Skip to content

11.1 Модель безопасности сетевой связности

Организация сетевой связности является одним из важнейших компонентов обеспечения сетевой безопасности. Эффективное управление и защита узлов в сети помогают предотвратить многие угрозы и атаки (например, Man-in-the-Middle, ARP-спуфинг или DDoS), а также защитить от несанкционированного доступа.

Далее приведен пример коммутации узлов vStack HCP, который может послужить отправной точкой для построения карты сети.

Таблица 1. Коммутация узлов
LACP Group VLAN ID CIDR Назначение Дополнительно
Public Endpoints + Virtual Networks Native 39 10.100.39.0/24 Host access
40 10.100.40.0/24 VxLANs IGMP querier (snooping)
41 10.100.41.0/24 Public endpoints
2004-2054 (пример, диапазон указывается владельцем) Белые IP-адреса Virtual networks
SDS + Cluster Native 2002 192.168.200.0/24 iSCSI networks
2003 172.17.127.0/24
Таблица 2. Обозначение цветов
Цвет Обозначение
Немаршрутизируемая сеть
Маршрутизируемая сеть
Адресное пространство менять бесмысленно

В данной сетевой инфраструктуре есть две группы портов (Public Endpoints + Virtual Networks, SDS + Cluster), к которым подключаются VLAN.

Public Endpoints + Virtual Networks

В этой группе портов находятся как маршрутизируемые, так и немаршрутизируемые сети. К некоторым сетям этой группы портов должен быть обеспечен доступ извне.

VLAN, входящие в LACP group:

  • Native 39 - Native VLAN. Маршрутизируемая сеть в пределах сегмента, предназначена для доступа к хостам.
  • 40 - VxLAN сеть. Полностью изолированная сеть, для работы которой необходим IGMP querier (snooping).
  • 41 - маршрутизируемая сеть в пределах сегмента, используется для публичных эндпоинтов.
  • 2004-2005 - маршрутизируемая сеть с белыми IP-адресами.

SDS + Cluster

Закрытая группа портов, в которую входят только изолированные сети. Организована таким образом, чтобы минимизировать внешние угрозы и обеспечить безопасность сетевого сегмента, используемого для работы кластера и слоя хранения.

Сети, входящие в эту LACP group:

  • Native 2002 - Native VLAN для слоя хранения.
  • 2003 - изолированная сеть для взаимодействия компонентов кластерного ПО.

Рисунок 1. LACP groups