Руководство по технологиям объединенных сетей Cisco (953103), страница 99
Текст из файла (страница 99)
Последний лишь выполняет функции прокоп-сервера лля аутентификации сервера ВАПИЗБ. На рис. 2б.З показаны все упомянутые выше реализации протокола ЕАР— для беспроводной связи, удаленного доступа и коммутируемой ЕАХ-сети. Рис. 2б.д Физические топологии длл различпик реализаций аутептификаиии протокола сАР 473 Глава 26. Протокол расширяемой аутентификации... По мере расширения использования протокола ЕАР для аутентификации все чаше используется встроенная поддержка этих механизмов аугентификации.
В настоящее время операционные системы М!сивой %1пг!стгз поставляются с уже встроенной поддержкой ЕАР-аутентификации для сетевых соединений. Дистрибьютерские пакеты 1лах также поддерживают протокол ЕАР в качестве метода иде~пификации. Корпорация Спсо 8узгепп также уже включила в свои операционные системы поддержку всех этих методов аутентификации. Другие производители также работают в этом направлении. Резюме Как было показано в настоящей главе, протокол ЕАР представляет собой мощное средство аутентификации пользователя в сетях доступа.
Его популярность все более возрастает по мере того, как сетевыс администраторы и производители осознают его гибкость. Используя протокол ЕАР сетевыс администраторы могут использовать механизмы строгой аутентификации, которые удовлетворяют всем требованиям проводимой политики безопасности, начиная с традиционных сертификатов М05-Спа!!епйе до цифровых сертификатов. В настоящее время протокол ЕАР охватывает различные реализации от беспроводной до коммутируемой !АХ-аутентификации. Можно уверенно предположить, что протокол ЕАР вскоре станет стандартом, роль которого в завтрашних сетях будет все более увеличиваться. Контрольные вопросы 1. Какое поле ЕАР-пакета указывает, является ли сообщение запросом, ответом на запрос, положительным или отрицательным ответом? 2.
В чем первичное преимущество использования ЕАР в качестве механизма аутентификации? 3. Какие два атрибута КАР!!18 используются при ЕАР— аутентификации? 4. Поддерживает ли ЕАР сертификаты со стороны сервера, со стороны клиента или оба типа сертификатов? Дополнительные источники ° КРС 2284, РРР Ехгепз!Ые Аиг/геиг!сагюи Ргогосо/, йр://йрйзйебц/!и-и!гез/ггс2284.пд ° йрс 2716, РРР еАР-?7.5 Аиг/геиг!садов Ргогосо!, ггр://йр !з!.ебц/!и-пзгез/ггс271б.гж ° ВЕС 2689, ЯАХЧ?/5 Ел!ела|от, «пчтч.!еГЕог8/г?с/г?с2689.гхГ ° 1пссгпе! гзга?п Ргосесгсд ЕАР Ргососо!, «ччтч.!егбог8/!пгегпег-г!гайл/сЬай-кжетззопрррехг-сар-г1з-еар-0.5.гхг 474 Часть!Ч. Технологии мультисервисного доступа Глава:,28. МостовЬе соединение разнородных сетей Г ава 29.;Мостовая маршрутизация от источника ава 30.:Коммутйруемые локальные сети и сети ЫА1ч авва 3!.
Коммутация в режиме АТМ ава 32. Коммутация МРАК 4а Глдва 33. Технология Ш.Б» '8Г В этой главе... ° Описаны построение,.таблицы,,ПЬресйлки прозрачного моста,, фильтрацйя, пез„ "ЬЙ4 ресылка и лавинная,маршрутизация: ' "" -й '.е Ъ ° рассмотрено йазначение алгоритма связ~юшего лерева ° Описаны режимы работы мостов и портов в ветвяшихся сетях : 27 Прозрачные мостовые соединения ,Ф Перова!як прозрачные мосты были разработаны в начале 80-х годов корпорапией ' !га! 'Ес!п1ршепг (О!8!га!). О!8!га! предложила свою разработку на рассмотрение инсфпггу 1ЕЕЕ; который включил ее в свой стандарт!ЕЕЕ 802.1.
Прозрачные мосты шйрокот!аспространены в сетях Ег!зептег/1ЕЕЕ 802.3. В настояшей главе рассматри- ~Ф ° "ется обработка.Потоков данных и компоненты протоколов прозрачных мостовых оедвнений. ,и ч ".*о'.. Фуйкционирование прозрачного остоаого 'соединения розрачные мосты получили свое название благодаря тому, что их присутствие и работа прозрачны для узлов сети.
При включении прозрачные мосты изучают располй~ение рабочих станций путем анализа адресов источников входящих фреймов из все!1 присоединенных к Инм сетей. Например, если на порт 1 моста поступает фрейм из'узла А, то мост делает вывод, что к узлу А может быть достигнут доступ через сегмейт, подключенный к порту 1. Действуя таким образом прозрачные мосты формируют'.табли!1у, аналогичную представленной на рис. 27.1. :"';ф,-'Л Адрес узла Номер сети сд 4! !"8 Лй ... ' з,'уь йз,,лс ~ м, ;..„:! ьу ..за~:.;. физви з' Рнс. 22 1. Прозрачный мосю создасьз тайзияу, описыеиоирю дооеупвосюь умоо семи Мост использует эту таблицу для пересылки поступающих данных. При поступлении фрейма на один из своих интерфейсов мост просматривает свою внутреннюю таблицу в поисках адреса получателя этого фрейма.
Если в таблице имеется запись, соответствующая этому адресу, и при этом соответствующий порт отличается от того, на который фрейм поступил, то фрейм пересылается через этот порт. Если соответствующей записи не найдено, то фрейм передается через все порты, кроме того, на который поступил.
Такой процесс называется лавинной маршрутизацией. Широковещательная и многоадресная рассылки также выполняются путем лавинной маршрутизации. Прозрачные мосты надежно изолируют межсегментую передачу данных, уменьшая тем самым график отдельных сегментов. Этот процесс называется филыирацией и осуществляется в тех случаях, когда МАС-адреса источника и получателя принадлежат одному интерфейсу моста. Обычно фильтрация повышает скорость реагирования сети, что непосредственно ощущается пользователем.
То, насколько сокращается объем передачи данных и повышается скорость реагирования, зависит от соотношения межсегментного и общего графика, а также от объема передачи широковещательных и многоадресатных данных. Мостовые петли Если между двумя локальными сетями существует несколько маршрутов через мосты и локальные сети, то алгоритм прозрачного моста без протокола межмостовой передачи не срабатывает.
Такая мостовая петля показана на рис. 27.2. Предположим, узел А посылает фрейм узлу В. Оба моста получают этот фрейм и делают правильный вывод, что узел А находится в сегменте 2. Затем каждый мост отправляет фрейм в сегмент 2. К сожалению, дело не ограничится тем, что узел В получит две копии данного фрейма: одну — от моста 1 и одну — от моста 2. Теперь оба моста будут считать, что узел А находится в том же сегменте, что и узел В. Когда узел В будет отвечать на фрейм узла А, этот ответ получат оба моста и отфильтруют его, поскольку, согласно адресной таблице мостов, получатель (узел А) находится в том же сегменте сети, где и источник фрейма.
Распространение широковещательных сообщений в сетях с петлями представляет серьезную проблему. Предположим, что первый фрейм, поступивший от узла А (рис. 27.2), является широковещательным. Тогда оба моста будут пересылать фреймы бесконечно, используя всю доступную полосу пропускания сети и блокируя передачу других пакетов в обоих сегментах. Но топология с петлями, приведенная на рис. 27.2 и вызывающая в данном случае проблемы, иногда может быть и полезной. Петля предполагает существование нескольких маршрутов в объединенной сети, а сеть с несколькими маршрутами между источником и получателем вследствие своей топологической гибкости отличается повышенной устойчивостью к сбоям.
Алгоритм связующего дерева Алгоритм связующего дерева (араон!п8-Тгее А(8опгЛш — БТА) был разработан корпорацией О!8(га! Ег(ц!ршепс, основным производителем оборудования Е(Легпег, чтобы сохранить преимущества петель, одновременно избегая связанных с ними проблем. Впоследствии алгоритм корпорации Ебййа1 был рассмотрен комитетом 1ЕЕЕ 802 и опубликован в спецификации 1ЕЕЕ 802.10. Следует отметить, что алгоритм О!8!ш( и алгоритм 1ЕЕЕ 802.10 несовместимы. 4ВО Часть Ч.
Мосты и переключатели Станция А Станция В Рис. 272 Маетввме пении в среде прпрачнмк мвепитмг еаединений могут стать причинвй неточной пересылки и тиийок при построении т)теснил таблиц Алгоритм БТА выбирает в топологии сети подмножество без петель путем расположения мостовых портов таким образом, что если порт активен, то в режиме ежи~шипя (блокировки) он создает петли. При обрыве первичного соединения заблокированные мостовые порты могут быль активизированы, создавая новый маршрут по сети. В основе построения подмножества сетевой топологии без петель при помощи алгоритма БТА, лежит теория графов, согласно которой для любого связного графа, состояшего из узлов и ребер, соединяюших лары узлов, связуюшее дерево из ребер ловдерживает связность графа, но не содержит петель.
На рис. 27.3 показано, как с помошью алгоритма БТА удаляются петли. Для работы алгоритма БТА требуется, чтобы каждому мосту был присвоен идентификатор. Как правило, этим идентификатором является один из МАС-адресов моста (Меб(а Ассезз Соппо! — МАС) и приоритет, назначенный администратором. Каждому порту также назначается уникальный идентификатор (в пределах моста), которым обычно является его собственный МАС-адрес. Кроме того, каждому порту моста сопоставляется стоимость маршрута, соответствующая затратам на передачу фрейма по локальной сети через данный порт. На рис. 27.3 стоимость маршрута отмечена на линиях, исходящих из каждого моста.
Эта стоимость обычно определяется по умолчанию, но может быть и задана вручную сетевым администратором. Прежде всего при вычислении связующего дерева производится выбор карневага маета Гюаг (нгфеА. Которым является мост с наименьшим значением идентификатора. На рис. 27.3 корневым является мост !. Затем для всех остальных мостов определяется корневой парт (юаг роге). Под корневым портом моста понимается порт, через который может быть достигнут корневой мост с наименьшими суммарными затратами, которые называются стоимостью корневого маршрута (юаг раГ)ь сатг). 4В1 Глава 27. Прозрачные мостовые соединения Π— назначенный порт ~ — корневой порт 'ч'-г — локальные сете Риг.
273.,йлл того, чтобы итдвгкать петель, мосты, рогпологкенныг с использованием алгоритма о ТА, иотыьзуют назначенные и корневые порты После этого определяются назначенные мосты и их назначенные порты. Под назначенным мостом понимается мост каждой локальной сети, обеспечивающий минимальную стоимосгь корневого маршрута. Назначенный мост (дегйпагед Ьгтдяе) локальной сети представляет собой единственный мост, которому разрешено пересылать обмениваться с другими сегментами фреймами локальной сети, для которой он является назначенным.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
