- Стандарты компьютерных сетей — типы и документы
- Типы стандартов
- Стандарты для сетей
- Стандарты IEEE
- Совет по архитектуре интернета
- Документы RFC
- Консорциум W3C (World Wide Web)
- Заключение
- Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
- Разберемся в базовых протоколах с стандартах
- Наиболее общие настройки сетевого оборудования
Стандарты компьютерных сетей — типы и документы
Сейчас для нас естественно, то что мы можем подключиться к компьютерным сетям, например к интернету, практически с любого устройства, смартфона, ноутбука, планшета, и другой техники. Независимо от производителя этого оборудования, какая операционная система (ОС) используется, и какие программы мы применяем.
Но в самом начале развития сетей (1960-1970 годы) устройство одного производителя, например IBM, работало по сети только с устройствами IBM, а устройствами других производителей нет. Основные причины это:
- Несовместимость оборудования между собой;
- Несовместимость ПО;
- Использование разных сетевых протоколов.
Для того, чтобы решить эти задачи, нужны стандарты на оборудование, на ПО и на сетевые протоколы.
Типы стандартов
Юридические стандарты (De jure) принимают организации, которые имеют право на это.
Фактические стандарты (De facto) — это стандарты, которые установились сами по себе, их никто не принимал. К примеру, появилась новая технология, которая быстро развилась и стала популярной. Как это произошло со стеком протоколов TCP/IP, который сейчас основа сети интернет.
Стандарты для сетей
Принимается огромное множество разных стандартов, но есть самые значимые:
- Международная организация по стандартизации (IOS) приняла стандарт на эталонную модель OSI, описывающая, как должны строиться компьютерные сети.
- Институт инженеров по электронике и электротехнике (IEEE) принимающие стандарты на технологи по передачи данных.
- Совет по архитектуре интернета (IAB) принимает стандарты на протоколы интернет.
- Консорциум W3C принимает стандарты в область Web.
Стандарты IEEE
Институт ieee утверждает стандарты не только в компьютерных сетях, но также в других сферах электроники, электротехники. Институт поделен на комитеты. Разработкой стандартов для комп. сетей занимается комитет под № 802.
Каждый № это семейство стандартов. Например, 802.3 описывает разные варианты технологий Ethernet, такие как, Fast Ethernet, Gigabit Ethernet и 10 Gigabit Ethernet.
Совет по архитектуре интернета
Совет поделён две части. Группа исследования интернет (Internet Research Task Force, IRTF) проводит перспективные исследования в области интернет.
Часть №2 группа проектирования интернет (Internet Engineering Task Force, IETF) производит стандарты на сетевые протоколы. IETF подготавливает документы RFC (Request for Comments) или запросы на комментарии. Вот эти доки содержат подробное описание протоколов интернет. Если вы будите использовать другие протоколы, то ваше устройство и ПО не сможет работать в сети интернет.
Документы RFC
У каждого документа RFC есть индивидуальный номер и он описывает какой-либо протокол интернет.
Существуют много документов RFC , с которыми вы можете ознакомиться.
Консорциум W3C (World Wide Web)
W3C разрабатывает стандарты для Веб. Документы консорциума, также как и RFC формально, они не называются стандартами, а называются рекомендациями. Но если вы не последуете этим рекомендациям, то не сможете поработать с web.
Самые важные рекомендации консорциума w3c это:
- Язык разметки html;
- Таблицы стилей css, которые нужны для создания web-страниц;
- Рекомендации на архитектуру Веб-сервисов;
- И язык разметки xml.
Но существуют еще рекомендации, которые в свободном доступе на сайте консорциума .
Заключение
Как мы выяснили, рассмотренные стандарты имеют важную роль в работе компьютерных сетей. Все мы хотим выходить в интернет с любого устройства независимо от того, какая там ОС, кто создал это устройство и какое ПО на нем применяется. Для этого и нужны открытые стандарты.
Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
Протоко́л (др.-греч. πρωτόκολλον; от πρώτος «первый» + κόλλα «клей») изначально — документ, фиксирующий какое-либо событие, факт или договорённость.
Wikipedia
Разберемся в базовых протоколах с стандартах
Группа стандартов Ethernet IEEE 802.3
Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:
Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:
- IEEE 802.3z (1 Гбит/с);
- IEEE 802.3ae-2002 (10 Гбит/с);
- IEEE 802.3ba (40 Гбит/с) — да, время пришло.
Питание по PoE (Power over Ethernet)
Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:
Мощность на PSE (Power Supply Equipment), Вт
Мощность на PD (Powered Device), Вт
Следует различать две характеристики мощности:
- PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;
- PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).
VLAN (Virtual Local Area Network)
Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN’ов с 2 по 1000 включительно.
Деление устройств на VLAN’ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.
Протоколы обмена базой данных VLAN’ов
Протоколы обмена базой данных VLAN’ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN’ов:
Саму возможность передачи сообщений протоколов для обмена базой данных VLAN’ов также лучше отключить (использование transparent mode также не рекомендуется, т.к. это создает среду для передачи сообщений данного протокола).
DTP (Dynamic Trunking Protocol)
DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.
LACP (Link Aggregation Control Protocol)
Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.
STP (Spanning Tree Protocol)
Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:
- На всех портах типа access рекомендуется включить port edge с двумя целями: a) Отсутствие лишних сообщений STP TCN в L2 домене при выключении / включении устройства в порт коммутатора; b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;
- На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;
- На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;
- Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);
- Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;
- Нежелательно использование half duplex портов;
- На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;
Storm-control
Рекомендуется предусмотреть механизм контроля широковещательных (broadcast), многоадресных (multicast) штормов. Максимальный уровень broadcast или multicast трафика рекомендуется выставить на 10 процентов от полосы пропускания интерфейса. При достижении порогового значения будет хорошо, если система как минимум будет отправлять SNMP trap и syslog сообщение.
DHCP snooping
На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.
Dynamic ARP inspection
На всех VLAN’ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.
Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.
LLDP (Link Layer Discovery Protocol, IEEE 802.1AB)
Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.
Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.
VRRP (Virtual Router Redundancy Protocol)
Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).
OSPF (Open Shortest Path First)
Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.
Для обеспечения безопасности протокола OSPF рекомендуется обеспечить шифрование передаваемых служебных сообщений протокола OSPF методом MD5 или hmac-sha-256 (наиболее приоритетный метод).
Наиболее общие настройки сетевого оборудования
Доступ на активное сетевое оборудование
- Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;
- Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;
- Для подключения к сетевому оборудованию рекомендуется использовать SSHv2, HTTPS, API;
- В целях безопасности доступы по HTTP и telnet рекомендуется закрыть;
- Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;
- Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;
Типы портов (L2)
Access порт – это порт, который передает и принимает только нетегированные фреймы.
Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.
Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).
Рекомендации по настройке access и гибридных портов:
- port edge;
- stp root guard;
- stp bpdu guard;
- DHCP-snooping untrust;
- ARP-inspection (только если устройство получает IP-адрес динамически);
- rate-limit (multicast, broadcast);
- switch off SNMP trap, SYSLOG;
- выключить DTP negotiation;
- IEEE 802.1x (при необходимости авторизации);
- Port-Security (при необходимости).
Рекомендации по конфигурации trunk портов между коммутаторами
- В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;
- Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);
- На всех trunk портах рекомендуется явно указать тип порта point-to-point;
- На всех trunk портах рекомендуется разрешить все VLAN’ы, которые используются на коммутаторе.
Рекомендации к конфигурации ACL
Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например: