22-03-06 10:00
802.1 Internetworking/LAN protokoli
piše DAVOR JOVANOVIĆ
Nakon uvodnog članka ove serije, u prvom dijelu bavili smo se Ethernet IEEE 802.3 protokolima lokalne mreže. Seriju nastavljamo pregledom IEEE 802.1 protokola.
1. IEEE 802.1p: LAN sloj 2 QoS/CoS Protokol za prioritizaciju prometa
LAN Quality of Service na Data-link sloju uključuje mehanizme za prioritizaciju prometa i upravljanje propusnošću kako bi se minimiziralo kašnjenje, a to su Cost of Service (CoS) klasifikacija, marking, scheduling i policing. IEEE 802.1p specifikacija omogućava L2 preklopnicima da prioritiziraju promet i vrše dinamičko multicast filtriranje. Specificiranje prioritizacije odvija se na media access control (MAC) sloju (OSI L2). IEEE 802.1p je proširenje IEEE 802.1Q (VLAN taggiranje) standarda i oni rade zajedno u tandemu.
2. IEEE 802.1X: EAP over LAN (EAPOL) za LAN/WLAN autentikaciju i upravljanje ključevima
IEEE 802.1X pruža platformu za autentikaciju i kontroliranje korisničkog prometa prema zaštićenoj mreži kao i dinamičku promjenu ključeva za enkripciju. 802.1X koristi EAP (Extensible Authentication Protocol) protokol za žičanu i bežičnu LAN mrežu te podržava višestruke metode autentikacije kao što su token cards, Kereberos, one-time lozinke, te certifikate i public key autentikaciju.
802.1X (EAPOL) je mehanizam dostave podataka i ne pruža stvarne mehanizme autentikacije. Kad se koristi 802.1X, potrebno je izabrati tip EAP protokola, kao što je Transport Layer Security (EAP-TLS) ili EAP Tunneled Transport Layer Security (EAP-TTLS) koji definiraju kako će se autentikacija izvršiti.
U 802.1X postoje tri glavne komponente:
1. Korisnik ili klijent koji se želi autenticirati
2. Poslužitelj za autentikaciju (najčešće je to RADIUS poslužitelj)
3. Uređaj koji ima ulogu posrednika, kao što je preklopnik
Ako je tako konfigurirano, mrežni uređaji mogu bilježiti početak i kraj svake sesije koja je autenticirana i/ili autorizirana i zatim te accounting zapise slati na AAA (Authentication, Authorization & Accounting) poslužitelj (npr. RADIUS) na kojemu se spremaju log-ovi.
3. Spanning Tree protokol
Spanning Tree Protocol (STP) / 802.1D
Spanning-Tree Protocol (STP) sprečava pojavu petlje kada su preklopnici međusobno spojeni višestrukim konekcijama. Spanning-Tree protokol implementira 802.1D IEEE algoritam razmjenjujući BPDU poruke s ostalim preklopnicima kako bi detektirao petlju, nakon čega isključuje sučelja na izabranom preklopniku. Ovaj algoritam garantira da postoji samo jedan aktivni put između preklopnika.
Common Spanning Tree (CST) - Cisco standard
Common Spanning-Tree (CST) predviđa jednu spanning-tree instancu za cijelu mrežu, neovisno o broju VLAN-ova čime smanjuje opterećenje procesora u preklopniku.
Multiple Instance STP (MISTP) / 802.1s
MISTP (802.1s) je IEEE standard koji dozvoljava da nekoliko VLAN-ova bude mapirano na određeni broj instanci. Svaka se instanca brine za višestruke VLAN-ove koji imaju istu L2 topologiju.
Per VLAN Spanning Tree (PVST) - Cisco standard
Per-VLAN Spanning Tree (PVST) podržava jednu ST instancu za svaki VLAN konfiguriran u mreži. Koristi ISL trunking metodu i omogućuje da VLAN trunk prenosi promet iz određenih VLAN-ova dok blokira promet iz ostalih VLAN-ova.
Per VLAN Spanning Tree Plus (PVST+) - Cisco standard
Per VLAN Spanning Tree Plus (PVST+) pruža istu funkcionalnost kao i PVST, ali korištenjem 802.1Q trunking tehnologije.
Rapid STP (RSTP) / 802.1w
Rapid Spanning Tree Protocol (RSTP) je evolucija Spanning Tree protokola (802.1D standard) i pruža bržu ST konvergenciju nakon promjene topologije mreže. Koristi tehnologije kao što su EdgeFast, UplinkFast RSTP i BackboneFast Engine za bržu konvergenciju u mreži.
4. LAN sigurnost (L2/L3)
Za kontrolu pristupa LAN mreži koriste se Private VLAN-ovi, VLAN Membership Policy Server (VMPS), VLAN Access Lists (VACL), port security, port filtering i ostale LAN sigurnosne metode.
Private VLAN Edge (protected ports)
PVLAN edge (protected port) je metoda koja ima samo lokalnu važnost za preklopnik (za razliku od Private VLAN-ova) i ona ne pruža mehanizme izoliranja prometa između takva dva sučelja smještena na različitim preklopnicima. Ovako konfigurirano sučelje ne šalje nikakav promet (unicast, multicast, ili broadcast) prema bilo kojem isto tako konfiguriranom sučelju na istom preklopniku.
Private VLANs (PVLANs)
PVLAN-ovi pružaju L2 izolaciju između sučelja u istoj broadcast domeni. Postoje tri tipa PVLAN sučelja: promiscuous, isolated, community.
VLAN ACcess Lists (VACLs)
VACL pružaju kontrolu pristupa za sve pakete koji se šalju unutar VLANa ili koji su usmjeravani u ili izvan VLAN-a.
VLAN Membership Policy Server (VMPS) / Dinamički VLAN-ovi
S VLAN Membership Policy Server (VMPS), sučelja na preklopniku mogu se dinamički dodijeliti nekom VLAN-u na osnovu izvorne MAC adrese uređaja koji je spojen na to sučelje. Kada se uređaj prebaci sa sučelja na jednom preklopniku u mreži na sučelje na nekom drugom preklopniku u mreži, preklopnik dinamički prebacuje to sučelje u pravi VLAN za taj uređaj.
5. Monitoriranje sučelja
Bilježenje LAN prometa za analizu korištenjem Switched Port Analyzer-a (SPAN).
Switched Port Analyzer (SPAN)
Switched Port Analyzer (SPAN) tehnologija bira mrežni promet za analizu koji će se analizirati mrežnim analizatorom kao što je SwitchProbe uređaj ili Remote Monitoring (RMON) probe.
Remote SPAN (RSPAN)
RSPAN ima sve značajke SPAN-a plus podršku za izvorišna i odredišna sučelja koja su distribuirana preko različitih preklopnika, dopuštajući jednom da monitorira bilo koje destinacijsko sučelje smješteno na RSPAN VLAN-u.
VLAN SPAN (VSPAN)
S VLAN-baziranim SPAN-om (VSPAN) korisnik može monitorirati promet na svim sučeljima koja pripadaju određenom VLANu.
6. Virtual LANs/VLAN Trunking Protocol (VLANs/VTP)
Grupa uređaja na jednom ili više LANova koji su konfigurirani tako da mogu međusobno komunicirati kao da su priključeni na istu “žicu”, a u stvari su locirani na određenom broju različitih LAN segmenata. Pošto su VLAN-ovi logičke, a ne fizičke konekcije, vrlo su fleksibilni što se tiče konfiguriranja.
Dynamic ISL (DISL) - Cisco standard
Dynamic Inter-Switch Link Protocol (DISL) pojednostavljuje stvaranje ISL trunk veze između dva međusobno spojena preklopnika. DISL olakšava konfiguriranje VLAN trunk veze jer samo jedan kraj veze treba biti konfiguriran kao trunk veza.
Dynamic Trunking Protocol (DTP)
Ako fizičko sučelje postane trunk, može imati i sposobnost da automatski postane trunk veza i u nekim slučajevima pregovara koji tip trunk veze da koristi na tom sučelju. DTP pruža mogućnost pregovaranja o trunking metodi s drugim uređajem.
Generic VLAN Registration Protocol (GVRP)
GVRP je GARP aplikacija koja pruža IEEE 802.1Q-kompatibilno konfiguriranje VLAN pruninga i stvaranje dinamičkih VLAN-ova na 802.1Q trunk sučeljima. Pomoću GVRP protokola, preklopnik razmjenjuje VLAN konfiguracijske podatke s ostalim GVRP preklopnicima, “reže” nepotreban broadcast i nepoznati unicast promet, te dinamički kreira i upravlja VLANovima na preklopnicima koji su međusobno spojeni preko 802.1Q trunk veza.
Inter-Switch Link (ISL) - Cisco standard
ISL je protokol koji u prometu održava VLAN informacije kako promet prolazi kroz preklopnike i usmjerivače.
VTP
VLAN Trunking Protocol je L2 protokol kojim se upravlja dodavanjem, brisanjem i preimenovanjem VLANova u cijeloj mreži.
802.1Q
802.1Q specifikacija predstavlja standardnu metodu za označavanje (tagging) Ethernet okvira s informacijama o pridruženom VLAN-u. Uloga 802.1Q standarda je rješavanje problema dijeljenja velikih mreža u manje dijelove kako broadcast i multicast promet ne bi uzimali više propusnog područja nego što im je potrebno. Ovaj standard ujedno pomaže i u povećanju nivoa sigurnosti između segmenata u lokalnoj mreži.
U narednom nastavku pozabavit ćemo se nadzorom i upravljanjem.
|
