7.5.1.1 Пример настройки функции Safeguard Engine
В качестве примера использования функции Safeguard Engine рассмотрим ситуацию, когда одна из рабочих станций, подключенных к коммутатору, постоянно рассылает ARP-пакеты с очень высокой скоростью. Загрузка ЦПУ коммутатора при этом меняется от нормальной до 90%. При устранении причины,вызвавшей лавинную генерацию ARP-пакетов на рабочей станции, загрузка ЦПУ снизится до нормы.
Для защиты ЦПУ от подобных ситуаций и снижения его загрузки, на коммутаторе можно настроить функцию Safeguard Engine.
Настройка коммутатора
· Активизируйте функцию Safeguard Engine.
config safeguard_engine state enable
· Задайте нижнее и верхнее пороговые значения (указываются значения в процентах от загрузки ЦПУ), при которых будет происходить переключение между нормальным режимом работы и режимом Exhausted. Укажите режим работы функции.
config safeguard_engine utilization rising 40 falling 25 mode strict
7.6.1 Функция cpu Interface Filtering
Стандартные списки управления доступом выполняют фильтрацию трафика на аппаратном уровне и не могут фильтровать потоки данных, предназначенные для обработки на ЦПУ, например, сообщения ICMP, отправляемые на IP-адрес управления коммутатором. В случае возникновения большого количества таких пакетов, производительность коммутатора может сильно снизиться из-за высокой загрузки ЦПУ.
Функция CPU Interface Filtering, поддерживаемая на старших моделях коммутаторов D-Link , является еще одним решением, позволяющим ограничивать пакеты, поступающие для обработки на ЦПУ, путем фильтрации нежелательного трафика на аппаратном уровне. По своей сути функция CPU Interface Filtering представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичными стандартным ACL принципами работы и конфигурации.
7.6.1.1 Пример настройки функции cpu Interface Filtering
В качестве примера рассмотрим задачу, в которой необходимо настроить коммутатор таким образом, чтобы пакеты ICMP, передаваемые компьютером ПК 2, не отправлялись на обработку на ЦПУ, но при этом ПК 2 мог передавать данные другим устройствам, например ПК 1.
Рис.
7.23. Схема сети
Настройка коммутатора
· Активизируйте функцию CPU Interface Filtering глобально на коммутаторе.
enable cpu_interface_filtering
· Создайте профиль доступа для интерфейса ЦПУ.
create cpu access_profile ip source_ip_mask 255.255.255.128 icmp profile_id 1
· Создайте правило для профиля доступа.
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.31.3.2 icmp deny
Глава 8. Многоадресная рассылка
В современных IP-сетях существует три способа отправки пакетов от источника к приемнику:
· одноадресная передача (Unicast);
· широковещательная передача (Broadcast);
· многоадресная рассылка (Multicast).
При одноадресной передаче поток данных передается от узла-отправителя на индивидуальный IP-адрес конкретного узла-получателя. Широковещательная передача предусматривает доставку потока данных от узла-отправителя – множеству узлов-получателей, подключенных к сети, используя широковещательный IP-адрес.
Многоадресная рассылка обеспечивает доставку потока данных группе узлов на IP-адрес группы многоадресной рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке мира. Узлы, которые заинтересованы в получении данных для определенной группы,должны присоединиться к этой группе (подписаться на рассылку) при помощи протокола IGMP ( Internet Group Management Protocol, межсетевой протокол управления группами). После этого пакеты многоадресной рассылки IP, содержащие в поле назначения заголовка групповой адрес, будут поступать на этот узел и обрабатываться.
Многоадресная рассылка имеет ряд преимуществ при работе таких приложений как видеоконференции, корпоративная связь, дистанционное обучение, видео и аудио-трансляции и т.д., т.к. позволяет значительно повысить эффективность использования полосы пропускания и распределения информации среди больших групп получателей. Во-первых,отправитель может один раз передать единственную копию пакета данных всем членам группы, а не рассылать множество его копий. Во-вторых, благодаря передаче только одной копии пакета снижается перегрузка канала связи.
Одним из недостатков многоадресной рассылки является то, что она использует в качестве протокола транспортного уровня протокол UDP, который не гарантирует успешную доставку пакетов, в отличие от протокола TCP.