Информатика и вычислительная техника Издательство мгту им. Н. Э. Баумана Москва 2013

Широковещательный шторм. Предположим, что кадр, поступив- ший от одного из узлов, является широковещательным. В этом случае ком- мутаторы будут пересылать кадры бесконечно, как показано на рис. 4.1, используя всю доступную полосу пропускания сети и блокируя передачу других кадров во всех сегментах.

133 5. Адресация сетевого уровня и маршрутизация
5.1. Сетевой уровень
При построении сетей передачи данных возникает задача организации связи между различными сетями или подсетями, образующими составную
сеть (internetwork) (рис. 5.1). Так например, в локальных сетях, логически сегментированных с использованием VLAN, администраторам зачастую требуется организовать передачу данных между ними. Эта задача решает- ся с помощью функций сетевого уровня (network layer)модели OSI.
Рис. 5.1. Составная сеть
В наиболее распространенном в настоящее время стеке протоколов
TCP/IP за обработку данных на сетевом уровне отвечает протокол IP, ко- торый позволяет доставлять данные в сетях TCP/IP между любыми узлами составной сети и выполняет две основные функции:
маршрутизация;
• адресация узлов (IP-адресация).
•
Маршрутизация — это выбор наилучшего маршрута передачи пакета сетевого уровня от источника к получателю.
Протокол IP не гарантирует надежной доставки пакета до адресата, эта функция выполняется протоколами более высокого уровня. Такой тип доставки данных называют best-effort. В настоящее время существует две версии протокола IP:
IP версии 4 (IPv4), который использует 32-битные адреса;
•
IP версии 6 (IPv6), который использует 128-битные адреса.
•

191 6. Качество обслуживания (QoS)
6.1. Модели QoS
При передаче по одной сети трафика потоковых мультимедийных приложений (Voice over IP (VoIP), IPTV, видеоконференции, он-лайн игры и др.) и трафика данных с различными требованиями к пропускной спо- собности необходимы механизмы, обеспечивающие возможность диффе- ренцирования и обработки различных типов сетевого трафика. Негаран- тированная по времени доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предпо- лагает проведения какой-либо классификации трафика и не обеспечивает надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено понятие качество обслуживания (Quality of
Service, QoS).
Функции QoS в современных сетях заключаются в обеспечении га- рантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе раз- личных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритизации.
Можно выделить три модели реализации QoS в сети.
1.Негарантированная доставка данных (Best Effort Service) — обе- спечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный прио- ритет.
2.Интегрированные услуги (Integrated Services, IntServ)— эта модель описана в RFC 1633 и предполагает предварительное резервирование се- тевых ресурсов, гарантируя предсказуемое поведение сети для приложе- ний, требующих для нормального функционирования выделенной полосы пропускания на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемле- мого качества передачи голоса требуется канал с минимальной пропуск- ной способностью 64 Кбит/с (для кодека G.711). Модель IntServ использует сигнальный протокол RSVP (Resource Reservation Protocol) для резервиро- вания ресурсов для каждого потока данных, который должен поддержи- ваться каждым узлом на пути следования трафика. Эту модель также часто называют жестким QoS (hard QoS) из-за предъявления строгих требова- ний к ресурсам сети.
3.Дифференцированное обслуживание (Differentiated Service, Diff-
Serv) — эта модель описана в RFC 2474, RFC 2475 и предполагает разде- ление трафика на классы на основе требований к качеству обслуживания.

204
Технологии коммутации и маршрутизации в локальных компьютерных сетях
7. Функции обеспечения безопасности и ограничения доступа к сети
7.1. Общие сведения о методах обеспечения безопасности в компьютерных сетях
Для любого системного администратора одной из наиболее важных задач остается обеспечение безопасности компьютерной сети. Эту зада- чу призваны решать межсетевые экраны, однако зачастую «первый удар» принимают на себя именно коммутаторы, поэтому в настоящее время они обладают широкими функциональными возможностями для обеспече- ния безопасности. Речь идет не о защите сетей от атак извне, а в большей степени о всевозможных атаках изнутри сети, таких как подмена DHCP- серверов, атаки типа DoS, ARP Spoofi ng, неавторизованный доступ и т. д.
В некоторых случаях коммутаторы не способны полностью защитить сеть от подобного рода атак, но могут значительно ослабить угрозы их возник- новения. Данная глава посвящена основным принципам обеспечения сете- вой безопасности на базе оборудования D-Link.
Прежде чем приступить к рассмотрению темы, уточним некоторые понятия.
Аутентификация — процедура проверки подлинности субъекта на основе предоставленных им о себе данных в какой-либо форме (логин—
пароль, цифровой сертификат, сведения с биометрического датчика и т. д.).
Авторизация — предоставление субъекту определенных прав (полно- мочий) на выполнение некоторых действий.
Как правило, за авторизацией следует аутентификация.
D-Link предлагает комплексный подход для обеспечения безопасности
End-to-End Security (E2ES), который включает в себя следующие решения:
Endpoint Security
•
(Защита конечного пользователя) — обеспечивает защиту внутренней сети от внутренних атак;
Gateway Security
•
(Защита средствами межсетевых экранов) — обе- спечивает защиту внутренней сети от внешних атак;
Joint Security
•
(Объединенная безопасность) — связующее звено меж- ду Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети.
Решение Endpoint Security содержит функции, обеспечивающие аутен- тификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети.
Функции аутентификации пользователей:
•
– аутентификация IEEE 802.1Х;
– MAC-based Access Control (MAC);
– WEB-based Access Control (WAC).

236
Технологии коммутации и маршрутизации в локальных компьютерных сетях
8. Групповая рассылка
8.1. Общие сведения
В современных IP-сетях существует три способа отправки пакетов от источника приемнику:
индивидуальная (Unicast) передача;
• широковещательная (Broadcast) передача;
• групповая, или многоадресная (Multicast), рассылка.
•
При индивидуальной передаче поток данных передается от узла- отправителя на индивидуальный IP-адрес конкретного узла-получателя.
Широковещательная передача предусматривает доставку потока дан- ных от узла-отправителя множеству узлов-получателей, подключенных к сети, используя широковещательный IP-адрес.
Групповая рассылка обеспечивает доставку потока данных группе узлов на IP-адрес группы рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке гло- бальной сети. Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписать- ся на рассылку) при помощи протокола IGMP (Internet Group Management
Protocol, межсетевой протокол управления группами). После этого пакеты групповой рассылки, содержащие в поле назначения заголовка групповой адрес, будут поступать на этот узел и обрабатываться.
Групповая рассылка имеет ряд преимуществ при работе таких прило- жений, как видеоконференции, корпоративная связь, дистанционное обу- чение, видео и аудио-трансляции и т. д., так как позволяет значительно по- высить эффективность использования полосы пропускания и распределе- ния информации среди больших групп получателей: отправитель передает единственную копию пакета данных всем членам группы, а не рассылает множество копий, благодаря чему снижается нагрузка на канал связи.
Особенностью групповой рассылки является то, что она использует в качестве протокола транспортного уровня протокол UDP, который не га- рантирует успешную доставку пакетов в отличие от протокола TCP.
8.2. IP-адресация групповой рассылки
Источник многоадресного трафика направляет пакеты не на индиви- дуальные IP-адреса узлов-получателей, а на групповой IP-адрес. Группо- вые адреса определяют произвольную группу узлов, желающих получать адресованный ей трафик.
Агентство IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет), кото- рое управляет назначением групповых адресов, определило для групповой рассылки IPv4-адреса класса D в диапазоне от 224.0.0.0 до 239.255.255.255.
Адреса, назначенные IANA, приведены в табл. 8.1. Более подробную ин-

244
Технологии коммутации и маршрутизации в локальных компьютерных сетях
9. Функции управления коммутаторами
9.1. Управление множеством коммутаторов
Для независимого управления группой коммутаторов требуется выде- лить каждому устройству отдельный IP-адрес, что ведет к неэкономному использованию адресного пространства и необходимости фиксации адми- нистратором IP-адреса каждого коммутатора. D-Link предлагает два под- хода к управлению группой коммутаторов: физическое и виртуальное сте- кирование коммутаторов.
Оба эти подхода предполагают объединение коммутаторов в физиче- скую или логическую группу, управление которой будет осуществляться через единый IP-адрес.
9.1.1. Объединение коммутаторов в физический стек
При физическом стекировании коммутаторы представляют собой одно логическое устройство, что обеспечивает удобство управления и монито- ринга их параметров. Для управления коммутаторами можно использовать интерфейс командной строки (CLI), Web-интерфейс, Telnet, SSH, протокол
SNMP, и только одному коммутатору (мастер-коммутатору) потребуется присвоение управляющего IP-адреса.
Передача данных между коммутаторами стека ведется в полноду- плексном режиме. Коммутаторы могут быть объединены в стек кольцевой или линейной топологии. Одним из преимуществ стека кольцевой тополо- гии является поддержка технологии определения оптимального пути пере- дачи пакетов. Эта технология позволяет достичь полного использования полосы пропускания и повысить отказоустойчивость стека.
Внимание: технология определения оптимального пути используется только для передачи пакетов с индивидуальными адресами
В примере, приведенном на рис. 9.1, показано, что данные от коммута- тора 2 передаются не по кругу
(через коммутаторы 3, 4, 5 и т. д.), а непосредственно в на- правлении коммутатора 9 (че- рез коммутаторы 1, 12, 11, 10).
При этом следует отметить, что весь трафик в стеке передает-
Рис. 9.1. Пример выбора оптималь- ного пути передачи пакета в кольце- вом стеке

262
Технологии коммутации и маршрутизации в локальных компьютерных сетях
10. Обзор коммутаторов D-Link
10.1. Неуправляемые коммутаторы
Исходя из решаемой задачи, учитывая размер сети, объем трафика и требуемый функционал, можно выбрать наиболее подходящие коммута- торы D-Link. Производимые D-Link устройства классифицируют по при- надлежности к трем уровням иерархической модели сети, что помогает определить, какое оборудование оптимально использовать для решения поставленной задачи в конкретном случае.
Неуправляемые коммутаторы(Unmanaged Switches) D-Link являют- ся решением для развертывания небольших рабочих групп или домашних сетей (SOHO, Small-Offi ce-Home-Offi ce). Также их можно использовать на уровне доступа сетей малых предприятий. Эти коммутаторы просты в уста- новке и поддерживают (в зависимости от модели) такие функции, как Green
Ethernet, диагностика кабеля, управление потоком (IEEE 802.3х), автомати- ческое определение полярности кабелей (MDI/MDIX), возможность пере- дачи Jumbo-фреймов и приоритизацию трафика (рис. 10.1). Неуправляемые коммутаторы не поддерживают функции управления и обновления ПО.
Рис. 10.1. Неуправляемый коммутатор D-Link в сети неболь- шой рабочей группы
Неуправляемые коммутаторы D-Link представлены сериями DES-10xx,
DES-10xxА, DES-10xxD/RU, DGS-10xxD/RU, DGS-10xxD и DGS-10xxA.
Серия DES-10хх включает в себя модели коммутаторов Fast Ethernet с различным количеством портов 10/100 Мбит/с (от 5 до 48) в настольном
(рис. 10.2) и стоечном исполнении. Модели DES-1026G и DES-1050G этой серии также оснащены двумя портами Gigabit Ethernet.

275
Лабораторные работы по курсу «Технологии коммутации современных сетей Ethernet. Базовый курс D-Link»
(с применением коммутаторов DES-3810-28 и DES-3528)
Рекомендации по организации лабораторных работ
Для выполнения настоящих лабораторных работ рекомендуется сле- дующий комплект оборудования на учебную группу, состоящую из 10 че- ловек:
Коммутатор DES-3810-28 . . . . . . . . . . . . . . . . . .
6 шт.
Коммутатор DES-3528 . . . . . . . . . . . . . . . . . . . .
8 шт.
Коммутатор DES-1005A . . . . . . . . . . . . . . . . . . .
5 шт.
Рабочая станция . . . . . . . . . . . . . . . . . . . . . . . . . . 20 шт.
Кабель Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 шт.
Консольный кабель . . . . . . . . . . . . . . . . . . . . . . . 11 шт.
Каждая лабораторная работа содержит схему установки с указанием количества рабочих мест, на которое она рассчитана.
Настройка коммутаторов осуществляется через интерфейс командной строки путем подключения управляющей рабочей станции к его консоль- ному порту.
Команды в лабораторных работах приведены для коммутаторов со следующими версиями программного обеспечения:
коммутатор DES-3810-28 — ПО версии 2.10.b024 или выше;
коммутатор DES-3528 — ПО версии 2.80.b042 или выше.
Для проведения лабораторных работ потребуется следующее ПО:
1. Генератор трафика iperf (http://sourceforge.net/projects/iperf/).
2. TFTP-сервер Tftpd32 (http://tftpd32.jounin.net).
3. Анализатор трафика Wireshark (http://www.wireshark.org).
4. Программа эмуляции терминала Putty (http://www.chiark.greenend.
org.uk/