Категории: ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника |
Функции управления коммутаторами.· Физическое стекирование · Виртуальное стекирование При физическом стекировании коммутаторы представляют собой одно логическое устройство, передача данных между коммутаторами ведется в полнодуплескном режиме, всем коммутаторам присваивается один ip-адрес, для управления используется командная строка, веб-интерфейс, телнет, протокол SNMP. Ip-адрес присваивается только одному мастеру-коммутатору. Стекирвоание бывает двух типов: кольцевое и линейное. Преимущества кольцевой топологии: · Отказоустойчивость · Определение оптимального пути передачи пакетов · Использование полной полосы пропускания стека В линейной топологии: · Данные передаются в одном направлении · Выход из строя одного коммутатора нарушает работу стека Механизмы стекирования: 1) RMT – обеспечивает непрерывную работу стека при выходе какого-либо устройства из строя, а также при замене, добавлении, удалении коммутаторов и позволяет автоматически назначить нового мастер-коммутатора 2) CDT – позволяет объединить несколько физических портов разных коммутаторов стека в один агрегированный канал 3) Smart Route– позволяет копировать таблицы коммутации, хранимые на мастер-коммутаторе на все устройства стека В стэке каждому коммутатору присваивается определенная роль, она может быть назначена администратором или автоматически. Существует 3 роли: · Основной мастер – является основным устройством стэка, назначает идентификаторы устройства, синхронизирует командные настройки, назначается путем присваивания высшего приоритета или автоматически в процессе выборов. · Резервный мастер – дублирует основной мастер в случае выхода того из строя. · Ведомый (slave) – все остальные коммутаторы в стэке. После того как все коммутаторы будут объединены в стэк, они собирают информацию о соседях: приоритет и мак-адрес. По умолчанию приоритет 32. Основным мастером становится коммутатор с наивысшим приоритетом, если приоритеты равны, то выбирается с наименьшим мак-адресом. Всем остальным, кроме мастеров, будет присвоен порядковый номер Box ID. Технология Single IP Management (SIM) позволяет: · Устранить ограничения на модели коммутаторов, объединяемых в стек · Уменьшить количество управляющих ip-адресов в сети · Устранить необходимость использования специализированных модулей и кабелей, предназначенных для стекирования · Преодолеть ограничения, связанные с длиной кабелей в стеке Виртуальный стек не ограничивается техническими характеристиками при физическом стекировании. Физический стек 6-12 коммутаторов. Виртуальный стек – до 32 коммутаторов. Роли технологии SIM: · Commander Switch – коммутатор, который вручную настраивается администратором сети как управляющее устройство SIM-группы. В SIM-группе может быть только один commander switch. · Member switch – коммутатор, вступивший в SIM-группу и доступный для управления через commander switch. Характеристики: не может быть CS или MS другой SIM-группы, подключен через управляющую vlan · Candidate switch – коммутатор, который готов вступить в SIM-группу. Характеристики: не является членом другой SIM-группы, должен быть подключен commander switch через управляющую vlan
PORT SECURITY, IMPB Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. 3 режима работы: - постоянный; - удалить при истечении времени; - удалить при сбросе настроек. Постоянный. Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен. 2) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены. 3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.
Функция IP-MAC-PORT-BINDING (IMPB) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения. Режимы работы IMPB: - ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом). - - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL. - DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB. Режимы работы порта: - Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом. - Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет. Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP. МНОГОАДРЕСНАЯ РАССЫЛКА, IGMP Многоадресная рассылка. Способы отправки пакетов: · Одноадресная передача –поток данных, передающийся от узла отправителя на индивидуальный ip-адрес конкретного узла получателя · Широковещательная передача – доставка потока данных от узла отправителя множеству узлов получателей, подключенных к сети, используя широковещательный ip-адрес · Многоадресная рассылка – доставка потока данных группе узлов на ip-адрес группы многоадресной рассылки. У этой группы нет географических или физических ограничений. узлы присоединяются к этой группе при помощи IGMP-протокола, после этого пакеты многоадресной рассылки будут содержать в поле назначения заголовка групповой адрес. Многоадресная рассылка использует транспортный протокол UDP. Для многоадресной рассылки выделен диапазон класса D от 224.0.0.0 до 239.255.255.255. От 239.0.0.0 до 239.255.255.255 – это блок административно-ограниченных адресов, данные адреса могут использоваться локально внутри домена. МАК-адреса рассылки бывают индивидуальные и групповые. Для определения типа мак-адреса используется первый бит поля адреса назначения. Если значение бита равно единице, то мак-адрес широковещательный. Мак-адрес групповой рассылки начинаются с префикса 01005Е состоящего из 24 бит, последние 23 бита формируются из младших бит групп ip-адреса. Поскольку при преобразовании теряются 5 бит первого октета ip-адреса, получившийся групповой адрес не будет являться уникальным, ему будут соответствовать 32 ip-адреса групповой рассылки. Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Типы сообщений: · Запрос о принадлежности к группе · Ответ о принадлежности к группе · Сообщение о выходе из группы При передаче многоадресного трафика используются медиа-сервер, посылающий многоадресный поток через все порты на ПК пользователей. Когда коммутатор 2-го уровня получает многоадресный трафик, то он начинает передавать его на все порты. Способы управления коммутатора 2-го уровня при многоадресной рассылки: 1) Создание статических таблиц коммутации для портов, к которым не подключены подписчики многоадресных групп 2) Настройка функции IGMP Snooping – функция второго уровня, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения Пример настройки IGMP Snooping: 1. Глобально активируем функцию IGMP Snooping 2. Активизация IGMP Snooping в указанный vlan 3. Включение фильтрации многоадресного трафика для узлов, не являющихся подписчиками многоадресной рассылки Функция IGMP Snooping Fast Leave –позволяет мгновенно исключить порт из таблицы коммутации IGMP, если получено сообщение о выходе. Настройка аналогична предыдущей, последним этапом добавляется активизация функции Fast Leave в указанный vlan.
SNMP, RMON, PORT MIRRORING Протокол SNMP (Simple Network Management Protocol). Входит в стек протоколов TCP/IP и позволяет администраторам сетей получать информацию о состоянии устройств сети, обнаруживать и исправлять неисправности и планировать развитие сети. Протокол прикл-го кровня OSI. Компоненты SNMP: · SNMP-менеджер – ПО, наблюдающее за сетевыми устройствами и управляющая ими · SNMP-агент – программный модуль для управления сетью, который находится на управляемом сетевом устройстве, обслуживает базу управляющей информации и отвечает на запросы менеджера · База управляющей информации – совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью База управляющей информации описывает структуру управляющей информации устройств и состоят из управляемых объектов. Управляемый объект - это одна из нескольких характеристик управляющего сетью устройства (имя системы, время, количество интерфейсов, IP-адрес). Обращение к управляемым объектам происходит посредством идентификаторов объектов (OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA. Пространство имен OID представлено в виде иерархической структуры с корнем без названия. Идентификаторы верхних уровней отданы организациям, контролирующим стандартизацию, а идент-ры низших уровней определяются этими организациями. Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, и включающих полный путь от корня до управляемого объекта. Производители сетевого оборудования определяют частные ветви пространства имен OID, куда помещают управляемые объекты для своей продукции. D-Link: OID=1.3.6.1.4.1.171 Типы сообщений протокола SNMP: 1. Get Request (UDP 161) – запрос значения одного или нескольких объектов. 2. Get Replay (Set Replay) – получение ответа от агента на сообщения Get Request, Get Next Request или Set Replay. 3. Get Next Request – запрос значения следующего объекта в соответствии с алфавитным порядком идентификаторов OID. 4. Set Request – запрос на изменение значения одного или нескольких объектов. 5. TPAP(‘ловушка’) – используется агентом SNMP для асинхронного сообщения менеджеру SNMP о событии, происходящем на управляемом сетевом устройстве. Безопасность SNMP В данном протоколе предусмотрена аутентификация пользователей, которая выполняется с помощью строки сообщества Community String (CS). CS функционирует подобно паролю, к-ый разрешает удаленному менеджеру SNMP доступ к агенту. И менеджер, и агент должны использовать одинаковые строки, т.к. все пакеты не прошедшие аутентификацию будут отбрасываться. В коммутаторах используется CS по умолчанию: - Public – позволяет авторизированной РС читать (read only) MIB-объекты; - Private – позволяет авторизированной РС читать и изменять MIB-объекты. На коммутаторах можно создавать группы со списком пользователей и настраивать для них общий набор привилегий, кроме этого можно указать версию SNMP(их 3). В зависимости от роста версий увеличивается набор привилегий. При использовании протокола SNMPv3 отдельным пользователем или группам менеджеров м.б. разрешено или запрещено выполнять определенный функции SNMP-управления. Порядок настройки протокола SNMP: 1. Активировать ф-ию глобально на коммутаторе; 2. Удалить строки «CS по умолчанию», а создать свои новые; 3. Задать параметры получателя сообщений ‘Trap’ от агента и активизировать функцию отправки сообщений “Trap”.
RMON(Remoute Monitoring) Разработана сообществом ETF для поддержки мониторинга и анализа протоколов в ЛВС. Первая версия RMON основывается на мониторинге информации сетей Ethernet и TokenRing. Её расширением является вторая версия, которая добавила поддержку мониторинга на сетевом уровне и уровне приложений модели OSI. RMON имеет клиент-серверную архитектуру. Устройства мониторинга называются зондами, на к-х установлено специальное ПО. Зонды выступают в качестве серверов, а приложения сетевого уровня – в качестве клиентов. Взаимодействие зондов со станциями управления сетью осуществляется по протоколу SNMP. Для RMON v1 – 10 групп мониторинга, Для RMON v2 -9. Порядок настройки на коммутаторах(как и для SNMP, но в 1м пункте глобально активируем RMON) PORT MIRRORING – эта функция позволяет копировать кадры, принимаемые и отправляемые портом-источником на целевой порт коммутатора, к которому подключении устройство мониторинга с целью анализа проходящих через порт пакетов. Целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость.
|
|
Последнее изменение этой страницы: 2016-07-22 lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда... |