2.5. Методы доступа и протоколы передачи данных в локальных сетях
В различных сетях существуют различные процедуры обмена данными между рабочими станциями. Эти процедуры называют протоколами передачи данных. Международный институт инженеров по электротехнике и радиоэлектронике (Institute of Electronics Engineers-IEEE) разработал стандарты для протоколов передачи данных в локальных сетях — стандарты IЕЕЕ802. Для нашей страны представляют практический интерес стандарты IЕЕЕ802.3, IЕЕЕ802.4 и IЕЕЕ802.5, которые описывают методы доступа к сетевым каналам данных. Метод доступа – набор правил, которые определяют, как компьютер должен отправлять и принимать данные по сетевому кабелю.
Наиболее распространенные методы доступа: Ethernet, Arcnet и Token Ring реализованы соответственно на стандартах IЕЕЕ802.3, IЕЕЕ802.4 и IЕЕЕ802.5. (Для простоты изложения далее используются названия методов доступа, а не стандартов.)
Метод доступа Ethernet. Этот метод, разработанный фирмой Xerox в 1975 г., обеспечивает высокую скорость передачи данных и надежность.
Для данного метода доступа используется топология «общая шина». Поэтому сообщение, отправляемое одной рабочей станцией, принимается одновременно всеми остальными станциями, подключенными к общей шине. Но сообщение предназначено только для одной станции (оно включает в себя адрес станции назначения и адрес отправителя). Та станция, которой предназначено сообщение, принимает его, остальные игнорируют.
Ethernet является методом множественного доступа с прослушиванием несущей и разрешением коллизий (конфликтов). Перед началом передачи каждая рабочая станция определяет, свободен канал или занят. Если канал свободен, станция начинает передачу данных.
Ethernet не исключает возможности одновременной передачи сообщений двумя или несколькими станциями. Аппаратура автоматически распознает такие конфликты, называемые коллизиями. После обнаружения конфликта станции задерживают передачу на короткое время. Для каждой станции его продолжительность своя. После задержки передача возобновляется. Реально конфликты приводят к снижению быстродействия сети только в том случае, когда работают 80-100 станций.
Метод доступа Arcnet. Этот метод доступа разработан фирмой Datapoint Corp. Он тоже получил широкое распространение, в основном благодаря тому, что оборудование Arcnet дешевле, чем оборудование Ethernet или Token Ring. Arcnet используется в локальных сетях с топологией «звезда». Один из компьютеров создает специальный маркер (специальное сообщение), который последовательно передается от одного компьютера к другому. Если станция должна передать сообщение, она, получив маркер, формирует пакет, дополненный адресами отправителя и назначения. Когда пакет доходит до станции назначения, сообщение «отцепляется» от маркера и передается станции.
Метод доступа Token Ring. Этот метод разработан фирмой IBM; он рассчитан па кольцевую топологию сети. Данный метод напоминает Arcnet, так как тоже использует маркер, передаваемый от одной станции к другой. В отличие от Arcnet при методе доступа Token Ring предусмотрена возможность назначать разные приоритеты разным рабочим станциям.
Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
Протоко́л (др.-греч. πρωτόκολλον; от πρώτος «первый» + κόλλα «клей») изначально — документ, фиксирующий какое-либо событие, факт или договорённость.
Wikipedia
Разберемся в базовых протоколах с стандартах
Группа стандартов Ethernet IEEE 802.3
Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:
Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:
- IEEE 802.3z (1 Гбит/с);
- IEEE 802.3ae-2002 (10 Гбит/с);
- IEEE 802.3ba (40 Гбит/с) — да, время пришло.
Питание по PoE (Power over Ethernet)
Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:
Мощность на PSE (Power Supply Equipment), Вт
Мощность на PD (Powered Device), Вт
Следует различать две характеристики мощности:
- PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;
- PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).
VLAN (Virtual Local Area Network)
Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN’ов с 2 по 1000 включительно.
Деление устройств на VLAN’ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.
Протоколы обмена базой данных VLAN’ов
Протоколы обмена базой данных VLAN’ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN’ов:
Саму возможность передачи сообщений протоколов для обмена базой данных VLAN’ов также лучше отключить (использование transparent mode также не рекомендуется, т.к. это создает среду для передачи сообщений данного протокола).
DTP (Dynamic Trunking Protocol)
DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.
LACP (Link Aggregation Control Protocol)
Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.
STP (Spanning Tree Protocol)
Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:
- На всех портах типа access рекомендуется включить port edge с двумя целями: a) Отсутствие лишних сообщений STP TCN в L2 домене при выключении / включении устройства в порт коммутатора; b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;
- На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;
- На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;
- Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);
- Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;
- Нежелательно использование half duplex портов;
- На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;
Storm-control
Рекомендуется предусмотреть механизм контроля широковещательных (broadcast), многоадресных (multicast) штормов. Максимальный уровень broadcast или multicast трафика рекомендуется выставить на 10 процентов от полосы пропускания интерфейса. При достижении порогового значения будет хорошо, если система как минимум будет отправлять SNMP trap и syslog сообщение.
DHCP snooping
На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.
Dynamic ARP inspection
На всех VLAN’ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.
Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.
LLDP (Link Layer Discovery Protocol, IEEE 802.1AB)
Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.
Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.
VRRP (Virtual Router Redundancy Protocol)
Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).
OSPF (Open Shortest Path First)
Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.
Для обеспечения безопасности протокола OSPF рекомендуется обеспечить шифрование передаваемых служебных сообщений протокола OSPF методом MD5 или hmac-sha-256 (наиболее приоритетный метод).
Наиболее общие настройки сетевого оборудования
Доступ на активное сетевое оборудование
- Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;
- Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;
- Для подключения к сетевому оборудованию рекомендуется использовать SSHv2, HTTPS, API;
- В целях безопасности доступы по HTTP и telnet рекомендуется закрыть;
- Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;
- Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;
Типы портов (L2)
Access порт – это порт, который передает и принимает только нетегированные фреймы.
Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.
Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).
Рекомендации по настройке access и гибридных портов:
- port edge;
- stp root guard;
- stp bpdu guard;
- DHCP-snooping untrust;
- ARP-inspection (только если устройство получает IP-адрес динамически);
- rate-limit (multicast, broadcast);
- switch off SNMP trap, SYSLOG;
- выключить DTP negotiation;
- IEEE 802.1x (при необходимости авторизации);
- Port-Security (при необходимости).
Рекомендации по конфигурации trunk портов между коммутаторами
- В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;
- Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);
- На всех trunk портах рекомендуется явно указать тип порта point-to-point;
- На всех trunk портах рекомендуется разрешить все VLAN’ы, которые используются на коммутаторе.
Рекомендации к конфигурации ACL
Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например: