Курс Безопасные информационные технологии ЛЕКЦИЯ 2 Основы внутрисетевой

Курс «Безопасные информационные технологии» ЛЕКЦИЯ 2 Основы внутрисетевой безопасности на управляемых коммутаторах. Виртуальные локальные сети (VLAN) Ханин Андрей Геннадьевич, Старший преподаватель кафедры ИБ Новосибирск, 2013

Содержание лекции § Понятие сетевой безопасности; § Аппаратура безопасных сетей. Коммутаторы (понятие, виды, функциональные возможности); § Принципы коммутации в компьютерных сетях; § Начальная настройка коммутаторов; § Виртуальные локальные сети (VLAN) (понятие, виды, реализации на базе коммутаторов, сегментация трафика).

Понятие сетевой безопасности Под термином «сетевая безопасность» можно понимать совокупность технологий, программных и аппаратных средств, способных обеспечить защищенную и надежную связь между двумя или более сетевыми узлами. Задачи по защите персональной информации, препятствию несанкционированному доступу в частные сети на современном уровне решают с помощью комплексного подхода – совокупности программных и аппаратных средств. Основными аппаратными средствами, реализующими множество методов сетевой защиты являются: коммутаторы, межсетевые экраны (файерволлы), proxy-серверы, маршрутизаторы со встроенной фильтрацией пакетов и т. д. Данные средства позволяют в определенной степени обеспечить защиту как сетевых узлов, так и трафика, передаваемого между узлами.

Виды угроз сетевой безопасности Вредоносное ПО (вирусы, «черви» , троянские программы, рекламное и шпионское ПО) заражает компьютерные системы, копирует само себя, предоставляет взломщику доступ к информации, блокирует отдельные узлы или сетевые сегменты, разрушает файлы, вызывает перегруз сетей и т. п. Взлом для получения несанкционированного доступа к информационным, программным и аппаратным ресурсам сети. Например, атака «человек посередине» (Man in the middle) используется взломщиками для получения информации из сетевого трафика при помощи специальных программ (например, при помощи трассировщика пакетов (Packet sniffers). Атаки с целью нарушения штатной работы сети. К числу данных атак относят, например, «отказ в обслуживании» (Do. S-атаку – Denial of service attack). Данная атака нарушает нормальное функционирование сетей, их служб и сервисов. Do. Sатаку организует программа, которая непрерывно запрашивает случайную информацию из сети, создавая трафик, перегружающий и блокирующий каналы связи. Некорректные действия пользователей сети, способные создать определенные проблемы безопасности и нарушить штатную работу внутри частной сети. К этой категории угроз можно отнести, например, распространение пользователями внутри сети вредоносного ПО через съемные носители, рассекречивание информации о паролях доступа в информационные системы посторонним лицам, умышленную кражу персональных данных, использование Интернет в личных целях и т. п.

Аппаратура безопасных сетей. Коммутаторы

Эволюция локальных сетей Стандарты 10 Base-2 /10 Base-5. Шинная топология Терминатор

Эволюция локальных сетей Стандарт 10 Base-Т. Топология «звезда» Концентратор

Эволюция локальных сетей Сегментация сети с помощью мостов (Bridge) на канальном уровне модели OSI Порт 1 Сегмент 1 Порт 2 Сегмент 2 Мост 1 2 МАС-адрес Порт 1 1 2 1 3 2 4 2 3 4

Эволюция локальных сетей Коммутатор локальных сетей

Понятие коммутатора Коммутатор (switch) – сетевое устройство, предназначенное для соединения нескольких узлов компьютерной сети в один или множество сегментов. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передаёт данные только на порт получателя (за исключением широковещательного трафика всем узлам, используя MAC-адрес FF: FF: FF: FF). Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались. Основные особенности современных коммутаторов: • Выполняют коммутацию на канальном уровне (L 2) модели OSI; • Способны одновременно устанавливать несколько коммутируемых соединений между разными парами портов (микросегментацию); • Имеют расширенный набор функций по управлению сетевым трафиком на канальном уровне; • Коммутаторы 3 -го уровня (L 3), помимо коммутации кадров на канальном уровне, выполняют маршрутизацию трафика на сетевом уровне модели OSI; • Обеспечивают возможность работы сетевых соединений в режиме полного дуплекса (full duplex).

Понятие микросегментации

Обзор функциональных возможностей коммутаторов Большинство современных коммутаторов, независимо от производителя, поддерживают расширенный набор функциональных возможностей, отвечающих общепринятым стандартам. Среди них самые распространенные и наиболее используемые сегодня это: § виртуальные локальные сети (VLAN); § семейство протоколов Spanning Tree – IEEE 802. 1 D, 802. 1 w, 802. 1 s; § статическое и динамическое по протоколу IEEE 802. 3 ad агрегирование каналов Ethernet; § сегментация трафика; § обеспечение качества обслуживания Qo. S; § функции обеспечения безопасности, включая аутентификацию 802. 1 Х, функции Port Security, IP-MAC-Port Binding и т. д. ; § протоколы поддержки Multicast-вещания; § SNMP-управление и др.

Технологии коммутации и модель OSI Коммутаторы локальных сетей можно классифицировать в соответствии с уровнями модели OSI, на которых они передают, фильтруют и коммутируют кадры. Различают: § коммутаторы уровня 2 (Layer 2 (L 2) switch); § коммутаторы уровня 3 (Layer 3 (L 3) switch).

Технологии коммутации и модель OSI Классификация коммутаторов по уровням модели OSI § Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 – прозрачность для протоколов верхнего уровня. Так коммутатор функционирует на 2 -м уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI. § Коммутаторы уровня 3 осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней модели OSI. Коммутаторы 3 -го уровня выполняет коммутацию в пределах рабочей группы, виртуальной сети и маршрутизацию между различными подсетями или виртуальными локальными сетями (VLAN). Коммутаторы 3 -го уровня функционально практически ничем не отличаются от традиционных маршрутизаторов и выполняют те же функции: • определение оптимальных путей передачи данных на основе логических адресов (адресов сетевого уровня, традиционно IP-адресов) • управление широковещательным и многоадресным трафиком; • фильтрацию трафика на основе информации 3 -го уровня; • IP- фрагментацию.

Конструктивное исполнение коммутаторов В зависимости от конструктивного исполнения (габаритных размеров), можно выделить три группы коммутаторов: § настольные коммутаторы (Desktop switch); § автономные коммутаторы, монтируемые в телекоммуникационную стойку (Rack mounted switch); § коммутаторы на основе шасси (Chassis switch).

Конструктивное исполнение коммутаторов Настольные коммутаторы Обычно такие коммутаторы обладают корпусом обтекаемой формы с относительно небольшим количеством фиксированных портов, внешним или внутренним блоком питания и небольшими ножками для обеспечения вентиляции нижней поверхности устройства. Чаще всего коммутаторы настольного форм-фактора используются в сетях класса SOHO.

Конструктивное исполнение коммутаторов Автономные коммутаторы в стоечном исполнении Высотой 1 U обладают корпусом для монтажа в 19” стойку, встроенным блоком питания и фиксированным количеством портов. По сравнению с настольными коммутаторами, коммутаторы, монтируемые в стойку, обеспечивают более высокую производительность и надежность, а также предлагают широкий набор сетевых функций и интерфейсов.

Конструктивное исполнение коммутаторов Коммутаторы на основе шасси Содержат слоты, которые могут быть использованы для установки интерфейсных модулей расширения, резервных источников питания и процессорных модулей. Модульное решение обеспечивает гибкость применения, высокую плотность портов и возможность резервирования критичных для функционирования коммутатора компонентов.

Конструктивное исполнение коммутаторов Стековые коммутаторы Устройства представляют собой коммутаторы, которые могут работать как автономно, так как выполнены в отдельном корпусе, так и совместно, благодаря наличию специальных интерфейсов, позволяющих объединять коммутаторы в одно логическое устройство с целью увеличения количества портов, удобства управления и мониторинга. Говорится, что в этом случае отдельные коммутаторы образуют стек.

Физическое стекирование коммутаторов Стек типа «кольцо» (кольцевая топология) § При передаче данных пакет последовательно передается от одного устройства стека к другому до тех пор, пока не достигнет порта назначения. § Система автоматически определяет оптимальный путь передачи трафика, что позволяет достичь полного использования полосы пропускания. § Преимуществом топологии «кольцо» является то, что при выходе одного устройства из строя или обрыве связи, остальные устройства стека будут продолжать функционировать в обычном режиме. Стек типа «цепочка» (линейная топология) § Каждое устройство соединено с вышележащим и нижележащим. Самый верхний и самый нижний коммутаторы не соединяются.

Типы интерфейсов коммутаторов Наиболее распространенными интерфейсами, реализуемыми в коммутаторах, являются фиксированные интерфейсы с разъемом 8 P 8 C (RJ-45) на основе витой пары, поддерживающие технологию Fast или Gigabit Ethernet, автосогласование скоростей, полудуплексного или дуплексного режима работы и автоматического определения полярности витой пары MDI/MDIX. Для обеспечения большей гибкости в выборе типа подключения, многие коммутаторы оборудованы специальными слотами для установки компактных сменных интерфейсных модулей: § GBIC (Gigabit Interface Converter); § SFP (Small Form Factor Pluggable); § SFP+ (Enhanced Small Form Factor Pluggable); § XFP (10 Gigabit Small Form Factor Pluggable).

Типы интерфейсов коммутаторов Стандарт Тип кабеля Расстояние передачи (м) 10 BASE-T Кабель на основе витой пары категории 3 или 5 100 BASE-TX Кабель на основе витой пары категории 5 100 BASE-FX Многомодовый оптический кабель 412 (полудуплекс) 2000 (дуплекс) 100 BASE-BX 10 Одноволоконный одномодовый оптический кабель (длина волны: 1310 нм восходящий поток, 1550 нм нисходящий) 10 000 100 BASE-LX 10 Одномодовый оптический кабель (длина волны 1310 нм) 10 000 1000 BASE-T Кабель на основе витой пары категории 5, 5 e, 6 или 7 1000 BASE-SX Многомодовый оптический кабель 62. 5/125 микрон/ 50/125 микрон 220/550 1000 BASE-LX Одномодовый оптический кабель Многомодовый оптический кабель 5 000 550 1000 BASE-LX 10 Одномодовый оптический кабель (длина волны 1310 нм) Многомодовый оптический кабель (длина волны 1310 нм) 10 000 550 1000 BASE-BX 10 Одноволоконный одномодовый оптический кабель (длина волны: 1310 нм восходящий поток, 1550 нм нисходящий) 10 000 1000 BASE-ZX Одномодовый оптический кабель (длина волны 1550 нм) 80 000 1000 BASE-LH (Long Haul) Одномодовый оптический кабель 50 000 10 GBASE-CX 4 Экранированный сбалансированный медный кабель 15 10 GBASE-SR Многомодовый оптический кабель 300 10 GBASE-LR Одномодовый оптический кабель 10 000 10 GBASE-ER Одномодовый оптический кабель 40 000

Типы интерфейсов коммутаторов Трансиверы GBIC § GBIC(Gigabit Interface Converter) - самая первая спецификация комитета SFF (SFF 8053) на компактные сменные интерфейсные модули, описывающая конвертеры гигабитного интерфейса. § Модули GBIC поддерживают стандарты Gigabit Ethernet или Fibre Channel для передачи данных, голоса и видео по медным или оптическим кабелям, но преимущественно представляют собой оптические трансиверы для приема или передачи сигнала по многомодовому или одномодовому волокну.

Типы интерфейсов коммутаторов Трансиверы SFP § Трансиверы SFP (Small Form Factor Pluggable) - компактная модификация сменного интерфейса. § Посадочный размер SFP (форм-фактор) определяется величиной медного разъема RJ-45. § Интерфейсы SFP поддерживают Ethernet (на 10, 1000 Мбит/с), SONET/SDH (OC 3/ 12/48 и STM 1/4/16), Fibre Channel (1 и 2 Гбит/с). § Модули могут поддерживать систему цифровой диагностики для мониторинга состояния оптических линий.

Типы интерфейсов коммутаторов Технология WDM (Wavelength Division Multiplexing) Одновременная передача различных информационных сигналов по разным каналам одного волокна. Каждый канал передается на определенной длине волны, отличной от длины волны другого канала. Волоконная линия λ 1 λ 2 Мультиплексор Оптические усилители Демультиплексор

Типы интерфейсов коммутаторов Трансиверы XFP § Оптические трансиверы XFP (10 Gigabit Small Form Factor Pluggable) для волн 850, 1310 и 1550 нм поддерживают 10 GE, 10 Gigabit SONET/SDH, Fibre Channel и еще некоторые высокоскоростные протоколы. § XFP имеют несколько большие размеры, чем трансиверы SFP. § Модули могут поддерживать систему цифровой диагностики для мониторинга состояния оптических линий.

Типы интерфейсов коммутаторов Трансиверы SFP+ § Новое поколение оптических сменных интерфейсных модулей с поддержкой скоростей 10 Гбит/с - трансиверы SFP+. § Требования к модулям SFP+, которые являются расширенной версией SFP, определены в спецификации SFF-8431. § По сравнению с трансиверами XFP, модули SFP+ обладают меньшими габаритными размерами и тепловыделением, что позволяет повысить плотность размещения портов 10 Гбит/с на корпусе телекоммуникационных устройств. § Модули могут поддерживать систему цифровой диагностики для мониторинга состояния оптических линий.

Программное обеспечение коммутаторов предоставляет набор программных сервисов, предназначенных для выполнения различных функций. Системное программное обеспечение располагается во Flash-памяти коммутатора, размер которой, в зависимости от модели, может быть до 32 Мбайт. Большинство производителей предоставляет возможность бесплатного обновления программного обеспечения коммутаторов, по мере появления новых версий с обновленным функционалом.

Общие принципы сетевого дизайна Профессиональный сетевой проект основывается на многих принципах, базовыми из которых являются: § Изучение возможных точек отказа сети; § Определение типа трафика сети; § Анализ доступной полосы пропускания; § Создание сети на базе иерархической или модульной модели.

Трехуровневая иерархическая модель сети Иерархическая модель определяет подход к проектированию сетей и включает в себя три логических уровня: § уровень доступа (access layer); § уровень распределения/агрегации (distribution layer); § уровень ядра (core layer).

Трехуровневая иерархическая модель сети

Трехуровневая иерархическая модель сети Уровень ядра находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Уровень распределения является связующим звеном между уровнями доступа и ядра. Уровень распределения может выполнять следующие функции: § обеспечение маршрутизации, качества обслуживания и безопасности сети; § агрегирование каналов; § переход от одной технологии к другой. Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Уровень выполняет следующие функции: § управление доступом пользователей и политиками безопасности сети; § создание отдельных доменов коллизий (сегментация); § подключение рабочих групп к уровню распределения; § использование технологии коммутируемых локальных сетей.

Принципы коммутации в компьютерных сетях

Функционирование коммутаторов Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста (transparent bridge), который определен стандартом IEEE 802. 1 D. Модель работы прозрачного моста, описанная в IEEE 802. 1 D определяет следующие процессы: § продвижение кадров (Forwarding); § изучение адресов (Learning); § фильтрация кадров (Filtering). Процесс работы алгоритма прозрачного моста начинается с построения таблицы коммутации (Forwarding Data. Base, FDB).

Функционирование коммутаторов

Функционирование коммутаторов локальной сети Как только в таблице коммутации появляется хотя бы одна запись, коммутатор начинает использовать ее для пересылки кадров.

Методы коммутации Первым шагом, который выполняет коммутатор, прежде чем принять решение о передаче кадра, является его получение и анализ содержимого. В коммутаторе может быть реализован один из трех режимов работы, определяющих его поведение при получении кадра: § коммутация с промежуточным хранением (store-and-forward); § коммутация без буферизации (cut-through); § коммутация с исключением фрагментов (fragment-free).

Методы коммутации

Архитектура коммутаторов Понятие коммутирующей матрицы Ø Одним из основных компонентов всего коммутационного оборудования является коммутирующая матрица (Switch fabric). Ø Коммутирующая матрица представляет собой чипсет, соединяющий множество входов с множеством выходов на основе фундаментальных технологий и принципов коммутации. Коммутирующая матрица выполняет три функции: • переключает трафик с одного порта матрицы на другой, обеспечивая их равнозначность; • предоставляет качество обслуживания (Quality of Service, Qo. S); • обеспечивает отказоустойчивость и безопасность при коммутировании.

Архитектура коммутаторов Понятие коммутирующей матрицы Производительность коммутирующей матрицы (Switch capacity) определяется как общая полоса пропускания (bandwidth), обеспечивающая коммутацию без отбрасывания пакетов трафика любого типа (одноадресного, многоадресного, широковещательного). «Неблокирующей» коммутирующей матрицей (non-blocking switch fabric) является такая матрица, у которой производительность и Qo. S не зависят от типа трафика, коммутируемого через матрицу и производительность равна сумме скоростей всех портов: Мбит/с * где N – количество портов, Cpi - максимальная производительность протокола, поддерживаемого i-м портом коммутатора. * Умножение на 2 для дуплексного режима работы.

Архитектура коммутаторов Контроллеры ASIC § Контроллеры ASIC (Application Specific Integrated Circuit) представляют собой быстродействующие и относительно недорогие кремниевые кристаллы, которые предназначены для выполнения определенных операций. § Использование в архитектуре коммутаторов контроллеров ASIC повышает производительность системы, т. к. ASIC выполняет операции аппаратно. § Современные контроллеры ASIC часто содержат на одном кристалле 32 -битные процессоры, блоки памяти, включая ROM, RAM, EEPROM, Flash, и встроенное программное обеспечение. Такие ASIC получили название System-on-a-Chip (So. C).

Архитектура коммутаторов Архитектура коммутирующих матриц Самые распространенные типы архитектур коммутирующих матриц: § архитектура с разделяемой шиной (Shared Bus); § архитектура с разделяемой памятью (Shared Memory); § архитектура на основе коммутационной матрицы (Crossbar architecture).

Архитектура коммутаторов Архитектура с разделяемой шиной

Архитектура коммутаторов Архитектура с разделяемой памятью

Архитектура коммутаторов Архитектура на основе коммутационной матрицы

Характеристики, влияющие на производительность коммутаторов Основными показателями производительность, являются: коммутатора, характеризующими § скорость фильтрации кадров; § скорость продвижения кадров; § пропускная способность; § задержка передачи кадра. Кроме этого немаловажными показателями являются: § тип коммутации; § размер буфера (буферов) кадров; § производительность коммутирующей матрицы; § производительность процессора или процессоров коммутатора; § размер таблицы коммутации. его

Управление потоком Понятие управления потоком Механизм управления потоком (Flow Control) позволяет предотвратить потерю данных в случае переполнения буфера принимающего устройства. § Для управления потоком в полудуплексном режиме обычно используется метод «Обратного давления» (Backpressure). § Для управления потоком в дуплексном режиме используется стандарт IEEE 802. 3 х.

Управление потоком 802. 3 х Согласно стандарту IEEE 802. 3 х управление потоком осуществляется между МАСуровнями с помощью специального кадра-паузы, который автоматически формируется МАС-уровнем принимающего устройства.

Начальная настройка коммутатора

Начальная настройка коммутатора Классификация коммутаторов по возможности управления Коммутаторы локальных и корпоративных сетей можно классифицировать по возможности управления. Существует три категории коммутаторов: • неуправляемые коммутаторы; • настраиваемые коммутаторы.

Начальная настройка коммутатора Классификация коммутаторов по возможности управления Ø Неуправляемые коммутаторы не поддерживают управления и обновления программного обеспечения. возможности Ø Управляемые коммутаторы являются сложными устройствами, поддерживающими расширенный набор функций 2 и 3 уровня модели OSI. Управление коммутаторами может осуществляться посредством Webинтерфейса, командной строки (CLI), протокола SNMP, Telnet, SSH и т. д. Ø Настраиваемые коммутаторы занимают промежуточную позицию между ними. Они предоставляют пользователям возможность настраивать ограниченный набор параметров коммутации с помощью Web-интерфейса, упрощенного интерфейса командной строки и протокола SNMP.

Начальная настройка коммутатора Средства управления коммутаторами К основным средствам управления и мониторинга относятся: § Web-интерфейс управления; § Интерфейс командной строки (Command Line Interface, CLI); § Telnet; § SNMP-управление.

Начальная настройка коммутатора Подключение к коммутатору Существуют два типа кабельного соединения, используемых для управления коммутатором: § через консольный порт (если он имеется у устройства); § через порт Ethernet (по протоколу Telnet или через Web-интерфейс).

Начальная настройка коммутатора Подключение к консоли интерфейса командной строки коммутатора § После подключения к консольному порту коммутатора, на персональном компьютере необходимо запустить программу эмуляции терминала VT 100 (например, программу Hyper. Terminal в Windows). § В программе необходимо установить следующие параметры подключения, которые, как правило, указаны в документации к устройству: Скорость (бит/с): 9600 или 115200* Биты данных: 8 Четность: нет Стоповые биты: 1 Управление потоком: нет * Этот параметр зависит от модели коммутатора и указывается в руководстве пользователя.

Начальная настройка коммутатора Первоначальное окно консоли* При соединении коммутатора с консолью появится следующее окно (только для коммутаторов, имеющих поддержку интерфейса командной строки CLI): *здесь и далее приведены примеры настройки для коммутатора D-Link DES-3528

Начальная настройка коммутатора Вызов помощи по командам Чтобы вывести на экран список всех команд данного уровня в командной строке необходимо набрать «? » и нажать клавишу «Enter» :

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 1. Создание учетных записей для пользователей. Создавая учетную запись для пользователя, можно задать один из следующих уровней привилегий: Admin, Operator или User. Учетная запись Admin имеет наивысший уровень привилегий.

Начальная настройка коммутатора Базовая конфигурация коммутатора Создать учетную запись пользователя можно с помощью следующей команды CLI: create account [admin | operator | user] <username 15> Далее появится приглашение для ввода пароля и подтверждения ввода: Enter a case-sensitive new password: Enter the new password again for confirmation:

Начальная настройка коммутатора Базовая конфигурация коммутатора Пример создания учетной записи с уровнем привилегий «admin» и именем пользователя (Username) «dlink» : DES-3528#create account admin dlink Command: create account admin dlink Enter a case-sensitive new password: **** Enter the new password again for confirmation: **** Success.

Начальная настройка коммутатора Базовая конфигурация коммутатора Изменить пароль для пользователя с существующей учетной записью, можно с помощью команды: config account <username> {encrypt [plain_text|sha_1] <password>} Ниже приведен пример создания на коммутаторе DES-3528 нового пароля для учетной записи dlink: DES-3528#config account dlink Command: config account dlink Enter a old password: **** Enter a case-sensitive new password: **** Enter the new password again for confirmation: **** Success

Начальная настройка коммутатора Базовая конфигурация коммутатора Проверить созданную учетную запись можно с помощью команды: show account Пример выполнения этой команды: DES-3528#show account Command: show account Current Accounts: Username -------dlink Total Entries: 1 Access Level ------Admin

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 2. Настройка даты и времени необходима для правильного отображения информации в журналах регистрации коммутаторов (Log files), проведения аудита работы сети, мониторинга сети и т. п. § Проверить время можно при помощи команды show time § Ввести новую дата и время можно при помощи команды config time 15022012 16: 45: 00 § Установить часовой пояс Новосибирска (GMT +6: 00) можно при помощи команды: config time_zone operator + hour 6 min 0

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 3. Настройка IP-адреса на коммутаторе необходима для возможности управлять устройством по сети через Web-интерфейс или протокол Telnet. При этом сетевой адрес коммутатора должен принадлежать той подсети, из которой осуществляется управление. IP-адрес может быть задан автоматически с помощью протоколов DHCP или BOOTP или статически, с помощью следующих команд CLI: config ipif System dhcp config ipif System ipaddress xxx/yyy. yyy где xxx – IP-адрес, yyy – маска подсети, System – имя управляющего интерфейса коммутатора.

Начальная настройка коммутатора Базовая конфигурация коммутатора Пример присвоения IP-адреса управляющему интерфейсу на коммутаторе DES-3528: DES-3528#config ipif System ipaddress 192. 168. 100. 240/255. 0 Command: config ipif System ipaddress 192. 168. 100. 240/24 Success. Проверить правильность настройки IP-адреса коммутатора можно с помощью команды: show ipif

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 4. Настройка параметров портов коммутатора. Для установки параметров портов на коммутаторах D-Link используется команда config ports Пример использования команды: DES-3528#config ports 1 -3 speed 10_full learning enable state enable flow_control enable Command: config ports 1 -3 speed 10_full learning enable state enable flow_control enable Success Проверить настройки параметров портов можно с помощью команды: show ports <список портов>

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 5. Сохранение текущей конфигурации коммутатора в энергонезависимую память NVRAM. Активная конфигурация хранится в оперативной памяти SDRAM. При отключении питания, конфигурация, хранимая в этой памяти, будет потеряна. Для того чтобы сохранить конфигурацию в энергонезависимой памяти NVRAM, необходимо выполнить команду save DES-3528#save Command: save Saving all settings to NV-RAM………. Done

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 6. Перезагрузка коммутатора с помощью команды reboot. DES-3528#reboot Command: reboot Are you sure you want to proceed with the system reboot? (y/n) Please wait, the switch is rebooting. . . Сброс настроек коммутатора к заводским установкам выполняется с помощью команды reset {[config | system]} {force_agree} Если в команде не будет указано никаких ключевых слов, то все параметры, за исключением IP-адреса, учетных записей пользователей и Log-файла, будут возвращены к заводским параметрам по умолчанию.

Начальная настройка коммутатора Базовая конфигурация коммутатора Шаг 7. Просмотр конфигурации коммутатора. Получить информацию о коммутаторе (посмотреть его текущую конфигурацию) можно с помощью команды show switch

Начальная настройка коммутатора DES-3528#show switch Command: show switch Device Type : DES-3528 Fast Ethernet Switch MAC Address : 00 -1 E-58 -50 -15 -10 IP Address : 192. 168. 100. 241 (Manual) VLAN Name : default Subnet Mask : 255. 0 Default Gateway : 0. 0 Boot PROM Version : Build 1. 00. B 007 Firmware Version : Build 2. 20. B 028 Hardware Version : A 1 Serial Number : P 1 UM 186000004 System Name : System Location : System Contact : Spanning Tree : Disabled GVRP : Disabled IGMP Snooping : Disabled MLD Snooping : Disabled VLAN Trunk : Disabled TELNET : Enabled (TCP 23) WEB : Enabled (TCP 80) SNMP : Disabled SSL Status : Disabled

Начальная настройка коммутатора Команды «Show» являются удобным средством проверки состояния и параметров коммутатора, предоставляя информацию, требуемую для мониторинга и поиска неисправностей в работе коммутаторов. На следующем слайде приведен список наиболее общих команд «Show» .

Начальная настройка коммутатора Варианты команды «show» show config эта команда используется для отображения конфигурации, сохраненной в NV RAM или созданной в текущий момент show fdb эта команда используется для отображения текущей таблицы коммутации show switch эта команда используется для отображения общей информации о коммутаторе show device_status эта команда используется для отображения состояния внутреннего и внешнего питания коммутатора show error ports эта команда используется для отображения статистики об ошибках для заданного диапазона портов show firmware information эта команда используется для отображения информации о программном обеспечении коммутатора (прошивке) show ipif эта команда используется для отображения информации о настройках IP-интерфейса на коммутаторе

Начальная настройка коммутатора Варианты команды «show» show packet ports эта команда используется для отображения статистики о переданных и полученных портом пакетах show log эта команда используется для просмотра Log-файла коммутатора

Начальная настройка коммутатора Подключение к Web-интерфейсу управления коммутатора § Web-интерфейс управления состоит из дружественного пользовательского графического интерфейса (GUI), запускающегося на клиенте, и НТТР-сервера, запускающегося на коммутаторе. § Связь между клиентом и сервером обычно осуществляется через TCP/IP соединение с номером порта НТТР равным 80.

Начальная настройка коммутатора Подключение к Web-интерфейсу управления коммутатора При первом подключении к НТТР-серверу на коммутаторе, необходимо выполнить следующие шаги: 1) Проверить, что IP-адрес компьютера, с которого осуществляется управление, принадлежит той же подсети, что и IP-адрес коммутатора. 2) На компьютере запустить Web-браузер, в адресной строке которого ввести IP-адрес интерфейса управления коммутатора по умолчанию (обычно он указывается в руководстве пользователя). 3) В появившемся окне аутентификации, поля User name и Password необходимо оставить пустыми и нажать кнопку OK.

Начальная настройка коммутатора Web-интерфейс управления Условно пользовательский интерфейс можно разделить на 3 области: § Область 1 содержит список папок, объединяющих семейство функций, предназначенных для выполнения той или иной задачи. § Область 2 представляет собой графическое изображение передней панели коммутатора в режиме реального времени. § В Области 3 Web-интерфейса появляется окно, предназначенное для ввода и/или выбора данных при открытии одной из папок или выборе функции в Области 1.

Начальная настройка коммутатора Web-интерфейс управления ОБЛАСТЬ 2 ОБЛАСТЬ 3 ОБЛАСТЬ 1

Начальная настройка коммутатора Загрузка нового программного обеспечения в коммутатор Новое программное обеспечение (его иногда называют «прошивкой» коммутатора) загружается в коммутатор с помощью протокола TFTP (Trivial File Transfer Protocol). Для загрузки ПО на коммутатор необходимо: § В рабочую папку, установленного на рабочую станцию сервера TFTP, необходимо поместить новое программное обеспечение; § Сервер TFTP должен быть включен и находиться в той же IP-подсети, что и коммутатор, если в сети не настроена маршрутизация. ВАЖНО! В процессе обновления ПО нельзя выключать питание коммутатора.

Начальная настройка коммутатора Загрузка нового программного обеспечения в коммутатор § Некоторые модели управляемых коммутаторов D-Link могут хранить в памяти две версии прошивки, что позволяет обеспечить работоспособность устройства в случае проблем с одной из них. § Пользователи могут указать, какая из прошивок будет загружаться при старте коммутатора.

Начальная настройка коммутатора Загрузка нового программного обеспечения в коммутатор Для загрузки прошивки в коммутатор используется следующая команда (здесь приводится синтаксис коммутатора модели DES-3528; синтаксис команды в других моделях коммутаторов может отличаться): download firmware_from. TFTP <ipaddr> <path_filename 64> {image_id <int 1 -2>} В качестве параметров команды надо указать: § IP-адрес сервера TFTP; § путь к загружаемому файлу и его имя (можно не указывать полный путь к файлу, если он находится в рабочей директории TFTP-сервера); § идентификатор загружаемой при старте прошивки. Пример команды: DES-3528#download firmware_from. TFTP 10. 48. 74. 121 3528. had image_id 1

Начальная настройка коммутатора Другие команды конфигурирования ПО Посмотреть информацию о хранимых в памяти коммутатора прошивках можно с помощью команды: show firmware information Изменить номер, загружаемой при старте коммутатора прошивки, можно командой: config firmware image_id <int 1 -2> boot_up Удалить файл ПО коммутатора можно с помощью команды: config firmware image_id <int 1 -2> delete

Начальная настройка коммутатора Загрузка и резервное копирование конфигурации коммутатора Управляемые коммутаторы позволяют осуществлять загрузку и резервное копирование конфигурации на TFTP-сервер. Для загрузки конфигурации на коммутатор используется следующая команда: download cfg_from. TFTP <ipaddr> <path_filename 64> В качестве параметров команды надо указать IP-адрес сервера TFTP, путь к загружаемому файлу конфигурации, его имя. Для сохранения текущей конфигурации на TFTP-сервере, необходимо выполнить команду: upload cfg_to. TFTP <ipaddr> <path_filename 64>

Виртуальные локальные сети (VLAN)

Понятие VLAN Виртуальная локальная сеть (Virtual Local Area Network, VLAN) - логическая группа узлов компьютерной сети трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Преимущества использования VLAN: § Облегчается перемещение, добавление узлов и изменение их соединений друг с другом; § Достигается большая степень административного контроля над сетевыми узлами и трафиком; § Повышается безопасность сети; § Уменьшается потребление полосы пропускания по сравнению с ситуацией одного широковещательного домена; § Сокращается неэффективное использование CPU коммутаторов за счет сокращения пересылки широковещательных сообщений; § Предотвращаются широковещательные штормы и сетевые петли.

Понятие VLAN Физическая сегментация сети

Понятие VLAN Логическая сегментация сети с помощью VLAN

Типы VLAN В коммутаторах могут быть реализованы следующие типы VLAN: § на основе портов; § на основе стандарта IEEE 802. 1 Q; § на основе стандарта IEEE 802. 1 ad (Q-in-Q VLAN); § на основе портов и протоколов IEEE 802. 1 v; § на основе MAC-адресов; § асимметричные. Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например функция Traffic Segmentation.

VLAN на основе портов (Port-based VLAN) При использовании VLAN на основе портов (Port-based VLAN), каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Конфигурация портов статическая и может быть изменена только вручную.

VLAN на основе портов (Port-based VLAN) Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень модели OSI.

VLAN на основе стандарта IEEE 802. 1 Q Виртуальные локальные сети, построенные на основе стандарта IEEE 802. 1 Q, используют дополнительные поля кадра Ethernet для хранения информации о принадлежности к VLAN при его перемещении по сети. Можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и между несколькими коммутаторами с поддержкой стандарта IEEE 802. 1 Q. Кадры разных VLAN могут распространяться через множество 802. 1 Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, Trunk Link).

VLAN на основе стандарта IEEE 802. 1 Q Основные определения IEEE 802. 1 Q § Tagging (Маркировка кадра): процесс добавления информации о принадлежности к 802. 1 Q VLAN в заголовок кадра. § Untagging (Извлечение тега из кадра): процесс извлечения информации о принадлежности к 802. 1 Q VLAN из заголовка кадра. § VLAN ID (VID): идентификатор VLAN. § Port VLAN ID (PVID): идентификатор порта VLAN. § Ingress port (Входной порт): порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN. § Egress port (Выходной порт): порт коммутатора, с которого кадры передаются на другие сетевые устройства – коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке.

VLAN на основе стандарта IEEE 802. 1 Q Маркированные и немаркированные порты Tagged (маркированный) порт: § сохраняет тег 802. 1 Q в заголовках всех выходящих через него маркированных кадров и добавляет тег в заголовки всех выходящих через него немаркированных кадров. Untagged (немаркированный) порт: § извлекает тег 802. 1 Q из заголовков всех выходящих через него маркированных кадров; § обычно используется для подключения конечных устройств.

VLAN на основе стандарта IEEE 802. 1 Q Тег VLAN 802. 1 Q К кадру Ethernet добавлены 32 бита (4 байта), которые увеличивают его размер до 1522 байт. VID (VLAN ID): 12 -ти битный идентификатор VLAN определяет какой VLAN принадлежит трафик.

VLAN на основе стандарта IEEE 802. 1 Q Идентификатор порта VLAN (PVID) • Каждый физический порт коммутатора идентификатор порта VLAN (PVID). • Идентификатор PVID определяет, в какую VLAN коммутатор направит немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт. • Всем немаркированным кадрам присваивается идентификатор равный PVID порта, на который они были приняты. • Если на коммутаторе не настроены VLAN, то все порты по умолчанию входят в одну VLAN с PVID = 1. имеет параметр, называемый

VLAN на основе стандарта IEEE 802. 1 Q Правила VLAN 802. 1 Q: § Правила входящего трафика (ingress rules): правила классификации получаемых кадров относительно принадлежности к VLAN; § Правила продвижения между портами (forwarding rules): принимается решение о продвижении или отбрасывании кадра; § Правила исходящего трафика (egress rules): определяется, нужно ли сохранять в заголовке кадра тег 802. 1 Q перед его передачей или нет.

VLAN на основе стандарта IEEE 802. 1 Q Правила входящего трафика

VLAN на основе стандарта IEEE 802. 1 Q Правила исходящего трафика

VLAN на основе стандарта IEEE 802. 1 Q Входящий немаркированный кадр 802. 1 Q § Предположим, что PVID порта 4 равен 2. § Входящему немаркированному кадру будет добавлен тег с VID равным PVID порта 4. § Порт 5 – маркированный порт VLAN 2. § Порт 7 – немаркированный порт VLAN 2. § Полученный кадр передается через порты 5 и 7. Немаркированный порт VLAN 2 (PVID = 2) Порт 1 Порт 2 Маркированный порт VLAN 2 (VID = 2) Порт 3 Data SA DA Коммутатор 802. 1 Q Порт 6 Внутри коммутатора немаркированному кадру будет добавлен тег 802. 1 Q с VID=2 Порт 7 Порт 8 Немаркированный порт VLAN 2 (PVID = 2) Порт 5 CRC Порт 4 Немаркированный кадр

VLAN на основе стандарта IEEE 802. 1 Q Передача немаркированного кадра через маркированный порт и немаркированный порты Порт 2 Маркированный порт VLAN 2 (VID = 2) Порт 3 Коммутатор 802. 1 Q (Внутри коммутатора все кадры маркированные) Порт 5 Порт 4 Немаркированный порт VLAN 2 (PVID = 2) Порт 1 Маркированный кадр CRC* Порт 6 Порт 7 Порт 8 При выходе через маркированный порт в кадре будет сохранен тег 802. 1 Q Data Tag SA DA *Вычисляется повторно CRC Немаркированный порт VLAN 2 (PVID = 2) 8100 Priority CFI VID = 2 Data 16 бит 3 бита 1 бит 12 бита SA DA При выходе через немаркированный порт из кадра будет удален тег 802. 1 Q VID связан с PVID входного порта Поля Priority – пользовательский приоритет (802. 1 p) CFI – индикатор канонического формата VID – идентификатор VLAN

VLAN на основе стандарта IEEE 802. 1 Q Входящий маркированный кадр 802. 1 Q § Предположим, что входящий кадр маркированный с VID равным 2. § Порт 5 – маркированный порт VLAN 2. § Порт 7 – немаркированный порт VLAN 2. § Полученный кадр передается через порты 5 и 7. Немаркированный порт VLAN 2 (PVID = 2) Порт 1 Порт 2 Маркированный порт VLAN 2 (VID = 2) Порт 3 Data Tag SA DA Коммутатор 802. 1 Q Порт 6 Внутри коммутатора кадр не изменится Порт 7 Порт 8 Немаркированный порт VLAN 2 (PVID = 2) Порт 5 CRC Порт 4 Маркированный кадр

VLAN на основе стандарта IEEE 802. 1 Q Передача маркированного кадра через маркированный порт и немаркированный порты Порт 2 Маркированный порт VLAN 2 (VID = 2) Порт 3 Коммутатор 802. 1 Q (Внутри коммутатора все кадры маркированные) Порт 5 Порт 4 Немаркированный порт VLAN 2 (PVID = 2) Порт 1 Маркированный кадр CRC Порт 6 Порт 7 CRC* Немаркированный порт VLAN 2 (PVID = 2) При выходе через маркированный порт в кадре будет сохранен тег 802. 1 Q Data Tag SA DA Порт 8 *Вычисляется повторно Data 8100 16 бит Priority 3 бита CFI 1 бит VID = 2 12 бита SA DA При выходе через немаркированный порт из кадра будет удален тег 802. 1 Q VID связан с PVID входного порта Поля Priority – пользовательский приоритет (802. 1 p) CFI – индикатор канонического формата VID – идентификатор VLAN

VLAN на основе стандарта IEEE 802. 1 Q Пример настройки VLAN

VLAN на основе стандарта IEEE 802. 1 Q Коммутатор 1 config vlan create vlan config vlan default delete 1 -12 v 2 tag 2 v 3 tag 3 v 2 add untagged 5 -8 v 2 add tagged 1 -2 v 3 add untagged 9 -12 v 3 add tagged 1 -2 Коммутатор 2 config vlan create vlan config vlan default delete 1 -2 v 2 tag 2 v 3 tag 3 v 2 add tagged 1 -2 v 3 add tagged 1 -2 Коммутатор 3 config vlan create vlan config vlan default delete 1 -12 v 2 tag 2 v 3 tag 3 v 2 add untagged 5 -8 v 2 add tagged 1 v 3 add untagged 9 -12 v 3 add tagged 1 Порядок настройки: • Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN. • В созданные VLAN добавить порты и указать, какие из них являются маркированными и немаркированными. Внимание: заводские установки по умолчанию назначают все порты коммутатора в default VLAN с VID = 1. Перед созданием новой VLAN необходимо удалить из default VLAN все порты, которые требуется сделать немаркированными членами новой VLAN.

Статические и динамические VLAN Существуют два основных способа, позволяющих устанавливать членство в VLAN: § Статический: членство устанавливается вручную; § Динамический: членство устанавливается динамически на основе протокола GVRP (GARP VLAN Registration Protocol) или с помощью процедур, описанных в специальных стандартах, например IEEE 802. 1 X. Записи о регистрации в VLAN бывают: статические, динамические или статические + динамические.

Протокол GVRP (GARP VLAN Registration Protocol) § Протокол GVRP определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети. § Протокол GVRP позволяет динамически создавать и удалять VLAN стандарта IEEE 802. 1 Q на магистральных портах коммутаторов, автоматически регистрировать и исключать атрибуты VLAN: o под регистрацией VLAN подразумевается включение порта в VLAN; o под исключением – удаление порта из VLAN. § Протокол GARP (Generic Attribute Registration Protocol) используется для регистрации и отмены регистрации атрибутов VLAN.

Протокол GVRP Пример настройки протокола GVRP Требуется настроить возможность динамического распространения по сети информации о VLAN v 30 с использованием протокола GVRP.

Протокол GVRP Настройка коммутаторов 1, 3 § Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN. config vlan default delete 1 -24 create vlan v 10 tag 10 create vlan v 20 tag 20 create vlan v 30 tag 30 § В созданные VLAN добавить порты, для которых необходимо указать, какие из них являются маркированными и немаркированными. config vlan v 10 add untagged 1 -8 config vlan v 20 add untagged 9 -16 config vlan v 30 add untagged 17 -24 config vlan v 10 add tag 25 -26 config vlan v 20 add tag 25 -26 § Активизировать протокол GVRP и функцию оповещения о соответствующей VLAN (в данном примере VLAN v 30) по сети. config vlan v 30 advertisement enable gvrp config port_vlan 25 -26 gvrp_state enable Настройка коммутатора 2 config create config enable config vlan default delete 1 -24 vlan v 10 tag 10 vlan v 20 tag 20 vlan v 10 add untagged 1 -12 vlan v 20 add untagged 13 -24 vlan v 10 add tagged 25 -26 vlan v 20 add tagged 25 -26 gvrp port_vlan 25 -26 gvrp_state enable

Сегментация трафика Функция Traffic Segmentation (сегментация трафика) служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов или магистрали сети. Следующая конфигурация позволяет клиенту, подключенному к порту 1 отправлять/получать трафик от клиентов, подключенных к портам 1 -14 Коммутатор проверяет порт-источник и порт назначения Порт-источник: 1 Порт назначения: 10, Результат: передача трафика через порт назначения. Порт-источник: 1 Порт назначения: 24, Результат: передача трафика запрещена. Коммутатор Передача запрещена! Порт 24 Порт 10 ✕ Данные успешно переданы! Слайд анимирован

Сегментация трафика Преимущества Traffic Segmentation Можно выделить следующие преимущества функции Traffic Segmentation по сравнению с Asymmetric VLAN: § простота настройки; § поддерживается работа IGMP Snooping; § функция Traffic Segmentation может быть представлена в виде иерархического дерева (при иерархическом подходе разделяемые ресурсы должны быть на «вершине» дерева); § нет ограничений на создание количества групп портов. q Функция Traffic Segmentation может использоваться с целью сокращения трафика внутри сетей VLAN 802. 1 Q, позволяя разбивать их на более маленькие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика. Правила Traffic Segmentation применяются после них.

Сегментация трафика Настройка функции Traffic Segmentation. Пример 1 В качестве примера рассмотрим решение задачи совместного использования ресурсов сети разными группами пользователей с использованием функции Traffic Segmentation

Сегментация трафика Настройка коммутатора config traffic_segmentation 1 -8 forward_list 1 -24 config traffic_segmentation 9 -16 forward_list 1 -16 config traffic_segmentation 17 -24 forward_list 1 -8, 17 -24

Сегментация трафика Настройка функции Traffic Segmentation. Пример 2 Используя возможности построения иерархического дерева функции Traffic Segmentation можно решать типовые задачи изоляции портов в сетях с многоуровневой структурой. В данном примере все компьютеры от А до Q, находящиеся в одной IP-подсети, не могут принимать/отправлять пакеты данных другу, но при этом имеют доступ к серверам и Интернет. Все коммутаторы сети поддерживают иерархию Traffic Segmentation.

Сегментация трафика Настройка коммутатора 1 config traffic_segmentation 1 -4 forward_list 1 -26 config traffic_segmentation 5 forward_list 1 -5 config traffic_segmentation 6 forward_list 1 -4, 6 config traffic_segmentation 7 forward_list 1 -4, 7 Настройка коммутаторов 2, 3, 4 config traffic_segmentation 1 forward_list 1 -26 config traffic_segmentation 2 -26 forward_list 1

Спасибо за внимание