Вопрос 9: Канальный уровень. Процесс передачи пакета. Использование l2 и l3-адресов

1. Канальный уровень (Layer 2 osi)

Канальный уровень отвечает за надежную доставку кадров (frames) между устройствами в пределах одного сегмента сети (одной физической среды). Он работает на основе MAC-адресов.

• MAC-адрес — уникальный аппаратный адрес сетевого интерфейса, записывается как 6 байт (например, 00:1A:2B:3C:4D:5E).

• Кадр Ethernet содержит: MAC-адреса источника и назначения, полезную нагрузку (например, IP-пакет) и контрольную сумму (CRC).

2. Как используется l2 и l3 при передаче пакета Сценарий: отправка данных от одного компьютера другому через маршрутизатор

1. Приложение формирует данные (например, запрос к веб-серверу).

2. L3 (сетевой уровень) добавляет IP-заголовок с IP-адресом источника и назначения.

3. L2 (канальный уровень) формирует кадр с MAC-адресом получателя:

   • Если получатель в одной сети — используется его MAC;

   • Если в другой сети — MAC-адрес шлюза по умолчанию (маршрутизатора).

4. На каждом промежуточном устройстве (например, маршрутизаторе):

   • L2-заголовок обновляется (новые MAC-адреса),

   • L3-заголовок сохраняется (IP-адреса остаются теми же).

3. Почему это важно

• MAC-адреса работают локально (в пределах LAN);

• IP-адреса работают глобально (для маршрутизации между сетями);

• Оба уровня работают совместно, обеспечивая корректную доставку.

🔁 Краткий итог:

• Канальный уровень (L2) — работает с MAC-адресами, передаёт кадры;

• Сетевой уровень (L3) — работает с IP-адресами, передаёт пакеты;

• Каждый пакет инкапсулируется в кадр на каждом переходе

Вопрос 10: Структура кадра Ethernet. Структура MAC-адреса

1. Структура кадра Ethernet

Кадр Ethernet — это основная единица передачи данных на канальном уровне. Он оборачивает IP-пакет в «обёртку» для доставки по сети.

Типовая структура Ethernet-кадра (без VLAN):

Поле	Размер	Описание
Preamble + SFD	8 байт	Синхронизация перед приёмом кадра
MAC-адрес назначения	6 байт	Кому направлен кадр
MAC-адрес источника	6 байт	От кого кадр
Тип/длина	2 байта	Тип верхнего протокола (например, IPv4 = 0x0800)
Полезная нагрузка (Payload)	46–1500 байт	Данные (например, IP-пакет)
FCS (CRC)	4 байта	Контрольная сумма (проверка на ошибки)

При использовании VLAN добавляется 4-байтное поле 802.1Q между полями MAC и Тип/длина.

2. Структура MAC-адреса

MAC-адрес — это уникальный 48-битный идентификатор сетевого интерфейса, обычно представляется в шестнадцатеричном формате: 00:1A:2B:3C:4D:5E

• Первые 3 байта (24 бита) — OUI (Organizationally Unique Identifier) — присваивается производителю (например, Cisco, Intel).

• Последние 3 байта — уникальный идентификатор устройства, назначаемый самим производителем.

Фишки:

• Broadcast-адрес: FF:FF:FF:FF:FF:FF — кадр отправляется всем в сегменте.

• Multicast-адреса: начинаются с 01:00:5E для IPv4.

• MAC можно подделать (spoofing), но на оборудовании могут быть механизмы защиты (port security).

Вопрос 11: Типы коммутаторов. Работа коммутатора в различных сценариях передачи пакета

1. Типы коммутаторов

По уровню модели OSI:

• L2-коммутатор (канальный уровень) — работает на основе MAC-адресов, занимается коммутацией кадров в пределах одной сети (LAN).

• L3-коммутатор (сетевой уровень) — способен маршрутизировать IP-пакеты между VLAN или разными подсетями. Совмещает функции коммутатора и маршрутизатора.

• L4-коммутатор (транспортный уровень) — может анализировать порты TCP/UDP и применять фильтрацию или политику QoS.

По способу обработки кадров:

• Store-and-forward — принимает весь кадр, проверяет на ошибки (CRC), и только затем пересылает.

• Cut-through — пересылает кадр сразу после считывания MAC-адреса назначения.

• Fragment-free — компромиссный вариант, проверяет первые 64 байта перед пересылкой.

2. Как работает коммутатор в разных сценариях:

1. Отправка пакета хосту в той же локальной сети, подключённому к тому же коммутатору

• Коммутатор ищет MAC-адрес назначения в своей таблице (MAC address table).

• Если адрес найден — отправляет кадр на нужный порт.

• Если не найден — делает широковещательную рассылку (broadcast).

2. Отправка пакета хосту, подключённому к другому коммутатору

• Первый коммутатор пересылает кадр на порт, ведущий к следующему коммутатору.

• Второй коммутатор находит получателя по MAC-таблице и направляет кадр к нему.

3. Отправка пакета за пределы локальной сети

• Коммутатор передаёт кадр маршрутизатору (шлюзу по умолчанию), используя его MAC-адрес.

• Маршрутизатор далее решает, куда отправлять IP-пакет.

4. Широковещательная передача (Broadcast)

• Кадр с MAC-адресом назначения FF:FF:FF:FF:FF:FF.

• Коммутатор отправляет его на все порты, кроме порта источника.

5. Групповая рассылка (Multicast)

• MAC-адрес назначения начинается с 01:00:5E.

• Без IGMP Snooping — коммутатор рассылает кадры всем портам.

• С IGMP Snooping — рассылает только тем, кто подписан на группу.

Вопрос 12: Протокол ARP

1. Что такое ARP (Address Resolution Protocol)

ARP — это сетевой протокол, используемый для сопоставления IP-адреса узла с его MAC-адресом в пределах одной локальной сети. Он работает на границе L2 и L3 уровней модели OSI.

2. Зачем нужен ARP

Когда устройство (например, компьютер) знает IP-адрес назначения, но не знает его MAC-адрес, оно не может создать Ethernet-кадр. Тогда вызывается ARP, чтобы "узнать" физический адрес получателя.

3. Как работает ARP

1. Устройство посылает ARP-запрос — широковещательный кадр (broadcast), в котором спрашивает: "Кто владелец IP 192.168.1.100?"

2. Устройство с этим IP отвечает ARP-ответом — "Это я, вот мой MAC: 00:1A:2B:3C:4D:5E"

3. Запрашивающее устройство сохраняет это соответствие в своей ARP-таблице на некоторое время.

4. Особенности:

• ARP работает только в пределах одной подсети.

• Запрос всегда широковещательный, ответ — одноадресный (unicast).

• ARP-таблица — это кэш, где хранятся сопоставления IP ⇔ MAC.

• Если IP не отвечает, ARP считается неудачным, и отправка данных невозможна.

🛡️ Безопасность:

• ARP-спуфинг (подмена MAC-адресов) — распространённая уязвимость. Используются средства защиты вроде Dynamic ARP Inspection.

Вопрос 13: Port Security

1. Что такое Port Security

Port Security — это механизм безопасности, реализуемый на коммутаторах, который ограничивает доступ к порту по MAC-адресу. Он предотвращает несанкционированное подключение устройств к сети.

2. Зачем используется

• Защита от подключения неавторизованных устройств;

• Предотвращение атак типа MAC flooding (переполнение таблицы MAC-адресов);

• Повышение контроля доступа в локальной сети.

3. Основные функции Port Security:

• Ограничение количества устройств на одном порту (обычно 1–2 MAC-адреса).

• Фиксация конкретных MAC-адресов (вручную или автоматически).

• Реакция на нарушение (нарушение — это попытка другого MAC-подключения):

  • Protect – запрещает неизвестные MAC-адреса, но не сообщает;

  • Restrict – запрещает + логирует событие;

  • Shutdown – порт блокируется полностью (часто по умолчанию).

4. Применение в реальности

• В организациях: сотруднику выдан конкретный компьютер, только он может быть подключён.

• В учебных или публичных сетях — исключение несанкционированного подключения к сети с личным ноутбуком или устройством.

🧠 Замечания:

• После блокировки порта админ должен его вручную активировать (no shutdown) или включить автоматическое восстановление.

• Настройки Port Security можно применять к отдельным портам, без влияния на остальную сеть.

Вопрос 14: Виртуальные локальные сети (VLAN). Протокол IEEE 802.1Q. Маршрутизация между VLAN

1. Что такое VLAN (Virtual Local Area Network)

VLAN — это логическое разделение сети на несколько подсетей в пределах одного физического коммутатора или группы коммутаторов.

• Устройства в разных VLAN не могут обмениваться данными напрямую, даже если физически подключены к одному и тому же коммутатору.

• VLAN создаёт изоляцию, повышает безопасность и управляемость.

2. Протокол IEEE 802.1Q

Это стандарт, используемый для маркировки кадров, передаваемых между коммутаторами (на транковом порту).

• В кадр Ethernet добавляется тег VLAN — 4 байта, содержащие номер VLAN (VID).

• Позволяет нескольким VLAN передаваться по одному каналу связи между коммутаторами.

• Без этой маркировки коммутаторы не знали бы, к какому VLAN относится кадр.

3. Виды портов на коммутаторе:

• Access-порт — работает только с одним VLAN, подключается к конечным устройствам (ПК, принтерам).

• Trunk-порт — пропускает трафик нескольких VLAN, используется для связи между коммутаторами или между коммутатором и маршрутизатором/L3-коммутатором.

4. Маршрутизация между VLAN (Inter-VLAN Routing)

Поскольку VLAN изолированы, для связи между ними необходим маршрутизатор или L3-коммутатор. Есть два основных способа:

1. "Router-on-a-stick" (маршрутизатор с подинтерфейсами)

• Один физический интерфейс маршрутизатора делится на логические (по числу VLAN).

• Каждый подинтерфейс получает IP-адрес и тег VLAN.

• Подключается к trunk-порту коммутатора.

2. Использование L3-коммутатора

• Поддерживает IP-маршрутизацию;

• Создаются SVI (Switch Virtual Interface) — логические интерфейсы VLAN с IP-адресами;

• Быстрее, чем с маршрутизатором.

Зачем использовать VLAN:

• Разделение сетей по отделам/функциям (бухгалтерия, техподдержка, камеры);

• Снижение широковещательного трафика;

• Безопасность и управление доступом.

Вопрос 15: Протокол STP. Роли портов. BPDU

1. Что такое STP (Spanning Tree Protocol)

STP — это протокол, предназначенный для предотвращения петель в коммутируемых сетях. Он временно отключает избыточные соединения между коммутаторами, чтобы избежать бесконечной циркуляции кадров (что может "заглушить" сеть).

2. Как работает STP

1. Выбирается Root Bridge — "главный" коммутатор, от которого строится остальное дерево.

2. Остальные коммутаторы определяют кратчайший путь до Root Bridge.

3. STP "отключает" лишние пути, оставляя только один активный маршрут до корня для каждой VLAN.

3. Роли портов в STP

• Root Port (RP) — порт, ведущий к Root Bridge (на каждом не-корневом коммутаторе).

• Designated Port (DP) — "лучший" порт в каждом сегменте, через который кадры могут входить в сегмент.

• Blocked Port — отключён, чтобы не допустить петель. Не участвует в передаче кадров, но остаётся в резерве.

Один и тот же порт может быть RP на одном коммутаторе и DP на другом.

4. BPDU (Bridge Protocol Data Unit)

BPDU — это специальные кадры, которые коммутаторы обмениваются между собой, чтобы "договориться" о структуре дерева:

• Определяют Root Bridge;

• Сравнивают приоритеты и ID коммутаторов;

• Обновляют информацию о топологии.

⚙️ STP имеет несколько вариантов:

• STP (стандартный) — медленный (пересчёт может занять 30-50 секунд);

• RSTP (быстрый STP) — ускоренное восстановление (менее 10 секунд);

• MSTP — для работы с несколькими VLAN одновременно.

Вопрос 16: Агрегация портов. Протоколы PAgP и LACP

1. Что такое агрегация портов (Port Aggregation, EtherChannel)

Агрегация портов — это технология, позволяющая объединить несколько физических портов коммутатора в один логический канал. Это увеличивает пропускную способность и обеспечивает резервирование.

• Используется между двумя коммутаторами, или между коммутатором и сервером/маршрутизатором.

• Выглядит для сети как один порт, но физически работает сразу несколько.

2. Преимущества агрегации:

• Увеличение скорости: например, 4 порта по 1 Гбит/с → логический канал 4 Гбит/с.

• Отказоустойчивость: если один порт выходит из строя, трафик перераспределяется по оставшимся.

• Упрощение логики: один IP, один MAC — меньше маршрутизации.

3. Протоколы для агрегации:

PAgP (Port Aggregation Protocol)

• Проприетарный протокол Cisco.

• Автоматически согласовывает создание EtherChannel между устройствами Cisco.

LACP (Link Aggregation Control Protocol)

• Открытый стандарт (IEEE 802.3ad).

• Поддерживается многими производителями: Cisco, HP, Juniper и др.

• Предпочтительнее в смешанных сетях.

4. Режимы работы (на примере LACP):

Устройство 1	Устройство 2	Результат
Active	Active	Канал создаётся
Active	Passive	Канал создаётся
Passive	Passive	Канал не создаётся

Режим Active — активно инициирует канал. Passive — ждёт инициативы от соседа.

🛠 Применяется для:

• Связи между коммутаторами (например, распределение трафика между уровнями доступа и ядра);

• Соединения серверов с двумя/четырьмя NIC к коммутатору (high availability).

Вопрос 17: L3. Структура IP-пакета. Таблица маршрутизации. Шлюз по умолчанию. Административная дистанция

1. Структура IP-пакета (IPv4)

IP-пакет — это единица данных, передаваемая на сетевом уровне (Layer 3). Включает:

• Заголовок (Header), который содержит:

  • IP-адрес источника и назначения;

  • Время жизни (TTL);

  • Протокол верхнего уровня (TCP/UDP и др.);

  • Контрольную сумму и другую служебную информацию.

• Полезную нагрузку — данные от вышестоящего уровня (например, сегмент TCP).

2. Таблица маршрутизации

Это база данных маршрутизатора или L3-коммутатора, в которой хранятся маршруты — правила, куда направлять IP-пакеты.

Каждая запись включает:

• Сетевой адрес назначения;

• Маску подсети;

• Следующий "хоп" (адрес следующего узла/интерфейса);

• Метрику и административную дистанцию;

• Интерфейс выхода.

3. Шлюз по умолчанию (default gateway)

Если IP-адрес назначения не входит ни в одну известную подсеть, устройство отправляет пакет на шлюз по умолчанию — ближайший маршрутизатор.

• Типичный для конечных устройств;

• Используется для доступа в другие подсети или Интернет.

4. Административная дистанция (AD)

AD — это оценка надёжности источника маршрута. Чем ниже значение, тем более предпочтительным считается маршрут.

Тип маршрута	AD
Connected (подключённая сеть)	0
Static (ручной маршрут)	1
EIGRP (внутренний)	90
OSPF	110
RIP	120

• Если два маршрута ведут в одно место — выбирается тот, у которого меньшая AD.