рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Версии SIM

Версии SIM - раздел Политика, Технологии построения сетей Ethernet. Правление потоком в полнодуплексном режиме. Зеркалирование портов. Объединение портов в магистральные линии связи. Виртуальные сети Существуют Следующие Версии Sim: 1.0, 1.5 И 1.6. Ниже Они Будут Рассмотрены В...

Существуют следующие версии SIM: 1.0, 1.5 и 1.6. Ниже они будут рассмотрены в сравнении.

Версии 1.0 и 1.5

Версия SIMvl .5 предлагает следующие улучшения по сравнению с версией 1.0:

· Возможность сохранения списка всех коммутаторов-участников в энергонезависимой памяти командного коммутатора. В версии SIMvl.0 командный коммутатор не имел возможности сохранять информацию о коммутаторах-участниках в своей памяти.

· Следовательно, если коммутатор-участник перегружался, он принимал статус коммутатора CaS. В версии SIMvl.5, если информация о коммутаторе-участнике была сохранена в памяти командного коммутатора, то после перезагрузки коммутатору участнику автоматически присваивался статус MS. Если же перегружается командный коммутатор, то он заново собирает информацию о топологии сети.

· Возможность отображения информации о магистральных группах (trunks) в топологической карте сети. В версии SIMvl .0 отображалась только пропускная способность порта вне зависимости от его принадлежности к магистральной группе. Версия SIMvl .5 показывает пропускную способность всей магистральной группы, а не порта. Когда организована магистральная группа, на топологической карте отражается множество линий.

· Меньший размер программного обеспечения.

· Поддержка масштабирования топологической карты при просмотре через web-браузер.

· Поддержка нескольких конфигурационных загрузочных файлов

Версии 1.5 и 1.6

Несмотря на улучшения по сравнению с предыдущей версией версия SIMvl.5 имеет несколько недостатков, связанных с безопасностью. Большинство подобных недостатков связаны с передачей пакетов без возможности их шифрования. Таким образом, версия SIMvl .6 призвана улучшить безопасность технологии SIM путём добавления механизмов шифрования/дешифрования. Существует обратная совместимость версий 1.6 и 1.5.

Формат пакета

Ниже (рисунок 43) приведён формат пакета для версии 1.6. Данный формат пакета применим для пакетов обнаружения (Discovery Packets), пакетов отчёта (Report Packets), пакетов поддержки (Maintence Packets), конфигурационных пакетов (Configuration Packets) и пакетов перенаправления (Redirection Packets) и не применим для пакетов построения топологии (Topology Packets). Также стоит отметить, что, когда устройство, не поддерживающее шифрование, получает зашифрованный пакет, то данное устройство будет отбрасывать пакеты обнаружения и отчётов.

Рисунок 43.

 

Назначение полей в пакете формата secure то же самое, что в пакете формата unsecure, за исключением следующих полей:

• Version - версия пакета SIM. Версия пакета представленного формата - 0x02.

• Reserved - длина этого поля меняется от 5 до 4 байт. Значение поля всегда составляет 0x00.

• Secure Algorithm - алгоритм шифрования:

o 0x00 - отсутствует;

o 0x01 - внутренний алгоритм D-Link (XOR);

o 0x01 ... OxFF - зарезервировано для дальнейшего использования.

• Payload - полезная зашифрованная нагрузка.

Операции SIMvl .6

Операции SIM версии 1.6 разделены на три уровня (этапа):

* Collection - сбор информации;

* Maintenance - поддержка;

* Managment - управление.

Этап сбора информации (Collection Stage)

На данном этапе командный коммутатор CS периодически рассылает пакеты отчёта Report (как зашифрованные, так и нет) коммутатором-кандидатам CaS, а кандидаты с той же периодичностью рассылают пакеты обнаружения Discovery. Пакеты Report/Discovery с поддержкой механизма безопасности будут зашифрованы алгоритмом по умолчанию. Дополнительно некоторая информация о механизмах безопасности включается в полезную нагрузку. Это данные о максимальных и предпочитаемых уровнях безопасности, которые поддерживает устройство.


 

Следующая диаграмма (рисунок 44) иллюстрирует операции, производимые коммутатором CS после получения данных от коммутаторов CaS:

1. Коммутатор CaS посылает одновременно два Discovery-пакета (один зашифрованный, другой - нет).

2. Когда коммутатор CS получает незашифрованный пакет, он ждёт 20 секунд до получения зашифрованного Discovery-пакета. Если в течение данного интервала времени зашифрованный пакет будет получен, то командный коммутатор определит коммутатор CaS как коммутатор, поддерживающий механизмы безопасности. Иначе коммутатор CaS будет определён как коммутатор, не поддерживающий механизмы безопасности.

3. Далее информация о коммутаторе CaS будет записана в базу данных коммутаторов CaS.

Рисунок 44.

 

Этап поддержки (Maintenance Stage)

После обмена Discovery/Report-пакетами наступает этап поддержки. Следующий рисунок 45 показывает операции, выполняемые в командном коммутаторе, по добавлению и конфигурированию коммутаторов CaS как членов его SIM-группы и операции, выполняемые в коммутаторе CaS, по получению команды для присоединения к SIM-группе.

Рисунок 45.

 

Этап управления

Назначение данного этапа перевести коммутатора-кандидата в роль коммутатораучастника (MS). Новый коммутатор MS примет и последует методу обмена информацией, установленном на данном этапе, для взаимодействия с остальными коммутаторами участниками и командным коммутатором своей группы.

Взаимодействия в топологии SIM

Взаимодействие между коммутаторами в топологии SIM могут осуществляться в 5 различных режимах (в зависимости от того, поддерживает ли командный коммутатор механизмы безопасности или нет):

1. Когда командный коммутатор не поддерживает механизмы безопасности, всё взаимодействие между ним и остальными участниками группы происходит без применения шифрования. Возможные режимы обмена для данного случая показаны на рисунке 46.

Рисунок 46.

 

2. Когда все коммутаторы группы (CS, MSs, CaSs) поддерживают механизмы безопасности, все взаимодействия между ними производятся только в безопасном режиме. Данная концепция проиллюстрирована в режиме 1 (Mode #1) на рисунке 47. Остальные режимы иллюстрируют ситуации, когда тот или иной член группы не поддерживает механизмы безопасности.

Рисунок 47.

 

II. Технологии обеспечения безопасности передачи данных в сетях Ethernet

1. Ограничение количества управляющих компьютеров

Современные коммутаторы позволяют задать конкретные компьютеры (IP-адреса), с которых будет происходить настройка данных коммутаторов по Web- или Telnet- инерфейсам или через протокол SNMP. Попьдка прочих компьютеров подключиться к коммутаторам для управления ими будет отклонена.

2. Настройка безопасности индивидуального порта

Данная функция позволяет:

• заблокировать дальнейшее обновление таблицы коммутатора - если конфигурирование Вашей сети больше не изменятся, Вы блокируете таблицу коммутации, и коммутатор будет просто отбрасывать все пакеты, которые поступают с неизвестных адресов. Причём данное действие можно выбрать для конкретных портов. При этом записи в таблице коммутации не будут удаляться по тайм-ауту;

• задать максимальное количество МАС-адресов для привязки к конкретному порту.

3. Фильтрация МАС-адресов

Дополнительно можно настроить коммутатор так, чтобы он не принимал пакеты с определенным МАС-адресом (как получателя, так и отправителя). Для этого служит таблица фильтрации трафика (Filtering Table). Фактически данная таблица является «чёрным списком». После получения пакета коммутатор считывает оба аппаратных адреса, как получателя, так и отправителя. Если хотя бы один из них содержится в таблице фильтрации, то пакет отбрасывается.

4. Технология фильтрации IP-MAC Binding

Основное назначение данной технологии - это ограничить доступ к коммутатору определённого количества компьютеров. Для этого индивидуально для каждого желаемого порта создаётся таблица соответствия IP- и МАС-адресов. Далее коммутатор будет пропускать только пакеты с указанными МАС-адресами и только в том случае, если истинно соответствие IP- и МАС-адреса.

Существенные отличия данной технологии от технологии фильтрации МАС-адресов:

• фильтрация работает на всех портах, а в данной технологии можно настраивать каждый порт в отдельности;

• фильтрация содержит «чёрный» список, то есть работает по принципу: не пропускать те пакеты, МАС-адреса которых содержатся в таблице фильтрации. Данная технология, наоборот, содержит «белый» список, то есть пропускает только те пакеты, МАС-адреса которых содержатся в созданных списках;

• в отличие от фильтрации технология IP-MAC Binding проверяет не только МАС-адрес источника пакета, но и его IP-адрес.

5. Списки контроля доступа (Access Control Lists)

Списки контроля доступа обеспечивают ограничение прохождения трафика через коммутатор. Фактически технология ACL реализует на коммутаторах 3-го уровня полноценный фильтр пакетов. Приём пакетов или отказ в приёме основывается на определённых признаках, которые содержит пакет:

· IP- и МАС-адреса источника и приёмника;

· номер VLAN;

· номер порта TCP или UDP;

· тип ICMP-сообщения.

Ключевым понятием в данной технологии является понятие профиля доступа - это набор признаков, который содержит пакет, с определёнными значениями. Каждый профиль доступ имеет свой уникальный номер в пределах коммутатора. Пример профилей доступа:

1: <VLAN = Yes, Source MAC = 00-01-08-DE-FA-10, Destination MAC = 00-01-07-DE-FA-10>
2 <VLAN = Yes, Source IP = 192.168.3.1, Destination IP = 192.168.10.2, TCP port = Yes>

Помимо приведенных примеров существуют также контекстно-зависимые профили. Основное отличие контекстно-зависимых профилей от всех остальных заключается в том, что в них признаки задаются смещением относительно начала кадра Ethernet. Например, чтобы указать МАС-адрес источника пакета в контекстно-зависимом профиле необходимо указать смещение Offset = 6 байтам и далее значение МАС-адреса, так как данный адрес располагается в заголовке кадра Ethernet с 7 по 12 байт включительно.

Профиль является всего лишь образцом (некоторым эталоном), на основе которого создаются правила. Правила представляют собой профиль, заполненный конкретными значениями признаков и содержащий действие, которое необходимо выполнить над пакетом, если он попадает под эти признаки. Обычно действие - это удалить или продвинуть пакет. Для каждого профиля может быть создано более одного правила. Например, для вышеприведённого профиля с Ю=2 могут быть созданы следующие правила:

Accept: <VLAN = Default, Source IP = 192.168.3.1, Destination IP = 192.168.10.2, TCP port = 514>
Deny: <VLAN = Marketing. SourcelP= 192.168.3.1, Destination IP = 192.168.10.2, TCP port = 8080>

При поступлении пакета на коммутатор профили доступа применяются последовательно, в порядке возрастания их номеров. Пакет проверяется на соответствие условиям, указанным во всех правилах профиля, начиная с первого профиля. Если правило подходит, пакет в соответствие с действием обработки либо принимается, либо отбрасывается и дальше не проверяется. Если пакет не попадает ни под одно правило профиля, то пакет проверяется по правилам следующего профиля. Если не один профиль не подходит, то применяется политика по умолчанию - разрешающая или запрещающая прохождение трафика.

Очень важно правильно расставлять профили и правила внутри профилей потому, что если пакет попадает хотя бы под одно запрещающее правило, то он удаляется из коммутатора и дальше не проверяется на соответствие другим правилам, даже если среди них есть правила, которые могли бы его пропустить дальше.

– Конец работы –

Эта тема принадлежит разделу:

Технологии построения сетей Ethernet. Правление потоком в полнодуплексном режиме. Зеркалирование портов. Объединение портов в магистральные линии связи. Виртуальные сети

Научно производственное предприятие Учебная техника Профи.. Учебно лабораторный стенд..

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Версии SIM

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Управление потоком в полнодуплексном режиме (IEEE 802.Зх Flow Control in full-duplex compliant)
Дуплексный режим работы требует наличия такой дополнительной функции, как управление потоком. Она позволяет принимающему узлу (например, порту сетевого коммутатора)в случае переполнение буфера дать

Виртуальные сети (Virtual LAN)
Виртуальная ЛВС (VLAN, Virtual LAN) - логическая группа компьютеров в пределах одной реальной ЛВС, за пределы которой не выходит любой тип трафика (широковещательный [broadcast], многоадресный [mul

Протоколы связующего дерева (Spanning Tree Protocols)
Для обеспечения надежности работы сети зачастую необходимо использовать резервные линии связи. Базовые протоколы локальных сетей поддерживают только древовидные, то есть не содержащие замкнутых кон

Основы коммутации третьего уровня
8.1. Причины появления Маршрутизаторы - устройства сложные и оказываются дороже, чем коммутаторы при том же уровне производительности. А из-за задержек на обработку информации маршрутизато

Сегментация трафика (Traffic Segmentation)
Сегментация трафика служит для разграничения портов на Канальном уровне. Данная функция позволяет настраивать порты или группу портов таким образом, чтобы они были изолированы друг от друга, но в т

Протокол IEEE 802.1х
Протокол IEEE 802.1х является механизмом безопасности, обеспечивающим аутентификацию и авторизацию пользователей и тем самым ограничивающим доступ проводных или беспроводных устройств к покальной с

Протокол IGMP
2.1. Рассылка групповых сообщений в сети Internet Рассылка групповых сообщений IP (IP-мультикастинг) предоставляет приложениям два сервиса: 1. Доставка к нескольким пункт

IP-маршрутизация
Основная задача любой сети - транспортировка информации от ЭВМ-отправителя к ЭВМ-получателю В большинстве случаев для этого нужно совершить несколько пересылок. Проблему выбора пути решают алгоритм

Основные термины 1Р-маршрутизации. Автономные системы
Автономной системой называют такую локальную сеть или систему сетей, которые имеют единую администрацию и общую маршрутную политику. Концепция автономных систем предполагает разбиение сети на отдел

Сравнение маршрутизации по вектору расстояния и маршрутизации с учетом состояния канала связи
Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В больших сетях они засоряют линии связи интенсивным широковещательным трафиком. К тому же изменения конфигурации могут от

Протокол маршрутизации RIP
Протокол RIP является одним из первых, которые были использованы в информационно - вычислительных сетях вообще и в сети Internet - в частности. Этот протокол маршрутизации предназначен для сравните

Протокол маршрутизации OSPF
Протокол OSPF (Open Shortest Path First, RFC-1245-48, RFC-1370, RFC-1583-1587, RFC-1850, RFC-2328-29, RFC-3137) является стандартным протоколом маршрутизации для использования в системах сетей IP л

Алгоритм маршрутизации. Формат таблицы маршрутизации
Структура таблицы маршрутизации (ТМ) содержит всю информацию, необходимую для перенаправления IP датаграммы к месту назначения. Каждая запись ТМ описывает набор лучших маршрутов к какому-либо месту

Модель безопасности USM
Модель безопасности USM (User-Based Security Model) использует концепцию авторизованного сервера (authoritative Engene). При любой передаче сообщения одна или две сущности, передатчик или приемник,

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги