Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Функции защиты ЦПУ коммутатора.
Safeguard Engine – специально разработана для обеспечения доступности коммутатора в ситуациях, когда в результате наводнения сети вредоносным трафиком, его ЦПУ испытывает сильную нагрузку. Позволяет идентифицировать и приоритезировать направляемый для обработки на ЦПУ трафик (arc-широковещание, пакеты с неизвестным ip-адресом назначения и т.д.) с целью отбрасывания нежелательных пакетов для сохранения функциональности коммутатора. Коммутатор начинает работать в таком режиме после превышения установленного порогового значения. В данном режиме выполняются следующие действия: · Прекращение получения всех arc- и широковещательных ip-пакетов (строгий режим) · Ограничение полосы пропускания для получаемых arc- и широковещательных ip-пакетов путем ее динамического изменения (нестрогий режим) Побочные эффекты: (в строгом режиме) невозможность административного доступа к коммутатору 2-го уровня; на коммутаторе 3-го уровня может быть нарушена маршрутизация между подключенными к коммутатору подсетями. Способ решения проблемы – создать запись статической arc-таблицы, управляющей рабочей станцией, связывающую мак-адрес коммутатора с ip-адресом его интерфейса управления. Преимущества нестрого режима – состоит в динамическом изменении полосы пропускания для arc- и широковещательных ip-пакетов. CPU Interface Filtering – позволяет ограничивать пакеты, поступающие для обработки на ЦПУ, путем фильтрации нежелательного трафика на аппаратном уровне. Представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичным стандартным access-листом МНОГОАДРЕСНАЯ РАССЫЛКА, IGMP Многоадресная рассылка. Способы отправки пакетов: · Одноадресная передача – поток данных, передающийся от узла отправителя на индивидуальный ip-адрес конкретного узла получателя · Широковещательная передача – доставка потока данных от узла отправителя множеству узлов получателей, подключенных к сети, используя широковещательный ip-адрес · Многоадресная рассылка – доставка потока данных группе узлов на ip-адрес группы многоадресной рассылки. У этой группы нет географических или физических ограничений. узлы присоединяются к этой группе при помощи IGMP-протокола, после этого пакеты многоадресной рассылки будут содержать в поле назначения заголовка групповой адрес. Многоадресная рассылка использует транспортный протокол UDP. Для многоадресной рассылки выделен диапазон класса D от 224.0.0.0 до 239.255.255.255. От 239.0.0.0 до 239.255.255.255 – это блок административно-ограниченных адресов, данные адреса могут использоваться локально внутри домена. МАК-адреса рассылки бывают индивидуальные и групповые. Для определения типа мак-адреса используется первый бит поля адреса назначения. Если значение бита равно единице, то мак-адрес широковещательный. Мак-адрес групповой рассылки начинаются с префикса 01005Е состоящего из 24 бит, последние 23 бита формируются из младших бит групп ip-адреса. Поскольку при преобразовании теряются 5 бит первого октета ip-адреса, получившийся групповой адрес не будет являться уникальным, ему будут соответствовать 32 ip-адреса групповой рассылки. Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Типы сообщений: · Запрос о принадлежности к группе · Ответ о принадлежности к группе · Сообщение о выходе из группы При передаче многоадресного трафика используются медиа-сервер, посылающий многоадресный поток через все порты на ПК пользователей. Когда коммутатор 2-го уровня получает многоадресный трафик, то он начинает передавать его на все порты. Способы управления коммутатора 2-го уровня при многоадресной рассылки: 1) Создание статических таблиц коммутации для портов, к которым не подключены подписчики многоадресных групп 2) Настройка функции IGMP Snooping – функция второго уровня, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения Пример настройки IGMP Snooping: 1. Глобально активируем функцию IGMP Snooping 2. Активизация IGMP Snooping в указанный vlan 3. Включение фильтрации многоадресного трафика для узлов, не являющихся подписчиками многоадресной рассылки Функция IGMP Snooping Fast Leave – позволяет мгновенно исключить порт из таблицы коммутации IGMP, если получено сообщение о выходе. Настройка аналогична предыдущей, последним этапом добавляется активизация функции Fast Leave в указанный vlan.
|
Последнее изменение этой страницы: 2019-04-09; Просмотров: 340; Нарушение авторского права страницы