Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа? |
Сети Ethernet
При использовании в сети большого числа мостов и/или переключателей (SW) может сформироваться топология связей, когда от одного сегмента к другому пакет может попасть более чем одним путем (см. рис. 16.18). Проблема связана с тем, что на фазе заполнения таблиц мостов и переключателей эти устройства перенаправляют пакет на все выходы, кроме того, через который он пришел. Такой алгоритм работы с неизбежностью приведет к зацикливанию пакетов и блокировке каналов. Если такая схема реализована уже после того, как маршрутные таблицы сформированы, первый же пакет с неизвестным (например, ошибочным) адресом вызовет катастрофу.
При проектировании локальной сети следует помнить, что ее граф не должен содержать циклических структур, как это, например, имеет место на рис. 16.18 .
Приведенная на рисунке 16.19 схема также неработоспособна и некоторые связи должны быть ликвидированы. В данном конкретном примере проблема может быть решена удалением мостов BR-2 и BR-3 или разрывом связей, помеченных символом "X".
Проблему ликвидации связей, способных привести к зацикливанию, решает протокол STP (Spanning Tree Protocol; алгоритм предложен Перлманом в 1992 году), который автоматически блокирует некоторые соединения, а в случае недоступности основного пути открывает эти заблокированные соединения, обеспечивая высокую надежность сети. STP является частью протокола мостов IEEE 802.1d. В сущности STP преобразует граф сети к древовидной структуре (которая не имеет замкнутых маршрутов). Можно также утверждать, что STP является динамическим протоколом маршрутизации, повышающим надежность сети.
При использовании протокола STP каждой связи присваивается на стадии конфигурации определенный вес (чем меньше, тем выше приоритет). Мосты периодически рассылают специальные сообщения ( BPDU — Bridge Protocol Data Unit), которые содержат коды их уникальных идентификаторов, присвоенные им при изготовлении. Мост или переключатель с наименьшим значением такого кода становится корневым ("корень дерева"). Затем выявляется наикратчайшее расстояние от корневого моста/переключателя до любого другого моста или переключателя в сети. Граф, описывающий дерево наикратчайших связей, и является "деревом связей". Такое дерево включает все узлы сети, но необязательно все мосты/переключатели. Этот алгоритм функционирует постоянно, отслеживая все топологические изменения.
Современные мосты позволяют создавать виртуальные субсети ( VLAN ), увеличивающие сетевую безопасность (см., например, рис. 16.20). Такие виртуальные сети удобны, когда в пределах одного здания размещаются две или более небольших фирмы, которые не хотели бы, чтобы их пакеты попадали соседям. При этом не следует переоценивать уровень безопасности VLAN.
VLAN позволяет ограничить зону распространения широковещательных пакетов, улучшая эксплуатационные характеристики сети в целом.
В стандарте IEEE 802.1p предусмотрено разделение трафика по приоритетам (QoS). В IEEE 802.1q предусмотрено 8 уровней приоритета. Данная технология была реализована в сети 100VG-AnyLan (IEEE 802.12), где были предусмотрены очереди с высоким приоритетом (HPQ). 3-битовые коды CoS присваиваются пользователем. Поле CoS является частью 32-битовой метки пакета в стандарте 802.1q. Значения кодов CoS перечислены в таблице 16.01 (см. также http://book.itep.ru/4/44/qos_lan.htm).
VLAN могут строиться согласно протоколу IEEE 802.3ac (если имеющееся оборудование его поддерживает). Формат кадра этого протокола показан на рис. 16.20. Кадр при попадании во входной интерфейс VLAN снабжается 4-октетной меткой, которая анализируется коммутаторами 802.1q. Эта метка размещается в заголовке кадра между полями адреса отправителя и длины кадра (см. рис. 16.20). Когда кадр покидает VLAN, метка из кадра удаляется. В остальных свойствах форматы кадров 802.3 и 802.3ас совпадают.
Некоторые современные мосты используют так называемую маршрутизацию отправителя (source routing). Такая маршрутизация предполагает, что отправитель знает, находится ли адресат в пределах локальной сети, и может оптимально определить путь доставки. При посылке кадра другой сети отправитель устанавливает старший бит своего адреса равным единице. Одновременно в заголовке кадра прописывается весь маршрут. Каждой сети присваивается 12-битовый идентификатор, а каждому мосту ставится в соответствие 4-битовый код, уникальный в контексте данной сети. Это означает, что мосты в пределах одной сети должны иметь разные идентификаторы, но их коды могут совпадать, если они находятся в разных сетях. Мост рассматривает только кадры с единицей в старшем бите адреса места назначения. Для этих кадров просматриваются коды сети в списке, записанном в заголовке. Если в списке содержится код, совпадающий с тем, который характеризует сеть, где находится мост, кадр переадресуется в эту сеть. Реализация алгоритма может осуществляться программно или аппаратно. Если путь до места назначения неизвестен, отправитель генерирует специальный пакет, посылаемый широковещательно (discovery frame) и достигающий всех мостов и всех субсетей. Когда приходит отклик от адресата, мосты записывают его идентификатор, а первичный отправитель фиксирует маршрут до адресата. Данный алгоритм достаточно прост, но сопряжен с лавинным размножением "исследовательских" пакетов, особенно в случае, когда смежные сети соединяются через несколько мостов/переключателей.
Обеспечение QoS предполагает два процесса: выделение определенного субпотока (класса трафика) и обеспечение заданного класса сервиса для этого субпотока.
Следующим шагом в направлении развития технологии виртуальных локальных сетей является протокол IEEE 802.1Q (1998 год, см. grouper.ieee.org/groups/802/1/pages/802.1v.html). Так как здесь приходится иметь дело с Ethernet, где нет возможностей ввести дополнительные поля, например, поле идентификатора VLAN, задача достаточно деликатна. Нельзя забывать о сотнях миллионах владельцах сетевых карт... Одним из возможных решений является подход, реализованный в протоколе коммутации кадров по меткам (см. раздел MPLS). К счастью, поле идентификатора VLAN должно использоваться переключателями и маршрутизаторами, а не ЭВМ пользователей. Если сетевая карта не формирует идентификатор VLAN, он должен быть сформирован первым встретившимся переключателем или маршрутизатором. Выходной переключатель или маршрутизатор VLAN должны удалять эти идентификаторы. Эффективность технологии виртуальных локальных сетей будет много выше, когда стандарт 802.1Q будет поддерживаться сетевыми картами ЭВМ. Маршрутные таблицы в переключателях формируются автоматически с привлечением алгоритма Перлмана (описан в стандарте 802.1D).
Поле идентификатор протокола VLAN (IDP VLAN) имеет длину два байта и содержит код 0х8100 (см. рис. 16.21). Поскольку это число больше 1500, сетевые карты Ethernet будут интерпретировать его как тип, а не как длину. Как будет реагировать карта и машина, не поддерживающая 802.1Q, получив такой кадр, сказать трудно. По этой причине это следует по возможности исключить. Структура полей флаг и длина представлена в нижней части рисунка. Поле идентификатор VLAN имеет длину 12 бит и определяет, какой виртуальной сети принадлежит кадр. Поле приоритет (три бита) позволяет выделять трафик реального времени, трафик со средними требованиями и трафик, для которого время доставки не критично. Это открывает возможность использования Ethernet для задач управления и обеспечения качества обслуживания при транспортировке мультимедийных данных. Однобитовое поле CFI (Canonical Format Indicator) первоначально определял, прямой или обратный порядок байт используется. В настоящее время его функцией (=1) является указание того, что в поле данных содержится кадр 802.5.
Группа IETF, разрабатывающая систему обеспечения требуемого уровня услуг на специфических нижних уровнях ISSLL (Integrated Services over Specific Lower Layers), предлагает способы отображения запросов протокола резервирования уровня L3 (RSVP) на 802.1р с помощью системы управления полосой пропускания субсети SBM (Subnet Bandwidth Manager) (см. http://www.ietf.org/html.charters/issll.charter.html.) Протокол SBM предполагает, что одна из станций в субсети выполняет функцию DSBM (Designated SBM) и осуществляет управление доступом для всех запросов на резервирование ресурсов, посылаемых DSBM-клиентами. При работе протокола SBM используются мультикастинг-адреса 224.0.0.17 (все станции прослушивают этот адрес), а DSBM-кандидаты прослушивают — 224.0.0.16. Данная технология может использоваться, например, в IP-телефонии (TDMoIP — Time Division Multiplexing over IP). В этом случае UDP-порт порт получателя равен 2142.
Маршрутизатор отличается от переключателя тем, что поддерживает хотя бы один протокол маршрутизации. Существуют внутренние и внешние протоколы маршрутизации. Если маршрутизатор осуществляет связь данной автономной системы с другими автономными системами, его называют пограничным (border). Маршрутизатор же, который имеет только один внешний канал связи, в литературе часто называют gateway (входной шлюз сети). Любой маршрутизатор может поддерживать в любой момент только один внутренний и один внешний протокол маршрутизации, выбор этих протоколов осуществляет администратор сети из имеющегося списка. Маршрутизаторы представляют собой наиболее сложные сетевые устройства.
Одним из основных достоинств маршрутизаторов в локальной сети является ограничение влияния потоков широковещательных сообщений.
Обязательным компонентом маршрутизатора является таблица маршрутизации, которая формируется протоколом маршрутизации или сетевым администратором. По мере роста скорости каналов связи возрастали требования к быстродействию внутренней шины этих аппаратов. На рис. 16.22 показана крайне упрощенная схема такого устройства.
Минимальное расстояние между последовательными IP-адресами места назначения, которые маршрутизатор должен обработать, определяется IPG=96 бит-тактом (бт), МАС-заголовком (176 бт), и IP-заголовком (128 бт). При поле данных нулевой длины период следования IP-адресов может достигать 432 бит-тактов. Для гигабитного Ethernet это составляет 432 нс. За это время маршрутизатор должен просмотреть 100-Мбайтную маршрутную таблицу и принять решение, через какой из выходных портов передать данный пакет. Необходимость гарантирования определенного качества обслуживания (QoS) ужесточают требования к системе буферизации (увеличивается число очередей). Таким образом, одной из самых сложных субсистем маршрутизатора является устройство буферизации пакетов.
В последнее время заметное распространение получил гибрид маршрутизатора и моста – brouter. Некоторые протоколы (например, NetBIOS) не допускают маршрутизации. Когда необходимо использовать такие протоколы совместно с TCP/IP, необходим brouter. Широко применяются такие приборы в сетях Token Ring.
Особый класс образуют мультиплексоры/демультиплексоры, которые используют собственные протоколы и служат для предоставления общего канала большему числу потребителей. Эти устройства широко задействованы при построении сетей типа Интранет (корпоративные сети, где субсети разных филиалов разнесены на большие расстояния). Такие сети строятся на базе специальных выделенных (физических или виртуальных) каналов, а мультиплексоры позволяют использовать эти каналы для предоставления комплексных услуг (телефонной связи, передачи факсов и цифровой информации), экономя значительные средства.
Если перед вами стоит задача создания локальной сети с выходом в Интернет, вам нужно последовательно решить ряд проблем, помимо финансовых. Должны быть сформулированы задачи, ради которых эта сеть создается, определена топология сети и ее быстродействие, число сегментов и характер их связей, число ЭВМ-участников, определен сервис-провайдер, или провайдеры, если вам нужно обеспечить более высокую надежность и живучесть сети. Вам надо оценить требуемую загрузку сегментов сети и внешних каналов связи, выбрать программную среду (ОС). После этого вы можете приступить к составлению списка необходимого оборудования и программного обеспечения. Если ваша сеть является оконечной и она имеет только один внешний канал связи, то вам не нужен маршрутизатор и вы можете ограничиться переключателем или ЭВМ-шлюзом (gateway), которая должна иметь необходимый интерфейс. Внешним каналом может стать коммутируемая телефонная сеть, выделенная телефонная линия, оптоволоконный кабель, спутниковый или радиорелейный канал. Во всех перечисленных случаях вам будет необходим соответствующий модем.