Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
вторые десять.docx
Скачиваний:
2
Добавлен:
01.04.2025
Размер:
479.22 Кб
Скачать
  1. MSTP

Multi Spanning Tree Protocol (MSTP).

Несмотря на быструю сходимость RSTP и STP обладают небольшим недостатком – отсутствие связующего дерева для ВЛС. MSTP же решает данную проблему, создавая отдельное связующее дерево для каждой ВЛС. Первоначально описывался стандартом 802.1s, позже был добавлен стандарт 802.1q-203, совместим с протоколами RSTP и STP.

MSTP делит сеть на регионы MST, каждый из которых может содержать множество деревьев с независимой друг от друга топологией.

Для того чтобы 2 и более коммутаторов принадлежали одному региону MST они должны обладать одинаковой конфигурацией MST.

Конфигурация включает такие параметры как номер ревизии MSTP, имя региона, карту привязки копии дерева.

Протокол MSTP определяет следующие виды деревьев:

  • Internal Spanning Tree (IST) – специальная копия дерева, которая по умолчанию существует в каждом MST регионе. IST имеет номер 0 – Instance 0. Она может отправлять и получать кадры BPDU и служит для управления топологией в регионе. По умолчанию все ВЛС одного региона привязаны к IST. Если в регионе создано несколько MSTI, то ВЛС, неассоциированные с ними, остаются привязаны к IST. Динамические ВЛС по протоколу GVRP также ассоциируются с IST.

  • CSTединое связующее дерево, вычисленное с помощью протоколов STP, RSTP, MSTP и объединяющее все регионы MST.

  • CIST единое связующее дерево, объединяющее CST и IST каждого региона.

  • SST мост, поддерживающий единственное связующее дерево.

По умолчанию все ВЛС данного MST региона назначены в IST. Помимо данного MST может быть создано множество других деревьев независимо друг от друга – MSTI. К каждой MSTI администратор может вручную привязать ВЛС.

MSTI обладает следующими характеристиками:

  • является копией дерева, существующей внутри региона

  • не может отправлять BPDU за пределы своего региона

  • все MSTI внутри региона нумеруются по порядку

  • ограничения по количеству в зависимости от устройства

  • MSTI не отправляет индивидуальные BPDU, вся информация об MSTI инкапсулируется в кадры MSTP BPDU

Для того чтобы каждый MSTI представляла отдельную логическую топологию администратор может присвоить собственные значения приоритетов и стоимости пути внутри MSTI.

Вычисления в MSTP:

Процесс вычисления в MSTP начинается с выбора корневого моста (CIST root). Для выбора рута используется 802.1d-2004. Первоначально каждый кадр считает себя рутом и рассылает BPDU, в которых указан CIST root Bridge id, а внешняя скорость до корня равна нулю. Коммутатор перестает считать себя корнем как только получает BPDU с меньшим root Bridge id. Одновременно с выборами корневого моста, происходят выборы регионального моста.

Протокол MSTP использует механизм соглашений и предложений RSTP. При наличии в регионе отдельных связующих деревьев MSTI, независимо для каждой MSTI, выбирается региональный корневой мост, который называется Regional MSTI root. Роли портов также как в RSTP.

Роли портов MSTP.

Протокол MSTP определяет роли портов, к-е участвуют в процессе вычисления дерева. Порты бывают корневые(ближайшие к мосту), назначенные(на корневом мосту), альтернативные(резервные).

Дополнительно возможно присвоение роли мастера порта. Состояние портов совпадает с RSTP. MSTP совместим с STP и RSTP.

Дополнительная защита от петель – Loopback detection – когда управляемый коммутатор соединен с неуправляемым. Эта функция позволяет обнаружить место петли.

  1. QoS

Качество обслуживания (QoS).

Можно выделить 3 модели QoS:

  1. Негарантированная доставка данных

  2. Интегрированные услуги – подразумевает резервирование сетевых ресурсов для трафика чувствительного к задержкам

  3. Дифференцированное обслуживание – предполагает разделение трафика на классы с выделением каждому классу определенной полосы

Стандарт 802.1p задает 8 уровней приоритета (0-7).

Для обеспечения QoS на сетевом уровне в заголовке ip версии 4 предусмотрено 8-битное поле. В данном поле возможно заполнение стандарта DSCP, который был заменен AETF, в котором подразумевается 64 уровня приоритета.

802.1p

На каждом коммутаторе возможны от 4 до 8 аппаратных очередей приоритета для каждого порта.

Приоритет 0 – номер очереди 1.

Приоритет 1 – номер очереди 0.

Приоритет 2 – номер очереди 0.

Приоритет 3 – номер очереди 1.

Приоритеты 4,5 – номер очереди 2.

Приоритеты 6,7 – номер очереди 3.

Управление перегрузками

Механизм FIFOмеханизм обслуживания очереди

Очередь приоритета со строгим режимом: 4 приоритетные очереди – пока очередь с высшим приоритетом не закончится, трафик из низшей не передается.

Алгоритм кругового обслуживания – обеспечивает обработку очередей в соответствии с назначенным приоритетом, предоставляя низкоприоритетным очередям канал связи.

Механизм предотвращения перегрузок – процесс выборочного отбрасывания пакетов в случае, когда очередь достигла определенной длины.

Протокол RED.

Это алгоритм произвольного раннего обнаружения. Отбрасывает поступающие пакеты вероятностно на основе оценки среднего размера очереди. Средний размер сравнивается со значениями максимальной и минимальной. Если средний размер превысил минимальное значение, то пакеты начинают отбрасываться с некоторой вероятностью. Интенсивность отбрасывания пакетов прямо пропорциональна среднему размеру очереди. При достижении максимума отбрасываются все пакеты.

SRED.

Расширенная версия протокола RED. Выполняет вероятностное отбрасывание «окрашенных» пакетов. Пакеты «окрашиваются» в 3 цвета, 3 значения приоритета: зеленый высший приоритет, желтый средний, красный низший. Для каждого цвета создается своя очередь и свое минимальное и максимальное значение.

Контроль полосы пропускания.

Подразумевает два механизма: ограничение трафика – служит для ограничения скорости трафика получаемого и отправляемого с интерфейса коммутатора (когда эта функция активна, администратор задает пороговое значение для каждого порта. Трафик, скорость которого или равна значению – передается, иначе – обрабатывается в соответствии с политикой(отбрасываться или помечаться приоритетом)) и выравнивание трафика – вносит задержку в передачу трафика, что критично для некоторых видов сервиса, но более лоялен к TCP соединениям, но на данное время практически не применяется.

Основным средством для выравнивания трафика является алгоритм «корзина маркеров». Алгоритм подразумевает наличие следующих параметров:

- согласование скорости передачи;

- согласование размеров всплеска;

- расширенный размер всплеска.

Размер стандартной корзины маркеров, т.е. число маркеров в ней равно согласованному размеру всплеска. Маркеры генерируются и помещаются в корзину с огромной скоростью. Если корзина полна, то суб-ые маркеры отбрасываются. Для того чтобы передать пакет из корзины, вынимается число маркеров равное пакету в битах. Если маркеров в корзине достаточно, то пакет передается. Если пакет больше кол-ва маркеров – он сегментируется. Стандартная корзина не поддерживает экстренное увеличение размера всплеска.

  1. Функции обеспечения безопасности и надежности, acl

End-to-End Security (E2E5) (защита конечного пользователя) – защита внутренней сети от внутренних атак.

Gateway Security (защита средствами межсетевых экранов) – защите внутренней сети от внешних атак.

Join Security (объединенная безопасность) – связующее звено между End-to-End Security и Gateway Security.

Аутентификация – процедура проверки подлинности субъекта на основе предоставляемых им данных.

Авторизация – предоставление определенных прав лицу на выполнение некоторых действий.

Access Control List (Списки управления доступом) –мощное средство фильтрации потоков данных без потери производительности, т.к. проверка содержимого пакетов выполняется на аппаратном уровне.

Критерии фильтрации м.б. определены на основе следующей фильтрации:

  1. Порт коммутатора;

  2. Тип Ethernet;

  3. MAC-IP;

  4. VLAN;

  5. 802.1p

  6. Порт TCP/UDP;

  7. Первые 80 байт пакета, включая поле данных.

Профили доступа и правила Access Control List(ACL):

  • Access Profil определяет типы критериев фильтрации, к-е д\проверяться в пакете данных (MAC адресов, IP адресов, номера порта, VLAN и т.д.)

  • Идентификатор правила Rule – указывается значение параметров текущих критериев.

Принцип работы ACL:

3 Основных профиля доступа:

  1. Профиль Ethernet:

- проверка на VLAN;

- проверка на MAC: источника и назначения;

- проверка на 802.1р;

- тип Ethernet.

  1. Профиль IP:

- проверка на VLAN;

- маска IP источника

- маска IP назначения;

- DSCP;

- протоколы TCP, IGMP, UDP;

- номер порта TCP\UDP.

  1. Профиль фильтрации по содержимому пакета (Packet Content filtering)

Процесс создания профиля доступа:

  1. Анализ задач фильтрации и определение типа профиля;

  2. Определение стратегии фильтрации;

  3. Определение маски профиля доступа.

Маска профиля доступа используется для указания какие биты значений полей IP-адрес, MAC-адрес, порт TCP\UDP должны проверяться в пакете данных, а какие игнорироваться.

  1. Добавление правил связанных с этой маской и применение профиля.

Значение битов маски:

1 – игнорирование;

2 – проверка значения;

Пример использования ACL – правила сверху-вниз.

  1. Port security, impb

Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами.

3 режима работы:

- постоянный;

- удалить при истечении времени;

- удалить при сбросе настроек.

1) Постоянный.

Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен.

2) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены.

3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.

Функция IP-MAC-PORT-BINDING (IMPB) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения.

Режимы работы IMPB:

- ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом).

- - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL.

- DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB.

Режимы работы порта:

- Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом.

- Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет.

Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.