Управляемые коммутаторы Ethernet

 
 

Конструктивно коммутатор представляет собой многопортовое устройство, предназначенное для деления сети на множество сегментов.

 

Рис. 34. Схема гетерогенной сети

 

В сетях Ethernet коммутаторы используют в своей работе алгоритм прозрачного моста (transparent bridge), регламентированного в стандарте IEEE 802.1D. Этот алгоритм подразумевает, что коммутатор «обучается» в процессе работы и строит свою адресную таблицу (таблицу MAC-адресов) на основе пассивного наблюдения за трафиком, циркулирующим в сети. Построив таблицу MAC-адресов, коммутатор передает полученные кадры не на все порты, а только по адресу назначения. Если на порт коммутатора поступает кадр с адресом назначения, приписанным к другому порту коммутатора, то кадр передается между портами. Если же коммутатор определяет, что адрес назначения приписан к тому порту, на который поступил данный кадр, то кадр отбрасывается или отфильтровывается.

Таким образом, коммутаторы устраняют главный недостаток технологии Ethernet, предоставляя каждому узлу сети выделенную пропускную способность протокола.

Управление коммутаторами производится на основе протоколов SNMP (Simple Network Management Protocol) и RMON (Remote Monitoring). Протокол SNMP входит в стек протоколов TCP/IP и широко используется для получения от коммутатора информации о его статусе, производительности и других характеристиках, которые хранятся в базе данных коммутатора. Протокол RMON определяет возможность удаленного мониторинга и управления коммутатором. Фактически RMON является расширением протокола SNMP, обеспечивающим удаленное взаимодействие с базой данных коммутатора. Без протокола RMON управление коммутатором возможно только локально, например при подключении коммутатора через последовательный порт к компьютеру и при использовании терминальной программы. RMON позволяет управлять и следить за состоянием коммутатора с удаленного компьютера с возможностью передачи требуемых данных по сети. Кроме того, в протокол RMON были добавлены дополнительные счетчики об ошибках, более гибкие средства анализа статистики, средства фильтрации и т.д.

Управляемые коммутаторы обладают также дополнительными функциями, важнейшими из которых с точки зрения безопасности являются фильтрация трафика и поддержка виртуальных сетей VLAN.

Фильтрация трафика позволяет создавать пользовательские фильтры, которые ограничивают доступ заданных заранее групп пользователей к определенным службам сети. Фактически фильтрация трафика — это сервис, повышающий уровень сетевой безопасности.

Поддержка виртуальных сетей(Virtual LAN, VLAN) позволяет с помощью коммутатора создавать изолированные друг от друга локальные сети. В отличие от применения пользовательских фильтров, виртуальные сети поддерживают защиту от широковещательного трафика. Поэтому говорят, что виртуальная сеть образует домен широковещательного трафика. Изоляция виртуальных сетей друг от друга происходит на канальном уровне. Это означает, что передача кадров между различными виртуальными сетями на основании адреса канального уровня (MAC-адреса) невозможна. Поскольку узлы различных виртуальных сетей изолированы друг от друга на канальном уровне, для объединения таких сетей в единую сеть требуется привлечение сетевого, или 3-го уровня сетевой модели OSI. Для обеспечения таких связей могут быть использованы маршрутизаторы либо коммутаторы, осуществляющие коммутацию пакетов на основе заголовка сетевого уровня. Такие коммутаторы получили название коммутаторов 3-го уровня. По аналогии — коммутаторы, работающие только на канальном уровне, иногда называются коммутаторами 2-го уровня. Популярность коммутаторов 3-го уровня растет и они могут вытеснить дорогостоящие маршрутизаторы там, где одновременно необходимы быстрая коммутация и маршрутизация на основе протокола TCP/IP без интерфейсов для глобальных сетей.

Примеры устройств.

Гигабитный управляемый коммутатор 2-го уровня HardLink HS-224RM

Коммутатор HardLink HS-224RM имеет два встроенных гигабитных порта (1000 Base-T) и 24 порта Fast Ethernet (10 Base-T/100 Base-TX) и построен на основе 26-портового контроллера MAC-уровня AQ2224 компании ACUTE.

Контроллер поддерживает размер таблицы MAC-адресов 32 К и обеспечивает возможность создания до 256 виртуальных сетей VLAN на основе портов по стандарту IEEE 802.1Q.

Коммутатор поддерживает как локальное, так и удаленное управление. Локальное управление производится через последовательный порт RS-232. Удаленное (сетевое) управление реализуется через протокол Telnet или встроенный Web-сервер. По своим функциональным возможностям удаленное управление обладает теми же возможностями, что и консольное. Коммутатор поддерживает протоколы SNMP и RMON

Обеспечение безопасности в коммутаторе реализовано посредством фильтрации MAC-адресов, а также возможности запрещения режима самообучения (learning mode) коммутатора, при котором тот автоматически обнаруживает и подключает новые сегменты в сети. Имеется также возможность определять права доступа пользователям при входе в конфигурационное меню коммутатора.

Коммутаторы серии Cisco Catalyst

Коммутаторы Cisco Catalyst имеют несколько функций для сетевой управляемости и защиты:

-Развертывание виртуальных локальных сетей (до 64 VLAN на один коммутатор) гарантирует, что пакеты данных будут перенаправляться только на компьютеры, входящие в состав виртуальной локальной сети, тем самым усиливая защиту между группами портов и уменьшая широковещательный трафик.

-Контроль доступа к порту, основанный на анализе MAC-адреса, защищает коммутатор от доступа неавторизированных станций. Можно создать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем доступом к сети. Режим изучения указанных пользователем адресов упрощает конфигурацию и усиливает защиту.

-Защита многоуровневого доступа к консоли коммутатора предохраняет от доступа неавторизированных пользователей к конфигурационным параметрам коммутатора.

-Использование протокола Terminal access controller access control system (TACACS+) идентификации позволяет централизовано координировать доступ к сети через большую группу сетевых устройств и ограничивает доступ неавторизированных пользователей.

-Технология Cisco Uplink Fast гарантирует быстрое восстановление после сбоя (обычно быстрее чем за 3 сек), что обеспечивает стабильность и надежность работы всей сети. Поддержка для резервной системы питания Cisco Redundant Power System 300 (RPS 300), которая обеспечивает переход на внутренний источник питания до 6-и устройств, повышая устойчивость к сбоям и время восстановления сети.