Функции управления коммутаторами.

· Физическое стекирование

· Виртуальное стекирование

При физическом стекировании коммутаторы представляют собой одно логическое устройство, передача данных между коммутаторами ведется в полнодуплескном режиме, всем коммутаторам присваивается один ip-адрес, для управления используется командная строка, веб-интерфейс, телнет, протокол SNMP. Ip-адрес присваивается только одному мастеру-коммутатору.

Стекирвоание бывает двух типов: кольцевое и линейное.

Преимущества кольцевой топологии:

· Отказоустойчивость

· Определение оптимального пути передачи пакетов

· Использование полной полосы пропускания стека

В линейной топологии:

· Данные передаются в одном направлении

· Выход из строя одного коммутатора нарушает работу стека

Механизмы стекирования:

1) RMT – обеспечивает непрерывную работу стека при выходе какого-либо устройства из строя, а также при замене, добавлении, удалении коммутаторов и позволяет автоматически назначить нового мастер-коммутатора

2) CDT – позволяет объединить несколько физических портов разных коммутаторов стека в один агрегированный канал

3) Smart Route– позволяет копировать таблицы коммутации, хранимые на мастер-коммутаторе на все устройства стека

В стэке каждому коммутатору присваивается определенная роль, она может быть назначена администратором или автоматически. Существует 3 роли:

· Основной мастер – является основным устройством стэка, назначает идентификаторы устройства, синхронизирует командные настройки, назначается путем присваивания высшего приоритета или автоматически в процессе выборов.

· Резервный мастер – дублирует основной мастер в случае выхода того из строя.

· Ведомый (slave) – все остальные коммутаторы в стэке.

После того как все коммутаторы будут объединены в стэк, они собирают информацию о соседях: приоритет и мак-адрес. По умолчанию приоритет 32. Основным мастером становится коммутатор с наивысшим приоритетом, если приоритеты равны, то выбирается с наименьшим мак-адресом. Всем остальным, кроме мастеров, будет присвоен порядковый номер Box ID.

Технология Single IP Management (SIM) позволяет:

· Устранить ограничения на модели коммутаторов, объединяемых в стек

· Уменьшить количество управляющих ip-адресов в сети

· Устранить необходимость использования специализированных модулей и кабелей, предназначенных для стекирования

· Преодолеть ограничения, связанные с длиной кабелей в стеке

Виртуальный стек не ограничивается техническими характеристиками при физическом стекировании. Физический стек 6-12 коммутаторов. Виртуальный стек – до 32 коммутаторов.

Роли технологии SIM:

· Commander Switch – коммутатор, который вручную настраивается администратором сети как управляющее устройство SIM-группы. В SIM-группе может быть только один commander switch.

· Member switch – коммутатор, вступивший в SIM-группу и доступный для управления через commander switch. Характеристики: не может быть CS или MS другой SIM-группы, подключен через управляющую vlan

· Candidate switch – коммутатор, который готов вступить в SIM-группу. Характеристики: не является членом другой SIM-группы, должен быть подключен commander switch через управляющую vlan

PORT SECURITY, IMPB

Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами.

3 режима работы:

- постоянный;

- удалить при истечении времени;

- удалить при сбросе настроек.

Постоянный.

Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен.

2) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены.

3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.

Функция IP-MAC-PORT-BINDING (IMPB) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения.

Режимы работы IMPB:

- ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом).

- - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL.

- DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB.

Режимы работы порта:

- Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом.

- Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет.

Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.

МНОГОАДРЕСНАЯ РАССЫЛКА, IGMP

Многоадресная рассылка.

Способы отправки пакетов:

· Одноадресная передача –поток данных, передающийся от узла отправителя на индивидуальный ip-адрес конкретного узла получателя

· Широковещательная передача – доставка потока данных от узла отправителя множеству узлов получателей, подключенных к сети, используя широковещательный ip-адрес

· Многоадресная рассылка – доставка потока данных группе узлов на ip-адрес группы многоадресной рассылки. У этой группы нет географических или физических ограничений. узлы присоединяются к этой группе при помощи IGMP-протокола, после этого пакеты многоадресной рассылки будут содержать в поле назначения заголовка групповой адрес.

Многоадресная рассылка использует транспортный протокол UDP. Для многоадресной рассылки выделен диапазон класса D от 224.0.0.0 до 239.255.255.255.

От 239.0.0.0 до 239.255.255.255 – это блок административно-ограниченных адресов, данные адреса могут использоваться локально внутри домена.

МАК-адреса рассылки бывают индивидуальные и групповые. Для определения типа мак-адреса используется первый бит поля адреса назначения. Если значение бита равно единице, то мак-адрес широковещательный. Мак-адрес групповой рассылки начинаются с префикса 01005Е состоящего из 24 бит, последние 23 бита формируются из младших бит групп ip-адреса. Поскольку при преобразовании теряются 5 бит первого октета ip-адреса, получившийся групповой адрес не будет являться уникальным, ему будут соответствовать 32 ip-адреса групповой рассылки.

Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети.

Типы сообщений:

· Запрос о принадлежности к группе

· Ответ о принадлежности к группе

· Сообщение о выходе из группы

При передаче многоадресного трафика используются медиа-сервер, посылающий многоадресный поток через все порты на ПК пользователей.

Когда коммутатор 2-го уровня получает многоадресный трафик, то он начинает передавать его на все порты.

Способы управления коммутатора 2-го уровня при многоадресной рассылки:

1) Создание статических таблиц коммутации для портов, к которым не подключены подписчики многоадресных групп

2) Настройка функции IGMP Snooping – функция второго уровня, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения

Пример настройки IGMP Snooping:

1. Глобально активируем функцию IGMP Snooping

2. Активизация IGMP Snooping в указанный vlan

3. Включение фильтрации многоадресного трафика для узлов, не являющихся подписчиками многоадресной рассылки

Функция IGMP Snooping Fast Leave –позволяет мгновенно исключить порт из таблицы коммутации IGMP, если получено сообщение о выходе. Настройка аналогична предыдущей, последним этапом добавляется активизация функции Fast Leave в указанный vlan.

SNMP, RMON, PORT MIRRORING

Протокол SNMP (Simple Network Management Protocol).

Входит в стек протоколов TCP/IP и позволяет администраторам сетей получать информацию о состоянии устройств сети, обнаруживать и исправлять неисправности и планировать развитие сети. Протокол прикл-го кровня OSI.

Компоненты SNMP:

· SNMP-менеджер – ПО, наблюдающее за сетевыми устройствами и управляющая ими

· SNMP-агент – программный модуль для управления сетью, который находится на управляемом сетевом устройстве, обслуживает базу управляющей информации и отвечает на запросы менеджера

· База управляющей информации – совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью

База управляющей информации описывает структуру управляющей информации устройств и состоят из управляемых объектов.

Управляемый объект - это одна из нескольких характеристик управляющего сетью устройства (имя системы, время, количество интерфейсов, IP-адрес). Обращение к управляемым объектам происходит посредством идентификаторов объектов (OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA.

Пространство имен OID представлено в виде иерархической структуры с корнем без названия. Идентификаторы верхних уровней отданы организациям, контролирующим стандартизацию, а идент-ры низших уровней определяются этими организациями.

Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, и включающих полный путь от корня до управляемого объекта.

Производители сетевого оборудования определяют частные ветви пространства имен OID, куда помещают управляемые объекты для своей продукции.

D-Link: OID=1.3.6.1.4.1.171

Типы сообщений протокола SNMP:

1. Get Request (UDP 161) – запрос значения одного или нескольких объектов.

2. Get Replay (Set Replay) – получение ответа от агента на сообщения Get Request, Get Next Request или Set Replay.

3. Get Next Request – запрос значения следующего объекта в соответствии с алфавитным порядком идентификаторов OID.

4. Set Request – запрос на изменение значения одного или нескольких объектов.

5. TPAP(‘ловушка’) – используется агентом SNMP для асинхронного сообщения менеджеру SNMP о событии, происходящем на управляемом сетевом устройстве.

Безопасность SNMP

В данном протоколе предусмотрена аутентификация пользователей, которая выполняется с помощью строки сообщества Community String (CS). CS функционирует подобно паролю, к-ый разрешает удаленному менеджеру SNMP доступ к агенту. И менеджер, и агент должны использовать одинаковые строки, т.к. все пакеты не прошедшие аутентификацию будут отбрасываться.

В коммутаторах используется CS по умолчанию:

- Public – позволяет авторизированной РС читать (read only) MIB-объекты;

- Private – позволяет авторизированной РС читать и изменять MIB-объекты.

На коммутаторах можно создавать группы со списком пользователей и настраивать для них общий набор привилегий, кроме этого можно указать версию SNMP(их 3). В зависимости от роста версий увеличивается набор привилегий.

При использовании протокола SNMPv3 отдельным пользователем или группам менеджеров м.б. разрешено или запрещено выполнять определенный функции SNMP-управления.

Порядок настройки протокола SNMP:

1. Активировать ф-ию глобально на коммутаторе;

2. Удалить строки «CS по умолчанию», а создать свои новые;

3. Задать параметры получателя сообщений ‘Trap’ от агента и активизировать функцию отправки сообщений “Trap”.

RMON(Remoute Monitoring)

Разработана сообществом ETF для поддержки мониторинга и анализа протоколов в ЛВС.

Первая версия RMON основывается на мониторинге информации сетей Ethernet и TokenRing. Её расширением является вторая версия, которая добавила поддержку мониторинга на сетевом уровне и уровне приложений модели OSI.

RMON имеет клиент-серверную архитектуру. Устройства мониторинга называются зондами, на к-х установлено специальное ПО. Зонды выступают в качестве серверов, а приложения сетевого уровня – в качестве клиентов.

Взаимодействие зондов со станциями управления сетью осуществляется по протоколу SNMP.

Для RMON v1 – 10 групп мониторинга, Для RMON v2 -9.

Порядок настройки на коммутаторах(как и для SNMP, но в 1м пункте глобально активируем RMON)

PORT MIRRORING – эта функция позволяет копировать кадры, принимаемые и отправляемые портом-источником на целевой порт коммутатора, к которому подключении устройство мониторинга с целью анализа проходящих через порт пакетов. Целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость.