Главная страница
Навигация по странице:

  • Аутентификация (Authentication) • . Процедура проверки подлинно- сти субъекта на основе предоставленных им данных.Авторизация (Authorization) •

  • Логирование (Accounting) • . Слежение за использованием пользова- телем сетевых ресурсов. Access layer.

  • ACL (

  • Auto-negotiation

  • ARP (

  • ASIC (

  • Информатика и вычислительная техника Издательство мгту им. Н. Э. Баумана Москва 2013


    Скачать 0.61 Mb.
    НазваниеИнформатика и вычислительная техника Издательство мгту им. Н. Э. Баумана Москва 2013
    Дата25.11.2022
    Размер0.61 Mb.
    Формат файлаpdf
    Имя файлаRouting_and_switching_technology_in_LAN.pdf
    ТипДокументы
    #812728
    страница3 из 5
    1   2   3   4   5

    Широковещательный шторм. Предположим, что кадр, поступив- ший от одного из узлов, является широковещательным. В этом случае ком- мутаторы будут пересылать кадры бесконечно, как показано на рис. 4.1, используя всю доступную полосу пропускания сети и блокируя передачу других кадров во всех сегментах.

    133 5. Адресация сетевого уровня и маршрутизация
    5.1. Сетевой уровень
    При построении сетей передачи данных возникает задача организации связи между различными сетями или подсетями, образующими составную
    сеть (internetwork) (рис. 5.1). Так например, в локальных сетях, логически сегментированных с использованием VLAN, администраторам зачастую требуется организовать передачу данных между ними. Эта задача решает- ся с помощью функций сетевого уровня (network layer)модели OSI.
    Рис. 5.1. Составная сеть
    В наиболее распространенном в настоящее время стеке протоколов
    TCP/IP за обработку данных на сетевом уровне отвечает протокол IP, ко- торый позволяет доставлять данные в сетях TCP/IP между любыми узлами составной сети и выполняет две основные функции:
    маршрутизация;
    • адресация узлов (IP-адресация).

    Маршрутизация — это выбор наилучшего маршрута передачи пакета сетевого уровня от источника к получателю.
    Протокол IP не гарантирует надежной доставки пакета до адресата, эта функция выполняется протоколами более высокого уровня. Такой тип доставки данных называют best-effort. В настоящее время существует две версии протокола IP:
    IP версии 4 (IPv4), который использует 32-битные адреса;

    IP версии 6 (IPv6), который использует 128-битные адреса.


    191 6. Качество обслуживания (QoS)
    6.1. Модели QoS
    При передаче по одной сети трафика потоковых мультимедийных приложений (Voice over IP (VoIP), IPTV, видеоконференции, он-лайн игры и др.) и трафика данных с различными требованиями к пропускной спо- собности необходимы механизмы, обеспечивающие возможность диффе- ренцирования и обработки различных типов сетевого трафика. Негаран- тированная по времени доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предпо- лагает проведения какой-либо классификации трафика и не обеспечивает надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено понятие качество обслуживания (Quality of
    Service, QoS).
    Функции QoS в современных сетях заключаются в обеспечении га- рантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе раз- личных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритизации.
    Можно выделить три модели реализации QoS в сети.
    1.Негарантированная доставка данных (Best Effort Service) — обе- спечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный прио- ритет.
    2.Интегрированные услуги (Integrated Services, IntServ)— эта модель описана в RFC 1633 и предполагает предварительное резервирование се- тевых ресурсов, гарантируя предсказуемое поведение сети для приложе- ний, требующих для нормального функционирования выделенной полосы пропускания на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемле- мого качества передачи голоса требуется канал с минимальной пропуск- ной способностью 64 Кбит/с (для кодека G.711). Модель IntServ использует сигнальный протокол RSVP (Resource Reservation Protocol) для резервиро- вания ресурсов для каждого потока данных, который должен поддержи- ваться каждым узлом на пути следования трафика. Эту модель также часто называют жестким QoS (hard QoS) из-за предъявления строгих требова- ний к ресурсам сети.
    3.Дифференцированное обслуживание (Differentiated Service, Diff-
    Serv) — эта модель описана в RFC 2474, RFC 2475 и предполагает разде- ление трафика на классы на основе требований к качеству обслуживания.

    204
    Технологии коммутации и маршрутизации в локальных компьютерных сетях
    7. Функции обеспечения безопасности и ограничения доступа к сети
    7.1. Общие сведения о методах обеспечения безопасности в компьютерных сетях
    Для любого системного администратора одной из наиболее важных задач остается обеспечение безопасности компьютерной сети. Эту зада- чу призваны решать межсетевые экраны, однако зачастую «первый удар» принимают на себя именно коммутаторы, поэтому в настоящее время они обладают широкими функциональными возможностями для обеспече- ния безопасности. Речь идет не о защите сетей от атак извне, а в большей степени о всевозможных атаках изнутри сети, таких как подмена DHCP- серверов, атаки типа DoS, ARP Spoofi ng, неавторизованный доступ и т. д.
    В некоторых случаях коммутаторы не способны полностью защитить сеть от подобного рода атак, но могут значительно ослабить угрозы их возник- новения. Данная глава посвящена основным принципам обеспечения сете- вой безопасности на базе оборудования D-Link.
    Прежде чем приступить к рассмотрению темы, уточним некоторые понятия.
    Аутентификация — процедура проверки подлинности субъекта на основе предоставленных им о себе данных в какой-либо форме (логин—
    пароль, цифровой сертификат, сведения с биометрического датчика и т. д.).
    Авторизация — предоставление субъекту определенных прав (полно- мочий) на выполнение некоторых действий.
    Как правило, за авторизацией следует аутентификация.
    D-Link предлагает комплексный подход для обеспечения безопасности
    End-to-End Security (E2ES), который включает в себя следующие решения:
    Endpoint Security

    (Защита конечного пользователя) — обеспечивает защиту внутренней сети от внутренних атак;
    Gateway Security

    (Защита средствами межсетевых экранов) — обе- спечивает защиту внутренней сети от внешних атак;
    Joint Security

    (Объединенная безопасность) — связующее звено меж- ду Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети.
    Решение Endpoint Security содержит функции, обеспечивающие аутен- тификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети.
    Функции аутентификации пользователей:

    – аутентификация IEEE 802.1Х;
    – MAC-based Access Control (MAC);
    – WEB-based Access Control (WAC).

    236
    Технологии коммутации и маршрутизации в локальных компьютерных сетях
    8. Групповая рассылка
    8.1. Общие сведения
    В современных IP-сетях существует три способа отправки пакетов от источника приемнику:
    индивидуальная (Unicast) передача;
    • широковещательная (Broadcast) передача;
    • групповая, или многоадресная (Multicast), рассылка.

    При индивидуальной передаче поток данных передается от узла- отправителя на индивидуальный IP-адрес конкретного узла-получателя.
    Широковещательная передача предусматривает доставку потока дан- ных от узла-отправителя множеству узлов-получателей, подключенных к сети, используя широковещательный IP-адрес.
    Групповая рассылка обеспечивает доставку потока данных группе узлов на IP-адрес группы рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке гло- бальной сети. Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписать- ся на рассылку) при помощи протокола IGMP (Internet Group Management
    Protocol, межсетевой протокол управления группами). После этого пакеты групповой рассылки, содержащие в поле назначения заголовка групповой адрес, будут поступать на этот узел и обрабатываться.
    Групповая рассылка имеет ряд преимуществ при работе таких прило- жений, как видеоконференции, корпоративная связь, дистанционное обу- чение, видео и аудио-трансляции и т. д., так как позволяет значительно по- высить эффективность использования полосы пропускания и распределе- ния информации среди больших групп получателей: отправитель передает единственную копию пакета данных всем членам группы, а не рассылает множество копий, благодаря чему снижается нагрузка на канал связи.
    Особенностью групповой рассылки является то, что она использует в качестве протокола транспортного уровня протокол UDP, который не га- рантирует успешную доставку пакетов в отличие от протокола TCP.
    8.2. IP-адресация групповой рассылки
    Источник многоадресного трафика направляет пакеты не на индиви- дуальные IP-адреса узлов-получателей, а на групповой IP-адрес. Группо- вые адреса определяют произвольную группу узлов, желающих получать адресованный ей трафик.
    Агентство IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет), кото- рое управляет назначением групповых адресов, определило для групповой рассылки IPv4-адреса класса D в диапазоне от 224.0.0.0 до 239.255.255.255.
    Адреса, назначенные IANA, приведены в табл. 8.1. Более подробную ин-

    244
    Технологии коммутации и маршрутизации в локальных компьютерных сетях
    9. Функции управления коммутаторами
    9.1. Управление множеством коммутаторов
    Для независимого управления группой коммутаторов требуется выде- лить каждому устройству отдельный IP-адрес, что ведет к неэкономному использованию адресного пространства и необходимости фиксации адми- нистратором IP-адреса каждого коммутатора. D-Link предлагает два под- хода к управлению группой коммутаторов: физическое и виртуальное сте- кирование коммутаторов.
    Оба эти подхода предполагают объединение коммутаторов в физиче- скую или логическую группу, управление которой будет осуществляться через единый IP-адрес.
    9.1.1. Объединение коммутаторов в физический стек
    При физическом стекировании коммутаторы представляют собой одно логическое устройство, что обеспечивает удобство управления и монито- ринга их параметров. Для управления коммутаторами можно использовать интерфейс командной строки (CLI), Web-интерфейс, Telnet, SSH, протокол
    SNMP, и только одному коммутатору (мастер-коммутатору) потребуется присвоение управляющего IP-адреса.
    Передача данных между коммутаторами стека ведется в полноду- плексном режиме. Коммутаторы могут быть объединены в стек кольцевой или линейной топологии. Одним из преимуществ стека кольцевой тополо- гии является поддержка технологии определения оптимального пути пере- дачи пакетов. Эта технология позволяет достичь полного использования полосы пропускания и повысить отказоустойчивость стека.
    Внимание: технология определения оптимального пути используется только для передачи пакетов с индивидуальными адресами
    В примере, приведенном на рис. 9.1, показано, что данные от коммута- тора 2 передаются не по кругу
    (через коммутаторы 3, 4, 5 и т. д.), а непосредственно в на- правлении коммутатора 9 (че- рез коммутаторы 1, 12, 11, 10).
    При этом следует отметить, что весь трафик в стеке передает-
    Рис. 9.1. Пример выбора оптималь- ного пути передачи пакета в кольце- вом стеке

    262
    Технологии коммутации и маршрутизации в локальных компьютерных сетях
    10. Обзор коммутаторов D-Link
    10.1. Неуправляемые коммутаторы
    Исходя из решаемой задачи, учитывая размер сети, объем трафика и требуемый функционал, можно выбрать наиболее подходящие коммута- торы D-Link. Производимые D-Link устройства классифицируют по при- надлежности к трем уровням иерархической модели сети, что помогает определить, какое оборудование оптимально использовать для решения поставленной задачи в конкретном случае.
    Неуправляемые коммутаторы(Unmanaged Switches) D-Link являют- ся решением для развертывания небольших рабочих групп или домашних сетей (SOHO, Small-Offi ce-Home-Offi ce). Также их можно использовать на уровне доступа сетей малых предприятий. Эти коммутаторы просты в уста- новке и поддерживают (в зависимости от модели) такие функции, как Green
    Ethernet, диагностика кабеля, управление потоком (IEEE 802.3х), автомати- ческое определение полярности кабелей (MDI/MDIX), возможность пере- дачи Jumbo-фреймов и приоритизацию трафика (рис. 10.1). Неуправляемые коммутаторы не поддерживают функции управления и обновления ПО.
    Рис. 10.1. Неуправляемый коммутатор D-Link в сети неболь- шой рабочей группы
    Неуправляемые коммутаторы D-Link представлены сериями DES-10xx,
    DES-10xxА, DES-10xxD/RU, DGS-10xxD/RU, DGS-10xxD и DGS-10xxA.
    Серия DES-10хх включает в себя модели коммутаторов Fast Ethernet с различным количеством портов 10/100 Мбит/с (от 5 до 48) в настольном
    (рис. 10.2) и стоечном исполнении. Модели DES-1026G и DES-1050G этой серии также оснащены двумя портами Gigabit Ethernet.

    275
    Лабораторные работы по курсу «Технологии коммутации современных сетей Ethernet. Базовый курс D-Link»
    (с применением коммутаторов DES-3810-28 и DES-3528)
    Рекомендации по организации лабораторных работ
    Для выполнения настоящих лабораторных работ рекомендуется сле- дующий комплект оборудования на учебную группу, состоящую из 10 че- ловек:
    Коммутатор DES-3810-28 . . . . . . . . . . . . . . . . . .
    6 шт.
    Коммутатор DES-3528 . . . . . . . . . . . . . . . . . . . .
    8 шт.
    Коммутатор DES-1005A . . . . . . . . . . . . . . . . . . .
    5 шт.
    Рабочая станция . . . . . . . . . . . . . . . . . . . . . . . . . . 20 шт.
    Кабель Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 шт.
    Консольный кабель . . . . . . . . . . . . . . . . . . . . . . . 11 шт.
    Каждая лабораторная работа содержит схему установки с указанием количества рабочих мест, на которое она рассчитана.
    Настройка коммутаторов осуществляется через интерфейс командной строки путем подключения управляющей рабочей станции к его консоль- ному порту.
    Команды в лабораторных работах приведены для коммутаторов со следующими версиями программного обеспечения:
    коммутатор DES-3810-28 — ПО версии 2.10.b024 или выше;
    коммутатор DES-3528 — ПО версии 2.80.b042 или выше.
    Для проведения лабораторных работ потребуется следующее ПО:
    1. Генератор трафика iperf (http://sourceforge.net/projects/iperf/).
    2. TFTP-сервер Tftpd32 (http://tftpd32.jounin.net).
    3. Анализатор трафика Wireshark (http://www.wireshark.org).
    4. Программа эмуляции терминала Putty (http://www.chiark.greenend.
    org.uk/

    sgtatham/putty/download.html).
    Лабораторные работы № 18—24 выполняются факультативно по реше- нию преподавателя.
    Лабораторная работа № 1. Основные команды коммутатора
    Для настройки различных функций коммутаторов при выполнении практических работ будет использоваться интерфейс командной строки
    (CLI), так как он обеспечивает возможность тонкой настройки устройства.
    Все команды CLI являются чувствительными к регистру, поэтому пре- жде чем вводить команду, необходимо убедиться, что отключены все функ- ции, которые могут привести к изменению регистра текста.

    374
    Технологии коммутации и маршрутизации в локальных компьютерных сетях
    ГЛОССАРИЙ
    A
    AAA (англ. Authentication, Authorization, Accounting). Функция, которая представляет собой комплексную структуру организации доступа пользо- вателя в сеть. Она включает следующие базовые процессы:
    Аутентификация (Authentication)

    . Процедура проверки подлинно- сти субъекта на основе предоставленных им данных.
    Авторизация (Authorization)

    . Предоставление определенных прав субъекту на выполнение некоторых действий.
    Логирование (Accounting)

    . Слежение за использованием пользова- телем сетевых ресурсов.
    Access layer. Уровень доступа. Является нижним уровнем иерархической модели сети и управляет доступом узлов к ресурсам объединенной сети.
    Основной задачей уровня доступа является создание точек входа в сеть.
    ACL (англ. Access Control List).Список управления доступом. Список управления доступом является средством фильтрации потоков данных на аппаратном уровне. Используя ACL, можно ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользова- телей к устройствам сети. Также ACL могут использоваться для определе- ния политики QoS путем классификации трафика и переопределения его приоритета.
    Agent. Агент. В модели клиент-сервер — часть системы, выполняющая подготовку информации и обмен ею между клиентской и серверной час- тями. Применительно к SNMP термин агент означает программный мо- дуль, который находится на управляемом сетевом устройстве (маршру- тизаторе, коммутаторе, точке доступа, принтере и т. д.). Агент обслужи- вает базу управляющей информации и отвечает на запросы менеджера
    SNMP.
    Auto-negotiation. Автосогласование. Функция, обеспечивающая механизм автоматической настройки портов устройств. Устройства, поддерживаю- щие функцию автосогласования, могут определять режимы работы пар- тнеров по соединению, оповещать их о своих режимах работы и выбирать наилучший режим для совместного функционирования.
    ARP (англ. Address Resolution Protocol). Протокол разрешения адресов. Ис- пользуется для динамического преобразования IPv4-адресов в физические
    (аппаратные) МАС-адреса устройств локальной сети. В общем случае ARP требует передачи широковещательного сообщения всем узлам, на которое отвечает узел с соответствующим запросу IPv4-адресом.

    375
    Глоссарий
    ASIC (англ. Application Specifi c Integrated Circuit). Специализированная интегральная схема (ИС). Современные контроллеры ACIS зачастую со- держат на одном кристалле 32-битовые процессоры, блоки памяти, вклю- чая ROM, RAM, EEPROM, Flash, и встроенное программное обеспечение.
    Такие ASIC получили название System-on-a-Chip (SoC).
    B
    Backbone. Магистраль. Часть сети, по которой передается основной объ- ем трафика и которая является источником и приемником трафика других сетей.
    Backplane. Объединительная плата. Физическое соединение между интер- фейсным процессором или платой, шинами данных и шинами распределе- ния питания системного блока устройства.
    1   2   3   4   5


    написать администратору сайта