Ειδικά Θέματα Δικτύων Ι

Σχετικά έγγραφα
Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων Ι

Σχεδίαση Δικτύων Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων ΙΙ

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Σχεδίαση Δικτύων Υπολογιστών

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 2: ΣΥΓΚΕΝΤΡΩΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΑΡΚΕΤΙΝΓΚ Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Σχεδίαση Δικτύων Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων Ι

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού σε κατάσταση Κορεσμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Βάσεις Δεδομένων. Ενότητα 1: Εισαγωγή στις Βάσεις δεδομένων. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

Εισαγωγή στους Αλγορίθμους

Λογιστική Κόστους Ενότητα 8: Κοστολογική διάρθρωση Κύρια / Βοηθητικά Κέντρα Κόστους.

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων Ι

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους (1)

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων ΙΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

Εισαγωγή στους Αλγορίθμους

Διοικητική Λογιστική

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων Ι

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους

Σχεδίαση Δικτύων Υπολογιστών. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1 ο ) Άγγελος Μιχάλας Τμήμα Μηχανικών Πληροφορικής ΤΕ

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 1: Εκτιμητές και Ιδιότητες. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Τεχνολογία Πολυμέσων. Ενότητα 8: Pool Table. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγικές έννοιες θεωρίας Συστημάτων Αυτομάτου Ελέγχου

Ενότητα. Εισαγωγή στις βάσεις δεδομένων

Τίτλος Μαθήματος: Μαθηματική Ανάλυση Ενότητα Γ. Ολοκληρωτικός Λογισμός

Ειδικά Θέματα Δικτύων ΙΙ

Ειδικά Θέματα Δικτύων Ι

Εισαγωγή στους Αλγορίθμους

Ασφάλεια Υπολογιστικών Συστημάτων

Στατιστική Ι. Ενότητα 3: Στατιστική Ι (3/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

Μηχανολογικό Σχέδιο Ι

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 1: Καταχώρηση δεδομένων

Ειδικά Θέματα Δικτύων ΙΙ

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 2: Αιωρούμενα σωματίδια & Απόδοση συλλογής Αν. Καθ. Δρ Μαρία Α. Γούλα Τμήμα Μηχανικών

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

ΗΛΕΚΤΡΟΝΙΚΗ ΙIΙ Ενότητα 6

Εισαγωγή στην Πληροφορική

Συστήματα Αναμονής. Ενότητα 3: Στοχαστικές Ανελίξεις. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Σχεδίαση Δικτύων Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Εισαγωγικές έννοιες θεωρίας Συστημάτων Αυτομάτου Ελέγχου Ενότητα 8 η : ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΩΝ ΛΟΓΙΚΩΝ ΕΛΕΓΚΤΩΝ

Λογιστική Κόστους Ενότητα 10: Ασκήσεις Προτύπου Κόστους Αποκλίσεων.

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 3: Έλεγχοι στατιστικών υποθέσεων

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού Υπέρθερμου Ατμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 2: Περιγραφική στατιστική

Εισαγωγή στους Η/Υ. Ενότητα 2β: Αντίστροφο Πρόβλημα. Δημήτρης Σαραβάνος, Καθηγητής Πολυτεχνική Σχολή Τμήμα Μηχανολόγων & Αεροναυπηγών Μηχανικών

Ηλεκτροτεχνία ΙΙ. Ενότητα 1: Βασικές Έννοιες Ηλεκτροτεχία Ηλεκτρονική. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Εισαγωγή στους Υπολογιστές

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Διεθνείς Οικονομικές Σχέσεις και Ανάπτυξη

Εφαρμογές των Τεχνολογιών της Πληροφορίας και των Επικοινωνιών στη διδασκαλία και τη μάθηση

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 4: Πηγές Δεδομένων- Δευτερογενή Στοιχεία. Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Νέες Τεχνολογίες και Καλλιτεχνική Δημιουργία

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών

Εισαγωγή στη Δικτύωση Υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Συστήματα Αναμονής. Ενότητα 5: Ανέλιξη Poisson. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Διδακτική Πληροφορικής

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 1: Ο ΡΟΛΟΣ ΤΩΝ ΠΩΛΗΣΕΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΜΑΡΚΕΤΙΝΓΚ

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Prim

Δομές Δεδομένων Ενότητα 1

Συστήματα Αναμονής. Ενότητα 9: Ανέλιξη Γέννησης - Θανάτου. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ειδικά Θέματα Δικτύων Ι Ενότητα 10: To πρωτόκολλο RIP (Routing Information Protocol) - Μέρος 2. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Κβαντική Επεξεργασία Πληροφορίας

Τεχνολογία Λογισμικού

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 3: Πολλαπλή Παλινδρόμηση. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Σχεδίαση Δικτύων Υπολογιστών

Εκκλησιαστικό Δίκαιο

Εκκλησιαστικό Δίκαιο. Ενότητα 10η: Ιερά Σύνοδος της Ιεραρχίας και Διαρκής Ιερά Σύνοδος Κυριάκος Κυριαζόπουλος Τμήμα Νομικής Α.Π.Θ.

Transcript:

Ειδικά Θέματα Δικτύων Ι Ενότητα 2: Μεταγωγή πακέτων στο επίπεδο 2 Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Αυτή η ενότητα πραγματεύεται ζητήματα σχετικά με τη μεταγωγή πακέτων στο επίπεδο 2. 4

Περιεχόμενα ενότητας (1/2) Μεταγωγή πακέτων στο επίπεδο 2. Τεχνολογίες μεταγωγής πακέτων σε τοπικά δίκτυα. Network Device Security. Υπηρεσίες μεταγωγής πακέτων. Οι τρεις λειτουργίες μεταγωγής στο Επίπεδο 2. Εκμάθηση διευθύνσεων. 5

Περιεχόμενα ενότητας (2/2) Αποφάσεις προώθησης/φιλτραρίσματος. Ασφάλεια βασισμένη στις θύρες - Port Security. Αποφυγή βρόχου. Βιβλιογραφία. 6

Μεταγωγή πακέτων στο επίπεδο 2

Τεχνολογίες μεταγωγής πακέτων σε τοπικά δίκτυα (1/2) Προσδιορισμός βασικών εννοιών μεταγωγής (switching) και λειτουργίας των Cisco switches. Collision Domains. Broadcast Domains. Τύποι μεταγωγής πακέτων (switching). CAM (computer-aided manufacturing) Table. Διαμόρφωση και επαλήθευση της αρχικής διαμόρφωσης του μεταγωγέα πακέτων (switch) συμπεριλαμβανομένης της απομακρυσμένης διαχείρισης πρόσβασης. 8

Τεχνολογίες μεταγωγής πακέτων σε τοπικά δίκτυα (2/2) Εντολές Cisco IOS (i operating System), για εκτέλεση βασικών ρυθμίσεων μεταγωγέα (switch). Επιβεβαίωση της κατάστασης του δικτύου και της λειτουργίας του μεταγωγέα χρησιμοποιώντας βασικές υπηρεσίες, όπως Ping, Telnet και SSH (Secure Shell). 9

Network Device Security (1/4) Διαμόρφωση και επαλήθευση Switch Port Security χαρακτηριστικών, όπως: Sticky MAC. Όριο MAC διεύθυνσης. Στατική/Δυναμική. Violation modes. Err-disable. 10

Network Device Security (2/4) Διαμόρφωση και επαλήθευση Switch Port Security χαρακτηριστικών, όπως (Συνέχεια): Shutdown. Protect restrict. Shutdown unused ports (τερματισμός μη χρησιμοποιούμενων θυρών). Err-disable recovery. Μεταγωγή πακέτων στο επίπεδο 2 είναι η διαδικασία που χρησιμοποιεί τη διεύθυνση υλικού των συσκευών σε ένα LAN για να χωρίσει ένα δίκτυο. 11

Network Device Security (3/4) Βασιζόμαστε στη μεταγωγή πακέτων για να χωρίσουμε μεγάλα collision domains (πεδία σύγκρουσης) σε, ένα πεδίο σύγκρουσης είναι ένα τμήμα του δικτύου με δύο ή περισσότερες συσκευές που μοιράζονται το ίδιο εύρος ζώνης. Ένα hub δίκτυο είναι ένα χαρακτηριστικό παράδειγμα αυτού του τύπου τεχνολογίας. Αλλά δεδομένου ότι κάθε θύρα σε ένα μεταγωγέα είναι πραγματικά το δικό του πεδίο σύγκρουσης, ήμασταν σε θέση να δημιουργήσουμε ένα πολύ καλύτερο δίκτυο Ethernet LAN με απλή αντικατάσταση των hubs με τους μεταγωγείς (switches)! 12

Network Device Security (4/4) Οι μεταγωγείς πραγματικά έχουν αλλάξει τον τρόπο που τα δίκτυα σχεδιάζονται και υλοποιούνται. Αν μια σχεδίαση με μεταγωγείς εφαρμόζεται σωστά, θα οδηγήσει σε ένα καθαρό, αποδοτικό και ανθεκτικό διασυνδεμένο δίκτυο. Θα ερευνήσουμε και θα συγκρίνουμε το πώς τα δίκτυα έχουν σχεδιαστεί πριν και μετά την εισαγωγή των τεχνολογιών μεταγωγής. 13

Υπηρεσίες μεταγωγής πακέτων (1/5) Σε αντίθεση με τις παλιές γέφυρες, οι οποίες χρησιμοποιούσαν λογισμικό για να δημιουργήσουν και να διαχειριστούν ένα Content Addressable Memory (CAM) πίνακα, οι νέοι, γρήγοροι μεταγωγείς χρησιμοποιούν ολοκληρωμένα κυκλώματα ειδικών εφαρμογών (applicationspecific integrated circuits (ASIC) ) για να δημιουργήσουν και να διατηρήσουν τους MAC filter πίνακες. Αλλά μπορούμε να φανταστούμε ένα μεταγωγέα του επιπέδου 2 ως γέφυρα πολλαπλών θυρών επειδή βασικός λόγος της ύπαρξής τους είναι ο ίδιος: να χωρίσουν τα πεδία σύγκρουσης. 14

Υπηρεσίες μεταγωγής πακέτων (2/5) Οι μεταγωγείς του επιπέδου 2 και οι γέφυρες είναι πιο γρήγοροι από ό, τι οι δρομολογητές, επειδή δεν σπαταλάνε χρόνο παρατηρώντας τις πληροφορίες κεφαλίδας τους στρώματος δικτύου. Αντί για αυτό, θα εξετάσουν τις διευθύνσεις υλικού του πλαισίου πριν αποφασίσουν ας θα προωθήσουν, αν θα πλημμυρίσουν, ή θα απορρίψουν το πλαίσιο (frame). Σε αντίθεση με τα hubs, οι μεταγωγείς δημιουργούν ιδιωτικά, πεδία σύγκρουσης και παρέχουν ανεξάρτητο bandwidth αποκλειστικά για κάθε θύρα. 15

Υπηρεσίες μεταγωγής πακέτων (3/5) Εδώ είναι μια λίστα με τέσσερα σημαντικά πλεονεκτήματα που κερδίζουμε όταν χρησιμοποιούμε μεταγωγή πακέτων στο Layer 2: Γεφύρωση βασισμένη στο υλικό (hardware) (ASICs). Ταχύτητα καλωδίου. Χαμηλή latency (καθυστέρηση). Χαμηλό κόστος. 16

Υπηρεσίες μεταγωγής πακέτων (4/5) Ένας μεγάλος λόγος που η μεταγωγή στο επίπεδο 2 είναι τόσο αποτελεσματική είναι ότι δεν γίνεται καμία τροποποίηση στο πακέτο δεδομένων. Η συσκευή διαβάζει μόνο το πλαίσιο ενθυλάκωσης του πακέτου, το οποίο καθιστά τη διαδικασία μεταγωγής σημαντικά ταχύτερη και λιγότερο επιρρεπής σε λάθη από τη διαδικασία δρομολόγησης. 17

Υπηρεσίες μεταγωγής πακέτων (5/5) Και αν χρησιμοποιείται η μεταγωγή στο επίπεδο 2 τόσο για τη σύνδεση της ομάδας εργασίας όσο και το κατακερματισμό του δικτύου (διαίρεση σε πεδία σύγκρουσης), μπορούν να δημιουργηθούν περισσότερα τμήματα δικτύου από ό, τι μπορούν να δημιουργηθούν με τα παραδοσιακά δίκτυα δρομολόγησης. Επίσης, η μεταγωγή στο επίπεδο 2 αυξάνει το εύρος ζώνης για κάθε χρήστη, επειδή, πάλι, κάθε σύνδεση ή διεπαφή στο μεταγωγέα, είναι δικό του, αυτοτελές πεδίο σύγκρουσης. 18

Οι τρεις λειτουργίες μεταγωγής στο Επίπεδο 2 (1/2) Εκμάθηση διευθύνσεων: Οι μεταγωγείς στο επίπεδο 2 θυμούνται τη διεύθυνση υλικού πηγής, από κάθε πλαίσιο που λαμβάνουν σε μια διεπαφή και εισάγουν αυτές τις πληροφορίες σε μια βάση δεδομένων MAC που ονομάζεται forward/ filter table. Αποφάσεις προώθησης/φιλτραρίσματος: Όταν ένα πλαίσιο λαμβάνεται σε μια διεπαφή, ο μεταγωγέας κοιτάζει τη διεύθυνση υλικού προορισμού, στη συνέχεια επιλέγει την κατάλληλη διεπαφή εξόδου από τη βάση δεδομένων MAC. Με αυτό τον τρόπο, το πλαίσιο προωθείται μόνο από τη σωστή θύρα προορισμού. 19

Οι τρεις λειτουργίες μεταγωγής στο Επίπεδο 2 (2/2) Αποφυγή βρόχου: Εάν οι πολλαπλές συνδέσεις μεταξύ των μεταγωγέων, έχουν δημιουργηθεί για σκοπούς redundancy (εφεδρικούς σκοπούς), μπορεί να προκύψει βρόχος δικτύου. Το Spanning Tree Protocol (STP) χρησιμοποιείται για να αποτρέψει βρόχους δικτύου, ενώ εξακολουθεί να επιτρέπει την redundancy. 20

Εκμάθηση διευθύνσεων (1/2) Όταν ένας μεταγωγέας ενεργοποιείται για πρώτη φορά, ο MAC forward/filter πίνακας (CAM) είναι άδειος. Όταν μια συσκευή μεταδίδει και μια διεπαφή λαμβάνει ένα πλαίσιο, ο μεταγωγέας τοποθετεί τη διεύθυνση πηγής του πλαισίου στον MAC forward/filter πίνακα, επιτρέποντας την αναφορά στη συγκεκριμένη διεπαφή που βρίσκεται η συσκευή αποστολής. Ο μεταγωγέας δεν έχει άλλη επιλογή από το να πλημμυρίσει το δίκτυο με αυτό το πλαίσιο από κάθε θύρα, εκτός από τη θύρα πηγής, διότι δεν έχει καμία ιδέα που βρίσκεται στην πραγματικότητα η συσκευή προορισμού. 21

Εκμάθηση διευθύνσεων (2/2) Όταν μια συσκευή απαντά σε αυτό το πλημμυρισμένο πλαίσιο και στέλνει ένα πλαίσιο πίσω, τότε ο μεταγωγέας θα πάρει τη διεύθυνση πηγής από το συγκεκριμένο πλαίσιο και θα τοποθετήσει αυτή τη διεύθυνση MAC στη βάση δεδομένων της, επίσης, συνδέει αυτή τη διεύθυνση με τη διεπαφή που έλαβε το πλαίσιο. Επειδή ο μεταγωγέας έχει και τις δύο σχετικές διευθύνσεις MAC στον πίνακα φιλτραρίσματος του, οι δύο συσκευές μπορούν τώρα να κάνουν μια σύνδεση point-to-point. 22

Αποφάσεις προώθησης/φιλτραρίσματος (1/4) Όταν ένα πλαίσιο φθάνει σε μια διεπαφή του μεταγωγέα, η διεύθυνση προορισμού του υλικού συγκρίνεται με την forward/filter MAC βάση δεδομένων. Εάν η διεύθυνση υλικού προορισμού είναι γνωστή και αναφέρεται στη βάση δεδομένων, το πλαίσιο αποστέλλεται μόνο από την κατάλληλη διεπαφή εξόδου. 23

Αποφάσεις προώθησης/φιλτραρίσματος (2/4) Ο μεταγωγέας δεν θα μεταδώσει το πλαίσιο από οποιαδήποτε διεπαφή εκτός από τη διεπαφή προορισμού, η οποία διατηρεί το εύρος ζώνης για τα άλλα τμήματα του δικτύου. Αυτή η διαδικασία ονομάζεται φιλτράρισμα του πλαισίου (frame filtering). 24

Αποφάσεις προώθησης/φιλτραρίσματος (3/4) Αλλά αν η διεύθυνση υλικού προορισμού δεν περιλαμβάνεται στη βάση δεδομένων MAC, τότε το πλαίσιο θα πλημμύριζε από όλες τις ενεργές διεπαφές εκτός από τη διεπαφή από την οποία ελήφθη. Εάν μια συσκευή απαντά στο πλημμυρισμένο πλαίσιο, η βάση δεδομένων MAC στη συνέχεια ενημερώνεται με την τοποθεσία της συσκευής τη σωστή διεπαφή δηλαδή. 25

Αποφάσεις προώθησης/φιλτραρίσματος (4/4) Εάν ένας host ή server στέλνει μια broadcast στο LAN, από προεπιλογή, ο μεταγωγέας θα πλημμυρίσει το πλαίσιο από όλες τις ενεργές θύρες εκτός από τη θύρα προέλευσης. O μεταγωγέας δημιουργεί μικρότερα πεδία σύγκρουσης, αλλά παραμένει πάντοτε ένας μεγάλος τομέας broadcast από προεπιλογή. 26

Ασφάλεια βασισμένη στις θύρες - Port Security (1/13) Συνήθως δεν είναι καλό πράγμα να αφήνουμε τους μεταγωγείς διαθέσιμους στον οποιονδήποτε, να μπορεί απλά να συνδεθεί και να πειράξει πράματα. Αλλά πώς μπορούμε πραγματικά να αποτρέψουμε κάποιον από το να συνδέσει ένα host σε μια θύρα του μεταγωγέα μας, ή, ακόμη χειρότερα, να προσθέσει ένα hub, ένα switch, ή ένα σημείο πρόσβασης στην υποδοχή του Ethernet; Από προεπιλογή, οι διευθύνσεις MAC απλά θα εμφανιστού δυναμικά στη forward/filter βάση δεδομένων και μπορούμε να τους σταματήσουμε με τη χρήση της ασφάλειας που είναι βασισμένη στις θύρες! 27

Ασφάλεια βασισμένη στις θύρες - Port Security (2/13) Υπάρχουν τρόποι για να παρέχουμε ασφάλεια, χωρίς να χρειάζεται να αντιμετωπίζουμε τεράστια σπατάλη πόρων του συστήματος. Πρέπει πάντα να απενεργοποιούμε τις αχρησιμοποίητες θύρες ή να τις αναθέτουμε σε ένα αχρησιμοποίητο VLAN. Όλες οι θύρες είναι ενεργοποιημένες από προεπιλογή, έτσι θα πρέπει να βεβαιωθούμε ότι δεν υπάρχει πρόσβαση σε αχρησιμοποίητες θύρες μεταγωγής! 28

Ασφάλεια βασισμένη στις θύρες - Port Security (3/13) Εδώ είναι οι επιλογές μας για τη ρύθμιση ασφάλειας βασισμένη στις θύρες: Switch#config t Switch(config)#int f0/1 Switch(config-if)#switchport mode access Switch(configif)#switchport port-security Switch(config-if)#switchport port-security? aging Port-security aging commands macaddress Secure mac address maximum Max secure addresses violation Security violation mode <cr> 29

Ασφάλεια βασισμένη στις θύρες - Port Security (4/13) Οι περισσότεροι μεταγωγείς εισέρχονται με τις θύρες τους σε desirable mode, πράγμα που σημαίνει ότι οι θύρες θα επιθυμούν να προωθήσουν κυκλοφορία όταν αισθανθούν ότι ένας άλλος μεταγωγέας μόλις συνδέθηκε. Έτσι, πρώτα, θα πρέπει να αλλάξουμε τη θύρα από το desirable mode και να την καταστήσουμε σε access port. 30

Ασφάλεια βασισμένη στις θύρες - Port Security (5/13) Αν δεν το κάνουμε αυτό, δεν θα είμαστε σε θέση να ρυθμίσουμε την ασφάλεια θύρας! Αφού τακτοποιήσουμε αυτό, μπορούμε να προχωρήσουμε στη χρήση εντολών για την ασφάλεια θύρας, πρέπει να ενεργοποιήσουμε την ασφάλεια θύρας στη διεπαφή. Παρατηρήστε ότι το κάναμε αυτό αφού κάναμε τη θύρα access port! 31

Ασφάλεια βασισμένη στις θύρες - Port Security (6/13) Η προηγούμενη έξοδος δείχνει σαφώς ότι η εντολή switchport port-security μπορεί να χρησιμοποιηθεί με τέσσερις επιλογές. Μπορούμε να χρησιμοποιήσουμε την εντολή switchport port-security mac-address mac-address για να ορίσουμε μεμονωμένες διευθύνσεις MAC σε κάθε θύρα μεταγωγής. 32

Ασφάλεια βασισμένη στις θύρες - Port Security (7/13) Αν θέλουμε να ορίσουμε μια θύρα μεταγωγής, ώστε να επιτρέπει μόνο ένα host ανά θύρα και να βεβαιωθούμε ότι η θύρα θα κλείσει εάν αυτός ο κανόνας παραβιαστεί, χρησιμοποιούμε τις ακόλουθες εντολές: Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown 33

Ασφάλεια βασισμένη στις θύρες - Port Security (8/13) Αυτές οι εντολές είναι ίσως οι δημοφιλέστερες, επειδή εμποδίζουν τυχαίους χρήστες από το να συνδεθούν με ένα συγκεκριμένο μεταγωγέα ή σημείο πρόσβασης. Η μέγιστη τιμή είναι 1, η οποία είναι η προεπιλεγμένη που ορίζεται σε μια θύρα, όταν είναι ενεργοποιημένη. Το μειονέκτημα σε αυτό είναι ότι επιτρέπει μόνο μια μοναδική διεύθυνση MAC να χρησιμοποιηθεί τη θύρα, έτσι ώστε αν κάποιος, προσπαθήσει να προσθέσει άλλο host στο εν λόγω τμήμα, η θύρα μεταγωγής θα τερματιστεί αμέσως. 34

Ασφάλεια βασισμένη στις θύρες - Port Security (9/13) Και όταν αυτό συμβαίνει, θα πρέπει να κάνουμε ενεργοποίηση της θύρας χειροκίνητα στο μεταγωγέα (switch) με την χρήση αρχικά μιας εντολής shutdown και στη συνέχεια μιας εντολής no shutdown. Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation shutdown 35

Ασφάλεια βασισμένη στις θύρες - Port Security (10/13) Με την εντολή sticky μπορούμε να παρέχουμε ασφάλεια στη στατική διεύθυνση MAC χωρίς να χρειάζεται να πληκτρολογήσουμε τη διεύθυνση MAC του καθένα στο δίκτυο. Στο προηγούμενο παράδειγμα, οι δύο πρώτες διευθύνσεις MAC που έμπαιναν στο θύρα "κόλλησαν (stick)" σε αυτή ως στατικές διευθύνσεις και θα τοποθετηθούν στο running-config, αλλά όταν μια τρίτη διεύθυνση προσπάθησε να συνδεθεί, η θύρα έκλεισε αμέσως. 36

Ασφάλεια βασισμένη στις θύρες - Port Security (11/13) Τι μπορούμε να κάνουμε για να διασφαλιστεί ότι μόνο η διεύθυνση MAC του υπολογιστή του λόμπι επιτρέπεται από τη θύρα μεταγωγής Fa0/1; Η λύση είναι πολύ απλή, γιατί σε αυτή την περίπτωση, οι προεπιλογές για την θύρα ασφάλειας θα λειτουργήσουν καλά. Το μόνο που έχει απομείνει να κάνουμε είναι να προσθέσουμε μια στατική καταχώρηση MAC: Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation restrict Switch(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff 37

Ασφάλεια βασισμένη στις θύρες - Port Security (12/13) Για την προστασία του υπολογιστή του λόμπι, θα ορίσουμε το μέγιστο επιτρεπόμενων διευθύνσεων MAC ίσο με 1 έτσι ώστε η παραβίαση να περιοριστεί, χωρίς η θύρα να τερματίζει κάθε φορά που κάποιος θα προσπαθήσει να χρησιμοποιήσει το καλώδιο Ethernet (το οποίο θα είναι μόνιμο). Με τη χρήση περιορισμού παραβίασης, τα μη εξουσιοδοτημένα πλαίσια απλά θα απορριφθούν. 38

Ασφάλεια βασισμένη στις θύρες - Port Security (13/13) Ενεργοποιήσαμε ασφάλεια θύρας (port-security) και στη συνέχεια ορίσαμε μια στατική διεύθυνση MAC; Μόλις ενεργοποιήσουμε ασφάλεια βασισμένη στις θύρες σε μια θύρα, από προεπιλογή εισάγετε σε violation shutdown και παίρνει μια μέγιστη τιμή ίση με 1. Έτσι, το μόνο που χρειάστηκε να κάνουμε ήταν να αλλάξουμε το violation mode και να προσθέσουμε τη στατική διεύθυνση MAC! 39

Αποφυγή βρόχου (1/5) Το να έχουμε πολλές συνδέσεις μεταξύ των μεταγωγέων (switches) είναι σημαντικό, επειδή βοηθούν στην πρόληψη βλαβών στο δίκτυο σε περίπτωση που μία σύνδεση σταματήσει να λειτουργεί. Όμως, ενώ είναι αλήθεια ότι οι περιττές συνδέσεις μπορεί να είναι εξαιρετικά χρήσιμες, μπορεί επίσης να προκαλέσουν περισσότερα προβλήματα από όσα λύνουν! Αυτό οφείλεται στο γεγονός ότι τα πλαίσια μπορεί να πλημμυρίσουν σε όλες τις περιττές συνδέσεις ταυτόχρονα, δημιουργώντας βρόχους δικτύου. Παρακάτω αναφέρουμε μερικά από τα πιο άσχημα προβλήματα που μπορεί να προκύψουν. 40

Αποφυγή βρόχου (2/5) Εάν δεν υπάρχουν συστήματα αποφυγής βρόχου σε εφαρμογή, οι μεταγωγείς θα πλημμυρίσουν με ασταμάτητα broadcasts σε όλο το διασυνδεμένο δίκτυο. Αυτό μερικές φορές αναφέρεται ως μια broadcast storm. Μία συσκευή μπορεί να λάβει πολλαπλά αντίγραφα του ίδιου πλαισίου επειδή αυτό το πλαίσιο μπορεί να φτάσει από διάφορα τμήματα ταυτόχρονα. 41

Αποφυγή βρόχου (3/5) Ο πίνακας MAC address filter θα μπορούσε να μπερδευτεί εντελώς σχετικά με τη τοποθεσία της συσκευής πηγής, επειδή ο μεταγωγέας μπορεί να λάβει το πλαίσιο από περισσότερες από μία συνδέσεις. Μάλιστα, εάν ο μπερδεμένος μεταγωγέας θα μπορούσε να είναι τόσο απασχολημένος με τη συνεχή ενημέρωση του πίνακα MAC address filter με τοποθεσίες διευθύνσεων υλικού πηγής που θα αποτύχανε να διαβιβάσει ένα πλαίσιο! Αυτό ονομάζεται thrashing του πίνακα MAC. 42

Αποφυγή βρόχου (4/5) Ένα από τα πιο άσχημα γεγονόταν είναι όταν πολλαπλοί βρόχοι διαδίδονται σε όλο το δίκτυο. Βρόχοι μπορεί να συμβούν μέσα σε άλλους βρόχους, και μια broadcast storm να συμβεί ταυτόχρονα, το δίκτυο δεν θα είναι σε θέση να εκτελέσει την περίοδο μεταγωγής του πλαισίου! 43

Αποφυγή βρόχου (5/5) Όλα αυτά τα προβλήματα σημαίνουν καταστροφή και είναι όλα είναι κακές καταστάσεις που πρέπει να αποφεύγονται ή να διορθώνονται με κάποιο τρόπο. Εδώ είναι που το Spanning Tree Protocol μπαίνει στο παιχνίδι. Για την ακρίβεια αναπτύχθηκε για την επίλυση για τα προβλήματα που αναφέρθηκαν! 44

Βιβλιογραφία 1. CCNA αυτοδιδασκαλία: Διασύνδεση συσκευών δικτύου Cisco (ICND), (Επιμέλεια) Steve McQuerry. 2. Δίκτυα υπολογιστών: Το πρώτο βώμα, Wendell Odom. 3. Ασκήσεις προσομοίωσης δικτύων, Emad Aboelela. 4. Εργαστηριακά μαθήματα στα δίκτυα και διαδίκτυα υπολογιστών, Βασίλειος Τσαουσίδης, Ελευθέριος Μαμάτας, Ιωάννης Ψαρράς, Ευστράτιος Κοσμίδης, Στυλιανός Δημητρίου. 45

Τέλος Ενότητας

Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ειδικά Θέματα Δικτύων Ι». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 47

Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 48

Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 49

Σημείωμα Χρήσης Έργων Τρίτων Το Έργο αυτό κάνει χρήση των ακόλουθων έργων: Εικόνες/Σχήματα/Διαγράμματα/Φωτογραφίες. Βιβλιογραφικές Πηγές. 50

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια