Получение и идентификация пакета

Пакет, полученный на порту коммутатора, может быть обработан в соответствии как с типом порта, так и с принадлежностью его к определенной виртуальной группе. Если тип порта - Trunk, то пакеты идентифицируются согласно VID в метке пакета, а VLAN-непомеченные пакеты, приходящие на порт, отбрасываются. Если тип порта - Hybrid, то VLAN-помеченные пакеты идентифицируются по их VID в метке, а VLAN-непомеченные пакеты идентифицируются по PVID порта. Если тип порта - Access, то непомеченные пакеты идентифицируются по PVID порта, а помеченные - отбрасываются.

Изучение топологии

В процессе изучения топологии коммутатор создает или модифицирует динамические строки фильтрации в своей базе данных фильтрации в соответствии с параметрами принятого им пакета.

Динамическая строка фильтрации создается или модифицируется, если:

1. Порт, куда поступил пакет, находится в состоянии изучения (Learning);

2. В поле "Адрес источника" кадра записан конкретный (Unicast) MAC-адрес;

3. Количество строк базы данных фильтрации не превышает своего максимального объема;

4. В строке регистрации базы данных фильтрации VID пакета включает, по крайней мере, один порт.

4.3. Коммутация пакета;

Этот процесс включает в себя:

1) Проверка ограничений топологии, т. е. проверку активного состояния входного и выходного портов, проверку того, что кадр не будет передан обратно на порт, принявший этот фрейм, проверку соответствия размера фрейма параметрам среды передачи;

2) Фильтрация кадров по отсутствию MAC-адреса адресата или VID кадра в базе данных фильтрации, либо согласно установленному фильтру;

3) Постановка кадров в очередь на передачу, согласно их приоритетности;

4) Выборка кадров из очереди для передачи;

5) Вычисление контрольной суммы кадров.

Безопасность VLAN

Безопасность VLAN ­— организация VLAN, при которой невозможно не санкционированно получить доступ к трафику, передающихся во всех VLAN'ах за исключением тех, к которым доступ разрешён.

VLAN обеспечивают высокий уровень безопасности сети. В сети на базе концентраторов кто угодно может подключить к порту концентратора, анализатора протоколов или станции с соответствующими программами и перехватывать все данные, передаваемые в данном сегменте. Эти данные могут оказаться конфиденциальными, а перехватить их достаточно просто.Если каждое устройство подключено к выделенному порту коммутатора и используются VLAN, то такая ситуация становится невозможной.

Каждый порт коммутатора получает в этом случае только те пакеты, которые адресованы подключенному к порту устройству. При организации виртуальных ЛВС на базе правил адреса канального (MAC) и сетевого (IP) уровня, пакеты могут быть связаны с портом - это обеспечивает дополнительные меры безопасности, поскольку в порт будут поступать данные только для конкретного адреса (MAC или IP).

Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN'у.

В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN'а тегированный трафик множества VLAN'ов.

Это возможно только при некорректной настройке коммутатора.

Атака VLAN Hopping (с использованием DTP)

Получение доступа к тегированному трафику при помощи DTP (DynamicTrunkingProtocol), работает только на старых коммутаторах Cisco(рис.4).

Атакующим, через порт, отправляется пакет DTP (DynamicTrunkingProtocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов).

Необходимо чтобы порт был сконфигурирован соответствующим образом. Не все фреймы будут обрабатываться.

Получение и идентификация пакета - student2.ru

Рис. 4

Дважды тегированный трафик

Дважды тегированный трафик передаётся в другой VLAN

Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор, попадёт в тегированный канал, но уже со вторым, внутренним, тегом. В конечном счёте он попадёт в нужный VLAN.

Этот способ может обеспечить только однонаправленную передачу данных.

Получение и идентификация пакета - student2.ru

Рис. 5

6. Формат кадра сетевого соединения между
коммутаторами и IEEE 802.1Q

Магистральные каналы используются для передачитрафика, принадлежащего различным сетям VLAN, по одной линии между устройствами. Устройство может определить, какой сети VLAN принадлежит трафик по специальному идентификатору сети VLAN. Идентификатор VLAN является тегом, инкапсулируемым с пакетом данных. 802.1Q является одним из типов инкапсуляции, используемыми для передачи по магистральным каналам данных из нескольких сетей VLAN.

IEEE 802.1Q использует внутренний механизм маркировки, в котором в сам исходный кадр Ethernet между полями исходного адреса и типа/длины, вставляются 4-байтовые поля тегов. Поскольку кадр изменяется, транкинговое устройство пересчитывает контрольную сумму (FCS) для измененного кадра.

DA SA TAG TYPE/LEN DATA FCS

Расширение поля tag:

Число битов
Поле кадра TPID PRIORITY CFI VID

Описания полей

DA— это 40-разрядный адрес назначения. Этот адрес используется для мультиадресной рассылки. Для него устанавливается значение "0x01-00-0C-00-00" или "0x03-00-0c-00-00". Первые 40 битов поля DA сообщают получателю, что пакет в формате ISL.

SA указывает исходный адрес пакета ISL. В нем следует установить значение "802.3" MAC-адреса порта коммутатора, передающего кадр. Это 48-разрядное значение.

TPID— это идентификатор протокола тегов. Поле идентификатора протокола тегов 16-разрядное. В нем устанавливается значение 0x8100 для идентификации кадра в качестве кадра с разметкой IEEE 802.1Q.

PRIORITY—это З-разрядное поле связано с приоритетом IEEE 802.1p, также известное как "Приоритет пользователя". В поле указывается уровень приоритетности кадра, который можно использовать для приоритизации трафика. Полем может задаваться 8 уровней (от 0 до 7).

CFI— идентификатор канонического формата с одноразрядным полем. Если значение этого поля равно 1, то MAC-адрес имеет неканонический формат. Если значение этого поля равно 0, то MAC-адрес имеет канонический формат.

VID — идентификатор VLAN. Поле идентификатора VLAN 12-разрядное. Оно уникальным образом идентифицирует VLAN, которой принадлежит кадр. В этом поле могут содержаться значения от 0 до 4095.

TYPE —тип кадра. Поле TYPE содержит четырехбитный код, отображающее тип инкапсулированного кадра и в будущем может быть использовано для отображения альтернативных инкапсуляций.

DATA—данные, включающий собственное значение циклического контроля избыточности (CRC).

FCS— последовательность проверки кадров. Поле FCS состоит из четырех байт. Эта последовательность содержит 32-разрядное значение CRC, которое создается отправляющим MAC-адресом и пересчитывается принимающим MAC-адресом для поиска поврежденных кадров. FCS создается через поля DA, SA, Длина/Тип и Данные.

Заключение

Сети VLAN обеспечивают наиболее подходящие решения организации сетевой инфраструктуры решая вопросы

· Гибкости;

· Масштабирования;

· Производительности;

· Безопасности;

Так же была представлена информация о типах организации VLAN, рассмотрены возможные атаки на VLAN.

Подробно описан Формат кадра сетевого соединения между коммутаторами и IEEE 802.1Q

Список литературы

1. Программа сетевой академии Cisco CCNA 3 и 4.-2008.-936 с

2. Учебное пособие:Коммутаторы локальных сетей D-Link– 143

3. В.А.Галкин,Ю.А.Григорьев Телекоммуникации и сети,МГТУ им.Н.Э,Баумана,2003

4. D.Passmore,J.Freeman The VLAN Technology Report

5. Статьи о VLAN

6. Компьютерные сети. 4-е изд. / Э. Таненбаум. -- СПб.: Питер, 2003. -- 992 с: ил. -- (Серия «Классика computerscience»).

7. Аппаратные средства локальных сетей. Энциклопедия. -- СПб.: Питер, 2002. -576 с.: ил.

8. Компьютерные сети. Принципы, технологии, протоколы: Учебник для 2-е изд. / В.Г. Олифер, Н.А. Олифер. -- СПб.: Питер, 2004. -- 864 с: ил.

9. Пятибратов А.П., Гудыно Л.П., Кириченко А.А. Вычислительные системы, сети и телекоммуникации, М:Финансы и статистика, 2005 г., 559 с.

10. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы, СПб: Питер, 2006 г., 672 с.

11. Столингс В. Компьютерные системы передачи данных. ИД «Вильямс», 2002 г., 920 с

12. Куроуз Д.Ф., Росс К.В. Компьютерные сети, СПб: Питер, 2004 г., 764 с.

13. Столингс В. Компьютерные сети, протоколы и технологии Интернета. СПб: БХВ Петербург, 2005 г., 817 с.

14. http://www.pcwork.ru

15. http://www.sover.pro

16. http://www.hub.ru

17. http://www.xakep.ru

18. http://ru.wikipedia.org

19. http://xgu.ru/wiki/VLAN

Наши рекомендации