ARP-таблицы.

ARP используется для определения соответствия IP-адреса адресу Ethernet. Отображение осуществляется только в момент отправления IP-пакетов, так как только в этот момент создаются заголовки IP и Ethernet. Отображение адресов осуществляется путем поиска в ARP-таблице. Упрощенно, ARP-таблица состоит из двух столбцов. Таблица соответствия необходима, так как адреса выбираются произвольно и нет какого-либо алгоритма для их вычисления. Если машина перемещается в другой сегмент сети, то ее ARP-таблица должна быть изменена. Когда отправитель определил IP-адрес получателя, то на основании ARP-таблицы определяется его MAC-адрес.Между MAC- и IP-адресами устанавливается соответствие, которое используется при инкапсуляции данных.Таблицу ARP можно посмотреть, используя команду arp, с ключом –a.

• ARP-запросы.

ARP-таблица заполняется автоматически. Если нужного адреса в таблице нет, то в сеть посылается широковещательный запрос типа "чей это IP-адрес?". Все сетевые интерфейсы получают этот запрос, но отвечает только владелец адреса. При этом существует два способа отправки IP-пакета, для которого ищется адрес: пакет ставится в очередь на отправку или уничтожается. В первом случае за отправку отвечает модуль ARP, во втором случае модуль IP, который повторяет посылку через некоторое время. MAC-адрес широковещания имеет вид FF-FF-FF-FF-FF-FF.

• ARP-ответы.

Поскольку пакет ARP-запроса посылается в режиме широковещания, то его принимают все устройства в локальной сети и передают для анализа на сетевой уровень. Если IPадрес устройства соответствует IP-адресу получателя, устройство формирует сообщение, называемое ARP-ответом. Полученный таким образом адрес будет добавлен в ARP-таблицу.

RARP.

Чтобы получатель, принимающий данные, знал кто их отправил, пакет данных должен содержать MAC и IP-адреса источника. Протокол обратного преобразования адресов (Reverse Address Resolution Protocol, RARP) используется для определения собственного IP-адреса по известному MAC-адресу устройства. Для решения данной задачи в сети должен присутствовать RARP-сервер, отвечающий на RARP-запросы. Структура RARP-запроса подобна структуре ARP-запроса и включает MAC и IP-заголовки и сообщение запроса. RARP-запрос отправляется в режиме широковещания и доступен всем сетевым устройствам, подключенным в сеть. Однако только специальный RARP-сервер отзывается на данный запрос. RARP-ответ имеет такую же структуру, что и ARP-ответ. Он включает в себя сообщение RARP-ответа, MAC- и IP-заголовка.

Протокол ICMP.

Протокол используется для рассылки информационных и управляющих сообщений.

8. IPv4. IPv6.

IPv4.

Длина маски 32 биты, она состоит из непрерывной последовательности сначала единиц потом нулей. В тех битах, в которых находятся 0 – отвечают за адрес узла; биты, где 1 – адрес сети.

127.0.0.1 – адрес обратной петли, пакет с этим адресом как бы отправляется в сеть, после чего он отправляется обратно.

Класс D – это мультикаст адреса, адреса групповой рассылки. Групповой адрес идентифицирует набор интерфейсов, которые могут принадлежать разным сетям.

• Если ip-адрес состоит только из двоичных нулей, то это неопределенный адрес и обозначает адрес узла, который создал пакет. В некоторых случаях помещается в заголовок ip-пакета в поле - адрес отправителя.

• Если в поле номера сети стоят только нули, то считается, что узел назначения принадлежит той же сети, что и узел отправителя.

• Если все разряды ip-адреса равны единице, пакет рассылается всем узлам данной сети (ограничено-вещательный пакет), но не выходит за ее рамки.

• Если в поле адреса назначения в номере узла стоят только единицы, такой пакет будет разослан всем узлам сети, указанным в адресе.

Автономные сети.

Часть ip-адресов была зарезервирована для частных сетей, эти адреса не используются в интернете.

Из сетей класса A была отдана одна из сетей - №10. Из сетей класса B – 16 сетей. Из сетей класса C 250 сетей.

Формат заголовка IPv4:

IPv6.

В начале 1995г. IETF – выступило предложение по новому стандарту протокола IP – Ipv6. Не только адресная проблема определило появление нового протокола. Разработчики позаботились о маршрутной адресации IP-пакетов, ввели новые типы адресов, упростили заголовок пакета.

Длина адреса 128 бит. Из заголовка убрана контрольная сумма (она есть на канальном уровне, считают что не надо).

Для расширения возможностей адресации мультикаст пакетов и маршрутизации, в заголовок было введено поле scope. Был определен новый тип адресов – anycast адреса – предназначены для посылки запросов клиента любой группе сервера, используется для взаимодействия с серверами, чьи адреса клиенту неизвестны. Так же появилась возможность создания метки потока данных.

Формат заголовка IPv6:

-поле 1: 4 бита номер версии протокола.

- поле 2: 4 бита – под приоритеты.

- Поле 3: 24 бита – метка потока.

- поле 4: 16 бит – размер поля данных.

- поле 5: 8 бит – идентифицируют тип заголовка, который следует за заголовком ip 6 версии.

-поле 6: 8 бит – предельное число шагов (время жизни пакета)

- поле 7: 128 бит – адрес отправителя

- поле 8: 128 бит – адрес получателя.

Архитектура: записывается в 16-ой системе, каждые 4 знака разделяются двоеточием.

Существует несколько форм представления адресов IPv6, включая глобальный уникальный адрес провайдера, географический адрес (адрес страны).

12. Маршрутизация, протоколы маршрутизации

Сети соединяются с помощью маршрутизаторов.

Маршрутизатор – устройство, которое собирает информацию о топологии межсетевых соединений и на ее основании пересылает пакеты сетевого уровня в сеть назначения. Для того, чтобы передать сообщение от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач (прыжков) между сетями, каждый раз выбирая подходящий маршрут.

Задачи маршрутизации:

1. Проблема выбора наилучшего пути – главная задача сетевого уровня (явл. Необязательной, т.к. не всегда короткий путь – самый лучший). Иногда ориентируются на время передачи данных, пропускную способность.

2. Выбор маршрута по другим критериям – надежность, безопасность. Сетевой уровень разрешает задачи согласования технологий, упрощая адресацию в крупных сетях и создания надежных барьеров на пути нежелательного трафика между сетЯми.

Маршрутный протокол – IP, IPX.

Протоколы маршрутизации –например, RIP, OSPF, NLSP следует отличать от собственно сетевых протоколов (например, IP, IPX). И те и другие выполняют функции сетевого уровня модели OSI - участвуют в доставке пакетов адресату через разнородную составную сеть. Но в то время как первые собирают и передают по сети чисто служебную информацию, вторые предназначены для передачи пользовательских данных.

RIP – протокол маршрутной информации

IGRP – протокол внутренней маршрутизации между шлюзами

EIGR – усовершенствованный протокол внут.маршрутизации между шлюзами

OSPF – с выбором кратчайшего пути.

Алгоритмы маршрутизации:

1 – маршрутизация на основе вектора расстояния – определяется направление (вектор) и расстояние до каждого канала в сети.

Алгоритм предусматривает периодическую передачу копий таблицы маршрутизации от одного маршрутизатора к другу. Такие передачи позволяют активизировать изменения в топологии сети.

Каждый маршрутизатор начинает идентификацию или исследование своих соседей. Продолжая процесс исследования векторов расстояния в сети, маршрутизаторы открывают наилучший путь до сети пункта назначения на основе информации от каждого соседа.

При изменении топологии сети таблицы маршрутизации д.б. обновлены. Обновление шаг за шагом от одного маршрутизатора к другому. Каждый маршрутизатор отсылает таблицу каждому своему непосредственному соседу.

2 – маршрутизация на основе оценки состояния канала – выбор кратчайшего пути.

Данный алгоритм поддерживает БД с информацией о топологии сети. Для выполнения маршрутизации используются специальные сообщения обновлений о состоянии канала, БД топологии, SPF-алгоритм, SPF-дерево (структурные изменения характеристик) и таблицы маршрутизации, содержащая пути и порты к каждой сети.

Режим исследования сети: маршрутизаторы обмениваются LSA-сообщениями, которые содержат адресные характеристики для сохранения топологии сети. БД, которая хранит LSA- сообщения передается от одного маршрутизатора к другому.

SPF- алгоритм вычисляет достижимость сетей, определяя кратчайший путь до каждого сегмента сети. Маршрутизатор создает эту логическую топологию кратчайших путей в виде SPF-дерева, помещая себя в корень. Это дерево отражает пути от маршрутизатора до всех пунктов назначения. Наилучшие пути и порты, имеющие выход на эти сети назначения, записываются в таблицу маршрутизации.

3 – гибридный подход (1 и 2).

13. VLAN 802.1Q

802.1Q- VLAN на базе меток (тегов) использует дополнительное поле кадра для хранения информации о принадлежности к VLAN. Стандарт IEEE 802.1q определяет изменения в структуре Ethernet кадра, позволяющие передавать информацию о VLAN по сети.

Преимущества:

- гибкость и удобство настройки и изменений

- позволяет активировать алгоритм связующего дерева на всех портах

- позволяет взаимодействовать устройствам различных производителей

- для связи между VLAN-ми потребуется маршрутизатор, но для доступа к одному серверу он не понадобится.

- один порт может принадлежать разным VLAN-ам.

Определения:

- tagged – маркирование кадра – добавление информации о принадлежности к VLAN.

- VLAN ID (vid)- идентификатор VLAN, его номер

- port VLAN ID (PVID)- идентификатор порта VLANа.

Каждый порт настраивается как маркированный или немаркированный.

Маркированный кадр

Идентификатор протокола – (значение 8100) – определяет, что кадр содержит тег протокола 802.1q.

Приоритет передачи от 0 до 7. 7 –наивысший приоритет.

CFI - используется для совместимости между сетями Ethernet и Token Ring, FDDI/

Правило продвижения кадра

Если кадр не содержит информацию о VLANе, то коммутатор добавляет тег с VLAN ID= PVID.

Если кадр содержит информацию о VLAN, принадлежность VLANу равна его ID, тег в кадре не изменяется.

14. GVRP  Q-in-Q VLAN;  802.1v

GVRP

Два способа, позволяющие устанавливать членство в VLAN-е:

1. Статический VLAN (каждому порту присвоено значение).

2. Динамический VLAN (членство VLAN может устанавливаться динамически на магистральных интерфейсах на основе протокола GVRP).

3 настройки порта:

- фиксированная – порт всегда является членом VLAN-а

- запрещающая – запрещено быть членом данного VLAN-а

- стандартная – все разрешено.

Протокол регистрации GVRP определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети.

Главная цель GVRP — позволить коммутаторам автоматически обнаружить информацию о VLAN, которая иначе должна была бы быть вручную сконфигурирована в каждом коммутаторе. Этого можно достичь использованием GVRP — распространить идентификаторы VLAN по локальной сети.

Протокол GVRP использует сообщение GVRP BPDU рассылаются данные пакеты на МАС-адреса.

BPDU может содержать:

- регистр порта

-удаление VLAN с конкретного порта

- удаление всех зарегистрированных на порте VLAN-ов

Требования повторного динамического оповещения статической настройки VLAN.

Таймеры GVRP:

1. Интервалы в мксек от 100 до 100тыс.. Определяет промежуток времени между моментом получения коммутатора информации о вступлении в VLAN и фактическим моментом вступления в VLAN. По умолчанию интервал 200мксек.

2. Сообщение об исключении порта из VLAN-а, т.е. когда коммутатор получает сообщение об исключении порта из VLANот другого подписчика GVRP, он ожидает заданный пероид времени, чтобы убедиться, что данный VLAN больше не существует в сети. Интервал 600мксек.

Q-in-Q VLAN (802.1 AD)- double VLAN, который является расширением 802.1 Q.

Позволяет расширить маркированный кадр Ethernet еще одним тегом. Позволяет провайдерам оказывать услуги пользователям, в сетях которых уже присутствуют VLANы, что позволяет избежать совпадения номеров VLANов и разграничить трафик клиентов внутри сети.

Существует 2 типа реализации QinQ:

1. Port Based – VLAN ID = port VLAN ID. Кадры маркируются независимо был он маркирован или нет.

2. Selective – позволяет маркировать кадры внеш.тегами с различными идентификаторами VLAN ID с зависимостью от значений внут.идентификаторов VLAN ID.

Отличия 1 от 2:

Добавлять к немаркированным кадрам не только внеш.тег, но и внутренний.

В теле тега имеется поле идентификатора протокола. Если значение 0х8100 – то это внутренний тег, 0х88А8 – внешний тег.

Роли портов: все порты граничных коммутаторам при функции QinQ должны быть настроены либо как порты доступа, либо как uplig порты.

Порты доступа: 1 – UNI – будет осуществляться взаимодействие граничного коммутатора провайдера с клиентскими сетями. 2- NNI – порты внутренней сети провайдера.

РИСУНОК

802.1v - Классификация VLAN по протоколам и портам

Позволяет объединять узлы в сети VLAN на основе поддерживаемых ими протоколов. При определении членствов в VLANе стандарт классифицирует немаркированный кадр по типу протокола и порту.

Формат тега 802.1v аналогичен формату 802.1Q.

В формате определены следующие правила классификации входящих кадров:

- при поступлении на порт немаркированного (нетегированного) кадра коммутатор осуществляет проверку заголовка канального уровня, а также тип протокола выше лежащего уровня. Если тип протокола соответствует типу 802.1v, то добавляется тег с VLAN ID. Если не совпадает, то добавляется в VLAN ID= порт VLAN ID.

- при поступлении маркированного кадра значение VLAN ID не меняется.

15. STP (802.1D)

Spanning Tree Protocol – протокол покрывающего дерева (сделать избыточные связи не доступными).

Построение дерева:

Каждый коммутатор имеет уникальный идентификатор (bridge id). Каждый порт коммутатора имеет идентификатор порт ID и стоимость пути.

Выбор корневого моста: Процесс вычисления связующего дерева начинается с выбора корневого моста, от которого строится дерево. В качестве корневого моста выбирается коммутатор с наименьшим значением bridge id. Длина его 8 байт: 2 байта – приоритет, 6 байт – МАС-адрес управ.блока коммутатора. Сначала сравниваются значения приоритетов (по умолчанию 32768), если приоритеты одинаковы, то сравниваются по МАС-адресу (выбирается наименьший МАС-адрес).

Выбор корневого порта: после того, как корневой мост выбран, оставшиеся коммутаторы определяют стоимость пути до корня. Стоимость рассчитывается как суммарное время на передачу до корня. Выбирается путь с наименьшей стоимостью.

Определение назначенных портов: Назначенный порт функционирует как единственный порт коммутатора, т.е. принимает пакеты от сегмента и передает их в направлении корневого моста через корневой порт. Назначенный порт определяется путем сравнения стоимости пути от сегмента до корня. Корневой мост имеет все назначенный порты.

После выбора корневых и назначенных портов, остальные порты переходят в состояние bloking, они передают только пакеты BPDU, т.об. исключаются петли.

Вычисление связующего дерева происходит при включении коммутатора и при изменении топологии. Эти вычисления требует обмена информации между коммутаторами. Для связи используются кадры BPDU. Этот кадр имеет мак-адрес отправителя и многоадресный мак-адрес получателя.

Коммутаторы имеют функции отключения передачи BPDU-кадров на порт с целью ограничить клиентские порты от BPDU-трафика.

Существует 3 вида кадров BPDU:

• конфигурационный кадр – используется для вычислений дерева;

• уведомление об изменении топологии (TCN);

• подтверждение о получении сообщения об изменении топологии сети (TCA).

BPDU имеет следующие поля:

• Идентификатор версии протокола STA (2 байта).

• Версия протокола STP (1 байт)

• Тип BPDU (1 байт).

• Флаги (1 байт)

• Идентификатор корневого коммутатора (8 байт)

• Расстояние до корня (4 байта)

• Идентификатор коммутатора (8 байт)

• Идентификатор порта (2 байта)

• Время жизни сообщения (2 байта). Измеряется в единицах по 0.5 сек, служит для выявления устаревших сообщений

• Максимальное время жизни сообщения (2 байта). Если кадр BPDU имеет время жизни, превышающее максимальное, то кадр игнорируется коммутаторами

• Интервал hello (время приветствия), интервал через который посылаются пакеты BPDU

• Задержка смены состояний (2 байта). Минимальное время перехода коммутатора в активное состояние.

В процессе построения топологии каждый коммутатор проходит несколько стадий:

• Блокинг – заблокирован порт

• Стадия прослушивания – обрабатывает только BPDU пакеты, из этого состояния он может перейти в состояние Блокинг в случае появления BPDU с лучшими параметрами, чем у него, если такой BPDU не появится, то после тайм аута перейдет в состояние обучения

• Обучение – принимает все кадры, строит таблицу коммутации, но не передвигает кадры

• Продвижение – принимает, отправляет и обрабатывает все кадры, включая BPDU

• Выключен – задается администратором

В процессе нормальной работы корневой коммутатор генерирует BPDU, остальные коммутаторы принимают их корневыми портами, ретранслируют назначенными. Если в течение 20 секунд, по умолчанию, корневой порт любого коммутатора не получит BPDU от рута, он инициализирует процедуру перестроения.

Таймеры stp:

Для того что бы все коммутаторы в сети получали точную информацию о связующем дереве, используются следующие таймеры:

- hello time – интервал времени через который корневой мост отправляет конфигурационные bpdu, значение таймера на корневом мосту определяет значение таймеров на остальных. По умолчанию значение 2 секунды, возможны интервалы от 1 до 10 секунд.

- forward delay – интервал времени в который коммутатор находится в состоянии прослушивания и обучения, по умолчанию 15 секунд. Диапазон от 4 до 30 секунд.

- max age – интервал времени в котором коммутатор хранит текущую конфигурацию связующего времени, устанавливается на корневом мосту, остальные коммутаторы синхронизируются с корневым, по умолчанию 20 секунд, возможны от 6 до 40.

все таймеры возможно настроить в ручную. При неправильной подборке интервалов, время сходимости stp и как следствие производительность сети резко снижается.

Изменение топологий.

Коммутатор отправляет bpdu с уведомлением о топологии в случае следующих событий:

- не корневой мост получает сообщение TCN BPDU на свой назначенный порт

- после истечения времени forward delay, порт переходит в состояние forwarding, но коммутатор уже имеет назначенный порт для данного сегмента.

- порт находившийся в состоянии forwarding или листинг переходит в состояние заблокирован. В случае проблем связи

- коммутатор становится корневым

ТСN бпдю отправляется в тот сегмент к которому подключен его корневой порт, эти бпдю будут передаваться через интервал hello до тех пор, пока не получит подтверждения (ТСН ACK) – подтверждение от вышестоящего коммутатора. Соседний коммутатор продолжит трансляцию TCN BPDU через свой корневой порт на направление корня, используя такую же процедуру. Когда корневой мост получает тсn бпдю или сам изменяет топологию, он устанавливает во всех передаваемых бпдю флаг изменения топологии, на срок равный сумме таймеров max age и forward delay. Коммутаторы получая бпдю с флагом устанавливают значение таймера старения записи адресных таблиц, равных длительности таймеров forward delay.

16. RSTP

Является развитием протокола СТП. Определяется стандартам 802.1d (2004г). 802.1w - предыдущий протокол. Значительно улучшает время сходимости за счет мгновенного перехода корневых и назначенных портов в состояние продвижения. РСТП может работать с оборудованием СТП, но преимущества теряются. РСТП объединяют три состояния портов: выключен, заблокирован и прослушивание в одно общее состояние отбрасывание (discarding), в котором порт не активен.

Роли портов:

- Корневой порт

- Назначенный порт

- Альтернативный порт

- Резервный порт

Альтернативный и резервный соответствует состоянию заблокирован в СТП. Альтернативный маршрут аналогичен маршруту корневому и заменяет последний в случае неполадок. Резервный порт предназначен для резервирования пути предоставляемого назначенного портом, т.е. это путь до сегмента сети, а не до корня.

Принцип работы: выбирается корневой коммутатор (англ. root switch), к которому, каждый из участвующих в построении дерева коммутатор, ищет кратчайший маршрут (с учётом пропускной способности канала) через соседние коммутаторы (или напрямую). Линии, не попавшие в маршрут, переводятся в режим ожидания и не используются для передачи данных пока работают основные линии. В случае выхода из строя основных линий, ожидающие линии используются для построения альтернативной топологии, после чего одна из линий становится активной, а остальные продолжают находиться в режиме ожидания.

Формат бпдю: формат протокола бпдю рстп и бпдю стп аналагичен, за исключением следующего:

В поле версия протокола = 2,

в поле флаг бпдю СТП использует 2 бита которые определяют изменения топологии, РСТП использует все 8 бит:

1 бит – флаг изменения топологии,

2 бит – флаг предложения,

3 и 4 бит – роли порта,

5 бит – флаг изучения,

6 – флаг продвижения,

7 – флаг соглашения,

8 – флаг подтверждения.

РСТП имеет доп. поле 1 байт, для информации по протоколу СТП.

Быстрый переход в состояние продвижения.

В РСТП порт переходит в состояние продвижения значительно быстрее. Он больше не зависим от настроек таймеров, В РСТП входят 2 новых понятия, граничный порт и тип соединения. граничным объявляется порт, подключенный к сегменту в котором не могут быть созданы петли. Граничный порт теряет свой статус при получении пакета бпдю. При работе РСТП назначенный порт переходит в состояние продвижения быстро, в соединениях типа точка – точка, порты удовлетворяющие следующим условиям автоматически признаются как порты П2П (точка-точка). Условия: порт принадлежит агрегируемому каналу, на порту включена функция авто согласования и она определена в полнодуплексный режим работы, полнодуплексный режим работы был настроен администратором. Администратор в ручную может настроить значение порта, что он принадлежит точка-точка.

Картинка……

На рисунке показан процесс работы механизмов работы и соглашений. Коммутаторы А и Б соединены точка-точка. А является корнем. Коммутатор А посылает бпдю с предложением себя в качестве назначенного моста этого сегмента. Коммутатор Б назначает корневым порт который получил данное бпдю и переводит все остальные в назначенные состояния. Предположим что в коммутаторе Б 3 и 5 порты граничные, а 4 назначенный, 3 и 5 попадают под условия синхронизации. Что бы находиться в режиме синхронизации. 4 порт нужно заблокировать.

Определения изменения топологии.

Разрыв соединения больше не рассматривается как изменение топологии в отличие от STP.

При переходе порта в заблокированное состояние соответствующий коммутатор не генерирует BSNBPDU. Когда коммутатор RSTP обнаруживает изменение топологии, происходит следующее:

• Коммутатор устанавливает начальное время равное двойному интервалу hollow для всех назначенных и корневых портов, за это время коммутатор активно информирует остальных об изменении топологии.

• Удаляет МАК-адреса, ассоциируемые со всеми неграничными назначенными портами и корневым портом, весь интервал времени во всех BPDU, прошедших через данный коммутатор будет установлен флаге TC.

Распространение информации об изменении топологии.

Когда остальные коммутаторы получают BPDU с флагом TC, происходит следующее:

• Коммутатор удаляем все МАК-адреса, ассоциируемые с неграничными назначенными портами, корневым портом, кроме порта, который получил данный BPDU.

• Коммутатор запускает таймер TC-whale и отправляет BPDU с флагом TC через все неграничные порты.

• Коммутатор-отправитель с BPDU TC распространяет информацию об изменении топологии через всю сеть (в STP такое делает только корневой мост).

Стоимости пути RSTP.

Совместимость с STP.

Протокол и оборудование RSTP полностью совместимы с STP. Коммутаторы автоматически преобразуют BPDU в формат 802.1d, однако при совместимости с STP преимущество быстрой сходимости RSTP теряется.

17. MSTP

Multi Spanning Tree Protocol (MSTP).

Несмотря на быструю сходимость RSTP и STP обладают небольшим недостатком – отсутствие связующего дерева для ВЛС. MSTP же решает данную проблему, создавая отдельное связующее дерево для каждой ВЛС. Первоначально описывался стандартом 802.1s, позже был добавлен стандарт 802.1q-203, совместим с протоколами RSTP и STP.

MSTP делит сеть на регионы MST, каждый из которых может содержать множество деревьев с независимой друг от друга топологией.

Для того чтобы 2 и более коммутаторов принадлежали одному региону MST они должны обладать одинаковой конфигурацией MST.

Конфигурация включает такие параметры как номер ревизии MSTP, имя региона, карту привязки копии дерева.

Протокол MSTP определяет следующие виды деревьев:

• Internal Spanning Tree (IST) – специальная копия дерева, которая по умолчанию существует в каждом MST регионе. IST имеет номер 0 – Instance 0. Она может отправлять и получать кадры BPDU и служит для управления топологией в регионе. По умолчанию все ВЛС одного региона привязаны к IST. Если в регионе создано несколько MSTI, то ВЛС, неассоциированные с ними, остаются привязаны к IST. Динамические ВЛС по протоколу GVRP также ассоциируются с IST.

• CST – единое связующее дерево, вычисленное с помощью протоколов STP, RSTP, MSTP и объединяющее все регионы MST.

• CIST – единое связующее дерево, объединяющее CST и IST каждого региона.

• SST – мост, поддерживающий единственное связующее дерево.

По умолчанию все ВЛС данного MST региона назначены в IST. Помимо данного MST может быть создано множество других деревьев независимо друг от друга – MSTI. К каждой MSTI администратор может вручную привязать ВЛС.

MSTI обладает следующими характеристиками:

• является копией дерева, существующей внутри региона

• не может отправлять BPDU за пределы своего региона

• все MSTI внутри региона нумеруются по порядку

• ограничения по количеству в зависимости от устройства

• MSTI не отправляет индивидуальные BPDU, вся информация об MSTI инкапсулируется в кадры MSTP BPDU

Для того чтобы каждый MSTI представляла отдельную логическую топологию администратор может присвоить собственные значения приоритетов и стоимости пути внутри MSTI.

Вычисления в MSTP:

Процесс вычисления в MSTP начинается с выбора корневого моста (CIST root). Для выбора рута используется 802.1d-2004. Первоначально каждый кадр считает себя рутом и рассылает BPDU, в которых указан CIST root Bridge id, а внешняя скорость до корня равна нулю. Коммутатор перестает считать себя корнем как только получает BPDU с меньшим root Bridge id. Одновременно с выборами корневого моста, происходят выборы регионального моста.

Протокол MSTP использует механизм соглашений и предложений RSTP. При наличии в регионе отдельных связующих деревьев MSTI, независимо для каждой MSTI, выбирается региональный корневой мост, который называется Regional MSTI root. Роли портов также как в RSTP.

Роли портов MSTP.

Протокол MSTP определяет роли портов, к-е участвуют в процессе вычисления дерева. Порты бывают корневые(ближайшие к мосту), назначенные(на корневом мосту), альтернативные(резервные).

Дополнительно возможно присвоение роли мастера порта. Состояние портов совпадает с RSTP. MSTP совместим с STP и RSTP.

Дополнительная защита от петель – Loopback detection – когда управляемый коммутатор соединен с неуправляемым. Эта функция позволяет обнаружить место петли.

18. QoS

Качество обслуживания (QoS).

Можно выделить 3 модели QoS:

1. Негарантированная доставка данных

2. Интегрированные услуги – подразумевает резервирование сетевых ресурсов для трафика чувствительного к задержкам

3. Дифференцированное обслуживание – предполагает разделение трафика на классы с выделением каждому классу определенной полосы

Стандарт 802.1p задает 8 уровней приоритета (0-7).

Для обеспечения QoS на сетевом уровне в заголовке ip версии 4 предусмотрено 8-битное поле. В данном поле возможно заполнение стандарта DSCP, который был заменен AETF, в котором подразумевается 64 уровня приоритета.

802.1p

На каждом коммутаторе возможны от 4 до 8 аппаратных очередей приоритета для каждого порта.

Приоритет 0 – номер очереди 1.

Приоритет 1 – номер очереди 0.

Приоритет 2 – номер очереди 0.

Приоритет 3 – номер очереди 1.

Приоритеты 4,5 – номер очереди 2.

Приоритеты 6,7 – номер очереди 3.

Управление перегрузками

Механизм FIFO – механизм обслуживания очереди

Очередь приоритета со строгим режимом: 4 приоритетные очереди – пока очередь с высшим приоритетом не закончится, трафик из низшей не передается.

Алгоритм кругового обслуживания – обеспечивает обработку очередей в соответствии с назначенным приоритетом, предоставляя низкоприоритетным очередям канал связи.

Механизм предотвращения перегрузок – процесс выборочного отбрасывания пакетов в случае, когда очередь достигла определенной длины.

Протокол RED.

Это алгоритм произвольного раннего обнаружения. Отбрасывает поступающие пакеты вероятностно на основе оценки среднего размера очереди. Средний размер сравнивается со значениями максимальной и минимальной. Если средний размер превысил минимальное значение, то пакеты начинают отбрасываться с некоторой вероятностью. Интенсивность отбрасывания пакетов прямо пропорциональна среднему размеру очереди. При достижении максимума отбрасываются все пакеты.

SRED.

Расширенная версия протокола RED. Выполняет вероятностное отбрасывание «окрашенных» пакетов. Пакеты «окрашиваются» в 3 цвета, 3 значения приоритета: зеленый высший приоритет, желтый средний, красный низший. Для каждого цвета создается своя очередь и свое минимальное и максимальное значение.

Контроль полосы пропускания.

Подразумевает два механизма: ограничение трафика – служит для ограничения скорости трафика получаемого и отправляемого с интерфейса коммутатора (когда эта функция активна, администратор задает пороговое значение для каждого порта. Трафик, скорость которого или равна значению – передается, иначе – обрабатывается в соответствии с политикой(отбрасываться или помечаться приоритетом)) и выравнивание трафика – вносит задержку в передачу трафика, что критично для некоторых видов сервиса, но более лоялен к TCP соединениям, но на данное время практически не применяется.

Основным средством для выравнивания трафика является алгоритм «корзина маркеров». Алгоритм подразумевает наличие следующих параметров:

- согласование скорости передачи;

- согласование размеров всплеска;

- расширенный размер всплеска.

Размер стандартной корзины маркеров, т.е. число маркеров в ней равно согласованному размеру всплеска. Маркеры генерируются и помещаются в корзину с огромной скоростью. Если корзина полна, то суб-ые маркеры отбрасываются. Для того чтобы передать пакет из корзины, вынимается число маркеров равное пакету в битах. Если маркеров в корзине достаточно, то пакет передается. Если пакет больше кол-ва маркеров – он сегментируется. Стандартная корзина не поддерживает экстренное увеличение размера всплеска.

19. Функции обеспечения безопасности и надежности, acl

End-to-End Security (E2E5) (защита конечного пользователя) – защита внутренней сети от внутренних атак.

Gateway Security (защита средствами межсетевых экранов) – защите внутренней сети от внешних атак.

Join Security (объединенная безопасность) – связующее звено между End-to-End Security и Gateway Security.

Аутентификация – процедура проверки подлинности субъекта на основе предоставляемых им данных.

Авторизация – предоставление определенных прав лицу на выполнение некоторых действий.

Access Control List (Списки управления доступом) –мощное средство фильтрации потоков данных без потери производительности, т.к. проверка содержимого пакетов выполняется на аппаратном уровне.

Критерии фильтрации м.б. определены на основе следующей фильтрации:

1. Порт коммутатора;

2. Тип Ethernet;

3. MAC-IP;

4. VLAN;

5. 802.1p

6. Порт TCP/UDP;

7. Первые 80 байт пакета, включая поле данных.

Профили доступа и правила Access Control List(ACL):

• Access Profil определяет типы критериев фильтрации, к-е д\проверяться в пакете данных (MAC адресов, IP адресов, номера порта, VLAN и т.д.)

• Идентификатор правила Rule – указывается значение параметров текущих критериев.

Принцип работы ACL:

3 Основных профиля доступа:

1. Профиль Ethernet:

- проверка на VLAN;

- проверка на MAC: источника и назначения;

- проверка на 802.1р;

- тип Ethernet.

2. Профиль IP:

- проверка на VLAN;

- маска IP источника

- маска IP назначения;

- DSCP;

- протоколы TCP, IGMP, UDP;

- номер порта TCP\UDP.

3. Профиль фильтрации по содержимому пакета (Packet Content filtering)

Процесс создания профиля доступа:

1. Анализ задач фильтрации и определение типа профиля;

2. Определение стратегии фильтрации;

3. Определение маски профиля доступа.

Маска профиля доступа используется для указания какие биты значений полей IP-адрес, MAC-адрес, порт TCP\UDP должны проверяться в пакете данных, а какие игнорироваться.

4. Добавление правил связанных с этой маской и применение профиля.

Значение битов маски:

1 – игнорирование;

2 – проверка значения;

Пример использования ACL – правила сверху-вниз.

20. Стекирование коммутаторов

Функции управления коммутаторами.

• Физическое стекирование

• Виртуальное стекирование

При физическом стекировании коммутаторы представляют собой одно логическое устройство, передача данных между коммутаторами ведется в полнодуплескном режиме, всем коммутаторам присваивается один ip-адрес, для управления используется командная строка, веб-интерфейс, телнет, протокол SNMP. Ip-адрес присваивается только одному мастеру-коммутатору.

Стекирвоание бывает двух типов: кольцевое и линейное.

Преимущества кольцевой топологии:

• Отказоустойчивость

• Определение оптимального пути передачи пакетов

• Использование полной полосы пропускания стека

В линейной топологии:

• Данные передаются в одном направлении

• Выход из строя одного коммутатора нарушает работу стека

Механизмы стекирования:

1. RMT – обеспечивает непрерывную работу стека при выходе какого-либо устройства из строя, а также при замене, добавлении, удалении коммутаторов и позволяет автоматически назначить нового мастер-коммутатора

2. CDT – позволяет объединить несколько физических портов разных коммутаторов стека в один агрегированный канал

3. Smart Route – позволяет копировать таблицы коммутации, хранимые на мастер-коммутаторе на все устройства стека

В стэке каждому коммутатору присваивается определенная роль, она может быть назначена администратором или автоматически. Существует 3 роли:

• Основной мастер – является основным устройством стэка, назначает идентификаторы устройства, синхронизирует командные настройки, назначается путем присваивания высшего приоритета или автоматически в процессе выборов.

• Резервный мастер – дублирует основной мастер в случае выхода того из строя.

• Ведомый (slave) – все остальные коммутаторы в стэке.

После того как все коммутаторы будут объединены в стэк, они собирают информацию о соседях: приоритет и мак-адрес. По умолчанию приоритет 32. Основным мастером становится коммутатор с наивысшим приоритетом, если приоритеты равны, то выбирается с наименьшим мак-адресом. Всем остальным, кроме мастеров, будет присвоен порядковый номер Box ID.

Технология Single IP Management (SIM) позволяет:

• Устранить ограничения на модели коммутаторов, объединяемых в стек

• Уменьшить количество управляющих ip-адресов в сети

• Устранить необходимость использования специализированных модулей и кабелей, предназначенных для стекирования

• Преодолеть ограничения, связанные с длиной кабелей в стеке

Виртуальный стек не ограничивается техническими характеристиками при физическом стекировании. Физический стек 6-12 коммутаторов. Виртуальный стек – до 32 коммутаторов.

Роли технологии SIM:

• Commander Switch – коммутатор, который вручную настраивается администратором сети как управляющее устройство SIM-группы. В SIM-группе может быть только один commander switch.

• Member switch – коммутатор, вступивший в SIM-группу и доступный для управления через commander switch. Характеристики: не может быть CS или MS другой SIM-группы, подключен через управляющую vlan

• Candidate switch – коммутатор, который готов вступить в SIM-группу. Характеристики: не является членом другой SIM-группы, должен быть подключен commander switch через управляющую vlan

21. PORT SECURITY, IMPB

Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами.

3 режима работы:

- постоянный;

- удалить при истечении времени;

- удалить при сбросе настроек.

1) Постоянный.

Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен.

2) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены.

3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.

Функция IP-MAC-PORT-BINDING (IMPB) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения.

Режимы работы IMPB:

- ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом).

- - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL.

- DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB.

Режимы работы порта:

- Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом.

- Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет.

Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.

22. Многоадресная рассылка, igmp

Многоадресная рассылка.

Способы отправки пакетов:

• Одноадресная передача – поток данных, передающийся от узла отправителя на индивидуальный ip-адрес конкретного узла получателя

• Широковещательная передача – доставка потока данных от узла отправителя множеству узлов получателей, подключенных к сети, используя широковещательный ip-адрес

• Многоадресная рассылка – доставка потока данных группе узлов на ip-адрес группы многоадресной рассылки. У этой группы нет географических или физических ограничений. узлы присоединяются к этой группе при помощи IGMP-протокола, после этого пакеты многоадресной рассылки будут содержать в поле назначения заголовка групповой адрес.

Многоадресная рассылка использует транспортный протокол UDP. Для многоадресной рассылки выделен диапазон класса D от 224.0.0.0 до 239.255.255.255.

От 239.0.0.0 до 239.255.255.255 – это блок административно-ограниченных адресов, данные адреса могут использоваться локально внутри домена.

МАК-адреса рассылки бывают индивидуальные и групповые. Для определения типа мак-адреса используется первый бит поля адреса назначения. Если значение бита равно единице, то мак-адрес широковещательный. Мак-адрес групповой рассылки начинаются с префикса 01005Е состоящего из 24 бит, последние 23 бита формируются из младших бит групп ip-адреса. Поскольку при преобразовании теряются 5 бит первого октета ip-адреса, получившийся групповой адрес не будет являться уникальным, ему будут соответствовать 32 ip-адреса групповой рассылки.

Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети.

Типы сообщений:

• Запрос о принадлежности к группе

• Ответ о принадлежности к группе

• Сообщение о выходе из группы

При передаче многоадресного трафика используются медиа-сервер, посылающий многоадресный поток через все порты на ПК пользователей.

Когда коммутатор 2-го уровня получает многоадресный трафик, то он начинает передавать его на все порты.

Способы управления коммутатора 2-го уровня при многоадресной рассылки:

1. Создание статических таблиц коммутации для портов, к которым не подключены подписчики многоадресных групп

2. Настройка функции IGMP Snooping – функция второго уровня, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения

Пример настройки IGMP Snooping:

1. Глобально активируем функцию IGMP Snooping

2. Активизация IGMP Snooping в указанный vlan

3. Включение фильтрации многоадресного трафика для узлов, не являющихся подписчиками многоадресной рассылки

Функция IGMP Snooping Fast Leave – позволяет мгновенно исключить порт из таблицы коммутации IGMP, если получено сообщение о выходе. Настройка аналогична предыдущей, последним этапом добавляется активизация функции Fast Leave в указанный vlan.

23. SNMP, RMON, PORT MIRRORING

Протокол SNMP (Simple Network Management Protocol).

Входит в стек протоколов TCP/IP и позволяет администраторам сетей получать информацию о состоянии устройств сети, обнаруживать и исправлять неисправности и планировать развитие сети. Протокол прикл-го кровня OSI.

Компоненты SNMP:

• SNMP-менеджер – ПО, наблюдающее за сетевыми устройствами и управляющая ими

• SNMP-агент – программный модуль для управления сетью, который находится на управляемом сетевом устройстве, обслуживает базу управляющей информации и отвечает на запросы менеджера

• База управляющей информации – совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью

База управляющей информации описывает структуру управляющей информации устройств и состоят из управляемых объектов.

Управляемый объект - это одна из нескольких характеристик управляющего сетью устройства (имя системы, время, количество интерфейсов, IP-адрес). Обращение к управляемым объектам происходит посредством идентификаторов объектов (OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA.

Пространство имен OID представлено в виде иерархической структуры с корнем без названия. Идентификаторы верхних уровней отданы организациям, контролирующим стандартизацию, а идент-ры низших уровней определяются этими организациями.

Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, и включающих полный путь от корня до управляемого объекта.

Производители сетевого оборудования определяют частные ветви пространства имен OID, куда помещают управляемые объекты для своей продукции.

D-Link: OID=1.3.6.1.4.1.171

Типы сообщений протокола SNMP:

1. Get Request (UDP 161) – запрос значения одного или нескольких объектов.

2. Get Replay (Set Replay) – получение ответа от агента на сообщения Get Request, Get Next Request или Set Replay.

3. Get Next Request – запрос значения следующего объекта в соответствии с алфавитным порядком идентификаторов OID.

4. Set Request – запрос на изменение значения одного или нескольких объектов.

5. TPAP(‘ловушка’) – используется агентом SNMP для асинхронного сообщения менеджеру SNMP о событии, происходящем на управляемом сетевом устройстве.

Безопасность SNMP

В данном протоколе предусмотрена аутентификация пользователей, которая выполняется с помощью строки сообщества Community String (CS). CS функционирует подобно паролю, к-ый разрешает удаленному менеджеру SNMP доступ к агенту. И менеджер, и агент должны использовать одинаковые строки, т.к. все пакеты не прошедшие аутентификацию будут отбрасываться.

В коммутаторах используется CS по умолчанию:

• Public – позволяет авторизированной РС читать (read only) MIB-объекты;

• Private – позволяет авторизированной РС читать и изменять MIB-объекты.

На коммутаторах можно создавать группы со списком пользователей и настраивать для них общий набор привилегий, кроме этого можно указать версию SNMP(их 3). В зависимости от роста версий увеличивается набор привилегий.

При использовании протокола SNMPv3 отдельным пользователем или группам менеджеров м.б. разрешено или запрещено выполнять определенный функции SNMP-управления.

Порядок настройки протокола SNMP:

1. Активировать ф-ию глобально на коммутаторе;

2. Удалить строки «CS по умолчанию», а создать свои новые;

3. Задать параметры получателя сообщений ‘Trap’ от агента и активизировать функцию отправки сообщений “Trap”.

RMON(Remoute Monitoring)

Разработана сообществом ETF для поддержки мониторинга и анализа протоколов в ЛВС.

Первая версия RMON основывается на мониторинге информации сетей Ethernet и TokenRing. Её расширением является вторая версия, которая добавила поддержку мониторинга на сетевом уровне и уровне приложений модели OSI.

RMON имеет клиент-серверную архитектуру. Устройства мониторинга называются зондами, на к-х установлено специальное ПО. Зонды выступают в качестве серверов, а приложения сетевого уровня – в качестве клиентов.

Взаимодействие зондов со станциями управления сетью осуществляется по протоколу SNMP.

Для RMON v1 – 10 групп мониторинга, Для RMON v2 -9.

Порядок настройки на коммутаторах(как и для SNMP, но в 1м пункте глобально активируем RMON)

PORT MIRRORING – эта функция позволяет копировать кадры, принимаемые и отправляемые портом-источником на целевой порт коммутатора, к которому подключении устройство мониторинга с целью анализа проходящих через порт пакетов. Целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость.