Міністерство освіти і науки України
Національний університет “Львівська політехніка”
ЗАХИСТ КОМП’ЮТЕРНОГО ТРАФІКУ З ВИКОРИСТАННЯМ VLAN
МЕТОДИЧНІ ВКАЗІВКИ ДО ЛАБОРАТОРНОЇ РОБОТИ № 2
З КУРСУ “КОМП’ЮТЕРНІ МЕРЕЖІ”
для студентів базового напряму
6.170102 “Системи технічного захисту інформації”
Затверджено
на засіданні кафедри
захисту інформації
Протокол № 2 від “11” вересня 2013 р.
Львів 2013
Захист комп’ютерного трафіку з використанням VLAN. Методичні вказівки до лабораторної роботи № 2 з дисципліни “Комп’ютерні мережі” для студентів базових напрямів 6.170102 “Системи технічного захисту інформації ”, Укл.: Березюк Б.М., І.Я.Тишик, –Львів: НУЛП, 2013-23 с.
Укладачі: Б.М. Березюк , к.т.н., доцент
І.Я.Тишик, ст. викладач
Відповідальний за випуск:
В.Б.Дудикевич, д.т.н., професор
Рецензент: В.В. Хома, д.т.н, професор
Мета роботи – ознайомитися зі способами фільтрації комп’ютерного трафіку засобами канального рівня, організації віртуальних локальних мереж в межах локальної мережі та набути практичні навики стосовно конфігурації параметрів відповідного мережного обладнання.
1. Теоретичні відомості
1.1. Принцип роботи комутатора Ethernet
Комутатори Ethernet здійснюють як фізичну, так і логічну структуризацію мережі Ethernet на канальному рівні. Така структуризація дозволяє поділити єдиний домен колізій на кілька менших (сегментація мережі), що підвищує у цілому продуктивність мережі. Даний поділ забезпечується тим, що комутатори передають кадри даних між портами на основі адреси одержувача, включеної в заголовок кожного кадру. Кожен порт комутатора обслуговується спеціалізований процесором ЕРР (Ethernet Packet Procossor), здатним розпізнавати колізії. Комутатор має системний модуль (рис. 1.1), який керує роботою усіма процесорами ЕРР. Системний модуль веде загальну адресну таблицю комутатора і забезпечує керування комутатором.
Рис. 1.1. Типова структура комутатора Ethernet
Кожен з 8 портів обслуговується одним процесором ЕРР. Крім того, комутатор має системний модуль, який координує роботу усіх ЕРР, зокрема веде спільну адресну таблицю комутатора. Для передачі кадрів між портами використовується коммутаційна матриця. Вона функціонує за принципом комутації каналів, з’єднуючи порти комутатора. Для 8 портів матриця може одночасно забезпечити 8 внутрішніх каналів при напівдуплексному режимі портів і 16 – при дуплексному, коли передавач і приймач кожного порта працюють незалежно один від одного.
В комутаторах вузол обміну може будуватися на основі наступних трьох схем: комутаційна матриця, спільна шина, сумісно використовувана багатовходова пам'ять. [1 – 3]. Часто ці три схеми комбінуються на одному комутаторі.
При надходженні кадру у будь-який порт відповідний процесор ЕРР буферизує декілька перших байтів кадру для визначення ним адреси призначення. Після одержання адреси призначення процесор відразу опрацьовує кадр до передачі, не чекаючи надходження залишкових байтів. Такий спосіб передачі кадру без повної буферизації називається комутацією “навиліт” (on-the-fly чи cut-through). Інший спосіб передачі кадру – звичайна обробка кадру з повною буферизацією. Комутація “навиліт” забезпечує вищу продуктивність роботи комутатора у порівнянні з режимом повної буферизації. Однак, комутація на основі повної буферизації дозволяє якісніше відбраковувати некоректні кадри даних [1]. Незважаючи на спосіб передачі кадрів, головною причиною підвищення продуктивності мережі при використанні комутатора є паралельне опрацювання ним декількох кадрів.
Комутатор Ethernet підтримує внутрішню таблицю, яка зв'язує порти з адресами підключених до них пристроїв (табл. 1). Ця таблиця зазвичай створюється в автоматичному режимі засобами комутатора.
Табл. 1. Адресна таблиця комутації
|
MAC - адреса |
Номер порта |
|
A |
1 |
|
B |
2 |
|
C |
3 |
|
D |
4 |
Використовуючи подану таблицю адрес і поміщені в кадр адреси одержувача, комутатор організує віртуальне з'єднання порта відправника з портом одержувача і передає кадр через це з'єднання. На рис. 1.2 вузол А посилає кадр вузлу D. Знайшовши адресу одержувача у своїй внутрішній таблиці, комутатор передає кадр на порт 4.
Віртуальне з’єднання між портами комутатора зберігається протягом передачі одного пакета, тобто для кожного пакета віртуальне з’єднання організується заново на основі адреси одержувача, яка міститься у цьому кадрі.
Оскільки кадр передається тільки на той порт, до якого підключений адресат, решта користувачів (у нашому прикладі – B і C) не отримають цей кадр. Таким чином, комутатори забезпечують у певній мірі безпеку переданого трафіку, що недоступно для стандартних повторювачів Ethernet.
При підключені сегментів мережі, що представляють собою сумісно використовуване середовище передавання даних, порт комутатора повинен працювати у напівдуплексному режимі. Сегмент мережі Ethernet є сумісно використовуваний і може включати пристрої фізичного рівня: концентратори та повторювачі, існування яких комутатор, як пристрій канального рівня, просто не помічає. Такі пристрої як комутатор та маршрутизатор можуть здійснювати фізичну і логічну структуризацію сегменту мережі. Коли до кожного порту комутатора підключений не сегмент, а лише один комп’ютер, то порт може працювати як у напівдуплексному, так і в дуплексному режимі залежно від стандарту фізичного рівня та відповідного режиму роботи мережевого адаптера комп’ютера. Такий двохточковий канал називається мікросегментом.
При напівнодуплексному режимі роботи порт комутатора розпізнає колізії. У мікросегменті доменом колізії буде ділянка мережі, яка включає передавач комутатора, приймач комутатора, передавач мережевого адаптера комп’ютера, приймач мережевого адаптера комп’ютера і дві виті пари, які з’єднують передавачі з приймачами.
Рис. 1.2. Адресація з використанням таблиці комутації комутатора Ethernet
Колізія виникає, коли передавачі порта комутатора і мережевого адаптера одночасно, або майже одночасно починають передачу своїх кадрів у спільному сегменті. Така ситуація, як правило, виникає при використанні технології Ethernet із застосуванням випадкового методу доступу до середовища передавання даних. Слід врахувати, що ймовірність виникнення колізії у мікросегменті набагато менша, у порівнянні зі сегментом, який налічує 20-30 вузлів. При цьому максимальна продуктивність мікросегмента Ethernet в 14880 кадрів на секунду при мінімальній довжині кадру поділяється між передавачем порта комутатора і передавачем мережевого адаптера. Якщо врахувати, що вона поділяється навпіл, то кожному надається можливість передавати приблизно по 7440 кадрів на секунду.
При дуплексному режимі роботи одночасна передача даних передавачем порта комутатора і мережевого адаптера колізією не рахується. У цьому випадку дуплексний режим повинен підтримуватись одночасно мережевим адаптером комп’ютера та портом комутатора. При дуплексному зв’язку порти Ethernet можуть передавати дані з швидкістю 20 Мбіт/с – по 10 Мбіт/с в кожному напрямку.
Сучасні комутатори Ethernet можуть комплектуватися інтерфейсами для локальних мереж FastEthernet (100Base-TX, 100Base-T4, 100Base-F.), GigabitEthernet (1000Base-T, F) та 10GigabitEthernet [1-5]. Крім того, у відповідності зі специфікаціями ІЕЕЕ 802.1Н і RFC 1042 комутатори можуть виконувати трансляцію одного протоколу канального рівня в інший.
У тих локальних мережах, де технології і обладнання реалізують функції лише першого і другого рівнів моделі ISO/OSI (фізичний та канальний), проблема використання альтернативних шляхів має свою специфіку: базові протоколи не підтримують топології зв’язку типу дерева, які мають замкнутий контур.
Для автоматичного переводу у резервний стан усіх альтернативних зв’язків, що не вписуються у топологію дерева, в локальних мережах використовується алгоритм покриваючого дерева (Spanning Tree Algorithm, STA) і реалізуючий його протокол STA. Алгоритм покриваючого дерева включений у специфікацію 802.1D, і широко використовується в комутаторах. Алгоритм STA дозволяє без застосування маршрутизаторів лише на основі комутаторів будувати локальні мережі, які за рахунок надлишкових з’єднань мають високу надійність.
Алгоритм STA забезпечує побудову топології покриваючого дерева з єдиним шляхом мінімальної довжини від кожного комутатора і від кожного сегменту до деякого виділеного кореневого комутатора – коріння дерева. Єдиний шлях гарантує відсутність петель, а мінімальна віддаль – раціональність маршрутів надходження трафіку від периферії мережі до її магістралі, роль якої виконує кореневий комутатор.
Виробники обладнання, як правило, реалізують алгоритм STA в комутаторах, призначених для тих частин мережі, до яких пред’являються підвищені вимоги щодо надійності – в магістральних комутаторах, а також в комутаторах відділів і великих робочих груп. Нині реалізовані чисельні нестандартні версії STA, які дозволяють скоротити час реконфігурації за рахунок ускладнення алгоритму, наприклад додавання нових типів службових повідомлень. Стандартна пришвидшена версія STA включення у специфікацію IEEE 802.1w.
Великі локальні мережі, побудовані на основі лише пристроїв фізичного та канального рівня мають суттєві обмеження: логічні сегменти мережі, розташовані між комутаторами, слабо ізольовані один від одного, а саме не захищені від “широкомовного шторму”; достатньо складно вирішується задача фільтрації трафіку на основі даних, які містяться в пакеті; недостатньо гнучка, однорівнева система адресації, обумовлена МАС-адресою у якості адреси призначення, жорстко зв’язаної з мережевим адаптером.
Наявність вказаних обмежень у протоколах канального рівня показує, що побудова на основі засобів цього рівня великих неоднорідних мереж є досить проблематичним. Єдиним рішенням у таких випадках є застосування засобів мережевого рівня.