Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 117
Текст из файла (страница 117)
Такие фильтры называют пользовательскими. псмяхжатвльсаий биваьтр, который также часто ивзь1рбвг44ввмсввза 41вазрпв (асеева ввг). япеляазкмчен для создания дсполнитевьнмхбармзрсвйай)йгкядврсв, ео псваоаавт егрвиичивезь доступ определенных групп псяьзсватаяейк'атдаяйфзйвпужбамсв1м. Йояьзоавтавмкий баяьтр — зто нвбопжлоеий, кстс1вяе ог1мничивватлбйа4а1глсгаку пвпвйвчи взввзев.ксьввумтсрмки. Наиболее простыми являются пользовательские фильтры на основе МАС-адресов станций. Тзк как МАС-адреса — это та информация, с которой работает коммутатор, он позволяет создавать подобные фильтры'удобным для администратора способом, возможно, простзвляя некоторые условия в дополнительном поле адресной таблицы, например условие отбрасывать кадры с определенным адресом (см.
рис. 13.6 в главе 13). Таким способом пользователю, работающему на компьютере с данным МАС-адресом, полностью запрещается доступ к ресурсам другого сегмента сети. Рассмотрим применение пользовательского фильтра на примере сети, показанной на рис. 14.9. С1 С2 СЗ С4 Рис. 14.9. Контроль доступа к серверу с помощью пользовательского Фильтра 466 Глава 14. Интвппвктуапьныв функции коммутаторов Пусть мы хотим разрешить доступ к серверу 51 только с компьютеров С1 и СЗ, кадры от всех остааьных компьютеров до этого сервера доходить не должны. Список доступа, который решает эту задачу, может выглядеть так: 10 регате МАС-С1 МАС-51 20 регват МАС-СЗ МАС-51 ЗО Пепу апу апу Числа 10, 20 и 30 — это номера строк данного списка.
Строки нумеруются с интервалом 10 для того, чтобы в дальнейшем была возможность добавить в этот список другие записи, сохраняя исходную последовательность строк. Первое условие разрешает грегппт) передачу кадра, если его адрес источника равен МАС-С1, а адрес назначения — МАС-31; второе условие делает то же, но для кадра с адресом источника МАС-СЗ, третье условие запрещает (депу) передачу кадров с любыми (апу) адресами. Для того чтобы список доступа начал работать, его нужно применить к трафику определенного направления на какому-либо порту коммутатора: либо к входящему, либо к исходящему. В нашем примере нужно применить список доступа к исходящему трафику порта 1 коммутатора БЕЗ, к которому подключен сервер 51.
Коммутатор ЯЮЗ, перед тем как предать кадр на порт 1, будет просматривать условия списка доступа по очереди. Если какое-то условие из списка соблюдается, то коммутатор выполняет действие этого условия для обрабатываемого кадра, и на этом применение списка доступа для данного кадра заканчивается. Поэтому когда от компьютера С1 приходит кадр, адресованный серверу 51, то соблюдается первое условие списка, которое разрешает передачу кадра, так что коммутатор выполняет стандартное действие по продвижению кадра, и тот доходит до сервера 52. С кадром от компьютера СЗ совпадение происходит при проверке второго условия, и он также передается.
Однако когда приходят кадры от других компьютеров, например компьютера С2, то нн первое, ни второе условия не соблюдаются, зато соблюдается третье условие, поэтому кадр не передается, а отбрасывается. Списки доступа коммутаторов не работают с широковещательными адресами Егпегпес, такие кадры всегда передаются на все порты коммутатора. Списки доступа коммутаторов достаточно примитивны, поскольку могут оперировать только информацией канального уровня, то есть МАС-адресами.
Списки доступа маршрутизаторов гораздо более гибкие и мощные, поэтому на практике они применяются гораздо чаще. Иногда администратору требуется задать более тонкие условия фильтрации, например запретить некоторому пользователю печатать свои документы на сервере печати %1пцочгз, находящемуся в чужом сегменте, а остальные ресурсы этого сегмента сделать доступными. Для реализации подобного фильтра нужно запретить передачу кадров, которые удовлетворяют следующим условиям: во-первых, имеют определенный МАС-адрес, во-вторых, содержат в поле данных пакеты ЯМВ, в-третьих, в соответствующем поле этих пакетов в качестве типа сервиса указана печать. Коммутаторы не анализируют протоколы верхних уровней, такие как ЗМВ, поэтому администратору приходится для задания условий фильтрации «вручную» определять поле, по значению которого нужно осуществлять фильтрацию.
В качестве признака фильтрации администратор указывает пару «смещениеразмерь относительно начала поля данных кадра канального уровня, а затем еще приводит шестнадцатеричное значение этого поля. Сложные условия фильтрации обычно записываются в виде булевых выражений, формируемых с помощью логических операторов АХР и ОК. 467 Виртуальные локальные сети Виртуальные локальные сети Вшивым свойством коммутатора локальной сети является способность контролировать передачу кадров между сегментами сети. По различным причинам (соблюдение прав доступа, политика безопасности и т. д.) некоторые кадры не следует передавать по адресу иззиачения, Кзк мы выяснили в предыдущем разделе, ограничения такого типа можно реализовать с помощью лоиьзоваэмльских фииьулров.
Однако пользовательский фильтр может запретить коммутатору передачу кадров только по конкретным адресам, а широковещательный график он обязан передать всем сегментам сети. Так требует алгоритм его работы. Поэтому, кзк уже отмечалось, сети, созданные на основе коммутаторов, иногда называют влосиими— из-за отсутствия барьеров на пути широковещательного трафика. Технология виртуальных локальных сетей позволяет преодолеть указанное ограничение. виртуальисФлчиарьиой еипне РФФв) ьссд(дупдфФйий з(ойь)) дидьвавтси группа узлов сети, ' т~зФнк катеров, 'е 4м числе вйирфсййещптйпьпы~ йй~ф)здйик(вью(инюлноспио изолирован от трвфнка' другни уайд саут)ь Рнс.
14.10. Виртуальные локальные сети Зто означает, что передача кадров между разными виртуальными сетями на основании щжса канального уровня невозможна независимо от типа адреса (уникального, группового иии широковещательного). В то же время внутри виртуальной сети кадры передаются по дев Глава 14. Интеллектуальные функции комыугаторое технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.
Виртуальные локальные сети могут нерекрыеатьсл, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. На рис. 14. 1б сервер электронной почты входит в состав виртуальных сетей 3 и 4. Это означает, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема защищает виртуальные сети друг от друга не полностью, например, широковещательный шторм, возникший на сервере электронной почты, затопит н сеть 3, и сеть 4.
Говорят, что виртуальная сеть образует домен широковещательного шрафика по аналогии с доменом коллизий, который образуется повторителями сетей Егйегпек Назначение виртуальных сетей Как мы видели на примере из предыдущего раздела, с помощью пользовательских фильтров можно вмешиваться в нормальную работу коммутаторов и ограничивать взаимодействие узлов локальной сети в соответствии с требуемыми правилами доступа. Однако механизм пользовательских фильтров коммутаторов имеет несколько недостатков: (3 Приходится задавать отдельные условия для каждого узла сети, используя при этом громоздкие МАС-адреса. Гораздо проще было бы группировать узлы и описывать условия взаимодействия сразу для групп.
С) Невозможно блокировать широкоеещал1ельный трафик. Широковещательный трафик может быть причиной недоступности сети, если какой-то ее узел умышленно или неумышленно с большой интенсивностью генерирует широковещательные кадры. Техника виртуальных локальных сетей решает задачу ограничения взаимодействия узлов сети другим способом. Основное назначение технологии Ч1.АХ состоит в облегчении процесса создания изолированных сетей, которые затем обычно связываются между собой с помощью маршрутизаторов.
Такое построение сети создает мощные барьеры на пути нежелательного графика из одной сети в другую. Сегодня считается очевидным, что любая крупная сеть должна включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещательных, будут периодически кзатапливатьь всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние.
До появления технологии Ч1АХ для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо не связанные между собой сегменты, построенные на повторителях и мостах. Затем этн сети связывались маршрутизаторами в единую составную сеть (рис. 14.11). Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на 469 Виртуальные локальные сети передних панелях повторителей или на кроссовых панелях, что не очень удобно в больших сетях — много физической работы, к тому же высока вероятность ошибки. на елях "й Ряс. 14.11.
Составная сеть, состоящая из сетей, построенных на основе повторителей Дхя связывания виртуальных сетей в общую сеть требуется привлечение средств сетевого уровня. Он может быть реализован в отдельном маршрутизаторе или в составе программною обеспечения коммутатора, который тогда становится комбинированным устройством — так называемым коммутатором 3-го уровня (см.
главу 18). Технология виртуальных сетей долгое время не стандартиэироваласхь хотя и была реалиюппва в очень широком спектре моделей коммутаторов разных производителей. Положеппе изменилось после принятия в 1998 году стандарта 1ЕЕЕ 802. Щ который определяет Йзовые правила построения виртуальных локальных сетей, не зависящие от протокола плапьного уровня, поддерживаемого коммутатором. Создание виртуальных сетей на базе одного коммутатора Прп создании виртуальных сетей на основе одного коммутатора обычно используется псханизм сруллированил портов коммутатора (рис. 14.12). При атом каждый порт приппсывается той или иной виртуальной сети.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
