NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
gw-world:/> set EthernetDevice lan<br />
EthernetDriver=IXP4NPEEthernetDriver<br />
PCIBus=0 PCISlot=0 PCIPort=2<br />
3.3.3. VLAN<br />
Полный список опций CLI-команд приведен в руководстве CLI Reference Guide.<br />
Обзор<br />
Виртуальная локальная сеть (Virtual LAN, VLAN), поддерживаемая системой NetDefendOS<br />
позволяет определять один или несколько VLAN-интерфейсов, которые связаны с конкретным<br />
физическим интерфейсом. VLAN-интерфейсы рассматриваются как логические интерфейсы<br />
NetDefendOS и могут обрабатываться как и другие интерфейсы в системе NetDefendOS с помощью<br />
наборов правил и таблиц маршрутизации.<br />
VLAN применяется в нескольких случаях. Обычное применение – когда один Ethernet-интерфейс<br />
представлен как несколько интерфейсов. Это означает, что число физических Ethernet-портов на<br />
межсетевых экранах NetDefend не ограничивается числом соединений внешних сетей.<br />
Другим типичным случаем применения VLAN является группировка отдельных пользователей<br />
таким образом, чтобы трафик, принадлежащий различным группам, был полностью отделен от<br />
других виртуальных локальных сетей. Трафик может проходить только между различными VLANсетями,<br />
находящимися под управлением NetDefendOS и фильтроваться с помощью политик<br />
безопасности, описываемых наборами правил системы NetDefendOS.<br />
Ниже более подробно объясняется о том, что конфигурация VLAN системы NetDefendOS включает<br />
в себя комбинацию VLAN-каналов от межсетевых экранов NetDefend до коммутаторов, на<br />
интерфейсах которых порты настроены на основе VLAN. Любой физический интерфейс<br />
межсетевого экрана может одновременно пропускать как не- VLAN-трафик, так и VLAN-трафик для<br />
одного или нескольких VLAN.<br />
Механизм работы VLAN<br />
NetDefendOS полностью поддерживает стандарт IEEE 802.1Q. В этом стандарте определяется, как<br />
функционирует VLAN, добавляя к заголовку Ethernet-кадра виртуальный идентификатор локальной<br />
сети (VLAN ID), который является частью трафика VLAN-сети.<br />
VLAN ID – это число от 0 до 4095, используемое для идентификации конкретной виртуальной<br />
локальной сети, которой принадлежит каждый фрейм. С применением такого механизма Ethernetфреймы<br />
могут принадлежать разным виртуальным локальным сетям и при этом совместно<br />
использовать один физический интерфейс.<br />
В основе обработки системой NetDefendOS VLAN-тэговых Ethernet-фреймов на физическом<br />
интерфейсе лежат следующие принципы:<br />
• Etnernet-фреймы, полученные системой NetDefendOS от физического интерфейса проверяются<br />
на наличие VLAN ID. Если VLAN ID найден и для этого интерфейса определен<br />
соответствующий VLAN-интерфейс, NetDefendOS будет использовать этот VLAN-интерфейс в<br />
качестве логического интерфейса источника для дальнейшей обработки набором правил.<br />
• Если в Ethernet-фрейме, полученном на интерфейс, нет VLAN ID, то источником фрейма<br />
считается физический интерфейс, а не VLAN.<br />
• Если на физический интерфейс принимается VLAN-тэгированный трафик и в конфигурации<br />
системы NetDefendOS для этого интерфейса не определен VLAN с соответствующим VLAN ID,<br />
то этот трафик отклоняется NetDefendOS и генерируется сообщение журнала unknown_vlanid.<br />
96