3.Основные отличия коммутатора от маршрутизатора и концентратора.
Коммутатор – «умный» хаб
Рис.3.10. Коммутатор
Внешне коммутатор (он также называется «свитчом» – от английского
switch – «переключатель») выглядит как хаб с большим количеством портов. И
68
даже используется он по тому же назначению – для «сбора» разрозненных
машин в единую сеть с помощью проводного подключения. Главное же отличие
коммутатора от концентратора кроется в принципе работы. В его основе лежит
все та же технология передачи сигнала фреймами, однако само устройство не
просто слепо дублирует их, а анализирует и обрабатывает.
Свитч имеет собственную память, в которой содержится матрица (таблица)
MAC-адресов. Изначально она пуста и коммутатор работает в режиме
концентратора, но после начала передачи данных она начинает автоматически
заполняться адресами на основании анализа решений о принятии и отказе
получения фрейма подключенными машинами. Соответственно, через
определенное время в матрице появляется информация обо всех находящихся в
сети клиентах, и свитч может использовать ее в своей работе: вместо того, чтобы
ретранслировать входящий фрейм на все порты, он отправляет его на
конкретный порт, к которому подключена машина с указанным во фрейме
адресом. Подобная схема работы в разы снижает нагрузку на сеть и позволяет
использовать ее практически на максимальной скорости, а точнее, на скорости
установленных в свитче портов.
Сетевой
коммутатор (жарг. свитч, свич от англ. switch —
переключатель) —
устройство,
предназначенное
для
соединения
нескольких узлов компьютерной
сети в
пределах
одного
или
нескольких сегментов сети. Коммутатор работает на канальном (втором)
уровне сетевой модели
OSI.
Коммутаторы
были
разработаны
с
использованием мостовых
технологий и
часто
рассматриваются
как многопортовые мосты. Для соединения нескольких сетей на основе сетевого
уровня служат маршрутизаторы (3 уровень OSI).
Рис.3.11 Сетевой коммутатор
69
Клиент – это рабочая
станция, которая запрашивает
доступ к локальной сети и
сервисам
коммутатора
и
отвечает
на
запросы
от
коммутатора.
На
рабочей
станции
должно
быть
установлено клиентское ПО для 802.1x, например, то, которое встроено в
ОС Microsoft Windows XP.
Сервер
аутентификации
выполняет
фактическую аутентификацию клиента. Сервер
аутентификации проверяет подлинность клиента
и информирует коммутатор предоставлять или
нет
клиенту
доступ
к
локальной
сети. RADIUS работает в модели клиент/сервер, в которой информация об
аутентификации передается между сервером и клиентами RADIUS. Так как
коммутатор работает в режиме прокси, сервис аутентификации прозрачен для
клиента.
Коммутатор
управляет
физическим
доступом
к
сети,
основываясь
на
статусе
аутентификации клиента. Коммутатор
работает
как
посредник
между
клиентом и сервером аутентификации,
получая запрос на проверку подлинности от клиента, проверяя данную
информацию при помощи сервера аутентификации и пересылая ответ клиенту.
Коммутатор включает клиент RADIUS, который отвечает за инкапсуляцию и
деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.
Инициировать процесс аутентификации может или коммутатор, или
клиент. Клиент инициирует аутентификацию, посылая кадр EAPOL-start,
который вынуждает коммутатор отправить ему запрос на идентификацию. Когда
клиент отправляет ЕАР – ответ со своей идентификацией, коммутатор начинает
играть роль посредника, передающего кадры ЕАР между клиентом и сервером
аутентификации до успешной или неуспешной аутентификации. Если
аутентификация завершилась успешно, порт коммутатора становится
авторизованным.
Схема обмена ЕАР кадрами зависит от используемого метода
аутентификации. На рисунке показана схема обмена, инициируемая клиентом,
использующая метод аутентификации с использованием одноразовых паролей
(One-Time-Password, OTP) сервером RADIUS. Аутентификация 802.1х может
70
быть выполнена как на основе МАС-адресов, так и на основе портов: При
аутентификации 802.1x на основе MAC-адресов сервер проверяет не только имя
пользователя/пароль, но и максимальное количество MAC-адресов, доступных
для работы на порту. Если предел достигнут, то он блокирует новый MAC-адрес.
Для того чтобы выйти из ситуации, когда несколько клиентов подключены к
одному физическому порту, коммутатор создаёт логические порты под каждый
МАС адрес и контролирует эту
базу протокол ЕАР.
При
аутентификации
802.1x на основе портов, после
того
как
порт
был
аутентифицирован,
любой
пользователь, подключенный к
порту, может получить доступ к
локальной сети. Подобный подход
является слабым местом с точки зрения безопасности сети.
В основном работа IGMP 2 не отличается от IGMP 1 (англ. Internet Group
Management Protocol — протокол управления группами Интернета) . Разница
заключается в наличие сообщений о выходе из группы. Теперь узлы сами могут
сообщить локальному многоадресному маршрутизатору о намерении покинуть
группу. В ответ маршрутизатор отсылает группе специальный запрос, чтобы
определить, остались ли в ней еще узлы, желающие получать данный трафик.
Если ответа не поступит, маршрутизатор отключает группу и прекращает
передачу трафика. Это может значительно сократить задержки, связанные с
прекращение членства в группе, по сравнению с IGMP 1. Нежелательный и
ненужный трафик может быть прекращен гораздо быстрее.
Рисунок 3.12 Принцип
работы протокола IGMP.
Первый рисунок показывает процесс подписки на группу, второй – выход
из группы. Стандартное поведение коммутатора 2 уровня заключается в
передаче всего многоадресного трафика на каждый порт, принадлежащий
локальной сети-приемнику на данном коммутаторе. Это связано с тем, что
коммутатор не находит записи об МАС-адресе групповой рассылки в своей
71
таблице коммутации, и поэтому рассылает пакеты через все порты. Это
противоречит основному назначению коммутатора, которое заключается в
ограничении трафика и доставке его только тем портам, для которых такие
данные действительно предназначены.
Рисунок
6.6
-
Передача многоадресного
трафика без поддержки
управления
им
на
коммутаторе.
Управление многоадресной рассылкой на коммутаторе может быть
выполнено несколькими способами:
- Виртуальные локальные сети VLAN могут определять соответствующие
границы многоадресной группы. Этот подход прост, однако он не поддерживает
динамическое добавление или исключение членов из группы.
- Второй метод, который поддерживается коммутаторами D-Link – IGMP-
прослушивание (IGMP-snooping). IGMP-прослушивание – это проверки или
прослушивание локальной сети на наличие в IGMP-пакетах, передаваемых
между узлом и маршрутизатором, некоторой информации 3 уровня. Когда
коммутатор получает IGMP-отчет узла для многоадресной группы, он заносит
номер порта узла в запись своей ассоциированной многоадресной таблицы.
Когда коммутатор получает IGMP-сообщение о выходе узла из группы, он
удаляет номер порта этого узла из записи таблицы.
Поскольку
управляющие IGMP-сообщения
передаются
в
виде
многоадресных пакетов, они неотличимы от многоадресных данных 2 уровня.
Коммутатор на котором осуществляется IGMP-прослушивание, проверяет все
многоадресные пакеты и ищет среди них те, которые содержат управляющую
информацию. IGMP-прослушивание сильно загружает центральный процессор и
может снизить производительность коммутатора. Поэтому в коммутаторах
обычно
используются
специализированные
микросхемы,
которые
проверяют IGMP-сообщения на аппаратном уровне.
72
Рисунок
6.7
-
Передача
многоадресного
трафика
с
поддержкой IGMP-snooping
Для каждого порта можно
выставить приоритет по умолчанию,
который будет присвоен всему трафику, который не имеет информации о
приоритете передачи при прохождении через порт. Таким образом, зная, какие
устройства подключены к тому или иному порту есть возможность управлять
качеством обслуживания.
Маршрутиза́тор
(
ру́тер, ра́утер или ро́утер
(транслитерация
английского
слова)
—
специализированное
устройство,
которое
пересылает пакеты между
различными
сегментами
сети на основе правил и
таблиц
маршрутизации.
Маршрутизатор
может
связывать разнородные сети различных архитектур. Для принятия решений о
пересылке пакетов используется информация о топологии сети и определённые
правила, заданные администратором. Маршрутизаторы работают на «сетевом»
(третьем) уровне сетевой модели OSI, в отличие от коммутаторов (свитчей)L2
уровня OSI и концентраторов (хабов), которые работают соответственно на
втором и первом уровнях модели OSI.
Таблица маршрутизации может составляться двумя способами:
статическая маршрутизация — когда записи в таблице вводятся и
изменяются вручную. Такой способ требует вмешательства администратора
каждый раз, когда происходят изменения в топологии сети. С другой стороны,
он является наиболее стабильным и требующим минимума аппаратных ресурсов
маршрутизатора для обслуживания таблицы.
динамическая маршрутизация — когда записи в таблице
обновляются автоматически при помощи одного или нескольких протоколов
маршрутизации — RIP, OSPF, IGRP, EIGRP, IS-IS, BGP, и др. Кроме того,
маршрутизатор строит таблицу оптимальных путей к сетям назначения на основе
различных критериев — количества промежуточных узлов, пропускной
73
способности каналов, задержки передачи данных и т. п. Критерии вычисления
оптимальных маршрутов чаще всего зависят от протокола маршрутизации, а
также задаются конфигурацией маршрутизатора. Такой способ построения
таблицы позволяет автоматически держать таблицу маршрутизации в
актуальном состоянии и вычислять оптимальные маршруты на основе текущей
топологии
сети.
Однако
динамическая
маршрутизация
оказывает
дополнительную нагрузку на устройства, а высокая нестабильность сети может
приводить к ситуациям, когда маршрутизаторы не успевают синхронизировать
свои таблицы, что приводит к противоречивым сведениям о топологии сети в
различных её частях и потере передаваемых данных.
Маршрутизаторы помогают уменьшить загрузку сети благодаря её
Do'stlaringiz bilan baham: |