Протокол STP – Протокол Связующего Дерева (Spanning Tree Protocol)

STP – Сети Для Самых Маленьких

Однажды, когда вы — единственный сетевой админ фирмы “Лифт ми Ап” — отпросились на полдня раньше, вдруг упала связь с серверами, и директора не получили несколько важных писем. После короткой, но ощутимой взбучки вы идёте разбираться, в чём дело, а оказалось, по чьей-то неосторожности выпал из разъёма единственный кабель, ведущий к коммутатору в серверной. Небольшая проблема, которую вы могли исправить за две минуты, и даже вообще избежать, существенно сказалась на вашем доходе в этом месяце и возможностях роста.

§

§

Сначала выбирается так называемый корневой мост/свич (root bridge). Это устройство, которое STP считает точкой отсчета, центром сети; все дерево STP сходится к нему. Выбор базируется на таком понятии, как идентификатор свича (Bridge ID). Bridge ID это число длиной 8 байт, которое состоит из Bridge Priority (приоритет, от 0 до 65535, по умолчанию 32768 номер vlan или инстанс MSTP, в зависимости от реализации протокола), и MAC-адреса устройства. В начале выборов каждый коммутатор считает себя корневым, о чем и заявляет всем остальным с помощью BPDU, в котором представляет свой идентификатор как ID корневого свича. При этом, если он получает BPDU с меньшим Bridge ID, он перестает хвастаться своим и покорно начинает анонсировать полученный Bridge ID в качестве корневого. В итоге, корневым оказывается тот свич, чей Bridge ID меньше всех.

§

Все, о чем мы говорили ранее в этой статье, относится к первой реализация протокола STP, которая была разработана в 1985 году Радией Перлман (ее стихотворение использовано в качестве эпиграфа). В 1990 году эта реализации была включена в стандарт IEEE 802.1D. Тогда время текло медленнее, и перестройка топологии STP, занимающая 30-50 секунд (!!!), всех устраивала. Но времена меняются, и через десять лет, в 2001 году, IEEE представляет новый стандарт RSTP (он же 802.1w, он же Rapid Spanning Tree Protocol, он же Быстрый STP).

Читайте про операторов:  Телефон службы поддержки Киевстар или как позвонить оператору

§

Чуть выше, мы упоминали о PVST, в котором для каждого влана существует свой процесс STP. Вланы это довольно удобный инструмент для многих целей, и поэтому, их может быть достаточно много даже в некрупной организации. И в случае PVST, для каждого будет рассчитываться своя топология, тратиться процессорное время и память свичей. А нужно ли нам рассчитывать STP для всех 500 вланов, когда единственное место, где он нам нужен — это резервный линк между двумя свичами? Тут нас выручает MSTP. В нем каждый влан не обязан иметь собственный процесс STP, их можно объединять. Вот у нас есть, например, 500 вланов, и мы хотим балансировать нагрузку так, чтобы половина из них работала по одному линку (второй при этом блокируется и стоит в резерве), а вторая — по другому. Это можно сделать с помощью обычного STP, назначив один корневой свич в диапазоне вланов 1-250, а другой — в диапазоне 250-500. Но процессы будут работать для каждого из пятисот вланов по отдельности (хотя действовать будут совершенно одинаково для каждой половины). Логично, что тут хватит и двух процессов. MSTP позволяет создавать столько процесов STP, сколько у нас логических топологий (в данном примере два), и распределять по ним вланы. Думаем, нет особого смысла углубляться в теорию и практику MSTP в рамках этой статьи (ибо теории там ого-го), интересующиеся могут пройти по ссылке.

§

Иначе это называется link aggregation, link bundling, NIC teaming, port trunkinkg Технологии агрегации (объединения) каналов выполняют 2 функции: с одной стороны, это объединение пропускной способности нескольких физических линков, а с другой — обеспечение отказоустойчивости соединения (в случае падения одного линка нагрузка переносится на оставшиеся). Объединение линков можно выполнить как вручную (статическое агрегирование), так и с помощью специальных протоколов: LACP (Link Aggregation Control Protocol) и PAgP (Port Aggregation Protocol). LACP, опеределяемый стандартом IEEE 802.3ad, является открытым стандартом, то есть от вендора оборудования не зависит. Соответственно, PAgP — проприетарная цисковская разработка. В один такой канал можно объединить до восьми портов. Алгоритм балансировки нагрузки основан на таких параметрах, как IP/MAC-адреса получателей и отправителей и порты. Поэтому в случае возникновения вопроса: “Хей, а чего так плохо балансируется?” в первую очередь смотрите на алгоритм балансировки.

§

Для начала, следует упомянуть команду конфигурации интерфейса switchport port-security, включающую защиту на определенном порту свича. Затем, с помощью switchport port-security maximum 1 мы можем ограничить количество mac-адресов, связанных с данным портом (т.е., в нашем примере, на данном порту может работать только один mac-адрес). Теперь указываем, какой именно адрес разрешен: его можно задать вручную switchport port-security mac-address адрес, или использовать волшебную команду switchport port-security mac-address sticky, закрепляющую за портом тот адрес, который в данный момент работает на порту. Далее, задаем поведение в случае нарушения правила switchport port-security violation {shutdown | restrict | protect}: порт либо отключается, и потом его нужно поднимать вручную (shutdown), либо отбрасывает пакеты с незарегистрированного мака и пишет об этом в консоль (restrict), либо просто отбрасывает пакеты (protect).

§

Помните, мы отобрали у офисных работников их гигабитный линк и отдали его в пользу серверов? Сейчас они, бедняжки, сидят, на каких-то ста мегабитах, прошлый век! Попробуем расширить канал, и на помощь призовем EtherChannel. В данный момент у нас соединение идет от fa0/2 dsw1 на Gi1/1 asw3, отключаем провод. Смотрим, какие порты можем использовать на asw3: ага, fa0/20-24 свободны, кажется. Вот их и возьмем. Со стороны dsw1 пусть будут fa0/19-23. Соединяем порты для EtherChannel между собой. На asw3 у нас на интерфейсах что-то настроено, обычно в таких случаях используется команда конфигурационного режима default interface range fa0/20-24, сбрасывающая настройки порта (или портов, как в нашем случае) в дефолтные. Packet tracer, увы, не знает такой хорошей команды, поэтому в ручном режиме убираем каждую настройку, и тушим порты (лучше это сделать, во избежание проблем)

§

Новый план коммутацииФайл PT с лабораторнойКонфигурация устройствSTP или STPБезопасность канального уровня Агрегация каналов

Базовые команды show маршрутизатора

Связанные с маршрутизацией:

  • show ip protocols– отображает сведения о настроенных протоколах маршрутизации. Если настроен протокол OSPF, к таким данным относятся идентификатор процесса OSPF, идентификатор маршрутизатора, сети, объявляемые маршрутизатором, соседние устройства, от которых маршрутизатор принимает обновления, и значение административной дистанции по умолчанию, равное 110 для OSPF;
  • show ip route– отображает сведения в таблице маршрутизации, в том числе: коды маршрутизации, известные сети, значение административной дистанции и метрики, способы получения маршрутов, следующий переход, статические маршруты и маршруты по умолчанию;
  • show ip ospf neighbor– отображает сведения о соседях OSPF, данные о которых были получены, включая идентификатор маршрутизатора соседнего устройства, приоритет, состояние (Full = отношения смежности установлены), IP-адрес и локальный интерфейс, получивший сведения о соседнем устройстве;

Связанные с интерфейсом:

  • show interfaces – отображает все интерфейсы с данными о состоянии канала (протокола), пропускной способности, надёжности, инкапсуляции, дуплексном режиме и статистике ввода-вывода. Если команда задана без указания конкретного интерфейса, отображаются все интерфейсы. Если конкретный интерфейс указывается после команды, отображаются сведения только для этого интерфейса;
  • show ip interfaces– отображает сведения об интерфейсах, включая: состояние протокола, IP-адрес, если настроен вспомогательный адрес, а также информацию о том, настроен ли список контроля доступа (ACL) на интерфейсе. Если команда задана без указания конкретного интерфейса, отображаются все интерфейсы. Если конкретный интерфейс указывается после команды, отображаются сведения только для этого интерфейса;
  • show ip interface brief– отображает все интерфейсы с данными об IP-адресации и состоянием канального протокола;
  • show protocols – отображает сведения о включенном маршрутизируемом протоколе и состоянии протокола для интерфейсов.

show cdp neighbors – еще одна команда, связанная с подключением. Данная команда отображает сведения об устройствах с прямым подключением, включая идентификатор устройства, локальный интерфейс, к которому подключено устройство, функции поддержки (R = маршрутизатор, S = коммутатор), платформу и идентификатор порта удалённого устройства. Параметр details включает в себя сведения об IP-адресации и версию IOS.

Выбор ролей dr и bdr по протоколу ospf

  • Маршрутизаторы в сети выбирают маршрутизатор с самым высоким приоритетом интерфейса в качестве DR. Маршрутизатор со вторым по величине приоритетом интерфейса становится BDR. Приоритет может быть представлен любым числом от 0 до 255. Чем выше приоритет, тем больше вероятность, что маршрутизатор будет выбран в качестве DR. Если приоритет настроен на значение 0, то маршрутизатор не получит роль DR. Приоритет по умолчанию интерфейсов, подключенных к широковещательной сети множественного доступа, равен 1. Соответственно, при отсутствии иных настроек, все маршрутизаторы обладают равным приоритетом, и для выборов DR/BDR будет использоваться другой метод;
  • Если приоритеты интерфейсов равны, то в качестве DR будет выбран маршрутизатор с наивысшим идентификатором. Маршрутизатор со вторым по величине идентификатором становится BDR.

Идентификатор маршрутизатора определяется одним из трех способов:

  • Идентификатор маршрутизатора может быть настроен вручную;
  • Если идентификатор маршрутизатора не настроен, тогда в качестве идентификатора маршрутизатора принимается наивысший IPv4 адрес интерфейса Loopback;
  • Если интерфейсы loopback не настроены, то идентификатор маршрутизатора определяется по наивысшему IPv4 адресу активного физического интерфейса.

Процедура выбора DR и BDR начинается сразу после появления в сети с множественным доступом первого активного маршрутизатора с интерфейсом, где включен OSPF.

Примечание. Если в сети IPv6 на маршрутизаторе не настроены IPv4-адреса, то идентификатор маршрутизатора необходимо настроить вручную с помощью команды router-id, в противном случае OSPFv3 не запускается.

Примечание. На последовательных интерфейсах приоритет по умолчанию настроен на значение 0, поэтому они не выбирают DR и BDR.

Процедура выбора занимает всего несколько секунд. Если в сети с множественным доступом загрузились не все маршрутизаторы, то роль DR может получить маршрутизатор не с самым высоким идентификатором. Это может быть более простой маршрутизатор, загрузка которого занимает меньше времени.

Примечание. Процесс выбора DR и BDR по протоколу OSPF не является приоритетным. Если после завершения выбора DR/BDR в сети появляется новый маршрутизатор с более высоким приоритетом или идентификатором, то этот новый маршрутизатор не перенимает роль DR или BDR, поскольку эти роли уже назначены. Добавление нового маршрутизатора не приводит к новому процессу выбора.

Корпоративная архитектура cisco

Основные понятия:

  • Комплекс зданий предприятия (Enterprise Campus);
  • Границы предприятия (Enterprise Edge);
  • Границы поставщика услуг (Service Provider Edge);
  • Удаленный (филиал, сотрудник, ЦОД).

Enterprise Campus охватывает всю инфраструктуру комплекса (уровни доступа, распределения и ядра). Модуль уровня доступа содержит коммутаторы 2 и 3 уровней, обеспечивающие необходимую плотность портов. Здесь осуществляется реализация сетей VLAN и транковых каналов к уровню распределения.

Важно предусмотреть избыточные каналы к коммутаторам уровня распределения здания (STP). Модуль уровня распределения объединяет уровни доступа здания с помощью устройств 3 уровня. На этом уровне осуществляются маршрутизация, контроль доступа и работы службы QoS.

Модуль уровня ядра обеспечивает высокоскоростное соединение между модулями уровня распределения, серверными фермами в ЦОД и границей корпорации. При проектировании данного модуля особое внимание уделяется резервным каналам, быстрой сходимости и отказоустойчивости.

Комплекс зданий предприятия может включать дополнительные модули:

  • Серверная ферма и ЦОД – данная область обеспечивает возможность высокоскоростного подключения и защиту для серверов. Критически важно обеспечить безопасность, избыточность и отказоустойчивость (STP, EtherChannel). Системы управления сетями отслеживают производительность с помощью специального устройства и доступности сети;
  • Сервисный модуль – данная область обеспечивает доступ ко всем сервисам (службы IP-телефонии, беспроводной контроллер и объединенные сервисы).

Enterprise Edge включает в себя модули для подключения к Интернету и сетям VPN и WAN.

Service Provider Edge предоставляет службы для доступа к Интернету, коммутируемой телефонной сети (PSTN) и сети WAN.

Все входящие и исходящие данные в модели составной корпоративной сети (ECNM) проходят через пограничное устройство. На этом этапе система может проверить все пакеты и принять решение об их допуске в корпоративную сеть. Кроме того, на границе предприятия можно настроить системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) для защиты от вредоносных действий.

Качественно спроектированная сеть не только контролирует трафик, но и ограничивает размер доменов возникновения ошибки. Домен сбоя – представляет собой область сети, на которую влияют сбои в работе критически важного устройства или сетевой службы.

Иерархическая модель архитектуры обеспечивает самый простой и дешевый метод контроля размера домена сбоя на уровне распределения.

Маршрутизаторы или многоуровневые коммутаторы обычно развертываются парами, при этом коммутаторы уровня доступа распределяются между ними равномерно. Данная конфигурация называется блоком коммутации здания или отдела. Каждый блок коммутации функционирует независимо от других. Поэтому в случае отказа отдельного устройства сеть будет продолжать работать

Пример схемы внедрения hsrp

Несколько запутанно, но разобрать полезно.

В этом примере используется конфигурация на DSW1:

track 10 ip route 10.1.21.128 255.255.255.224 metric thresholdthreshold metric up 63 down 64

interface Vlan10
ip address 10.2.1.1 255.255.255.0
ip helper-address 10.1.21.129
standby 10 ip 10.2.1.254
standby 10 priority 200
standby 10 preempt
standby 10 track 10 decrement 60

И конфигурация на DSW2:

interface Vlan10
ip address 10.2.1.2 255.255.255.0
ip helper-address 10.1.21.129
standby 10 ip 10.2.1.254
standby 10 priority 150
standby 10 preempt

Приоритет для DSW1 200, а для DSW2 150, поэтому DSW1 в состоянии active. Но также происходит IP SLA отслеживание маршрута по метрике. Если метрика выходит за переделы, то срабатывает decrement 60 и приоритет DSW1 становится 200 – 60 = 140, меньше чем у DSW2.

За счёт команды standby 10 preempt при измении приоритета сразу происходят перевыборы активного маршрутизатора. Тогда DSW2 становится active, DSW1 standby.

Что это за маршрут?

DSW1# show ip route
...D 10.1.21.128/27 [90/156160] via 10.1.4.5, 00:22:55, Ethernet1/0

Это некий “важный” маршрут от DSW1 к R4 и происходит отслеживание его доступности. Почему важный? Потому что 10.1.21.129, как видно (ip helper-address 10.1.21.129), сервер DHCP, обслуживающий внутреннюю подсеть.

Что значит threshold metric up 63 down 64? Пороги срабатывания:

upSpecifies the up threshold. The state is up if the scaled metric for that route is less than or equal to the up threshold. The default up threshold is 254.
downSpecifies the down threshold. The state is down if the scaled metric for that route is greater than or equal to the down threshold. The default down threshold is 255.

Метрика 63 и меньше считается состоянием Up, 64 и больше — Down. Почему так? Ведь метрика для маршрута на самом деле 156160. Потому что для исходных метрик используется делитель:

Routing protocolMetric Resolution
Static10
EIGRP2560
OSPF1
RIPis scaled directly to the range from 0 to 255 because its maximum metric is less than 255

К метрике применяется делитель 2560: 156160 / 2560 = 61. Подробнее тут. Получается 61 < 63 и состояние Up. Смотрим ещё:

DSW1# show track 10

Track 10
IP route 10.1.21.128 255.255.255.224 metric threshold
Metric threshold is Up (EIGRP/156160/61)
2 changes, last change 00:44:41
Metric threshold down 64 up 63
First-hop interface is Ethernet1/0
Tracked by:
HSRP Vlan10 10

Возможно отлеживание не маршрута, а интерфейса:

track 10 interface FastEthernet1/0/1 line-protocol

Для конфигурации HSRP при этом остаётся:

standby 10 track 10 decrement 60

Топология

Стандарт 802.11 определяет два основных режима топологии беспроводной сети:

  • Режим прямого подключения (ad hoc). В этом режиме два устройства соединены по беспроводной сети без использования таких устройств инфраструктуры, как беспроводной маршрутизатор или точка доступа. К примерам этого режима можно отнести Bluetooth и Wi-Fi Direct;
  • Инфраструктурный режим. В этом режиме беспроводные клиенты соединены друг с другом посредством беспроводного маршрутизатора или точки доступа (например, как в сетях WLAN). Точки доступа подключены к сетевой инфраструктуре посредством кабельной распределительной системы, например, Ethernet.

Архитектура IEEE 802.11  определяет два структурных элемента топологии инфраструктурного режима: базовый набор сервисов (BSS) и расширенный набор сервисов (ESS).

Базовый набор сервисов

BSS состоит из одной точки доступа, которая взаимодействует со всеми связанными беспроводными клиентами. Зона покрытия, в пределах которой беспроводные клиенты BSS могут поддерживать связь друг с другом называется зоной основного обслуживания (BSA). Если беспроводной клиент выходит из зоны основного обслуживания, он больше не может напрямую связываться с другими беспроводными устройствами в пределах зоны BSA.

MAC-адрес 2 уровня используется для уникальной идентификации каждого набора BSS, который называется идентификатором базового набора сервисов (BSSID). Таким образом, идентификатор BSSID является формальным именем BSS и всегда связан только с одной точкой доступа.

Расширенный набор сервисов

Когда один набор BSS обеспечивает недостаточное радиочастотное покрытие, то с помощью общей распределительной системы можно связать два или более наборов BSS, что образует расширенный набор сервисов (ESS). Набор сервисов ESS представляет собой объединение двух или более наборов BSS, взаимосвязанных посредством кабельной распределительной системы.

Теперь беспроводные клиенты в одной зоне BSA могут обмениваться данными с беспроводными клиентами в другой зоне BSA в пределах одного набора ESS. Перемещающиеся мобильные беспроводные клиенты в роуминге могут переходить из одной зоны BSA в другую (с тем же набором ESS) и без проблем выполнять подключение. Зоны BSA в составе ESS должны перекрываться на 10-15%.

Примечание. В рамках стандарта 802.11 режим прямого соединения называется IBSS.

Угрозы

Беспроводные сети особенно подвержены следующим угрозам:

  • Беспроводные злоумышленники;
  • Вредоносные приложения;
  • Перехват данных;
  • Атаки DoS.

Две функции обеспечения безопасности:

  • Сокрытие идентификатора SSID. Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети;
  • Фильтрация MAC-адресов. Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Примечание. В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

Стандарты IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 используют следующие протоколы шифрования:

  • Шифрование с использованием временных ключей (TKIP). TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно;
  • Усовершенствованный стандарт шифрования (AES). AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание. По возможности всегда следует выбирать 802.11i/WPA2 с AES.

WPA и WPA2 поддерживают два типа аутентификации.

  • Персональная — предназначена для домашних сетей и небольших корпоративных сетей. Пользователи выполняют аутентификацию, используя предварительно согласованный ключ (PSK). Беспроводные клиенты выполняют аутентификацию на точке доступа, используя предварительно согласованный пароль. Специализированный сервер аутентификации не требуется;
  • Корпоративная — предназначена для корпоративных сетей, но требует наличия сервера аутентификации службы дистанционной аутентификации пользователей (RADIUS). Хотя этот тип аутентификации более сложен для настройки, он обеспечивает повышенную безопасность. Устройство должно выполнить аутентификацию посредством сервера RADIUS, после чего пользователи должны пройти аутентификацию, используя стандарт 802.1X, который задействует для аутентификации усовершенствованный протокол аутентификации (EAP).

Для корпоративного режима безопасности требуется сервер аутентификации, авторизации и учета (AAA) RADIUS.

Эти поля являются обязательными для передачи точке доступа требуемых данных для связи с сервером AAA, которые представлены ниже:

  • IP-адрес сервера RADIUS — доступный адрес сервера RADIUS;
  • Номера портов UDP — официально назначенные порты UDP 1812 для аутентификации RADIUS и 1813 для учета RADIUS. Также возможно использование портов UDP 1645 и 1646;
  • Согласованный ключ — используется для аутентификации на точке доступа посредством сервера RADIUS.

Примечание. Поле пароля не отображается, так как аутентификация и авторизация текущего пользователя обрабатываются стандартом 802.1X, который предоставляет централизованную аутентификацию конечных пользователей на базе сервера.

При входе в систему по стандарту 802.1X для обмена данными с точкой доступа и сервером RADIUS используется протокол EAP. EAP представляет собой платформу для аутентификации доступа к сети. Этот протокол предоставляет механизм безопасной аутентификации и согласование безопасного закрытого ключа, который впоследствии можно использовать для сеанса шифрования беспроводной связи с использованием механизмов шифрования TKIP или AES.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *