Функции защиты ЦПУ коммутатора.

Safeguard Engine – специально разработана для обеспечения доступности коммутатора в ситуациях, когда в результате наводнения сети вредоносным трафиком, его ЦПУ испытывает сильную нагрузку.

Позволяет идентифицировать и приоритезировать направляемый для обработки на ЦПУ трафик (arc-широковещание, пакеты с неизвестным ip-адресом назначения и т.д.) с целью отбрасывания нежелательных пакетов для сохранения функциональности коммутатора. Коммутатор начинает работать в таком режиме после превышения установленного порогового значения.

В данном режиме выполняются следующие действия:

· Прекращение получения всех arc- и широковещательных ip-пакетов (строгий режим)

· Ограничение полосы пропускания для получаемых arc- и широковещательных ip-пакетов путем ее динамического изменения (нестрогий режим)

Побочные эффекты: (в строгом режиме) невозможность административного доступа к коммутатору 2-го уровня; на коммутаторе 3-го уровня может быть нарушена маршрутизация между подключенными к коммутатору подсетями.

Способ решения проблемы – создать запись статической arc-таблицы, управляющей рабочей станцией, связывающую мак-адрес коммутатора с ip-адресом его интерфейса управления.

Преимущества нестрого режима – состоит в динамическом изменении полосы пропускания для arc- и широковещательных ip-пакетов.

CPU Interface Filtering – позволяет ограничивать пакеты, поступающие для обработки на ЦПУ, путем фильтрации нежелательного трафика на аппаратном уровне.

Представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичным стандартным access-листом

МНОГОАДРЕСНАЯ РАССЫЛКА, IGMP

Многоадресная рассылка.

Способы отправки пакетов:

· Одноадресная передача – поток данных, передающийся от узла отправителя на индивидуальный ip-адрес конкретного узла получателя

· Широковещательная передача – доставка потока данных от узла отправителя множеству узлов получателей, подключенных к сети, используя широковещательный ip-адрес

· Многоадресная рассылка – доставка потока данных группе узлов на ip-адрес группы многоадресной рассылки. У этой группы нет географических или физических ограничений. узлы присоединяются к этой группе при помощи IGMP-протокола, после этого пакеты многоадресной рассылки будут содержать в поле назначения заголовка групповой адрес.

Многоадресная рассылка использует транспортный протокол UDP. Для многоадресной рассылки выделен диапазон класса D от 224.0.0.0 до 239.255.255.255.

От 239.0.0.0 до 239.255.255.255 – это блок административно-ограниченных адресов, данные адреса могут использоваться локально внутри домена.

МАК-адреса рассылки бывают индивидуальные и групповые. Для определения типа мак-адреса используется первый бит поля адреса назначения. Если значение бита равно единице, то мак-адрес широковещательный. Мак-адрес групповой рассылки начинаются с префикса 01005Е состоящего из 24 бит, последние 23 бита формируются из младших бит групп ip-адреса. Поскольку при преобразовании теряются 5 бит первого октета ip-адреса, получившийся групповой адрес не будет являться уникальным, ему будут соответствовать 32 ip-адреса групповой рассылки.

Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети.

Типы сообщений:

· Запрос о принадлежности к группе

· Ответ о принадлежности к группе

· Сообщение о выходе из группы

При передаче многоадресного трафика используются медиа-сервер, посылающий многоадресный поток через все порты на ПК пользователей.

Когда коммутатор 2-го уровня получает многоадресный трафик, то он начинает передавать его на все порты.

Способы управления коммутатора 2-го уровня при многоадресной рассылки:

1) Создание статических таблиц коммутации для портов, к которым не подключены подписчики многоадресных групп

2) Настройка функции IGMP Snooping – функция второго уровня, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения

Пример настройки IGMP Snooping:

1. Глобально активируем функцию IGMP Snooping

2. Активизация IGMP Snooping в указанный vlan

3. Включение фильтрации многоадресного трафика для узлов, не являющихся подписчиками многоадресной рассылки

Функция IGMP Snooping Fast Leave – позволяет мгновенно исключить порт из таблицы коммутации IGMP, если получено сообщение о выходе. Настройка аналогична предыдущей, последним этапом добавляется активизация функции Fast Leave в указанный vlan.

 

⇐ Предыдущая1234Следующая ⇒

Поделиться: