Локальные вычислительные сети IEEE 802.3. Методы и средства обеспечения безопасности в проводных сетях

Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI. Ethernet в основном описывается стандартами IEEE группы 802.3. Он стал самой распространённой технологией ЛВС в середине 90-х годов прошлого века, вытеснив такие устаревшие технологии, как Arcnet, FDDI и Token ring.

В стандарте первых версий (Ethernet v1.0 и Ethernet v2.0) указано, что в качестве передающей среды используется коаксиальный кабель, в дальнейшем появилась возможность использовать витую пару и оптический кабель.

Преимущества использования витой пары по сравнению с коаксиальным кабелем:

- возможность работы в дуплексном режиме;

- низкая стоимость кабеля «витой пары»;

- минимально допустимый радиус изгиба меньше;

- большая помехозащищенность из-за использования дифференциального сигнала;

- отсутствие гальванической связи (прохождения тока) между узлами сети.

Причиной перехода на оптический кабель была необходимость увеличить длину сегмента без повторителей.

Метод управления доступом (для сети на коаксиальном кабеле) — множественный доступ с контролем несущей и обнаружением коллизий, скорость передачи данных 10 Мбит/с, размер пакета от 72 до 1526 байт. Режим работы полудуплексный, то есть узел не может одновременно передавать и принимать информацию. Количество узлов в одном разделяемом сегменте сети ограничено предельным значением в 1024 рабочих станции. Однако сеть, построенная на одном разделяемом сегменте, становится неэффективной задолго до достижения предельного значения количества узлов, в основном по причине полудуплексного режима работы.

В 1995 году принят стандарт IEEE 802.3u Fast Ethernet со скоростью 100 Мбит/с и появилась возможность работы в режиме полный дуплекс. В 1997 году был принят стандарт IEEE 802.3z Gigabit Ethernet со скоростью 1000 Мбит/с для передачи по оптическому волокну и ещё через два года для передачи по витой паре.

Формат фрейма:

Рисунок 1 Формат фрейма

- Преамбула. Представляет собой набор из семи октетов (октет содержит 8 битов), т.е. всего 56 бит, поочередно принимающих значение 0 и 1. Каждый октет представляет собой следующую битовую комбинацию: 10101010. Преамбула указывает станции-получателю, что передается фрейм. В более поздней Ethernet-технологии, рассчитанной на скорость 10 Мбит/с, тоже используются преамбулы, хотя нужды в них уже нет.

- Флагначалафрейма (start of frame delimiter, SFD). Представляет собой 8-битовое по­ле, содержащее битовую комбинацию, аналогичную таковой октетов заголовка, но оба последних разряда имеют значение 1 (10101011). Эта комбинация указывает станции-получателю, что вслед за данным полем будет передана содержательная часть фрейма.

- МАС-адрес получателя. Поле адреса приемника имеет 48-разрядное значение, указывающее адрес станции-приемника, для которой предназначен фрейм.

- Адрес отправителя. Поле адреса отправителя представляет собой 48-разрядное значение, указывающее адрес станции-отправителя.

- TLV-кодирование (кодирование тип/длина/значение, type/lenth/value, TLV). Поле TLV использует 16 разрядов, для того чтобы указать, какой тип протокола более высокого уровня инкапсулирован в поле данных или в поле содержимого пакета. Это поле также называют полем типа фрейма Ethernet; его значение указывает на режим работы Ethernet (Ethertype value).

- Содержимое или данные. Поле содержимого или данных содержит пакеты протокола более высокого уровня и должно иметь ширину не менее 46 байт и не более 1500 байт. Минимальное значение размера данных или содержимого обусловлено необходимостью предоставления шанса приема пакета всем станциям. Если размер дан­ных или содержимого менее 46 байт, передающая станция дополняет содержимое, чтобы размер поля составлял как минимум 46 байт.

- Контрольная последовательность фрейма (FCS). Поле FCS содержит значение циклического избыточного кода (CRC), вычисленное на основе битовой комбинации фрейма. Когда принимающая станция получает фрейм, она вычисляет его значение CRC и сравнивает с тем, которое содержится в поле FCS. Если эти величины совпадают, считается, что фрейм не содержит ошибок.

Рисунок 2 Вычисление FCS

Адреса Ethernet представляют собой 48-разрядные значения, которые однозначно идентифицируют Ethernet-станции локальной сети. Ethernet-адреса отчасти назначаются в рамках глобальной системы идентификации (курируемой IEEE), отчасти — производителями оборудования. Организация IEEE назначает каждому поставщику 24-разрядный уникальный организационный идентификатор (OUI). Этот идентификатор включается в Ethernet-адрес в качестве первых 24-х разрядов. Благодаря этому гарантируется уникальность Ethernet-адреса. Каждая станция может быть включена в любую сеть мира и быть однозначно идентифицирована. Поскольку при такой системе адресации используется физический интерфейс, ее также называют МАС-адресация. В большинстве случаев МАС-адреса представляются в шестнадцатеричной форме, причем каждый байт отделяется дефисом или двоеточием, либо каждые два байта отделяются точкой.

Поле адреса назначения фрейма (DA - Destination Address) может содержать адрес одного из трех типов:

- Уникальный МАС-адрес единственного получателя , кадра (unicast adress).

- Широковещательный адрес (broadcast address), указывающий на то, что данный кадр адресован всем увидевшим его абонентам сети.

- Групповой адрес (multicast adress), являющийся признаком, по которому узлы могут обрабатывать интересующие их кадры.

Каждый узел сети имеет сетевой адаптер — схему, реализующую метод CSMA/ CD на аппаратном (или микропрограммном) уровне. Адаптер имеет приемопередатчик — трансивер, подключенный к общей (разделяемой) среде передачи. Адаптер узла (для краткости — узел), нуждающийся в передаче информации, прослушивает линию и дожидается «тишины» — отсутствия сигнала (несущей). Далее он формирует кадр (frame, фрейм), начинающийся с синхронизирующей преамбулы, за которой следует поток двоичных данных в самосинхронизирующемся (манчестерском) коде. Все остальные узлы принимают этот сигнал; синхронизируются по преамбуле и декодируют его в последовательность бит, помещаемую в свой приемный буфер. Окончание кадра определяется по пропаданию несущей, и по этому событию приемники анализируют принятый кадр. Этот кадр контролируется на отсутствие ошибок (с помощью контрольной последовательности бит и по длине), после чего в «хорошем» кадре проверяется адресная информация. В каждом кадре имеется заголовок с МАС-адресами узла-источника и узла его назначения. Если адрес назначения кадра соответствует МАС-адресу данного узла, то кадр поступает на дальнейшую обработку протоколами вышестоящих уровней. Кадры, не адресованные данному узлу, им игнорируются, на аппаратном уровне адаптера, не отвлекая центральный процессор узла.

Широковещательные фреймы принимаются и обрабатываются всеми станциями домена Каждая станция действует в соответствии с алгоритмом, представленным на рисунке, чтобы определить, содержит ли фрейм данные, предназначенные именно для нее. Станция, получающая "чужие" широковещательные фреймы, использует свой центральный процессор для их обработки, в то время как его должны были бы использовать для своих нужд другие ресурсы станции. Процесс обработки таких фреймов может показаться простым делом, однако, широковещательная лавина может вызвать перегрузку в сети и подключенных к ней станций.

Рисунок 3 Алгоритм выбора действий рабочей станцией

Многоадресатные (групповые) фреймы похожи на широковещательные в том смысле, что они позволяют отправителю направлять их сразу группе получателей, а не одному. Благодаря этому процессу в определенных ситуациях снижается нагрузка на сеть за счет того, что станциям не приходится передавать некоторые фреймы несколько раз, чтобы их могли получить все станции, для которых предназначены фреймы. На многоадресатные фреймы должна быть "проведена подписка"; это означает, что станция-приемник должна изъявить желание получать их. Если станция-приемник не подписалась на многоадресатные фреймы, предназначенные определенной группе станций, она отвергает эти фреймы.

Для обеспечения безопасности в проводных сетях используются технологии 802.1x, VLAN, различные привязки, ACL и прочие, реализуемые на сетевом оборудовании.

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему коммутатор.

VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети.

В случае привязки осуществляется установка в соответствие определенному порту оборудования какого-либо уникального признака (например, MAC-адреса). В таком случае на данный порт будет пропускаться только траффик от компьютера, имеющего установленный MAC-адрес. Другие фреймы будут отбрасываться.

ACL (англ. Access Control List — список контроля доступа, по-английски произносится «эй-си-эл») — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.