Технологии построения сетей Ethernet. Правление потоком в полнодуплексном режиме. Зеркалирование портов. Объединение портов в магистральные линии связи. Виртуальные сети

 

Научно-производственное предприятие
«Учебная техника - Профи»

 

Учебно-лабораторный стенд

«Корпоративные компьютерные сети»

Теоретическое пособие Часть 1

Челябинск 2012

Содержание

I. Технологии построения сетей Ethernet........................................................... 4

1. Основы коммутации второго уровня............................................................... 4

1.1. Перенаправление трафика (Traffic Forwarding).................................. 4

1.2. Проверка пакетов на ошибки (Packet Error Checking)........................ 4

1.3. Дополнительные функции коммутаторов второго уровня............... 4

2. Управление потоком в полнодуплексном режиме (IEEE 802. Зх Flow Control In
full-duplex compliant).................................................................................................... 5

3. Зеркалирование портов (Port Mirroring)........................................................... 6

4. Объединение портов в магистральные линии связи (Port Trunking)..... б

5. Виртуальные сети (Virtual LAN)........................................................................ 7

5.1. Сети на базе МАС-адресов (MAC based VLANs)................................. 8

5.2. Сети на базе портов (Port-based VLANs)............................................... 9

5.3. Сеть на базе маркированных кадров (IEEE 802.1Q VLANs)............. 9

6. Протоколы связующего дерева (Spanning Tree Protocols)...................... 14

6.1. Алгоритм связующего дерева (Spanning Tree Algorithm, IEEE 802.1d) 14

6.2 Алгоритм быстрого связующего дерева (Rapid Spanning Tree Algorithm.

IEEE 802.1w)................................................................................................. 22

6.3. Множественные группы Spanning Tree (Multiple Spanning Tree, IEEE

802.1s)............................................................................................................ 32

7. Технология Quality of Service............................................................................. 34

7.1. Введение....................................................................................................... 34

7.2. Сервисные модели QoS........................................................................... 35

7.3. Базовые функции QoS.............................................................................. 37

8 Основы коммутации третьего уровня.......................................................... 46

8.1. Причины появления.................................................................................. 46

8.2. Классификация........................................................................................... 46

8.3. Пакетные коммутаторы 3 уровня.......................................................... 46

8.4. Сквозные коммутаторы 3 уровня........................................................... 47

8.5. Коммутаторы потоков............................................................................... 50

8.6. Выводы.......................................................................................................... 51

9. Способы управления коммутаторами.......................................................... 53

9.1. Технология Single IP Management........................................................ 53

II. Технологии обеспечения безопасности передачи данных в сетях Ethernet 61

1. Ограничение количества управляющих компьютеров............................ 61

2. Настройка безопасности индивидуального порта................................. 61

3. Фильтрация МАС-адресов................................................................................ 61

4. Технология фильтрации IP-MAC Binding..................................................... 61

5. Списки контроля доступа (Access Control Lists)........................................ 61

6. Сегментация трафика (Traffic Segmentation)............................................. 62

1. Протокол IEEE 802.1х......................................................................................... 63

7 1 Роли устройств..................................................................................... 64

7.2. Процесс аутентификации................................................................. 64

7.3. Состояние портов коммутатора...................................................... 65

7.4. Методы контроля доступа при использовании протокола IEEE 802.1х 65

III. Технологии передачи данных в сетях TCP/IP.......................................... 68

1 Адресация в IP-сетях........................................................................................... 68

2. Протокол IGMP..................................................................................................... 70

2.1. Рассылка групповых сообщений в сети Internet.......................... 70

2.2. Групповые адреса............................................................................... 70

2.3. Назначение протокола IGMP........................................................... 73

2.4. Идеология и алгоритм работы протокола IGMP......................... 73

2.5. Формат IGMP-сообщений.................................................................. 76

3. IP-маршрутизация............................................................................................... 77

2.1. Общая концепция IP-маршрутизации........................................... 78

2.2. Основные термины IP-маршрутизации......................................... 79

2.3. Свойства алгоритма маршрутизации............................................ 81

2.4. Классификация алгоритмов маршрутизации.............................. 83

4. Алгоритмы маршрутизации............................................................................ 86

4.1. Алгоритмы вектора расстояния...................................................... 86

4.2. Алгоритмы состояния канала.......................................................... 89

4.3. Сравнение маршрутизации по вектору расстояния и маршрутизации с
учетом состояния канала связи...................................................... 90

4.4. Протоколы маршрутизации, используемые в IP-сетях............ 91

5. Протокол маршрутизации RIP....................................................................... 92

5.1 Область применения протокола, достоинства, недостатки.......... 93

5.2. Классификация........................................................................................... 94

6. Протокол маршрутизации OSPF................................................................... 95

6.1. Термины и определения протокола OSPF.......................................... 95

6.2. Процесс сбора и обмена маршрутной информацией..................... 98

6.3. Алгоритм маршрутизации....................................................................... 101

6.4. Область применения, достоинства, недостатки............................. 104

6.5. Классификация......................................................................................... 104

7. Протокол SNMP......................................................................................... 105

7.1. Определение и функции протокола.................................................. 105

7.2 Версии протокола SNMP......................................................................... 105

7.3. Модель протокола SNMP....................................................................... 106

7.4. Протокол SNMPv3..................................................................................... 109

7.5. Безопасность протокола SNMPv3..................................................... 1 12

I. Технологии построения сетей Ethernet
1. Основы коммутации второго уровня

Коммутатор - это устройство, функционирующее на втором уровне эталонной модели ISO/OSI и предназначенное для объединения сегментов сети, работающих на основе одного протокола Канального уровня. Коммутатор принимает входящий трафик через свои порты, но в отличие от концентратора, который передает исходящий трафик через все множество своих портов, коммутатор направляет трафик только через один порт, необходимый для достижения места назначения.

Так как коммутатор работает на втором уровне модели ISO/OSI, то он считывает и обрабатывает заголовки пакетов протокола Ethernet. Следовательно, коммутатор может выполнять как минимум следующие функции:

• перенаправление трафика (является обязательной функцией);

• проверка пакетов на ошибки;

• фильтрация трафика.

1.1. Перенаправление трафика (Traffic Forwarding)

Коммутатор принимает все пакеты с присоединенных сегментов. Для каждого получаемого пакета устройство считывает адрес получателя из заголовка протокола Ethernet, и еслиэтот пакет предназначен для системы, расположенный в другом сегменте, передает пакет в этот сегмент и только в этот сегмент. Если пакет послан системе в локальном сегменте, коммутатор отбрасывает его, поскольку данные уже достигли своего места назначения. Чтобы эффективно выполнять перенаправление получаемых пакетов, мост должен знать, какие системы в каком сегменте находятся. Мост хранит эту информацию во внутреннейадресной таблице перенаправления (Forwarding Table). Механизм заполнения данной таблицы называется прозрачной маршрутизацией (Transparent Routing).

1.2. Проверка пакетов на ошибки (Packet Error Checking)

Коммутатор может работать в двух основных режимах: без буферизации и с промежуточным хранением пакетов. Коммутатор без буферизации пакетов считывает только МАС-адрес входящего пакета, ищет его в своей таблице перенаправления и немедленно начинает передавать пакет через порт, обеспечивающий доступ к месту назначения. Единственным преимуществом данного режима является скорость передачи пакета, так как нетратится дополнительное время на сохранение целого пакета в оперативной памятикоммутатора и его дополнительную обработку.

Коммутатор с промежуточным хранением пакетов целиком сохраняет входящий пакет в буферной памяти прежде, чем передать его через порт назначения. Пока пакет находитсяв памяти, коммутатор проверяет его на наличие ошибок циклической контрольной суммы (CRC, Cyclic Redundancy Check) и выполнение других условий, таких как недопустимо малая или большая длина пакета, а также неправильная длительность передачи. Коммутатор немедленно отбрасывает любые пакеты с ошибками.

1.3. Дополнительные функции коммутаторов второго уровня

Функции перенаправления трафика и проверки пакетов на ошибки выполняют все современные коммутаторы, как управляемые, так и неуправляемые. Данные функции являются основой работы коммутаторов. Есть также дополнительные функции, которые присущи только управляемым коммутаторам. В зависимости от уровня сложности коммутатора

 

 

варьируется количество дополнительных функций, которые он поддерживает. Большинство возможных дополнительных функций описаны в следующих разделах данной главы.

Управление потоком в полнодуплексном режиме (IEEE 802.Зх Flow Control in full-duplex compliant)

  Ниже приведён формат кадра-паузы (рисунок 2). Признаком кадра этого типа…  

Виртуальные сети (Virtual LAN)

Основные цели введения виртуальных сетей в коммутируемую среду: • повышение полезной пропускной способности сети за счет локализации… • повышения уровня безопасности сети за счет локализации одноадресного (unicast) трафика в пределах виртуальной…

Протоколы связующего дерева (Spanning Tree Protocols)

6.1. Алгоритм связующего дерева (Spanning Tree Algorithm, IEEE 802.1d) Алгоритм связующего (примечание: иногда покрывающего, распределяющего) дерева… Для того чтобы алгоритм STA мог выполняться, необходимо чтобы в сети коммутаторов были выполнены следующие…

Технология Quality of Service 7.1. Введение

В настоящее время вместе с планомерным увеличением скоростей передачи данных в телекоммуникациях увеличивается доля интерактивного трафика, крайне чувствительного к параметрам среды транспортировки. Поэтому задача обеспечения качества обслуживания (Quality of Service, QoS) становится все более актуальной.

Определений термина QoS настолько много, что мы выберем единственно верное – от Cisco: "QoS - QoS refers to the ability of a network to provide better service to selected network traffic over various underlying technologies...". Что можно литературно перевести как: "QoS - способность сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках".

Необходимый сервис описывается многими параметрами, отметим среди них самые важные:

· Bandwidth (BW) - полоса пропускания, описывает номинальную пропускную способность среды передачи информации, определяет ширину канала.

· Delay - задержка при передаче пакета.

· Jitter - колебание (вариация) задержки при передаче пакетов.

· Packet Loss - потери пакетов, определяет количество пакетов, отбрасываемых сетью во время передачи.

Служба QoS имеет распределенный характер, так как ее элементы должны присутствовать во всех сетевых устройствах, продвигающих пакеты: коммутаторах, маршрутизаторах, серверах доступа. С другой стороны, служба QoS должна включать также элементы централизованного управления, поскольку работу отдельных сетевых устройств, поддерживающих QoS, нужно координировать, чтобы качество обслуживания было однородным вдоль всего пути, по которому следуют пакеты потока. Любые гарантии QoS настолько хороши, насколько их обеспечивает наиболее "слабый" элемент в цепочке между отправителем и получателем. Поэтому поддержка QoS только в одном сетевом устройстве, пусть даже и магистральном, может весьма незначительно улучшить качество обслуживания или же совсем не влиять на параметры QoS.

На рисунке 27 представлена базовая архитектура службы QoS с элементами трех основных типов:

· средств QoS узла;

· протоколов сигнализации QoS;

централизованных функций политики, управления и учета QoS.

Рисунок 27. Базовая архитектура службы QoS.

 

7.2. Сервисные модели QoS Best Effort Service

Негарантированная доставка. Абсолютное отсутствие механизмов QoS. Используются все доступные ресурсы сети без какого-либо выделения отдельных классов трафика и регулирования. Считается, что лучшим механизмом обеспечения QoS является увеличение пропускной способности. Это в принципе правильно, однако некоторые виды трафика (например, голосовой) очень чувствительны к задержкам пакетов и вариации скорости их прохождения. Модель «Best Effort Service» даже при наличии больших резервов допускает возникновение перегрузок в случае резких всплесков трафика. Поэтому были разработаны и другие подходы к обеспечению QoS.

Integrated Service (IntServ)

Integrated Service (IntServ, RFC 1633) - модель интегрированного обслуживания. Может обеспечить сквозное (End-to-End) качество обслуживания, гарантируя необходимую пропускную способность. IntServ использует для своих целей протокол сигнализации RSVP (Reservation Protocol). Позволяет приложениям выражать сквозные требования к ресурсам и содержит механизмы обеспечения данных требований. IntServ можно кратко охарактеризовать как резервирование ресурсов (Resource reservation).

В соответствии с концепциями «Integrated Services» приложения могут выбирать для своих потоков данных любой из многочисленных контролируемых уровней качества обслуживания. Для этого к базовым IP-сервисам добавляются новые компоненты и механизмы. Обслуживание в реальном времени требует гарантий, и эти гарантии не могут быть обеспечены без резервирования. Протокол резервирования RSVP предусматривает, что ресурсы резервируются для каждого потока, требующего QoS, на каждом промежуточном маршрутизаторе на пути от отправителя к получателю с использованием сигнализации «из конца в конец». Это, в свою очередь, требует хранения на маршрутизаторах данных о состоянии каждого конкретного потока и, как следствие, подразумевает кардинальные изменения в общей модели Internet. Кроме того, такое решение предлагает способ передачи требований приложения элементам сети, расположенным вдоль пути, и обменаслужебной информацией QoS между сетевыми элементами и приложением.

Недостатки использования протокола RSVP следующие:

· время на прокладку маршрута резервирования, что может быть критичным в глобальных сетях;

· загрузка промежуточных маршрутизаторов информацией о характере передаваемого трафика.

Differentiated Service (DiffServ)

Differentiated Service (DiffServ, RFC 2474/2475) - модель дифференцированного обслуживания. Определяет обеспечение QoS на основе четко определенных компонентов, комбинируемых с целью предоставления требуемых услуг. Архитектура DiffServ предполагает наличие классификаторов и формирователей трафика на границе сети, а также поддержку функции распределения ресурсов в ядре сети в целях обеспечения требуемой политики пошагового обслуживания (Per-Hop Behavior - РНВ). Разделяет трафик на классы, вводя несколько уровней QoS. DiffServ состоит из следующих функциональных блоков: граничные формирователи трафика (классификация пакетов, маркировка, управление интенсивностью) и реализаторы РНВ политики (распределение ресурсов, политика отбрасывания пакетов). DiffServ можно кратко охарактеризовать как приоритезацию трафика (Prioritization).

Механизмы «Differentiated Services» усовершенствуют протокол IP с целью преодолеть ограничения IntServ/RSVP и обеспечить масштабируемое избирательное обслуживание в Internet без необходимости запоминать состояние каждого потока и поддерживать сигнализацию. В отличие от RSVP, в случае DiffServ отправитель и получатель не обмениваются информацией о требованиях к качеству обслуживания, что исключает временные затраты на прокладку пути, присущие RSVP.

Механизмы DiffServ ограничиваются только установлением соответствия между услугами и различными уровнями «чувствительности» к задержкам и потерям, то есть не имеют дела с точными значениями или гарантиями. Они не рассчитаны на обеспечение того или иного уровня обслуживания. Вместо этого они стараются обеспечить относительное упорядочивание агрегированных потоков, так что с одним агрегированным потоком будут «обращаться лучше», чем с другим, в зависимости от правил обслуживания, определенных для каждого агрегированного потока.

Масштабируемость архитектуры DiffServ достигается за счет объединения классифика ционных признаков трафика, при этом информация о типе трафика передается в заголовке IP-датаграммы. При этом сложные операции классификации, маркировки, определения правил обслуживания и формирования трафика необходимо выполнять только на границах сети или же на хостах

Будущая модель QoS

Применяемые вместе IntServ и DiffServ могут способствовать внедрению IP-телефонии, видео по требованию и различных критически важных для предприятий не мультимедийных приложений. IntServ позволяет хостам запрашивать конкретный объем ресурсов для каждого потока и использовать обратную связь для определения возможности выполнения запросов. DiffServ обеспечивает масштабируемость для крупных сетей.

 

В настоящее время предложена гибридная структура, которая, по-видимому, является наиболее выигрышным компромиссом. Она предусматривает применение модели, в которой периферийные подсети поддерживают RSVP и IntServ. Эти подсети связаны сетями DiffServ. Благодаря масштабируемости сетей DiffServ данная модель позволяет расширить диапазон действия сетей IntServ/RSVP. Промежуточные сети DiffServ выглядят для сетей IntServ/RSVP как одно транзитное звено. Хосты, подключенные к периферийным сетям IntServ/RSVP, передают через сети DiffServ запросы друг другу на резервирование ресурсов для каждого отдельного потока. Внутри периферийных сетей IntServ/RSVP применяется стандартная обработка протоколов IntServ/RSVP, а сигнальные сообщения RSVP передаются через сети DiffServ прозрачным образом. Устройства на границе между сетями IntServ/RSVP и сетями DiffServ обрабатывают сообщения RSVP и обеспечивают входной контроль с учетом наличия ресурсов внутри сети DiffServ

7.3. Базовые функции QoS

Базовые функции QoS заключаются в обеспечении необходимых параметров сервиса и определяются по отношению к трафику как:

· классификация;

· разметка;

· управление перегрузками;

· предотвращение перегрузок;

· регулирование.

Функционально классификация и разметка чаще всего обеспечиваются на входных портах оборудования, а управление и предотвращение перегрузок - на выходных.

Классификация и разметка (Classification and Marking)

Классификация пакетов (Packet Classification) представляет собой механизм соотнесения пакета к определенному классу трафика. Другой не менее важной задачей при обработке пакетов является маркировка пакетов (Packet Marking) - назначение соответствующего приоритета (метки). В зависимости от уровня рассмотрения (имеется в виду OSI) эти задачи решаются по-разному.

Layer 2 Classification and Marking

Протокол Ethernet в чистом виде не поддерживает поле приоритета. Поэтому на Ethernet портах (Access Port) возможна лишь внутренняя (по отношению к коммутатору) классификация по номеру входящего порта и отсутствует какая-либо маркировка.

Более гибким решением является использование стандарта IEEE 802.1Р, который разрабатывался совместно с 802.1Q. Иерархия отношений здесь следующая: 802.1D описывает технологию мостов и является базовой для 802.1Q и 802.1Р. 802.1Q описывает технологию виртуальных сетей (VLAN), а 802.1 Р обеспечение качества обслуживания. В целом, включение поддержки 802.1Q автоматически дает возможность использования 802.1 Р. Согласно стандарту используются 3 бита в заголовке второго уровня, которые называются Class of Service (CoS). Таким образом, CoS может принимать значения от 0 до 7.

Рисунок 28. Дополнительное поле CoS в заголовке кадра Ethernet.

 

Layer 3 Classification and Marking

Маршрутизирующее оборудование (Layer 3) оперирует IP пакетами, в которых под цели маркировки предусмотрено соответствующее поле в IP-заголовке - Type of Service (ToS)размером один байт. ToS может быть заполнен классификатором IP Precedence или DSCP в зависимости от задачи. IP precedence (IPP) имеет размерность 3 бита (принимает значения 0-7). DSCP относится к модели DiffServ и состоит из 6 бит (значения 0-63).

Кроме цифровой формы, значения DSCP могут быть выражены с использованием специальных ключевых слов: доставка по возможности BE - Best Effort, гарантированная доставка AF - Assured Forwarding и срочная доставка EF - Expedited Forwarding. В дополнение к этим трем классам существуют коды селектора классов, которые добавляются к обозначению класса и обратно совместимы с IPP. Например, значение DSCP равное 26 можно записать как AF31, что полностью равнозначно.

Рисунок 29. Поле TOS в IP-заголовке.

 

Управление перегрузками (Congestion Management). Механизм очередей.

Перегрузки (Congestions)

Перегрузка возникает в случае переполнения выходных буферов передающего трафик оборудования. Основными механизмами возникновения перегрузок (или, что равнозначно, скоплений - congestions) является агрегация трафика и несогласованность скоростей на интерфейсах.

Рисунок 30. Примеры возникновения перегрузок.

 

Управление пропускной способностью в случае перегрузок (узких мест) осуществляется с помощью механизма очередей. Пакеты помещаются в очереди, которые упорядоченно обрабатываются по определенному алгоритму. Фактически, управление перегрузками - это определение порядка, в котором пакеты выходят из интерфейса (очередей) на основе приоритетов. Если перегрузок нет - очереди не работают (и не нужны). Перечислим методы обработки очередей.

Layer 2 Queuing

Физическое устройство классического коммутатора можно упрощенно представить следующим образом: пакет приходит на входной порт, обрабатывается механизмом коммутации, который решает, куда направить пакет, и попадает в аппаратные очереди выходного порта. Аппаратные очереди представляет собой быструю память, хранящую пакеты перед тем, как они попадут непосредственно на выходной порт. Далее, согласно определенному механизму обработки, пакеты извлекаются из очередей и покидают коммутатор. Изначально очереди равноправны и именно механизм обработки очередей (Scheduling) определяет приоритезацию. Обычно каждый порт коммутатора содержит ограниченное число очередей: 2, 4, 8 и так далее.

 

В общих чертах настройка приоритезации заключается в следующем:

1. Изначально очереди равноправны. Поэтому предварительно необходимо их настроить, то есть определить очередность (или пропорциональность объема) их обработки. Чаще всего это делается привязкой приоритетов 802.1Р к очередям.

2. Необходимо сконфигурировать обработчик очередей (Scheduler). Чаще всего используются взвешенный циклический алгоритм (Weighted Round Robin, WRR), который работает также как настраиваемые очереди (Custom Queueing) на уровне 3 (см. ниже), или строгая очередь приоритетов (Strict Priority Queueing), которая работает также как приоритетное обслуживание (Priority Queueing) на уровне 3 (см. ниже).

3. Назначение приоритета поступающим пакетам: по входному порту, по CoS или, в случае дополнительных возможностей (Layer 3 switch), по каким-то полям IP.

Работает все это следующим образом:

1. Пакет попадает в коммутатор. Если это обычный Ethernet пакет, то он не имеет меток приоритета и таковая может выставляться коммутатором, например, по номеру входного порта, если это нужно. Если входной порт транковый (802.1Q или ISL), то пакет может нести метку приоритета и коммутатор может ее принять или заменить на необходимую. В любом случае пакет на данном этапе попал в коммутатор и имеет необходимую разметку CoS.

2. После обработки процессом коммутации пакет в соответствии с меткой приоритета CoS направляется классификатором (Classify) в соответствующую очередь выходного порта. Например, критический трафик попадает в высокоприоритетную, а менее важный в низкоприоритетную очереди.

3. Механизм обработки (Scheduling) извлекает пакеты из очередей согласно их приоритетам. Из высокоприоритетной очереди за единицу времени будет выдано на выход ной порт бопьше пакетов, чем из низкоприоритетной.

Рисунок 31. Механизм обработки входящего трафика согласно CoS.

 

Layer 3 Queuing

Маршрутизирующие устройства оперируют пакетами на третьем уровне OSI. Чаще всего поддержка очередей обеспечивается программно. Это означает в большинстве случаев отсутствие аппаратных ограничений на их число и более гибкое конфигурирование механизмов обработки. Общая парадигма QoS Layer 3 включает классификацию и маркировку пакетов на входе (Classification & Marking), распределение по очередям и их обработку (Scheduling) по определенным алгоритмам.

И еще раз подчеркнем, что приоритезация (очереди) требуется в основном только в узких, загруженных местах, когда пропускной способности канала не хватает для передачи всех поступающих пакетов и нужно каким-то образом дифференцировать их обработку. Кроме того, приоритезация необходима и в случае предотвращения влияния всплесков сетевой активности на чувствительный к задержкам трафик.

Проведем классификацию Layer 3 QoS по методам обработки очередей. Чаще всего в маршрутизаторах и коммутаторах применяются следующие алгоритмы обработки очередей:

· традиционный алгоритм FIFO;

· приоритетное обслуживание (Priority Queueing), которое также называют «подавляющим»;

· настраиваемые очереди (Custom Queueing);

· взвешенное справедливое обслуживание (Weighted Fair Queueing, WFQ).

Каждый алгоритм разрабатывался для решения определённых задач и поэтому специфическим образом воздействует на качество обслуживания различных типов трафика в сети. Возможно комбинированное применение этих алгоритмов.

FIFO

Элементарная очередь с последовательным прохождением пакетов, работающая по принципу первый пришел - первый ушел (First In First Out - FIFO. Здесь нет никакой приоритезации.

Приоритетное обслуживание

Механизм приоритетной обработки трафика предусматривает разделение всего сетевого трафика на небольшое количество классов с назначением каждому классу некоторого числового признака - приоритета. Блок классификации трафика может размещаться как в самом устройстве (рисунок 32), так и вне его.

Рисунок 32. Организация приоритетных очередей Priority Queueing.

 

Независимо от выбранного способа классификации трафика, в сетевом устройстве имеется несколько очередей, в соответствии с количеством классов. Поступивший в период перегрузки пакет помещается в очередь согласно его приоритету. На рисунке 32 приведен пример использования четырех приоритетных очередей: с высоким, средним, нормальным и низким приоритетом. Приоритеты очередей имеют абсолютный характер предпочтения при обработке: пока из более приоритетной очереди не будут выбраны все пакеты, устройство не переходит к обработке следующей, менее приоритетной. Поэтому пакеты со средним приоритетом всегда обрабатываются только тогда, когда очередь пакетов с высоким приоритетом пуста, а пакеты с низким приоритетом - только когда пусты все вышестоящие очереди.

 

Конечный размер буферной памяти сетевого устройства предполагает некоторую предельную длину каждой очереди. Обычно по умолчанию всем приоритетным очередям отводятся буферы одинакового размера, но многие устройства разрешают администратору выделять каждой очереди индивидуальный буфер. Его максимальная длина определяет предельное количество пакетов, которые могут храниться в очереди данного приоритета. Пакет, поступивший в то время, когда буфер заполнен, просто отбрасывается.

Приоритетное обслуживание очередей обеспечивает высокое качество сервиса для пакетов из самой приоритетной очереди. Если средняя интенсивность их поступления в устройство не превосходит пропускной способности выходного интерфейса (и производительности внутренних блоков самого устройства, участвующих в продвижении пакетов), то пакеты с наивысшим приоритетом всегда получают ту пропускную способность, которая им необходима. Что же касается остальных классов приоритетов, то качество их обслуживания ниже, чем у пакетов с наивысшим приоритетом.

Поэтому приоритетное обслуживание обычно применяется в том случае, когда в сети есть чувствительный к задержкам трафик, но его интенсивность невелика, так что его наличие не слишком ущемляет остальной трафик. Например, голосовой трафик чувствителен к задержкам, но его интенсивность обычно не превышает 8-16 Кбит/с, и, таким образом, при назначении ему наивысшего приоритета остальные классы трафика не пострадают. Однако в сети могут наблюдаться и другие ситуации. В частности, видеотрафик тоже требует первоочередного обслуживания, но имеет гораздо более высокую интенсивность. Для таких случаев разработаны алгоритмы управления очередями, дающие низкоприоритетному трафику некоторые гарантии даже в периоды повышения интенсивности высокоприоритетного трафика.

Взвешенные настраиваемые очереди

Алгоритм взвешенных очередей (Weighted Queueing) разработан для того, чтобы для всех классов трафика можно было предоставить определенный минимум пропускной способности или удовлетворить требования к задержкам. Под весом какого-либо класса понимается доля выделяемой данному виду трафика пропускной способности выходного интерфейса. Алгоритм, в котором вес классов трафика может назначаться администратором, называется «настраиваемой очередью» (Custom Queueing). В случае, когда веса назначаются автоматически, на основании некоторой адаптивной стратегии, реализуется так называемый алгоритм «взвешенного справедливого обслуживания» (Weighted Fair Queueing, WFQ).

Как при взвешенном, так и при приоритетном обслуживании, трафик делится на несколько классов, и для каждого вводится отдельная очередь пакетов. С каждой очередью связывается доля пропускной способности выходного интерфейса, гарантируемая данному классу трафика при перегрузках этого интерфейса. В примере, приведенном на рисунке 33, устройство поддерживает пять очередей для пяти классов трафика. Этим очередям соответствует 10, 10, 30, 20 и 30% пропускной способности выходного интерфейса при перегрузках.

Рисунок 33. Настраиваемые очереди Custom Queueing

 

Поставленная цель достигается благодаря тому, что очереди обслуживаются последовательно и циклически, и в каждом цикле из каждой очереди забирается такое число байт, которое соответствует весу очереди. Например, если цикл просмотра очередей в рассматриваемом примере равен 1 сек, а скорость выходного интерфейса составляет 100 Мбит/с, то при перегрузках в каждом цикле из первой очереди забирается 10 Мбит данных, из второй тоже 10 Мбит, из третьей - 30 Мбит, из четвертой - 20 Мбит, из пятой 30 Мбит. В результате каждому классу трафика достается гарантированный минимум пропускной способности, что во многих случаях является более желательным результатом, чем подавление низкоприоритетных классов высокоприоритетным

Точные значения параметров QoS для алгоритма взвешенного обслуживания предсказать трудно. Они существенным образом зависят от динамически изменяющихся параметров нагрузки сетевого устройства - интенсивности пакетов всех классов и вариаций промежутков времени между прибытием пакетов. В общем случае взвешенное обслуживание приводит к большим задержкам и их отклонениям, чем первоочередное обслуживание для самого приоритетного класса, даже при значительном превышении выделенной пропускной способности над интенсивностью входного потока данного класса. Но для более низких приоритетных классов взвешенное справедливое обслуживание часто оказывается более приемлемым с точки зрения создания благоприятных условий обслуживания всех классов трафика.

Взвешенное справедливое обслуживание

Взвешенное справедливое обслуживание (Weighted Fair Queuing, WFQ) - это комбинированный механизм обслуживания очередей, сочетающий приоритетное обслуживание со взвешенным. Производители сетевого оборудования предлагают многочисленные собственные реализации WFQ, отличающиеся способом назначения весов и поддержкой различных режимов работы, поэтому в каждом конкретном случае необходимо внимательно изучить все детали поддерживаемого WFQ.

Наиболее распространенная схема предусматривает существование одной особой очереди, которая обслуживается по приоритетной схеме - всегда в первую очередь и до тех пор, пока все заявки из нее не будут исполнены. Эта очередь предназначена для системных сообщений, сообщений управления сетью и, возможно, пакетов наиболее критических и требовательных приложений. Во всяком случае, предполагается, что её трафик имеет невысокую интенсивность, поэтому значительная часть пропускной способности выходного интерфейса остается другим классам трафика.

Остальные очереди устройство просматривает последовательно, в соответствии с алгоритмом взвешенного обслуживания (рисунок 34). Администратор может задать вес для каждого класса трафика аналогично тому, как это делается в случае взвешенного обслуживания. Вариант работы по умолчанию предусматривает для всех остальных классов трафика равные доли пропускной способности выходного интерфейса (за вычетом оставшейся от приоритетного трафика).

Рисунок 34. Взвешенное справедливое обслуживание Weighted Fair Queuing.

 

Производители оборудования дополняют механизм WFQ некоторыми полезными режимами. Например, в маршрутизаторах компании Cisco предусмотрено несколько разновидностей WFQ:

* основанный на потоках (Flow-based) режим WFQ (FWFQ);

* основанный на классах (Class-based) режим WFQ (CWFQ).

Для варианта FWFQ на базе потоков в маршрутизаторе создается столько очередей, сколько потоков существует в трафике. Каждому потоку соответствует отдельная выходная очередь, для которой в периоды перегрузок механизм WFQ выделяет равные доли пропускной способности порта. Поэтому иногда алгоритм FWFQ называют FQ (Fair Queuing) - справедливое обслуживание.

Вариант CWFQ на базе классов в маршрутизаторах Cisco имеет два подварианта:

· классы трафика определяются на основании так называемых групп QoS, соответствующих набору признаков из списка управления доступом (ACL), например, номеру входного интерфейса или номеру хоста или подсети;

· классы трафика определяются значениями полей ToS.

Для варианта групп QoS администратор задает веса пропускной способности, выделяемой каждой группе QoS, а также (опционально) максимальную длину очереди. Пакеты, неотнесенные ни к одной из групп, включаются в группу 0. При назначении весов WFQ нужно принимать во внимание следующее:

· группе QoS с номером 0 автоматически назначается 1% имеющейся пропускной способности;

· общий вес всех остальных групп не может быть более 99%;

· оставшаяся после назначения весов пропускная способность выделяется группе 0.

В варианте классификации на основании значении ToS предусматриваются веса классов по умолчанию. Они вступают в силу, если администратор явно не задал их с помощью команды weight. Для классификации используется два младших бита трехразрядного подполя IP Precedence из поля ToS, так что в этом варианте имеется всего четыре класса трафика. По умолчанию, классу 0 выделяется 10% выходной пропускной способности, классу 1 - 20%, классу 2 - 30% и классу 3 - 40%. Чем выше класс, тем важнее трафик, поэтому выделение большей доли пропускной способности создает для него более при вилегированные условия продвижения

Основы коммутации третьего уровня

Маршрутизаторы - устройства сложные и оказываются дороже, чем коммутаторы при том же уровне производительности. А из-за задержек на обработку… Идея коммутация на 3 уровне впервые была предложена компанией Ipsilon. На… 8.2. Классификация

Версии SIM

Версии 1.0 и 1.5 Версия SIMvl .5 предлагает следующие улучшения по сравнению с версией 1.0: · Возможность сохранения списка всех коммутаторов-участников в энергонезависимой памяти командного коммутатора. В…

Сегментация трафика (Traffic Segmentation)

  Рассмотрим пример (рисунок 48). Все компьютеры имеют доступ к общему порту, но… • в проектах ETTH (Ethernet То The Home, Ethernet до дома) для изоляции компьютеров конечных пользователей;

Протокол IEEE 802.1х

  До тех пор, пока клиент не будет аутентифицирован, протокол IEEE 802.1х будет… 7.1. Роли устройств

Протокол IGMP

Рассылка групповых сообщений IP (IP-мультикастинг) предоставляет приложениям два сервиса: 1. Доставка к нескольким пунктам назначения. Существует множество приложений, которые доставляют информацию…

IP-маршрутизация

• загруженность сетевого интерфейса: • задержка в подключенных каналах передачи данных; • стоимость передачи данных по каналам;

Основные термины 1Р-маршрутизации. Автономные системы

  Взаимодействие между локальными сетями в пределах автономной системы ASN производится в соответствии с правилами…

Сравнение маршрутизации по вектору расстояния и маршрутизации с учетом состояния канала связи

Отличаясь более быстрой сходимостью, алгоритмы состояния каналов несколько меньше склонны к образованию петель маршрутизации, чем алгоритмы вектора…   Суммирует вектор расстояния от одного маршрутизатора к …  

Протокол маршрутизации RIP

Маршрут здесь характеризуется вектором расстояния до места назначения. Предполагается, что каждый маршрутизатор является отправной точкой нескольких… • IP-адрес места назначения. • Маска подсети места назначения.

Протокол маршрутизации OSPF

6.1. Термины и определения протокола OSPF При описании алгоритма OSPF используются несколько специальных терминов и… • Автономная система (Autonomous System)

Алгоритм маршрутизации. Формат таблицы маршрутизации.

• Тип места назначения (Destination Туре) Это может быть либо «сеть», либо «маршрутизатор». При маршрутизации трафика… • Идентификатор места назначения (Destination ID)

Протокол SNMP

7.1. Определение и функции протокола

Протокол SNMP (Simple Network Management Protocol, простой протокол управления сетью) является протоколом Прикладного уровня, разработанный для выполнения двух задач:

• мониторинг сетевых устройств и сети в целом;

• управление сетевыми устройствами.

Протокол SNMP предоставляет возможность станциям управления считывать и изменять настройки шлюзов, маршрутизаторов, коммутаторов и прочих сетевых устройств.

7.2. Версии протокола SNMP

Опишем различия между версиями протокола SNMP и документы, определяющие эти версии. По состоянию на 2006 год единственной не устаревшей версией SNMP является SNMPv3, определённая в RFC 3411-3418.

SNMPvl

Первые RFC, описывающие стандарты SNMP, появились в 1988 году. Версия 1 подверглась критике за её посредственную модель безопасности на основе сообществ В то время безопасность в Интернете не входила в круг первоочередных задач рабочих групп IETF.

SNMPv2

Версия 2, известная так же, как Party-based SNMPv2, или SNMPv2p, не получила широкого распространения из-за серьёзных разногласий по поводу инфраструктуры безопасности в стандарте. SNMPv2 улучшал версию 1 в области быстродействия, безопасности, конфиденциальности и взаимодействий «менеджер-менеждер». Он представил новый тип PDU Get-Bulk-Request, альтернативу Get-Next-Request для получения больших объёмов информации при помощи одного запроса. Тем не менее, новая система безопасности на основе сторон выглядела для многих как чересчур сложная и не была широко признана.

SNMPv2c

Community-based SNMPv2, или SNMPv2c, представил SNMPv2 без новой модели безопасности версии 2. Вместо неё предлагалось использовать старую модель безопасности версии 1 на основе сообществ. Соответствующее предложение RFC было принято только как черновик стандарта, однако стало де факта стандартом SNMPv2. Безопасность SNMP снова оказалась нерешённым вопросом.

SNMPv2u

User-based SNMPv2, или SNMPv2u, является компромиссом между незащищённостью SNMPvl и чрезмерной сложностью SNMPv2p. Предложенная модель безопасности на основе пользователей была положена в основу SNMPv3.

SNMPv3

SNMPv3 наконец-то решил проблемы с безопасностью способом, который многие посчитали приемлемым. Версия 3 SNMP принята IETF как стандарт Интернета (IETF STD 62). Почти все предыдущие RFC признаны устаревшими. Документы, описывающие протокол SNMPv3, приведены ниже:

• Общая информация.

RFC 3411. An Architecture for Describing SNMP Management Frameworks.

• Обработка сообщений.

* Привязки к транспорту.

RFC 3417. Transport Mappings for the SNMP.

> Разбор и диспетчеризация сообщений.

RFC 3412. Message Processing and Dispatching for the SNMP.

> Безопасность.

RFC 3414. User-based Security Model (USM) for SNMPv3.

• Обработка PDU.

> Операции протокола.

RFC 3416. Version 2 of the Protocol Operations for SNMP.

> Приложения SNMP.

RFC 3413. SNMP Applications.

> Управление доступом.

RFC 3415. View-based Access Control Model (VACM) for the SNMP.

• Модули MIB.

RFC 3418. MIB for the SNMP.

7.3. Модель протокола SNMP. Общая модель

Модель приведена на рисунке 70. Основными взаимодействующими элементами протокола являются агенты (agent) и системы управления сетью (NMS, network management system). С точки зрения концепции «клиент-сервер» роль сервера выполняют агенты, то есть те самые устройства, для опроса состояния которых используется протокол SNMP. Соответственно, роль клиентов отводится системам управления - сетевым приложениям, необходимым для сбора информации о функционировании агентов. Взаимодействие агентов и систем управления осуществляется на основе сообщений протокола SNMP.

Агентами в SNMP являются программные модули, которые работают в управляемых устройствах. Агенты собирают информацию об управляемых устройствах, в которых они работают. Агент содержат всю информация об управляемом сетевом устройстве в базеуправляющей информации (MIB, management information base). MIB представляет собой совокупность объектов, доступных для операций записи-чтения.

В любой управляемой сети может иметься одна или более NMS. NMS выполняют прикладные программы сетевого управления, которые представляют информацию управления конечному пользователю.

Рисунок 70.

 

Структура базы MIB

На данный момент существует четыре типа информационной базы MIB:

1. Internet MIB - информационная база объектов для обеспечения диагностики ошибок и конфигураций. Включает в себя 171 объект (в том числе и объекты MIB I).

2. LAN manager MIB - база из 90 объектов - пароли, сессии, пользователи, общие ресурсы.

3. WINS MIB - база объектов, необходимых для управления и диагностики WINS-сервера (в серверах Microsoft Windows физически находится в файле WINSMIB.DLL).

4. DHCP MIB - база объектов, необходимых для управления и диагностики DHCP-сервера (в серверах Microsoft Windows физически находится в файле DHCPMIB.DLL).

Структуру MIB определяет документ, называемый SMI (Structure of Management Information, структура управляющей информации). Все MIB имеют иерархическую древовидную структуру. Все базы содержат десять корневых алиасов (ветвей), представленных на рисунке 71:

1. System - данная группа MIB II содержит в себе семь объектов, каждый из которых служит для хранения информации о системе (версия ОС, время работы и т.д.).

2. Interfaces - содержит 23 объекта, необходимых для ведения агентами статистики по сетевым интерфейсам управляемого устройства (количество интерфейсов, размер MTU, скорость передачи данных, физические адреса и т.д.).

3. AT - содержит 3 объекта, отвечающих за трансляцию адресов. Более не используется. Была включена в MIB I. Примером использования объектов AT может послужить простая ARP таблица соответствия физических (MAC) адресов сетевых карт IP адресам машин. В SNMP v2 эта информация была перенесена в MIB для соответствующих протоколов.

4. IP- содержит 42 объекта, в которых хранятся данные о проходящих IP пакетах.

5. ICMP - содержит 26 объектов со статистикой об ICMP-сообщениях.

6. TCP - содержит 19 объектов, хранящих статистику по протоколу TCP (соединения, открытые порты и т.д.).

7. UDP - содержит 6 объектов, хранящих статистику по протоколу UDP (входящие/исходящие датаграммы, порты, ошибки).

8. EGP - содержит 20 объектов - данные о трафике Exterior Gateway Protocol.

9. Transmission - зарезервирована для специфических задач.

10. SNMP- содержит 29 объектов, в которых хранится статистика по SNMP-протоколу (входящие/исходящие пакеты, ограничения пакетов по размеру, ошибки, данные об обработанных запросах и многое другое).

Рисунок 71.

 

Каждая из ветвей в свою очередь также представима в виде дерева. Например, к адресу администратора мы можем обратиться посредством такого пути: system.sysContact.O, ко времени работы системы system.sysUpTime.O. С другой стороны те же данные могут задаваться и в точечной нотации. Так system.sysUpTime.O соответствует значение 1.3.0, так как system имеет индекс «1» в группах MIB II, a sysUpTime - «3» в иерархии группы system. Ноль в конце пути говорит о скалярном типе хранимых данных. В процессе работы SNMP-протокол использует точечную нотацию, то есть если менеджер запрашивает у
агента содержимое параметра system.sysDescr.O, то в строке запроса ссылка на объект будет преобразована в «1.1.0».

Дерево MIB расширяемо благодаря экспериментальным и частным ветвям Например, поставщики могут определять свои собственные ветви для включения реализаций своих изделий. В настоящее время вся работа по стандартизации ведется на экспериментальной ветви.

SMI определяет следующие типы данных MIB:

1. Network addresses (сетевые адреса) - символьные строки, представляющие адреса из конкретного стека протоколов. В настоящее время единственным примером сетевых адресов являются 32-битовые IP-адреса.

2. Counters (счетчики) - неотрицательные целые числа, которые монотонно увеличиваются до тех пор, пока не достигнут максимального значения, после чего они сбрасываются до нуля. Примером счетчика является общее число байтов, принятых интерфейсом.

3. Gauges (измерители) - неотрицательные целые числа, которые могут увеличиваться или уменьшаться, но фиксируются при достижении максимального значения. Примером типа «gauges» является длина очереди, состоящей из выходных пакетов.

4. Ticks (тики) - сотые доли секунды, прошедшие после какого-нибудь события. Примером типа «ticks» является время, прошедшее после вхождения интерфейса в свое текущее состояние.

5. Opaque (непрозрачный) - произвольное тип данных. Используется для передачи произвольных информационных последовательностей, находящихся вне пределов точного печатания данных, которое использует SMI.

Основные команды системы NMS

Если NMS хочет проконтролировать какое-либо из управляемых устройств, она делает это путем отправки ему сообщения с указанием об изменении значения одной из его переменных. В целом управляемые устройства отвечают на четыре типа команд (или инициируют их):

1. Reads.

Для контролирования управляемых устройств NMS считывают переменные, поддерживаемые этими устройствами.

2. Writes.

Для контролирования управляемых устройств NMS записывают переменные, накопленные в управляемых устройствах

3. Traversal operations.

NMS используют операции прослеживания, чтобы определить, какие переменные поддерживает управляемое устройство, а затем собрать информацию в таблицы переменных.

4. Traps.

Управляемые устройства используют «ловушки» для асинхронных сообщений в NMS о некоторых событиях.

7.4. Протокол SNMPv3

Начиная с января 1998 года, выпущен набор документов, посвященных SNMPv3. В этой нерсии существенно расширена функциональность, разработана новая система безопасности.

Протокол обмена данными

Ниже на рисунке 72 приведена временная диаграмма, на которой в общем виде пред-
ставлен протокол обмена SNMP-сообщениями. Для своей работы протокол SNMP ис-
пользует транспортный протокол UDP, в основном 161 порт. Но для trap-сообщений ис-
пользуется 162 порт. Возможные команды протокола SNMPv3 приведены в таблице 3.5.

Рисунок 72.

 

Таблица 3.5. Основные команды протокола SNMPv3. Команда SNMP Тип PDU Назначение GET-request Получить значение указанной переменной или информацию о состоянии сетевого элемента. GET-next-request Получить значение переменной, не зная точ- ного её имени (следующий логический иден- тификатор на дереве MIB). SET-request Присвоить переменной соответствующее зна- чение. Используя для описания действия, ко- торое должно быть выполнено. GET-response Отклик на GET-request, GET-next-request и SET-request. Содержит также информацию о состоянии (коды ошибок и другие данные). TRAP Отклик сетевого объекта на событие или на изменение состояния. GetBulkRequest Запрос пересылки больших объемов данных, например, таблиц. Inform Request Менеджер обращает внимание партнёра на определенную информацию в MIB. SNMPv3-Trap Отклик на событие (расширение по отноше- нию к v1 и v2). Report Отчёт (функция пока не задана).

 

Формат SNMP-сообщения Полное описание формата сообщения протокола SNMPv3 дано в документе RFC-3412 в разделе 6 «The SNMPv3 Message Format». Формат сообщения представлен на рисунке 73. Рисунок 73.

 

SNMP-сообщение логически разделено на три части:

1. Часть, которая формируются отправителем в рамках модели обработки сообщений и обрабатываются получателем.

2. Часть, отвечающая за функции безопасности.

3. Собственно поле данных.

В данном разделе дано описание полей первой и третей частей. Описание полей безопасности дано в разделе 6.5.

Для реализации модели обработки сообщений используются следующие поля:

• msgVersion. Версия протокола. Для протокола SNMPv3 значение в поле равно 3.

• msglD. Уникальный идентификатор, используемый SNMP-сущностями для установления соответствия между запросом и откликом. Значение msglD лежит в диапазоне 0 - (2³¹-1).

• msgMaxSize. Максимальный размер сообщения в октетах, поддерживаемый отправителем. Его значение лежит в диапазоне 484 - (2³¹-1) и равно максимальному размеру сегмента, который может воспринять отправитель.

• msgFlags. Однобайтовая строка, содержащая три флага в младших битах:

Ø reportableFlag. Если reportableFlag=1, то должно быть прислано сообщение с отчётом (команда Report). Флаг reportableFlag устанавливается отправителем во всех сообщениях запроса (команды Get, Set, Inform). Флаг устанавливается равным нулю в откликах и Trap-уведомлениях:

Ø privFlag

Ø authFlag.

Флаги privFlag и authFlag устанавливаются отправителем для индикации уровня безопасности для данного сообщения. Для privFlag=1 используется шифрование, а для authFlag=0 - аутентификация. Допустимы любые комбинации значений флагов кроме privFlag=1 AND authFlag=0 (шифрование без аутентификации).

• msgSecurityModel. Идентификатор со значением в диапазоне 0 - (2³¹-1), который указывает на модель безопасности, используемую при формировании данного сообщения. Зарезервированы значения 1 - для SNMPvl, 2 и 3 - для SNMPv3.

7.5. Безопасность протокола SNMPv3. Модели безопасности протоколов SNMPv1-v3

Перечислим модели безопасности, применяющиеся в соответствующих версиях протокола SNMP:

1. SNMPvl

SNMPvl - Community-based Security Model

2. SNMPv2

SNMPv2p - Party-based Security Model
SNMPv2c - Community-based Security Model
SNMPv2u - User-based Security Model

3. SNMPv3

SNMPv3 - USM User-based Security Model

Модель безопасности на основе сообществ

Модель безопасности на основе сообществ (Community-based Security Model) была первой, самой простой и самой небезопасной. Она подразумевает лишь аутентификацию на основе «строки сообщества», фактически, пароля, передаваемого по сети в теле сообщения SNMP в открытом тексте. Эта модель безопасности не в состоянии бороться ни с одной из угроз информационной безопасности. Тем не менее, она часто используется до сих пор в связи со своей простотой, а также благодаря наличию внешних, не связанных с SNMP систем безопасности, например, межсетевых экранов.

Модель безопасности на основе сторон

Модель безопасности на основе сторон (Party-based Security Model) подразумевает введение понятие стороны. Сторона — это виртуальное окружение исполнения, в котором набор допустимых операций ограничен административно. Сущность SNMP при обработке сообщения действует как сторона, поэтому ограничена операциями, определёнными для этой стороны. Сторона определяется следующими параметрами:

1. Уникальный идентификатор стороны.

2. Логический сетевой адрес (адрес транспортного протокола).

3. Протокол аутентификации и параметры, требующиеся для аутентификации всех сообщений стороны.

4. Протокол шифрования и параметры, требующиеся для шифрования всех сообщений стороны.

Могут использоваться различные алгоритмы для протоколов аутентификации и шифрования. Обычно в качестве алгоритма для протокола аутентификации используют хэш-функцию Message Digest 5 (MD5), а для протокола шифрования — алгоритм Data Encryption Standard (DES) в режиме Cipher Block Chaining (CBC). При использовании соответствующих протоколов аутентификации и шифрования модель успешно справляется с большинством угроз безопасности. Данная модель безопасности не была широко принята, поскольку показалась многим слишком сложной и запутанной.

Модель безопасности на основе пользователей

Модель безопасности на основе пользователей (User-based Security Model) вводит понятие пользователя, от имени которого действует сущность SNMP. Этот пользователь характеризуется именем пользователя, используемыми протоколами аутентификации и шифрования, а также закрытым ключом аутентификации и шифрования. Аутентификация и шифрование являются необязательными. Модель безопасности во многом похожа на модель на основе сторон, но она упрощает идентификацию пользователей, распределение ключей и протокольные операции

Модель безопасности USM

1. Когда SNMP-сообщение содержит поле данных, которое предполагает отклик (например, Get, GetNext, GetBulk, Set или Inform), получатель такого… 2. Когда SNMP-сообщение содержит поле данных, которое не предполагает посылку… Таким образом, сообщения, посланные генератором команд, и сообщения Inform, посланные отправителем уведомлений,…