Поделитесь пожалуйста ► Первой частью курса. В первой лекции упоминается, цитирую: "В первой части настоящего курса отмечалось, что соединение локальных сетей LAN..." |
Опубликован: 11.02.2017 | Уровень: для всех | Доступ: свободно
Лекция 6:
Коммутируемые сети
Краткие итоги
- Иерархическая топология коммутируемых сетей позволяет легко ими управлять, масштабировать (расширять) и резервировать устройства и соединения, обеспечивая требуемую надежность.
- Модель коммутируемой сети включает три уровня иерархии: уровень ядра, уровень доступа, уровень распределения.
- На уровне доступа коммутаторы обеспечивают пользователям доступ к сети. Расширение сети обеспечивается за счет подключения дополнительных коммутаторов. Управление устройствами уровня доступа должно обеспечить безопасность и качество предоставляемых услуг телекоммуникаций.
- На уровне доступа формируются виртуальные локальные сети (VLAN), позволяющие сегментировать сеть на отдельные широковещательные домены. При этом деление сети на подсети реализуют коммутаторы.
- Уровень распределения является интерфейсом между пользователями и быстродействующей магистралью ядра. На этом уровне формируются избыточные соединения, что повышает надежность сети; агрегируются границы маршрутизации третьего уровня OSI.
- Уровень ядра обеспечивает быстродействующую магистраль между сетями.
- Свернутое ядро реализуется при объединении с уровнем распределения.
- Форм-факторами коммутаторов являются плотность портов и производительность.
- В настоящее время выпускаются коммутаторы с различными форм-факторами: с фиксированной или с модульной конфигурацией, а также стекируемые (stackable). Они различаются ценой, количеством портов, производительностью, функциональными возможностями.
- Коммутаторы могут работать в нескольких режимах, при изменении которых меняются задержка и надежность. Режим сквозной коммутации или коммутации "на лету" обеспечивает наименьшую задержку, но в этом режиме невозможен контроль ошибок. Режим с промежуточным хранением или буферизацией обеспечивает высокую надежность, но сравнительно низкую скорость коммутации.
- При первоначальном конфигурировании коммутатор а его консольный порт соединяется с компьютером консольным кабелем.
- Коммутатор может работать по умолчанию без изменения базовой IP-конфигурации. Управлять коммутатором необходимо при создании виртуальных локальных сетей (VLAN) и для обеспечения функций безопасности.
- Для управления коммутатором в режиме удаленного доступа конфигурируется виртуальный интерфейс (SVI) виртуальной локальной сети vlan, на который задается IP-адрес, маска сети, интерфейс активируется, и задается шлюз по умолчанию.
- Управляющую виртуальную локальную сеть по умолчанию vlan 1 следует изменить на другую.
- Включение функции Auto-MDIX производится по команде mdix auto в режиме конфигурирования интерфейса.
- Для повышения информационной безопасности рекомендуется Telnet заменять протоколом SSH, который шифрует передаваемые данные. Номер порта Telnet - 23, SSH - 22. Оба протокола на транспортном уровне взаимодействуют с TCP.
- Распространенным методом неправомочного доступа к передаваемой по сети информации является атака лавинного переполнения таблицы коммутации.
- Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице коммутации, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты, что повышает безопасность.
- Конфигурирование функций безопасности портов коммутатора повышает информационную безопасность сети.
- Для повышения безопасности можно создавать запись таблицы коммутации вручную, динамические записи таблицы коммутации перевести в режим статических, создавать записи на основе привязки (sticky), которые не удаляются даже после перезагрузки коммутатора; ограничивать количество МАС-адресов, которым разрешено подключение к порту коммутатора.
- Формат команды статического конфигурирования МАС-адреса на заданный интерфейс следующий:
Switch(config)#mac-address-table static <МАС-адрес узла> vlan <имя vlan> interface FastEthernet <номер>
- Обеспечения безопасности на интерфейсе конфигурируется командой switchport port-security в режиме конфигурирования интерфейса.
- Число МАС-адресов на порт может быть ограничено до одного командой switchport port-security max 1.
- Существуют различные режимы реагирования системы нанарушения безопасности. По умолчанию на коммутаторах установлен режим shutdown, который выключает порт при попытке несанкционированного доступа.
- Существуют еще два режима реагирования на нарушения безопасности: режим защиты и ограничения. В этих режимах пакеты с неизвестными исходящими МАС-адресами отбрасываются. При этом в режиме ограничения формируется уведомление, а в режиме защиты - нет.
- Для повышения безопасности рекомендуется выключать все неиспользуемые порты коммутатора.
- Избыточные устройства и соединения повышают надежность сети, но могут приводить к образованию маршрутных петель.
- Протокол охватывающего (покрывающего) дерева (STP), при наличии избыточных физических соединений прокладывает логические маршруты так, чтобы логическая топология сети была древовидной.
- В сети автоматически выбирают корневой коммутатор, расстояние до которого передается в служебных кадрах BPDU. Корневой коммутатор имеет наименьшее (лучшее) значение идентификатора BID.
- Идентификатор коммутатора BID представляет собой число размером 8 байт, где 6 младших байт отображают МАС-адрес блока управления коммутатора, а два старших байта - задаваемый администратором приоритет.
- Корневой порт некорневого коммутатора характеризуется кратчайшим расстоянием до любого порта корневого коммутатора. Назначенный порт реализует связь коммутатора более высокого уровня с коммутатором более низкого уровня иерархии.
- Каждый порт коммутатора находится в одном из 5 состояний: блокировки, прослушивания, обучения, продвижения и запрещенное.
- Быстродействующие протоколы, например протокол RSTP, пропускают или сокращают длительность состояний.
Вопросы
- Почему в современных сетях используются иерархические структуры сети, модель которой включает два или три уровня иерархии?
- В чем преимущества иерархической модель сети?
- Каковы функции уровня доступа иерархической модель сети?
- Каковы функции уровня распределения иерархической модель сети?
- Каковы функции уровня ядра иерархической модель сети?
- Что такое "форм-факторы" коммутатора? Что такое плотность портов?
- В чем преимущества и недостатки коммутаторов с фиксированной и модульной конфигурацией, а также стекируемых коммутаторов?
- В чем преимущества и недостатки методов коммутации с буферизацией и "на лету"?
- Каковы особенности режимов симметричной и асимметричной коммутации?
- Какой тип пересылки сообщений использует коммутатор, если в его таблице коммутации отсутствует MAC-адрес назначения?
- В какой последовательности происходит начальная загрузка коммутатора?
- В какой режим переходит коммутатор после успешной начальной загрузки?
- Какие устройства образуют домены коллизий и широковещательные домены?
- Для чего, на каком интерфейсе, и по каким командам конфигурируется IP-адрес, маска сети и шлюз по умолчанию коммутатора?
- Почему рекомендуется изменить номер виртуальной сети по умолчанию?
- Для чего и по какой команде производится включение функции Auto-MDIX? По какой команде можно провести верификацию этой функции?
- Каковы преимущества полнодуплексного режима? Какая команда используется для его установки?
- Каковы основные этапы и команды создания удаленного доступа по протоколу SSH?
- Каковы функции протокола CDP? Почему для повышения безопасности его рекомендуется выключать?
- Какие атаки на сервер DHCP используют злоумышленники?
- Что такое надежные (доверенные) и ненадежные порты?
- Как конфигурируется функция отслеживания DHCP?
- С какой целью хакеры проводят атаки лавинного переполнения таблицы коммутации?
- Для чего необходимы аудит и моделирование атак сети?
- За счет чего реализуется функция безопасности портов коммутаторов (Port Security)?
- По какой команде можно посмотреть содержимое таблицы коммутации?
- По какой команде конфигурируется администратором статическая запись таблицы коммутации?
- По какой команде конфигурируется динамический режим обеспечения безопасности на интерфейсе?
- Как создать записи на основе привязки (sticky), которые не удаляются даже после перезагрузки коммутатора?
- Как ограничить количество МАС-адресов, которым разрешено подключение к порту коммутатора?
- Какие существуют режимы реагирования на нарушение безопасности? Как их сконфигурировать?
- Какие команды используются для верификации функции безопасности портов коммутаторов?
- Какие протоколы позволяют при наличии избыточных физических соединений создавать древовидную логическую топологию сети?
- Как выбирается корневой коммутатор?
- Какие функции выполняют корневой, назначенный, не назначенный порты?
- Как оценивается расстояние от произвольного коммутатора до корневого? В чем измеряется метрика?
- Какие состояния этапы использует протокол STP?
- За счет чего повышается быстродействие протокола RSTP?
Упражнения
- Создайте сеть на коммутаторе, концентраторе и конечных узлах.
- Сконфигурируйте адреса конечных узлов.
- Смоделируйте четыре динамических записи в таблице коммутации.
- Проведите проверку таблицы коммутации.
- Сконфигурируйте удаленный доступ к коммутатору по протоколу SSH. Проверьте возможность доступа.
- Сконфигурируйте удаленный доступ по протоколу SSH и Telnet.
- Для узла РС0 сконфигурируйте статическую запись в таблице коммутации. МАС-адрес определите по команде ipconfig /all.
- Для оставшихся конечных узлов сконфигурируйте безопасность на интерфейсах F0/11, F0/12, F0/14.
- Проведите проверку таблицы коммутации и текущей конфигурации.
- Для порта F0/11 создайте запись на основе привязки (sticky).
- Сохраните текущую конфигурацию. Закройте Packet Tracer, сохраните схему и вновь запустите ее.
- Проведите проверку таблицы коммутации и текущей конфигурации.
- Ограничьте число МАС-адресов на порт F0/14 до 2.
- Смоделируйте доступ к сети последовательно с узлов РС3, РС4, РС5.
- Объясните функционирование безопасности.
- Восстановите работоспособность порта коммутатора.