1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
 Скачать 3.9 Mb.
|
|
69. Классификация и маркировка пакетов на уровне Layer 3 (Tos). Layer 3 Classification and Marking Маршрутизирующее оборудование (Layer 3) оперирует IP пакетами, в которых под цели маркировки предусмотрено соответствующее поле в IP-заголовке - Type of Service (ToS) размером один байт. ToS может быть заполнен классификатором IP Precedence (IPP) или DSCP в зависимости от задачи. IPP имеет размер 3 бита (принимает значения 0-7). DSCP относится к модели DiffServ и состоит из 6 бит (значения 0-63) (Рисунок). Рисунок. Поле TOS в IP-заголовке. Кроме цифровой формы, значения DSCP могут быть выражены с использованием специальных ключевых слов: • доставка по возможности BE (Best Effort); • гарантированная доставка AF (Assured Forwarding); • срочная доставка EF (Expedited Forwarding). В дополнение к этим трем классам существуют коды селектора классов, которые добавляются к обозначению класса и обратно совместимы с IPP. Например, значение DSCP равное 26 можно записать как AF31. 70. Способы управления трафиком в условиях перегрузок (Congestion Management). Перегрузки возникают в случае переполнения выходных буферов оборудования, передающего трафик. Основными механизмами возникновения перегрузок является агрегация трафика и несогласованность скоростей на интерфейсах (Рисунок). Рисунок - Возможные причины возникновения перегрузок Управление пропускной способностью в случае перегрузок (узких мест) осуществляется с помощью механизма очередей. Пакеты помещаются в очереди, которые упорядоченно обрабатываются по определенному алгоритму. Фактически, управление перегрузками - это определение порядка, в котором пакеты выходят из интерфейса (очередей) на основе приоритетов. Если перегрузок нет - очереди не работают. Расмотрим методы обработки очередей. 77 71. Схема процесса обработки пакетов коммутатором (802.1р, 802.lq). Процедуры QoS для транзитного пакета разбиваются на несколько задач: • классификация (classification) — исследовать пакет и выработать метку QoS на основе ACL; • анализ на соответствие политике (policing) — сравнить скорость входящего потока с допустимой скоростью, установленной политикой, и решить, попадает пакет под действие политики или нет; • отметка (mark) - на основе результата анализа на соответствие политике и настроек принять решение о пропускании пакета, его отметке или отбрасывании; • создание входных очередей и диспетчеризация (ingress queueing and scheduling) - на основе метки QoS решить, в какую входящую (ingress) очередь поместить пакет, и обслужить очереди согласно установленным весам; • создание выходных очередей и диспетчеризация (egress queueing and scheduling) - на основе метки QoS решить, в какую выходящую (egress) очередь поместить пакет, и обслужить очереди согласно установленным весам. Процесс обработки пакета выполняется внутри коммутатора следующим образом: 1. Пакет поступает в коммутатор. Если это обычный Ethernet пакет, то он не имеет меток приоритета и таковая может выставляться коммутатором, например, по номеру входного порта, если это нужно. Если входной порт транковый (802.1Q или ISL), то пакет может нести метку приоритета и коммутатор может ее принять или заменить на необходимую. В любом случае пакет на данном этапе попал в коммутатор и имеет необходимую разметку CoS. 2. После обработки процессом коммутации пакет в соответствии с меткой приоритета CoS направляется классификатором (Classify) в соответствующую очередь выходного порта. Например, критический трафик попадает в высокоприоритетную, а менее важный -в низкоприоритетную. 3. Механизм обработки (Scheduling) извлекает пакеты из очередей согласно их приоритетам. Из высокоприоритетной очереди за единицу времени будет выдано на выходной порт больше пакетов, чем из низкоприоритетной. 72. Основные алгоритмы обслуживания очередей (QoS), краткая характеристика. Механизмы (алгоритмы) обработки очередей (Scheduling) Проведем классификацию Layer 3 QoS по методам обработки очередей. Чаще всего в маршрутизаторах и коммутаторах применяются следующие алгоритмы обработки очередей: 9 • традиционный алгоритм FIFO; • приоритетное обслуживание (Priority Queueing), которое также называют «подавляющим»; • взвешенные, в том числе настраиваемые очереди (Weighted Queueing ,Custom Queueing); • взвешенное справедливое обслуживание (Weighted Fair Queueing, WFQ). Каждый алгоритм разрабатывался для решения определѐнных задач и поэтому специфическим образом воздействует на качество обслуживания различных типов трафика в сети. Возможно комбинированное применение этих алгоритмов. FIFO Обычная очередь с последовательным прохождением пакетов, работающая по принципу первый пришел - первый ушел (First In First Out - FIFO). Здесь нет никакой приоритезации. Приоритетное обслуживание (Priority Queueing) Механизм приоритетной обработки трафика предусматривает разделение всего сетевого трафика на небольшое количество классов с назначением каждому классу некоторого числового признака - приоритета. Блок классификации трафика может размещаться как в самом устройстве (рисунок 5), так и вне его. 78 Рисунок 5. Организация приоритетных очередей Priority Queueing. Независимо от выбранного способа классификации трафика, в сетевом устройстве имеется несколько очередей, в соответствии с количеством классов. Поступивший в период перегрузки пакет помещается в очередь согласно его приоритету. На рисунке 5 приведен пример использования четырех приоритетных очередей: с высоким, средним, нормальным и низким приоритетом. Приоритеты очередей имеют абсолютный характер предпочтения при обработке: - пока из более приоритетной очереди не будут выбраны все пакеты, устройство не переходит к обработке следующей, менее приоритетной. Поэтому пакеты со средним приоритетом всегда обрабатываются только тогда, когда очередь пакетов с высоким приоритетом пуста, а пакеты с низким приоритетом - только когда пусты все вышестоящие очереди. Конечный размер буферной памяти сетевого устройства предполагает некоторую предельную длину каждой очереди. Обычно по умолчанию всем приоритетным очередям отводятся буферы одинакового размера, но многие устройства разрешают администратору выделять каждой очереди индивидуальный буфер. Его максимальная 10 длина определяет предельное количество пакетов, которые могут храниться в очереди данного приоритета. Пакет, поступивший в заполненный буфер, отбрасывается. Приоритетное обслуживание очередей обеспечивает высокое качество сервиса для пакетов из самой приоритетной очереди. Если средняя интенсивность их поступления в устройство не превосходит пропускной способности выходного интерфейса (и производительности внутренних блоков самого устройства, участвующих в продвижении пакетов), то пакеты с наивысшим приоритетом всегда получают ту пропускную способность, которая им необходима. Поэтому приоритетное обслуживание обычно применяется в том случае, когда в сети есть чувствительный к задержкам трафик, но его интенсивность невелика, так что его наличие не слишком ущемляет остальной трафик. Например, голосовой трафик чувствителен к задержкам, но его средняя интенсивность обычно не превышает нескольких сотен Кбит/с, и, таким образом, при назначении ему наивысшего приоритета остальные классы трафика не пострадают. Однако в сети могут наблюдаться и другие ситуации. В частности, видеотрафик тоже требует первоочередного обслуживания, но имеет гораздо более высокую интенсивность. Для таких случаев разработаны алгоритмы управления очередями, дающие низкоприоритетному трафику некоторые гарантии даже в периоды повышения интенсивности высокоприоритетного трафика. Custom Queueing - алгоритм настраиваемых очередей. Алгоритм взвешенных очередей (Weighted Queueing) разработан для того, чтобы для всех классов трафика можно было предоставить определенный минимум пропускной способности или удовлетворить требования к задержкам. Под весом какого-либо класса понимается доля выделяемой данному виду трафика пропускной способности выходного интерфейса. Алгоритм, в котором вес классов трафика может назначаться администратором, называется «настраиваемой очередью» (Custom Queueing, CQ). Как при взвешенном, так и при приоритетном обслуживании, трафик делится на несколько классов, и для каждого вводится отдельная очередь пакетов. С каждой очередью связывается доля пропускной 79 способности выходного интерфейса, гарантируемая данному классу трафика при перегрузках этого интерфейса. В примере, приведенном на рисунке 6, устройство поддерживает пять очередей для пяти классов трафика. Этим очередям соответствует 10, 10, 30, 20 и 30% пропускной способности выходного интерфейса при перегрузках. Поставленная цель достигается благодаря тому, что очереди обслуживаются последовательно и циклически, и в каждом цикле из каждой очереди забирается такое число байт, которое соответствует весу очереди. Например, если цикл просмотра очередей в рассматриваемом примере равен 1 сек, а скорость выходного интерфейса составляет 100 Мбит/с, то при перегрузках в каждом цикле из первой очереди забирается 10 Мбит данных, из второй тоже 10 Мбит, из третьей - 30 Мбит, из четвертой - 20 Мбит, из пятой - 30 Мбит. В результате каждому классу трафика достается гарантированный минимум пропускной способности, что во многих случаях является более желательным результатом, чем подавление низкоприоритетных классов высокоприоритетным. Точные значения параметров QoS для алгоритма взвешенного обслуживания предсказать трудно. Они существенным образом зависят от динамики изменяющихся параметров нагрузки сетевого устройства - интенсивности пакетов всех классов и вариаций промежутков времени между прибытием пакетов. В общем случае взвешенное обслуживание приводит к большим задержкам и их отклонениям, чем первоочередное обслуживание для самого приоритетного класса, даже при значительном превышении выделенной пропускной способности над интенсивностью входного потока данного класса. Но для более низких приоритетных классов взвешенное равномерное обслуживание часто оказывается более приемлемым с точки зрения создания благоприятных условий обслуживания всех классов трафика. Weighted Fair Queuing (WFQ) - взвешенное равномерное обслуживание Взвешенное равномерное (справедливое) обслуживание (Weighted Fair Queuing, WFQ) - это комбинированный механизм обслуживания очередей, сочетающий приоритетное обслуживание со взвешенным, при этом веса классов трафика назначаются автоматически, на основании некоторой адаптивной стратегии. Производители сетевого оборудования предлагают многочисленные собственные реализации WFQ, отличающиеся способом назначения весов и поддержкой различных режимов работы, поэтому в каждом конкретном случае необходимо внимательно изучить все детали поддерживаемого WFQ. Наиболее распространенная схема предусматривает существование одной особой очереди, которая обслуживается по приоритетной схеме - всегда в первую очередь и до тех пор, пока все заявки из ^e не будут исполнены. Эта очередь предназначена для системных сообщений, сообщений управления сетью и, возможно, пакетов наиболее критических и требовательных приложений. Во всяком случае, предполагается, что этот трафик имеет невысокую интенсивность, поэтому значительная часть пропускной способности выходного интерфейса остается другим классам трафика. Остальные очереди устройство просматривает последовательно, в соответствии с алгоритмом взвешенного обслуживания (рисунок 7). Администратор может задать вес для каждого класса трафика аналогично тому, как это делается в случае взвешенного обслуживания. Вариант работы по умолчанию предусматривает для 80 всех остальных классов трафика равные доли пропускной способности выходного интерфейса (за вычетом оставшейся от приоритетного трафика). Рисунок 7. Взвешенное равномерное обслуживание WFQ. Производители оборудования дополняют механизм WFQ некоторыми полезными режимами. Например, в маршрутизаторах компании Cisco предусмотрено несколько разновидностей WFQ: 1. Основанный на потоках (Flow-based) режим WFQ (FWFQ); 2. Основанный на классах (Class-based) режим WFQ (CWFQ). Для FWFQ на базе потоков в маршрутизаторе создается столько очередей, сколько потоков существует в трафике. Каждому потоку соответствует отдельная выходная очередь, для которой в периоды перегрузок механизм WFQ выделяет равные доли пропускной способности порта. Поэтому иногда алгоритм FWFQ называют FQ (Fair Queuing) - справедливое обслуживание. Вариант CWFQ на базе классов в маршрутизаторах Cisco имеет два подварианта: • классы трафика определяются на основании так называемых групп QoS, соответствующих набору признаков из списка управления доступом (ACL), например, номеру входного интерфейса или номеру хоста или подсети; • классы трафика определяются значениями полей ToS. Для варианта групп QoS администратор задает веса пропускной способности, выделяемой каждой группе QoS, а также (дополнительно) максимальную длину очереди. Пакеты, не отнесенные ни к одной из групп, включаются в группу 0. При назначении весов WFQ нужно принимать во внимание следующее: • группе QoS с номером 0 автоматически назначается 1% имеющейся пропускной способности; • общий вес всех остальных групп не может быть более 99%; • оставшаяся после назначения весов пропускная способность выделяется группе 0. В варианте классификации на основании значении ToS предусматриваются веса классов по умолчанию. Они вступают в силу, если администратор явно не задал их с помощью команды weight. Для классификации используется два младших бита трехразрядного подполя IP Precedence из поля ToS, так что в этом варианте имеется всего четыре класса трафика. По умолчанию, классу 0 выделяется 10% выходной пропускной способности, классу 1 - 20%, классу 2 - 30% и классу 3 - 40%. Чем выше класс, тем важнее трафик, поэтому выделение большей доли пропускной способности создает для него более привилегированные условия продвижения. 81 73. Базовые команды настройки QoS оборудования Cisco. Базовые настройки QoS Включить процедуры QoS на устройстве: (config)# mls qos Разрешить использование QoS для VLAN (по умолчанию запрещено для всех интерфейсов): (config)# interface <имя> (config-if)# mls qos vlan-based Настроить состояние доверия (trust state) портов (по умолчанию все порты являются недоверенными): (config)# interface <имя> ! Если параметр доверия не указан, по умолчанию выбирается dscp. ! Параметр определяет, в соответствии с каким полем будет происходить ! классификация входящего пакета. Для нетегированного пакета используется ! значение CoS по умолчанию (установлено в 0). (config-if)# mls qos trust [cos | dscp | ip-precedence] Настроить CoS по умолчанию: ! Установленный ключ оverride сбрасывает предыдущее состояние доверия пакета и ! перезаписывает (или устанавливает, если пакет нетегирован) значение CoS ! установленным значением по умолчанию. По умолчанию такое поведение отключено. (config)# interface <имя> (config)# mls qos cos ( Отключить изменение поля DSCP пакета (функция «прозрачный режим DSCP»): (config)# mls qos (config)# no mls qos rewrite ip dscp По умолчанию прозрачный режим DSCP отключен (то есть поле DSCP может изменяться). 74. Компоненты инфраструктуры открытых ключей PKI. Инфраструктура открытого ключа (PKI) является системой цифровых сертификатов, центров сертификации (ЦС), которая производит проверку и подтверждение подлинности каждой из сторон, участвующих в электронной операции, с помощью криптографии открытых ключей. Сертификат открытого ключа, обычно называемый просто сертификатом - это документ с цифровой подписью, связывающий значение открытого ключа с удостоверением пользователя, устройства или службы, которым принадлежит соответствующий закрытый ключ. Центр Сертификации (Certification Authority, CA) является пакетом программного обеспечения, принимающим и обрабатывающим запросы на выдачу сертификатов, издающим сертификаты и управляющим выданными сертификатами. Корневой сертификат - сертификат принадлежащий Центру Сертификации, с помощью которого проверяется достоверность других выданных центром сертификатов. Список отозванных сертификатов - список скомпрометированных или недействительных по какой-либо другой причине сертификатов. Отличительное имя (Distinguished Name, DN) - данные о владельце сертификата. Включают CN (Common Name), OU (Organization Unit), O (Organization), L (Locality), ST (State or province), C (Country name). Электронная цифровая подпись (ЭЦП)- реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки. Схема электронной подписи обычно включает в себя: алгоритм генерации ключей пользователя, функцию вычисления подписи, функцию проверки подписи. 82 75. Иерархия центров сертификации. Цепочка сертификатов. Центры сертификации могут объединяться в иерархические структуры. Центр сертификации, находящийся на вершине иерархической цепочки, называется корневым, нижележащие - промежуточными, подчиненными или издающими. Связь между вышестоящими и подчиненными центрами сертификации достигается за счет того, что первые удостоверяют подлинность вторых, выдавая им специальный сертификат центра сертификации. Иерархическая модель построения системы центров сертификации делает данную службу более гибкой и эффективной. Использование иерархии ЦС позволяет учесть требования различных служб к политике выдачи сертификатов. Возможно создать несколько ЦС, каждый из которых будет специализироваться на работе с сертификатами, предназначенными для какой-либо конкретной цели. К примеру, один центр сертификации может выдавать сертификаты клиентам веб-магазина, а другой - сертификаты для аутентификации сотрудников предприятия. При использовании иерархии ЦС возможно учесть различные требования к безопасности каждого конкретного сервера сертификации, передать управление некоторыми из них системным администраторам соответствующих подразделений. Установка в каждом узле собственного сервера сертификации позволит сократить сетевой трафик между сайтами. Клиенты будут обращаться к ЦС своего сайта, не создавая дополнительного межсайтового трафика Пользователи, доверяющие корневому или промежуточному центру сертификации, автоматически доверяют и всем подчиненным центрам сертификации. Поэтому корневые и промежуточные центры сертификации должны обладать наиболее высокой степенью доверия и иметь наиболее жесткую политику выдачи сертификатов. Обычно не рекомендуется, чтобы промежуточные и тем более корневые ЦС выдавали сертификаты конечным пользователям. |