Внимание: технология определения оптимального пути используется для передачи только одноадресных пакетов.

Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом

Списки контроля доступа являются основой систем с избирательным управлением доступа.

В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.

При централизованном хранении списков контроля доступа можно говорить о матрице доступа, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.

Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «Управление доступом на основе ролей», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются ролями.

17) Port Security

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

§ несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,

§ атак направленных на переполнение таблицы коммутации.

18) Safeguard Engine

Функция Safeguard Engine специально разработана для обеспечения доступности коммутатора в ситуациях, когда в результате наводнения сети вредоносным трафиком его ЦПУ испытывает сильную загрузку. В результате этого ЦПУ коммутатора не может надлежащим образом обрабатывать пакеты протоколов STP/RSTP/MSTP, IGMP, предоставлять административный доступ через Web-интерфейс, CLI, SNMP и выполнять другие задачи, требующие обработки на ЦПУ. Функция Safeguard Engine позволяет идентифицировать и приоритизировать направляемый для обработки на ЦПУ трафик (например, ARP-широкове-щание, пакеты с неизвестным IP-адресом назначения и т.д.) с целью отбрасывания нежелательных пакетов для сохранения функциональности коммутатора.

Когда коммутатор с включенной функцией Safeguard Engine получает большое количество пакетов, предназначенных для обработки на ЦПУ и превышающее установленное верхнее пороговое значение Rising Threshold, он переходит в режим высокой загрузки (Exhausted mode). Находясь в этом режиме, коммутатор может выполнять одно из следующих действий для уменьшения загрузки ЦПУ:

· прекращение получения всех ARP-пакетов и широковещательных IP-пакетов (при работе функции в строгом режиме (strict mode));

· ограничение полосы пропускания для получаемых ARP-пакетов и широковещательных IP-пакетов путем ее динамического изменения (при работе функции в нестрогом режиме (fuzzy mode)).

При нормализации работы сети и снижении количества нежелательных пакетов до установленного нижнего порогового значения Falling Threshold коммутатор выйдет из режима высокой загрузки и механизм Safeguard Engine перестанет функционировать.

19) CPU Interface Filtering

Стандартные списки управления доступом выполняют фильтрацию трафика на аппаратном уровне и не могут фильтровать потоки данных, предназначенные для обработки на ЦПУ, например, сообщения ICMP, отправляемые на IP-адрес управления коммутатором. В случае возникновения большого количества таких пакетов производительность коммутатора может сильно снизиться из-за высокой загрузки ЦПУ.

Функция CPU Interface Filtering, поддерживаемая на старших моделях коммутаторов D-Link, является еще одним решением, позволяющим ограничивать пакеты, поступающие для обработки на ЦПУ, путем фильтрации нежелательного трафика на аппаратном уровне. По своей сути функция CPU Interface Filtering представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичными стандартным ACL принципами работы и конфигурации.

20) Многоадресная рассылка

Многоадресная рассылка обеспечивает доставку потока данных группе узлов на IP-адрес группы многоадресной рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке мира. Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписаться на рассылку) при помощи протокола IGMP (Internet Group Management Protocol, межсетевой протокол управления группами). После этого пакеты многоадресной рассылки IP, содержащие в поле назначения заголовка групповой адрес, будут поступать на этот узел и обрабатываться.

Многоадресная рассылка имеет ряд преимуществ при работе таких приложений, как видеоконференции, корпоративная связь, дистанционное обучение, видео- и аудиотрансляции и т.д., т.к. позволяет значительно повысить эффективность использования полосы пропускания и распределения информации среди больших групп получателей. Во-первых, отправитель может один раз передать единственную копию пакета данных всем членам группы, а не рассылать множество его копий. Во-вторых, благодаря передаче только одной копии пакета снижается перегрузка канала связи.

Одним из недостатков многоадресной рассылки является то, что она использует в качестве протокола транспортного уровня протокол UDP, который не гарантирует успешную доставку пакетов, в отличие от протокола TCP.

21) IGMP Snooping

IGMP snooping — процесс отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (свитчам) отслеживать IGMP-обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика, формально происходящий на более высоком (сетевом) уровне. Эта функциональность доступна во многих управляемых коммутаторах для сети Ethernet (по крайней мере среднего и верхнего ценовых уровней), но всегда требует отдельного включения и настройки.

После включения IGMP snooping коммутатор начинает анализировать все IGMP-пакеты между подключенными к нему компьютерами-потребителями имаршрутизаторами-поставщиками multicast трафика. Обнаружив IGMP-запрос потребителя на подключение к multicast группе, коммутатор включаетпорт, к которому тот подключён, в список её членов (для ретрансляции группового трафика). И наоборот: услышав запрос 'IGMP Leave' (покинуть), удаляет соответствующий порт из списка группы.

22) Управление множеством коммутаторов

Независимое управление множеством коммутаторов требует выделения каждому устройству отдельного IP-адреса, что ведет к неэкономному использованию адресного пространства и необходимости запоминания администратором сети IP-адреса каждого коммутатора. D-Link предлагает два подхода к управлению множеством коммутаторов:

· физическое стекирование коммутаторов;

· виртуальное стекирование коммутаторов.

Оба эти подхода предполагают объединение коммутаторов в физическую или логическую группу, которая будет управляться через единый IP-адрес.

23) Виртуальный стек

Чем меньше устройств объединено в одну сеть, тем проще ей управлять, а значит, тем дешевле обходится владение и администрирование. Развитие сетевых технологий привело к идее единого логического устройства (стека) с общим IP-адресом, в который объединяется целый набор коммутаторов. Такое объединение не сказывается на скорости передачи данных, так как внутри стека скорость соответствует магистральной.

Организовав стек, можно использовать несколько аппаратных коммутаторов как виртуальное единое устройство, имеющее в сети единый IP-адрес. Сеть с таким стеком поддаётся администрированию гораздо проще. Управляя портами всех аппаратных коммутаторов с помощью единой консоли, администратор может легче настраивать и мониторить сетевой трафик. При необходимости можно увеличить количество портов, добавив в стек коммутаторы.

«Стек» (от английского Stack – стопка или штабель) - широко употребляемое понятие, которое имеет два основных значения. Существует два варианта реализации стеков, которые принципиально отличаются настолько сильно, что впору говорить об омонимии – физический стек и IP-стек.

24) Объединение коммутаторов в физический стек

При физическом стекировании коммутаторы представляют собой одно логическое устройство, что обеспечивает удобство управления и мониторинга их параметров. Для управления коммутаторами можно использовать интерфейс командной строки (CLI), Web-интерфейс, Telnet, протокол SNMP, и только одному коммутатору (мастеру-коммутатору) потребуется присвоение управляющего IP-адреса.

Передача данных между коммутаторами стека ведется в полнодуплексном режиме. Коммутаторы могут быть объединены в стек либо кольцевой топологии, либо линейной топологии. Одним из преимуществ стека кольцевой топологии над стеком линейной топологии является поддержка технологии определения оптимального пути передачи пакетов. Эта технология позволяет достичь полного использования полосы пропускания и повысить отказоустойчивость стека.

Внимание: технология определения оптимального пути используется для передачи только одноадресных пакетов.

25) Функция Port Mirroring

Функция Port Mirroring позволяет отображать (копировать) кадры, принимаемые и отправляемые портом-источником (Source port) на целевой порт (Target port) коммутатора, к которому подключено устройство мониторинга (например, с установленным анализатором сетевых протоколов) с целью анализа проходящих через интересующий порт пакетов.

В настоящее время анализаторы сетевых протоколов эффективно используются IT-отделами и отделами информационной безопасности для решения широкого круга задач. С их помощью можно быстро определить причину медленной работы IT-сервиса или бизнес-приложения. Они позволяют документировать сетевую активность пользователей и использовать полученные данные, например, для определения источника утечки информации.

26) Типы коммутаторов

Существуют два основных типа коммутации: без буферизации и с промежуточным хранением.Коммутатор без буферизации пакетовсчитывает только МАС-адрес входящего пакета, ищет его в своей таблице перенаправления, и немедленно начинает передавать пакет через порт, обеспечивающий доступ к месту назначения, без какой-либо дополнительной обработки, такой как проверка ошибок, и даже до того, как будет получен весь пакет. Этот тип коммутаторов сравнительно недорогой и наиболее широко применяется для уровня рабочей группы или уровня подразделения, где отсутствие контроля ошибок не сказывается на производительности всей сети.

Коммутатор с промежуточным хранением пакетов, как следует из названия, целиком сохраняет входящий пакет в буферной памяти, прежде, чем передать его через порт назначения. Пока пакет находится в памяти, коммутатор проверяет его на наличие ошибок циклической контрольной суммы (CRC, Cyclic Redundancy Check) и выполнение других условий, таких как недопустимо малая или большая длина пакета, а также неправильная длительность передачи. Коммутатор немедленно отбрасывает любые пакеты с ошибками; не содержащие ошибок пакеты передаются через соответствующий порт. Два рассматриваемых способа коммутации не исключают один другого.

27) Качество обслуживания QoS

Для поддержки передачи по одной сети трафика потоковых мультимедийных приложений (Voice over IP (VoIP), IPTV, видеоконференции, онлайн игры и др.) и трафика данных с различными требованиями к пропускной способности необходимымеханизмы, обеспечивающие возможность дифференцирования и обработки различных типов сетевого трафика в зависимости от предъявляемых ими требований. Негарантированная доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предполагала проведения какой-либо классификации трафика и не обеспечивала надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено такое понятие, как качество обслуживания (Quality of Service, QoS).

Функции качества обслуживания в современных сетях заключаются в обеспечении гарантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе различных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритизации.

28) Управление перегрузками и механизмы обслуживания очередей

Наиболее часто перегрузка сети возникает в местах соединения коммутаторами сетей с разной полосой пропускания. В случае возникновения перегрузки сети пакеты данных начинают буферизироваться и распределяться по очередям. Порядок передачи через выходной интерфейс поставленных в очередь пакетов на основе их приоритетов определяется механизмом обслуживания очередей (Queueing mechanism), который позволяет управлять пропускной способностью сети при возникновении перегрузок.

Механизм управления перегрузками (Congestion management) включает следующие механизмы обслуживания очередей:

· механизм FIFO (First-In, First-Out);

· очереди приоритетов (Priority Queueing);

· взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR);

· настраиваемые очереди (Custom Queueing).

В коммутаторах D-Link для обслуживания очередей используются взвешенный алгоритм кругового обслуживания, очереди приоритетов и комбинации этих методов.

Механизм обслуживания очередей FIFO ("первым пришел, первым ушел") передает пакеты, поставленные в очередь в том порядке, в котором они поступили в нее. Этот механизм не обеспечивает классификации пакетов и рассматривает их как принадлежащие одному классу.

Очереди приоритетов со строгим режимом (Strict Priority Queue) предполагают передачу трафика строго в соответствии с приоритетом выходных очередей. В этом механизме предусмотрено наличие 4-х очередей — с высоким, средним, обычным и низкимприоритетами обслуживания. Пакеты, находящиеся в очереди с высоким приоритетом, обрабатываются первыми. Пакеты из следующей по приоритету обслуживания очереди начнут передаваться только после того, как опустеет высокоприоритетнаяочередь. Например, пакеты из средней по приоритету очереди не будут передаваться до тех пор, пока не будут обслужены пакеты из высокоприоритетной очереди. Пакеты из очереди с нормальным приоритетом не начнут передаваться до тех пор, пока не опустеет очередь со средним приоритетом и т.д.

Еще одним механизмом обслуживания очередей является взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR). Этот механизм исключает главный недостаток очередей приоритетов, обеспечивая обработку очередей в соответствии с назначенным им весом и предоставляя полосу пропускания для пакетов из низкоприоритетных очередей.

Процесс обработки очередей осуществляется по круговому принципу, начиная с самой приоритетной очереди. Из каждой непустой очереди передается некоторый объем трафика, пропорциональный назначенному ей весу, после чего выполняется переход к следующей по убыванию приоритета очереди и т.д. по кругу.

29) Модели QoS

· Негарантированная доставка данных (Best Effort Service) — обеспечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный приоритет.

· Интегрированные услуги (Integrated Services, IntServ) — эта модель описана в RFC 1633 и предполагает предварительное резервирование сетевых ресурсов с целью обеспечения предсказуемого поведения сети для приложений, требующих для нормального функционирования гарантированной выделенной полосы пропускания на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемлемого качества передачи голоса требуется канал с минимальной пропускной способностью 64 Кбит/с (для кодека G.711).

Модель IntServ использует сигнальный протокол RSVP (Resource Reservation Protocol, протокол резервирования ресурсов) длярезервирования ресурсов для каждого потока данных, который должен поддерживаться каждым узлом на пути следования трафика. Эту модель также часто называют жестким QoS (hard QoS) в связи с предъявлением строгих требований к ресурсам сети.

· Дифференцированное обслуживание (Differentiated Service, DiffServ) — эта модель описана в RFC 2474, RFC 2475 и предполагает разделение трафика на классы на основе требований к качеству обслуживания. В архитектуре DiffServ каждый передаваемый пакет снабжается информацией, на основании которой принимается решение о его продвижении на каждом промежуточном узле сети, в соответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior, PHB). Модель дифференцированного обслуживания занимает промежуточное положение между негарантированной доставкой данных и моделью IntServ и сама по себе не предполагает обеспечение гарантий предоставляемых услуг, поэтому дифференцированное обслуживание часто называют мягким QoS (soft QoS).

30) Механизм предотвращения перегрузок

Механизм предотвращения перегрузок (Congestion avoidance) — это процесс выборочного отбрасывания пакетов во избежание перегрузок в сети в случае достижения выходными очередями своей максимальной длины (в пакетах).

Традиционной политикой обработки пакетов коммутаторами в случае переполнения всех выходных очередей является их отбрасывание, которое продолжается до тех пор, пока длина очередей не уменьшится за счет передачи находящихся в них пакетов. Такой алгоритм управления длиной выходных очередей получил название "отбрасывание хвоста" (Tail-Drop). Отбрасывание пакета будет служить сигналом о перегрузке сети источнику ТСР-соединения, т.к. он не получит подтверждения о доставке пакета от приемника ТСР-соединения. В этом случае он уменьшит скорость передачи путем уменьшения размера окна перегрузки до одного сегмента и перезапустит алгоритм медленного старта (slow start).

Поскольку коммутатор обрабатывает множество ТСР-потоков в один момент времени, отбрасывание пакетов послужит сигналом о перегрузке тысячам источникам ТСР-соединений, которые снизят скорость передачи. При этом почти все источники ТСР-соединений будут использовать одинаковое время таймеров задержки перед началом увеличения скорости передачи. Значения этих таймеров достигнут своего лимита практически одновременно, что вызовет увеличение интенсивности трафика и переполнение очередей, которое приведет к отбрасыванию пакетов, и весь процесс повторится вновь.

Процесс, когда каждый источник ТСР-соединения уменьшает и увеличивает скорость передачи одновременно с другими источниками ТСР-соединений, получил название эффекта глобальной синхронизации (global synchronization). Эффект глобальной синхронизации приводит к неэффективному использованию полосы пропускания, а также к возрастанию задержки передачипакетов.

Для решения проблемы поведения источников ТСР-соединения в момент отбрасывания пакетов был разработан алгоритм произвольного раннего обнаружения (Random Early Detection, RED).

В отличие от алгоритма "отбрасывания хвоста", алгоритм RED отбрасывает поступающие пакеты вероятностно, на основе оценки среднего размера очередей. Он не дожидается полного заполнения очередей, а начинает отбрасывать пакеты с некоторой вероятностью, когда средний размер очереди превысит определенное минимальное пороговое значение. Это позволяет избежать эффекта глобальной синхронизации, т.к. будут отбрасываться не все пакеты, а только пакеты произвольным образом выбранных потоков.

В коммутаторах D-Link поддерживается простой алгоритм произвольного раннего обнаружения (Simple Random Early Detection, SRED), который является расширенной версией алгоритма RED, реализованной на основе ASIC, и выполняет вероятностное отбрасывание входящих "окрашенных" пакетов. "Окрашивание" пакетов позволяет реализовать разные политики обслуживания пакетов (различную вероятность отбрасывания) на основе их приоритетов. Так пакеты, "окрашенные" в зеленый цвет обладают наивысшим приоритетом. Пакеты "окрашенные" в желтый цвет — средним, в красный цвет — низшим приоритетом.

Алгоритм SRED позволяет задавать два пороговых значения размера для каждой очереди — минимальное и максимальное. Еслидлина очереди меньше минимального порогового значения, то пакеты будут помещаться в очередь. Если размер очереди будет находиться в интервале между минимальным и максимальным пороговыми значениями, т.е. будет наблюдаться умереннаяперегрузка, то пакеты, "окрашенные" в красные и желтые цвета, будут отбрасываться с заданной вероятностью. Если длина очереди превысит максимальное пороговое значение, то пакеты любых цветов будут отбрасываться с заданной вероятностью. Т.е. алгоритмSRED обеспечивает возможность настройки более интенсивного отбрасывания пакетов низкоприоритетного трафика и менее интенсивного отбрасывания пакетов высокоприоритетного трафика.

31) Аутентификация пользователей 802.1х

Стандарт IEEE 802.1Х (IEEE Std 802.1X-2010) описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации и определяет процесс инкапсуляции данных ЕАР, передаваемых между клиентами (запрашивающими устройствами) и серверами аутентификации. Стандарт IEEE 802.1Х осуществляет контроль доступа и не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора.

Сервер аутентификации Remote Authentication in Dial-In User Service (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора, прежде чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

До тех пор, пока клиент не будет аутентифицирован, через порт коммутатора, к которому он подключен, будет передаваться только трафик протокола Extensible Authentication Protocol over LAN (EAPOL). Обычный трафик начнет передаваться через порткоммутатора сразу после успешной аутентификации клиента.

Архитектура IEEE 802.1X включат в себя следующие обязательные логические элементы:

· клиент (Supplicant) находится в операционной системе абонента, обычно это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1X, например то, которое встроено в ОС Microsoft Windows;

· сервер аутентификации (Authentication Server) выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор, предоставлять или нет клиенту доступ к локальной сети. RADIUS (Remote Authentication Dial-In User Service) работает в модели "клиент/сервер", в которой информация об аутентификации передается между сервером RADIUS и клиентами RADIUS;

· аутентификатор (Authenticator) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации: получает запрос на проверку подлинности от клиента, проверяет данную информацию при помощи сервера аутентификации и пересылает ответ клиенту. Коммутатор поддерживает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP, и взаимодействие с сервером аутентификации. В коммутаторах D-Link поддерживаются две реализации аутентификации 802.1Х:

· Port-Based 802.1Х (802.1Х на основе портов);

· MAC-Based 802.1Х (802.1Х на основе МАС-адресов).

При аутентификации 802.1X на основе портов (Port-Based 802.1Х), после того как порт был авторизован, любой пользователь, подключенный к нему, может получить доступ к сети.

Аутентификация 802.1Х на основе МАС-адресов — это аутентификация множества клиентов на одном физическом порте коммутатора. При аутентификации 802.1Х на основе МАС-адресов (MAC-Based 802.1Х) проверяются не только имя пользователя/пароль подключенных к порту коммутатора клиентов, но и их количество. Количество подключаемых клиентов ограничено максимальным количеством MAC-адресов, которое может изучить каждый порт коммутатора. Для функции MAC-Based 802.1Х количество изучаемых МАС-адресов указывается в спецификации на устройство.

Поиск по сайту: