1-ая лекция ко второй аттестации ФКН ВГУ 2012

Когда могут возникать петли:

  1. 1) Ошибочное соединение коммутаторов
  2. 2) Избыточность связей для увеличения надёжности – то есть избыточно сть можно введена искусственно.

STP протокол =

  • 1) Выявляет, что в сегменте существует более одного пути
  • 2) А н атом пути, который не самый лучший - выключить порты.

Каждый свитч пере BPDU (beach protocol delta unit ) unit – то есть элемент протокола моста (мостовой протокол) - работает в две фазы =

1) Выявления корневого свитча – через какое-то время свитчи получая сообщения в этом протоколе – таким образом сеть наполнена кадрами с разными идентификаторами мостов . «Мост» - это синоним коммутатора .
802.1 D – протокол «прозрачный мост».

Выигрывает тот мост который имеет наименьшее значение bridge id - он признаётся корневым.

Идентификатор – это 16-ти разрядное число – максимальное значение на ненастроенных свичах около 32000.
Если вы создали сеть из ненастроенных коммутаторов, то на всех мостах находится одинаковый ненастроенный идентификатор - и корневым в этом случае становится коммутатор, который обладает минимальным мак адресом.

2) После того, как корневой свитч определён – а это происходит довольно быстро - начинается вторая фаза работы протокола – во время которой выключаются порты, которые представляют собой точки входа в альтернативные маршруты.

Поля времени жизни изменяются при продвижении через каждый коммутатор – поэтому каждый коммутатор=

  1. не только знает какой из коммутаторов является корневым
  2. но и узнаёт «расстояние» до корневого коммутатора

таким образом - на разных портах одного и того же коммутатора расстояние до корневого может быть разным.

Порты которые располагаются ближе к корневому коммутатору называются корневыми.

В STP протоколе существует таблица, которая анализирует пропускную способность – поэтом свич знает не просто количество хопов (т.е. переходов между сетевыми устройствами) но и пропускную способность пути.

Существует множество реализаций STP - например - VLAN позволяет в рамках одной сети создавать несколько топологий - например можно сделать несколько изолированных логических сетей.

Возникает вопрос - как будет работать STP при возникновении цикла в broadcast доменах?

Ответ таков - в случае использования VLAN – в каждом из них - то есть в каждом логическом сегменте сети использующем VLAN должен выполняться STP.
То есть -каждый свич должен выполнять STP.
Формат VLAN id занимает 12 бит (2 байта по факту) – но на конкретном свиче это значение может быть гораздо меньше


Развитие STP

1) Per-VLAN Spanning Tree (PVST, +, CISCO)
2) Rapid Spanning Tree Protocol (RSTP), IEEE 802.1w =

  • определяет работу как с множество VLAN
  • так и существенно ускоряет работу STP

– дело в том, что сеть должна быстро выстраиваться .

Существуют различные значения таймаутов -
которые должны быть малы - альтернативный путь должен включаться быстро. Если это будет пара минут – то это неплохо – так как быстрее, чем придёт всё переподключать администратор ,но приложения уже могут закрыться – придётся заново авторизироваться.

RSTP-мост может отвечать на BPDU, посланные с корневого моста

3) Multiple Spanning Tree Protocol (MSTP)IEEE 802.1s, позже добавлен в IEEE 802.1Q-2003 – ориентированный на использование в средах с множеством VLAN

Ещё одна проблема STP

– предположим что в сети нет избыточности.
Но не смотря на это свичи, которые этот протокол поддерживают всё равно будут реагировать на каждое изменение статуса порта.
– В этом случае коммутатор может быть настроен таким образом , чтобы на порту STP выключается - если оно там не нужно.

Классическое время готовности – 45 секунд.
Для Rapid – это около одной секунды.

Агрегирование - Link aggregation (trunking)

Trunk - термин ЦИСКО относительно порта который работает в режиме тэгирования.
Но при этом группы портов объединённые в группы тоже называют «транк».

Агрегирование портов – это использование портов совместно для повышения пропускной способности.

Для того что повысить пропускную способность в узких места используют устройства с большим up link.

Но это не всегда решает проблему. Иногда uplink –а не хватает.

Сейчас существует стандарт =IEEE 802.3ad, Link Aggregation Control Protocol (LACP)

Он позволяет объединять порты.


Коммутаторы третьего уровня.

Layer3 коммутаторы –

Коммутаторы третьего уровня - чем они отличаются от маршрутизаторов?

Сейчас в магазинах можно увидеть и «Layer4» -но это скорее маркетинговый ход.

Несколько слов – и мы заканчиваем рассмотрение технологий второго уровня.

Layer3 коммутаторы – это нестандартизированная проприетарная технология – поэтому каждый сам решает как всё будет работать.

В основе лежат специализированные интегральные схемы .

При соединение клиента с каким либо сервером клиент указывает IP , после чего формируется TCP соединение, при котором скачивается некий файл.
Первый коммутатор к которому подключён пользователь - если это layer 3 - то он шлюз по умолчанию (если есть только одно соединение) – далее выполняется обычная ip маршрутизация.

Основная идея – это опустить уровень обработки данных на второй уровень. При этом возникает вопрос – а что будет с различными обработчиками - такими . как например фильтры? Но вот именно на этом этапе устройство работает как устройство третьего уровня – оно пропускает соединение через фильтры проверяя его разрешённость – но не всё так просто (читайте далее)

Стационарные параметры хэшируются - используется та или иная проприетарная технология.
Уникальные хэши=

  • 1) Номер порта
  • 2) Пара ip адресов
  • 3) Другие параметры.

Таким образом L3 шлюз в отличии от обычного содержит таблицу адресов и может выполнять маршрутизацию.
Но всё происходит немного иначе - например, установить адрес на интерфейс нельзя. Но можно создать виртуальный интерфейс , например VLAN1 – и задать ему ip – ведь для клиента разницы нет – ему главное – чтобы, в частности, был шлюз.

Отличия от маршрутизатора =

  1. Коммутатор не ориентирован на экстенсивное использование на 3-ем уровне
  2. здесь нельзя задавать длинные фильтры-списки доступа – таким образом установка протоколов динамической маршрутизации, больших списков доступа и т.д. – не уместна.

-----------------

MPLS (multi protocol label switch )таблицы – конфигурация маршрутов перемещения трафика вручную.

Уязвимости и прочие неприятности =)

Второй уровень – очень опасный – он позволяет реализовать атаки, которые позволяют контролировать трафик – такого не бывает в ip сетях.

MAC flooding

[fl/\d…]
Потребление всей памяти коммутатора под MAC-таблицу для перевода его в
failopen mode (hub-подобный) - здесь переходит переполнение таблицы MAC адресами и перевести свит в режим псевдо-хаба и перехватывать трафик , предназначаемый для других .
Защита – привязка портов к MAC или ограничение кол-ва MAC на порт
--------------------------------------
ARP(MAC)-spoofing, ARP-poisoning - атаки ориентированный на матнпуляцию с ARP -таблицами соответствия MAC и IP - в результате - трафик идёт на его комп.

Реализация = с помощью поддельного ответа запись модифицируется – после чего пакет отправляется на поддельный мак.

ассоциация MAC аттакующего с IP другого узла (шлюза, сервера AAA) -> DoS,
пассивное сканирование or MiM атака
Защита: контроль ARP с помощью arpwatch , static ARP, dynamic ARP inspection
(DAI), DHCP snooping
-----------------------------------------------

VLAN Hopping

Эмуляция ПО атакующего коммутатора с trunk портом, поддерживающем ISL или
802.1q и Dynamic Trunking Protocol (DTP) signaling. Или теггирование кадров с
двумя 802.1q заголовками.
Защита: установка всех пользовательских портов в non-trunking режим выключив
DTP

---------------------------------

STP атака

- здесь очень важен выбор корневого коммутатора - здесь ничто не мешает злоумышленнику сделать свою устройство «корневым» - это даст ему возможность сделать себя «главным» - это может привести к тому, что сеть не будет «сходится » - она будет всё время находится в режиме «выбора» - поиска и изменения корневого узла.

Анонсирование системой атакующего моста с низким значением STP-приоритета.
Постоянная конвергенция STP приведет к DoS.
Защита: корпоративные решения (например, CISCO’s STP BPDU guard/root guard)
используются для предопределения STP-топологии.

===========================
СЛЕДУЮЩАЯ ТЕМА _-

Служба каталогов

Служба катологов – это хранилище и проктолы доступа к этой базе данных (хранилищу).

Но это не обычная база данных – это хранилище конфигурационной информации. С исопользованием этого хранилища можно настраивать поля комьпютеров – так называемый домены – области очерчевающие границы безопасности и конфигурации, задаваемой централизованно.

Эта имеет отношение к концепции распределённых компьютеров, управляемых из одного центра.
Реализаций служб каталогов существует немоло. Международный стандарт – X500

В майкрософт используется дял наименования доменов открытая DNS – технология - она иерархична – что часто оказывается удобым.

Как всё работает.

Служба каталогов Active Directory

Контроллер домена – это управляющий компьютер – это роль может быть установлена по-разному – где-то это стандартная функция.

Что позволяет централизация?

Это позволяет значительно меньше времени тратить на администрирование.

Существует иерархия доменов - она важна т – когда вы создаёте домен мастер задаёт вам несколько вопросов:
1) Является ли он корнем системы доменов, или же является частью системы доменов ???
далее =

  1. – если вы выбираете первый случай , то создаёте свою собственную изолированную независимую структуру.
  2. Если же вы создаёте часть домена – то последует вопрос о нахождении и виде доступности управляющего дотмена.