Опубликован: 11.02.2017 | Уровень: для всех | Доступ: свободно
Лекция 6:

Коммутируемые сети

Краткие итоги

  1. Иерархическая топология коммутируемых сетей позволяет легко ими управлять, масштабировать (расширять) и резервировать устройства и соединения, обеспечивая требуемую надежность.
  2. Модель коммутируемой сети включает три уровня иерархии: уровень ядра, уровень доступа, уровень распределения.
  3. На уровне доступа коммутаторы обеспечивают пользователям доступ к сети. Расширение сети обеспечивается за счет подключения дополнительных коммутаторов. Управление устройствами уровня доступа должно обеспечить безопасность и качество предоставляемых услуг телекоммуникаций.
  4. На уровне доступа формируются виртуальные локальные сети (VLAN), позволяющие сегментировать сеть на отдельные широковещательные домены. При этом деление сети на подсети реализуют коммутаторы.
  5. Уровень распределения является интерфейсом между пользователями и быстродействующей магистралью ядра. На этом уровне формируются избыточные соединения, что повышает надежность сети; агрегируются границы маршрутизации третьего уровня OSI.
  6. Уровень ядра обеспечивает быстродействующую магистраль между сетями.
  7. Свернутое ядро реализуется при объединении с уровнем распределения.
  8. Форм-факторами коммутаторов являются плотность портов и производительность.
  9. В настоящее время выпускаются коммутаторы с различными форм-факторами: с фиксированной или с модульной конфигурацией, а также стекируемые (stackable). Они различаются ценой, количеством портов, производительностью, функциональными возможностями.
  10. Коммутаторы могут работать в нескольких режимах, при изменении которых меняются задержка и надежность. Режим сквозной коммутации или коммутации "на лету" обеспечивает наименьшую задержку, но в этом режиме невозможен контроль ошибок. Режим с промежуточным хранением или буферизацией обеспечивает высокую надежность, но сравнительно низкую скорость коммутации.
  11. При первоначальном конфигурировании коммутатор а его консольный порт соединяется с компьютером консольным кабелем.
  12. Коммутатор может работать по умолчанию без изменения базовой IP-конфигурации. Управлять коммутатором необходимо при создании виртуальных локальных сетей (VLAN) и для обеспечения функций безопасности.
  13. Для управления коммутатором в режиме удаленного доступа конфигурируется виртуальный интерфейс (SVI) виртуальной локальной сети vlan, на который задается IP-адрес, маска сети, интерфейс активируется, и задается шлюз по умолчанию.
  14. Управляющую виртуальную локальную сеть по умолчанию vlan 1 следует изменить на другую.
  15. Включение функции Auto-MDIX производится по команде mdix auto в режиме конфигурирования интерфейса.
  16. Для повышения информационной безопасности рекомендуется Telnet заменять протоколом SSH, который шифрует передаваемые данные. Номер порта Telnet - 23, SSH - 22. Оба протокола на транспортном уровне взаимодействуют с TCP.
  17. Распространенным методом неправомочного доступа к передаваемой по сети информации является атака лавинного переполнения таблицы коммутации.
  18. Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице коммутации, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты, что повышает безопасность.
  19. Конфигурирование функций безопасности портов коммутатора повышает информационную безопасность сети.
  20. Для повышения безопасности можно создавать запись таблицы коммутации вручную, динамические записи таблицы коммутации перевести в режим статических, создавать записи на основе привязки (sticky), которые не удаляются даже после перезагрузки коммутатора; ограничивать количество МАС-адресов, которым разрешено подключение к порту коммутатора.
  21. Формат команды статического конфигурирования МАС-адреса на заданный интерфейс следующий:
    Switch(config)#mac-address-table static <МАС-адрес  узла> vlan <имя vlan> interface FastEthernet <номер>
       
  22. Обеспечения безопасности на интерфейсе конфигурируется командой switchport port-security в режиме конфигурирования интерфейса.
  23. Число МАС-адресов на порт может быть ограничено до одного командой switchport port-security max 1.
  24. Существуют различные режимы реагирования системы нанарушения безопасности. По умолчанию на коммутаторах установлен режим shutdown, который выключает порт при попытке несанкционированного доступа.
  25. Существуют еще два режима реагирования на нарушения безопасности: режим защиты и ограничения. В этих режимах пакеты с неизвестными исходящими МАС-адресами отбрасываются. При этом в режиме ограничения формируется уведомление, а в режиме защиты - нет.
  26. Для повышения безопасности рекомендуется выключать все неиспользуемые порты коммутатора.
  27. Избыточные устройства и соединения повышают надежность сети, но могут приводить к образованию маршрутных петель.
  28. Протокол охватывающего (покрывающего) дерева (STP), при наличии избыточных физических соединений прокладывает логические маршруты так, чтобы логическая топология сети была древовидной.
  29. В сети автоматически выбирают корневой коммутатор, расстояние до которого передается в служебных кадрах BPDU. Корневой коммутатор имеет наименьшее (лучшее) значение идентификатора BID.
  30. Идентификатор коммутатора BID представляет собой число размером 8 байт, где 6 младших байт отображают МАС-адрес блока управления коммутатора, а два старших байта - задаваемый администратором приоритет.
  31. Корневой порт некорневого коммутатора характеризуется кратчайшим расстоянием до любого порта корневого коммутатора. Назначенный порт реализует связь коммутатора более высокого уровня с коммутатором более низкого уровня иерархии.
  32. Каждый порт коммутатора находится в одном из 5 состояний: блокировки, прослушивания, обучения, продвижения и запрещенное.
  33. Быстродействующие протоколы, например протокол RSTP, пропускают или сокращают длительность состояний.

Вопросы

  1. Почему в современных сетях используются иерархические структуры сети, модель которой включает два или три уровня иерархии?
  2. В чем преимущества иерархической модель сети?
  3. Каковы функции уровня доступа иерархической модель сети?
  4. Каковы функции уровня распределения иерархической модель сети?
  5. Каковы функции уровня ядра иерархической модель сети?
  6. Что такое "форм-факторы" коммутатора? Что такое плотность портов?
  7. В чем преимущества и недостатки коммутаторов с фиксированной и модульной конфигурацией, а также стекируемых коммутаторов?
  8. В чем преимущества и недостатки методов коммутации с буферизацией и "на лету"?
  9. Каковы особенности режимов симметричной и асимметричной коммутации?
  10. Какой тип пересылки сообщений использует коммутатор, если в его таблице коммутации отсутствует MAC-адрес назначения?
  11. В какой последовательности происходит начальная загрузка коммутатора?
  12. В какой режим переходит коммутатор после успешной начальной загрузки?
  13. Какие устройства образуют домены коллизий и широковещательные домены?
  14. Для чего, на каком интерфейсе, и по каким командам конфигурируется IP-адрес, маска сети и шлюз по умолчанию коммутатора?
  15. Почему рекомендуется изменить номер виртуальной сети по умолчанию?
  16. Для чего и по какой команде производится включение функции Auto-MDIX? По какой команде можно провести верификацию этой функции?
  17. Каковы преимущества полнодуплексного режима? Какая команда используется для его установки?
  18. Каковы основные этапы и команды создания удаленного доступа по протоколу SSH?
  19. Каковы функции протокола CDP? Почему для повышения безопасности его рекомендуется выключать?
  20. Какие атаки на сервер DHCP используют злоумышленники?
  21. Что такое надежные (доверенные) и ненадежные порты?
  22. Как конфигурируется функция отслеживания DHCP?
  23. С какой целью хакеры проводят атаки лавинного переполнения таблицы коммутации?
  24. Для чего необходимы аудит и моделирование атак сети?
  25. За счет чего реализуется функция безопасности портов коммутаторов (Port Security)?
  26. По какой команде можно посмотреть содержимое таблицы коммутации?
  27. По какой команде конфигурируется администратором статическая запись таблицы коммутации?
  28. По какой команде конфигурируется динамический режим обеспечения безопасности на интерфейсе?
  29. Как создать записи на основе привязки (sticky), которые не удаляются даже после перезагрузки коммутатора?
  30. Как ограничить количество МАС-адресов, которым разрешено подключение к порту коммутатора?
  31. Какие существуют режимы реагирования на нарушение безопасности? Как их сконфигурировать?
  32. Какие команды используются для верификации функции безопасности портов коммутаторов?
  33. Какие протоколы позволяют при наличии избыточных физических соединений создавать древовидную логическую топологию сети?
  34. Как выбирается корневой коммутатор?
  35. Какие функции выполняют корневой, назначенный, не назначенный порты?
  36. Как оценивается расстояние от произвольного коммутатора до корневого? В чем измеряется метрика?
  37. Какие состояния этапы использует протокол STP?
  38. За счет чего повышается быстродействие протокола RSTP?

Упражнения

  1. Создайте сеть на коммутаторе, концентраторе и конечных узлах.

  2. Сконфигурируйте адреса конечных узлов.
  3. Смоделируйте четыре динамических записи в таблице коммутации.
  4. Проведите проверку таблицы коммутации.
  5. Сконфигурируйте удаленный доступ к коммутатору по протоколу SSH. Проверьте возможность доступа.
  6. Сконфигурируйте удаленный доступ по протоколу SSH и Telnet.
  7. Для узла РС0 сконфигурируйте статическую запись в таблице коммутации. МАС-адрес определите по команде ipconfig /all.
  8. Для оставшихся конечных узлов сконфигурируйте безопасность на интерфейсах F0/11, F0/12, F0/14.
  9. Проведите проверку таблицы коммутации и текущей конфигурации.
  10. Для порта F0/11 создайте запись на основе привязки (sticky).
  11. Сохраните текущую конфигурацию. Закройте Packet Tracer, сохраните схему и вновь запустите ее.
  12. Проведите проверку таблицы коммутации и текущей конфигурации.
  13. Ограничьте число МАС-адресов на порт F0/14 до 2.
  14. Смоделируйте доступ к сети последовательно с узлов РС3, РС4, РС5.
  15. Объясните функционирование безопасности.
  16. Восстановите работоспособность порта коммутатора.
Богдан Божок
Богдан Божок

Поделитесь пожалуйста ► Первой частью курса.

В первой лекции упоминается, цитирую: "В первой части настоящего курса отмечалось, что соединение локальных сетей LAN..." 

Дмитрий Михайлусов
Дмитрий Михайлусов
Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan