Локальные вычислительные сети IEEE 802.3. Методы и средства обеспечения безопасности в проводных сетях.

 

Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI. Ethernet в основном описывается стандартами IEEE группы 802.3. Он стал самой распространённой технологией ЛВС в середине 90-х годов прошлого века, вытеснив такие устаревшие технологии, как Arcnet, FDDI и Token ring.

Первоначально в 1985 году, когда был опубликован стандарт IEEE 802.3, использовались только два типа передающей среды: тонкий коаксиального кабеля (диаметр 6 мм) - стандарт физического интерфейса BNC (10Base-2), и толстый коаксиального кабеля (диаметр 13 мм) - стандарт AUI (10Base-5, подключение толстого коаксиального кабеля осуществляется посредством специального трансивера). Позднее появились еще три интерфейса: на витую пару - RJ-45 (10Base-T), на коаксиальных кабель для широкополосных сетей кабельного телевидения сопротивлением 75 Ом - (10Broad36), и на оптическое многомодовое волокно (пара волокон) - соединители ST (10Base-F). Еще позже появился интерфейс на одномодовое оптическое волокно.

Преимущества использования витой пары по сравнению с коаксиальным кабелем:

- возможность работы в дуплексном режиме;

- низкая стоимость кабеля «витой пары»;

- минимально допустимый радиус изгиба меньше;

- большая помехозащищенность из-за использования дифференциального сигнала;

- отсутствие гальванической связи (прохождения тока) между узлами сети.

Причиной перехода на оптический кабель была необходимость увеличить длину сегмента без повторителей.

Метод управления доступом (для сети на коаксиальном кабеле) — множественный доступ с контролем несущей и обнаружением коллизий, скорость передачи данных 10 Мбит/с, размер пакета от 72 до 1526 байт. Режим работы полудуплексный, то есть узел не может одновременно передавать и принимать информацию. Количество узлов в одном разделяемом сегменте сети ограничено предельным значением в 1024 рабочих станции. Однако сеть, построенная на одном разделяемом сегменте, становится неэффективной задолго до достижения предельного значения количества узлов, в основном по причине полудуплексного режима работы.

В 1995 году принят стандарт IEEE 802.3u Fast Ethernet со скоростью 100 Мбит/с и появилась возможность работы в режиме полный дуплекс. В 1997 году был принят стандарт IEEE 802.3z Gigabit Ethernet со скоростью 1000 Мбит/с для передачи по оптическому волокну и ещё через два года для передачи по витой паре.

На практике в сетях Ethernet на канальном уровне используются кадры 4-х различных форматов (типов). Это связано с длительной историей развития технологии Ethernet.

Ниже приводится описание всех четырех типов кадров Ethernet (здесь под кадром понимается весь набор полей, которые относятся к канальному уровню, то есть поля MAC и LLC уровней):

- кадр 802.3/LLC (кадр 802.3/802.2 или кадр Novell 802.2);

- кадр Raw 802.3 (или кадр Novell 802.3);

- кадр Ethernet DIX (или кадр Ethernet II);

- кадр Ethernet SNAP.

 

Если пишешь 1 кадр:

Кадр 802.3:

Если пишешь 4 кадра:

Кадр 802.3/LLC:

Стандарт 802.3 определяет восемь полей заголовка:

• Поле преамбулы (Preamble) состоит из семи синхронизирующих байт 10101010.
• Начальный ограничитель кадра (Start-of-frame-delimiter, SFD) состоит из одного байта 10101011. Появление этой комбинации бит является указанием на то, что следующий байт — это первый байт заголовка кадра.
• Адрес назначения (Destination Address, DA) — это 6-байтовое поле, содержащее адрес узла назначения кадра. Первый бит старшего байта адреса назначения является признаком того, является адрес индивидуальным (0 - unicast) или групповым (1 - multicast). Если адрес состоит из всех единиц (0xFFFFFFFFFFFF), то он называется широковещательным адресом (broadcast).
• Адрес источника (Source Address, SA) — это 6-байтовое поле, содержащее адрес узла — отправителя кадра. Первый бит адреса всегда имеет значение 0.
• Длина (Length, L) — 2-байтовое поле, которое определяет длину поля данных в кадре.
• Поле данных (Data) может содержать от 0 до 1500 байт. Но если длина поля меньше 46 байт, то используется поле заполнения, чтобы дополнить кадр до минимально допустимого значения в 46 байт.
• Поле заполнения (Padding) состоит из такого количества байт заполнителей, которое обеспечивает минимальную длину поля данных в 46 байт. Это обеспечивает корректную работу механизма обнаружения коллизий. Если длина поля данных достаточна, то поле заполнения в кадре не появляется.
• Поле контрольной суммы (Frame Check Sequence, FCS) состоит из 4 байт, содержащих контрольную сумму. Это значение вычисляется по алгоритму CRC-32.

Заголовок кадра 802.3/LLC является результатом объединения полей заголовков кадров, определенных в стандартах IEEE 802.3 и 802.2.

Кадр 802.3 является кадром МАС-подуровня, поэтому в соответствии со стандартом 802.2 в его поле данных вкладывается кадр подуровня LLC с удаленными флагами начала и конца кадра. Так как кадр LLC имеет заголовок длиной 3 (в режиме LLC1) или 4 байт (в режиме LLC2), то максимальный размер поля данных уменьшается до 1497 или 1496 байт. Доп. поля LLC:

• Адресные поля DSAP и SSAP занимают по 1 байту. Они позволяют указать, какой протокол верхнего уровня пересылает данные с помощью этого кадра. Для идентификации этих протоколов вводятся так называемые адреса точки входа службы (Service Access Point, SAP). Значения адресов SAP приписываются протоколам в соответствии со стандартом 802.2. Например, для протокола IP значение SAP равно 0x6, для протокола NetBIOS — 0xF0.
• Поле управления (LLC1 - 1 или LLC2 - 2 байта) указывает на тип сервиса.

 

Кадр Raw 802.3/Novell 802.3:

 

Кадр Ethernet DIX/Ethernet II

Кадр Ethernet DIX,называемыйтакже кадромEthernet II,имеет структуру, совпадающую со структурой кадра Raw 802.3. Однако 2-байтовое поле Длина(L) кадра Raw 802.3 в кадре Ethernet DIX используется в качестве поля типа протокола. Это поле, теперь получившее название Туре (Т) или EtherType, предназначено для тех же целей, что и поля DSAP и SSAP кадра LLC — для указания типа протокола верхнего уровня, вложившего свой пакет в поле данных этого кадра.

 

Кадр Ethernet SNAP

Для устранения разнобоя в кодировках типов протоколов, сообщения которых вложены в поле данных кадров Ethernet, комитетом 802.2 была проведена работа по дальнейшей стандартизации кадров Ethernet. В результате появился кадр Ethernet SNAP (SNAP — SubNetwork Access Protocol, протокол доступа к подсетям). Кадр Ethernet SNAP представляет собой расширение кадра 802.3/LLC.

Дополнительный заголовок протокола SNAP, состоит из двух полей: OUI и Туре. Поле Туре состоит из 2-х байт и повторяет по формату и назначению поле Туре кадра Ethernet II (то есть в нем используются те же значения кодов протоколов). Поле OUI (Organizationally Unique Identifier) определяет идентификатор организации, которая контролирует коды протоколов в поле Туре.

С помощью заголовка SNAP достигнута совместимость с кодами протоколов в кадрах Ethernet II, а также создана универсальная схема кодирования протоколов. Коды протоколов для технологий 802 контролирует IEEE, которая имеет OUI, равный 000000.

 

В сети Ethernet в качестве механизма управления доступом к среде используется метод множественного доступа с контролем несущей и обнаружением коллизий (CSMA/CD, Carrier Sense Multiple Access with Collision Detection). CSMA/CD позволяет компьютерам в сети совместно разделять единую узкополосную среду передачи без потери данных. В сети Ethernet нет приоритетов, каждый узел имеет равные права на доступ к сетевой среде передачи.

В сети Ethernet перед передачей данных узел «прослушивает» сетевую среду. Если узел выявляет в сети трафик, он выдерживает короткую паузу и снова «прослушивает» сеть. Если сеть свободна, то любой узел сети может осуществить через нее передачу своих данных.

Коллизии возникают, когда одна система передает данные, а другая система выполняет контроль несущей в течение короткого промежутка времени до того момента, как первый бит переданного пакета достигнет ее. Этот интервал известен как время состязания или временной зазор, так как каждая вовлеченная в процесс система полагает, что она начала передавать данные первой.

Таким образом, каждый узел в сети всегда находится в одном из трех возможных состояний:

- Передачи;

- Соревнования;

- Ожидания.

После того как, каждая передающая система выявляет коллизию, она немедленно прекращает посылать данные и предпринимает действия, чтобы исправить эту ситуацию. Это — стадия обнаружения коллизии. Из-за того, что столкнувшиеся пакеты считаются поврежденными, обе задействованные системы передают в остальную сеть сигнал задержки (jam pattern), который устанавливает во всем кабеле напряжение, информирующее другие системы в сети о столкновении и предотвращающее возможную передачу ими данных.

После передачи сигнала задержки оба узла, вовлеченные в конфликт, откладывают свою передачу на случайный интервал времени, который вычисляется по алгоритму с использованием их собственных МАС-адресов в качестве уникальных факторов. Этот процесс называется отсрочкой или временной выдержкой. Узел Ethernet будет пытаться передать пакет 16 раз, и если каждый раз будет возникать коллизия, то пакет бракуется.

 

Для обеспечения безопасности в проводных сетях используются технологии 802.1x, VLAN, различные привязки, ACL и прочие, реализуемые на сетевом оборудовании.

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До того, как компьютер аутентифицировался, он может использовать только протокол EAPOL (Extensible Authentication Protocol over LAN) и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер.

VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

В случае привязки осуществляется установка в соответствие определенному порту оборудования какого-либо уникального признака (например, MAC-адреса). В таком случае на данный порт будет пропускаться только траффик от компьютера, имеющего установленный MAC-адрес. Другие фреймы будут отбрасываться.

ACL (англ. Access Control List — список контроля доступа, по-английски произносится «эй-си-эл») — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.