L08-СетиТК( STP,VLAN,Channel_FEC_GEC)
.pdfНастройка безопасности сети
http://support.euro.dell.com/support/edocs/network/pc6024/ru/ug/configud.htm#1240883
Проверка подлинности на основе порта (802.1x)
•обеспечивает проверку подлинности пользователей на основе портов через внешний сервер. Проверка подлинности портов выполняется с помощью сервера
RADIUS, использующего протокол EAP (Extensible
Authentication Protocol).
•Сеть 802.1x состоит из трех компонентов, указанных ниже.
–Удостоверения - определяет порт, для которого выполняется проверка подлинности перед разрешением доступа к системе.
–Просители - указывает хост, подключенный к проверенному порту, запрашивающему доступ к службам системы.
–Сервер проверки подлинности - указывает внешний сервер, например сервер RADIUS, который выполняет проверку подлинности от имени администратора, а также указывает, может ли пользователь получить доступ к службам системы.
Настройка безопасности сети
http://support.euro.dell.com/support/edocs/network/pc6024/ru/ug/configud.htm#1240883
Проверка подлинности на основе порта (802.1x)
•формирует два состояния доступа.
–Controlled Access (Управляемый доступ) - разрешает связь между пользователем и системой, если пользователь прошел проверку
–Uncontrolled Access (Неконтролируемый доступ) - разрешает неконтролируемый обмен данными независимо от состояния порта
Расширенная проверка подлинности на основе порта
•позволяет нескольким хостам подключаться к одному порту.
•требует авторизации только одного хоста, чтобы доступ к системе имели все хосты
•если порт не проходит авторизацию, всем подключенным хостам будет отказано в доступе к сети.
Настройка безопасности сети
http://support.euro.dell.com/support/edocs/network/pc6024/ru/ug/configud.htm#1240883
Расширенная проверка подлинности на основе порта
•позволяет использовать проверку подлинности на основе группы VLAN
•Определенные группы VLAN в коммутаторе всегда являются доступными, даже если порты, подключенные к группе VLAN, не прошли авторизацию
–Например, для передачи голоса по IP не требуется проверка подлинности, а для трафика передачи данных требуется
•Можно определить группы VLAN, для которых не требуется проверка подлинности.
–Непрошедшие проверку группы VLAN доступны для пользователей, даже если порты, подключенные к группе VLAN, определены как проверенные.
–Расширенная проверка подлинности на основе порта реализована в следующих режимах.
–Single Host Mode (Режим одного хоста) - разрешает доступ к порту только проверенному хосту.
Настройка безопасности сети
http://support.euro.dell.com/support/edocs/network/pc6024/ru/ug/configud.htm#1240883
Расширенная проверка подлинности на основе порта
•реализована в следующих режимах.
–Single Host Mode (Режим одного хоста) - разрешает доступ к порту только проверенному хосту.
–Multiple Host Mode (Режим нескольких хостов) - позволяет нескольким хостам подключаться к одному порту.Требуется авторизация только одного хоста, чтобы доступ к сети имели все хосты. В случае неудачной проверки подлинности хоста или появления сообщения выхода EAPOL доступ запрещается для всех подключенных клиентов.
Содержание
•VLAN
•Trunk
•Аспекты высокоскоростного Ethernet
IEEE 802.3 (2002)
•последняя версия of IEEE 802.3 определяет
–операции для 10, 100 и 1000 Mbit/s Ethernet
–полный дуплексный Ethernet
–автопереговоры
–управление потоком данных
•все это обратно совместимо со старой версией Ethernet
–CSMA/CD (полудуплексная) операция в 100 и 1000 Mbit/s Ethernet с
многопортовым возможным повторителем
–разрывание кадра (frame bursting ) или расширение (продление) несущей для того, чтобы гарантировать требуемый слот (slot-time) для 1000 Mbit/s Ethernet
•IEEE 802.3ae спецификация (2004)
–10 Гбит/с по оптике
•IEEE 802.3aк спецификация (2006)
–10 Гбит/с по меди
Дуплексный режим
•дуплексный режим возможен на двухточечных связях
–кроме 100BaseT4 (Кат 3 кабеля) и 100BaseVG, которые могут работать только в полудуплексном режиме
–обратить внимание: 10Base2 и 10Base5 разделяют среду связи и по умолчанию полудуплекс
•если сетевая станция связана с коммутатором Ethernet по двухточечной связь(ссылку)
–В CSMA/CD нет необходимости и этот режим может быть выключен
•теперь сетевая станция может
–послать кадры немедленно (без прослушивания среды) используя одну пару (проводов) для передачи и, одновременно, другую пару проводов для приема
Управление потоком
•Требования к скорости работы коммутатора очень высоки
–особенно в полном дуплексе
–даже мощные коммутаторы не могут избежать переполнения буферов
–ранее, высокий трафик вызвал столкновения и CSMA/CD прерывал передачу в этих ситуациях, теперь высокий трафик нормален
•L4 управление потоком данных (например, TCP) между конечными системами не достаточно эффективно (целесообразно) для локальной сети
–коммутаторы должны уметь избегать буферного переполнения
•поэтому управление потоком данных специфицировано на МАС подуровне L2
–" МАС протокол управления " и команда “Pause”
Кадр МАС-управление
Идентифицирован среди других кадров, установкой в поле Length 8808h
Всегда 64 байта
MAC-ctrl opcode (Код операции МАС-управления) ........... определяет функцию кадра управления
MAC-ctrl parameters (Параметры МАС-управления) .... управляют данными параметра; всегда регистрируемый до 44 байтов, используя нулевые байты в случае необходимости
В настоящее время только функция "паузы" доступна (код операции 0x0001)
Команда «Пауза» (1)
•При получении команды паузы
–Станция прекращает посылать нормальные кадры в течение заданного времени, которое определено в поле параметра MACcontrol
•Это время паузы - множитель времени слота
–4096 времен передачи бита при использовании Ethernet Гигабита или 512 времен передачи бита с обычным 802.3
•Приостановленная станция ждет
–пока время паузы не истекает, или дополнительный кадр MACcontrol прибывает со временем паузы = 0
–обратить внимание: приостановленным станциям все еще позволяют послать MAC-control-кадры (чтобы избежать блокирования из локальной сети)