет. Ауани жергілікті желі
VLAN келесі мақсаттарда пайдалануға болады.
Құрылғыларды топтарға икемді етіп бөлу
Әдетте, бір VLAN-ға бір ішжелі сәйкес келеді. Әр түрлі VLAN болатын
құрылғылар әр түрлі ішжелілерде орналасады. Алайда, соған қарамастан, VLAN
құрылғылардың орналасқан жеріне тәуелді емес, сондықтан бір-бірінен қашықта
орналасқан құрылғылар, орналасқан жеріне қарамастан бір VLAN бола алады.
Желідегі кеңтаралымды трафиктер санын азайту
Әрбір VLAN – бұл кеңтаралымды дербес домен. Мысалы, коммутатор – бұл
OSI үлгісінің 2 деңгейлі құрылғысы. VLAN болмайтын коммутатордағы барлық
порттар кеңтаралымды бір ғана портта болады. Коммутаторда VLAN жасау
коммутаторды кеңтаралымды бірнеше домендерге бөлуді білдіреді. Егер бір
ғана VLAN түрлі коммутаторларда бар болса, онда түрлі коммутаторлардың
порттары кеңтаралымды бір домен түзеді.
Желінің қауіпсіздігін және басқарылуын арттыру
Желі VLAN бөлінгенде, қауіпсіздік ережелері мен саясатын қолданудың
міндеті жеңілдей түседі. VLAN саясатын жекелеген құрылғыларға емес,
тұтастай ішжелілерге қолдануға болады. Сонымен қатар, бір VLAN екіншісіне
өткенде құрылғының 3 деңгей арқылы өтуін талап етеді, әдетте онда бір VLAN
екінші VLAN қатынауға тиым салатын немесе рұқсат беретін саясат
қолданылады.
Ауани VLAN желі деп кеңтаралымды трафик домендерін түзетін желі
түйіндерінің топтарын айтады.
Коммутатор негізінде жергілікті желіні құрғанда, трафикті шектеу
бойынша пайдаланушы сүзгілерін пайдаланудың мүмкіндігіне қарамастан,
желінің барлық түйіндері кеңтаралымды бірегей домен болып табылады, яғни
кеңтаралымды трафик желінің барлық түйіндеріне жіберіледі. Сонымен,
коммутатор әу-бастан кеңтаралымды трафикті шектемейді, ал аталған принцип
бойынша құрылған желілер жалпақ деп аталады.
Ауани желілер, кеңтаралымды трафикті қоса алғандағы трафиктердің
барлығы желінің басқа түйіндерінен арналық деңгейде толығымен
оқшауланатындай, желі түйіндерінің топтарын құрайды. Бұл, желі түйіндерінің
арасында түрлі ауани желілерге тиесілі кадрларды арналық деңгейдің мекен-
жайы негізінде берудің мүмкін еместігін білдіреді (ауани желілер
бағдарғылауыштарды қолдана отырып, желілік деңгейде бір-бірімен өзара
әрекеттесе алатынына қарамастан).
Желінің жекелеген түйіндерін ауани желілер технологиясын пайдалана
отырып, арналық деңгейде оқшаулау бір мезетте бірнеше міндетті орындауға
мүмкіндік береді. Біріншіден, ауани желілер кеңтаралымды трафикті ауани
желі аясында шоғырландыра отырып және кеңтаралымды дауыл жолында бөгеттер
құрып, желінің өнімділігін арттыруға ықпал етеді. Коммутаторлар
кеңтаралымды дестелерді (сондай-ақ топтық және белгісіз мекен-жайы бар
дестелерді) ауани желінің ішінде жібере алады, бірақ, ауани желінің
арасында емес. Екіншіден, ауани желілерді арналық деңгейде бір-бірінен
оқшаулау, пайдаланушылардың белгілі бір санаты үшін ресурстардың бір
бөлігін қол жетпестей етіп, желінің қауіпсіздігін арттыруға мүмкіндік
береді.
Ауани желінің тұжырымдамасы
Ауани жергілікті желі (VLAN) құру технологиясының тұжырымдамасы
мынада: желінің әкімшісі желінің қандай учаскеге қосылғанына қарамастан,
пайдаланушылардың логикалық тобын құра алады. Пайдаланушыларды логикалық
жұмысшы тобына атқарылатын жұмыстың белгілеріне қарай немесе бірлесіп
орындайтын міндеттері бойынша, біріктіруге болады. Және пайдаланушылар тобы
бір-бірімен өзара әрекеттесе алады немесе бірін-бірі көрмеуі де мүмкін.
Топқа мүшелікті өзгертуге болады және пайдаланушы бірнеше логикалық топқа
мүше бола алады.
Ауани желілер тұжырымдамасы 1991 жылы пайда болған жергілікті желіні
коммутациялау технологиясы негізінде құрылған, және қазіргі кезде қарқынды
даму үстінде. Коммутаторлар Ethernet, Fast Ethernet, Token Ring, немесе
FDDI дестелерін жергілікті желі сегменттері арасында немесе коммутатор
портына тікелей қосылған пайдаланушылар арасында жібере алады.
Коммутаторлардың көбі OSI үлгісінің екінші (Data Link Layer) деңгейі
аясында жұмыс істейді. Басқаша айтсақ, олар дестенің тақырыбындағы
алушының МАС мекен-жайы бойынша анықталатын, дереккөз бен пайдаланушы
арасында дестелерді коммутациялап, жалғаушы көпір қызметін атқарады. Кейбір
коммутаторлар қазіргі кезде желілік мекен-жай белгісі бойынша дестелерді
бағдарғылап, OSI үлгісінің үшінші (Network Layer) деңгейін қолдайды.
Коммутацияның екі түрінің арасындағы айтарлықтай айырмашылық екінші және
үшінші деңгейлі коммутаторлар негізінде жасалатын ауани желілердің
функционалдығы мен икемділігіндегі айырмашылықты анықтайды.
Ауани желілер жергілікті желі сегменттері арасындағы кеңтаралымды
трафиктерді оқшаулайтын бағдарғылауыштар сияқты, желі бойынша кеңтаралымды
дестелердің өтуін шектеп, логикалық кеңтаралымды домендерді қалыптастырады.
Сөйтіп, ауани желі кеңтаралымды дауылдың болуының алдын алады, өйткені
кеңтаралымды хабарлар ауани желі мүшелерімен шектеліп, басқа ауани желі
мүшелері оларды ала алмайды. Ауани желілер серверлердің файлдары немесе
қосымшалардың серверлері сияқты ортақ ресурсқа қатынау қажет болғанда
немесе банктік клиенттермен жұмыс істеу сияқты ортақ міндет, түрлі
қызметтердің, мысалы, несиелік және есеп айырысу бөлімшелерінің өзара
әрекеттесуін қажет ететін жағдайларда, басқа ауани желі мүшелерінің
қатынауына рұқсат бере алады.
Ауани желілер коммутатордың порттарының белгілері бойынша, желіге
қосылатын құрылғылардың физикалық (МАС) мекен-жайы (OSI үлгісінің екінші
деңгейі) және OSI үлгісінің үшінші деңгейінің логикалық мекен-жайы бойынша
жасалады.
Коммутатордың порттары бойынша жасалатын ауани желілер басқаруда
икемді емес, ауани желілердің өзара байланысын ұйымдастыру үшін
бағдарғылауыштың қажет болуы мүмкін, бұл үстеме шығындарды және материал
шығынын қажет етеді. Екінші деңгейлі ауани желілер басқаруда біршама икемді
болып келеді, ауани желілердің өзара байланысын ұйымдастыру үшін
бағдарғылауыштың қажет болуы мүмкін. Ауани желілердің осы екі түрін
орнатудың қиындығы басқару жүйесімен анықталады, оны белсенді жабдықтың
өндірушісі ұсынады, және командалық жол интерфейсінде және пайдаланушылар
саны көп болғанда ғана көп еңбек шығыны жұмсалады. Артықшылығы мынада:
коммутаторлар жоғары жылдамдықта жұмыс істейді, өйткені заманға сай
коммутаторларда, OSI үлгісінің екінші деңгейіндегі коммутацияның
міндеттері үшін арнайы жасалған интегралды сұлбалардың арнайыландырылған
(ASIC) жинағы қамтылған.
Үшінші деңгейдегі ауани желілердің қондырғылары қарапайым, егер желі
клиенттерін қайта пішінүйлесімдендіру қажет болмаса, басқаруда біршама
күрделі болып келеді, өйткені желі клиенттерімен кез келген әрекет
клиенттің өзін немесе бағдарғылауышты қайта пішінүйлесімдендіруді қажет
етеді және икемділігі төмен, өйткені ауани желілердің байланысы үшін
бағдарғылау қажет болады, бұл жүйенің бағасын арттырып, оның өнімділігін
төмендетеді.
1.3 VLAN негізгі артықшылықтары және кемшіліктері
Ауани желілердің (VLAN) келесідей артықшылықтары бар.
Кеңтаралымды трафикті бақылау.
Бағдарғылауышкөпірлер арқылы құрылған дәстүрлі LAN қарағанда, VLAN
логикалық бапталған шекаралары бар кеңтаралымды домен түрінде қарастырылуы
мүмкін. Дәстүрлі желіге қарағанда VLAN еркін әрекет етуіне болады.
Ертеректе қолданылғандары шоғырлауыштар негізінде құрылған желіні
физикалық шектеуге негізделетін; LAN-сегменттің негізгі физикалық
шекаралары электр сигналдары шоғырлауыш портынан өте алатындай, тиімді
қашықтықпен шектелетін. LAN сегменттерін осы шекаралар аясынан шығару
сигналды күшейітп, қайта жіберетін құрылғы - қайталауыштарды (repeaters),
қолдануды қажет ететін. VLAN физикалық орналасуына, желілік қатынау
ортасына, тасығыштың түріне және берудің жылдамдығына қарамастан,
кеңтаралымды доменнің болуына мүмкіндік береді. Мүшелері нақты сегментпен
арнайы қосылысы бар жерде емес, қажет болған жерінде орналаса алады. VLAN
кеңтаралымды трафикті шағын және жеңіл басқарылатын логикалық домендердің
ішінде орналастырып, желінің өнімділігін арттырады. VLAN қолдамайтын,
коммутаторлы дәстүрлі желілерде кеңтаралымды трафиктің барлығы порттардың
бәріне бірдей түседі. Егер VLAN қолданылса, кеңтаралымды трафиктің барлығы
жекелеген кеңтаралымды трафикпен шектеледі [8,9].
Функционалдық жұмыс топтары
VLAN технологиясының ең үлкен артықшылығы физикалық орналасуына немесе
тасығыштың түріне емес, функционалдығына негізделіп, жұмысшы топтарын
құрудың мүмкіндігі болып табылады. Дәстүрлі түрде, әкімшілер функционалды
бөлімшелердің пайдаланушыларын, олардың столдарын және серверлерін жалпыға
бірдей жұмысшы кеңістігіне, мысалы бір сегментке физикалық орын ауыстыру
арқылы топтайтын. Сервермен жоғары жылдамдықты қосылуының артықшылығы
болуы үшін, жұмысшы тобының барлық пайдаланушылары бірдей физикалық
қосылыста болатын. VLAN әкімшіге желілік сегменттерді физикалық
инфрақұрылымын өзгертусіз және пайдаланушылар мен серверлерді ажыратусыз,
құруға, логикалық және бірден топ-топқа бөлуге және қайта топтауға
мүмкіндік береді. Желі пайдаланушыларын тез қосу, орнын ауыстыру және
өзгертудің мүмкіндігі – VLAN басты артықшылығы болып табылады.
Ауани жұмыс топтары
VLAN басты функциясы – бұл қатынас пайдаланушылардың ортақ
функцияларына және қатынас құруды қажет ететін жалпыға бірдей ресурстарға
негізделген ауани жұмысшы топтарын құру . Мысалы, кәсіпорын – есептеу,
жабдықтау, маркетинг, сату сияқты көптеген департаменттерден тұрады. Әрбір
департаменттің пайдаланушыларына өздерінің нақты ресурстарына қатынас құру
қажет делік. VLAN жүзеге асырудың арқасында әрбір департаменттің
пайдаланушылары логикалық сипатталып, желінің түрлі қатынас ресурстары бар
түрлі жұмысшы топтарына топтастырыла алады.
Желінің өнімділігін арттыру
VLAN кеңтаралымды домен тәрізді, және ауани жергілікті желілер бірнеше
VLAN бар желілердегі кеңтаралымды нақты домендерге сәйкес келеді.
1.3-сурет. Көптеген ауани желілер (VLAN) жиынтығына сегменттелген
үлкен желі
Мысалы, кеңтаралымды бір доменде орналасқан автоматтандырылған 500
жұмыс орны қарастырылған желі бар делік. Осы желідегі әрбір жұмысшы
станциясы басқадай жұмысшы станцияларының әріреуі генерациялаған
кеңтаралымды трафикті қабылдайды. VLAN технологиясын пайдаланғанда үлкен
кеңтаралымды трафигі бар үлкен желі бірнеше жұмысшы станциялары бар
кеңтаралымды көптеген домендерге сегменттеледі. Яғни, кеңтаралымның жиілігі
(тығыздығы) азаяды. Әрбір ішжелінің өнімділігі арта түседі, өйткені
желінің барлық желілік құрылғылары кеңтаралымды трафикті қабылдағанда нақты
деректерді беруден жалтарады.
Желі шекараларының дәстүрлі тұжырымдамаларының бұзылуы
VLAN технологиясын пайдаланғанда, бір жұмысшы топтың немесе бөлімшенің
желісін пайдаланушылар олардың физикалық орналасуы бойынша аз шектелген.
Бұл еркіндік қолданыстағы Ethernet коммутаторларының мүмкіндіктеріне
байланысты. VLAN технологиясын пайдаланғанда, бір жұмысшы топтың немесе
бөлімшенің желісін пайдаланушылар түрлі қабаттарда орналасуы, тіпті түрлі
ғимараттарда орналасып, бір ғана ауани желіге қатынауы да мүмкін.
1.4-суретте ғимараттың екі қабатында орналасқан желі көрсетілген.
Екінші қабатта 5 жұмысшы тобының бәрі Ethernet коммутаторға тікелей
қосылған. Байқап қарасақ, 1 қабаттағы 3 жұмысшы орны DX2216 екі жақты
шоғырлауышқа қосылған, ал екі жұмысшы орны 2 қабаттағы сияқты, коммутатор
порттарына тікелей қосылған. DX2216 шоғырлауышы каскадталып
коммутацияланатын порт VLAN2 телінген, яғни, DX2216 қосылған компьютердің
үшеуі де VLAN2 жатады. Ал, түрлі коммутаторларға қосылған, бірақ физикалық
орналасуымен байланысты болмайтын жұмысшы станциялары бір жұмысшы тобына
немесе бір департаментке тиесілі болып, кеңтаралымды бір доменге қатыса
алады.
1.4-сурет. Еркін шекаралар тұжырымдамасы
Жоғары деңгейлік қауіпсіздік
VLAN сондай-ақ қауіпсіздіктің қосымша артықшылықтарын да ұсынады. Бір
жұмысшы тобының пайдаланушылары басқа топтың деректеріне қатынай алмайды,
өйткені әрбір VLAN – бұл жабық, логикалық жарияланған топ. Құпия ақпаратпен
жұмыс істейтін Қаржы департаменті ғимараттың үш қабатында орналасқан.
Инженерлік департамент пен Маркетинг бөлімі де үш қабатта орналасқан. VLAN
пайдалана отырып, Инженерлік бөлім мен Маркетинг бөлімінің мүшелері VLAN
басқа екі мүшелері сияқты, үш қабатта орналаса алады, ал Қаржы департаменті
үш қабаттың бәрінде орналасқан үшінші VLAN мүшесі бола алады. Қазір, Қаржы
департаменті жасап шығарған желілік трафикке осы департаменттің мүшелері
ғана қатынай алады, ал Инженерлік бөлім мен Маркетинг бөлімінің топтары
Қаржы департаментінің құпия ақпаратына қатынай алмайды. Толықтай
қауіпсіздікті қамтамасыз етуге қойылатын басқа да талаптардың болатыны
анық, алайда VLAN желілік қауіпсіздіктің жалпы стратегиясының бір бөлігі
бола алады.
Қауіпсіздік және желілік ресурстарға қатынас құруды бөлу
Басқарылатын көптеген коммутаторлар коммутацияланатын бір портқа
бірнеше VLAN мүше болуға рұқсат етеді. Мысалы, коммутатордың 5 порты бір
мезетте VLAN1, VLAN2 және VLAN3 тиесілі болып, ауани кеңтаралымды
желінің үшеуіне де қатыса алады. Осы мүмкіндіктердің арқасында 5 портқа
қосылған сервер жұмысшы станцияларына желінің үшеуіне де қатынауға
мүмкіндік береді. Екінші жағынан, бір ғана VLAN мүше болатын порттарға
қосылған бір ғана бөлімнің серверлеріне қатынау сәйкес келетін VLAN аясында
ғана мүмкін болмақ.
1.5-сурет. Кәсіпорынның ортақ (ауқымды) серверіне қатынас құру үшін
VLAN қолдану
Қызметкерлер құрамының орнын ауыстырған кездегі шығынды азайту
Мысалы, түрлі бөлімдердегі қысметкерлер құрамының жұмыс орнын
компания аясында ауыстырудың немесе нақты бөлімнің физикалық орналасуын
өзгертудің қажеттілігі пайда болды делік. Коммутацияланатын порттарға
тікелей қосылған тегілік VLAN қолданғанда (ІЕЕЕ 802.І Q), орын ауыстырудың
құнына қысметкерлер құрамының жұмыс орнын физикалық ауыстыру ғана кіреді ,
өйткені VLAN мүшелігінің ID индентификоторлары желінің жұмыс стансаларымен
бірге апарылады. Қолданыстағы Ethernet коммутаторларындағы қосылысты қайта
конструкциялаудың ешқандай қажеттілігі жоқ.
2 VLAN түрлері мен хаттамалары
Ауани жергілікті желілердегі құрылғылар қажет жағдайда
пайдаланушылдарды қосу үшін, орнын ауыстыру немесе өзгерту үшін тез әрі
оңай өзгертіле алады [8].
VLAN желілері келесі көрсеткіштер бойынша анықталады:
• порт (ең жиі қолданылатыны);
• МАС мекен-жайы (өте сирек);
• пайдаланушынң идентификаторы User ID (өте сирек);
• желілік мекен-жайы (DHCP пайдаланудың артуына байланысты өте сирек).
2.1-сурет. Физикалық шекаралар арқылы VLAN құру
Порт нөмірі негізінде құрылған VLAN, VLAN нақты портты анықтауға
мүмкіндік береді. Порттар жеке-дара, топтары бойынша, тұтас қатарымен және
транктік хаттама арқылы түрлі коммутаторлар бойынша анықталуы мүмкін. Бұл
VLAN анықтаудың ең қарапайым және жиі қолданылатын әдісі. Бұл жұмыс
стансалары динамикалық баптау TCPIP (DHCP) хаттамасын қолданатын порттарға
құрылған VLAN енгізудің жиі қолданылатын түрі.
МАС мекен-жайлар базасына құрылған VLAN, пайдаланушылар бір орыннан
екінші орынға ауысқан кезде де оларға сол VLAN болуға мүмкіндік береді.
Бұл әдіс, әкімшінің әрбір жұмысшы станциясының МАС мекен-жайын анықтауын
және осы ақпаратты коммутаторға енгізуін қажет етеді. Егер пайдаланушы МАС
мекен-жайын өзгертсе, бұл әдіс ақауларды іздестіруде үлкен қиындықтар
тудыруы мүмкін. Пішінүйлесіміндегі кез келген өзгертпелер желілік әкімшімен
келісілуі керек, бұл әкімшілік кідірісті туындатуы мүмкін.
Желілік мекен-жайлар негізінде құрылған ауани желілер
пайдаланушыларға, тіпті пайдаланушы бір орыннан екінші орынға ауысса да,
сол VLAN қалуына мүмкіндік береді. Бұл әдіс пайдаланушы қосылған әрбір
коммутатордың жұмысшы станциясының 3 Деңгейінің желілік мекен-жайымен
байланыстырып, VLAN орнын ауыстырады. Бұл әдіс қауіпсіздіктің маңызы зор
болатындай және қатынау бағдарғылауыштардағы қатынау тізімімен
бақыланатындай жағдайларда өте пайдалы бола алады. Сондықтан қауіпсіз
VLAN пайдаланушы басқа ғимаратқа көшсе де бұрынғы құрылғыларына қосылған
күйінде қала алады, өйткені, оның желілік мекен-жайы өзгермейді. Желілік
мекен-жайларға құрылған желі ақауларды іздестіруде кешенді амал-тәсілдерді
қолдануды қажет етуі мүмкін.
Ішжелілер негізінде құрылған ауани желілер
VLAN бұндай ұйымдарының мысалы ретінде С класты 198.78.55.024 мекен-
жайы бір ішжелінің бір VLAN сәйкес келетіндей, ал 198.78.42.024 С класты
екінші ішжелінің екінші VLAN сәйкес келетіндей желіні айтуға болады.
Бұл тәсілдің жетіспейтін тұсы келесідей: егер коммутатор бір порттағы
ішжелінің бірнеше ІР қолдамаса, басқа VLAN ауыстыру үшін жұмысшы станциясын
физикалық түрде қосуды қажет етеді.
Желілік хаттама негізіндегі ауани желілер
Желілік деңгейдегі ауани ЖЕЖ әкімшіге ауани желіге сәйкес келетіндей
қандай да бір хаттама үшін трафикті байланыстыруға мүмкіндік береді. Дәл
осындай тәсілмен бағдарғылауыштар негізіндегі желілерде кеңтаралымды
домендер құрылады. Хаттама ІР-ішжелі түрінде немесе желілік нөмір ІРХ
түрінде берілуі мүмкін. Коммутаторларды пайдаланғанға дейін ұйымдастырылған
ішжелінің барлық пайдаланушыларын ауани ЖЕЖ біріктіруге де болады.
Тек қана ІР-хаттаманы қолдайтын құрылғылар бір ғана VLAN болатын, ал
тек қана ІРХ- хаттамасын қолдайтын құрылғылардың екінші VLAN, және
хаттаманың екеуі де желінің екеуінде болатын мысалын келтіруге болады.
Ережелер негізіндегі ауани желілер
Құрылғыларды ауани жергілікті желіге қосу үшін, оларды коммутаторлар
қолдайтындай жағдайда, жоғарыда аталған тәсілдердің бәрін қолдануға болады.
Ережелер барлық коммутаторларға жүктемеленгеннен кейін олар, әкімші берген
критерийлер негізіндегі VLAN ұйымдастыруын қамтамасыз етеді. Бұндай
желілерде кадрлардың берілген критерийлерге сәйкестігі ұдайы тексеріліп
тұратындықтан, пайдаланушылардың ауани желілерге тиесілі пайдаланушылардың
ағымдағы әрекетіне қарай, өзгеріп отыруы мүмкін.
Ережелер негізіндегі ауани жергілікті желілерге желіге тиесілігінің
кең ауқымды критерийлерін қолданады, соның ішінде жоғарыда аталған нұсқалар
да бар: МАС мекен-жайлар, желілік деңгей мекен-жайы, хаттама түрі және т.б.
Сондай-ақ берілген міндеттемелерге нақты сәйкес келетіндей ережелерді
құрастырудың кез-келген үйлесіміндегі критерийлерін де пайдалануға да
болады.
2.1 Порт негізіндегі ауани жергілікті желілер (Port-based VLAN)
Порт базасына құрылған VLAN, әрбір кіріс портына қол жетерлік шығыс
порттарының анықталуын қажет етеді. Ethernet кадрлары мына ережелерге
сәйкес жіберіледі [9, 10, 14, 16].
• шықпа порты кіріс үшін рұқсат етіледі;
• порт негізіндегі VLAN тек қана шықпа трафигін басқарады;
• екі портқа арнап VLAN жасау үшін, әрбір портқа сәйкес келетін шықпа
портын анықтап алу керек.
Бұл жағдайда әкімші VLAN тиесілі коммутатордың әрбір портын
тағайындайды. Мысалы, 1-3 порттар сату бөлімінің VLAN тағайындалуы мүмкін,
ал 4-6 порттар VLAN жасаушылар үшін және 7-9 порттар желілік әкімшілік
ететін VLAN үшін тағайындалуы мүмкін. Коммутатор әрбір дестенің қандай VLAN
тиесілігін, қай порттан келгенін ескере отырып, анықтайды. Пайдаланушының
компьютері коммутатордың басқа портына қосылған болса, желі әкімшісі
пайдаланушы бұрын тиесілі болған бұрынғы VLAN үшін жаңа портты қайта
тағайындай алады. Бұл жағдайда пайдаланушы желілік өзгерістерді толығымен
көре алады және әкімшінің желі топологиясын өзгертпеуіне де болады. Алайда,
бұл әдістің айта кетерлік бір олқы тұсы бар, егер шоғырлауыш коммутатордың
портына қосылса, оған қосылған барлық пайдаланушылар сол VLAN тиесілі болуы
тиіс.
2.2-сурет.
Ауани жергілікті желілердің (VLAN) бұл түрі қосылған порттың нөмірі
негізіндегі әрбір VLAN мүшелігін анықтайды.
Мәселен, 2.1-кестеде 3, 6, 8 және 9 порттар VLAN 1 құрамына, ал 1, 2,
4, 5 және 7 порттар VLAN 2 құрамына кіреді.
2.1-кесте. Әрбір VLAN мүшелігі порттың нөмірімен анықталады
PORT # 1 2
Жергілікті трафикті бақылау Шектелген Толық
Бақылау трафигінің нүктесінің Көптеген Аз
саны
жергілікті трафиктің жолы Оңтайлы Оңтайлы емес
Паразитті кең көлемді трафик Бар Жоқ
Үрлі шабуылдан қорғау Қатынас құру Сәулетпен
коммутаторының қамтамассыз етіледі
қызметімен
қамтамасыз етіледі
Жүзеге асырудың қиындықтары Төмен Жоғары
VLAN пайдаланушыға сәулеті, атында айтылғандай, әрбір абонентке
өзінің жеке VLAN бөлінуін білдіреді.
Өндірушілер ұсынған орталық модельдің осындай архитектурасының
реализация нұсқасын қарастырамыз.онда онда барлық абоненттік трафиктің
консолидация нүктесі болып BRAS – Broadband Remote Access Server табылады
(2.21-сурет).
2.21-сурет. VLAN пайдаланушыға орталықтандырылған үлгісі
Дегенмен мұндай үлгіні қарастырғанда мынадай сұрақ туындайды, барлық
абоненттердегі бір құрылғысын қалай терминдейді, IEEE 802.1q стандартына
сай VLAN нөмерімен барлығы 12 бит бөлінген (максимум 4096 мағына). Бұл
жағдайда көптеген абоненттердің шешімі болып екі еселенген тегирленген
пакеттің технологиясын (Q-in-Q) және олардың терминизациясы BRAS
қолданылады.
Орталықтандырылған үлгінің артықшылықтырына жеке-дара ғаламтор мен
жергілікті трафиктің бақылау нүктесін жатқызуға болады. Қызмет көрсету мен
әрбір абонентті жолақты өткізуді икемді түрде бақылау. Сонымен қатар осы
сәулетті екінінші деңгейде абонентті шектеуді қамтамасыз етеді, ол өз
кезегінде жоғарыда аталған көптеген қауіпсіздік мәселесін шешеді. Негізгі
кемшілігі өндірушіге мұхтаждық және ол BRAS жолының нәтижесі болады.
Компрессивті орталықтандырылған моделдің нұсқасы болып келесі BRAS
ғаламтор трафигін қата өңдеуді қамтамсыз етеді, ал жергілікті трафиті
ауыстыру Layer3 - коммутаторымен жүзеге асады. соның нәтижесінде жүктемені
төмендетуге және BRAS өңдірісінің талабын төмендете алады. (2.22-сурет).
2.22-сурет. VLAN пайдаланушыға бейорталықтандырылған үлгісі
Бейорталықтандырылған үлгінің негізгі жағымды жақтары мынадай.
Біріншіден, орталықтандырылған үлгідегі сияқты абоненттік шектеу екінші
деңгейде сақталған, соның нәтжесінде қауіпсізік мәселесі шешіледі.
Екіншіден, жергілікті трафиктің бақылау нүктесі болыпагрегация
коммутаторы болып табылады, өзге қол жеткізерлік коммутаторлармен
салыстырғанда желіде саны жағынан аырақ және олар құрал-жабдық моделдер
тұрғысында біріздендірілген.
Үшіншіден, ергілікті трафик ендігі кезекте BRAS қайта өңдемейді.
Бейорталықтандырылған үлгінің кемшіліктері:
• Әрбір 4096 VLAN комутаторының агрегациясын шектеу; мекен-жайлы
кеңістіктің нәтижесіздігі (Cisco коммутаторындағы IP Unnumbered on SVI
проприентті қызметі қолдану мәселесі шешілуі мүмкін);
• Қолмен жұмыс істеу пішінүйлесімі VLAN-интерфейс коммутаторының
агрегациясында қажет;
• Әрбір коммутаторға жеке – дара пішінүйлесім.
Кемшіліктеріне қарамастан Ethernet-операторлардың ішінде, осы модел
кең тараған, сонымен қатар агрегация коммутатарлары арқылы жергілікті
трафиктің тарифтенбеген ауысуының нәтижесінде BRAS-қа жүктемені
төмендетеді.
Осылайша біз Private VLAN қызметінің көмегімен кең көлемді доменнің
жеке коммутаторлы қол жеткізуде жалпы VLAN-ың сегменттелуін бөліп алдық, ал
бағытталу трафигі домендер арасында Local Proxy ARP көмегімен коммутатор
агрегациясымен реализациялайды. Бұл кесте 4- суретте сипатталған.
2.23-сурет. Private VLAN және Local Proxy ARP қолдану сәулеті
Жергілікті трафикті бақылау агрегация коммутаторлары қазіргі тұрғыда
VLAN ACL қол жеткізу тізімінің көмегімен жүзеге асады.
DHCP Snooping, Port Security, IP Source Guard және Dynamic ARP
Inspection қызметімен қатынас құру коммутаторларының қосылуымен жалпы VLAN
кестеде қауіпсіздікпен қамтамасыз ету тапсырмасы жасырын түрде шешіледі.
2.2-кесте. PrivateVLAN + Local Proxy ARP және VLAN пайдаланушыға
сәулеттерін салыстыру
PrivateVLAN + VLAN пайдаланушыға
Local Proxy ARP
Жергілікті трафикті бақылау Толық Толық
Бақылау трафигінің нүктесінің Аз Аз
саны
Кең көлемді Паразитті трафикЖоқ Жоқ
Типтік шабуылдан қорғану Қызмет құру Сәулетпен
коммутаторлырының қамтамасыз етіледі
қызметімен қамтамасыз
етіледі
Реализацияның қиындықтары Төмен Жоғары
Қызмет көрсету Біріздендірілген Жеке-дара
коммутаторларының
пішінүйлесімі
Мекен-жайлы кеңістікті қолдануНәтижелі Нәтижесіз
VLAN және коммутаторлар
Егер сіздің компьютерлік желіңізде бірнеше компьютерлік құрылғыңыз бар
болса, онда сіз оларды біріктіру үшін коммутаторды пайдаланасыз. Коммутатор
бұл OSI үлгінің 2 деңгейіндегі деректермен жұмыс істейтін құрылғы, Ethernet-
хаттамасының фреймдерін бір құрылғыдан екіншісіне олардың аппараттық мекен-
жайы негізінде былайша атағандағы МАС мекен-жайлар бойынша, жібереді. 2
деңгейлі қарапайым коммутаторлар ІР мекен-жайлар туралы ештеңе білмейді
(OSI үлгінің 3 деңгейлі мекен-жайы) және фреймдермен операция жасағанда
оларды ескермейді.
Сіздің коммутаторыңыз 4 портқа арналған бағдарғылауышқа енгізілген
миниатюралы құрылғы болуы мүмкін, немесе 2.24-суреттегі D-Link DGS-2205
сияқты шағын, басқарылмайтын коммутатор (пішінүйлесімденбейтін) болуы
мүмкін. Немесе бұл VLAN технологиясын қолдайтын, жетік коммутатор болуы
мүмкін, кейде оны басқарылатын, ақылды немесе көп деңгейлі коммутатор деп
атайды. Әдетте үлкен желілер әр жерде орналасқан, көптеген коммутаторлардан
тұрады.
2.24-сурет. VLAN қолдамайтын D-Link коммутаторы
Коммутатор деректерді бір құрылғыдан екіншісіне МАС мекен-жайы
негізінде жібереді. Маңызды сұрақ – коммутатор нақты МАС мекен-жайдың
қандай портта орналасқанын қайдан біледі?
Қарапайым деген коммутаторлардың өздері де оқи алады – олар
құрылғының МАС мекен-жайларын фреймнің тақырыптарынан оқиды және жадта
орналасқан, оны МАС мекен-жайлардың кестесінде сақтайды. Егер таратушы
өрісінде белгісіз МАС мекен-жай табылса, ол белгілі бір портқа телініп, осы
кестеге қосылады.
2.25-сурет. МАС мекен-жайлар кестесі
Кеңтаралымды хабарлар
VLAN маңыздылығы мәселесі кеңтаралымды хабарларға қатысты болғанда,
қатты байқалады. Кеңтаралымды хабарлар немесе броадкастар, бұл
коммутаторлар барлық құрылғыға жіберілетін фреймдер (кадрлар). Кеңтаралымды
домен – бұл бірдей кеңтаралымды хабарлар алатын құрылғылардың жиынтығы.
Шағын желілер әдетте бір ғана кеңтаралымды доменнен тұрады.
Желідегі әрбір құрылғы кеңтаралымды трафиктің ауқымды бөлігін
генерациялайды. Кеңтаралымды хабарлар, құрылғы бағытталатын МАС мекен-жайын
білмей тұрып, деректерді басқа құрылғыға жібергісі келгенде,
генерацияланады. Басқа компьютердің ІР мекен-жайын білетін, бірақ, сонымен
ассоцияланған МАС мекен-жайды білмейтін компьютер де кеңтаралымды
хабарларды жібереді. Броадкастың бұндай типтері ARP (Address Resolution
Protocol – мекен-жайларды тарату хаттамасы) броадкасталар деп аталады.
Компьютер сияқты құрылғылар МАС мекен-жайылармен ассоцияланған ІР
мекен-жайлардың тізімін жинақтап, былайша атағандағы ARP-кеште қолдайды.
ARP-кеш уақытша болуы мүмкін, компьютер қосылған сайын қайта жазылып,
қайта құрыла алады. Оған қосымша, жазбалар операциялық жүйелерге Windows
XP және 2000 қосымша енгізгеннің екі минутынан кейін, ескіре бастайды.
ОС бар Windows компьютерде ARP-кештің құрамын командалық жолақта
орындалған arp –a командасы арқылы көре аламыз. 3 суретте желілік
интерфейстен алынған біздің компьютеріміздегі ARP-кештің құрамын көре
аламыз.
2.26-сурет. arp –a ARP-кештің құрамын көрсетеді
Компьютерлер генерациялайтын броадкастардың тағы бір мысалы - DHCP
сұратулар. DHCP (Dynamic Host Configuration Protocol) – желілік мекен-
жайлардың динамикалық мақсаттағы хаттамасы. Компьютерлер кеңтаралымды
хабарларды DHCP сервисіне іске қосылған сайын немесе олдардың желілік мекен-
жайы қолмен берілмесе, ІР мекен-жайды алу үшін желіге қосылған сайын
жіберіп тұрады.
Броадкастардың тағы бір таратушысы – коммутаторлардың өздері.
Коммутаторға белгісіз, яғни МАС мекен-жайлар кестесінде бағытталған мекен-
жайы көрсетілмеген фреймдер келсе, коммутатор броадкастарды фрейм келген
порттардан жауап келуін күтіп, басқа порттардың бәріне жібереді.
Сәйкес келетін мекен-жайы бар құрылғы броадкасқа жауап береді.
Коммутатор келген жауапты талдап, сәйкес келетін порттың МАС мекен-жайлар
кестесіне жаңа жазбаны қосады. Компьютерлердегі сияқты, МАС-мекен-жайлар
кестесі де әдетте уақытша жадта сақталып, коммутатор қосылған сайын қайта
құрылады.
Броадкастардың тағы бір дереккөзі - IP мультикаст. Оның мысалы
ретінде өткізудің қол жетерлік жолағының көп бөлігін алып жататындай
технологияны пайдалану арқылы берілетін, ағындық бейнені айтуға болады.
Осыған байланысты ІР мультикастар көбінде үлкен желілерде сөніп тұрады,
сондай-ақ тұтынушылық бағдарғылауыштарда бастапқыда көрсетілгендей,
сөндірілуі мүмкін.
Броадкаст өткізу жолағының көп бөлігін алып жатуы мүмкін, сонымен
қатар процессорлық алтын уақытты да кетіреді. Желідегі әрбір құрылғы
броадкастарды қабылдайды және осындай фреймге жауап беру керек пе, жоқ па,
соны талдап, анықтайды. Желінің ұлғаюына қарай кеңтаралымды трафик те
автоматты түрде ұлғайып отырады.
Осы кезде алдыңғы орынға VLAN – броадкаст-домендерді бөлудің құралы
шығады. Броадкастар VLAN ішінде таралады және солардың арасында таралады.
Желіні VLAN сегменттеп, желінің қол жетерлік өткізу қабілетін арттыруға
және ресурстарды босатып, кеңтаралымды трафиктің мөлшерін азайта отырып,
жылдам әрекеттілікті жақсартуға болады.
2.6 IEEE 802.1Q және IEEE 802.1p хаттамалары
2.6.1 IEEE 802.1q стандарты
IEEE 802.1p стандарты маркерленген кадрлард, артықшылықтарын пайдалана
отырып өңдегенде, коммутаторлардың жұмысын анықтайды. Артықшылықтауды
қолдайтын коммутаторда әрбір портқа арналған бірнеше шығыс кезегі болуы
тиіс, онда кадрлар артықшылықтарына қарай орналасады. Осы кезектерге қызмет
көрсету тәртібі коммутаторды пішінүйлесімдендіруде анықталады. Трафикті
артықшылықтау қажеттілігі кідіріске сезімтал мультимедиялық қосымшаларды
енгізумен бірге пайда болады. ІР хаттамасы 3-ші деңгейлі құрылғылармен
(бағдарғылауыштармен) дестелерді өңдеудің артықшылықтарын басқарады [1, 8].
Кадрларды маркерлеу артықшылықты басқаруды осы құралдары (Token Ring
және FDDI қарағанда) әу-бастан болмаған Ethernet технологиясының
коммутаторлар деңгейіне де таратады. Сервистің кепілдендірілген сапасын
қамтамасыз ету үшін (регламенттелген жылдамдығы және кідірісі), бірнеше
құрамдастың өзара әрекеттестігі қажет. Кадрларды маркерлеу артықшылықты
дабыл беру жүйесін қамтамасыз етеді, 802.1p өңдеудің артықшылығын
қамтамасыз етеді. Сонымен қатар, соңғы түйіндерге трафиктің рұқсат етілген
параметрлерін хабарлайтын, желі ресурстарын тарататын құралдар да қажет
болады. Сондай-ақ, түйіндердің трафиктерін қадағалайтын және келісілген
лимиттен артық генерациялау әрекеттеріне жол бермейтін, полицейлік
құралдар да қажет.
VLAN арналған коммутаторлар алдын ала пішінүйлесімдендіруді қажет
етеді (әдетте олар өздерін, әдеттегі коммутаторлар сияқты ұстайды).
Пішінүйлесімдендіру үшін консолді порт арқылы жолақтан тысқары (out of
band) басқаруды қолдану тиімді, өйткені жолақ ішілікте (in band) абайсызда
немесе тәжірибесіздіктен қақпанға түсіп қалуға болады -
пішінүйлесімдендіру қателіктерінен қандай да бір сәтте консоль
коммутатормен байланысын үзіп алуы мүмкін.
802.1Q, қолдайтын және VLAN қалыптастыруға қатысатын коммутатор
порттарына спецификалық атрибуттар тағайындалады. Әрбір портқа PVID (Port
VLAN Identifier) - оған келетін маркерленбеген кадрларға және порт
артықшылығына (Р Prt) арналған VLAN идентификаторы тағайындалады.
Коммутатор оған келетін маркерленбеген әрбір кадрды маркерлейді (VLAN
нөмірін және артықшылықты белгілейді, FCS қайта санайды), ал
маркерленгендерін еш өзгеріссіз қалдырады. Нәтижесінде коммутатордың
ішіндегі барлық кадрлар маркерленіп шығады.
Порттар VLAN маркерленген және маркерленбеген мүшелері түрінде
конфигурациялана алады. Маркерленбеген VLAN мүшелері одан шығатын кадрларды
тегісіз шығарады ( қашықтатып, FCS қайта санап шығады). VLAN маркерленген
мүшелері кадрлардың бәрін маркерлеп шығарады. Тегілер бастапқыдан алынады
(коммутаторға кадр маркерленіп кірген кезде), немесе PVID және кадрдың
коммутаторға келген портының артықшылығына сәйкес орнатылады. Әрбір VLAN
үшін оның мүшелері болып табылатын порттардың тізімі анықталады. Порт бір
немесе бірнеше VLAN мүшесі бола алады. Өзіне бөтен VLAN идентификаторымен
портқа келген, маркерленген кадр, тіркелмеген деп аталады және оны
коммутатор ескермейді. 802.1Q коммутатордың жұмысы 1. суретте көрсетілген.
Әрбір VLAN үшін конфигурациялағанда әрбір порт маркерленбеген (U),
маркерленген (Т) немесе сол VLAN мүшесі болып табылмайды (-) деп
жарияланады. Егер порттарды параллелдеу қолданылса немесе жолақтар
резервтелсе, онда VLAN тұрғысынан параллелденген порттар біртұтастықты
құрайды.
Өнеркәсіптік IEEE 802.1Q стандарты жүйелердің өзара әрекеттесіп жұмыс
істеуі үшін ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz