Руководство по технологиям объединенных сетей Cisco (953103), страница 157
Текст из файла (страница 157)
Группы с циклами Для обнаружения групп с циклами исходные узлы периодически отправляют исходным конечным точкам запросы на создание группы. Если после нескольких попыток исходный узел не получает подтверждения создания группы, то последняя удаляется. Обновление сетевых таблиц маршрутизации происходит путем отправки узлами своим смежным узлам векторов расстояния в случае изменения маршрута. Таким образом узлы изменяют маршрутизацию многоадресатной группы в соответствии с изменениями топологии. Пример передачи данных ЗИМР Типичный сеанс передачи данных по протоколу БХМР заключается в создании группы рабочей станцией Мас)пгозй, присоединения к этой группе других рабочих станций Мас)пгозЬ и собственно передачи данных членам такой группы. При типичном БХМР-сеансе обмена данными компьютер Мас)пгозЬ (назовем его Сгеагог-Мас) посылает всем узлам данной сети запрос на создание группы.
Первичный маршрутизатор (Рппзагу) локальной сети выбирает неиспользуемый групповой адрес и возвращает этот адрес Сгеагог-Мас. Маспцоай в удаленной сети (назовем его МетЬег-Мас) обнаруживает Сгсагог-Мас по протоколу протокол связи имен (Хапзе В!пцйпй Ргогосо! — Х ВР).
Затем Сгеагог-Мас отправляет ХВР-ответ с адресом группы. МегпЬег-Мас посылает всем узлам запрос на присоединение к группе. Удаленный маршрутизатор (назовем его маршрутизатор М), зная корректный маршрут к группе и корректный родительский порт, передает запрос на присоединение к группе маршрутизатору Рг)шагу. Рппзагу получает запрос на присоединение к группе и посылает его Сгеагог-Мас. Он также заносит входящий порт в запись группы в таблице передачи.
Сгеагог-Мас подтверждает запрос на присоединение к группе и посылает данные этой группе. Маршрутизатор Рг)гпагу получает данные и передает их дочерним портам группы. Наконец, данные поступают на маршрутизатор М„который находит группу в таблице передачи и рассылает многоалресатные данные. Затем МегпЬег-Мас получает данные группы. 784 Часть Ч11. Протоколы маршрутизации Формат ЗМЙР-пакета Обший формат БМВР-пакета представлен на рис. 51.2. Длина поля, байт Переменная Рис.
51.2 Общий вид 5МКР-лакета Ниже описаны поля 5МКР-пакета, показанные на рис. 5!.2. 1,Табльица 60.2. Характеристики данных,ЗМй15-пакетоа.,'фф~'. ': тип пакета Данные Размер, байтов Переменный, в зависимости от разме- ра дейтаграммы сетевого уровня 2 Многоадресатные данные Данные Состояние порта Состояние порта Нет Приветствие Уведомление Назначенный узел Вектор расстояния Создание группы Многоадресатный вектор 8 Нет 0 785 Глава 55. Протокол ЯМ1чР ° Версия протокола.
Версия БМВР. ° Тип. Состоит из двух подполей. Старшие 2 бита определяют, содержатся ли в пакете передаваемые данные и, если содержатся, — тип передачи. Младшие 6 бит определяют тип пакета. ° Порядковый номер. Определяет соответствие ответов запросам во избежание дублирования запросов и ответов.
Все типы пакетов имеют ненулевой порядковый номер (за исключением многоадресатных пакетов данных и пакетов приветствий). ° Групповой адрес. Служит назначенным первичным узлом и назначает групповые адреса всем мгюгоадресатным источникам локальной сети. У локальной сети может быть несколько сетевых номеров, но эти номера должны образовывать непрерывный диапазон. Во избежание коллизий групповых адресов сетевые номера, назначаемые узлами, должны быть уникальными для каждой локальной сети и каждого первичного узла.
Когда первичный узел назначает новый групповой адрес, от выбирает в качестве сетевого номера случайным образом первый неиспользуемый групповой адрес. ° Данные. Зависят от типа БМВР-пакета. Характеристики данных для различных 5МВР-пакетов представлены в табл. 51.2. Окончание табл. б1.2 Размер, байт Данные Тип пакета Нет Нет Нет Нет Нет Индикация ошибки Короткое целое число в интервале от 7700 до -7710, в зависимости от ошибки Контрольные вопросы 1.
Что представляет собой ЗМйр-адрес? 2, Сообщение какого типа посылается при запросе между конечной точкой и узлом? Между узлом и конечной точкой? 3. Как узел становится назначенным первичным узлом в сети? 786 Уничтожение группы Присоединение кгруппе Создание записи группы Удаление группы Исключение из группы Ответ исходного узла Ответ узла-члена группы Отказ Одиночный адрес сетевого Переменная, в зависимости от форма- уровня та адреса сетевого уровня Нет 0 Часть ЧИ. Протоколы маршрутизации 1 ~Управление сетями рования ации ф ф „-,;.- Глава 52.
Техйологии зашиты сетей Глава.: 53. Сетевые''каталоги Глава 54. Технологии сетевого кэши ";Глава 55. Сети для хранения информ Глава 5б. Управление сетями 1ВМ !Ф~ ° Глава 57. Удаленный мониторинг Глава 58. Протокол 5ХМР Глава 59. Качеетво обслуживания ф Ф Ф В этой главе... ° Объясняется необходимость защйты сетей.;....:". д~.'. ' '4та "Ф ".'; ' ° Идентифицируются и'"описьгваются возможные угрозй рабпте сетей ° Обсуждается вжкность стратегии обеспечения безопасности и ее связь с сетевой безопасностью ° Описано всеобъемлющее решение задачи обеспеченйя безопасности ° Описаны способы устранения различных угроз сетям ° Описаны средства повйвзения уровня безопасности в сети ".
'Ф '"4 ,Кь :е Ф" -$ 'г а Ф. $ .Фг ;;,,Технологии защиты сетей 'Ф;:ф; СетвЧпсеспес прошла путь от простого средства передачи файлов до средства связи, используемого для покупки автомобилей, выписки рецептов, взятия ссуды для покупки" домачз для оплаты счетов. Вместе с тем коммерческие и финансовые компании осдзнальи,',чтот':1гля эффективного использования своих сетей они должны обеспечить их безопасйость.с Правительственные органы также оказались перед необходимостью .,;„' 'осбеспечитьн"конфФ111енциальность индивидуальной частной информации при ее использований третьась',стороной, такой как медицинские учреждения или финансовые органйэации.
ч,''ссф В настоящей главе обсуждаются возможные угрозы сетям и принципы всесторон.' Ней защиты при отражеиии этих угроз. Ф, ст йч ;.'.-'Почему важно обеспечить безопасность ъ,' ..р $' сети? '.Компьютерные сети предоставляют компаниям и отдельным пользователям значительные возможности и: преимушества. Для онлайновых книжных магазинов доступность 1пгегпес позволяет пользователям купить книгу в любое время и любом месте земйого шара. Студенту в;Южной Африке серверы австралийской компании онлайно...
'вого обучения позволяют закончить курс пройдя практическое обучение. В конечном итоге сетевая безопасность жизненно важна как для провайдера, так и для конечного польргователя. В.настоящем разделе основное внимание уделяется следующим факторам1'которые часто.т1зебуют защиты сетей. т'. рост йрименения!псегпес-приложений; 'е более быстрый доступ к 1псегпес; ° требования' законодательства.
1псегпес-приложения прошли путь от электронной почты до потокового вилео и онлайновых' банковских операций. -:" Появление этих новых приложений создало почву для того, чтобы хаксрское сообшествб обнаружило' и стало использовать новые уязвимые места в сетевых системах. Эти уяз- вимые места'включают в себя возможность кражи паролей, вызывающей нарушение рабо„'.ты службы и возможность несанкционированного доступа к системным ресурсам. Более быстрый доступ к 1пгегпег для домашних пользователей с помощью цифровых абонентских каналов (Г))й(га! БцЬзспЬег (лпе — Г)Я.) и кабельных технологий еше более расширил границы этой уязвимости. В настоящее время персональные компьютеры домашнего пользователя более подвержены атакам, ранее обычно проводившимся против корпоративных компьютеров, поскольку эти домашние компьютеры "всегда включены".
Кроме того, более быстрый доступ к 1пгегпег помог компаниям повысить производительность труда, побуждая своих сотрудников работать на дому. Наличие рабочей станции дома у сотрудника расширяет границы сети компании за пределы помещений компании, однако в результате этого компания сталкивается с дополнительными угрозами безопасности. Правительственные органы также осознали важность безопасности в сетях и ту огромную роль, которую она играет в экономической жизни и в инфраструктуре страны, в частности, в таких сферах, как транспорт, системы водоснабжения, системы действий в чрезвычайных ситуациях и в сфере обороны. В результате этого было разработано и принято законодательство, требующее, чтобы в сетях были реализованы соответствующие меры безопасности.
Например, в США акт защиты конфиденциальности информации о здоровье граждан (Неа1бз 1пГоппайоп Рпчасу Рпиесг!оп Асг Н1РРА) требует, чтобы провайдеры медицинских учреждений соблюдали конфиденциальность историй болезни граждан. Европейский Союз (Ецгореап оп!оп — Е()) принял директиву ЕС о защите данных, которая описывает требования к защите персональных данных. Раздичные виды угроз безопасности сетей В настоящем разделе описаны наиболее типичные случаи угрозы безопасности сетей: ° несанкционированный доступ к сети; ° низкий уровень аутентификации; ° взлом паролей; ° атаки с использованием анализаторов пакетов; ° атаки на уровне приложений; ° вирусы, черви и "троянские кони"; ° подделка 1Р-адресов; ° атаки типа "отказ в обслуживании".
Несанкционированный доступ Под этой угрозой общего типа понимается использование любой системы без согласия ее владельца, простирается от использования сети компании для установки на сервер онлайновой игры для многих игроков до похищения хакером личной информации домашнего пользователя с его персонального компьютера. 792 Часть ЧШ. Управление сетями Низкий уровень аутентификации Эта угроза безопасности обусловлена тем, что система не требует аутентификации, либо имеющийся механизм аутентификации обеспечивает низкий уровень безопасности или вообще ее не обеспечивает. Примером низкого уровня аутентификации могут служить %еЬ-приложения, которые позволяют любому пользователю добавлять в систему учетные записи без предварительной аутентификации в качестве системного администратора.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
