Ponts, Commutadors i VLANs: Funcionament i Seguretat

Clasificado en Informática

Escrito el en catalán con un tamaño de 12,87 KB

Objectius dels Ponts de Xarxa

Els ponts de xarxa tenen diversos objectius clau:

  • Interconnectar xarxes diferents: Com Ethernet, Token-Ring, etc.
  • Augmentar l'abast d'una xarxa: Els segments sense ponts tenen una longitud limitada.
  • Millorar el rendiment: Dividint la xarxa de forma lògica.
  • Millorar la seguretat: Els sniffers no capturen tot el tràfic.
  • Millorar la fiabilitat: Cada segment de xarxa està aïllat dels altres.
  • Permetre augmentar el nombre d'estacions.

Problemes en la Conversió de Trames

La conversió de trames entre diferents tipus de xarxes presenta alguns problemes:

  • Cada format presenta camps diferents.
  • No existeixen eines per fragmentar trames.
  • Alguns protocols permeten encriptació i altres no.

Ponts Transparents

Els ponts transparents interconnecten XALs (Xarxes d'Àrea Local) IEEE de forma completament transparent:

  • Funcionen en mode promiscu (escolten tot).
  • Només reenvien les trames que:
    • Van dirigides a una estació de l'altre costat.
    • Tenen un destinatari desconegut.
    • Tenen una adreça de grup (multidifusió o difusió).
  • Utilitzen l'aprenentatge de camí invers per construir la taula.
  • Gestionen els canvis de topologia eliminant les entrades massa antigues de la taula.
  • Les trames de sortida són idèntiques a les d'entrada.

Aprenentatge Adaptatiu

En xarxes estàtiques, les taules arriben a emmagatzemar totes les adreces i l'aprenentatge se satura. A la pràctica, s'afegeixen i s'eliminen estacions contínuament. S'utilitzen temporitzadors (minuts) per datar cada entrada i forçar que l'aprenentatge es renovi periòdicament. Si la trama que arriba a un port difereix de la informació d'adreça i port present a la taula, aquesta s'actualitza immediatament.

Commutadors (Switches)

Un commutador és funcionalment equivalent a un pont transparent. La principal diferència és que el commutador implementa l'algorisme de commutació de trames en hardware, mentre que el pont ho fa per software. Per fer-ho, utilitza xips dissenyats específicament per a aquesta tasca anomenats ASICs (Application Specific Integrated Circuit). El commutador és molt més ràpid que el pont, ja que pot funcionar a la velocitat nominal de la interfície per a totes les interfícies simultàniament. Normalment, els commutadors tenen moltes més interfícies que els ponts. Avui dia, gairebé no s'utilitzen els ponts.

Bucles (Loops)

De vegades, les xarxes connectades amb commutadors presenten bucles; és a dir, més d'un camí entre dues estacions. Poden ser intencionats, per proporcionar una major fiabilitat, ja que si una ruta falla, es pot disposar d'alternatives. En el cas de xarxes complexes, poden produir-se bucles no detectats de forma fortuïta. Els ponts transparents no poden funcionar en presència de bucles. Quan s'envia una trama a un destinatari desconegut o de difusió, la xarxa queda bloquejada. Això és degut al fet que els ponts utilitzen el mecanisme d'inundació si l'adreça de destí no és a la seva taula CAM, i no es disposa de cap mecanisme per distingir una trama de la seva còpia.

Estratègies de solució:

  • Prohibir la creació de bucles.
  • Habilitar un mecanisme per detectar-los i actuar en conseqüència: Protocol de l'arbre d'expansió (Spanning Tree).

Arbre d'Expansió (Spanning Tree)

L'arbre d'expansió és un graf en el qual hi ha un, i només un, camí possible entre qualsevol parell de nodes de l'arbre (arbre sense bucles). Si podem dibuixar la xarxa com un arbre d'expansió, segur que no presentarà bucles. El protocol de l'arbre d'expansió analitza la xarxa i desactiva les interfícies necessàries per obtenir-ne una sense bucles. Els commutadors intercanvien regularment informació sobre la topologia de la xarxa. Aquests missatges s'anomenen BPDU (Bridge Protocol Data Units).

Les BPDUs utilitzen un tipus (Ethertype) propi i s'envien a una adreça multidifusió reservada, la 01-80-C2-00-00-00. Així s'assegura que s'identifiquen fàcilment i que els commutadors sense ST (Spanning Tree) els propaguen de forma transparent. Cada commutador disposa d'un identificador únic (ID) que crea a partir d'una adreça MAC globalment única que li ha assignat el fabricant. A més, cada port del commutador rep un identificador i té un cost associat.

Cada commutador calcula el graf de la xarxa i observa si existeix algun bucle; en aquest cas, es van desactivant interfícies seguint unes regles clares fins que desapareixen tots els bucles i es crea un arbre d'expansió.

Les BPDU intercanviades contenen informació amb l'identificador del commutador que la genera, l'identificador del node arrel i el cost per arribar al node arrel. Cada node, quan transfereix la BPDU, hi suma el cost de la interfície per on la transmet.

Procés de selecció:

  1. Triar el pont arrel entre tots els ponts. Pont arrel = el d'identificador menor.
  2. Triar el port arrel de cada pont excepte del pont arrel. Port arrel = port amb el camí de menor cost al pont arrel.
  3. Triar el pont designat per a cada xarxa (segment de xarxa). Pont designat = pont amb el camí de menor cost des de la LAN al pont arrel. El Port designat connecta la LAN al pont designat.
  4. Tots els ports arrel i designats passen a l'estat forwarding. Aquests són els únics ports autoritzats a transferir trames. Els altres ports passen a l'estat blocking.

Commutadors:

  • ID = prioritat (0-65536) + adreça MAC (en aquest ordre).
  • Prioritat configurable (per defecte 32768). L'ID més baix és l'arrel.
  • Amb prioritat per defecte, comanda l'adreça MAC. Ajustant la prioritat es pot forçar la selecció del commutador arrel.

Interfícies:

  • ID = prioritat (0-255) + identificador. L'identificador d'interfície intervé si el cost és el mateix. Sempre es valora primer la de menor cost.
  • Els valors de cost per defecte són els de la taula. Anteriorment a l'existència de GigabitEthernet, el cost era inversament proporcional a la taxa de transmissió. Els valors de cost són modificables amb la configuració dels commutadors.

(Exemple de selecció de pont arrel, ports arrel i designats, i bloqueig de ports)

Xarxes Mixtes

Si es produeix un bucle en una xarxa on no tots els commutadors suporten l'arbre d'expansió, n'hi ha prou que un d'ells ho faci per tallar el llaç. Els commutadors que no suporten l'arbre d'expansió propaguen per inundació les BPDUs.

Atacs a l'Arbre d'Expansió

El protocol d'arbre d'expansió no incorpora mecanismes de protecció enfront d'atacs. Els missatges s'envien sense encriptació ni autenticació; qualsevol dispositiu pot generar BPDUs. L'arbre d'expansió només pretén determinar el commutador arrel i imposar un únic camí per arribar-hi des de qualsevol punt. El commutador amb prioritat menor sempre és l'elegit com a pont arrel.

Un *host* amb dues interfícies que actua com a pont amb prioritat 1 es pot convertir en arrel. Pot inspeccionar tot el tràfic entre A i B. Pot alterar-ne el contingut.

Solució: No existeix cap motiu que justifiqui que un *host* enviï BPDU. Els commutadors poden activar la funció BPDU Guard en els ports connectats a *hosts* (les BPDU es desactiven). Root Guard només bloqueja les BPDU que pretenen modificar l'arrel. Aquestes prevencions haurien d'aplicar-se a tots els ports on no es connectin commutadors.

Tràfic de Difusió

El consum de CPU per tràfic *unicast* en una xarxa és mínim, ja que la targeta de xarxa filtra el que no correspon sense que arribi a la CPU. Els paquets de difusió sempre són tractats per la CPU, ja que el seu contingut pot ser important. Els commutadors no filtren aquest tràfic; per tant, arriba a tota la xarxa. Els paquets de difusió solen ser petits; per tant, el problema s'agreuja si el cabal és elevat. En una xarxa d'àrea local hi ha diversos protocols que generen tràfic de difusió. Atesos els protocols i serveis, el tràfic sol ser proporcional al nombre d'equips. Un augment del tràfic de difusió degut a un creixement de la xarxa pot degradar considerablement el rendiment dels ordinadors.

Si el tràfic de difusió supera la mitjana de 50-100 pps (paquets per segon), s'hauria d'investigar el seu origen, ja que:

  • Hi ha massa ordinadors a la LAN.
  • Un protocol "parla" massa.
  • Hi ha algun problema a la xarxa (per exemple, un virus).

Efectes del Nombre d'Ordinadors

Suposem una XAL amb 100 ordinadors i una mitjana de 100 pps de difusió (1 pps per ordinador) que consumeix el 0.2% de CPU de cada ordinador. Si la XAL creix a 1000 ordinadors, el consum de CPU serà del 2%. Si es creen 10 XAL amb 100 ordinadors, el consum de CPU es manté estable. La solució és crear XAL petites connectades a nivell de xarxa amb encaminadors. Els encaminadors aïllen el tràfic de difusió.

Problemes de la Divisió de XAL

La divisió d'una xarxa d'àrea local en diverses obliga a disposar de múltiples commutadors (a cada edifici i cada armari). S'han de col·locar cables independents entre els commutadors de cada xarxa. La xarxa resultant és poc flexible: per canviar un ordinador de LAN, cal canviar la connexió al commutador. Poden haver-hi commutadors poc ocupats i altres sense lloc per a ampliacions. Per resoldre tots aquests inconvenients, existeixen les VLAN (xarxes d'àrea local virtuals).

VLAN (Xarxes d'Àrea Local Virtuals)

Serveixen per dividir de forma lògica (no física) els components d'una xarxa d'àrea local. Un commutador es divideix en diversos grups. Objectius:

  • Reduir el tràfic de difusió.
  • Millorar la seguretat dins de la xarxa.
  • Afegir flexibilitat per reconfigurar la xarxa.

La interconnexió de VLANs es fa mitjançant encaminadors. El pont només envia trames pels ports de sortida associats a la mateixa VLAN.

IEEE 802.1Q - VLANs Etiquetades

Més flexibles que les VLANs per ports. S'insereix una etiqueta de VLAN després de l'adreça MAC de font en cada trama:

  • VLAN protocol ID + tag.

El pont responsable de la VLAN envia les trames pels ports de sortida d'acord amb l'identificador de VLAN. Una configuració pot associar l'identificador de VLAN a un port de forma estàtica o dinàmica si s'usa l'aprenentatge de ponts.

Camps Tag (16 bits) entre direcció origen i tipus:

  • Pri: prioritat, 8 nivells.
  • CFI: Canonical Format Indicator (a Token Ring).
  • Id VLAN: Identificador (màxim 4096).

Assignació de Ports a VLANs

  • Estàtica: La configuració determina a quina VLAN pertany cada port.
  • Dinàmica (no disponible en tots els equips):
    • Per adreça MAC: el commutador consulta la BD amb aparellaments MAC-VLAN.
    • Per usuari/contrasenya: El commutador, després de validar l'usuari, assigna la VLAN d'acord amb una BD usuaris-VLAN.

Ponts d'Encaminament d'Origen

Per connectar xarxes en anell IEEE 802.5, cada estació font decideix la ruta cap al destí. La informació d'encaminament s'insereix a la trama.

Descobriment de Ruta

Per descobrir la ruta al destí, cada estació difon una trama de difusió de ruta única. La trama arriba una única vegada a cada LAN i arriba al seu destí. L'estació destí envia una trama de difusió per totes les rutes cap a l'estació font. La font rep totes les rutes i tria la millor.

Els ponts han d'estar configurats com un arbre d'expansió. L'estació font envia una trama de ruta única sense camp de designació de ruta. Els ponts de la primera LAN afegeixen a la trama els identificadors de la xarxa de procedència, pont i xarxa de sortida. Cada nou pont afegeix el seu identificador i el de la xarxa de sortida. Finalment, una trama de ruta única arriba al seu destí. Quan l'estació destí rep la trama de difusió de ruta única, respon amb una trama de difusió per totes les rutes sense ruta en el camp de designació de ruta. El primer pont insereix els identificadors de la LAN de procedència, el del propi pont i el de la LAN de sortida; després, reenvia la trama. Els següents ponts insereixen el seu identificador i el de la xarxa de sortida. Abans de reenviar la trama, comprova que la xarxa de sortida no aparegui ja dins el camp de designació. L'estació font rep totes les rutes a l'estació de destí.

Karma: -31%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Redes sin cables VLAN Ponts Spanning Tree Commutadors