11.1 Модель безопасности сетевой связности
Организация сетевой связности является одним из важнейших компонентов обеспечения сетевой безопасности. Эффективное управление и защита узлов в сети помогают предотвратить многие угрозы и атаки (например, Man-in-the-Middle, ARP-спуфинг или DDoS), а также защитить от несанкционированного доступа.
Далее приведен пример коммутации узлов vStack HCP, который может послужить отправной точкой для построения карты сети.
| LACP Group | VLAN ID | CIDR | Назначение | Дополнительно |
|---|---|---|---|---|
| Public Endpoints + Virtual Networks | Native 39 | 10.100.39.0/24 | Host access | |
| 40 | 10.100.40.0/24 | VxLANs | IGMP querier (snooping) | |
| 41 | 10.100.41.0/24 | Public endpoints | ||
| 2004-2054 (пример, диапазон указывается владельцем) | Белые IP-адреса | Virtual networks | ||
| SDS + Cluster | Native 2002 | 192.168.200.0/24 | iSCSI networks | |
| 2003 | 172.17.127.0/24 |
| Цвет | Обозначение |
|---|---|
| Немаршрутизируемая сеть | |
| Маршрутизируемая сеть | |
| Адресное пространство менять бесмысленно |
В данной сетевой инфраструктуре есть две группы портов (Public Endpoints + Virtual Networks, SDS + Cluster), к которым подключаются VLAN.
Public Endpoints + Virtual Networks¶
В этой группе портов находятся как маршрутизируемые, так и немаршрутизируемые сети. К некоторым сетям этой группы портов должен быть обеспечен доступ извне.
VLAN, входящие в LACP group:
- Native 39 - Native VLAN. Маршрутизируемая сеть в пределах сегмента, предназначена для доступа к хостам.
- 40 - VxLAN сеть. Полностью изолированная сеть, для работы которой необходим IGMP querier (snooping).
- 41 - маршрутизируемая сеть в пределах сегмента, используется для публичных эндпоинтов.
- 2004-2005 - маршрутизируемая сеть с белыми IP-адресами.
SDS + Cluster¶
Закрытая группа портов, в которую входят только изолированные сети. Организована таким образом, чтобы минимизировать внешние угрозы и обеспечить безопасность сетевого сегмента, используемого для работы кластера и слоя хранения.
Сети, входящие в эту LACP group:
- Native 2002 - Native VLAN для слоя хранения.
- 2003 - изолированная сеть для взаимодействия компонентов кластерного ПО.
Рисунок 1. LACP groups