Какво изпуска Ethernet мрежа

Автор: Иля Назаров Системен инженер на линейната компания INTELCOM

Относително опростен, Ethernet може да намали разходите за мрежово оборудване и е достатъчно гъвкав, за да се развива непрекъснато, за да отговори на изискванията на днешните мрежови приложения. Въпреки това, грешното оборудване или архитектура, избрани на етапа на проектиране, няма да могат да изпълнят възложените задачи и несериозният подход към конфигурирането на комутатори може да доведе до пълен мрежов отказ. Очевидно при изграждането на системи за сигурност това е напълно недопустимо.

Често срещани проблеми

Първо, нека разгледаме общите проблеми на изграждането на Ethernet мрежи, за които всеки трябва да знае. Също така начини да ги избегнете.

Излъчвани домейни
Изолирането на подсистеми, използващи различни приложения, е предпоставка, без която е невъзможно да се гарантира нормалната работа на Ethernet мрежата. Използването на споделен домейн за излъчване не само увеличава риска от мрежови заплахи, но също така може да доведе до откази на приложения, особено там, където се използва многоадресно предаване.

мрежа

Станете член на Партньорската програма "Active-SB" и ще получите:

- Разсрочено плащане за складови артикули (при условие, че се предостави пълен пакет документи);

- Поставяне на компанията в раздела "Инсталация", при закупуване на оборудване месечно за повече от 100 000 рубли;

- Кешбек по Бонус програма в размер до 5% от сумата на покупката

Разделянето на мрежата на VLAN трябва да бъде внимателно обмислено дори на етапа на проектиране. Какви конкретни възли трябва да бъдат изолирани един от друг и как ще се обменя трафик между тях се решава отделно за всеки конкретен случай.

Излъчена буря
Проблемът с появата на излъчвана буря е известен на почти всеки мрежов инженер или системен администратор. Същността му се състои във факта, че огромен брой излъчвани (или многоадресни) пакети се разпространяват в мрежата, претоварвайки каналите и ресурсите на мрежовото оборудване, което в крайна сметка води до мрежов отказ. Най-честата причина за бури е контур за кръпка, който може да бъде организиран случайно или злонамерено. В по-редки случаи причината може да е неизправност или неправилно конфигурирано оборудване, свързано към мрежата.

Ефективната мрежова архитектура на етапа на проектиране ще избегне появата на излъчена буря. Можете да използвате VLAN, STP и Broadcast Storm Control заедно:

  • VLAN ви позволява да ограничите разпространението на бури в рамките на един излъчен домейн. По този начин хостовете в съседни VLAN, както и връзки, където проблемната VLAN липсва, остават незасегнати. .
  • STP (Spanning-Tree Protocol) не само защитава мрежата в случай на цикъл, но също така ви позволява да се възползвате от нея - допълнителни връзки ще бъдат използвани като резервни връзки в случай на отказ на основните. Освен това, заедно с обвързването с настройките на VLAN, протоколът STP ще позволи организиране на разпределението на трафика по различни канали между комутаторите. Трябва обаче внимателно да прочетете принципите на работа на този протокол и неговите модификации, тъй като неправилната му конфигурация може да доведе до неоптимално превключване на трафика и претоварване на канали.
  • Broadcast Storm Control - позволява ви да ограничите максималната честотна лента за излъчен трафик на комутационните портове.

Най-ефективната защита ще има мрежа, в която се използва всяка от изброените технологии. Това е особено вярно на границата на мрежата - в портове, където оборудването на крайния потребител е свързано или организирано на кръстовището на други мрежи.

Настройки на STP
Има погрешно схващане, че само STP е достатъчен, за да се избегне буря. Нека разгледаме прост пример (фиг. 1).

какво

Да предположим, че към нашата мрежа е свързана мрежа на трета страна, която се състои от няколко прости неуправляеми комутатора. Веднага щом в такава мрежа настъпи превключващ цикъл, излъчваната буря лесно ще влезе в нашата мрежа. Въпреки че използваме STP, този цикъл няма да бъде открит от нашите комутатори, тъй като се използва само една връзка между мрежите. STP блокира трафика само когато открие алтернативен път за преминаване на кадри през различни портове. Съответно, в такива случаи е наложително да се използва Broadcast Storm Control.

Както вече споменахме, конфигурирането на STP изисква внимателно обмисляне, тъй като при излишните кабелни връзки може да се окаже ситуация, при която пътят на рамката да е неоптимален. Особено важно е да се има предвид това в случаите, когато STP е активиран по подразбиране на използваните превключватели. Да предположим, че в горния пример мрежа на трета страна използва управлявани комутатори, които също имат конфигуриран STP. В резултат на това може да се случи неприятна изненада - основният трафик вътре в нашата мрежа, вместо да бъде насочен през високопроизводителното ядро ​​на мрежата, ще се предава през крайния превключвател, през който се свързахме към мрежа на трета страна. В резултат на това каналите са претоварени. Факт е, че когато мрежите се комбинират, комутаторите също се комбинират в един STP домейн чрез обмен на сервизна информация. В нашия случай превключвателят в съседна мрежа беше избран за корен в общ домейн, тъй като той имаше по-висока приоритетна стойност и съответно логическата топология беше възстановена по такъв начин, че каналите вътре в ядрото на нашата мрежа бяха блокирани . За да се избегне подобна ситуация, комутаторите имат способността да контролират разпространението на рамки BPDU (Bridge Protocol Data Unit), в които се предава информация STR. Такива настройки винаги трябва да се правят на кръстовищата с други мрежи, за да се избегне сливането на STP домейн и неоптимално разпространение на трафика.